Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Propuesta de implantacin del rea de auditora en informtica en un rgano legislativo: Seminario de auditora en informtica, informe de titulacin
Yuritzin Aguirre Snchez
Tabla de contenidos
Resumen .................................................................................................................................... vii Summary ..................................................................................................................................... ix Introduccin ................................................................................................................................. xi 1. Descripcin del rgano legislativo y de su organo interno de control ..................................................... 1 H. Cmara de Diputados .......................................................................................................... 1 Antecedentes ................................................................................................................. 1 Legislacin ................................................................................................................... 2 rganos de gobierno y estructura tcnica y administrativa ...................................................... 2 Estructura orgnica general .............................................................................................. 2 Conformacin actual ....................................................................................................... 3 Contralora Interna de la Cmara de Diputados ............................................................................ 4 Legislacin ................................................................................................................... 4 Estructura orgnica ......................................................................................................... 4 Objetivo y funciones ....................................................................................................... 5 Subcontralora de Auditora ...................................................................................................... 6 Legislacin ................................................................................................................... 6 Estructura orgnica general .............................................................................................. 7 Objetivo ....................................................................................................................... 8 Funciones ..................................................................................................................... 8 Metas .......................................................................................................................... 9 Misin ....................................................................................................................... 10 Visin ........................................................................................................................ 10 Debilidades y fortalezas ................................................................................................. 10 Riesgos ...................................................................................................................... 11 Controles .................................................................................................................... 12 Tecnologa informtica actual de la Subcontralora de Auditora ............................................ 13 Recursos humanos y capacitacin .................................................................................... 13 2. Descripcin del rea de sistemas .................................................................................................. 15 Normatividad actual .............................................................................................................. 15 Recursos informticos existentes del rea de sistemas .................................................................. 16 Hardware. ................................................................................................................... 16 Software ..................................................................................................................... 16 Infraestructura informtica ............................................................................................. 16 Recursos humanos y capacitacin .................................................................................... 17 Estructura orgnica ............................................................................................................... 17 Misin ....................................................................................................................... 17 Visin ........................................................................................................................ 18 Objetivos y metas ......................................................................................................... 18 Funciones y servicios .................................................................................................... 18 Estrategias .................................................................................................................. 19 Fortalezas y debilidades ......................................................................................................... 19 Riesgos .............................................................................................................................. 20 Controles y mecanismos de seguridad ...................................................................................... 20 3. Legislacin informtica, mejores prcticas y tcnicas de auditora informtica ...................................... 22 Legislacin informtica ......................................................................................................... 22 Institute of System Audit and Association, ISACA .............................................................. 22 Instituto Mexicano de Auditores Internos, IMAI ................................................................. 23 Institute of Internal Auditors, IIA ..................................................................................... 24 Certified Internal Auditor, CIA ........................................................................................ 24 Mejores prcticas de la auditora en informtica ......................................................................... 25 Aseguramiento de la informacin .................................................................................... 26 Aseguramiento de la calidad de la informacin ................................................................... 26 Control Objectives for Information and related Technology, COBIT ....................................... 27 Information Technology Infraestructure Library, ITIL .......................................................... 28 BS 7799 e ISO 17799 .................................................................................................... 29
iii
Propuesta de implantacin del rea de auditora en informtica en un rgano legislativo British Standard BS 15000 ............................................................................................. 30 Committee of Sponsoring Organizations, COSO ................................................................ 31 Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAGERIT ........... 32 Sarbanes-Oxley, SOX .................................................................................................... 32 Normas, tcnicas y procedimientos de auditora en informtica. .................................................... 34 Normas. ...................................................................................................................... 34 Tcnicas. .................................................................................................................... 35 Procedimientos. ........................................................................................................... 35 Anlisis de datos. ......................................................................................................... 36 Monitoreo. .................................................................................................................. 37 Anlisis de bitcoras. .................................................................................................... 38 Tcnicas de auditora asistida por computadora .................................................................. 39 Evaluacin del control interno. ........................................................................................ 39 Benchmarking ............................................................................................................. 40 Computer Assisted Audit Techniques CAAT .............................................................................. 42 Tcnicas para analizar programas .................................................................................... 43 Planificacin de CAAT .................................................................................................. 44 Utilizar CAAT (realizacin de auditora) ........................................................................... 45 Documentacin de CAAT (worksheets) ............................................................................ 46 Informe/reporte descripcin de los CAAT ......................................................................... 46 Tipos de herramientas CAAT .......................................................................................... 47 4. Anlisis de informacin .............................................................................................................. 64 Anlisis de consecuencias y riesgos ......................................................................................... 64 Seleccin de mejores prcticas ................................................................................................ 65 Anlisis de la aplicacin de CAAT ........................................................................................... 65 Estudio de costo-beneficio ............................................................................................. 66 Anlisis de la aplicacin de cuestionarios .......................................................................... 69 5. Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo ...................... 72 Propuesta de creacin del rea de auditora informtica ................................................................ 72 Objetivo ..................................................................................................................... 73 Justificacin de la creacin del rea ................................................................................. 73 Modificacin a la normatividad existente .......................................................................... 73 Estructura orgnica de la Subcontralora de Auditora .......................................................... 74 Misin, visin y funciones del rea de Auditora Informtica. ............................................... 75 Tipos de auditora que realizar el rea de Auditora Informtica. ........................................... 76 Requerimientos para creacin del rea de Auditoria Informtica ............................................ 78 Requerimientos de hardware y software ............................................................................ 79 Requerimientos de personal ............................................................................................ 79 Pasos a realizar para la implantacin del rea ..................................................................... 79 Propuesta de mejor prctica .................................................................................................... 80 Justificacin ................................................................................................................ 80 Objetivo ..................................................................................................................... 80 Propuesta de herramienta CAAT .............................................................................................. 80 6. Conclusin .............................................................................................................................. 82 7. Bibliografa .............................................................................................................................. 83 Referencias en Internet .......................................................................................................... 84 Glosario de trminos ..................................................................................................................... 85 A. Cotizacin de proveedores ......................................................................................................... 90 B. Formato de cuestionario ............................................................................................................. 91 C. Cuestionarios respondidos .......................................................................................................... 92 D. Anlisis de cuestionarios respondidos ........................................................................................... 93
iv
Lista de figuras
1.1. Estructura orgnica general de la Cmara de Diputados ................................................................... 3 1.2. Conformacin de la H. Cmara de Diputados LIX Legislatura .......................................................... 3 1.3. Estructura orgnica de la Contralora Interna de la Cmara de Diputados ............................................ 5 1.4. Estructura orgnica de la Subcontralora de Auditora ...................................................................... 8 2.1. Conformacin actual del rea de sistemas .................................................................................... 15 2.2. Estructura orgnica de la Direccin General de S.I. ....................................................................... 17 3.1. Flujo de un CAAT .................................................................................................................. 43 3.2. Comandos pre-cargados ........................................................................................................... 53 3.3. Visor de Cristal Reports ........................................................................................................... 53 3.4. Ventana principal .................................................................................................................... 54 5.1. Nueva estructura orgnica para la Subcontralora de Auditora ......................................................... 74
Lista de tablas
1.1. Niveles salariales de la Contralora Interna de la Cmara de Diputados ............................................... 5 1.2. Lgicos ................................................................................................................................ 11 1.3. Fsicos .................................................................................................................................. 12 2.1. Equipos de escritorio ............................................................................................................... 16 2.2. Impresoras ............................................................................................................................ 16 2.3. Servidores ............................................................................................................................. 16 2.4. Lgicos ................................................................................................................................ 20 2.5. Fsicos .................................................................................................................................. 20 4.1. Costos de adquisicin .............................................................................................................. 66 4.2. Costos de inversin ................................................................................................................. 67
vi
Resumen
El vertiginoso avance tecnolgico ha incrementado cada vez ms la dependencia de las tecnologas de informacin en las instituciones mexicanas, el crecimiento de este fenmeno aumentan tambin los riesgos informticos a los que se enfrentan; derivado de esta problemtica se desarrolla el presente informe de seminario de titulacin, en el cual se propone la implantacin de del rea de auditora en informtica dentro del rgano Interno de Control de la Cmara de Diputados, siendo ste el encargado de la labor legislativa del pas, en sus manos est en buena parte el futuro de la poblacin, es por ello de singular importancia dotarla de las herramientas y mecanismos necesarios que la fortalezcan cada vez ms. No de forma idealista, sino ms bien proactiva, se trata de comenzar a cambiar la situacin de Mxico desde su parte ms fuerte, dentro del poder legislativo; introduciendo nuevas formas del quehacer gubernamental; para ello, se determina analizar la Cmara de Diputados del H. Congreso de la Unin, de esto se detecta que a pesar de que la Direccin General de Tecnologas de Informacin de la Cmara de Diputados crece y se moderniza constantemente atendiendo a los requerimientos propios de esta Institucin, a la fecha su rgano Interno de Control (Contralora Interna) no cuenta con un rea que realice las funciones de auditora en informtica, misma que se encargue de constatar que se sigan procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la seguridad de la informacin y prevean las posibles contingencias en cuanto a la seguridad de la informacin que se maneja en este rgano, misma que por definicin es muy delicada, asimismo que regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del rea de sistemas de esta Institucin mediante las auditoras correspondientes. En este informe se realiza un anlisis por medio de cuestionarios, entrevistas y visitas para conocer estas reas y la investigacin de las posibles herramientas que ayudaran en su desarrollo; asimismo un estudio de costo beneficio y de factibilidad, una estimacin de los gastos que se llevaran a cabo en la realizacin de la propuesta de la implantacin de un rea de auditora en informtica en el rgano Legislativo, as como la comparacin de costos de las diferentes propuestas de software (CAAT por sus siglas en ingles) y mejores prcticas que pudieran ser adaptadas a las necesidades de la Contralora Interna. Se realiza un cuadro comparativo de las diferentes mejores prcticas y herramientas automatizadas con sus caractersticas respectivas, as como sus costos y cual es la que ms se adapta a las necesidades especficas del rea. En cuanto a la inversin a largo plazo se hace un anlisis del costo de las existentes certificaciones de auditores en informtica que cumplen con las caractersticas que se necesitan. Mientras que en el estudio de factibilidad se presentan todas las posibles ventajas para el rgano, sin descuidar ninguno de los elementos necesarios para que el proyecto funcione. Este informe comprende tambin el anlisis de estndares de la auditora informtica que puedan ser aplicados en el rea, stos son de suma importancia, ya que adems de haber sido establecidos por organizaciones internacionales, son actualmente utilizados a nivel mundial y proporcionan a las organizaciones e instituciones que los aplican un mejoramiento en el aseguramiento de la informacin y de los activos informticos, mediante la actualizacin de sus procesos. En cuanto al estudio de los CAAT, se determina que an sin la creacin de un rea de auditora en informtica, la implantacin de una tcnica de auditora en informtica en la Contralora Interna sera de gran utilidad para el desempeo del trabajo actual, ya que el auditor se ve obligado, dependiendo del alcance de la auditora, a recabar informacin de todos los recursos posibles, lo cual puede realizar con suma facilidad con los programas de auditora informtica. En este informe de seminario se describen las tcnicas para analizar programas, como se planifica la seleccin de una CAAT, cuales son los factores a tomar en cuenta al utilizar una de estas herramientas y los pasos para una adecuada seleccin de la misma. Tambin se hace mencin de como utilizar una CAAT una vez seleccionada, es decir la metodologa en la realizacin de una auditora (incluyendo papeles de trabajo e informes). Para complementar este estudio se realizaron diversas demostraciones al personal de la Contralora Interna por parte de las empresas de las herramientas actualmente existen en el mercado y que mejor se adaptan a las necesidades especficas del rea, de las cuales se realizaron cuestionarios a los auditores para
vii
Resumen
conocer su opinin en cuanto a cules son sus expectativas de cada producto y cul les parece ms conveniente adaptar al rea. De igual forma, se realiza un estudio de las diversas normas, tcnicas y procedimientos de auditora en informtica, con el fin de poder seleccionar las ms apropiadas. Es fundamental mencionar que para el auditor en informtica, el conocer los productos de software que han sido creados para apoyar su funcin aparte de los componentes de la propia computadora resulta esencial para facilitar el manejo de la informacin. Tambin se mencionan los diversos procedimientos de auditora en informtica, los cuales permiten al auditor obtener informacin, analizar las caractersticas, verificar los resultados y fundamentar las conclusiones de la auditora. Para la propuesta de implantacin del rea de auditora en informtica, se presentan los pasos que se consideran necesarios para crearla, el primer paso se refiere a conocer los requisitos ptimos que el proyecto requiere en cuanto a estructura se refiere, como son el cambio en la estructura orgnica, objetivo, misin, visin y funciones ya que estos elementos son necesarios para que las actividades se realicen con eficiencia y las metas del rea se cumplan. El segundo paso consiste en un estudio de requisitos mnimos del personal que son necesarios para que el proyecto logre obtener las metas y objetivos establecidos, y por ltimo se propone la implantacin concreta de una mejor practica para la gestin de tecnologas de informacin y de una CAAT que se adapte al 100% a las caractersticas de esta rea, en este paso se trata de hacer uso de los recursos disponibles de la empresa para minimizar cualquier gasto o adquisicin adicional mostrando as grficamente los gastos y los beneficios que conlleva la puesta en marcha de el rea. Por lo cual se concluye que la implantacin de un rea de auditora en informtica dentro de la Contralora Interna de la Cmara de Diputados, no slo resulta benfico sino indispensable, ya que aportar los elementos necesarios para que sea capaz de afrontar el reto de modernizar a este rgano, fundamentalmente con la participacin de profesionales calificados, aplicacin de los estndares mundiales, uso de herramientas de auditora asistidas por computadora y la renovacin de las funciones de la Contralora Interna. Para lo cual adicionalmente a la formacin en s del rea, se propone especficamente la metodologa, tcnicas de auditora asistidas por computadora, mejores prcticas y dems herramientas en auditora en informtica de las que podr hacer uso el rea de auditora en informtica, con lo que en concreto se pretende que mejore considerablemente su rendimiento, eficacia, eficiencia y calidad en el trabajo que redunde por supuesto en lo que ms quiere el pueblo mexicano, la utilizacin ptima de los recursos pblicos que redunde en rendicin de cuentas claras y transparentes.
viii
Summary
Innovation and technological pace have caused that Mexican institutions are more dependant on information technology. This fact has incremented the related information technology risks that these institutions face; due to this situation, this paper has been prepared to show how an IT audit organization, might be implemented in the Control Intern Organism (CIO) of the Mexican Congress. This organism is responsible for all of the legislation work in the country. This is an important aspect, because part of the future of this country lies in their hands, that is why is very important to provide them with the tools and appropriate mechanisms to leverage their work. Not in an ideal way, but using more proactive actions, it has to do with changing the status quo within its most important face, the legislative powefr; introducing new forms of government practices; To do that, it's determinant to analyze every aspect of the organization. Due to this analysis, it's important to notice that the Direction of Technology and Information of this organism leverages its potential constantly, attending the normal requirements. These days, the CIO (Contralora Interna) doesn't have an organization that leads the audit practices in IT. The mission of this audit organization would be ensuring that all of the procedures related to information management, such as confidentiality and availability will be met. It's also important to manage the risks related to information security, manage the back out plans and disaster recovery plans to handle information. Due to the nature of the information that is being handled, it is necessary to control IT infrastructure. Another mission would be to guide the development and direction of the IT organization. This analysis is based on checklists, interviews, on site visits, all of these activities lead to know the different areas and the research of tools that might help them; we built a business case, with a benefitcost analysis attached, and the P&L analysis to know the aspects that the new IT audit organization requires. A comparative analysis about the software tools for audit processes has also been prepared, and a research about best practices that can be used and adapted. A comparative matrix is being presented to show the different best practices and automated tools that are available, with their capabilities and costs. Covering the long term investments, the paper presents a cost analysis about the different commercial certifications in audit practices, outlining the benefits to the organism, without putting aside the practical elements to take this project to be up and running. This paper also covers the analysis of IT audit standards. These standards are very important, because they have been created by international organisms, and they are used broadly, and provide benefits that can be measured with process improvement methods and information and asset management practices. About CAAT's, it's determined that even without creating an IT audit organization, the use of an audit technique would be very useful to improve actual work, because a former audit person needs to retrieve information using all of the resources available, but using a software tool it is easier. In this paper, we present some techniques that can be used to analyze the tools, how to select a CAAT, how to use it once it is chosen. We also present how to use a methodology with a tool, including all of the paperwork and reports. As a complementary report, we show different demonstrations to the personnel of internal auditing, guided by the actual companies that distribute the tools in the market. As an extra activity we applied questionnaires to audit personnel to know their opinions and recommendations about each tool and to know what they state as the most convenient feature for each area. A study about different techniques and procedures to conduct an IT audit is also presented, in order to select the most appropriate to the organism. It's important to mention that the IT audit people should know the software tools that have been developed and have a clear understanding of IT concepts. It's also mentioned that there are different procedures in IT audit, in order to provide information, gather characteristics, show the results and leverage the conclusions. In this paper we present the necessary steps to build an IT audit area from scratch. The first step is related to the necessary structure and requirements, strategic planning, mission, objectives, vision, functional charts, etc. The second step is related to gather the correct people skills and human resources to score
ix
Summary
the desired results. As a third step, we recommend to define an IT management strategy and a tool that meets the requirements at a 100%. As a conclusion we state that the implementation of an IT audit area within the internal auditing area of the Mexican's Congress is not only suggested but it is necessary, because it will provide the appropiate elements so the organism is capable of facing the challenge to bring the organism to new and modern status quo, including qualified professionals, international standards, automated audit tools, best practices. These set of elements must enhance the overall performance of the organism, with key indicators such as efficiency, quality, service level, etc. The use of these key performance indicators will contribute to a transparent and optimal use of public resources, because that is what all of Mexican people ask for.
Introduccin
A lo largo de este informe de seminario de titulacin, se propone la implantacin del rea de auditora informtica dentro de la Contralora Interna de la H. Cmara de Diputados, ya que no obstante de que este rgano tiene 10 aos de creacin, a la fecha no se cuenta con sta ni con las funciones dedicadas especficamente a las IT; este es el motivo que motiv la realizacin de este informe. Para ello, se comienza por dar una semblanza de los antecedentes, conformacin y legislacin de la Cmara de Diputados; a fin de que se comprenda cul es la ubicacin del rgano Interno de Control (Contralora Interna) dentro de esta institucin, dentro de su estructura se encuentra a la Subcontralora de Auditora, sta ltima objeto de este estudio. De sta ltima se realiza un anlisis y se comienza por sus aspectos generales para terminar con el estudio de sus particularidades a fin de fundamentar esta investigacin. En seguida se analiza el rea de sistemas del rgano, en este caso la Direccin General de Tecnologas de Informacin, de la misma forma que con el rgano Interno de Control se analiza de lo general a lo particular. En seguida, se proporciona toda la investigacin y anlisis correspondiente de las actuales herramientas informticas y manuales que pueden ser usadas por los auditores, las mejores prcticas y dems estrategias que puedan auxiliar a los empleados de la Contralora Interna y as contribuir con la mejor rendicin de cuentas y cumplimiento a las actuales leyes de transparencia y acceso a la informacin pblica gubernamental. Para concluir, se proporcionan las recomendaciones de cmo deber estar conformada el rea de auditora en informtica de acuerdo a la magnitud del rea de sistemas; los pasos que se consideran necesarios seguir para su implantacin y por ltimo de todas las herramientas estudiadas, se hace una propuesta de aquella que est ms acorde a las funciones y caractersticas tanto de la Subcontralora de Auditora como del rea de sistemas del rgano. Es importante mencionar que el presente informe de seminario de titulacin tiene un sentido preventivo por muchas razones, entre ellas: la creciente importancia de mantener seguros los activos informticos y en particular los datos (tanto del rea de la Contralora Interna como del rea de Sistemas); ya que si bien la informacin es intangible, sta representa el elemento fundamental que sirve de base para el correcto desarrollo de todas las funciones dentro de la H. Cmara de Diputados. Por otro lado, la reciente creacin e implantacin de la Ley Federal de Acceso a la Informacin Pblica Gubernamental obliga en el mediano plazo a todos los rganos de control de gobierno a mejorar, actualizar y modernizar sus mecanismos de revisin y control. As, en este informe se plantea la problemtica a la que hoy da se enfrenta la Subcontralora de Auditora de la H. Cmara de Diputados, cules son sus riegos y oportunidades, y se fundamenta plenamente las recomendaciones hechas en cuanto a la implantacin de IT dentro del rea y diferentes recursos, as como capacitacin de personal y actualizacin de la legislacin existente.
xi
H. Cmara de Diputados
Las paredes de la H. Cmara de Diputados pueden relatar una larga historia de triunfos y fracasos, pero sobretodo de cambios y transformaciones constantes que la han convertido en lo que hoy da es, a continuacin se da un repaso de qu es, para qu es y por qu fue creada a H. Cmara de Diputados y como llego a conformarse la Contralora Interna como rgano de control dentro de este rgano hace 10 aos: El pueblo ejerce su soberana por medio del Congreso de la Unin1 , ste representa la conformacin del Poder Legislativo de los Estados Unidos Mexicanos, mismo que se deposita en dos Cmaras, una de Diputados y otra de Senadores, las cuales ejercen las facultades que la propia Constitucin les confiere.
Antecedentes
Poca gente sabe que el 24 de febrero de 1822, el Mxico Independiente tuvo a la Iglesia de San Pedro y San Pablo como el primer escenario del Poder Legislativo, donde nace la primera Cmara de Diputados y el primer Congreso Constituyente en Mxico. En 1823 el Congreso Constituyente comenz a esbozar la idea de que el Poder Legislativo se compusiera por dos Cmaras: una integrada con base en el nmero de habitantes y otra formada por igual nmero de representantes de los nacientes estados, Diputados y Senadores, respectivamente. En este mismo ao, Fray Servando Teresa de Mier concibe la idea del bicameralismo dando lugar a la creacin del Honorable Congreso de la Unin que se plasm en el Acta Constitutiva de la Federacin, que fue la ley fundamental mexicana y base de la creacin de la Constitucin Poltica de los Estados Unidos Mexicanos, que ha pasado por innumerables modificaciones hasta llegar a lo que hoy da se conoce como nuestra Carta Magna. En 1981 se inaugur la construccin de lo que hoy es la sede de la Cmara de Diputados, con slo 24 aos de existencia las paredes de este recinto pueden contar una larga trayectoria de triunfos y fracasos. Como dato curioso mencionar que las distintas instalaciones que ha tenido la Cmara de Diputados a lo largo de este perodo han sido incendiadas por lo menos tres veces, a causa de los diferentes movimientos polticos y sociales que se han dado en Mxico. Nuestro estudio empieza aqu y, no de forma idealista ni inocente este informe trata de comenzar a cambiar la situacin de Mxico desde su parte ms fuerte, dentro del poder; introduciendo nuevas formas de ver el gobierno.
Constitucin Poltica de los Estados Unidos Mexicanos, Ttulo Segundo, Captulo 1.- De la Soberana Nacional y de la Forma de Gobierno, Artculo 41.
Descripcin del rgano legislativo y de su organo interno de control La Cmara de Diputados est compuesta por 500 Diputados, mismos que son los representantes de la Nacin electos en su totalidad por la ciudadana mexicana; divididos en: 300 elegidos, segn el principio de votacin mayoritaria relativa, mediante sistemas de distritos electorales y 200 segn el principio de representacin proporcional, mediante el sistema de listas regionales, votadas en 5 circunscripciones plurinominales.
Legislacin
En Mxico, nuestra carta magna, habla de la divisin de poderes para su ejercicio: Legislativo, Ejecutivo y Judicial; el poder legislativo en nuestro pas consiste en la elaboracin, estudio y aprobacin de las leyes que regulan nuestro territorio a nivel nacional, asimismo la Constitucin Poltica de los Estados Unidos Mexicanos, establece que el Poder Legislativo se deposita en un Congreso General, que se divide en dos Cmaras, una de Diputados y otra de Senadores2. La Cmara de Diputados es, por tanto, uno de los dos rganos Legislativos que est encargado de brindar representatividad a la poblacin de todo el pas, por medio del ejercicio del poder legislativo, mediante los 500 diputados que la conforman. Los artculos 51 al 793establecen detalladamente la conformacin, funciones, ejercicio, facultades compartidas y exclusivas, etc. de estos dos rganos, las cuales no se menciona por no ser el objeto de nuestro estudio.
Y por lo que respecta a la organizacin tcnica y administrativa, est integrada por: Secretara General. Secretara de Servicios Parlamentarios. Secretara de Servicios Administrativos y Financieros. Contralora Interna. Coordinacin General de Comunicacin Social.
Constitucin Poltica de los Estados Unidos Mexicanos, Ttulo Segundo, Captulo 1.- De la Soberana Nacional y de la Forma de Gobierno, Artculos 49 y 50. 3 Constitucin Poltica de los Estados Unidos Mexicanos, Captulo II.- Del Poder Legislativo 4 [bib-manual-camara-diputados]
Como se puede ver, la Secretara General es la cabeza de los servicios tcnicos y administrativos (compuesta a su vez por la Secretara de Servicios Parlamentarios y de Servicios Administrativos y Financieros). Estas ltimas articuladas mediante rganos responsables de la gama de servicios especficos, respectivamente en las reas parlamentaria y administrativo-financiera. Dentro de las reas que conforman a la Secretara de Servicios Administrativos y Financieros, se encuentra a la Direccin General de Informtica y Telecomunicaciones, misma que se estudia en el siguiente captulo de este informe.
Conformacin actual
Para comprender el funcionamiento de la Cmara de Diputados se menciona su conformacin actual en cuanto a los Grupos Parlamentarios, que en conjunto con los respectivos Senadores conforman un Partido Poltico, los cuales estn encargados de las labores puramente legislativas; dentro de la Cmara de Diputados la informacin publicada al 15 de julio de 2005 en su pgina oficial5, arroja la reparticin de los actuales 500 Diputados con las siguientes cifras:
[bib-camara-diputados-web]
Legislacin
La formacin de la Contralora Interna se establece en la Ley Orgnica del Congreso General de los Estados Unidos Mexicanos, Artculo 53 que a la letra dice: La Cmara cuenta con su propia Contralora Interna, la que tendr a su cargo recibir quejas, realizar investigaciones, llevar a cabo auditoras y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores pblicos de la misma. La Contralora se ubica en el mbito de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Su titular es designado a propuesta de dicha Conferencia, y aprobado por las dos terceras partes de los diputados presentes en el pleno.
Importante
Como puede apreciarse, la creacin de la Contralora Interna dentro de la H. Cmara de Diputados data de hace diez aos y paulatinamente ha venido reforzando sus mecanismos e incrementando su actuacin, ha tenido avances significativos hasta incorporar en sus revisiones las subvenciones a los grupos parlamentarios, a partir de 2002, lo que represent un arduo esfuerzo y rediseo de funciones. Para su manejo interno, la Cmara de Diputados cuenta con el Manual de Organizacin General de la Cmara de Diputados, que se expide en cumplimiento a los Lineamientos para la Organizacin de los Servicios Parlamentarios, Administrativos y Financieros establecidos por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos, que en su presentacin ...establece el marco de actuacin de las unidades sustantivas y adjetivas de la Cmara, as como su estructura orgnica, representada a nivel de jefatura de departamento. Comprende las atribuciones de la Secretara General, de las Secretaras de Servicios Administrativos y Financieros, y de sus reas dependientes, as como de otros rganos tcnicos de la Cmara como la Contralora Interna y la Coordinacin General de Coordinacin Social, y al cual se apega la administracin actual.
Estructura orgnica
En el Manual de Organizacin General de la Cmara de Diputados se establece la estructura orgnica autorizada de la Contralora Interna, como se ilustra en Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados:
En la figura anterior, se aprecia en el segundo nivel a tres Direcciones Generales, stas representan lo que en la prctica son la son las tres Subcontraloras que ya se menciona, con sus respectivas Direcciones de rea. Este problema est siendo regulado en la actualidad para homogeneizar los nombres de los puestos dentro del organigrama Habr que mencionarse que aunque existen autorizados ciertos nmero de plazas, en la prctica, actualmente la nivelacin, regularizacin y autorizacin de algunas plazas de ms y de menos se encuentra en proceso. Como es el caso de los Jefes de Departamento, entre otros. En cuanto a los niveles salariales, en Tabla 1.1, Niveles salariales de la Contralora Interna de la Cmara de Diputados se describe su rgimen, su nivel segn estructura y rango salarial:
Homlogos MG 02 a MG 12 Homlogos MS 02 a MS 12
Objetivo y funciones
Dentro del Manual de Organizacin General de la Cmara de Diputados se encuentra tambin que se plasma el objetivo y funciones de la Contralora Interna, como sigue:
Objetivo
Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos de los que dispone la Cmara.
Funciones
Elaborar el Programa Anual de Control y Auditora de la Cmara de Diputados, someterlo a la aprobacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos y proceder a su ejecucin. Disear, implantar y supervisar la operacin del Sistema Integral de Control y Evaluacin de la Gestin de las unidades administrativas de la Cmara de Diputados. Evaluar el cumplimiento de los programas y polticas aprobados por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos, con objeto de retroalimentar el proceso de planeacin, programacin y presupuestacin. Establecer los lineamientos y polticas que orienten a la colaboracin, que conforme a la ley deba prestar la Contralora a la Auditora Superior de la Federacin, para el mejor cumplimiento de sus respectivas responsabilidades. Emitir las disposiciones, reglas y bases de carcter general, normas, lineamientos y polticas en el ejercicio de las atribuciones, que conforme a las leyes, competen a la Contralora, previa autorizacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Opinar previamente a su expedicin, sobre los proyectos de disposiciones, reglas, normas, lineamientos y polticas que elaboren las unidades administrativas de la Cmara. Aplicar las normas que se hubieren fijado por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos en materia de control, fiscalizacin y evolucin. Proporcionar informacin a la Conferencia para la Direccin y Programacin de los Trabajos Legislativos cuando sta lo requiera. Recibir y atender las quejas y denuncias que se presenten en contra de los servidores pblicos, adscritos a las reas administrativas y los que realicen funciones de ese carcter en la Cmara de Diputados y en su caso, sustanciar el procedimiento administrativo disciplinario e imponer las sanciones correspondientes en los trminos de la ley en la materia.
Subcontralora de Auditora
La Subcontralora de Auditora se puede apreciar a nivel general en Figura 1.1, Estructura orgnica general de la Cmara de Diputados; asimismo corresponde a una de las Direcciones Generales de Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados. De esta forma se observa al rea de inters particular, en este apartado se presenta su legislacin, conformacin, principales funciones, estructura, etc.
Legislacin
La legislacin de la Subcontralora de Auditora, como ya se mencion, se estructura desde el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados establece que la organizacin y funcionamiento de la estructura tcnica y administrativa de este r-
Descripcin del rgano legislativo y de su organo interno de control gano, entre ellos la Contralora Interna6, en su Ttulo Cuarto habla especficamente de ste rgano, misma que se encarga de recibir quejas, realizar investigaciones, llevar a cabo auditoras y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores pblicos y se ubica en el mbito de la Conferencia, segn lo dispone el artculo 53 de la Ley Orgnica. Este Ttulo del estatuto establece todas las particularidades de este rgano de Control Interno, como son: el procedimiento para designar al Contralor Interno, lo sueldos y percepciones que recibir l y el dems personal del rea, sus derechos y obligaciones, su estructura orgnica y funciones7. Para realizar estas funciones, se divide en tres Subcontraloras: Quejas, Denuncias e Inconformidades Evaluacin y Seguimiento Auditora8
sta ltima, objeto de nuestro estudio, es la encargada en particular de la realizacin de las auditoras que se plasman dentro del Programa Anual de Control y Auditora que es sometido a la aprobacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Adems de las revisiones por peticiones especiales o por rdenes de la Auditora Superior de la Federacin.
Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculo 1, Inciso c). 7 Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculos del 153 al 158. 8 Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculo 158.
Objetivo
El objetivo general de la Subcontralora de Auditora se plasma en el Manual de Organizacin General de la Cmara de Diputados, que a la letra dice: Vigilar que las operaciones de la Cmara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normatividad aplicable, verificando que el manejo y aplicacin de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federacin. Adicionalmente, en el Manual de Organizacin de la Contralora General se establece como su objetivo: Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos de los que dispone la Cmara.
Funciones
Las funciones de la Contralora Interna estn plasmadas en primera instancia de forma general en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados: a. b. c. d. Elaborar, aplicar y verificar el cumplimiento del programa anual de control y auditora; Realizar las auditoras conforme al programa anual de control y auditora y elaborar los informes de los resultados obtenidos; Vigilar que el manejo y aplicacin de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones aplicables; Convocar y participar en la aclaracin de las observaciones con los titulares de las Unidades Administrativas auditadas, as como llevar el seguimiento de las observaciones pendientes de solventar; Participar en los diversos actos de fiscalizacin conforme a las atribuciones de la Contralora Interna;
e.
Descripcin del rgano legislativo y de su organo interno de control f. g. Fungir como enlace con la entidad de fiscalizacin superior de la federacin de la Cmara, en la revisin de la Cuenta Pblica; y Las dems que se deriven del presente Estatuto y de las normas, disposiciones y acuerdos aplicables.9
En segunda instancia, de forma particular las funciones de la Subcontralora de Auditora estn plasmadas en el Manual de Organizacin General de la Cmara de Diputados: Elaborar y verificar el cumplimiento de la aplicacin del Programa Anual de Control y Auditora, autorizado por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Realizar las auditoras conforme al Programa Anual de Control y Auditora (PACA). Convocar y participar en la aclaracin de las observaciones con los titulares de las unidades administrativas auditadas, as como llevar el seguimiento de las observaciones pendientes de solventar. Elaborar los informes definitivos de los resultados obtenidos de las auditoras realizadas. Elaborar trimestralmente el avance del PACA. Elaborar las guas y programas detallados de auditoras, correspondiente al PACA. Participar en los diversos actos de fiscalizacin conforme a las atribuciones de la Contralora Interna. Fungir como enlace con la Auditora Superior de la Federacin, cuando as se instruya por las instancias correspondientes, en la revisin de la Cuenta Pblica de la Cmara de Diputados. Promover la capacitacin de los integrantes de la Subcontralora de Auditora, a fin de elevar la calidad, eficiencia y eficacia de su presencia fiscalizadora. Elaborar, revisar y actualizar los manuales correspondientes al rea. Representar a la Contralora Interna conforme a sus atribuciones.
Por otra parte, en el Manual de Organizacin de la Contralora General se reiteran las mismas funciones plasmadas con anterioridad en el Manual de Organizacin General de la Cmara de Diputados.
Metas
Las metas de la Subcontralora de Auditora no se encuentran plasmadas en ningn documento oficial; sin embargo, en el Marco conceptual y desempeo de la Contralora Interna se plasman sus metas, y a la letra dice: Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas y de los Grupos Parlamentarios dentro de su campo de accin. Verificar el ejercicio de los recursos pblicos asignados a la Cmara, para que se realice con eficiencia, eficacia y en apego a los ordenamientos legales aplicables, transparencia y racionalidad. Fortalecer la mejora continua en la administracin y uso de los recursos pblicos. Dar transparencia al ejercicio del gasto. Reforzar la prevencin de irregularidades en el desempeo de los servidores pblicos.
Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculo 158.
Misin
La misin de la Subcontralora de Auditora no se encuentra plasmada tampoco en ningn documento oficial; pero de igual forma en el Marco conceptual y desempeo de la Contralora Interna se plasma como su misin la siguiente:
Importante
La misin de la Subcontralora de Auditora es Dar transparencia a la gestin de las unidades administrativas y de los servidores pblicos de la H. Cmara de Diputados, en el ejercicio del gasto pblico, previniendo la desviacin del mismo.
Visin
La visin de la Subcontralora de Auditora tampoco se encuentra en ningn documento oficial; pero de igual forma en el Marco conceptual y desempeo de la Contralora Interna se plasma como su visin la siguiente:
Importante
La visin de la Subcontralora de Auditora es que la ciudadana tenga confianza y credibilidad en la administracin de la H. Cmara de Diputados.
Debilidades y fortalezas
En cuanto a las debilidades, fortalezas de la Subcontralora de Auditora, derivado del estudio al rea, el cual consisti primero en entrevistas con el personal, y asistir a las instalaciones para analizar el rea entera en lo que se refiere a tecnologas de informacin, recursos informticos, infraestructura y cultura informtica, se encuentran las siguientes:
Debilidades
No cuentan con la debida regulacin legal y jurdica actualizada que apoye y sustente sus funciones, ni en las reas administrativas, mucho menos en lo que respecta a las funciones de auditora en informtica. No existe un rea ni una persona que desarrolle la funcin de auditora en informtica. En general, el personal de mandos medios, as como operativo, se muestra poco interesado en el avance de las tecnologas de informacin, as como en la formacin de su personal en este sentido. Su personal est capacitado para la utilizacin de equipos de cmputo solo para las funciones ms bsicas. Actualmente la Subcontralora de Auditora no ha realizando nunca una auditora en informtica al rea de sistemas, mucho menos a las dems reas administrativas ni Grupos Parlamentarios. No cuentan con ningn tipo de software que apoye la funcin de auditora cotidiana, mucho menos alguno especializado para la auditora en informtica. No aprovechan la infraestructura informtica que les proporciona la Cmara de Diputados (red). No cuentan con una planeacin informtica que les permita ir a la vanguardia, mucho menos hacer un planteamiento formal en cuanto a este tema. El personal de la Cmara de Diputados muestra en general un grado muy bajo de cultura informtica.
10
Descripcin del rgano legislativo y de su organo interno de control Existe poco equipo de cmputo en el rea y est mal repartido entre el personal auditor y los altos mandos. El equipo con que cuentan los auditores, en general no cumple con las necesidades bsicas de procesamiento para que realicen correctamente su funcin. El procedimiento para la adquisicin de tecnologas de informacin dentro de la Cmara de Diputados es muy burocrtico, lleva mucho tiempo el suministro de equipos y bienes de cmputo. Hay muy poca participacin del personal del rea en los constantes cursos de capacitacin en informtica que se imparten en la Cmara de Diputados.
Fortalezas
En general existe poca rotacin de personal integrante de la Subcontralora de Auditora en general, lo que ayuda a comprometer paulatinamente ms al personal en sus labores cotidianas. La red que tiene la Subcontralora de Auditora es la que proporciona la Cmara de Diputados, la cual es de banda ancha y adems puede ser adaptada a las necesidades del rea si sta lo fundamenta adecuadamente, asimismo la compra de equipo y dems tecnologa. De ser correctamente fundamentada la necesidad de adquirir un software o equipo de cmputo para la Subcontralora de Auditora en las reas dedicadas a este proceso, podrn ser adquiridos. Regularmente existe reconocimiento del trabajo de los niveles superiores hacia los inferiores. Buena motivacin del personal que labora en la Subcontralora de Auditora. Es un campo frtil para la implantacin de nuevas tecnologas de informacin, ya que al no haber un sistema actualmente, no ser necesario ningn proceso de migracin de datos. Un planteamiento adecuado y bien pensado de las necesidades presentes y futuras del rea resolver fcilmente la problemtica que actualmente enfrenta la Subcontralora de Auditora.
Riesgos
Cuando se habla de riesgo, se entiende como: Los riesgos son condiciones del mundo real en el cual hay una exposicin a la adversidad, conformada por una combinacin de circunstancias del entorno, donde hay posibilidad de perdidas.10. Al asistir a las instalaciones de la Subcontralora de Auditora para analizarla, se revisaron las tecnologas de informacin con las que cuentan a la fecha, de lo cual se determinan los siguientes riesgos:
10
[bib-solis-2002]
11
Controles
El personal de la Subcontralora de Auditora no cuenta con un documento formal que establezca sus funciones; sin embargo, cuentan con un documento llamado Marco conceptual y desempeo de la Contralora Interna, que fue se proporcion para este estudio y en el cual se muestran como controles, los siguientes: Preventivo: Una de las prioridades de la Contralora Interna ha sido y es la de fortalecer los sistemas de control interno, a fin de contribuir al ejercicio transparente del gasto y a evitar irregularidades por parte de las diversas reas administrativas, para lo cual se ha venido promoviendo la revisin, actualizacin y complementacin de la normatividad. En este sentido destaca lo siguiente: Expedicin de la Norma de Adquisiciones, Arrendamientos, Obra Pblica y Servicios. Actualizacin del Manual para los eventos de Entrega-Recepcin. Actualizacin de los Lineamientos Generales para la Administracin de Recursos. Manual de Bases y Polticas para la Prestacin de Servicios. Actualizacin de Manuales de Procedimientos.
Otro aspecto al que se le ha dado importancia es a la participacin en los diferentes actos de fiscalizacin relacionados con adquisiciones, tales como licitaciones pblicas, concursos por invitacin restringida, seleccin entre 5 cotizaciones, etc, participando desde la revisin de bases hasta el fallo de los eventos. Esta actividad ha permitido obtener importantes ahorros para la Institucin, adems de hacer ms transparentes los procesos de adquisicin. Se tuvo participacin relevante en los actos de Entrega-Recepcin de los Grupos Parlamentarios, Comisiones y Comits realizados por primera vez, con motivo del cambio de la LVIII a la LIX Legislatura. Como se puede ver, los controles a los que se refiere son puramente administrativos. En cuanto a tecnologas de informacin, actualmente el nico control que se lleva dentro de la Subcontralora de Auditora es como mximo el inventario fsico de los equipos de cmputos, resguardos individuales de los mismos y relacin del software que maneja cada equipo. La Direccin General de Tecnologas de Informacin cuenta con sus propios controles de acceso lgico y sellos de seguridad en cuanto a la seguridad fsica, adems de los ya mencionados resguardos fsicos personales de equipo de cmputo. Adems de eso, no existe control alguno sobre ningn aspecto del mbito informtico, tampoco sobre la capacitacin del personal y actualmente hay total desconocimientos de las mejores prcticas y/o software que pueda auxiliar a los auditores en su desempeo y cumplimiento de funciones.
12
Hardware
En la Subcontralora de Auditora se utiliza la red que proporciona la propia Cmara de Diputados, misma que funciona por medio de un anillo lgico de fibra ptica, sobre la cual corren la mayora de las reas administrativas, rganos tcnicos y buena parte de los Grupos Parlamentarios. Sobre la red que provee el rea de sistemas se habla en el siguiente captulo, por el momento concretamente se menciona la tecnologa con la que cuenta nicamente la Subcontralora de Auditora: Tres equipos DELL, Pentium IV. 7 HP Pentium IV 8 HP Pentium III Tres equipos en desuso modelo 486. Tres impresoras en red: 1 DELL blanco y negro 1 Xerox Phaser 4400 blanco y negro 1 Laser Jet 400 blanco y negro 2 HP Laser Jet 5500 a color (Propiedad privada)
Software
Los equipos con Pentium IV, tiene instalado Windows XP, con sesin para usuario limitado y office XP con los componentes bsicos. Los equipos de Pentium III para abajo tienen instalado Windows 98 95 y office de la misma versin, con paquetera bsica.
13
Descripcin del rgano legislativo y de su organo interno de control 17 Auditores (Rotan segn las necesidades de auditora entre las dos reas), 2 Secretarias, 1 Chofer
ya se mencion que existe un conflicto entre los nombres de los puestos que se plasman en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados y la estructura orgnica de la Subcontralora de Auditora, adicionalmente existen inconsistencias en los tramos de control, entre otras, pero no se ahonda ms en este tema por no ser objeto de este estudio; por otra parte, esta situacin ya est siendo regularizada ante las instancias correspondientes.
Nota
Como ya se mencion, uno de los grandes problemas de la Subcontralora de Auditora es la poca capacitacin de persona, aproximadamente el 30% sabe usar con agilidad la paquetera de office, un 40% la usa pero con dificultades, mientras que el 30% tiene conocimientos muy bsicos de computacin.
14
Normatividad actual
En la actualidad la Cmara de Diputados en su rea de sistemas no se rige bajo ninguna norma o certificacin externa nacional o internacional. Tampoco cuentan con ningn tipo de manual de procedimientos u organizacin que les permita realizar sus labores de forma sistemtica y ordenada. De igual forma la falta de metas y objetivos genera desorganizacin y falta de control, mala administracin e inclusive representa un riesgo latente ante las posibles fallas del sistema. Tampoco cuentan con ningn tipo de plan de contingencia en caso de que la red falle, mucho menos con medidas para minimizacin de riesgos por posibles ataques, desastres de ningn tipo, etc. A fin de conocer mejor el rea de sistemas se presenta en la Figura 2.1, Conformacin actual del rea de sistemas su conformacin actual:
15
Compaq Pentium III, 128 MB D.D., CD-Rom, Monitor 15" Flopy 3, Tarjeta de red
Software
Para el rea de sistemas todos los equipos incluyendo Pentium III cuentan con Windows XP Professional, Office XP, antivirus McAfee. Todos los equipos cuentan con la paquetera bsica, solo algunos de los equipos Dell cuentan con Visio 2003, Corel Photoshop. Todo el software tiene licencia, las licencias adquiridas para cualquier software es de tipo corporativa.
Infraestructura informtica
La infraestructura con la que cuenta tanto el rea de sistemas como toda la Cmara de Diputados incluyendo cada una de sus reas dentro de cada edificio se describe de la siguiente manera: Debajo de toda la infraestructura de los edificios de encuentra una red de anillo lgico de fibra ptica, la cual esta conectada a un servidor central (Web) el cual esta tiene salida a Internet por medio de un firewall fsico. En cada uno de los edificios en la planta baja se encuentra un switch que a su vez funciona como router, estos son de alta capacidad, cada unos de estos switch/router se conectan a otros switch tambin de alta capacidad que se encuadran en cada piso por cableado UTP categora 6 5, estos ltimos se co-
16
nectan a un switch ms, que es de una capacidad menor que se encuentra dentro de cada rea de cada edificio por medio de cableado UTP categora 6 5, cada uno de estos switch se encarga de distribuir los servicios de red a cada una de las PC dentro del rea. En cada piso se maneja una topologa de bus para la distribucin de servicios.
Estructura orgnica
Figura 2.2. Estructura orgnica de la Direccin General de S.I.
Misin
Una misin en el rea de sistemas ayuda a establecer la finalidad o el propsito para la cual fue creada y este debe de ir ligado al objetivo de la organizacin, tambin se deben de comprender unos o ms objetivos y las tareas que deben de realizarse para alcanzar dicho objetivo.
17
En la actualidad el rea de sistemas de la Cmara de Diputados no cuenta con una misin que ayude a establecer el propsito para la cual fue creada esta rea, esto representa un riesgo para el rea ya que al no contar con una misin bien establecida crea confusin en las personas que operan dentro del rea.
Visin
Una visin ayuda al rea de sistemas a proyectarse en el futuro en una situacin deseada, es decir haca donde va o que es lo que quiere lograr. El rea de sistemas de la Cmara de Diputados an no cuenta con una visin establecida.
Objetivos y metas
Un objetivo para el rea de sistemas es una situacin deseada que el esta intenta lograr, esta es una imagen que el rea pretende para el futuro. Al alcanzar el objetivo, la imagen deja de ser un ideal y se convierte en real y actual, por lo tanto, el objetivo deja de ser deseado y se busca otro para ser alcanzado. Las funciones de establecer objetivos son las siguientes: Presentacin de una situacin futura: se establecen objetivos que sirven como una gua para la etapa de ejecucin de las acciones. Fuente de legitimidad: los objetivos justifican las actividades del rea. Sirven como estndares: sirven para evaluar las acciones y la eficacia del rea. Unidad de medida: para verificar la eficiencia y comparar la productividad del rea.
Funciones y servicios
En base a la pltica realizada con el los gerentes de las diferentes subreas que conforman al rea de sistemas, actualmente estas son las funciones que realizan: Instalacin y configuracin de equipos. Altas y bajas de usuarios. Instalacin y configuracin de aplicaciones. Mantenimiento de equipos de usuarios. Administracin de las listas de correo. Copias de seguridad de los datos de los usuarios y recuperacin de los mismos en caso de prdida. Instalacin, configuracin y mantenimiento de servicios como correo electrnico. Desarrollo de nuevas aplicaciones que permitan el mejor uso de los equipos. Administrar y mantener la disponibilidad y funcionamiento de los servidores (hardware y software). Elaborar proyectos e informes para la implementacin de software y hardware, y analizar y proponer nuevos programas y equipamientos. Mantener y controlar las licencias de software adquiridas por el Organismo. Intervenir en proyectos especiales en los cuales resulte necesaria la asistencia informtica.
18
Coordinar la capacitacin del personal de la Cmara de Diputados en materia informtica, en el uso de los programas, manejo de Intranet e Internet. Asegurar la disponibilidad de las comunicaciones. Mejorar la funcionalidad del software asociado a las comunicaciones e incorporarle novedades.
Estrategias
Una estrategia es un plan que integra las principales metas u objetivos y polticas de una organizacin y a la vez, establece una secuencia coherente de las acciones a realizar. Una estrategia puede ayudar a un rea de sistemas a poner orden y asignar recursos con el fin de lograr una situacin viable y estable, as como a anticiparse a los posibles cambios en el entorno. En base a las platicas sostenidas con los gerentes de la subreas de sistemas y debido a que en los puntos anteriores ya se defini que el rea de sistemas no cuenta con polticas ni objetivos establecidos a su vez esta tampoco cuenta con estratgicas.
Fortalezas y debilidades
De las visitas que se hicieron al rea de la Direccin General de Tecnologas de Informacin, se detectaron las fortalezas y debilidades ms importantes dentro del rea de sistemas de la Cmara de Diputados, mismas que se muestran a continuacin: Fortalezas Capacidad del personal de trabajo Infraestructura de punta Motivacin haca el personal de trabajo por parte de los Jefes Ganas de crecer Debilidades Bajo presupuesto dirigido al rea Riesgo Impacto
Poco crecimiento del rea de sistemas, poca implan- ALTO tacin de sistemas que impulsen al rea a ser un rea de servicios y a establecer controles para una mejor administracin de la informacin No se pueden aprovechar al 100% las capacidades MEDIO del personal No se le da la importancia necesaria pensando que BAJO es un rea sin experiencia Las actividades no se realizan de acuerdo a estanda- ALTO res El personal realiza actividades que no conoce MEDIO
Mala distribucin de personal Poco tiempo de creacin (3 aos) No hay procesos Mala rotacin de personal
Poca comunicacin con los usuarios Los usuarios no ven resultados por parte del rea de MEDIO finales sistemas como un rea de servicios Los sud-departamentos no trabajan Mala administracin de las tecnologas, mala iden- ALTO en conjunto tificacin de problemas Pocas posibilidades de crecimiento No se pueden aprovechar al 100% las capacidades MEDIO personal (influyentismo). del personal No cuentan con las herramientas No pueden anticiparse a los posibles problemas, ALTO (software) necesarias para la buena perdida de informacin, cada de sistemas. administracin del rea.
19
Riesgos
El rea de Tecnologas de Informacin fue analizada mediante entrevista al Ing. Omar Hash Pereyda, Director de Soporte Tcnico, quien permiti dar un recorrido a las instalaciones, asimismo, proporcion la normatividad autorizada con la que se cuenta, se realiz un anlisis del rea y basndonos en la experiencia de trabajo en diferentes reas de TI en la actualidad en el rea de sistemas de la H. Cmara de Diputados se detectaron los siguientes riesgos:
Teniendo en cuenta que una de las principales causas de los problemas dentro del rea de sistemas, es la inadecuada administracin de riesgos informticos, se debe hacer una buena administracin de riesgos, basndose en los siguientes aspectos: La evaluacin de los riesgos inherentes a los procesos informticos. La evaluacin de las amenazas causas de los riesgos. Los controles utilizados para minimizar las amenazas a riesgos. La asignacin de responsables a los procesos informticos. La evaluacin de los elementos del anlisis de riesgos.
20
de la H. Cmara de Diputados solo cuenta con los que a continuacin se mencionan y los cuales aun no estn totalmente maduros. Los controles con los que cuenta el rea de sistemas son los siguientes: Controles de acceso fsico a las instalaciones Controles de acceso lgico a las computadoras de todas las reas (por medio de directorio activo) Definicin de roles para equipos de computo todas las reas Uso de firewall fsico Polticas de seguridad para el uso de equipos de cmputo (actualmente es un proyecto de Manual que an no est autorizado oficialmente, pero ya est en uso en la prctica), entre las ms importantes est la prohibicin del uso de programas no autorizados o software pirata, polticas de seguridad en el rea de sistemas y reas administrativas y parlamentarias.
21
[bib-isaca-mx]
22
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica a los candidatos, el cual cubre el conocimiento de actividades requeridas para la funcin de Auditora en TI, para lo cual presenta un Manual de Informacin Tcnica para la preparacin de los candidatos. La certificacin de CISA (Certified Information Systems Auditor) es otorgada por la (ISACA), desde 1978 y es considerada en la actualidad como un reconocimiento de que se cuenta con los conocimientos tericos y prcticos necesarios para desempearse como Auditor de Sistemas siguiendo los estndares y directrices definidos para una mejor preparacin. La designacin de CISA, se considera hoy en da, una ventaja competitiva y resulta de beneficio no solo para las organizaciones que deben cumplir con requerimientos de certificacin profesional de sus colaboradores, sino para las personas que buscan un desarrollo profesional y la obtencin de certificaciones que ofrecen oportunidades a nivel internacional.
23
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica El mejoramiento de la prctica Profesional de la Auditora Interna. Desarrollar y mantener la unin y cooperacin efectiva entre los profesionales de la Auditora Interna. Promover la difusin de las normas de actuacin profesional a travs de las cuales los auditores internos puedan medir y regular su propio desempeo y las organizaciones puedan esperar servicios de calidad. Establecer y mantener el prestigio de la Auditora Interna a travs de la investigacin y la divulgacin de conocimientos tcnicos de enfoques conceptuales relativos al ejercicio profesional de esta disciplina y materias afines. Establecer y mantener vnculos con otros organismos profesionales o docentes y entidades pblicas o privadas, para identificacin y desarrollo de aspectos que permitan elevar la calidad de la prctica de la Auditora Interna y el Control en general, dentro de las organizaciones.
24
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Los rigurosos requerimientos de este programa, aseguran que los auditores internos que logran la certificacin, estn armados con herramientas invaluables que pueden ser aplicadas globalmente en cualquier organizacin o industria.4 Para mantener la certificacin CIA se requiere que los CIA mantengan y actualicen sus habilidades y conocimientos. Los CIA practicantes deben completar e informar cada dos aos, 80 horas de educacin profesional continua.
Comunicacin
Tecnologa
Interrelacin externa
Agente de cambio
4 5
http://www.theiia.org/index.cfm?doc_id=56 [bib-ti-complejos]
25
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Reingeniera de auditora Reingeniera de auditora Proponen el cambio funcional proyectando a los auditores como facilitadores de la auto evaluacin del control.
Aseguramiento de la informacin
El aseguramiento de la informacin es la base sobre la que se construye la toma de decisiones de una organizacin. Sin aseguramiento, las empresas no tienen certidumbre de que la informacin sobre la que sustentan sus decisiones es confiable, segura y est disponible cuando se le necesita. Definimos Aseguramiento de la Informacin como la utilizacin de informacin y de diferentes actividades operativas, con el fin de proteger la informacin, los sistemas de informacin y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticacin y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a travs de comunicaciones e Internet6. Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuacin se describe brevemente las ms importantes. Aseguramiento de los Datos Aseguramiento de los Datos Referente la informacin histrica o prospectiva, probabilstica e indicadores de desempeo. Aseguramiento de los Procesos Basado principalmente en controles internos y procedimientos establecidos para la proteccin de intereses. Aseguramiento del Comportamiento Conformidad con normas, regulaciones o mejores prcticas. Aseguramiento del Sistema de Gestin En la que los objetivos del negocio son establecidos para proteger a todos los involucrados: directivos y empleados.
[bib-guia-17799] [bib-guia-17799]
26
Estructura de CUBO
La estructura de cubo es la capacidad que brinda COBIT de poder trabajar (con sus objetivos de control) desde tres puntos de vista diferentes; los procesos, los recursos de TI, y las caractersticas que debe reunir la informacin para ser considerada adecuada a las necesidades de la organizacin. Esta estructura, al vincular estos tres puntos de vista brinda un enfoque global que apoya a la planificacin estratgica, fundamentalmente a travs de promover las funciones ligadas a la gobernabilidad de TI, la cual es bsica para asegurar el logro de las metas de la organizacin. Esta estructura permite vincular las expectativas de la Direccin con las de la Gerencia de TI, manejando lineamientos entendibles por las Gerencias de negocio y los dueos de los procesos.
Dominios
Permite agrupar los objetivos de control de COBIT en distintas reas de actividad de la organizacin. Los cuatro dominios principales son: Planificacin y organizacin, Adquisicin e implantacin, Soporte y servicios, y Monitoreo.
Como su nombre indica, cada uno de estos dominios estn enfocados a los diferentes niveles y departamento que pueden existir en una organizacin.
Inexistente
http://www.monografias.com/trabajos4/derpub/derpub.shtml
27
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Ausencia total de cualquier proceso o control reconocible. 1. Inicial 1. Inicial Existe evidencia de que la organizacin ha reconocido la necesidad de mejorar los procesos o controles. 2. Repetible Se han desarrollado procesos donde se siguen procedimientos similares por diferentes personas para la misma tarea. 3. Definido Los procedimientos han sido estandarizados y documentados y son comunicados a travs de la capacitacin. 4. Gestionado o administrado Es posible monitorear y medir el cumplimiento de los procedimientos y tomar acciones cuando los procesos no estn funcionando efectivamente. 5. Optimizado Los procesos han sido redefinidos al nivel de las mejores prcticas, basados en los resultados de mejoras continuas y el modelo de madurez con otras organizaciones.
2. Repetible
3. Definido
4. Gestionado o administrado
5. Optimizado
Incluye tambin cinco disciplinas que soportan los servicios TI de calidad y bajo costo de las empresas 6, estas son:
9
10
[bib-sun-itil] [bib-conceptos-itil]
28
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Gestin de la capacidad, Gestin financiera para servicios TI, y Gestin de la continuidad de los servicios TI.
El objetivo de ITIL en todas sus disciplinas es la definicin de las mejores prcticas para los procesos y responsabilidades que hay que establecer para gestionar de forma eficaz los servicios de TI de la organizacin, y cumplir as los objetivos empresariales en cuanto a la distribucin de servicios y la generacin de beneficios.
Poltica de seguridad, Aspectos organizativos para la seguridad, Clasificacin y control de activos, Seguridad ligada al personal, Seguridad fsica y del entorno, Gestin de comunicaciones y de operaciones, Control de accesos,
29
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Desarrollo y mantenimiento de sistemas, Gestin de continuidad del negocio, y Conformidad.
La Parte 2 del BS 15000 es conocida como el Code of Practice y se extiende en detalle sobre cada requisito, ofreciendo direccin y gua al Proveedor del Servicio que desee alcanzar el estndar. Sigue la misma estructura de la Parte 1, pero es un poco menos formal en terminologa. Provee gua y direccin practica respecto a como debe ser considerado el proceso, como debe ser documentado, que debera ser realizado, y que debera monitorearse para lograr una efectividad real del proceso en la prctica. Su estructura y vocabulario est cuidadosamente manejado, logrando que las dos partes de la norma manejen los mismos conceptos y sean totalmente complementarias.
12 13
http://www.nhmadrid.com/itil_bs15000.htm Miguel Daz S.: Ingeniero de Sistemas. / Socio consultor de AUDISIS / Lder de proyectos de adopcin de ITL en Argentina y Venezuela
30
Ambiente de control
Elemento que proporciona disciplina y estructura, el ambiente de control se denomina en funcin de la integridad y competencia del personal de una organizacin; los valores ticos son un elemento esencial que afectan otros elementos del control
Evaluacin de riesgos
Es la identificacin y anlisis de os riesgos que se relacionan con el logro de los objetivos; la administracin debe cuantificar la magnitud, proyectar su probabilidad y sus posibles consecuencias: En la dinmica actual de los negocios se debe prestar atencin a diversos factores, entre ellos los avances tecnolgicos.
Actividades de control
Ocurren a lo largo de la Organizacin en todos los niveles y en todas las funciones, incluyendo los procesos de aprobacin, autorizacin, conciliaciones, etc. Las actividades de control se clasifican en:
14 15
http://www.info.ccss.sa.cr Instituto de Auditores Internos de Espaa 1985 [http://www.datasec.com.uy/] 16 V Reunin de Auditores Internos de Banca Central Exposicin de Banco de Mxico
31
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Controles de cmputo o de tecnologa de informacin, y Controles administrativos.
Monitoreo y aprendizaje
Los controles internos deben ser monitoreados constantemente para asegurar que el proceso se encuentra operando como se plane y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio a travs de evaluaciones separadas de la operacin, es decir, mediante la auditora interna o externa.
Informacin y comunicacin
Se debe generar informacin relevante y comunicarla oportunamente de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.
Asimismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de anlisis y gestin de riesgos: modelo de valor, mapa de riesgos, evaluacin de salvaguardas, estado de riesgo, informe de insuficiencias, y plan de seguridad.
Sarbanes-Oxley, SOX
Actualmente las organizaciones estn expuestas a ataques que propicien la prdida de informacin y fraudes, para minimizar los riesgos de fraude, las empresas se requieren revisar, evaluar y fortalecer sus propios controles internos.
17 18
32
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002, fue preparada a partir de los escndalos financieros de los ltimos aos y establece una serie de nuevos requisitos tanto para las empresas estadounidenses como para las extranjeras, tenedoras y subsidiarias, que cotizan en la bolsa de valores estadounidense (New York Stock Exchange, NYSE), con la idea de regular el gobierno corporativo. Estos requerimientos deberan estar cumplidos a partir del 15 de diciembre de 2003, pero la Comisin de Valores de Estados Unidos (Security Exchange Commision,SEC) ya dio, el pasado mes de mayo, una prrroga para las empresas extrajeras de dos aos, no ms all del 31 de julio de 2005. Para las empresas estadounidenses la prrroga es de slo un ao, no ms all del 31 de octubre de 2004.19 La ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las actividades de las empresas multinacionales que cotizan en la Bolsa. Esta ley estadounidense contempla una revisin mucho ms rigurosa de los datos financieros que una empresa declara en sus estados financieros y que utiliza para sus controles internos20. Sin embargo, el control interno es un proceso efectuado por los niveles directivos y gerenciales, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de sus reas, teniendo como principales objetivos: Efectividad y eficiencia de las operaciones, Confiabilidad de la informacin financiera, Cumplimiento de las normas y leyes que sean aplicables, y Salvaguardia de los recursos.
Esta ley lleva mucho ms lejos las disposiciones sobre la obligacin de la gerencia de asegurar adecuados controles internos por lo que cuenta con una seccin de normas y reglas que dispone que los auditores deben incluir lo siguiente: El alcance de las pruebas del auditor de la estructura de control interno, Los hallazgos del auditor con respectos a dicha pruebas, y Una evaluacin sobre dicha estructura de control.
Dentro de esta ley existen 3 secciones que involucran directamente al departamento de TI y que son la 302, 404 y 409, cuyo contenido se explica brevemente a continuacin21. La clusula 302. Habla de la obligacin de generar reportes donde muestren el resultado financiero de la empresa22 y que este debe de estar avaluado en cuanto a su integridad. La clusula 404 nos dice que deben existir procedimientos23 y polticas 24 que aseguren la integridad de la informacin as como la disponibilidad de ella. Por ltimo la clusula 409 indica que toda organizacin debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo25 y esto afecte de manera seria a las ventas26 de la organizacin.
19 20
33
Normas.
Segn se describe en [bib-imcp], las normas de auditora son los requisitos mnimos de calidad relativos a la personalidad del auditor, al trabajo que desempea ya la informacin que rinde como resultado de este trabajo. Las normas de auditora se clasifican en: a. b. c. Normas personales. Normas de ejecucin del trabajo. Normas de informacin. Normas personales son cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados en un sus conocimientos profesionales as como en un entrenamiento tcnico, que le permita ser imparcial a la hora de dar sus sugerencias. Normas de ejecucin del trabajo son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditora. Normas de informacin son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, tambin es conocido como informe o dictamen.
Normas personales
Normas de informacin
27
[bib-imcp]
34
Tcnicas.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las circunstancias. Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u organizacin a ser auditada, que pudieran nesecitar una mayor atencin. Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor. Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisin del contenido de documentos y por examen fsico. Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la siguiente manera: Estudio General Anlisis Inspeccin Confirmacin Investigacin Declaracin Certificacin Observacin Clculo
Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de procedimientos de auditora en informtica. La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al conjunto de programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una estrategia y organizacin de la propia auditora. El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacin simultnea. En General los procedimientos de auditora permiten: Obtener conocimientos del control interno. Analizar loas caractersticas del control interno. Verificar los resultados de control interno. Fundamentar conclusiones de la auditora.
35
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de auditora sern los mas indicados par obtener su opinin.
Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de auditora, de los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o informacin son de tal importancia que es necesario verificarlos y comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de utilizar diversas tcnicas para el anlisis de datos, basados en [bib-solis-2002], las cuales se describen a continuacin. Comparacin de programas Comparacin de programas esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias. Mapeo y rastreo de programas esta tcnica emplea un software especializado que permite analizar los programas en ejecucin, indicando el nmero de veces que cada lnea de cdigo es procesada y las de las variables de memoria que estuvieron presentes. Anlisis de cdigo de programas Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo ejecutable). Datos de prueba Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie de transacciones que contienen tanto datos correctos como datos errneos predeterminados. Datos de prueba integrados Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa dentro de los sistemas de informacin. Anlisis de bitcoras Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tales como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados.
Datos de prueba
Anlisis de bitcoras
36
Simulacin paralela
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Simulacin paralela Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen a los programas de un sistema en produccin. El objetivo es procesar los dos programas o mdulos de forma paralela e identificar diferencias entre los resultados de ambos.
Monitoreo.
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo: M1 Monitoreo del proceso. M2 Evaluar lo adecuado del control Interno. M3 Obtencin de aseguramiento independiente. M4 Proveer auditora independiente.
28
Http://Ilustrados.com/Publicaciones/Epyfapup.php
37
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el nmero de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de computo as como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis de las mismas. El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una gran cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, as como para el auditor. Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: Fecha y hora. Direcciones IP origen y destino. Direccin IP que genera la bitcora. Usuarios. Errores.
La importancia de las bitcoras es la de recuperar informacin ante incidentes de seguridad, deteccin de comportamiento inusual, informacin para resolver problemas, evidencia legal, es de gran ayuda en las tareas de cmputo forense. Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes: Para UNIX, Logcheck, SWATCH. Para Windows, LogAgent
Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que estn teniendo mucha relevancia, como evidencia en aspectos legales. El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo para mantener un control de las mismas.
38
Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor, evaluar las mltiples aplicaciones especficas del sistema que emplea la unidad auditada, el examinar un diverso nmero de operaciones especficas del sistema, facilitar la bsqueda de evidencias, reducir al mnimo el riesgo de la auditora para que los resultados expresen la realidad objetiva de las deficiencias, as como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo. Teniendo en cuenta que se haca imprescindible auditar sistemas informticos; as como disear programas auditores, se deben incorporar especialistas informticos, formando equipos multidisciplinarios capaces de incursionar en las auditoras informticas y comerciales, independientemente de las contables, donde los auditores que cumplen la funcin de jefes de equipo, estn en la obligacin de documentarse sobre todos los temas auditados. De esta forma los auditores adquieren ms conocimientos de los diferentes temas, pudiendo incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros industriales, abogados, especialistas de recursos humanos o de normalizacin del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes.
39
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica La prctica de nuevas tcnicas para evaluar el control interno a travs de las cuales, la funcin de auditora informtica pretende mejorar la efectividad de su funcin y con ello ofrecer servicios ms eficientes y con un valor agregado. La evolucin de la teora del control interno se defini en base a los principios de los controles como mecanismos o prcticas para prevenir, identificar actividades no autorizadas, ms tarde se incluy el concepto de lograr que las cosas se hagan; la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de la organizacin. En este proceso evolutivo se considera actualmente, y en muchas organizaciones que el director de finanzas, contralor o al director de auditora como los responsables principales del correcto diseo y adecuado funcionamiento de los controles internos.
Benchmarking
Las empresas u organizaciones deben buscar formas o frmulas que las dirijan hacia una mayor calidad, para poder ser competitivos, una de estas herramientas o frmulas es el Benchmarking. Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de definiciones de lo que es benchmarking, a continuacin se presentan algunas definiciones. Benchmarking es el proceso continuo de medir productos, servicios y prcticas contra los competidores o aquellas compaas reconocidas como lderes en la industria.29 Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya que benchmarking no slo es un proceso que se hace una vez y se olvida, sino que es un proceso continuo y constante. Segn la definicin anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las organizaciones, y finalmente la definicin implica que el benchmarking se debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores. Entre otras definiciones tenemos la extrada del libro Benchmarking de Bengt, la cual es: benchmarking es un proceso sistemtico y contino para comparar nuestra propia eficiencia en trminos de productividad, calidad y prcticas con aquellas compaas y organizaciones que representan la excelencia. Como vemos en esta definicin se vuelve a mencionar el hecho de que benchmarking es un proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la importancia de la medicin dentro del benchmark. Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la productividad de las mismas, considerando el valor que tienen dichas acciones en contra de los costos de su realizacin lo cual representa la calidad, y la relacin entre los bienes producidos y los recursos utilizados para su produccin, lo cual se refiere a la productividad. Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque difieren en algunos aspectos tambin se puede notar que concuerdan o presentan una serie de elementos comunes. Para empezar en la mayora de ellas se resalta el hecho de que benchmarking es un proceso continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un proceso que se aplicar una y otra vez ya que dicho proceso est en bsqueda constante de las mejores prcticas de la industria, y como sabemos la industria est en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que no se puede asegurar que las mejores prcticas de hoy lo sern tambin de maana. Tambin se vio en las diferentes definiciones que este proceso no slo es aplicable a las operaciones de produccin, sino que puede aplicarse a todas la fases de las organizaciones, por lo que benchmarking
29
[bib-kearns-1994]
40
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la calidad y la productividad en el negocio. De igual manera podemos concluir que es de suma importancia como una nueva forma de administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras operaciones en base a estndares impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria. Dentro del benchmarking existen los siguientes tipos:30 Benchmarking interno Benchmarking interno en la mayor parte de las grandes organizaciones con mltiples divisiones o internacionales hay funciones similares en diferentes unidades de operacin, una de las investigaciones de benchmarking ms fcil es comparar estas operaciones internas, tambin debe contarse con facilidad con datos e informacin y no existir problemas de confidencialidad y los datos ser tan amplios y completos como se desee. Este primer paso en las investigaciones de benchmarking es una base excelente no slo para descubrir diferencias de inters sino tambin centrar la atencin en los temas crticos a que se enfrentara o que sean de inters para comprender las practicas provenientes de investigaciones externas, tambin pueden ayudar a definir el alcance de un estudio externo. Benchmarking competitivo Benchmarking competitivo los competidores directos de productos son contra quienes resulta ms obvio llevar a cabo el benchmarking, ellos cumpliran, o deberan hacerlo, con todas las pruebas de comparabilidad, en definitiva cualquier investigacin de benchmarking debe mostrar cuales son las ventajas y desventajas comparativas entre los competidores directos. Uno de los aspectos ms importantes dentro de este tipo de investigacin a considerar es el hecho que puede ser realmente difcil obtener informacin sobre las operaciones de los competidores, quiz sea imposible obtener informacin debido a que est patentada y es la base de la ventaja competitiva de la empresa. Benchmarking genrico Benchmarking genrico algunas funciones o procesos en las organizaciones son las mismas, el beneficio de esta forma de benchmarking, es que se
30
http://Monografias.com/Trabajos4.html
41
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica pueden descubrir prcticas y mtodos que no se implementan en la organizacin propia del investigador. Este tipo de investigacin tiene la posibilidad de revelar lo mejor de las mejores prcticas, la necesidad de objetividad y receptividad por parte del investigador. Que mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el hecho de que la tecnologa ya se ha probado y se encuentra en uso en todas partes, el benchmarking genrico requiere de una amplia conceptualizacin, pero con una comprensin cuidadosa del proceso genrico.
A continuacin se enuncian algunas de las normas que el auditor de sistemas de informacin debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de informacin debe estar preparado para justificar cualquier incumplimiento a stas. Normas Internacionales de Auditora emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditora o International Standards on Auditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras tcnicas adems de las manuales. Norma ISA 401, sobre Sistemas de Informacin por Computadora. SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement audit) dice que en una organizacin que usa Tecnologas de Informacin, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluacin de riesgos, actividades de control, informacin, comunicacin y monitoreo adems de la forma en que se inicializan, registran, procesan y reporta las transacciones. La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, plantea la importancia del uso de CAAT en auditoras en un entorno de sistemas de informacin por computadora. SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de informacin. SAP 1009 describe los procedimientos de auditora en que pueden ser usados los CAAT: 1. Pruebas de detalles de transacciones y balances (reclculos de intereses, extraccin de ventas por encima de cierto valor, etc.)
42
2. 3. 4. 5. 6.
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Procedimientos analticos, por ejemplo identificacin de inconsistencias o fluctuaciones significativas. Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparacin de cdigos y versiones. Programas de muestreo para extraer datos. Pruebas de control en aplicaciones. Reclculos.
Segn SAP1009, en su prrafo 26 y como se muestra en la Figura 3.1, Flujo de un CAAT: El software de auditora consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propsito, programas de utilera o programas de administracin del sistema. Independientemente de la fuente de los programas, el auditor deber verificar su validez para fines de auditora antes de su uso.
Mapeo
Comparacin de cdigo
43
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica formacin necesaria para facturar a los usuarios y evaluar el uso del sistema.
Planificacin de CAAT
En este punto se mencionarn cuales son los factores que influyen en la adecuada seleccin de una herramienta CAAT, as como los pasos que se deben tomar en cuenta para la planificacin y seleccin de la misma. Cuando se planifica la auditora, el auditor de sistemas de informacin debe considerar una combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes: Conocimientos computacionales, pericia y experiencia del auditor de sistemas de informacin. Disponibilidad de los CAAT y de los sistemas de informacin. Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas manuales Restricciones de tiempo
Los pasos ms importantes que el auditor de sistemas de informacin debe considerar cuando prepara la aplicacin de los CAAT seleccionados son los siguientes: Establecer los objetivos de auditora de los CAAT: Determinar accesibilidad y disponibilidad de los sistemas de informacin, los programas/sistemas y datos de la organizacin. Definir los procedimientos a seguir (por ejemplo: una muestra estadstica, reclculo, confirmacin, etc). Definir los requerimientos de output. Determinar los requerimientos de recursos. Documentar los costos y los beneficios esperados. Obtener acceso a las facilidades de los sistemas de informacin de la organizacin, sus programas/sistemas y sus datos. Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto nivel y las instrucciones a ejecutar. Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los archivos de operacin detallados (transaccionales, por ejemplo), a menudo son guardados slo por un perodo corto, por lo tanto, el auditor de sistemas de informacin debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora. Organizar el acceso a los sistemas de informacin de la organizacin, programas/sistemas y datos con anticipacin para minimizar el efecto en el ambiente productivo de la organizacin
El auditor de sistemas de informacin debe evaluar el efecto que los cambios a los programas/sistemas de produccin puedan tener en el uso de los CAAT. Cuando el auditor de sistemas de informacin lo hace, debe considerar el efecto de estos cambios en la integridad y utilidad de los CAAT, tanto como la integridad de los programas/sistemas y los datos utilizados por el auditor de sistemas de informacin. Probando los CAAT el auditor de sistemas de informacin debe obtener una garanta razonable de la integridad, confiabilidad, utilidad y seguridad de los CAAT por medio de una planificacin, diseo, prueba, procesamiento y revisin adecuados de la documentacin. sto debe ser hecho antes de depender de los CAAT. La naturaleza, el tiempo y extensin de las pruebas depende de la disponibilidad y la estabilidad de los CAAT.
44
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica La seguridad de los datos y de los CAAT pueden ser utilizados para extraer informacin de programas/sistemas y datos de produccin confidenciales. El auditor de sistemas de informacin debe guardar la informacin de los programas/sistemas y los datos de produccin con un nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debe considerar el nivel de confidencialidad y seguridad que exige la organizacin a la cual pertenecen los datos. El auditor de sistemas de informacin debe utilizar y documentar los resultados de los procedimientos aplicados para asegurar la integridad, confiabilidad, utilidad y seguridad permanentes de los CAAT. Por ejemplo, debe incluir una revisin del mantenimiento de los programas y controles de los cambios de programa de auditora para determinar que slo se hacen los cambios autorizados al CAAT. Cuando los CAAT estn en un ambiente que no est bajo el control del auditor de sistemas de informacin, un nivel de control apropiado debe ser implementado para identificar los cambios a los CAAT Cuando se hacen cambios a los CAAT el auditor de sistemas de informacin debe asegurarse de su integridad, confiabilidad, utilidad y seguridad por medio de una planificacin, diseo, prueba, procesamiento y revisin apropiados de la documentacin, antes de confiar en ellos.
El software de auditora generalizado, tambin conocidos como paquetes de auditora s on programas de computadora diseados para desempear funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar informacin, realizar clculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Cuando el auditor de sistemas de informacin utiliza el software de auditora generalizado para acceder a los datos de produccin, se deben tomar las medidas apropiadas para proteger la integridad de los datos de la organizacin. Adems, el auditor de sistemas de informacin tendr que conocer en el diseo del sistema y las tcnicas que se utilizaron para el desarrollo y mantenimiento de los programas/sistemas de aplicacin de la organizacin. El software utilitario es usado para desempear funciones comunes de procesamiento de datos, como clasificacin, creacin e impresin de archivos. Estos programas generalmente no estn diseados para propsitos de auditora y, por lo tanto, pueden no contener caractersticas tales como conteo automtico de registros o totales de control. Cuando el auditor de sistemas de informacin utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervencin no planificada durante el procesamiento y que ste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisin del log de la consola del sistema o de la informacin de contabilidad del sistema. El auditor de sistemas de informacin tambin debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organizacin, puesto que estos utilitarios podran fcilmente daar el sistema y sus archivos. Los datos de prueba consisten en tomar una muestra del universo de datos del sistema que se encuentra en produccin para analizarlos.
45
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Cuando el auditor de sistemas de informacin utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que esta tcnica no evala los datos de produccin en su ambiente real. El auditor de sistemas de informacin tambin debe estar consiente de que el anlisis de los datos de prueba pueden resultar muy complejos y extensos, dependiendo de el nmero de operaciones procesadas, el nmero de programas sujetos a pruebas y la complejidad de los programas/sistemas. Cuando el auditor de sistemas de informacin utiliza el software de aplicacin para sus pruebas CAAT, debe confirmar que el programa fuente que est evaluando es lo mismo que se utiliza actualmente en produccin. El auditor de sistemas de informacin debe estar consiente de que el software de aplicacin slo indica el potencial de un proceso errneo, no evala los datos de produccin en su ambiente real. Cuando el auditor de sistemas de informacin utiliza los sistemas de auditora especializados debe conocer profundamente las operaciones del sistema.
La documentacin debe incluir: Los procedimientos de la preparacin y la prueba de los CAAT y los controles relacionados. Los detalles de las pruebas realizadas por los CAAT. Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica). Evidencia de auditora: el output producido (ejemplo: archivos log, reportes). Resultado de la auditora. Conclusiones de la auditora. Las recomendaciones de la auditora.
46
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica descrito brevemente en la seccin del informe donde se tratan los objetivos, extensin y metodologa y una referencia anexa para el lector, con una descripcin ms detallada.
IDEA .
A travs de la herramienta IDEA, se puede disminuir costos de anlisis, realzar la calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos. IDEA es reconocido en todo el mundo, como un estndar en comparaciones con otras herramientas de anlisis de datos, ofreciendo una combinacin nica en cuanto a poder de funcionalidad y facilidad de uso.
31
Auditora interna. Conformidad de polticas. Valor del dinero. Pruebas de excepcin. Anlisis. Comparaciones y coincidencias.
Deteccin de fraudes. Compras y pagos: validacin de proveedores, anlisis contables. Nmina: coincidencias cruzadas, clculos. Lavado de dinero: valores elevados, cifras redondeadas, movimientos frecuentes.
31
www.cynthus.com.mx [http://www.cynthus.com.mx]
47
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Sumarizacin y categoras (por ejemplo: por cliente, producto o regin). Establecimiento de medidas de actuacin (por ejemplo: tiempos de respuesta en un proceso de pedidos). Perfiles. Anlisis de Inventario. Anlisis de flujo de caja. Revisiones de Seguridad. Registros del sistema. Derechos de acceso. Registro de telfonos. Firewalls.
Transferencias de archivos. Importacin de datos desde el sistema central y exportacin a un nuevo sistema en un formato ms adecuado.
Bancos e instituciones financieras. Verificacin de clculos de inters. Identificacin de cuentas inactivas. Anlisis de prstamos por ndices de riesgo. Corroboracin de provisiones para prdidas por prstamos. Anlisis de reclamos de seguros.
Industrias. Verificacin de costos de inventarios. Anlisis de movimientos de inventario. Comprobacin de diferencias entre el mayor general y las cuentas de inventario. Anlisis y anticuacin del trabajo en curso.
Organizaciones de ventas al por menor. Anlisis de utilidad bruta. Anlisis por regin, departamento o lnea de producto. Anlisis de precios.
Entes gubernamentales (prestadores de ayudas y beneficios). Comprobacin de clculos. Anlisis y acumulacin de estadsticas de pago. Bsqueda de duplicados: coincidencias cruzadas de nombres, direcciones e informacin bancaria.
48
Funciones
Importacin de datos. IDEA permite importar casi todo tipo de archivos desde cualquier tipo de origen, mediante la utilizacin del Asistente de importacin. IDEA ofrece tambin el editor de Definiciones de Registro (RDE, Record Definition Editor), que lo ayudar en la importacin de archivos complejos, registros de longitud variable, y archivos con mltiples tipos de registros. Este producto tambin puede ser utilizado para modificar definiciones de registros creadas y guardadas por el Asistente de Importacin. Manejo de archivos y clientes. IDEA utiliza un Explotador de Archivos que proporciona un manejo sencillo y estandarizado de los mismos. Esta ventana puede cambiarse de posicin en la pantalla y puede modificarse su tamao. En ella se visualiza, ya sea en forma jerrquica u ordenada, toda la informacin referente a los archivos de IDEA que pertenecen a la carpeta de trabajo (cliente) activa. IDEA utiliza el concepto de Carpetas de Cliente para facilitar el manejo de los archivos. Tanto el nombre del cliente o proyecto como el perodo de anlisis pueden ser asociados a una Carpeta de Cliente. Esta informacin aparecer en todos los informes que se impriman dentro de esta carpeta. La Barra de Herramientas del Explorador de Archivos proporciona un acceso sencillo a las funciones de manejo de archivos incluyendo la posibilidad de marcar un archivo. Estadsticas de campo. Pueden generarse estadsticas para todos los campos numricos y de fecha pertenecientes a una base de datos. Se pueden calcular, para cada campo numrico, el valor neto, los valores mximos y mnimos, el valor medio, as como tambin la cantidad de registros positivos y negativos y la cantidad de registros de valor cero. Para los campos de fecha se proporcionan estadsticas tales como la fecha ms temprana y fecha ms tarda y el anlisis de transacciones diarias y mensuales. Historial. Dentro de la Ventana de Base de Datos, la pestaa Historial muestra todas y cada una de las operaciones realizadas en la Base de Datos presentadas en una lista que puede expandirse fcilmente. Cada prueba o funcin realizada genera, en forma automtica, un cdigo IDEAScript que puede ser copiado en el Editor de IDEAScript. IDEAScript es un lenguaje de programacin compatible con Visual Basic. Extracciones. La Extraccin o prueba de excepcin, es la funcin ms comnmente utilizada en IDEA para identificar elementos que satisfacen una determinada condicin como por ejemplo pagos mayores a $10,000 o transacciones efectuadas con anterioridad a una fecha dada. Los criterios de extraccin son ingresados utilizando el Editor de Ecuaciones y todos los registros que satisfagan el criterio ingresado son extrados a una nueva base de datos. Se puede realizar una sola extraccin de registros a una base de datos o hasta 50 extracciones diferentes a travs de un solo paso por la base de datos. Extraccin indexada. La Extraccin Indexada permite limitar el mbito de los datos a ser buscados por IDEA en la base de datos. Una extraccin indexada ahorra tiempo al trabajar con bases de datos extensas. Extraccin por valor clave. La Extraccin por Valor Clave brinda la posibilidad de generar una serie de bases de datos secundarias en forma rpida mediante valores comunes encontrados en la base de datos primaria. La extraccin por valor clave no requiere de la creacin de ecuaciones para ejecutar la extraccin. Una clave es un ndice creado en una base de datos y un valor clave es uno de los posibles valores que puede tomar esa clave. @Funciones. Las @Funciones son utilizadas para realizar clculos complejos y pruebas de excepcin. IDEA proporciona ms de 80 funciones las cuales pueden utilizarse para llevar a cabo aritmtica de fechas, manipulaciones de texto, as como clculos estadsticos, numricos, financieros y de conversin. En IDEA las funciones comienzan, ortogrficamente, con el smbolo @, y son muy similares a las funciones proporcionadas por el programa Microsoft Excel. Conector Visual. El conector Visual le permite generar una nica base de datos a travs de otras bases de datos que comparten un campo clave en comn. Para crear una conexin visual entre diferentes bases de datos, se debe seleccionar una base de datos primaria y luego conectar bases de datos que posean registros coincidentes. La relacin creada por el Conector Visual entre las bases de datos es uno a muchos, es decir que la base de datos primaria puede contener diversos registros coincidentes
49
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica en las bases de datos conectadas. Todos los registros de las bases de datos conectadas que coincidan con los registros de la base de datos primaria son incluidos en la base de datos resultante. Uniones. IDEA, a travs de la opcin Unir Bases de Datos, permite combinar dos campos de bases de datos distintas dentro de una nica base de datos, comprobando la existencia o no de datos coincidentes en ambos archivos. Las uniones entre bases de datos pueden realizarse si las mismas contienen un campo en comn denominado campo clave. Agregar. La funcin Agregar Bases de Datos se utilizar para concatenar dos o ms archivos dentro de una nica base de datos. Por ejemplo se pueden agregar todos los archivos mensuales de nminas para obtener una base de datos con todas las nminas del ao. Luego esta base de datos podra ser sumarizada por empleado obteniendo el bruto, el neto anual y las deducciones anuales. Pueden concatenarse hasta 32,768 archivos en una nica base de datos. Comparar. La opcin Comparar Bases de Datos identifica las diferencias que existen en un campo numrico dentro de dos archivos para una clave en comn. Estos archivos pueden ser comparados en diferentes momentos, por ejemplo, en el caso de la nmina al principio y al final del mes para identificar cambios en los salarios de cada empleado. Se puede comparar tambin un campo numrico en sistemas distintos, por ejemplo, la cantidad de inventario existente para un tem tanto en el archivo maestro de inventario como en el archivo inventarios. Duplicados. IDEA puede identificar elementos duplicados dentro de una base de datos donde existen hasta 8 campos con la misma informacin. Por ejemplo, nmeros de cuenta duplicados, direcciones, plizas de seguros, etc. Omisiones. IDEA le permite buscar omisiones o huecos en secuencias numricas y de fechas dentro de un archivo, as como tambin dentro de secuencias alfanumricas a travs de una mscara previamente definida. Para omisiones de fecha, se pueden elegir las opciones fines de semana e ignorar vacaciones. Como ocurre con muchas de las funciones de IDEA, se pueden establecer criterios antes de realizar la bsqueda, tales como importes superiores a $1,000, e incluso se puede modificar el incremento si se desea buscar, por ejemplo, omisiones mltiplos de 10. Omisiones. La opcin Ordenar se utilizar para crear una base de datos fsicamente ordenada de acuerdo a un orden previamente especificado. El ordenar bases de datos puede mejorar significativamente el desempeo de determinadas funciones. Grficos. La opcin Graficar Datos puede utilizarse para graficar archivos de datos o resultados de pruebas realizadas, ya sea en grficos de barras, barras agrupadas, reas, lneas o sectores. El Asistente de Grficos lo guiar paso a paso en la creacin del grfico proporcionndole opciones para incluir ttulos, efectos 3D, leyendas, colores, formas y estilos de rejillas. Los grficos pueden ser impresos, guardados como archivos de mapa de bits o pueden ser copiados en otra aplicacin de Windows. Ley de Benford. Mediante la aplicacin del anlisis de la ley de Benford podr identificar posibles errores, fraudes potenciales y otras irregularidades. Esta ley determina que los dgitos y las secuencias de dgitos persiguen un patrn predecible. El anlisis cuenta las apariciones de valores en los dgitos en una serie de datos y compara los totales con un resultado predeterminado de acuerdo a la ley de Benford. Los dgitos distintos de cero son contados de izquierda a derecha. Estratificacin. La Estratificacin Numrica, la Estratificacin de Carcter y la Estratificacin de Fecha son una poderosa herramienta para totalizar la cantidad y el valor de los registros dentro bandas especficas. Permiten analizar, por ejemplo, elementos por cdigo postal o por cdigo alfanumrico de producto o activos por fecha de adquisicin. Sumarizacin. La Sumarizacin de Campo Rpida se utiliza para totalizar valores de campos numricos por cada clave nica, sumarizando un nico campo clave. La Sumarizacin por Campo Clave se utiliza cuando la clave esta formada por uno o ms campos. Los resultados de las sumarizaciones pueden ser graficados y puede accederse en detalle a los registros asociados a cada clave.
50
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Antigedad. La funcin antigedad realiza una anticuacin del archivo desde una fecha especfica en hasta seis intervalos definidos. Por ejemplo, al final del ao pueden anticuarse los crditos a cobrar para determinar si se deben realizar provisiones. La funcin antigedad produce un Informe de Antigedad y dos bases de datos opcionales: la base de datos de antigedad detallada y la base de datos totalizada por clave. Tabla pivot. La Tabla Pvot le permite crear anlisis variables y multi-dimensionales en archivos de datos extensos. Al momento de disear una tabla pvot en IDEA, podr seleccionar la ubicacin de los distintos campos en la tabla para visualizar la informacin en el modo en que usted desea. La posicin de los campos en la tabla definir como estarn organizados y cmo sern sumarizados los datos. Agrupador de procesos. Cuando se ejecuta una serie de tareas sobre una base de datos de IDEA, cada tarea requiere de un paso a travs de la base de datos. El Agrupador de Procesos analiza las tareas a efectuar y ejecuta las diferentes tareas realizando un solo paso por la base de datos, siempre y cuando esto sea posible. El Agrupador de Procesos ejecuta cada tarea en forma independiente y crea una salida para cada proceso realizando un solo paso por la base de datos. Muestreo. IDEA proporciona cuatro mtodos de muestreo junto con la posibilidad de calcular tamaos de muestras basadas en parmetros ingresados, y evaluar los resultados de las muestras efectuadas. Los mtodos de muestreo disponibles son: sistemtico (ej. cada 1000 registros); aleatorio (nmero de elementos elegidos al azar); aleatorio estratificado (un nmero especfico de elementos seleccionados de acuerdo al azar de acuerdo a intervalos); y unidad monetaria (ej. De cada 1,000 dlares u otra unidad monetaria).IDEA proporciona tambin una opcin de Planificacin y Evaluacin de Atributos, la cual puede ser utilizada para calcular tamaos de muestras, niveles de confianza, lmites de errores o desvos y cantidad de errores de la muestra. Estos clculos son utilizados para planificar y luego evaluar los resultados de las muestras. Agregar campos. Los datos importados a IDEA son protegidos y no pueden ser modificados. Sin embargo, pueden agregarse campos adicionales editables ya sea para detallar comentarios, para tildar elementos o para corregir datos. Por otro lado, se pueden agregar campos virtuales (calculados) para probar clculos en una base de datos, para realizar nuevos clculos, para obtener porcentajes a travs de otros campos de la base de datos, o para convertir datos de un tipo a otro. Los campos editables pueden estar vacos para ingresar comentarios o datos, o pueden basarse en una expresin como ocurre en el caso de los campos virtuales. Los campos booleanos y triestado permiten etiquetar o marcar los campos de acuerdo a 2 o 3 estados respectivamente. IDEAScript. IDEAScript es un lenguaje de programacin orientada a objetos, compatible con Microsot Visual Basic para Aplicaciones TM y LotusScript TM. Los IDEAScripts, tambin denominados macros, pueden ser creados ya sea grabando una serie de pasos, copindose desde otros scripts, copindose desde el Historial, siendo ingresados en la Ventana de Macro o mediante una combinacin de cualquiera de todas estas posibilidades. Los Scripts pueden incorporarse al men Herramientas o a la Barra de Herramientas de Macro, o ejecutarse simplemente desde el men Herramientas. Los IDEAScript poseen una serie de herramientas complementarias tales como el Editor de Dilogos, el Explorador de Lenguaje y las herramientas de Depuracin para asistirlo en la creacin de los scripts.
ACL
32
ACL es una herramienta CAAT enfocada al acceso de datos, anlisis y reportes para auditores y profesionales financieros.
32
www.acl.com [http://www.acl.com]
51
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Una de las ventajas de esta herramienta es que no es necesario ser un especialista en el uso de CAAT ya que su uso es muy amigable, esta herramienta reduce el riesgo y asegura el retorno de la inversin, tambin posee una poderosa combinacin de accesos a datos, anlisis y reportes integrados, ACL lee y compara los datos permitiendo a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL permite tener una vista inmediata de la transaccin de datos crticos en la organizacin. ACL permite: Anlisis de datos para un completo aseguramiento. Localiza errores y fraudes potenciales. Identifica errores y los controla. Limpia y normaliza los datos para incrementar la consistencia de los resultados. Realiza un test analtico automtico y manda una notificacin va e-mail con el resultado.
ACL brinda una vista de la informacin de la organizacin y habilita directamente el acceso a bsquedas de cualquier transaccin, de cualquier fuente a travs de cualquier sistema. Ahorra tiempo y reduce la necesidad de requerimiento de informacin a departamentos de TI muy ocupados, incrementa el nivel de datos hospedados en mltiples ERP o aplicaciones especializadas. Permite examinar el 100 por ciento de las transacciones de datos, cada campo, cada registro. Accesa a diversos tipo de de datos con facilidad incluyendo bases de datos ODBC. Esta herramienta proporciona una completa integridad de datos, ACL solo tiene acceso de lectura a los datos de los sistemas que se estn monitoreando, esto significa que la fuente de datos nunca ser cambiando, alterada o borrada. Una de las ventajas de esta herramienta es que tiene un tamao ilimitado en el monitoreo de datos y puede procesar rpidamente millones de transacciones de datos ya que permite leer mas de 10,000 y hasta 100,000 registros por segundo ACL destaca por ser de fcil uso: selecciona, identifica y da formato a los datos fcilmente gracias al Data Definition Wizard con esta librera permite importar y exportar datos directamente a Excel, Access y XML, otra mas de las ventajas es que no es necesario tener conocimientos de programacin para el uso de ACL. La herramienta tiene comandos pre-programados para anlisis de datos, pero tambin puede analizar datos adaptndose a una metodologa y excepciones de investigacin en cualquier momento, se pueden implementar continuos monitoreos haciendo anlisis automticos a travs de scripts y habilitando la notificacin en tiempo real. Explora los datos rpida y completamente, como se muestra en Figura 3.2, Comandos pre-cargados
52
Otra ventaja es los resultados se pueden ver fcilmente y entenderlos en formatos tabulares, posee graficas precargadas, tambin posee un log de actividad de los registros sto permite analizar y comprar registros pasados con los nuevos, posee vistas de reportes precargadas de Crystal Reports, como se muestra en Figura 3.3, Visor de Cristal Reports
Especificaciones tcnicas: PC con procesador Pentium o superior. Windows 98/ME o Windows NT (SP6), 2000 (SP2), XP. 32MB de RAM (Mnimo). 26MB de espacio en disco duro para ACL (Mnimo) y 44 MD extras si se desea instalar la librera de Crystal Reports.
53
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Internet Explorer 5.5 o mayor. Windows Installer MDAC 2.6 MsJet 4.0 SP3 o mayor. MSXML 4.0 o mayor.
Auto Audit
Auto Audit es un sistema completo para la automatizacin de la funcin de Auditora, soportando todo el proceso y flujo de trabajo, desde la fase de planificacin, pasando por el trabajo de campo, hasta la preparacin del informe final. Adems del manejo de documentos y papeles de trabajo en forma electrnica, Auto Audit permite seguir la metodologa de evaluacin de riesgos a nivel de entidad o de proceso, la planificacin de auditoras y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un mdulo de reportes ad hoc. Todos estos mdulos estn completamente integrados y los datos fluyen de uno a otro automticamente. Su pantalla principal se muestra en la Figura 3.4, Ventana principal.
Beneficios
Eficiencia en el trabajo Eficiencia en el trabajo Aumenta la eficiencia en la conduccin de la evaluacin de riesgos y planificacin anual. El incremento est entre 20% y 45%. Base de conocimiento Acceso inmediato a toda la documentacin de auditoras pasadas, en ejecucin o planeadas. Flexibilidad Permite que los auditores puedan trabajar en lugares distantes con sus rplicas locales de la auditora en curso y su posterior sincronizacin a la base de datos centralizada. Estandarizacin y control Garantiza el seguimiento de metodologas de trabajo de acuerdo a las mejores prcti-
Base de conocimiento
Flexibilidad
Estandarizacin y control
54
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica cas de la organizacin con el uso de una biblioteca de documentos estndares (memoranda, programas, papeles de trabajo, cuestionarios, evaluaciones, informe final y otros). Adaptabilidad Adaptabilidad Provee una herramienta de reportes ad hoc para la generacin de informes, tablas y grficos con los formatos requeridos para el Comit de Auditora o Auditor General. Comunicacin Mejora la comunicacin con los auditados en el seguimiento de los hallazgos y planes de accin. Reduccin de costos y aprovechamiento del recurso ms valioso (el auditor): Se reducen los costos y el tiempo de documentacin y revisin de papeles, logrando invertir ms tiempo en la auditora, aadiendo as valor a la labor de auditora. Seguridad y confidencialidad Permite la creacin de usuarios definiendo perfiles segn su rol dentro de la auditora para controlar el acceso de documentos e integridad de la informacin. Con sus algoritmos de cifrado (encriptacin) Auto Audit garantiza la confidencialidad de informacin. Facilidad de uso Auto Audit se aprende e implementa en menos de una semana. Integracin con ACL Es posible integrar los procesos de anlisis de datos que se efectan con ACL en los papeles de trabajo de Auto Audit.
Comunicacin
Seguridad y confidencialidad
Facilidad de uso
55
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Creacin automtica del Informe Final de Auditora extrayendo informacin clave de los hallazgos registrados durante el trabajo de campo. Monitoreo de hallazgos para todas las auditoras visualizado por status, fecha de seguimiento, auditora, nivel de riesgo y otros. Registro de tiempos y gastos para la generacin de reportes. Elaboracin de encuestas post-auditora as como tambin evaluaciones de los auditores. Disponibilidad de reportes estndares ya listos para su uso y posibilidad de crear reportes ad hoc segn las necesidades. Mantiene un registro histrico de todas las actualizaciones, revisiones y aprobaciones de documentos. Permite personalizar reas de la aplicacin para reflejar el ambiente de trabajo nico de cada organizacin tales como: reas de negocio, factores de riesgo, calificaciones de hallazgos, entre otros y se adapta a cualquier estructura de auditora (COSO, COCO, CSA). Tiene un algoritmo propio que encripta los datos asegurando la confidencialidad de la informacin y su acceso nicamente a travs de la aplicacin.
33
La metodologa Audicontrol APL versin 2005 y el software en el que sta se apoya, proveen ayudas para asistir a los diseadores de controles, analistas de seguridad y analistas de riesgos, en el desarrollo de todas las etapas de proyectos de Gestin de Riesgos y Diseo de Controles Internos o de Rediseo, Reingeniera del Sistema de Control Interno existente para procesos de negocio, sistemas de informacin (Aplicaciones de Computador) y la Infraestructura de Tecnologa de Informacin de la organizacin. Audicontrol APL es una herramienta para asistir en la construccin de sistemas de gestin de riesgos y controles internos en los procesos de la cadena de valor y los sistemas de informacin de las empresas. Para este fin, utiliza la tcnica de Autoevaluacin del Control (CSA: Control Self Assessment), tambin conocida con el nombre de Autoaseguramiento del Control (CSA: Control Self Assurance). Esta es una extensin de los mecanismos de control interno que tiene por objeto el asegurar a los clientes, accionistas y organismos gubernamentales de control y vigilancia, que los controles necesarios estn establecidos y son efectivos para mitigar los riesgos importantes. Desde la perspectiva administrativa, CSA asiste en la determinacin de si la organizacin est satisfaciendo sus objetivos. Las ventajas claves de implementar un CSA incluyen la deteccin temprana de riesgos y el desarrollo de planes de accin concretos que salvaguarden los programas organizacionales contra riesgos del negocio significativos. Los objetivos del CSA son: Reducir o eliminar los controles costosos e inefectivos. Define con precisin las reas de riesgo, mientras se desarrollan adecuadas medidas de control. Evala los estndares de control utilizados. Enfatiza las responsabilidades de la administracin por el desarrollo y monitoreo efectivo de los sistemas de control interno. Comunicar los resultados a otros.
CSA es una tcnica que implica la conduccin de talleres (workshops) con todos los miembros del staff que intervienen en un proceso o sistema de informacin, en el cual se discuten los riesgos y problemas de control y se aconsejan planes de accin para solucionar esos problemas. Este proceso ofrece
33
http://www.audisis.com
56
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica un medio de identificar los problemas de control y las recomendaciones de mejoramiento. Los facilitadores ayudan al grupo a ponerse de acuerdo. Audicontrol-APL automatiza las metodologas de diseo y documentacin de controles en operaciones de negocios y procesos de TI, utilizando tres alternativas de escenarios de riesgo: Subprocesos o componentes de los procesos de la Cadena de Valor de las Empresas (misionales o de apoyo administrativo), definidos de acuerdo con las condiciones de funcionamiento reales de cada Organizacin. Diez escenarios de riesgos claves para la Infraestructura de TI. La metodologa es aplicable para desarrollar el enfoque de diseo de gestin de riesgos para procesos de los cuatro dominios del Modelo COBIT (Control Objectives for Information and Related Technology, tercera edicin en el ao 2000). Quince escenarios de Riesgo agrupados de manera natural, que representan el ciclo de vida del control de los datos en las aplicaciones de computador.
Audicontrol-APL provee una herramienta de software orientada al usuario final, para apoyar el desarrollo de todas las fases y etapas de la metodologa de Diseo de Controles y Gestin de Riesgos Operacionales. Las 2 fases y 10 etapas de la metodologa son las siguientes: Fase I: fase esttica o estructural del control interno. 1. 2. 3. 4. 5. Identificar la Seguridad Requerida. Evaluar Riesgos Potenciales e identificar Riesgos Crticos. Elaborar Mapa de Riesgos. Seleccionar Controles Necesarios y evaluar la proteccin que ofrecen. Definir Especificaciones para Implantar los Controles (Documentar los Controles).
Fase II: dinmica u operativa del control interno. 1. 2. 3. 4. 5. Sensibilizar y Concientizar a los propietarios del proceso para el mejorar cultura de Control de la Organizacin. Elaborar e Implantar Guas de Autocontrol. Elaborar e Implantar de Guas de Monitoreo de la Proteccin Existente y del Riesgo Residual. Generar el Manual de Controles y Administracin de Riesgos Operacionales. Mantenimiento y Actualizacin del Manual de Controles.
Audicontrol-APL es un software para Windows, que opera en ambientes monousuario o en Red local. La metodologa AUDICONTROL APL fue creada para apoyar el trabajo de: Analistas y Desarrolladores de Sistemas. Departamentos de Organizacin y Mtodos. Auditores de Sistemas. Departamentos de Control Interno. Administradores de Seguridad en Procesamiento electrnico de datos. Administradores de Riesgos.
57
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Funciones. Para cada proceso o sistema objeto de estudio, Audicontrol-APL ayuda a personalizar las bases de datos de conocimientos de las organizaciones, con conceptos y elementos modernos de control aportados por los modelos COBIT ( Control Objectives for Information and Related Technology ISACA, 2000 ) y COSO y las normas ISO 9000, ISO 9126, ISO 12207, ISO 14000, ISO 18000 e ISO 17799. En las actividades de diseo, rediseo, documentacin e implantacin de los controles, AudicontrolAPL apoya a los diseadores con guas, cuestionarios estndar y bases de conocimientos sobre procesos de tecnologa de informacin, riesgos, causas del riesgo, controles y objetivos de control. Identificar y categorizar los riesgos inherentes a los negocios o servicios de las empresas, como lo recomienda el modelo COSO. Ayuda a elaborar el Mapa de Riesgos con la ubicacin fsica, lgica y funcional de los riesgos en las dependencias y procesos que intervienen en los negocios o servicios de las empresas. Seleccionar los controles necesarios para mitigar el impacto o reducir la probabilidad de ocurrencia de las amenazas que podran originar cada uno de los riesgos potenciales crticos. Mide (califica) el grado de proteccin que aportan los controles seleccionados, por cada amenaza (causa del riesgo), punto de control, dependencia y objetivo de control de cada proceso de negocio y servicio soportado en tecnologa de informacin. Elaborar Guas de Autocontrol que asignan responsabilidades por la ejecucin y/o supervisin de cada control clave en las dependencias que intervienen en los procesos de negocios automatizados. Elaborar Guas de Autoevaluacin del Control o Autoaseguramiento del Control, para medir (determinar) peridicamente los niveles del riesgo residual en las dependencias de la empresa. Disear e implantar el Plan de Mitigacin de Riesgos no protegidos apropiadamente por los controles establecidos en la organizacin. Elaborar los Manuales de Control Interno y Gestin de Riesgos para los procesos, las aplicaciones y la infraestructura de TI y permite su actualizacin permanente. Para los procesos y sistemas en proceso de desarrollo, Audicontrol-APL ayuda a disear e implantar la estructura de control requerida, desde su inicio hasta su implantacin definitiva. Ofrece la posibilidad de personalizar y reutilizar las bases de datos generadas con circunstancias propias de la empresa, como base para el diseo de controles en otras reas o procesos automatizados. Provee ayudas y herramientas para valorar y medir el riesgo potencial (RP), la proteccin ofrecida (PO) por los controles establecidos y el riesgo residual (RR) que estn asumiendo las organizaciones en cada proceso o sistema de informacin. Audicontrol-APL cuenta con el soporte y asesora permanente de AUDISIS, que es una firma de Consultores Gerenciales especializados en control y auditora de sistemas, estable y de reconocido prestigio profesional en Colombia y el exterior.
En sntesis, Audicontrol-APL p roporciona un esquema de trabajo seguro y eficiente para: Identificar y evaluar los riesgos potenciales y residuales asociados con las operaciones de negocio y de soporte administrativo de las empresas. Definir e implantar controles manuales y automatizados que sean efectivos para reducir a niveles aceptables la exposicin al riesgo en los sistemas automatizados de las empresas, con su respectiva documentacin.
58
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Facilitar la implantacin de un Sistema de Gestin de Riesgos Operacionales. Implantar tcnicas y procedimientos de Autocontrol y de Prevencin del Riesgo en las empresas.
AuditMaster
34
AuditMaster de Pervasive, es una solucin de supervisin de transacciones a nivel de base de datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos Pervasive.SQL. La tecnologa de AuditMaster consiste en capturar las operaciones que se realizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en tres componentes: Gestor de eventos (Log event handler) Gestor de eventos (Log event handler) Es un plugin que se instala fcilmente en la base de datos. Acta como una especie de caja negra que captura y escribe en un registro de seguimiento todas las actividades que se llevan a cabo en la base de datos. Se instala en el nivel de la base de datos, de forma que siempre que sta funciona, tambin lo hace el gestor de eventos, manteniendo al da el registro de seguimiento. El gestor de eventos se instala en el sistema con el motor para servidores Pervasive.SQL. Base de datos de registro (Log database) Es un conjunto de archivos de Pervasive.SQL residente en el directorio de datos de AuditMaster. El archivo principal de registro contiene toda la informacin de seguimiento, por ejemplo, la identificacin de usuario, la identificacin de la estacin de red, el tiempo y la fecha de la operacin, el nombre de aplicacin, el nombre de la tabla de la base de datos y el tipo de operacin. Adems, el archivo crea imgenes, antes y despus de la transaccin, a efectos de actualizacin de los registros. Cada vez que un usuario modifica algn dato, AuditMaster escribe en el registro tanto el valor antiguo como el nuevo. Visor de registros (Log viewer) Permite hacer consultas a la base de datos de registro, lo que permite que un administrador de seguridad compruebe las actividades realizadas y analice patrones y tendencias. Las consultas se realizan con rapidez gracias a una sencilla interfaz grfica. Los informes de AuditMaster tambin pueden evidenciar si se utilizan las prcticas requeridas o buenas prcticas generales. Asimismo, el visor de registros tambin se emplea para mantener y configurar el sistema AuditMaster, lo que incluye la
34
http://www.pervasive.com
59
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica creacin de alertas que ejercen una vigilancia dinmica de las actividades realizadas con datos futuros. Una vez definidas las alertas en AuditMaster, esperan a que se lleve a cabo alguna operacin de inters perteneciente al espectro de acciones de los usuarios, tales como la creacin, la actualizacin, la eliminacin o simplemente la lectura de datos. Cuando se produce algn evento de inters, el gestor de eventos activa inmediatamente una alerta, bien a travs de un correo electrnico enviado a uno o ms destinatarios, bien a travs de una llamada a otra aplicacin o mediante el inicio de una nueva aplicacin. El visor de registros puede instalarse en cualquier mquina con acceso al servidor Pervasive.SQL y a los archivos de la base de datos de registro.
Ventajas
AuditMaster no exige modificar el cdigo de la aplicacin actual o de la base de datos Pervasive.SQL, ya que es independiente de la aplicacin y se instala en la propia base de datos, muy por debajo del nivel de las aplicaciones clientes. AuditMaster puede supervisar varias aplicaciones e incluso identificar la fuente original de cada evento en el registro de seguimiento, permitiendo de esta manera llevar a cabo un anlisis interno del sistema y un control detallado de la aplicacin. Adems de presentar informes y activar alertas, el registro de seguimiento detallado ofrece otras ventajas. Al almacenar imgenes de todos los cambios antes y despus de la transaccin, es posible recuperar registros individuales de la base de datos deshaciendo los cambios capturados en el registro de seguimiento. Adems, como el registro est almacenado en tablas de Pervasive.SQL, las aplicaciones pueden acceder directamente a los datos de registro, lo que permite integrar AuditMaster en otras aplicaciones. Trabaja con todos los datos de Pervasive.SQL, tanto transaccionales como relacionales, tambin puede mantener automticamente en los registros de datos mltiples archivos de metadatos que faciliten actualizaciones a nuevas versiones de la aplicacin cliente, incluso aunque cambien los archivos de definicin de datos (DDF). Los metadatos de AuditMaster pueden ser auditados aunque falten los archivos DDF o estn incompletos. Adems, si el sistema utiliza registros variantes, AuditMaster sigue realizando las mismas funciones de captura, informe y alerta.
Especificaciones.
Plataformas soportadas. Windows NT 4.0 (SP3 o superior) Windows 2000 Windows 2003 Windows XP
60
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Pervasive.SQL V8.5 Pervasive.SQL V9
Delos
35
Delos es un sistema experto que posee conocimientos especficos en materia de auditora, seguridad y control en tecnologa de informacin. Este conocimiento se encuentra estructurado y almacenado en una base de conocimiento y puede ser incrementado y/o personalizado de acuerdo con las caractersticas de cualquier organizacin y ser utilizado como una gua automatizada para el desarrollo de actividades especficas. Para la utilizacin del sistema hemos identificado cuatro roles o que tienen relacin con el control en una organizacin: El responsable de disear e implementar el control en la organizacin, quien puede ser un analista de sistemas, un oficial de seguridad, un diseador de procesos de trabajo o alguien quien realice trabajos de reingeniera. El responsable de evaluar el correcto funcionamiento del control de la organizacin, quien normalmente es un auditor, un representante de aseguramiento de calidad o cualquier persona que se le asigne en forma temporal o definitiva la funcin de evaluacin El usuario del control, quien realiza sus actividades cotidianas con la seguridad de que cuenta con los elementos suficientes para desarrollar sus funciones de forma eficiente, efectiva, segura y consistente y Los beneficiarios del control, quienes reciben los beneficios de que una organizacin opere con adecuados procedimientos de control. Los beneficiarios pueden ser tanto internos como externos a la organizacin, los primeros representados por la administracin y los accionistas y los segundos representados normalmente por clientes, proveedores, gobierno, inversionistas, etc.
Delos es una herramienta que fue diseada pensando en empresas, organizaciones y profesionistas que deseen incrementar los beneficios derivados de la tecnologa de informacin a travs de actividades relacionadas con auditora, seguridad y control en TI.
Ventajas
Delos presenta una serie de caractersticas que lo distinguen de otras herramientas. Orientacin al negocio. A diferencia de otros productos de auditora de software, Delos tiene una orientacin al negocio, es decir, parte de un marco de referencia estratgico formado por los objetivos de negocio y factores crticos de xito de la empresa y lo relaciona con elementos de control interno en tecnologa de informacin. Consecuentemente, su empleo promueve el cumplimiento de los objetivos institucionales de la empresa, permitiendo alinear sus elementos de tecnologa de informacin con la estrategia de negocio. De manera indirecta, Delos ayuda a estructurar los objetivos, metas y factores crticos de xito de la empresa, as como los indicadores que permiten su medicin. Base de conocimientos. Delos cuenta con una extensa base de conocimientos que contiene tanto elementos de negocio (objetivos, metas y factores crticos de xito) como elementos de control, seguridad y auditora en TI, utilizando relaciones puntuales entre dichos elementos para ofrecer un nivel de inteligencia. Esta base de conocimientos, no solo permite establecer un marco de referencia para las funciones de auditora, sino que ofrece la posibilidad de ampliar su alcance y sus beneficios a otras reas de la empresa que tienen relacin con el concepto de control, tales como el rea de tecnologa de informacin y, en caso de que exista, el rea de contralora (responsable del control en la empresa).
35
http://www.cynthus.com.mx
61
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica Fundamento metodolgico. El funcionamiento de Delos se basa en una metodologa estructurada que ofrece al usuario una orientacin detallada sobre las actividades y la secuencia necesaria para desarrollar auditoras o evaluaciones en ambientes de TI. Esta caracterstica diferencia y posiciona favorablemente a Delos con respecto a otros productos, los cuales primordialmente ofrecen un conjunto de diagramadores, tcnicas y/o reporteadores cuya utilizacin queda supeditada a la experiencia individual de cada usuario o al empleo de una metodologa adicional que no necesariamente corresponde a las caractersticas del software. Personalizable a las caractersticas y requerimientos de cada empresa. Adicionalmente a contar con una robusta base de conocimientos, Delos permite incorporar nuevos elementos, modificar los existentes y definir nuevas relaciones entre los objetos que integran dicha base. Esto permite complementar el cuerpo de conocimientos y adecuarlo a los requerimientos especficos de cada empresa. Multicompaa y multiproyecto. La estructura de Delos permite crear modelos de diversas compaas definiendo proyectos con diferentes enfoques, objetivos y alcances. Esta capacidad proporciona gran flexibilidad para la realizacin de auditoras en empresas o instituciones con requerimientos plurales, como pueden ser: corporativos, entidades de supervisin y vigilancia, organismos gubernamentales o firmas de auditora externas. Incluye COBIT. Delos utiliza la estructura y los objetivos de control definidos por COBIT para disear programas de auditora basados en dicha estructura y/o interpretar los resultados de evaluaciones realizadas con el propio enfoque de Delos, con base en el estndar internacional sobre control en tecnologa de informacin emitido por la ISACA (Information Systems Audit and Control Association).
Beneficios
En forma concreta podemos decir que Delos genera los siguientes beneficios: Ayuda al logro de objetivos de negocio al apoyar el alineamiento de los recursos de TI con la estrategia de la entidad y al incrementar el retorno sobre la inversin en tecnologa. Apoya la planeacin estratgica de TI, al identificar elementos indispensables para desarrollar la estrategia tecnolgica y alinearla a los intereses institucionales. Promueve la eficiencia y efectividad de la auditora al hacer uso de medios automatizados para procesar informacin e incorporar a los programas de trabajo slo las actividades que cada auditora requiere en forma especfica. Capitaliza el conocimiento de la organizacin y lo materializa en un patrimonio institucional, al conservar el conocimiento en un repositorio de software, minimizando en gran medida los efectos de rotacin de personal. Permite capacitar a personal de nuevo ingreso, tanto de la compaa en general como de las funciones relacionadas con auditora y control en TI. Estandariza el trabajo de auditora al utilizar una metodologa automatizada incorporada al sistema de software.
Caractersticas.
Adems de la descripcin antes mencionada Delos se divide en 5 mdulos mas, los cuales se describen a continuacin: DelosCognos: es el mdulo responsable de la administracin del conocimiento de Gobierno de Tecnologa de Informacin. Este conocimiento se almacena en una completa base de conocimientos. Este mdulo permite personalizar, consultar y mantener actualizada la base de conocimientos del sistema y se integra tanto por elementos de negocio como: estrategias, fortalezas, stakeholders, objetivos, metas y factores crticos de xito, como por elementos de tecnologa de informacin, tales cmo: Aplicaciones, procesos, recursos, colaboradores y elementos de auditora /aseguramiento, como: Objetivos de control, procedimientos de control y procedimientos de auditora entre otros.
62
Legislacin informtica, mejores prcticas y tcnicas de auditora informtica En esta base de conocimientos tambin se encuentran los elementos de COBIT. Estos elementos se encuentran interrelacionados, lo cual permite establecer los sistemas de control requeridos por la organizacin y su relacin con elementos de la estrategia institucional. Delos Mentor: es el mdulo encargado de guiar las actividades de auditora, es decir, funge como consejero o gua virtual que proporciona apoyo para la realizacin de tareas especficas de auditora con base en una metodologa de trabajo estructurada. Delos Mentor permite elaborar programas de revisin personalizados de acuerdo con las caractersticas de la organizacin y al alcance y objetivos especficos de cada auditora. Delos Tutor: Este mdulo tiene el propsito de ofrecer capacitacin a sus usuarios, emulando, como su nombre lo indica, la labor de un tutor, que es proporcionar educacin y orientacin a sus alumnos en alguna materia en particular. Delos Tutor tiene incorporados los conceptos tericos de auditora en TI, lo cual es utilizado para proporcionar instruccin autodidacta a sus usuarios. Delos Control: Este mdulo esta enfocado a la otra perspectiva del control, es decir, no a la de quien debe evaluar el control, sino del que es responsable de disear e implantar controles en una empresa u organizacin. La misma base de conocimientos de control de Delos es utilizada para identificar los procedimientos que una organizacin debera tener establecidos en un ambiente de tecnologa de informacin, ya sea en sus procesos de trabajo relacionados con el desarrollo de soluciones informticas (como desarrollo de sistemas, implantacin de paquetes de software, planeacin estratgica de sistemas, adquisicin de tecnologa, etc), como en los procesos de administracin de recursos informticos. DelosCentinel: Este mdulo permite administrar la seguridad de acceso a Delos. Esto incluye tanto la administracin de usuarios del sistema, como la asignacin de distintos niveles de seguridad para acceder a cada una de las organizaciones dadas de alta en Delos. Los niveles de seguridad permiten otorgar privilegios de acceso de manera especfica, inclusive para restringir los tipos de acciones que cada usuario puede ejercer sobre cada uno de los tipos de objetos en la base de conocimientos de la organizacin.
Requerimientos. Windows 95, 98, 2000, NT y XP. 150 MB en disco duro. 32 MB en memoria RAM Procesador pentium a 100 megahertz.
63
Poca aceptacin por las reas de Tecnologas de No podr trabajar en conjunto con el rea de Informacin ya que se les establecern controles Tecnologas de la informacin que es hacia donde los cuales no son aceptados de una buena manera est enfocada el rea de auditora. por el personal involucrado. Falta de capacitacin del personal de la Subcontra- Mal uso de las herramientas y los procedimientos. lora de Auditora Falta de una mejor cultura informtica en el personal Uso inadecuado de los equipos, herramientas, de la Subcontralora de Auditora procedimientos e ignorar normas y controles. Falta de una visin general por parte de las reas Ver al rea de auditora como un rea que produce de TI como una problemtica la falta de un rea de y que no sirve as como no poder trabajar en auditora informtica conjunto. Resistencia al cambio. Inadaptabilidad a la implantacin de las tcnicas y herramientas propustas.
Al no implantar el rea de auditora informtica tambin se corren riesgos potenciales, ya que el atraso que generara eventualmente aumentar los rezagos en los trabajos de auditora y la ineficiencia del personal, a continuacin describimos los que detectamos de acuerdo a las visitas realizadas al rea de la Subcontralora de Auditora y en base a los cuestionarios aplicados, se determina lo siguiente: Riesgos de no Implantacin del rea Prdida de informacin. Recomendaciones inadecuadas. Fuga de informacin. Consecuencias Aumento de costos para la organizacin, indisponibilidad de la informacin. Ineficacia en los procesos de auditora. Mal manejo de la informacin por personal interno del rea.
Inadecuado desarrollo del rea de siste- El rea de TI seguir siendo vista como un rea que no ofrece mas. servicios y un desarrollo y crecimiento lento. Robo Perdida de informacin por la falta de controles y procedimientos que regulen su uso y redunde su mal uso malintencionado de externos. Incapacidad de afrontar contingencias graves.
64
Anlisis de informacin
65
Anlisis de informacin
Los procesos y el flujo de trabajo no estn Mala implantacin de la herramienta, as como un mal bien definidos. funcionamiento de la misma. Arquitectura tecnolgica no soportada por Mal funcionamiento de la herramienta, cadas de sistema, la herramienta. perdido de informacin, poca disponibilidad de la herramienta. Sobreautomatizacin de los procesos. Que no se conozca como realizar los procesos en caso de que falle el sistema, deteccin retardada de fallas.
Estudio de costo-beneficio
El Costo-Beneficio, tiene como objetivo fundamental proporcionar una medida de los costos en que se incurren en la realizacin de la propuesta de implementacin de un rea de Auditora en Informtica en el rgano Legislativo, a su vez comparar dichos costos previstos con los beneficios esperados de la realizacin del proyecto, definiendo la factibilidad de las alternativas a seguir para llevar a cabo la propuesta. Una funcin muy importante de los costos es servir de gua para determinar cul puede ser la combinacin de productos ms rentable y los gastos en que se puede incurrir sin afectar los beneficios.1 Es importante detallar los costos, ya que se considera que entre mayor sea el costo de la tcnica de auditora asistida por computadora que se seleccione, mayores debern ser los beneficios que conlleve; esto es que la expectativa crece. A continuacin se detallan los costos que se relacionan con la evaluacin a las necesidades de la propuesta de implementacin.
Costos indirectos
De acuerdo a las caractersticas de cada herramienta y en entrevista con el personal de la Subcontralora de Auditora se determin que del software de Auto Audit sera necesario adquirir 20 licencias, para Working Papers 5 y para Delos entre 3 y 5, con estos datos proporcionados por el proveedor, proseguimos nuestro anlisis, como sigue:
(20 usuarios) (5 usuarios) 21,600.00 Implementacin 1,440.00 7,200.00 4,800.00 1,025.00 700.00 30,240.00 9,325.00
26,000.00
El costo de las Licencias de Delos incluyen la licencia de uso, manual digital, disco de instalacin y Dongle de proteccin por usuario, as como una licencia para uso del software IDEA (para anlisis de datos que incluye Dongle de proteccin, manual de uso y disco de instalacin) capacitacin para seis personas y una ao de mantenimiento e implementacin del software en sitio.
66
Anlisis de informacin
Una vez ms la implementacin ms econmica resulta ser la de Working Papers y la ms cara es Auto Audit, estos son dos factores importantes a considerar para la eleccin de la herramienta adecuada; sin embargo, no son determinantes, ahora que se conoce el costo habr de realizarse un anlisis de la utilidad que estas herramientas traen consigo, cuales son ms accesibles de implementar de acuerdo a su funcionalidad y que su ambiente sea amigable para el auditor a fin de que esta propuesta no contemple la contratacin de nuevo personal, sino la capacitacin del actual, para lo cual posteriormente se analizan los resultados de la aplicacin de cuestionarios al personal que asisti a las demostraciones de los proveedores, de cada una de las tcnicas de auditora asistidas por computadora. La implantacin del rea no implica necesariamente a aplicacin de una CAAT as como la aplicacin de una CAAT no necesariamente sucede s y solo s se implanta el rea, esto es, no son indispensables una sin la otra; sin embargo el modelo ptimo de desarrollo de la Contralora Interna de acuerdo a este informe de seminario de titulacin contempla la implantacin del rea de auditora en informtica y adems reforzar a toda la Subcontralora de Auditora con la utilizacin de la herramienta seleccionada.
Costos de oportunidad
Los costos de oportunidad son los que se derivan de hacer una cosa en lugar de otra. La herramienta ms barata es Working Papers, con un costo de $9,325.00 Dlls, contra la ms cara que es Auto Audit de $30,240.00, por lo tanto la diferencia de $20,915.00 representa el costo de oportunidad de tomar esta alternativa. A continuacin, se presenta un anlisis del equipo que se usara en las actividades de esta rea y el personal estimado que realizara estas labores sin el uso de una herramienta de auditora asistida por computadora para compararla contra el equipo y el personal que se requerir al implantar una de estas herramientas. ACTIVIDADES Sin uso de herramienta Con uso de herramienCAAT ta CATT Equipo 1. 2. Elaboracin de planes de trabajo 3 Personal 6 12 Equipo 1 1 Personal 1 1
3. 4.
12 6
3 1
12 1
Control de actividades a realizar en tiempos 3 estimados reales. Evaluacin de resultados de los programas 3 operativos.
5.
67
Anlisis de informacin
ACTIVIDADES
Sin uso de herramienta Con uso de herramienCAAT ta CATT Equipo Personal 6 Equipo 1 Personal 3
6.
Evaluacin de la problemtica de las reas 3 que cuenten con un sistema informtico. Elaboracin de papeles de trabajo e informes 6 de auditora. Comunicar los resultados y recomendaciones 12 que resulten de sus evaluaciones. Comprobar que el rea de Sistemas ha tomado 3 las medidas correctivas de los informes de la Auditora Interna as como de las omisiones que al respecto se verifiquen en el seguimiento de informes.
7.
12
12
8.
12
12
9.
10. Evaluacin de los controles de seguridades 2 lgicas y fsicas. 11. Evaluacin de los riegos y controles. 6
12 12
3 1
6 1
12. Evaluar la existencia de polticasa, objetivosb, 6 normasc, metodologasd, as como la asignacin de tareas y adecuada administracine de los recursos, humanos e informticos.
a
Diagnstico de personal
Deben seguirse procedimientos sistemticos para identificar, seleccionar, programar, implantar, mantener, usar y controlar el software adquirido. Uno de los esquemas generalmente aceptado para tener un adecuado control es que el personal que intervenga est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia). Para complementar el grupo, como colaboradores directos en la realizacin de la auditora se debe tener personas con las siguientes caractersticas: Tcnico en informtica Conocimientos de administracin, contadura y finanzas Experiencia en el rea de Informtica Experiencia en operacin y anlisis de sistemas Conocimientos y experiencia en psicologa industrial Conocimiento de los sistemas ms importantes
68
Anlisis de informacin
En cuanto a las certificaciones que se expusieron en Captulo 3, Legislacin informtica, mejores prcticas y tcnicas de auditora informtica se determina que la certificacin CISA (Certified Information Systems Auditor) que la Asociacin de Auditora y Control de Sistemas de Informacin ( ISACA ), es la ms conveniente para que el personal cumpla con la calidad de trabajo requerida, ya que esta certificacin cubre el conocimiento tanto de auditora como de Sistemas.
Motivos principales : Mejora el tiempo, calidad y presentacin del trabajo, dando ms tiempo al anlisis y oportunidad en las auditoras, la supervisin sera ms eficaz. 2. Qu beneficios personales (como auditor) crees que tendra la adopcin de una de ests herramientas? Beneficios principales: Principalmente ayuda para la elaboracin de informes y papeles de trabajo, superacin personal al conocer programas y herramientas que coadyuven a optimizar el trabajo, aprovechamiento de tiempos con ello mayor productividad, reducir errores e incongruencias, mayor control de la informacin, facilita la consulta de documentos, mantener una base de conocimiento actualizada 3. Qu beneficios institucionales (para la H. Cmara de Diputados) crees que tendra la adopcin de una de ests herramientas? Beneficios principales : Contar con una base de datos donde se almacene y documente toda la informacin generada en las auditoras, reduccin de costos, aprovechamiento de tiempos, mejor presentacin de reportes, ms y mejores auditoras, informacin oportuna para toma de decisiones oportuna, estar a la vanguardia en tcnicas de auditora y de esta forma lograr el correcto desempeo de todas las reas de la Cmara de Diputados 4. Consideras que una de estas herramientas contribuira al mejor cumplimiento de metas y objetivos de la Subcontralora de Auditora? 5. S: 15 No: Ninguno
Consideras que sera muy complicado el aprendizaje necesario para que apliques este tipo de tcnicas a tu trabajo? S: Ninguno No: 15
Observaciones principales: Solo es necesario tomar capacitacin en la paquetera principal y la que el proveedor brinde de acuerdo al software especifico. 6. De los demos a los que asististe, Qu producto crees que sera mejor adaptar a la Subcontralora de Auditora?
69
Anlisis de informacin
7.
De acuerdo a su funcionalidad y facilidad de uso de los demos a los que asististe, Qu calificacin le daras a cada uno de ellos? (malo/regular/bueno/excelente)
8.
Qu comentarios tienes acerca de estos productos? Principales Comentarios: Auto Audit Auto Audit Su manejo es ms complicado, necesita ser complementado, la presentacin no fue adecuada, no puede ser ajustado a las necesidades especficas de cmara por ello es inadecuado. Working Papers Se puede adaptar especficamente a los procesos que se realizan aqu, es bueno solo que necesita una base de datos, ms prctico en cuanto a los tiempos de respuesta, adems cuenta con soporte tcnico de calidad, el manejo de word y excel facilita su uso, conviene mucho para revisiones financieras, sera necesario un caso prctico para ver su funcionalidad. Delos
Working Papers
Delos
70
Anlisis de informacin
Falt ms explicacin; sin embargo puede ser aplicable con una buena capacitacin lo podemos aplicar, puede funcionar en cuestin de control de los programas establecidos para las revisiones y tiempos de atencin de los auditores, es el ms adecuado para adaptarse a las necesidades especficas de la Cmara, debe considerarse un curso de este software, es el ms adecuado
71
2.
3.
Por lo anterior, en los siguientes puntos detallamos la propuesta especfica que contempla cuales seran las actualizaciones ms adecuadas para lograr este objetivo, comenzando por proponer los cambios pertinentes en la normatividad actual, cul sera su nueva estructura orgnica, proponemos las nuevas funciones del rea de auditora en informtica de acuerdo a las nuevas tendencias de la auditora en Tecnologas de Informacin mundiales; asimismo, de entre las diferentes herramientas y tcnicas de auditora en informtica, seleccionamos aquellas que resultaran ms convenientes de acuerdo a las
72
Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo caractersticas especficas de la Subcontralora de Auditora as como de la Direccin General de Tecnologas de Informacin, tomando en cuanta su tamao, su capacidad y tecnologa actual.
Objetivo
Evaluar el desempeo de los sistemas informticos y las redes de comunicaciones para proporcionar los controles necesarios que permitan la confiabilidad de la Informacin as como un elevado nivel de seguridad. Realizar auditoras operacionales, integrales, especiales y de cumplimiento al rea de sistemas, ayudando en la gestin de control de la Auditora Interna y buscando las reas de oportunidad. 1. 2. 3. Evaluar los controles establecidos para proteger los bienes institucionales, referente al manejo hardware, software y valores. Proporcionar al rgano Legislativo, un conocimiento de la situacin informtica real del rea de Sistemas. Realizar auditoras operacionales, integrales, especiales y de cumplimiento a aquellas reas administrativas y Grupos Parlamentarios que as lo requieran.
El rea de Auditora Informtica, como parte de la SubContralora de la H. Cmara de Diputados tendr como misin y visin, los que a continuacin se describe:
73
Importante
Vigilar que las operaciones de la Cmara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normatividad aplicable, verificando que el manejo y aplicacin de los recursos financieros, humanos, materiales y tecnolgicos se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federacin. Adicionalmente, en el Manual de Organizacin de la Contralora General el texto propuesto es el siguiente:
Importante
Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos financieros, humanos, materiales y tecnolgicos de los que dispone la Cmara.
74
10. Comunicar los resultados y recomendaciones que resulten de sus evaluaciones, mediante los informes de auditora.
75
Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo 11. Comprobar que el rea de Sistemas ha tomado las medidas correctivas de los informes de la Auditora Interna as como de las omisiones que al respecto se verifiquen en el seguimiento de informes. 12. Evaluacin de los controles de seguridades lgicas y fsicas que garanticen la integridad, confidencialidad y disponibilidad de los datos de esta institucin. 13. Constatar que el rea de sistemas se riga por los procedimientos ms adecuados para garantizar el adecuado funcionamiento de la red de trabajo. 14. Evaluacin de los riegos y controles establecidos para la bsqueda e identificacin de debilidades, as como de las reas de oportunidad 15. Evaluar la existencia de polticas1, objetivos2, normas3, metodologas4, as como la asignacin de tareas y adecuada administracin5 de los recursos, humanos e informticos. 16. Generar el Archivo de Papeles de Trabajo con la documentacin las auditoras realizadas.
1 2
76
Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo Definicin de objetivos y alcances Personas de la organizacin que se involucrarn en el proceso de auditora Plan de trabajo Tareas Calendario Resultados parciales Presupuesto
Desarrollo de la auditora Entrevistas Cuestionarios Observacin de las situaciones deficientes Observacin de los procedimientos
Fase de diagnstico Definicin de los puntos dbiles y fuertes, los riesgos eventuales y posibles tipos de solucin y mejora
Presentacin de conclusiones Integracin de soporte documental Formulacin de cdulas de observaciones y papeles de trabajo Informe final
Formacin del plan de mejoras Resumen de las deficiencias encontradas Recoger las recomendaciones encaminadas a paliar las deficiencias detectadas Medidas a corto plazo: mejoras en plazo, calidad, planificacin o formacin Medidas a medio plazo: mayor necesidad de recursos, optimizacin de programas o documentacin y aspectos de diseo Medidas a largo plazo: cambios en polticas, medios y estructuras del servicio Seguimiento de cumplimiento de recomendaciones
Gua de auditora
Existirn tantas guas de auditora como procedimientos se realicen, sin embargo, a manera de ejemplo, se presenta la siguiente gua como propuesta de las subsecuentes: Unidad adminis- Objetivos trativa Punto de revisin Aspectos a revisar
77
Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo Unidad adminis- Objetivos trativa Objetivo general: Verificar que la seguridad fsica y lgica en la red de la H. Cmara de Diputados que maneja la Direccin General de Tecnologas de Informacin. Actividades: Direccin Gene- 1.- Conocimiento general de la Direccin General de Tecnologas de Informacin ral de Tecnolo- a fin de conocer sus instalaciones, tamao, condiciones de trabajo, software, hardgas de Informa- ware, estructura, etc. cin 2.- Definicin de objetivos y alcances de auditora claros y bien delimitados de acuerdo a la magnitud del rea a revisar. 3.- Realizacin de Grfica de GANTT para planeacin de actividades y tiempos estimados de inicio y trmino de auditora. 4.- Preparacin del formato de oficio de presentacin. 5.- Preparacin del cuestionario de control interno y dems material de apoyo. 6.- Conocimiento previo de los manuales de procedimientos, manuales de organizacin, planes de contingencia, recuperacin, lineamientos, polticas, normas, reglamentos, procedimientos, etc., existentes en el rea. 7.- Preparacin de pruebas de cumplimiento, para la realizacin de pruebas generales y especficas a fin de cubrir el alcance de la revisin. 8.- Preparacin del material de apoyo, formato de cdulas de marcas, gua de auditora, cuestionario, check list, formato de papeles de trabajo, cdulas de observaciones, etc. 9.- Aplicacin del oficio de presentacin. 10.- Pltica con el equipo, para determinar el desarrollo de la auditora y actividades a realizar. 11.- Levantamiento de la informacin. Aplicacin de tcnicas de auditora y material de apoyo previamente diseado para la obtencin de informacin. 12.- Anlisis de la informacin.- Deteccin de debilidades de control, identificacin de observaciones por medio del anlisis de la informacin recabada. As como determinacin de causas e impactos. 13.- Integracin de Papeles de trabajo.- Apoyados en las pruebas necesarias, como son los cuestionarios, fotografas o cualquier tipo de constancia de hechos. 14.- Confirmacin de observaciones.- Verificar que las observaciones estn fundamentadas y que se cuenta con la evidencia suficiente para presentar las observaciones levantadas. 15.- Identificacin de niveles de riesgo.- Por medio del anlisis de la informacin de cada una de las observaciones, se le asocia un nivel de riesgo; inminente, potencial o controlable. 16.- Consolidacin de niveles de riesgo.- Agrupacin de observaciones comunes, con objeto de determinar las debilidades y sugerencias de forma general. 17.- Elaboracin del informe final. 18.- Actividades finales de papeles de trabajo.
78
Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo realizamos la propuesta de los requerimientos que sern necesarios para el funcionamiento de la nueva rea.
Requerimientos de personal
Puestos Direccin General Subdireccin Auditores Plazas Experiencia en el Capacitacin reque- Horas de capacitapuesto rida cin 1 1 1 5 3 2 5 B B C C 24 24 24 24
Jefe de Departamento 1
Claves
Tipo de capacitacin Requerida A. B. C. Principiante Intermedio Avanzado
79
5. 6. 7. 8. 9.
Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo Solicitud de recursos para infraestructura, personal, software y/o capacitacin. Remodelacin de reas. Contratacin y/o capacitacin de personal. Adquisicin de equipo de hardware. Adquisicin de software especializado.
10. Inclusin de la(s) auditora(s) en el PACA. 11. Aplicacin de la metodologa para las revisiones al rea de sistemas.
Justificacin
La misin y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y auditores. COBIT ha sido desarrollado como estndares generalmente aplicables y aceptados para mejorar las prcticas de control y seguridad de las TI, que provean un marco de referencia para la administracin, los usuarios y los auditores de cualquier tipo. Hemos considerado que COBIT es la mejor prctica que podra ser de mayor utilidad a la Subcontralora de Auditora, debido a que provee a la administracin un entendimiento de los principios y conceptos claves sobre los requerimientos del negocio para la informacin e impactos preliminares de recursos de TI a detalle en sus 34 Objetivos de Control de TI. COBIT prever al negocio de guas de auditora, las cuales contienen pasos de auditora sugeridos, correspondientes a cada uno de los 34 Objetivos de Control, estas guas sern un macro para asistir a los auditores de sistemas de informacin en cuanto a las en revisiones de los procesos de TI y la seguridad de la administracin.
Objetivo
Importante
Preparar a los funcionarios en temas como auditora, seguridad y control de TI. As como en impulsar la investigacin y el desarrollo de temas sobre seguridad y riesgos en cuanto al uso de TI.
80
Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo De las 3 herramientas que fueron comparadas, hemos determinado que Delos By Cynthus es la que proporciona mayores beneficios y mayor funcionalidad, adems de ser la que se adapta al 100% a las necesidades especficas del rea. Adicionalmente Delos como propuesta de herramienta CAAT incorpora todos los componentes de COBIT y es un complemento ideal para el software de extraccin y anlisis de datos (IDEA), ya que permite identificar las causas (deficiencias en el control interno de TI) de posibles inconsistencias en los archivos de datos.
81
Captulo 6. Conclusin
Durante el desarrollo de este informe de seminario de tesis, podemos observar que en la Cmara de Diputados las tecnologas de informacin no han sido controladas por su rgano de Control Interno, siendo este la Subcontralora de Auditora, y debido a la creciente dependencia de toda organizacin en su activo informtico ms importante la informacin, sta debe ser correctamente gestionada, controlada y asegurada por medio de controles que prevengan la ocurrencia de situaciones de riesgo para la organizacin y que a su vez asegure su integridad, disponibilidad y confidencialidad tanto de los datos como de los procesos, asimismo, contar con mecanismos de recuperacin. La propuesta de la creacin de un rea de auditora en informtica, debern estar apoyada en las nuevas tcnicas y procedimientos de auditora como son anlisis de datos de prueba, simulacin paralela, paquetes de auditora, software de auditora, juegos de prueba, entre otros. De manera importante, se concluye que los productos de software especiales para la auditora informtica son de particular importancia para el apoyo de la labor de auditora, no solo en informtica, sino de cualquier rea debido a la facilidad con que el auditor podr manipular la Informacin con algunas de las antes mencionadas tcnicas y procedimientos de auditora informtica. Para lo cual, y en base a los anlisis efectuados se recomienda el uso de las tcnicas de auditora asistidas por computadora, ya que son de gran utilidad para un rea de auditora informtica, debido a que con su uso se obtiene considerables beneficios tanto para la Subcontralora de Auditora como para la Cmara de Diputados, como son: reduccin de los tiempos hombre por concepto de realizacin de papeles de trabajo e informes de auditora y mayor dedicacin al trabajo sustantivo y pruebas de cumplimiento, mejora de la calidad en la presentacin y contenido de cada auditora, aumento de programacin y cumplimiento, estandarizacin del trabajo de auditora y reduccin de costos para la realizacin de las mismas por insumos. Como ltimo factor de decisin para la seleccin de esta herramienta fue su costo y los beneficios que conlleva la propuesta, ya que es ms bajo que el las dems comparando los beneficios que esta provee y sus funcionalidades extras. Es muy importante mencionar que dentro del anlisis de costo beneficio pudimos percatarnos que la organizacin no cuentan con los suficientes elementos para el buen funcionamiento de un rea de auditora dentro de la Subcontralora de Auditora. Concluimos, por tanto que esta propuesta aportar considerables beneficios a la Contralora Interna, los principales son mayor eficiencia en el trabajo, contar con una base de conocimiento que pueda retroalimentar a los auditores y apoyar sus funciones, flexibilidad de procesos, estandarizacin y control, adaptabilidad a los diferentes procesos, mayor comunicacin, reduccin de costos y aprovechamiento de recursos materiales y humanos, garantizar la seguridad, confiabilidad y disponibilidad de los datos, facilidad en el manejo de la informacin y mayor integracin en los equipos de trabajo.
82
83
Bibliografa
Instituto de Auditores Internos de Espaa. . V Reunin de Auditores Internos de Banca Central Exposicin de Banco de Mxico. 1985. . [bib-conceptos-itil] Conceptos Generales sobre ITIL . Lic. . Patricia Combalia. itSMF Argentina. Buenos Aires. 22 Abril 2005. [bib-sun-itil] Soporte de servicios ITIL. Sun Microsystems. http://www.sun.es/services/itil . [bib-camara-diputados-web] Pgina oficial de la Cmara de Diputados. http://cddhcu.gob.mx/ . [bib-isaca-mx] Isaca captulo Ciudad de Mxico, A.Chttp://www.isaca.com.mx/. [bib-novell-sarbanes-oxley] A Flexible Approach for Sarbanes-Oxley and Other Business Drivers [http://www.monografias.com/trabajos16/novell-cuatro-x/novell-cuatro-x.shtml],White Paper. Novell. 2004. .
Referencias en Internet
http://www.cibertec.edu.pe/modulos/noticias.asp?ARE=1&PFL=2&NOT=912 http://www.datasec.com.uy/index.php?option=content&task=view&id=65&Itemid=62 http://www.emb.cl/gerencia/articulo.mv?sec=14&num=85 http://www.isaca.org.mx http://www.economia.gob.mx http://www.tecnologiaempresarial.info/circuito5.asp?id_nota=10568&ids=2 http://www.info.ccss.sa.cr Comit Directivo de CobiT/ISACA [http://www.datasec.com.uy/] http://www.datasec.com.uy/ oxely-coso.pdf http://www.theiia.org/index.cfm?doc_id=56 http://www.theiia.org/ http://www.theiia.org/index.cfm?doc_id=5119 http://www.facpece.org.ar/boletines/37/60a-confederacion.htm http://www.isaca.org http://www.theiia.org/index.cfm?doc_id=56 http://www.inei.gob.pe/web/metodologias/attach/lib604/cap3-6.htm http://www.glosarium.com/term/178,12,xhtml h t t p : / / w w w. i n e i . g o b. p e / w e b / m e t o d o l o g i a s / a t t a c h / l i b 6 0 4 / h t m [http://www.inei.gob.pe/web/metodologias/attach/lib604/cap3-6.htm] http://www.glosarium.com/term/178,12,xhtml http://www.itlp.edu.mx/publica/tutoriales/desproyectos/tema%203_1.htm http://Ilustrados.com/Publicaciones/Epyfapup.php
84
Glosario de trminos
Algoritmo: Procedimiento o conjunto de procedimientos que describen una asociacin de datos lgicos destinados a la resolucin de un problema. Los algoritmos permiten automatizar tareas. Aunque se suele utilizar indistintamente como sinnimo genrico de 'programa' es necesario subrayar que se trata de un tipo de programa especficamente dedicado al proceso de una funcin concreta dentro de la empresa. Cualquier archivo creado dentro de una aplicacin: por ejemplo, un documento creado por un procesador de textos, una hoja de clculo, una base de datos o un grfico. Tambin denominado Documento. Archivo ejecutable que inicia una aplicacin o programa. Los archivos de programa tienen las extensiones EXE, PIF, COM o BAT. Involucra mdulos incrustados en una aplicacin que monitorea continuamente el sistema de transacciones. Recolecta la informacin en archivos especiales que puede examinar el auditor Archivo de texto que almacena generalmente datos sobre procesos determinados. Para entendernos, es como el "diario" de algunos programas donde se graban todas las operaciones que realizan, para posteriormente abrirlos y ver qu es lo que ha sucedido en cada momento. Persona que efecta una auditora Examen de las operaciones de una empresa por especialistas ajenos a ella y con objetivos de evaluar la situacin de la misma. Coleccin de datos organizada de tal modo que el ordenador pueda acceder rpidamente a ella. Una base de datos relacionar es aquella en la que las conexiones entre los distintos elementos que forman la base de datos estn almacenadas explcitamente con el fin de ayudar a la manipulacin y el acceso a stos. En informtica, un BATCH es un programa que se ejecuta de forma independiente sin la interaccin del usuario. Un ejemplo de archivo Batch puede ser el AUTOEXEC.BAT de los antiguos sistemas basados en DOS. Tcnica de auditora informtica en la cual se realiza el proceso continuo de medir productos, servicios y prcticas contra los competidores o aquellas compaas reconocidas como lderes en la industria Es como el "diario" de algunos programas donde se graban todas las operaciones que realizan, para posteriormente abrirlos y ver qu es lo que ha sucedido en cada momento. Tcnicas de Auditora Asistidas por Computadora, son herramientas (software) que ayudan al auditor a facilitar sus tareas. Certified Internal Auditor Certificacin de Auditores Internos Certified Information Security Manager Certificacin para la Administracin de la Seguridad de la Informacin Certified Information Security Auditor Certificacin en Auditor en Sistemas de Informacin Aplicacin:
Archivo de datos:
Archivos log:
Batch:
Benchmarking:
Bitcoras:
85
Glosario de trminos
Cliente: Cliente-Servidor:
Cliente o 'programa cliente' es aquel programa que permite conectarse a un determinado sistema, servicio o red. Se denomina as al binomio consistente en un programa cliente que consigue datos de otro llamado servidor sin tener que estar obligatoriamente ubicados en el mismo ordenador. Esta tcnica de consulta 'remota' se utiliza frecuentemente en redes como 'Internet'. Se refiere a que la informacin solo puede ser conocida por individuos autorizados. Desembolso en efectivo o en especie por algn beneficio. Son los que resultan de la suma de precios obtenida sobre las especificaciones de un producto, atendiendo a las unidades bsicas anticipadas para el material, trabajo y gastos que entran en su producto. Esto es equipo de cmputo, hardware, software. Estos gastos los origina la administracin del rgano Legislativo, as como inventarios, mano de obra, etc. Son los costos que se derivan de hacer una cosa en lugar de otra. Son los clculos anticipados de los gastos que predominarn en el futuro (mano de obra, material, etc), dentro de un periodo dado, con la intencin de pronosticar un costo total. Son los costos necesarios al inicio de las operaciones de cualquier empresa y Son los costos necesarios al inicio de las operaciones de cualquier empresa y que se mantienen constantes en los diferentes niveles de produccin a corto y mediano plazo, como son los salarios de los ejecutivos, los alquileres de locales, los intereses, etc. Son los formados por aquellos gastos que no pueden ser rpidamente asociados con el producto (tcnicos, papelera, renta, herramientas) Ciencia dedicada al estudio de tcnicas capaces de conferir seguridad a los datos. El cifrado es fundamental a la hora de enviar datos a travs de las redes de telecomunicaciones con el fin de conservar su privacidad. Trmino general para la informacin procesada por un ordenador. Direccin numrica obligatoria de un dominio 'Internet'. Est compuesta por cuatro cifras (de 0 a 255) decimales separadas por puntos. Por ejemplo: 194.179.52.25 corresponde a la direccin IP de 'ctv.es' Es la disponibilidad de los recursos necesarios para llevar a cabo los objetivos o metas sealadas, sirve para recopilar datos relevantes sobre el desarrollo de un proyecto y en base a ello tomar la mejor decisin.
Costos de inversin (largo plazo): Costos de operaciones: Costos de oportunidad: Costos estimados:
Factibilidad:
Gobernabilidad de TI: Hardware: I.I.A: I.M.A.I.: Conjunto de dispositivos de los que consiste un sistema. Comprende componentes tales como el teclado, el Mouse, las unidades de disco y el monitor. Institute of Internal Auditors Instituto Mexicano de Auditores Internos, A.C.
86
Glosario de trminos
Information Systems Audit and Control Association Asociacin de Auditora y Control de Sistemas de Informacin Acrnimo del Instituto Mexicano de Contadores Pblicos. La habilidad de determinar que la informacin recibida es la misma que la informacin enviada. Interconexin de redes informticas que permite a las computadoras conectadas comunicarse directamente. Acrnimo de Internet. Es el protocolo que facilita la comunicacin entre ordenadores conectados a la red Internet. Cada ordenador en Internet tiene una direccin IP nica, que le identifica dentro de la red y permite su localizacin para posibilitar la comunicacin. (Organizacin Internacional para la Normalizacin) Organizacin de carcter voluntario fundada en 1946 que es responsable de la creacin de estndares internacionales en muchas arreas, incluyendo la informtica y las comunicaciones. Esta formada por las organizaciones de normalizacin de sus 89 pases miembro En informtica, conjunto de caracteres e instrucciones utilizadas para escribir programas de ordenador. Conjunto de mtodos utilizados en la investigacin cientfica Principio que se impone o se adopta para dirigir la conducta o la correcta realizacin de una accin o el correcto desarrollo de una actividad. Registra el planeamiento, naturaleza, oportunidad y alcance de los procedimientos de auditora aplicados por el auditor y los resultados y conclusiones extradas a la evidencia obtenida. Se utilizan para controlar el progreso del trabajo realizado para respaldar la opinin del auditor. Los papeles de trabajo pueden estar constituidos por datos conservados en papel, pelcula, medios electrnicos u otros medios. Generalizados de computadora diseados para desempear funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar informacin, realizar clculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor Valor especificado para conseguir los resultados deseados. En comunicaciones existe tal cantidad de parmetros que suelen ofuscar a los usuarios noveles: bits por segundo, bits de datos, bits de parada, paridad, etc. Informacin que se aade al comando que inicia una determinada aplicacin. Un parmetro puede ser un nombre de archivo o cualquier tipo de informacin de hasta 62 caracteres de largo. Vea tambin Opcin. Conocida tambin como 'clave de acceso'. Palabra o clave privada utilizada para confirmar una identidad en un sistema remoto que se utiliza para que una persona no pueda usurpar la identidad de otra. Mtodo o sistema estructurado para la ejecucin de actividades En computacin, una subrutina o subprograma, como idea general, se presenta como un algoritmo separado del algoritmo principal, el cual permite resolver una tarea especfica.
ISO:
Paquete de auditora:
Parmetro:
Password:
Procedimiento: Procedimiento:
87
Glosario de trminos
Procesamiento de datos:
Conjunto de diferentes operaciones en secuencia sistemtica sobre el dato, las cuales se basan en la elaboracin, manipuleo y tratamiento del mismo, mediante mquinas automticas para producir los resultados esperados. Archivo de texto que contiene comandos MS-DOS. Cuando se ejecuta un programa de procesamiento por lotes, MS-DOS ejecuta cada uno de los comandos del archivo, tal como si se hubiesen escrito directamente 1 continuacin del smbolo de MS-DOS. Conjunto de operaciones lgicas y aritmticas ordenadas, cuyo fin es la obtencin de resultados. Secuencia de instrucciones que obliga al ordenador a realizar una tarea determinada. Programa cliente o simplemente 'cliente' es aquel programa que permite conectarse a un determinado sistema, servicio o red. Programa residente cargado en la memoria, que no es visible hasta que se presione una determinada combinacin de teclas o hasta que tenga lugar un determinado hecho, tal como la recepcin de un mensaje. Proyecto o planificacin ordenada de las distintas partes o actividades que componen algo que se va a realizar. Herramientas de productividad sofisticadas que son tpicamente parte de los sistemas operativos sofisticados, por ejemplo software para recuperacin de datos o software para comparacin de cdigos. Como en el caso anterior estas herramientas no son especficamente diseadas para usos de auditora y deben ser utilizadas con cuidado Son usados por la entidad para desempear funciones comunes de procesamiento de datos, como clasificacin, creacin e impresin de archivos. Estos programas generalmente no estn diseados para propsitos de auditora y, por lo tanto, pueden no contener caractersticas tales como conteo automtico de registros o totales de control Servicio de comunicacin de datos entre ordenadores. Conocido tambin por su denominacin inglesa: 'network'. Se dice que una red est dbilmente conectada cuando la red no mantiene conexiones permanentes entre los ordenadores que la forman. Esta estructura es propia de redes no profesionales con el fin de abaratar su mantenimiento. Donde se almacenan los elementos definidos o creados por la herramienta, y cuya gestin se realiza mediante el apoyo de un Sistema de Gestin de Base de Datos (SGBD) o de un sistema de gestin de ficheros Mdulos especiales de recoleccin de informacin incluidos en la aplicacin y diseados con fines especficos Ordenador que ejecuta uno o ms programas simultneamente con el fin de distribuir informacin a los ordenadores que se conecten con l para dicho fin. Vocablo ms conocido bajo su denominacin inglesa 'server'. Como en las lenguas humanas, la sintaxis es el conjunto de reglas estructurales que gobiernan el uso del lenguaje en el ordenador. Se denomina Sistema de Informacin al conjunto de procedimientos manuales y/o automatizados que estn orientados a proporcionar informacin para la toma de decisiones.
Programa emergente:
Programas de utilera:
Red:
Repositorio:
88
Glosario de trminos
SnapShots:
Es una fotografa interna al sistema, es decir a la memoria, lo que permite obtener resultados intermedios en diferentes momentos de un proceso o conseguir valores temporales de una variable. Se activa mediante ciertas condiciones preestablecidas. Permite al auditor rastrear los datos y evaluar los algoritmos aplicados a los datos Componentes inmateriales del ordenador: programas, sistemas operativos, etc. Programas escritos para la realizacin de tareas especiales, como el procesado de palabras o listas de correspondencia. Secciones de cdigos que llevan a cabo tareas administrativas dentro del ordenador o ayudan en la escritura de otros programas, pero que no se usan para realizar la tarea que se quiere que ejecute el ordenador. Son programas de computadora diseados para desempear tareas de auditora en circunstancias especficas. Estos programas pueden ser desarrollados por el auditor, por la entidad, o por un programador externo contratado por el auditor. En algunos casos el auditor puede usar programas existentes en la entidad en su estado original o modificado porque puede ser ms eficiente que desarrollar programas independientes Tecnologas de Informacin La tcnica es el procedimiento o el conjunto de procedimientos que tienen como objetivo obtener un resultado determinado, ya sea en el campo de la ciencia, de la tecnologa, de las artesanas o en otra actividad Conjunto de procedimientos de una ciencia los cuales nos ayudan a solucionar problemas. Tcnica de observacin, de medidas encaminadas a la evaluacin del comportamiento del sistema en su conjunto. Potente y complejo sistema operativo multiproceso/multitarea y multiusuario orientado a comunicaciones y gran devorador de 'RAM'. Fue creado en 1969 por Ken Thompson y Dennis Ritchie (de la empresa norteamericana 'AT&T Laboratories') coincidiendo con el nacimiento de 'Internet'.
T.I: Tcnica:
89
90
91
92
93