Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de Sistemas TI
Auditoria de Sistemas TI
Netzahualcó yotl
AUDITORIA DE SISTEMAS EN TI
Auditoria de Sistemas TI 2010
Contenido
1.1 Auditoria de la Función Informática...........................................................................................................................4
1.1.1 Definir conceptos de Auditoria y Auditoria Informática......................................................................................4
1.1.2 Describir la estructura organizacional y funciones de la auditoria Informática..................................................4
1.1.3 Reconocer las TI y sus características..............................................................................................................5
1.2 Políticas de la Organización (Reglas de la Organización)........................................................................................5
1.2.1 Describir el concepto de Política........................................................................................................................5
1.2.2 Describir la importancia del manual de Políticas de la Organización................................................................6
1.3 Interpretación del Manual de Procedimientos de la organización.............................................................................6
1.3.1 Reconocer los conceptos de procesos, roles y funciones.................................................................................6
1.3.2 Definir el concepto de manual...........................................................................................................................7
1.3.3 Describir los tipos de manuales de la organización y sus apartados................................................................7
1.4 Recursos Humanos...................................................................................................................................................7
1.4.1 Definir el concepto de Capital Humano.............................................................................................................7
1.4.2 Describir la Gestión de Recursos Humanos......................................................................................................9
1.5 Diagnostico de la Situación Actual..........................................................................................................................10
1.5.1 Describir los pasos para realizar un diagnostico de la situación actual de una organización.........................11
1.5.2 Explicar el diagnostico del negocio u organización.........................................................................................11
1.5.3 Áreas de Oportunidad de TI dentro de la Organización..................................................................................12
1.6 Control Interno.........................................................................................................................................................13
1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control.....................................................13
1.6.2 Describir la metodología para el establecimiento de Controles.......................................................................16
2.1 Planeación de la auditoria Informática....................................................................................................................17
2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI.........................................................17
2.1.2 Identificar las fases de la auditoria Informática................................................................................................17
2.1.3 Definir los elementos de la planeación de la auditoria Informática..................................................................18
2.1.4 Definir el concepto de la lista de Verificación..................................................................................................18
2.2 Evaluación de la Seguridad.....................................................................................................................................19
2.2.1 Identificar los modelos de Seguridad...............................................................................................................19
2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad...................................................19
2.2.3 Definir la auditoria de seguridad física lógica de los datos..............................................................................20
2.3 Selección de proveedores.......................................................................................................................................21
2.3.1 Reconocer las características que debe tener un proveedor..........................................................................22
2.3.2 Reconocer los procedimientos vigentes o existentes para la selección de proveedores................................22
2.4 Licenciamiento del Software...................................................................................................................................23
2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de uso.....................................23
2.5 Evaluación de Hardware y Software.......................................................................................................................24
2.5.1 Describir las características del Hardware y software apropiado para tareas específicas..............................25
2.6 Evaluación de sistemas...........................................................................................................................................26
2.6.1 Describir los pasos para evaluar los sistemas de información de acuerdo al ciclo de vida............................26
2.6.2 Explicar los elementos de la evaluación de análisis de sistemas....................................................................26
2.6.3 Explicar los elementos de la evaluación del diseño lógico.............................................................................27
2.6.4 Explicar los elementos de la evaluación del desarrollo del sistema................................................................27
2.7 Evaluación de la red................................................................................................................................................28
2.7.1 Reconocer los elementos que debe contener una red local con base en el estándar ANSI/TIA 569 A y B...28
2.7.2 Reconocer los elementos que debe contener una red inalámbrica con base en el estándar ANSI EIA/TIA
802.11x.....................................................................................................................................................................29
2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI EIA/TIA 569)..............................30
2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP.............................................................................................30
2.7.5 Describir la vulnerabilidad de las redes...........................................................................................................32
Auditoria de Sistemas TI 2010
2.7.6 Explicar la auditoria de la red física y lógica....................................................................................................34
3.1 Conceptos Básicos..................................................................................................................................................36
3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación.................36
3.2 Interpretación de los resultados de la Auditoria Informática...................................................................................36
3.2.1 Identificar los tipos de opiniones......................................................................................................................36
3.2.2 Describir los componentes, características y tendencias de un informe.........................................................37
3.3 Identificar los tipos de conclusiones de la Auditoria Informática.............................................................................37
3.3.1 Identificar los tipos de de conclusiones...........................................................................................................37
3.4 Áreas de oportunidad e las ITIL.............................................................................................................................38
3.4.1 Reconocer el concepto de FODA y sus componentes....................................................................................38
3.4.2 Definir el concepto de ITIL...............................................................................................................................39
3.4.3 Describir los lineamientos y/o estándares que ayudan en el control, operación, administración de recursos y
servicios informáticos................................................................................................................................................39
Auditoria de Sistemas TI 2010
Auditoria: Es la revisión y examen de una función, cifra, proceso o reporte, efectuados por personal
independiente a la operación, para apoyar la función ejecutiva.
Las TIC conforman el conjunto de recursos necesarios para manipular la información y particularmente los
ordenadores, programas informáticos y redes necesarias para convertirla, almacenarla, administrarla,
transmitirla y encontrarla.
Ejemplos de tic
Las redes
Telefonía fija
Banda ancha
Telefonía móvil
Redes de televisión
Redes en el hogar
Los terminales
Ordenador personal
Navegador de Internet
Sistemas operativos para ordenadores
Teléfono móvil
Televisor
Reproductores portátiles de audio y vídeo
Consolas de juego
La política, Es la actividad humana que tiende a gobernar o dirigir la acción del Estado en beneficio de la
sociedad. Es el proceso orientado ideológicamente hacia la toma de decisiones para la consecución de los
objetivos de un grupo. La ciencia política es una ciencia social que estudia dicha conducta de una forma
académica utilizando técnicas de análisis político; los profesionales en esta ciencia adquieren el título
de politólogos, mientras quienes desempeñan actividades profesionales a cargo del Estado o se presentan
a elecciones se denominan políticos
Los Manuales representan una guía práctica que se utiliza como herramienta de soporte para la
organización y comunicación, que contiene información ordenada y sistemática, en la cual se establecen
claramente los objetivos, normas, políticas y procedimientos de la empresa, lo que hace que sean de
mucha utilidad para lograr una eficiente administración. Son considerados uno de los elementos más
eficaces para la toma de decisiones en la administración, ya que facilitan el aprendizaje y proporcionan la
orientación precisa que requiere la acción humana en cada una de las unidades administrativas que
conforman a la empresa, fundamentalmente a nivel operativo o de ejecución, pues son una fuente de
información que trata de orientar y mejorar los esfuerzos de sus integrantes para lograr la adecuada
realización de las actividades que se le han encomendado.
Auditoria de Sistemas TI 2010
Son los documentos en los que se integra toda la información operativa y administrativa de las unidades,
con la finalidad de lograr la estandarización de operaciones, procesos, procedimientos, imagen y servicio.
Manual de procedimientos
Un manual de procedimientos es el documento que contiene la descripción de actividades que deben
seguirse en la realización de las funciones de una unidad administrativa, o de dos ò más de ellas.
Incluye:
Puestos o unidades Administrativas
Información y formatos de formularios
Autorizaciones o documentos necesarios
Funciones:
Permite conocer el funcionamiento interno por lo que respecta a descripción de tareas, ubicación,
requerimientos y a los puestos responsables de su ejecución.
Construye una base para el análisis posterior del trabajo y el mejoramiento de los sistemas,
procedimientos y métodos
Instrumento administrativo que contiene en forma explícita, ordenada y sistemática información sobre
objetivos, políticas, procedimientos etc.
Tipos de Manuales:
Manual de Organización
Describe la Organización Formal de la Empresa consignando:
Misiones: enunciación sintética del objetivo que persigue el área de la Organización.
Auditoria de Sistemas TI 2010
Funciones Básicas de la Autoridad: Quienes dependen de él y él de quien depende
Responsabilidad Características y Especificaciones de la Posición.
Manual de Procedimientos.
Describe en detalle las operaciones que integran los procedimientos administrativos en orden
secuencial de su ejecución y las normas a cumplir por los miembros de la organización
compatibles con dichos procedimientos.
La estructura de un Manual de Procedimientos debe contemplar: Carátula de Presentación:
indicando Tema, Nº de Procedimiento, Vigencia, Áreas afectadas y Analista Actuante.
Objetivos y Alcance Instrucciones acerca de codificaciones utilizadas o de la forma de
actualización.
Se denomina recursos humanos al trabajo que aporta el conjunto de los empleados o colaboradores de
una organización. Pero lo más frecuente es llamar así a la función que se ocupa de seleccionar, contratar,
formar, emplear y retener a los colaboradores de la organización. Estas tareas las puede desempeñar una
persona o departamento en concreto (los profesionales en Recursos Humanos) junto a los directivos de la
organización.
El capital humano es un término usado en ciertas teorías económicas del crecimiento para designar a un
hipotético factor de producción dependiente no sólo de la cantidad, sino también de la calidad del grado de
formación y productividad de las personas involucradas en un proceso productivo.
A partir de ese uso inicialmente técnico, se ha extendido para designar el conjunto de recursos
humanos que posee una empresa o institución económica. Igualmente se habla de modo informal de
mejora en el capital humano cuando aumenta el grado de destreza, experiencia o formación de las
personas de dicha institución económica.
Competencia: aptitud; cualidad que hace que la persona sea apta para un fin. Suficiencia o idoneidad para
obtener y ejercer un empleo. Idóneo, capaz, hábil o propósito para una cosa. Capacidad y disposición para
el buen de desempeño. Estos términos por separado no nos dan mucha claridad o luz de su utilización en la
administración del RRHH, sin embargo veamos las interacciones que se suceden entre ellos.
Capital Humano: Es el aumento en la capacidad de la producción del trabajo alcanzada con mejoras en las
capacidades de trabajadores. Estas capacidades realzadas se adquieren con el entrenamiento,
la educación y la experiencia. Se refiere al conocimiento práctico, las habilidades adquiridas y las
capacidades aprendidas de un individuo que lo hacen potencialmente.
En sentido figurado se refiere al término capital en su conexión con lo que quizá sería mejor llamada la
"calidad del trabajo" es algo confuso. En sentido más estricto del término, el capital humano no es
realmente capital del todo.
El término fue acuñado para hacer una analogía ilustrativa útil entre la inversión de recursos para aumentar
el stock del capital físico ordinario (herramientas, máquinas, edificios, etc.) para aumentar la productividad del
trabajo y de la "inversión" en la educación o el entrenamiento de la mano de obra como medios alternativos
de lograr el mismo objetivo general de incrementar la productividad.
La empresa es una entidad económica donde se combinan dinámicamente factores que son necesarios
para el proceso de producción, entre estos factores esenciales está el capital, el capital humano, el trabajo
y la dirección empresarial.
La gestión de los recursos humanos se encarga de obtener y coordinar a las personas de una
organización, de forma que consigan las metas establecidas. Para ello es muy importante cuidar las
relaciones humanas.
Las fases por las que ha pasado la gestión de los RRHH son cuatro:
1. Administrativa: Es puramente burocrático y actúa sobre la disciplina y las remuneraciones. Las
medidas a adoptar son de tipo reactivo.
2. Gestión: Se empieza a considerar las necesidades de tipo social y sociológico de las personas.
Las medidas a adoptar son de tipo pro activo.
3. Desarrollo: Se busca la conciliación entre las necesidades de los trabajadores y las necesidades
económicas de la empresa. Se considera que las personas son elementos importantes para la
empresa y se busca su motivación y eficiencia.
Auditoria de Sistemas TI 2010
4. Gestión estratégica de los RRHH: La gestión de los RRHH esta ligada a la estrategia de la
empresa. Los trabajadores son la fuente principal de la ventaja competitiva de la empresa. Esta
evolución ha sido protagonizada por:
A continuación se sintetizan algunas de las funciones más importantes de la Gestión de los Recursos
Humanos:
El proceso de selección
2º pruebas de selección
Son unas operaciones por medio de las cuales se juzgan las cualidades y el valor de cada candidato en
relación con el puesto que se quiere cubrir. Estas pruebas tienen un carácter prospectivo en el sentido en
que tratan de predecir el comportamiento futuro de una persona interpretando y extrapolando los
resultados de las pruebas. Tenemos pruebas profesionales, en las que se simulan las condiciones reales
de trabajo; pruebas psicotécnicas, otras pruebas son juegos de empresas, ejercicios dinámicos de grupo,
grafología, etc.
La entrevista de selección
En primer lugar hay que determinar la preparación del entrevistador y seleccionarlo. Hay que programarse
la entrevista, y decidir los objetivos perseguidos con la misma. Hay que crear un ambiente apropiado, y
citar a los candidatos, generalmente por teléfono, y hacer que no coincida en la sala de espera.
Conocimiento del puesto a cubrir y del perfil ideal. Hay que reconocer a cada candidato
-La gestión del desempeño está estrechamente vinculada a la evaluación de las competencias, del
potencial y a los resultados obtenidos, lo que permite tener un estimado de cómo se está
desarrollando el trabajo a la vez que constituye un ente motivador del mismo y de su desempeño
respecto a las nuevas exigencias, que logre elevar la motivación con nuevas formas de
estimulación y contribuya a hacer coincidir las necesidades de los individuos que trabajan en la
organización con la misión y los objetivos de esta, dando respuesta en cuanto a eficiencia, eficacia
y efectividad.
Auditoria de Sistemas TI 2010
La remuneración parte de la valoración de los puestos de trabajo y se basa en los resultados
obtenidos de forma individual y colectiva, por lo que tenderá a ser un componente variable
favoreciendo la eficacia que debe primar en las organizaciones.
Las promociones se apoyan cada vez más en la competencia de los individuos, por lo que el
concepto de evaluación del desempeño, de evaluación del potencial y el desarrollo de carrera
prevén la evolución futura de los recursos humanos dentro de la organización.
Los programas de cambio organizacional planeado, parten del reconocimiento previo de que el
comportamiento humano presenta una complejidad en su estudio derivada de su carácter
multidimensional, de tal forma que se reconoce de antemano, la influencia de factores sociales e
individuales que determinan el comportamiento individual y grupal. Por ello, es necesario precisar que para
alcanzar la objetividad y garantizar mejores resultados en las intervenciones de agentes de cambio en
organizaciones formales, se requiere la adopción de un enfoque multidisciplinario que retome las
aportaciones de diferentes ciencias sociales que comparten como objeto de estudio el comportamiento
humano en general y organizacional en particular.
Auditoria de Sistemas TI 2010
Revitalizar una organización implica intensificar las acciones de capacitación e incrementar la contribución
de los directivos, trabajadores y la organización como un todo, de manera que puedan hacer frente a las
exigencias de un entorno social cada vez más competitivo. La revitalización implica partir de un
diagnóstico adecuado e integral de la organización como fase previa a la implementación de cambios
planeados. La planeación de todo cambio organizacional debe incluir como una de sus primeras acciones
la realización de un diagnóstico organizacional, que sirva como punto de partida y referencia para una
retroalimentación posterior. Esta nueva filosofía de la organización ha venido a reducir la confianza
exclusiva en la autoridad de la dirección, en las reglas rígidas y en las divisiones de trabajo estrictas y
cerradas. Resaltan en cambio, como verdaderas necesidades de cambio las siguientes:
a. Involucrar a los miembros de la organización en el proceso de toma de decisiones en base a un
modelo horizontal
b. Integración de equipos de trabajo en las diferentes áreas de la organización
c. Crear, fortalecer y mantener diversos canales de comunicación organizacional, a través de los
cuales fluya la información referente al rendimiento y el entorno competitivo que rodea a la
organización.
d. Desarrollo de una identidad organizacional que aumente los niveles de compromiso y
responsabilidad a lo largo de toda la estructura ocupacional de la organización
e. Fortalecimiento del proceso de socialización organizacional con el objeto de mejorar el contrato
psicológico entre el individuo y su organización
1.5.2 Explicar el diagnostico del negocio u organización
Diagnóstico organizacional es una actividad vivencial que involucra a un grupo de personas de una
empresa o institución interesadas en plantear soluciones a situaciones problemáticas o conflictivas,
sometiéndose a un auto-análisis que debe conducir a un plan de acción concreto que permita solucionar la
situación problemática.
La base del diagnóstico organizacional es que, al igual que las personas, las empresas o instituciones
deben someterse a exámenes periódicos, para identificar posibles problemas antes de que estos se tornen
graves. Estos exámenes periódicos constituyen un sistema de control que permite optimizar el
funcionamiento de las empresas e instituciones, al identificar problemas en el funcionamiento de éstas,
surgen acciones dirigidas a su eliminación o disminución, que en conjunto constituyen una parte
importante de la planeación operativa.
De aquí se puede ver que existen tres factores importantes a tomar en cuenta cuando se realiza un
diagnóstico organizacional. Estos factores son muy importantes tanto para determinar la problemática,
como para dar soluciones a la misma y son:
Auditoria de Sistemas TI 2010
La situación de la empresa dentro del contexto de su rama industrial.
La posición de la empresa en el ciclo de vida de las organizaciones.
El sistema social que prevalece dentro de la empresa.
Asignar
recursos
Planes Realizació
detallados
n de los
Plan
estratégico
Diagnóstico
Asignación de
Incentivo responsabilidades
s y funciones
Monitoreo y control
El control interno es de importancia para la estructura administrativa contable de una empresa. Esto
asegura que tanto son confiables sus estados contables, frente a los fraudes y eficiencia y eficacia
operativa.
El sistema de control interno comprende el plan de la organización y todos los métodos coordinados y
medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y verificara la
confiabilidad de los datos contables.
Pero cuando tenemos empresas que tienen más de un dueño, muchos empleados, y muchas tareas
delegadas. Por lo tanto los dueños pierden control y es necesario un mecanismo de control interno. Este
sistema deberá ser sofisticado y complejo según se requiera en función de la complejidad de la
organización.
Con la organización de tipo multinacional, los directivos imparten órdenes hacia sus filiales en distintos
países, pero el cumplimiento de las mismas no puede ser controlado con su participación frecuente. Pero
si así fuese su presencia no asegura que se eviten los fraudes.
Entonces cuanto más se alejan los propietarios de las operaciones mas es necesario se hace la existencia
de un sistema de control interno estructurado.
Ningún sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de
acuerdo a esto, el control interno brinda una seguridad razonable en función de:
Costo beneficio:
El control no puede superar el valor de lo que se quiere controlar.
La mayoría de los controles hacia transacciones o tareas ordinarias.
Debe establecerse bajo las operaciones repetitivas y en cuanto a las extraordinarias, existe la
posibilidad que el sistema no sepa responder
•El factor de error humano
Posibilidad de conclusiones que pueda evadir los controles.
Polución de fraude por acuerdo entre dos o más personas. No hay sistema de control no
Vulnerable a estas circunstancias.
Generales: No tienen un impacto sobre la calidad de las aseveraciones en los estados contables , dado
que no se relacionan con la información Contable.
Específicos: Se relacionan con la información Contable y por lo tanto con las aseveraciones de los saldos
de los estados contables. Este tipo de controles están desde el origen de la información hasta los saldos
finales.
Conciencia de control
Estructura organizacional
Personal
Auditoria de Sistemas TI 2010
Calidad e integridad del personal que esta encargado de ejecutar los métodos y procedimientos
prescriptos por la gerencia para el logro de los objetivos. Protección de los activos y registros
Políticas adoptadas para prevenir la destrucción o acceso no autorizado a los activos, a los medios de
procesamiento de los datos electrónicos y a los datos generados. Además incluye medidas por el cual el
sistema contable debe estar protegido ante la eventualidad de desastres ( incendio , inundación, etc. )
Separación de funciones
La segregación de funciones incompatibles reduce el riesgo de que una persona este en condiciones tanto
de cometer o ocultar errores o fraudes en el transcurso normal de su trabajo. Lo que se debe evaluar para
evitar la colusión de fraudes son: autorización, ejecución , registro, custodia de los bienes, realización de
conciliaciones.
El funcionamiento de los controles generales dependía la eficacia del funcionamiento de los controles
específicos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado.
Los controles generales en el procesamiento electrónico de datos ( PED ) tiene que ver con los siguientes
aspectos.
Organización
En cuanto a la organización dentro del mismo departamento, las siguientes funciones deben estar
segregadas:
Programación del sistema operativo
Análisis, programación y mantenimiento
Operación
Ingreso de datos
Control de datos de entrada / salida
Archivos de programas y datos.
Operación y procedimientos
Deben existir controles que aseguren el procesamiento exacto y oportuno de la información contable.
Instrucciones por escrito sobre procedimiento para preparar datos para su ingreso y
procesamiento
Auditoria de Sistemas TI 2010
La función de control debe ser efectuada por un grupo específico e independiente.
Instrucciones por escrito sobre la operación de los equipos.
Solamente operadores de computador deben procesar los SIST OP.
Controles de acceso
El acceso al PED debe estar restringido en todo momento. También debe controlarse:
El acceso los equipos debe estar restringido a aquellos autorizados
El acceso de la documentación solo aquellos autorizados
El acceso a los archivos de datos y programas solo limitados a operadores
Función de Control;
En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los
auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad
con mayor visión, y realizan evaluaciones de tipo cualitativo.
Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede
ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y
los perfiles según la clase de información, permitir a dos personas intervenir como medida de control,
realizar planes de contingencias, dictar normas de seguridad informática, controla la calidad de software,
los costos, los responsables de cada departamento, control de licencias, manejo de claves De cifrado,
vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad
informática. Metodologías de clasificación de información y de obtención de procedimientos de control;
Es establecer cuáles son las entidades de información a proteger, dependiendo del grado de importancia
de la información para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas que
brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del sistema, seguridad
lógica complementaria del sistema, seguridad lógica en entornos distribuidos, control de acceso físico,
control de copias, gestión de soporte magnéticos, gestión de control de impresión y envío de listados por
Auditoria de Sistemas TI 2010
red, control de proyectos y versiones , gestión de independencia y control de cambios. Y físicos los
cifradores
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos
previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus
sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental,
pues habrá que hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos
que debe cumplir, tiempos , herramientas y conocimientos previos, así como de crear su equipo de
auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del área de informática.
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto
de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta
significativamente las técnicas a aplicar.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los
procedimientos para control del cliente.
La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un
período de tiempo determinado.
En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos
que ya sucedieron.
Se usa para:
Registrar informaciones sobre el desempeño de un proceso.
¿Cómo usarla?
Determine exactamente lo que debe ser observado.
Defina el período durante el cual los datos serán recolectados.
Construya un formulario simple y de fácil manejo para anotar los datos.
Haga la recolección de datos, registrando la frecuencia de cada ítem que está siendo observado.
Sume la frecuencia de cada ítem y regístrela en la columna Total.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los
escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el
trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de
sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar
Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno
de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos
débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto,
bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas,
en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los
puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas
complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las
notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su
presencia.
Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y ejecutar la
implantación de un Sistema de Seguridad.
Auditoria de Sistemas TI 2010
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las
actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la
función informática, así como el resguardo de los activos de la empresa.
La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su
funcionalidad, racionalidad y seguridad.
Seguridad lógica.
Seguridad física.
Seguridad de las comunicaciones.
Técnicas:
Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y
contratos de seguros.
Entrevistas con directivos y personal.
Consultas a técnicos y peritos.
Fases de la Auditoria:
Alcance de la Auditoría
Adquisición de Información General
Administración y Planificación
Plan de Auditoría
Resultado de las Pruebas
Conclusiones y Comentarios
Borrador de Informe
Discusión con los Responsables de Área
Informe Final
Auditoria de Sistemas TI 2010
Una vez que se han buscado proveedores, se procede a la selección de los más adecuados; esto implica
el estudio exhaustivo de los posibles proveedores y su eliminación sucesiva basándose en los criterios de
selección que se hayan elegido, hasta reducir la cantidad a unos pocos proveedores. Con la información
que se recabe en el proceso de selección se realiza el siguiente trabajo:
Una ficha de cada proveedor para formar un fichero de proveedores en el que se reflejarán las
características de los artículos que cada proveedor puede suministrar y las condiciones
comerciales que ofrece.
El organismo de compras debe tener un fichero o banco de datos sobre los proveedores registrados, que
contengan los abastecimientos que hayan efectuado y las condiciones en que se negocio, este fichero
debe permitir una evaluación del mercado de proveedores para cada material como modelo para comprar
las características de cada proveedor potencial.
La selección del proveedor más adecuado dentro de los investigados consiste en comparar las diversas
propuestas y cotizaciones de venta de varios proveedores y escoger cual es el que mejor atiende a las
conveniencias de la empresa, condiciones de pago, posibles descuentos, plazos de entrega, etc.
Una vez escogido el proveedor, compras comienzan a negociar con la adquisición del material requerido,
dentro de las condiciones más adecuadas del precio de pago. La negociación sirve para definir como se
hará la emisión del pedido de compra del proveedor.
El pedido de compra es un contrato formal entre la empresa y el proveedor, en donde se especifican las
condiciones en que se hizo la negociación. El comprador es el responsable de las condiciones y
especificaciones contenidas en el pedido de compra.
Hecho el pedido de compra, el organismo de compras necesita asegurarse de que la entrega del material
se hará dentro de los plazos establecidos y en la cantidad y calidad negociadas, debe haber un
acompañamiento o seguimiento del pedido, a través de constantes contactos personales o telefónicos con
el proveedor, para conocer el avance de la producción del material requerido, este seguimiento representa
una constante supervisión del pedido y una cobranza permanente de resultados, esto permite localizar
anticipadamente problemas y evitar sorpresas desagradables, pues a través de el, compras puede
asegurar el pedido, exigir la entrega en los plazos establecidos o intentar complementar el atraso con
oreos proveedores.
Para la selección de los proveedores se utilizan básicamente criterios económicos y de calidad, aunque se
puede utilizar una combinación de ambos.
Criterios económicos
La selección se realiza teniendo en cuenta el precio de los artículos, los descuentos comerciales, el pago
de los gastos ocasionados (transporte, embalajes, carga y descarga, etc.), los descuentos por volumen de
compra (rappels) y los plazos de pago.
Se elegirá el proveedor cuyo precio final sea más bajo. Lógicamente, cuando dos productos reúnan las
mismas condiciones económicas, se elegirá el de mayor calidad.
Criterios de calidad
Cuando a la hora de la selección el proveedor le conceda una gran importancia a la calidad de los
artículos, éstos han de ser sometidos a un meticuloso estudio comparativo de sus características técnicas,
analizar muestras, realizar pruebas, etcétera. Este criterio se utiliza cuando lo que prima en la empresa es
conseguir un producto de una determinada calidad, que no tiene que ser necesariamente la mejor, sino la
que interese al comprador en ese momento.
También se utilizan criterios de calidad cuando el producto ha de responder a unas características técnicas
determinadas. Cuando los artículos sean de la misma calidad se elegirá el que resulte más económico.
Auditoria de Sistemas TI 2010
No siempre la oferta más barata es la más conveniente, puesto que también se pueden considerar como
parámetros de calidad aspectos no directamente relacionados con los productos como, por ejemplo:
servicio postventa, periodo de garantía, imagen que el producto y el proveedor tengan en el mercado,
existencia de servicios de atención al cliente, etcétera. También se toman en cuenta del proveedor, su
prestigio, localización, instalaciones, fuerza técnica, capacidad financiera y nivel organizativo y de
administración.
2.4 Licenciamiento del Software
Licenciante
Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasía
quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del
software.
Titular de los derechos de explotación: Es la persona natural o jurídica que recibe una cesión de
los derechos de explotación de forma exclusiva del software desde un tercero, transformándolo en
titular derivado y licenciante del software.
Distribuidor: Es la persona jurídica a la cual se le otorga el derecho de distribución y la posibilidad
de generar sublicencias del software mediante la firma de un contrato de distribución con el titular
de los derechos de explotación.
Garantía de titularidad
Es la garantía ofrecida por el licenciante o propietario, en la cual, asegura que cuenta con suficientes
derechos de explotación sobre el software como para permitirle proveer una licencia al licenciatario.
Licenciatario
Auditoria de Sistemas TI 2010
El licenciatario o usuario-licenciatario es aquella persona física o jurídica que se le permite ejercer el
derecho de uso más algún otro derecho de explotación sobre un determinado software cumpliendo las
condiciones establecidas por la licencia otorgada por el licenciante.
Usuario consumidor: Persona natural que recibe una licencia de software otorgada por el licenciante, la
cual, se encuentra en una posición desventajosa ante los términos y condiciones establecidas en ella.
Usuario profesional o empresa: Persona natural o jurídica que recibe una licencia de software otorgada por
el licenciante, la cual, se encuentra en igualdad de condiciones ante el licenciante para ejercer sus
derechos y deberes ante los términos y condiciones establecidos en la licencia.
Plazo
El plazo determina la duración en el tiempo durante la cual se mantienen vigentes los términos y
condiciones establecidos en licencia. Las licencias en base a sus plazos se pueden clasificar en:
Licencias con plazo específico.
Licencias de plazo indefinido.
Licencias sin especificación de plazo.
Precio
El precio determina el valor el cual debe ser pagado por el licenciatario al licenciante por el concepto de la
cesión de derechos establecidos en la licencia.
Cuando se utiliza el término Hardware se están englobando todos los aspectos materiales, es decir, que
se “VEN” y se “TOCAN” dentro la función informática de la Empresa.
La evaluación del Software en una empresa va a permitir determinar si este esta siendo bien utilizado
Revisar cada cuando se le da mantenimiento, y si el que se le brinda es confiable y seguro.
Si todos los cambios son suficientemente controlados.
El Auditor debe someter a evaluaciones periódicas el software operativo y deberá obtener resultados que
le permitan asegurarse de las fortalezas del Software.
Auditoria de Sistemas TI 2010
2.5.1 Describir las características del Hardware y software apropiado para
tareas específicas
El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el
software, la computadora sería un conjunto de medios sin utilizar.
Sus Componentes:
Procesamiento de texto
Bases de datos
Graficas
Servicios en línea
Programas
Consta de:
1.- Evaluación de los Sistemas
2.- Evaluación de los equipos
Capacidades
Utilización
Seguridad y evaluación física y lógica
3.- Evaluación de la Seguridad
4.-La seguridad en la informática
5.- La seguridad lógica
En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el
análisis.
Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el
momento de la planeación.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el
análisis.
Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el
momento de la planeación.
El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
La situación de una aplicación en dicho inventario puede ser alguna de las siguientes:
Planeada para ser desarrollada en el futuro.
En desarrollo.
En proceso, pero con modificaciones en desarrollo.
En proceso con problemas detectados.
En proceso sin problemas.
En proceso esporádicamente.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?
Auditoria de Sistemas TI 2010
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.
BASES DE DATOS.
Fases:
1. Análisis de requisitos.
2. Diseño conceptual.
3. Elección del sistema gestor de bases de datos.
4. Diseño lógico.
5. Diseño físico.
6. Instalación y mantenimiento.
2.7.1 Reconocer los elementos que debe contener una red local con base en el
estándar ANSI/TIA 569 A y B
Auditoria de Sistemas TI 2010
ANSI/TIA/EIA-568-A
Alambrado de Telecomunicaciones para Edificios Comerciales
Este estándar define un sistema genérico de alambrado de telecomunicaciones para edificios comerciales
que puedan soportar un ambiente de productos y proveedores múltiples.
El estándar especifica:
Requerimientos mínimos para cableado de telecomunicaciones dentro de un ambiente de oficina
Topología y distancias recomendadas
Parámetros de medios de comunicación que determinan el rendimiento
La vida productiva de los sistemas de telecomunicaciones por cable por más de 10 años (15
actualmente)
ANSI/TIA/EIA-568-B
El estándar TIA/EIA-568-B se publica por primera vez en 2001. Sustituyen al conjunto de estándares
TIA/EIA-568-A que han quedado obsoletos.
TIA/EIA-568-B tres estándares que tratan el cableado comercial para productos y servicios de
telecomunicaciones. Los tres estándares oficiales: ANSI/TIA/EIA-568-B.1-2001, -B.2-2001 y -B.3-2001.
El contenido de 568-B.3 se refiere a los requerimientos de rendimiento mecánico y de transmisión del
cable de fibra óptica, hardware de conexión, y cordones de conexión, incluyen el reconocimiento de la fibra
multi-modo y el uso de conectores de fibra de factor de forma pequeño
TIA/EIA 568-B.3
Cables de fibra
se reconoce la fibra de 50 mm
se reconocen tanto la fibra multimodo como la modo-simple para el área de trabajo
Conectores de fibra
el conector 568SC dúplex permanece como estándar en el área de trabajo
otros conectores pueden se usados en otro sitios
Auditoria de Sistemas TI 2010
Deben con Fiber Optic Connector Intermateability Standard (FOCIS)
2.7.2 Reconocer los elementos que debe contener una red inalámbrica con
base en el estándar ANSI EIA/TIA 802.11x
Una red inalámbrica 802.11 está basada en una arquitectura celular en la que el sistema se divide en
células llamadas BSS (Basic Service Set). Cada célula está controlada por una estación base llamada AP
(Access Point).
Un sistema puede constar de una o varias células; en el caso pluricelular los diferentes AP se conectan
entre sí mediante un backbone llamado DS (Distribution System), típicamente Ethernet, aunque en
algunos casos también puede ser inalámbrico.
Todo este conjunto de células interconectadas se ve como una única red desde los protocolos de las
capas superiores, y se llama ESS (Extended Service Set). Cada ESS tiene un identificador conocido como
SSID, que debe ser el mismo en todos los AP del ESS.
El protocolo 802.11 puede utilizarse para soportar la conexión inalámbrica de puntos de acceso, de forma
que el sistema de distribución se vuelve inalámbrico. Esta opción recibe el nombre de WDS (Wireless
Distribution System). Los AP que soportan WDS pueden actuar con dos funciones: bridge inalámbrico o
repetidor.
El protocolo 802.11 define la capa física y la capa MAC. Hay distintas posibilidades para la capa física
dependiendo del tipo de red (a, b, g, h), e incluso distintas opciones dentro del mismo tipo. Actualmente el
tipo más común es el 802.11b, cuyas características de la capa física son:
La capa MAC, además de la funcionalidad típica de estas capas, realiza funciones que normalmente se
implementan en capas superiores: fragmentación, retransmisión de paquetes, y asentimientos .Esto es así
debido a las características de los enlaces radio, con errores altos, que aconsejan un tamaño pequeño de
los paquetes, pero debiéndose preservar desde el punto de vista de las capas superiores los paquetes de
1.518 bytes típicos de Ethernet.
Este estándar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y edificios:
Auditoria de Sistemas TI 2010
Los edificios son dinámicos. Durante la existencia de un edificio, las remodelaciones son más la
regla que la excepción. Este estándar reconoce, de manera positiva, que el cambio ocurre.
Los sistemas de telecomunicaciones y de medios son dinámicos. Durante la existencia de un
edificio, los equipos de telecomunicaciones cambian dramáticamente. Este estándar reconoce
este hecho siendo tan independiente como sea posible de proveedores de equipo.
Telecomunicaciones es más que datos y voz. Telecomunicaciones también incorpora otros
sistemas tales como control ambiental, seguridad, audio, televisión, alarmas y sonido. De hecho,
telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan información en
los edificios.
Objetivo
Estandarizar las prácticas de construcción y diseño.
Provee un sistema de soporte de telecomunicaciones que es adaptable a cambios durante la vida útil de la
instalación.
Alcance
Trayectorias y espacios en los cuales se colocan y terminan medios de telecomunicaciones.
Trayectorias y espacios de telecomunicaciones dentro y entre edificios.
Diseño de edificios comerciales para viviendas unifamiliares y multifamiliares.
Es la que se encarga de las conexiones físicas de la computadora hacia la red, tanto en lo que se refiere al
medio físico como a la forma en la que se transmite la información.
Esta capa se ocupa del direccionamiento físico, de la topología de la red, del acceso a la red, de la
notificación de errores, de la distribución ordenada de tramas y del control del flujo.
El objetivo de la capa de red es hacer que los datos lleguen desde el origen al destino, aún cuando ambos
no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan encaminadores,
aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores. Los routers
trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo
Auditoria de Sistemas TI 2010
de la función que se le asigne. Los firewalls actúan sobre esta capa principalmente, para descartar
direcciones de máquinas.
Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la
máquina origen a la de destino, independizándolo del tipo de red física que se esté utilizando. La PDU de
la capa 4 se llama Segmento o Datagrama, dependiendo de si corresponde a TCP o UDP. Sus protocolos
son TCP y UDP; el primero orientado a conexión y el otro sin conexión.
Esta capa es la que se encarga de mantener y controlar el enlace establecido entre dos computadores que
están transmitiendo datos de cualquier índole.
Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás capas y define los
protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP),
gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones
distintas y puesto que continuamente se desarrollan nuevas aplicaciones el número de protocolos crece
sin parar.
Modelo TCP/IP
El Protocolo de Internet (IP) y el Protocolo de Transmisión (TCP), fueron desarrollados inicialmente en
1973 por el informático estadounidense Vinton Cerf como parte de un proyecto dirigido por el ingeniero
norteamericano Robert Kahn y patrocinado por la Agencia de Programas Avanzados de Investigación
(ARPA, siglas en inglés) del Departamento Estadounidense de Defensa. Internet comenzó siendo una red
informática de ARPA (llamada ARPAnet) que conectaba redes de ordenadores de varias universidades y
laboratorios en investigación en Estados Unidos. World Wibe Web se desarrolló en 1989 por el informático
británico Timothy Berners-Lee para el Consejo Europeo de Investigación Nuclear (CERN, siglas en
francés).
DEFINICION TCP / IP
Se han desarrollado diferentes familias de protocolos para comunicación por red de datos para los
sistemas UNIX. El más ampliamente utilizado es el Internet Protocol Suite, comúnmente conocido como
TCP / IP.
Es un protocolo DARPA que proporciona transmisión fiable de paquetes de datos sobre redes. El nombre
TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el
Auditoria de Sistemas TI 2010
Internet Protocol (IP). Todos juntos llegan a ser más de 100 protocolos diferentes definidos en este
conjunto.
Las capas están jerarquizadas. Cada capa se construye sobre su predecesora. El número de capas y, en
cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier
red, la misión de cada capa es proveer servicios a las capas superiores haciéndoles transparentes el modo
en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su
nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien
devuelve resultados.
Capa 4 o capa de aplicación: Aplicación, asimilable a las capas 5 (sesión), 6 (presentación) y 7 (aplicación)
del modelo OSI.la capa de aplicación debía incluir los detalles de las capas de sesión y presentación OSI.
Crearon una capa de aplicación que maneja aspectos de representación, codificación y control de diálogo.
Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI.
Capa 2 o capa de red: Internet, asimilable a la capa 3 (red) del modelo OSI.
Capa 1 o capa de enlace: Acceso al Medio, asimilable a la capa 1 (física) y 2 (enlace de datos) del modelo
OSI.
Dado el constreñimiento del tiempo nos podemos estar debajo durante un contrato y el número de
anfitriones dentro del alcance, puede ser necesario centrarse inicialmente en los anfitriones críticos. Sin
embargo, si el pelado abajo de la lista de la blanco necesita ser hecho, él se hace generalmente durante el
paso siguiente.
Nota: Es importante tomar en la consideración que los resultados del silbido de bala autoritariamente no
demuestran a que un anfitrión está abajo. En la luz de esto, si hay alguna duda si el target(s) está filtrado o
protegido con eficacia contra silbido de bala o está realmente abajo, recomendamos el continuar con una
exploración portuaria. Mantenga el número de puertos tales exploraciones abajo que estas exploraciones
tiendan para tomar a una cantidad de tiempo más larga. Si es necesario explorar una gran cantidad de
puertos en los anfitriones insensibles, es el mejor hacer esto durante la noche.
En el extremo de esta etapa, tenemos gusto de poder documentar todos los anfitriones de la blanco (vivos
y de otra manera) en una tabla junto con el OS, el IP address, los usos corrientes, cualquier información de
la bandera disponible, y vulnerabilidades sabidas. Esta información es útil durante la etapa de la
Auditoria de Sistemas TI 2010
explotación y para la presentación al cliente de modo que el cliente sea enterado de las vulnerabilidades
en la red y la cantidad de información que un forastero puede recopilar antes de comprometer la red.
Identificando el sistema operativo, podemos procurar predecir los servicios que pueden funcionar en el
anfitrión y adaptar nuestras exploraciones del puerto basadas en esta información. Nmap, la herramienta
principal usada para realizar la identificación del OS, hace esto analizando la respuesta del apilado del
TCP de la blanco a los paquetes que Nmap envió. Vario RFCs gobierna cómo el apilado del TCP debe
responder cuando está preguntado. Sin embargo, los detalles de la puesta en práctica se dejan al
vendedor. Por lo tanto, las diferencias en cómo los vendedores satisfacen el RFCs permiten que sean
identificados. Mientras que este método no es a toda prueba, la detección del OS de Nmap es bastante
confiable y aceptada bien por la industria. Cambiar la firma del OS de una computadora es posible pero no
trivial, y no ha sido nuestra experiencia que las compañías realizan este nivel de enmascarar.
De los resultados de la exploración portuaria, ganamos una lista de puertos abiertos en las máquinas
receptoras. Un puerto abierto no indica enteramente lo que puede ser activo el servicio que escucha. Los
puertos debajo de 1024 se han asignado a los varios servicios y si éstos se encuentran abiertos, indican
generalmente el servicio asignado. Además, otros usos se han funcionado en ciertos puertos para tan de
largo que se han convertido en el estándar de hecho, tal como puerto 65301 para el pcAnywhere y 26000
para el temblor. Por supuesto los administradores de sistema pueden cambiar el puerto que un servicio
funciona encendido en una tentativa “de ocultarla” (un ejemplo de la seguridad con oscuridad). Por lo
tanto, procuramos conectar con el puerto abierto y asir una bandera para verificar el funcionamiento del
servicio.
Una vez que la lista de usos se sepa, el paso siguiente es investigar la lista y determinarse existen qué
vulnerabilidades. Mientras que usted realiza pruebas de penetración, usted hace familiar con ciertas
vulnerabilidades populares y puede determinarse rápidamente si un uso es vulnerable. Sin embargo, es
importante tener presente que las nuevas vulnerabilidades están fijadas sobre una base diaria, y usted
debe comprobar sus bases de datos preferidas de la vulnerabilidad para saber si hay todos los usos,
servicios, y sistemas operativos que usted encuentra en cada contrato.
AUDITORIA LOGICA
En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.
La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en
cada una de las siguientes facetas:
Permite al auditor constatar la existencia real de los activos y la calidad de los mismos,
Física mediante la inspección ocular. Puede haber ocasiones en que el auditor necesite
apoyarse en personas técnicas, peritos, etc.
Se obtiene a través del contacto personal con los distintos responsables y empleados de
la compañía y con terceras personas independientes. Este tipo de evidencia sirve para
Verbal detectar puntos débiles y conflictivos en el sistema permitiendo iniciar una investigación
sobre los mismos.
Condiciona el alcance del trabajo de auditoria, su evaluación determina el nivel de
pruebas que el auditor deberá realizar. La evidencia de un sistema de control interno
Control interno eficaz y que además se cumpla, constituye para el auditor una evidencia válida del
correcto funcionamiento de la empresa.
Mayores y diarios Esta evidencia depende del grado de control interno exigidos en su preparación.
El informe de auditoría financiera tiene como objetivo expresar una opinión técnica de las cuentas anuales
en los aspectos significativos o importantes, sobre si éstas muestran la imagen fiel del patrimonio, de la
situación financiera y del resultado de sus operaciones, así como de los recursos obtenidos y aplicados
durante el ejercicio.
Opinión Desfavorable
Auditoria de Sistemas TI 2010
La opinión desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su
conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las
operaciones o de los cambios de la situación financiera de la entidad auditada, de conformidad con los
principios y normas contables generalmente aceptados.
Opinión Denegada
Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinión sobre las cuentas
anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinión
sobre las mismas.
Capítulo I
1. Definiciones
Las Entidades sectorizadas en el Sector Salud, es decir los Institutos Nacionales de Salud definidos por la
Ley de los Institutos Nacionales de Salud, así como el Hospital General de México y el Hospital General
Dr. Manuel Gea González, con personalidad jurídica y patrimonio propios, que tienen como objeto principal
la investigación científica en el campo de la salud, la formación y capacitación de recursos humanos
Auditoria de Sistemas TI 2010
calificados y la prestación de servicios de atención médica de alta especialidad, y cuyo ámbito de acción
comprende todo el territorio nacional.
e) Actividades de Investigación: Las que se realicen con el propósito de generar conocimientos sobre la
salud o la enfermedad para su aplicación inmediata o mediata en la atención médica.
h) Actividades de carácter académico: Las que incluyan la participación especializada del personal, como
entrenamientos técnicos, impartición de conferencias, asesorías técnicas y profesionales, evaluación de
pruebas e instrumentos de investigación, procesamiento y análisis de muestras, análisis estadísticos de
datos y servicios de informática electrónica.
j) Patronato: El órgano de apoyo de los Órganos de Gobierno de las Entidades que contribuye a la
obtención de recursos para coadyuvar en el cumplimiento de los objetivos institucionales y cuyo
funcionamiento se contiene en la Ley de Institutos Nacionales de Salud y en los decretos de creación de
los hospitales generales.
k) Personal Académico: Todo aquel que realiza funciones directas o de apoyo en actividades académicas
de enseñanza e investigación.
l) Personal Operativo: Todo aquel no comprendido en el inciso anterior que realice funciones asistenciales,
de apoyo o de administración en las actividades sustantivas y adjetivas de la Entidad.
o) Disponibilidad: Son los recursos no ejercidos en el ejercicio fiscal de que se trate, por lo que al témino
del mismo adquirieren el estatus de disponibilidad final y de disponibilidad inicial al comienzo de un nuevo
Auditoria de Sistemas TI 2010
ejercicio fiscal; cuyos montos permanecerán en la Tesorería del Organismo Descentralizado, y su ejercicio
estará sujeto a la autorización expresa de la
Secretaría, en función de la normatividad presupuestaria aplicable.
p) Responsable del Proyecto: El Servidor Público designado por el Director General del Organismo Público
para fungir como encargado directo del desarrollo de un proyecto financiad con recursos externos con fin
específico.
2. Registro e Información
a) Ningún servidor público del Organismo Descentralizado podrá recibir a título personal recursos
externos.
b) Los recursos externos en efectivo que reciba el Organismo Descentralizado se deberán controlar en
registros contables y presupuestales, así como en cuentas bancarias independientes de los recursos
federales. Los recursos externos forman parte del presupuesto del Organismo Descentralizado, por lo que
su registro se deberá consignar en el ingreso-gasto del flujo de efectivo correspondiente y por lo tanto
quedarán debidamente identificados en los reportes del sistema integral de información como ingresos
diversos.
c) Los recursos externos con fin determinado se administrarán como un proyecto específico de enseñanza,
asistencial o de otras actividades académicas o asistenciales aplicados durante el ejercicio fiscal en curso,
y su registro presupuestal se realizará conforme a las disposiciones establecidas por el Manual.
d) Aunque los recursos externos son de captación extraordinaria, el Organismo Descentralizado realizará
una proyección o estimación anual de su monto, así como de su probable ejercicio, para ser incorporados
como ingresos diversos en el flujo de efectivo del Anteproyecto de Presupuesto anual.
e) El Organismo Descentralizado deberá informar en las sesiones ordinarias del Órgano de Gobierno
sobre la captación y aplicación real de los recursos externos.
f) La Dirección de Administración del Organismo Descentralizado será responsable del adecuado manejo
de los recursos externos.
a) Informar al responsable del proyecto, dentro de las 24 horas siguientes a la captación, del depósito y
registro de los recursos externos en las cuentas bancarias autorizadas del Organismo Descentralizado
para este fin.
Auditoria de Sistemas TI 2010
b) Obtener y conservar por el tiempo que determinen las leyes, la documentación comprobatoria de la
captación y aplicación de los recursos externos, para su verificación e integración.
c) Conservar permanentemente actualizados los registros contables y auxiliares por cada proyecto,
incluyendo activos fijos.
e) Elaborar los informes financieros globales y por proyecto, con el nivel de detalle que requiera la
Coordinadora Sectorial, la Secretaría y la Contraloría, en todos los casos previa
Conciliación con el responsable del proyecto.
a) Informar al Director General del Organismo Público Descentralizado sobre el avance y desarrollo del
proyecto.
b) Contratar al personal con cargo a los recursos externos que participe en el proyecto, a través de la
Subdirección de Administración y Desarrollo de Personal, sujetándose a lo dispuesto en estos
Lineamientos y demás disposiciones legales aplicables. Estas contrataciones en razón de su naturaleza
civil, sólo podrán hacerse bajo el régimen de honorarios por tiempo o por obra determinada, por lo que los
contratos que los amparen sólo consignarán el derecho al pago de los emolumentos convenidos sin
ninguna otra prestación adicional, ni podrán pagarse con recursos fiscales o transformarse en plazas
presupuestarias. Ningún contrato de honorarios podrá exceder el 31 de diciembre de cada ejercicio fiscal.
c) Validar los informes sobre el avance financiero del proyecto que elabore la Dirección de Administración
del Organismo Descentralizado, en los términos requeridos por el Órgano de Gobierno, la Coordinadora
Sectorial, la Secretaría o la Contraloría.
d) Integrar el informe de avance físico del proyecto, en los términos requeridos por el Órgano de Gobierno,
la Coordinadora Sectorial, la Secretaría o la Contraloría.
e) Fijar, en coordinación con el aportante de los recursos y el Organismo Descentralizado, los términos y
condiciones para la distribución de los recursos del proyecto en gastos de operación, servicios personales
y gastos de inversión; en todos los casos se incluirá una cantidad que no exceda de 15% del total del
monto del proyecto como aportación al Organismo Descentralizado, para cubrir los costos de
administración del proyecto.
f) Vigilar que los recursos externos asignados al proyecto sean suficientes para su conclusión; de ninguna
manera se le podrá asignar recursos fiscales o propios.
Capítulo II
Del control de los recursos externos y su ejercicio
5. El gasto derivado de recursos externos con o sin fin específico se sujetará en su ejercicio y control a lo
dispuesto por la normatividad vigente, incluida la adquisición de bienes y servicios, ejecución de obra
pública y servicios personales.
6. El proceso de registro, aplicación e información de los recursos externos a que se refieren estos
Lineamientos podrá ser sujeto de revisiones por las diferentes instancias fiscalizadoras.
7. El responsable del proyecto dispondrá de hasta el 85% de los recursos externos obtenidos y asignados
a sufragar las erogaciones necesarias para el cumplimiento de los objetivos del proyecto. La disposición
de estos recursos se sujetará a lo referido en el numeral 10 de estos Lineamientos.
8. El 15% de los recursos externos obtenidos o asignados a un proyecto con fin específico, se destinará a
los gastos de administración directos e indirectos siguientes:
9. Los recursos externos que perciba el Organismo Descentralizado y los productos financieros que éstos
generen deberán manejarse conforme a las disposiciones vigentes sobre disponibilidades financieras.
10. Todo gasto efectuado con recursos externos, deberá estar amparado con la documentación
comprobatoria correspondiente, debidamente requisitada conforme a los procedimientos y políticas
establecidas en los manuales de operación del Organismo Descentralizado y en la normatividad
presupuestaria y fiscal aplicable.
Auditoria de Sistemas TI 2010
11. Las erogaciones correspondientes a los recursos externos se efectuarán a través de la Dirección de
Administración, a excepción de los gastos de carácter urgente, los que podrán realizarse por el
responsable del proyecto, previa autorización de la Dirección de Administración.
En ningún caso el monto del gasto urgente podrá ser mayor al 10% del costo total del proyecto.
Capítulo III
De los recursos humanos
13. El responsable del proyecto propondrá al Director General del Organismo Descentralizado, al personal
del mismo Organismo Descentralizado que colaborará en el desarrollo del mismo, indicando las
actividades, remuneración asignada y la duración del proyecto. La relación de personal deberá contar con
el visto bueno del director o responsable del área de que se trate.
14. Para la ejecución de los proyectos con fin específico, las contrataciones del personal del Organismo
Descentralizado serán realizadas por tiempo u obra determinada mediante un contrato de honorarios,
conforme a la legislación y disposiciones presupuestarias y fiscales vigentes.
15. El personal del Organismo Descentralizado que participe en el desarrollo de proyectos Financiados
con recursos externos, tendrá definidas las funciones a realizar; en contraprestación recibirá una
remuneración. Esta participación siempre requerirá la opinión favorable de las áreas jurídicas y de
recursos humanos, quienes definirán, conforme a norma, los tiempos dentro o fuera de la jornada laboral.
16. Toda remuneración a los servidores públicos derivada de recursos externos, deberá considerar la
retención y entero de los impuestos correspondientes, de conformidad con las disposiciones fiscales y
laborales aplicables. Dicho pago será independiente y no creará derechos para el trabajador, ni
responsabilidad de tipo laboral o salarial para el Organismo Descentralizado
a) Podrán recibir compensación los mandos medios (jefes de departamento, subdirectores y directores de
área) y superiores (director general) cuando participen directamente en un proyecto con fin específico,
siempre que esas actividades no vayan en detrimento de las funciones que tengan asignadas por la plaza
presupuestaria que ocupen.
b) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será
hasta 1.5 veces el salario integrado vigente de la plaza que ocupe.
Auditoria de Sistemas TI 2010
B. Para el personal académico:
a) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será
hasta 1.5 veces de su salario integrado vigente.
a) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será
hasta 1.5 veces su salario vigente.
18. El monto máximo de remuneración mensual se asignará con base en la responsabilidad dentro del
proyecto y el tiempo adicional a su jornada laboral la cual no podrá ser mayor a cuatro horas diarias. El
personal que participe en el desarrollo de un proyecto específico estará sujeto a los controles establecidos
por el Organismo Descentralizado.
Capítulo IV
Del Activo Fijo
19. Los bienes muebles e inmuebles adquiridos con recursos externos, en todos los casos, formarán parte
del patrimonio del Organismo Descentralizado, por lo que deberán estar debidamente inventariados y
resguardados conforme a la normatividad vigente.
Transitorios
SEGUNDO. Los presentes lineamientos se aplicarán a los recursos que se reciban a partir de su entrada
en vigor, los estudios o trabajos que actualmente se vienen realizando con aportaciones externas se
ajustarán en un plazo no mayor de 180 días naturales después de su entrada en vigor.
TERCERO. Se concede un plazo de 90 días naturales para que se actualice el manual de procedimientos
para el registro, operación e información sobre recursos externos.