Auditoria en Informatica
of 68
-
Upload
poou-pacay-henry -
Category
Documents
-
view
18 -
download
2
description
AUDITORIA EN INFORMATICA
Transcript of Auditoria en Informatica
Microsoft Word - AUDITORIA_EN_INFORMATICACLASE.doc
AUDITORA EN INFORMATICALA AUDITORA COMO ACTIVIDAD PROFESIONAL. Concepto universal de auditora.
Representa el examen de los estados financieros de una entidad, con el objeto de que el contador pblico independiente emita una opinin profesional respecto a si dichos estados representan la situacin financiera, los resultados de la operaciones, las variaciones en el capital contable y los cambios en la situacin financiera de una empresa, de acuerdo con los principios de contabilidad generalmente aceptados. ( IMCP)
La auditora representa el examen de los estados financieros de una entidad, con el fin de emitir una opinin sobre la razonabilidad de las cifras que de ellos emanen.
Aunque en la actualidad se realizan diversos tipos de auditora, todos no llevan a emitir una opinin sobre algn registro, sistema, operacin o actividad en particular o con fines especficos.
1. CONCEPTO DE AUDITORA EN INFORMATICA:
La Auditora en informtica se refiere a la revisin prctica que se realiza sobre los recursos informticos con que cuenta una entidad con el fin de emitir un informe o dictamen sobre la situacin en que se desarrollan y se utilizan esos recursos. (Jos de Jess Aguirre Bautista)
2. Clasificacin de la auditora.Tradicionalmente se consideran dos tipos de auditora: las internas y las externas
La auditora interna la desarrollan personan que pueden o no depender de la entidad y actan revisando, las ms de las veces, aspectos que interesan particularmente a la administracin, aunque pueden efectuar revisiones programadas sobre todos los aspectos operativos y de registro de la empresa, con el fin de emitir un informe sobre su revisin.
La auditora externa, conocida tambin como auditora independiente, la efectan profesionistas que no dependen de la empresa, ni econmicamente ni bajo cualquier otro concepto, y a los que se conoce un juicio imparcial merecedor de la confianza de terceros. El objeto de su trabajo es la emisin de un dictamen. Esta clase de auditora es la actividad ms caracterstica del Contador Pblico o del Licenciado en Informtica.
Tambin existen otros tipos de auditora como son:
Auditora operacional, se refiere a la revisin de la operacin de una empresa y se juzga la eficiencia de la operacin misma.
Auditora administrativa, se refiere a la organizacin y eficiencia de la estructura del personal con que cuenta la empresa y los procesos administrativos en que acta dicho personal.
Auditora social.-se refiere ala revisin del entorno social en que se ubica y desarrolla una empresa, con el fin de valorar aspectos externos e internos que infieran en la productividad de la misma.
AUDITORA ADMINISTRATIVAAUDITORA OPERACIONALAUDITORA CONTABLEAUDITORA INFORMTICA
NATURALEZATcnica de
Control
AdministrativoTcnica de
Control
AdministrativoTcnica de
Control
AdministrativoTcnica deControlAdministrativo
PROPSITO/ OBJETIVOEvaluar y mejorar la
administracinPromover la eficiencia en las
operacionesDictamen a los
EstadosFinancierosEvaluar los recursosinformticos
ALCANCELa eficiencia y productividad de el proceso productivoLa eficiencia de las operacionesEl sistema contableTodas las actividades informticas
FUNDAMENTOLa ciencia Administrativa y la normatividad de la empresaLa ciencia Administrativa y la normatividad de la empresaPrincipios de contabilidad y normas de auditoraNormatividad institucional y legal
METODOLOGAApoyado en
Mtodos
CientficosTcnicas y procedimientos
predeterminadasTcnicas y procedimientos
predeterminadasTcnicas y procedimientospredeterminados
APLICACINA la empresa y sus funciones
bsicasA las funciones de la empresaA los estados financierosA todas las reas de la empresa
PROYECCINHacia el futuroHacia el futuroHacia el pasadoHacia el futuro
INFORMEAmplioAmplioPrecisoAmplio y Preciso
3
3. IMPORTANCIA DE LA AUDITORA EN INFORMTICA.Siempre ha existido la preocupacin por parte de las organizaciones por optimizar todos los recursos con que cuenta la entidad, sin embargo por lo que respecta a la tecnologa de informtica, es decir, software, hardware, sistemas de informacin, investigacin tecnolgica, redes locales, bases de datos, ingeniera de software, telecomunicaciones, etc. esta representa una herramienta estratgica que representa rentabilidad y ventaja competitiva frente a sus similares en el mercado, en el mbito de los sistemas de informacin y tecnologa un alto porcentaje de las empresas tiene problemas en el manejo y control, tanto de los datos como de los elementos que almacena, procesa y distribuye.
El propsito de la revisin de la auditora en informtica, es el verificar que los recursos, es decir, informacin, energa, dinero, equipo, personal, programas de cmputo y materiales son adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen.
Durante aos se ha detectado el despilfarro de los recursos o usoinadecuado de los mismos, especialmente en informtica, se ha mostrado inters por llegar por llegar a la meta sin importar el costo y los problemas de productividad.
4. ANTECEDENTES DE LA AUDITORA EN INFORMATICA.S bien la auditora se ha llevado a cabo desde, que el hombre hizo su aparicin, esta se llevaba de manera emprica, ha sido de gran ayuda para los pueblos conquistadores, ya que tenan que conocer y dar fe de los tributos que les rendan los pueblos conquistados, en Mxico los oidores de la corona espaola, que con el paso del tiempo se transformaran en auditores, que vigilaban el pago de quinto real a los reyes de Espaa.
La auditora en informtica es ms reciente, se tiene como antecedente ms cercano a los Estados Unidos de Amrica.
En los aos cuarenta se empezaron a dar resultados relevantes en el campo de la computacin, con sistemas de apoyos para estrategias militares, sin embargo, la seguridad y el control solo se limitaba a dar custodia fsica a los equipos y a permitir el uso de los mismos solo a personal altamente calificado.
Con el paso de los aos la informtica y todos los elementos tecnolgicos,que la rodean han ido creando necesidades, en cada sector social y se han vuelto un requerimiento permanente para el logro de soluciones.
5. reas a auditar en InformticaLas reas a auditar en donde se puede realizar la auditora en informtica, puede ser:
A toda la Entidad.A un departamento. A un rea A una funcin A una subfuncin.Y se pueden aplicar los siguientes tipos de auditora:Auditora al ciclo de vida del desarrollo de un sistemaAuditora a un sistema en operacinAuditora a controles generales ( gestin)Auditora a la administracin de la funcin de informtica. Auditora a microcomputadoras aisladas Auditora a redes.Clasificacin de acuerdo a Jos de Jess Aguirre Bautista.II. MUESTREO ESTADSTICO EN LA AUDITORIA.1. Conceptos bsicos de muestreo.
Hasta el da de hoy la Comisin de Normas y Procedimientos de Auditora ha emitido el boletn 5020, relativo al muestreo en auditoria que comprende tanto muestreo estadstico como no estadstico.
El muestreo estadstico es aqul en el que la determinacin del tamao de la muestra, la seleccin de las partidas que la integran y la evaluacin de los resultados, se hacen por mtodos matemticos basados en clculos de probabilidades. (IMCP)
Poblacin es el conjunto de todos los elementos de inters en unestudio.Una muestra es un subconjunto de una poblacin.
2. Mtodos de muestreo utilizados en auditora.Existen varios tipos de muestras que se utilizan en auditoria, si bien el IMCP, solo menciona el muestreo de atributos y Muestreo de variables, existen otros tipos de muestreo, que depende del auditor pueden ser tiles para desarrollar los procedimientos de auditoria entre ellos encontramos:
Muestreo aleatorio simple Muestreo estratificadoMuestreo de atributos
Muestreo de aceptacin. Muestreo por conglomerados Muestreo sistemtico
Muestreo por convenienciaMuestreo por juicio.
2.1 Muestreo aleatorio simpleLa definicin de este mtodo y el proceso de seleccionar una muestra aleatoria simple depende si la poblacin es finita o infinita.
Muestreo aleatorio simple ( poblacin finita)Una muestra aleatoria simple de tamao n, de una poblacin finita de tamao N, es una muestra seleccionada de tal manera que cada muestra
posible de tamao n tenga la misma probabilidad de ser seleccionada.
Muestreo aleatorio simple (poblacin infinita)Es aquella que se selecciona de tal forma que se satisfacen las siguientescondiciones: Cada elemento seleccionado proviene de la misma seleccin.
Cada elemento se selecciona de forma independiente.2.2 Muestreo Estratificado.
En este tipo de muestreo primero se dividen los elementos de la poblacin en grupos llamados estratos, de tal manera que cada elemento de la poblacin pertenece a uno y solo a un estrato. Si los estratos son homogneos el procedimiento de muestreo estratificado producir resultados tan precisos que como el muestreo aleatorio simple, pero con menor tamao de la muestra.
2.3 . Muestreo por atributos ( Recomendado por el IMCP)
El muestreo por atributos es un mtodo estadstico que se utiliza para calcular la proporcin de partidas de una poblacin que contiene una caracterstica o un atributo de inters. Esta proporcin recibe el nombre de tasa de concurrencia o tasa de excepcin y es la proporcin de partidas que contienen el atributo especfico en relacin al nmero total de partidas
de la poblacin. La tasa de ocurrencia por lo general se expresa como unporcentaje.
A los auditores les interesa la ocurrencia de los siguientes tipos de excepciones en las poblaciones de datos contables:
Desviacin de los procedimientos del control establecido por elcliente.
Errores o irregularidades monetarias en los datos de las operaciones.Errores o irregularidades monetarias en los detalles de los saldos en las cuentas.
El auditor llegara a la conclusin que la tasa de excepcin de la muestra es el calculo mas probable de la tasa de excepcin de la poblacin.
Dado que se basa en una muestra, sin embargo, existe una probabilidad significativa que en la tasa de excepcin de la muestra y la tasa de excepcin de la poblacin real difieran. Los mtodos estadsticos permiten al auditor indicar la medida en que los dos ndices de excepcin probablemente difieran y la confiabilidad del clculo. Lo primero recibe el nombre de precisin y lo segundo riesgo de muestreo. As pues una vez que se calcula el ndice de excepcin de la muestra, el auditor determinara la precisin del clculo, lo sumara y lo restara del ndice de excepcin de la poblacin. El auditor llegara a la conclusin que el calculo del intervalo contiene el ndice de excepcin real de la poblacin en determinado riesgo de muestreo.
El UniversoSe llama as al cuerpo de datos en donde el auditor desea extraer muestras para llegar a una conclusin, e auditor deber determinar que el universo en donde extrae la muestra es apropiado para el objetivo especfico de la auditora.
Las partidas individuales que componen el universo se conocen como unidades de muestreo para obtener una muestra efectiva y eficiente que le permita alcanzar el objetivo particular de auditora.
Riesgo y certidumbre
Al programar la auditora, el auditor utiliza su criterio profesional para determinar el nivel de riesgo de auditora apropiado.
Los riesgos de auditora incluyen:
El riesgo de que ocurrirn errores importantes tambin conocidos como riesgo inherente.
El riesgo de que el sistema de control interno contable del cliente no prevenga ni corrija tales errores tambin conocido como riesgo de control.
El riesgo de cualquier otro error importante no sea detectado por el auditor tambin, conocido como riesgo de deteccin.
El objetivo del auditor debera ser el reducir el riesgo fuera del muestreo a un nivel mnimo por medio de un planeacin, direccin, supervisin y revisin adecuada.
Error TolerableEs el error mximo en el universo que el auditor estara dispuesto a aceptar y a pesar de eso concluir que el resultado del muestreo ha alcanzado su objetivo de auditora. El error tolerable es considerado durante la etapa de planeacin y se relaciona con el juicio preliminar del auditor respecto a la importancia. A menos grado de error tolerable, ser mayor el tamao e la muestra que requerir el auditor.
En los procedimientos de cumplimiento el error tolerable es el porcentaje mximo de desviacin de un procedimiento de control prescrito que el auditor estara dispuesto a aceptar sin alterar el grado de confianza que tena planeado depositar en el control que esta probando. En el caso de procedimientos sustantivos, el error tolerable es el error monetario mximo en el saldo de una cuenta o transaccin que el auditor estara dispuesto aceptar de manera que al considerar los resultados de todos los procedimientos de auditora, este en posicin de concluir con razonable seguridad, que la informacin financiera no contiene errores importantes.
Error esperado en el universo
Si el auditor espera la presencia del error, normalmente tendr que examinar una muestra mayor para concluir que el valor del universo esta razonablemente presentado dentro del error tolerable estimado o que la confianza que se haba planeado depositar en un control importante esta justificada, las muestras de mayor tamao se justifican cuando se esperan que el universo se encuentre libre de errores. Al determinar el error esperado en un universo, el auditor deber considerar asuntos tales como niveles de error identificados en auditoras previas, cambios en los procedimientos de los clientes y evidencia disponible de su evaluacin del sistema de control interno contable y de los resultados de procedimientos de revisin analticos.
III. METODOLOGA GENERAL PARA LA AUDITORIA EN INFORMTICA.1.- Introduccin
Metodologa es una secuencia de pasos lgica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologas para llevar a cabo una auditoria informtica.
Planeacin. Esta consiste en la elaboracin de los programas de trabajo que se llevaran acabo durante la revisin a la entidad auditada.
Trabajos preliminares.- Consisten bsicamente, de una serie de entrevistas con nuestro cliente, las cuales tienen como objetivo dejar en claro las caractersticas bsicas del trabajo que se va a realizar, que es lo que quiere el cliente y que har, en trminos generales, el auditor.
Diagnstico Administrativo - El Diagnstico Administrativo tiene por objetivo, proporcionarnos una panormica de cmo la empresa percibe y practica la Administracin.
Investigacin Previa.- Aqu conoceremos la empresa y de ser posible validaremos la problemtica que nos fue expuesta por el cliente. Despus de esta fase se estar en posibilidades de hacer una mejor estimacin del tiempo y de los honorarios, si es que no lo pudo hacer en la primera fase.
Elaboracin del programa de la AI.- Todo buen administrador debe planear sus actividades y el auditor no debe ser la excepcin, el programa seala
las actividades que han de realizarse, fechas de inicioy trmino, as como los tiempos.
Obtencin de la Informacin:
oEn esta fase se obtendr toda la informacin pertinente sobre el caso estudiado, pudiendo recurrir a herramientas como: entrevistas, encuestas, observacin, etc., dependiendo el tipo de informacin que necesite.
Anlisis, clasificacin y evaluacin de la informacin:
oEl anlisis y clasificacin de la informacin podr realizarse por mtodos estadsticos
o Evaluacin es aqu en donde se pone a prueba el talento delauditor, por que para entender e interpretar la informacin y continuar con el siguiente paso.
Informe, elaboracin y presentacin del informe final.
oEn l se informar de manera clara y concisa, sobre los resultados de la AI. No debemos olvidar que a los ojos de nuestro cliente l paga por recibir un informe, y en l debe encontrar valiosas recomendaciones que habrn de mejorar su administracin., el informe aunque es escrito, debe presentarse apoyado en una exposicin verbal.
oImplementacin y seguimiento: Algunos autores consideran esta fase como opcional, que no corresponde al auditor realizarla, sino a la empresa, yo considero que el auditor debe participar, para que se interpreten correctamente sus recomendaciones y no haya lugar a desvos en las mismas.
Etapas de la Metodologal mtodo de trabajo del auditor pasa por las siguientes etapas: Alcance y Objetivos de la Auditora Informtica
Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizar la auditora
Elaboracin del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditora
IV. AUDITORA DE SISTEMASLa experiencia de la mayora de las empresas nos indica que los resultados obtenidos del proceso de desarrollo de los sistemas de informacin son
deficientes. Mencionar algunos problemas como ejemplo: Costos en una proporcin inadecuada a los beneficios. Incremento en la escala del proyecto.Sistemas no integrales o aislados.
Deficiente comunicacin entre usuarios y personal del P.E.D. (ProcesoElectrnico de Datos); desconocimiento del papel / responsabilidad de usuarios y direccin.
Escasez de personal profesional.
Expectativas no cumplidas, insatisfechas de los usuarios. Ausencia de pistas de auditora.Falta de revisiones tcnicas a detalle. Entrenamiento deficiente.
Carencia o incompleta documentacin de sistemas (documentacin tcnica), de operacin y/o de usuario.
Carencia de metodologa, o bien de metodologa incompleta y no estndar, para el desarrollo de los sistemas, en la que se sealen con precisin actividades, tiempo estimado y responsable
Administracin insuficiente de los proyectos. Inoportunidad en la transferencia de sistemas en desarrollo aoperacin normal.
Desaprovechamiento tecnolgico.Pruebas del sistema incompletas, inadecuadas, desorganizadas, sin documentar y/o mal diseadas, las cuales garanticen que los errores e irregularidades se detectan oportunamente por sistema. Pruebas no siempre controladas por usuario.
Cabe destacar que es sumamente importante que el auditor estinvolucrado desde el plan maestro del sistema.
Fundamentalmente al auditor del ciclo de vida de desarrollo de sistemasle interesa:
Que exista una metodologa.Que la metodologa sea la adecuada al entorno tecnolgico de la entidad, sea estndar, completa, al da, aprobada, y comunicada a todo el personal.
Que la metodologa se cumpla en el caso de un sistema deinformacin, en particular o en general.
El auditor no siempre ha participado en el ciclo de vida de desarrollo delos sistemas pues teme ser juez y parte, pero es conveniente que el auditor est consciente de que l no representa un factor para la toma de decisiones, sino ms bien juega un papel de control que contribuye a disminuir riesgos, no a evitarlos. En otras ocasiones la falta de su participacin se debe a la escasez de tiempo o personal en cuanto a prioridades.
La mayora de las organizaciones destinan enormes recursos al desarrollo de nuevos sistemas o a la modificacin de los mismos. A la luz del incremento en el porcentaje de fallas en las fechas de terminacin, costos estimados y la satisfaccin del usuario, las organizaciones deben seguir un enfoque estructurado para el desarrollo de nuevos sistemas y el mantenimiento de los mismos. La combinacin de tcnicas efectivas de administracin del proyecto, la participacin activa del usuario y especialistas, y la utilizacin de una metodologa estructurada para el desarrollo de sistemas puede minimizar los riesgos en cuanto a aplicaciones inapropiadas, errneas, con datos sin uso o bien a las que se efectan cambios injustificados: el gran salto hacia delante se logra con pequeos saltos.
Los sistemas de informacin se deben desarrollar para servir al usuario,proporcionndole capacidades para el proceso de datos y reportes.
Cada sistema de informacin tiene cuatro principales reas o fases sujetas a control durante el proceso del ciclo de vida del desarrollo de
sistemas: PlaneacinAnlisis y Diseo
DesarrolloImplantacin
El reconocer que hay un ciclo de vida para el desarrollo de sistemas es elprimer paso para su control el hecho de dividir el desarrollo en fases permite predecir el proyecto integro, analizar y evaluar cada parte con mayor concentracin y monitorear continuamente la calidad y avance del trabajo. Cada rea de control se divide en fases que involucran diversas actividades, responsabilidades y productos finales. Los proyectos de desarrollo se estructuran como acumulativos, cada actividad o etapa descansa en la precedente. Las actividades del proyecto deben ser evaluadas conforme se realizan y tomar la decisin de continuar con la asignacin de recursos y con el programa de trabajo o detenerse a tiempo.
La revisin del ciclo de vida del desarrollo de sistemas parte de los estndares o metodologa requerida para el desarrollo de los nuevos sistemas y las modificaciones a los mismos. El propsito de la revisin efectuada por el auditor de sistemas de informacin es asegurar que la organizacin tiene y usa la metodologa adecuada de desarrollo.
Adicionalmente el auditor de sistemas de informacin est interesado en asegurar que el proceso de desarrollo se adhiera a los estndares establecidos por la metodologa. Su participacin puede ser durante el desarrollo del sistema o una vez ya concluido.
OBJETIVOS DE AUDITORALa meta es verificar que se desarrollen sistemas tiles, seguros, auditables, mantenibles y controlables, lo cual produzca resultados consistentes para satisfacer los requerimientos del usuario.
FASES DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS
PLANEACIN
1. Requisicin de servicios
2. Estudio de factibilidad
DISEO
3. Diseo general del sistema
4. Diseo detallado del sistemaDESARROLLO
5. Programacin
6. Prueba modular y prueba del sistema integral7. Desarrollo de manuales
8. EntrenamientoIMPLANTACIN
9. Conversin
10. Revisin de la post-implantacinPLANEACIN1. REQUISICIN DE SERVICIOS
Justificacin. Ambiente.Alcance.
Restricciones.Beneficios.
Integracin del equipo de trabajo y sus responsabilidades.Definicin de requisitos de informacin, nuevos y existentes. Aprobacin del proyecto.
2. ESTUDIO DE FACTIBILIDADEstudio de los procedimientos existentes. Formulacin de cursos alternativos de accin.Factibilidad tecnolgica (mtodos aplicables de P.E.D.), disponibilidad de la tecnologa que satisfaga las necesidades del usuario, actualizacin o complemento a los recursos actuales. Factibilidad econmica
Costos actuales contra costos de cada alternativa (personal dedesarrollo, equipo software, entrenamiento, preparacin de la entrada, conversin de archivos de prueba, operacin, costo del software, etc.).
Identificacin y cuantificacin de beneficios.Factibilidad operativa. Determinar qu se operar, utilizar; tomando en cuenta factores como la resistencia al cambio, caractersticas del personal, ubicacin de las instalaciones, etc.
Plan maestro del proyecto (puntos de control y calendarizacin de actividades).
Estado general de la funcin de desarrollo. Aprobacin del proyecto.
ANALISIS Y DISEO DE SISTEMAS3. DISEO GENERAL DEL SISTEMA
Estructura general del sistema. Definicin y documentacin de los requisitos de salida del sistema.Contenido y formato de los informes. Frecuencia de produccin de reportes.
Lista de distribucin de reportes. Periodos de retencin de informes. Controles sobre la salida.
Definicin y documentacin de los requisitos de entrada. Requisitos de edicin y validacin (control). Revisiones de seguridad para la proteccin de la exclusividad. Controles sobre la entrada.
Definicin y documentacin de los requisitos de archivos
Definicin de los tipos de registros o estructuracin de bases dedatos.
Mtodos de organizacin.Niveles de seguridad y controles de acceso. Periodos de respaldo y retencin.
Definicin y documentacin de los requisitos de procesamiento(manual y computarizado).
Especificacin de procedimientos programados de clculo,clasificacin, etc.
Estimacin de tiempos de respuesta.Normatividad. Interfases.
Niveles de seguridad. Diseo de documentos fuente.
En esta parte se determinan las especificaciones del usuario, es decir todoaqul que dentro del contexto de la organizacin se relaciona con elsistema. Existen usuarios primarios y usuarios secundarios.
Usuario primario: Es aqul que usa directamente en sus tareas losresultados del sistema de informacin.
Usuario secundario: Es aqul que introduce datos al sistema.
El analista de sistemas debe comprender las responsabilidades, limitaciones, necesidades del usuario, las acciones que deber tomar el usuario, las reglas de decisin a aplicarse y los itinerarios de interacciones. Las especificaciones del usuario involucran el diagnstico de la problemtica y las especificaciones de solucin. Estas tienen la fuerza de un contrato o compromiso entre el usuario y el personal de P.E.D.: tiempo de desarrollo, nivel de desempeo. Las especificaciones de usuario son los antecedentes para todo el equipo de desarrollo. Deben responder a las preguntas, Cmo?, Por qu?, por tanto se debern quedar diagramados los procedimientos actuales y los esperados.
Las decisiones que tienen que tomar los usuarios de un sistema de informacin se pueden dar a 3 niveles:
1) Nivel de Administracin Estratgica:
Guan al nivel medio y operativo de administracin, actan en un clima de incertidumbre. Postulan metas, estrategias y polticas.
2) Nivel Medio de Administracin:Toman decisiones sobre planeacin y control a corto plazo, trabajan en un ambiente de baja certidumbre y las decisiones carecen de alto grado de estructuracin.
3) Nivel Operativo de Administracin:Apoyan sus decisiones en reglas pre-establecidas, operan en nivel de alta certidumbre y fundamentalmente, consiste en la supervisin de detalles operativos.
NIVEL DEDIRECCIONESTRATGICA
CARACTERSTICAS
NIVEL DE CONTROLOPERATIVOAMPLIAVISION DE LA INFORMACINESTRECHA
GENERALNIVEL DE DETALLEMUY DETALLADA
RESUMIDONIVEL DE RESUMENDATOS PRIMARIOS
ANTIGUAANTIGEDADMUY ANTIGUA
DE LA INFORMACIN
ESTIMACIONESPRECISIN
DE LA INFORMACINPRECISIN
CUALITATIVATIPO DE INFORMACINCUANTITATIVA
PRINCIPALMENTEPRINCIPALMETE
EXTERNAFUENTE INTERNA
Otro factor importante a considerar son las relaciones humanas, ya que lossistemas de informacin pueden cambiar las relaciones interpersonales ylas interacciones.
Se debe comprender el estilo organizacional, tomar la organizacin como un todo, identificar el grado de apertura / restriccin:
Permeabilidad. Es necesario identificar si el estilo de liderazgo es autcrata o demcrata.
La recopilacin de datos involucra la investigacin documental, larealizacin de entrevistas y la observacin., Qu se examinar?, Aquines se entrevistar?Principales objetivos de los formatos / pantallas de captura: Precisin.Facilidad de uso y sencillez. Consistencia.
Controlables (flujo).
Principales objetivos de las salidas: Satisfaccin del objetivo planteado.Adaptada al usuario.
Adecuada cantidad de informacin.Oportunidad.
Medio apropiado.Medicin del grado de confidencialidad.
Es mucho menos costoso corregir problemas cuando stos se encuentranen sus etapas iniciales, que esperar a que se expresen mediante quejas deusuarios o aparicin de crisis.
4. DISEO DETALLADO DEL SISTEMA Diseo de documentos fuente.Especificaciones de programas y controles programados (costo- beneficio).
Diseo de pistas de auditora.
Estndares de documentacin de programas.Nombre de la aplicacin.
Diagrama del sistema (men jerrquico).Aspectos generales del programa. Formatos de archivos de entrada. Formatos de archivos de salida.
Diseo y muestra de reportes. Diseo y muestra de pantallas.
Descripcin detallada de los principales procedimientos de clculo, clasificacin, etc., incorporados al programa.
Criterios de seleccin.
Procedimientos de conexin de cifras.Instrucciones de corrida y listado de procedimientos de ejecucin. Medio de almacenamiento y localizacin del programa.
Requerimientos de equipo.Listado del programa fuente (ltima compilacin, con comentarios a la lgica).
Estndares para la prueba de programas y del sistema total. Procedimiento para establecer datos de prueba.
Asignacin de responsabilidades para la preparacin de datos y evaluacin de los resultados.
Autorizacin y aceptacin escrita.En esta etapa se definen las especificaciones tcnicas, es decir lascaractersticas y definiciones tcnicas y operativas del sistema, lo cual esresponsabilidad del lder de proyecto en informtica. Las especificacionestcnicas incluyen:
Instrucciones para programacin. Itinerario para el desarrollo de programas / mdulos.Matrices de archivos / programas, mdulos / programas. Seleccin de los lenguajes de programacin.
Controles del operador.
Instrucciones al operador en caso de interrupciones. Procedimientos de respaldo, reinicio y recuperacin.
DESARROLLO5. PROGRAMACIN
- Desarrollo y elaboracin de la documentacin de programas.
6. PRUEBA MODULAR Y PRUEBA DEL SISTEMA INTEGRALMENTESe deben ejercer presiones para hacer fallar el sistema. Las pruebas deben efectuarse con volmenes de datos y bajo condiciones reales de operacin. Cualquier error detectado debe ser cuidadosamente analizado y corregido, preparndose un reporte de excepciones: problema, causa y solucin, indicando la fecha de correccin. La prueba debe estar bien dirigida, organizada, ser exhaustiva y eficiente,
involucrando:
Los procedimientos manuales, incluyendo al rea de mesa decontrol. Los programas de cmputo y procedimientos de ejecucin. Archivos de prueba.
Al personal.
Es importante que se documenten las pruebas y se muestre en ellas laaprobacin del usuario.
Plan de instalacin.En el caso de proyectos grandes conviene desarrollar un plan de instalacinpiloto o por mdulos, asignando responsabilidades.
7. DESARROLLO DE MANUALESDe Operacin: Representacin grfica de la estructura del sistema.Funcin de cada programa. Requerimientos de equipo.
Tamao estimado de archivos (normal y mximo).
Explicacin de los mensajes de la consola, junto con la respuestaadecuada del operador.
Instrucciones de corrida y listado de procedimientos de ejecucin. Calendarizacin de procesos.
Parmetros a alimentar.
Creacin de salida y su distribucin.Identificacin adecuada de las etiquetas de los archivos de salida. Puntos de reinicio y recuperacin.Procedimientos para notificar errores o condiciones defectuosas. Procedimientos para casos de emergencia.
De Usuario:Representacin grfica de la estructura del sistema. Procedimientos de preparacin de datos.Asignacin de prioridades.
Tiempo probable de respuesta y recepcin de productos finales.Especificaciones de diseo de entrada de datos (formatos y pantallas de captura).
Especificaciones de diseo de salida de datos (reportes / pantallas deconsulta).
Controles de usuario.Procedimientos para resolver errores e incongruencias. Controles sobre la entrada y salida.
Del Sistema: Representacin grfica de la estructura del sistema.Documentacin de cada programa de cmputo.
La revisin de la documentacin de una aplicacin involucra identificar suexistencia, analizar su contenido y juzgar su oportunidad y disponibilidad.La calidad del mantenimiento de sistemas depende en gran medida de la calidad de la documentacin. Adems de la claridad y organizacin de la documentacin, debe dedicarse especial atencin al tipo al tipo de personas a quien va dirigido.
8. ENTRENAMIENTO
Mtodos de la enseanza. Mecanismos para evaluacin del aprendizaje.
IMPLANTACIN9. CONVERSIN
Identificacin de fuentes de informacin.Recopilacin de informacin.
Revisin de la exactitud de los documentos previos a la conversin.Evaluacin de los resultados de la conversin.
La etapa de conversin significa abandonar el sistema actual, manual ocomputarizado, para emigrar a uno nuevo y, conciliar los resultados.
Los controles en la etapa de conversin persiguen el asegurar que losarchivos iniciales proporcionan un punto de arranque adecuado, marcando:
itinerarios, compromisos, condiciones de xito.Normalmente la conversin requiere del desarrollo de programas deconversin de archivos de un formato a otro.
10. REVISIN DE LA POST-IMPLANTACIN
La revisin post-implantacin es una revisin formalmente planeada, que debe realizarse despus de transcurridos 3 o 6 meses de la instalacin
definitiva. La revisin post-implantacin normalmente involucra:Evaluacin del cumplimiento de las necesidades de usuario.Anlisis de costo-beneficio. Efectividad de los controles.
Control de modificaciones al sistema.
Mantenimiento del SistemaDebido a que lo nico constante en sistemas es el cambio, en esta etapa seanaliza y evala como ha sido el mantenimiento de sistemas para proteger a la instalacin de cambios incorrectos, no autorizados o decisiones equivocadas.
El primer cambio surge el da que se instala el sistema.El mantenimiento de sistemas se origina por los siguientes factores:
Cambios en normatividad interna y externa a la entidad. Desarrollo tecnolgico.Comportamiento del entorno, competencia. Costos excesivos.
Normalmente los cambios obligatorios se efectan con menos controles,por la presin implcita, mientras que los cambios por mejoras(refinamiento, creatividad, ventajas tecnolgicas) se atienden ms controladamente.
Al auditor le preocupa que haya un sistema para administrar los cambios,por ejemplo hacer los cambios por grupos o lotes pertenecientes a un mismo mdulo/programa. La documentacin de los cambios debiera mostrar:
Control numrico.Fecha de implantacin. Persona solicitante.
Persona que efectu el cambio. Justificacin.
Descripcin narrativa.
Documentacin de las pruebas. Autorizacin formal.
Todo cambio debiera originar la actualizacin de la documentacincorrespondiente.
La conciencia de la calidad, seguridad y control, debe iniciarse en las reas de desarrollo, contemplando un balance adecuado con la productividad de los sistemas.
rea de Control | Planeacin de Sistemas.Los objetivos de control del proceso de planeacin de sistemas son elasegurar que:
1- Los proyectos de desarrollo de sistemas de informacin son planeados con la suficiente anticipacin.
2- Las necesidades y objetivos son definidas adecuadamente.
3- Se evalan adecuada y suficientemente las desventajas, los aspectos econmicos, tcnicos, humanos, polticos y de operacin.
4- Los sistemas son planeados de acuerdo a estndares. Si no se puede planear tampoco se podr hacer.
rea de Control | Diseo de Sistemas.Los objetivos de control del proceso de desarrollo de sistemas sonasegurar que:1- Los programas son construidos de acuerdo con las especificaciones aprobadas por el usuario en la etapa de diseo del sistema.
2- Los programas son desarrollados en base a especificaciones detalladas por programa.
3- Los sistemas son verdaderamente probados / documentados.
4- Los usuarios son adecuadamente entrenados.
5- El sistema est de acuerdo a estndares.
La participacin del autor de sistemas de informacin en el proceso de desarrollo se basa en la siguiente afirmacin:
La deteccin y correccin de controles inadecuados o incompletos durante la fase de diseo ahorrar tiempo y dinero cuando el sistema est operando.
V. AUDITORA DEL EQUIPO DE CMPUTO.Una de las reas de auditoria mas conflictivas y sensibles en una Institucin es la funcin de adquisiciones que, tratndose de recursos informticos se vuelve por dems interesente y muy sensible, debido a que se tiene que establecer los procedimientos de adquisicin de los bienes informticos, que van desde una compra simple, hasta una licitacin en forma, ya sea por adjudicacin directa, por invitacin restringida, por licitacin nacional o internacional, si se requiere.
Entre los aspectos importantes que tenemos que observar al realizar la auditoria se encuentran:
Economa y factibilidad del posible proyecto de inversin, para lasolucin de los requerimientos planteados por la entidad evaluando su efectividad de acuerdo a las metas y objetivos previamente planeados.
Se debe tener bien establecida la responsabilidad de los proveedores
Equipo / softwareA partir del anlisis y definicin de requerimientos se debern explorar las diferentes alternativas de solucin, realizando un estudio de factibilidad
que comprendan los siguientes elementos.
Factibilidad econmica. (estudio de costo-beneficio) involucrando loscostos asociados a la adquisicin, considerando no solo eldesembolso inicial sino los costos por entrenamiento al personal ymantenimiento de los equipos.
Factibilidad operativa, orientado a evaluar si el equipo tendr lacapacidad de procesar la informacin con posibilidades de crecimiento probadas.
Factibilidad tecnolgica, por las restricciones que esto pudiera tenerpara aprovechar ntegramente la inversin que esta realizando. Existen muchos casos en que se obliga a la institucin a adquirir otro tipo de dispositivos para poder hacer operativo el equipo inicialmente contratado.
Es importante tomar en cuenta la facilidad que tiene el proveedor paradar mantenimiento en el propio lugar en que se encuentra instalado elequipo o los programas. Ya que esto puede entorpecer la operacin en caso de que el proveedor no ofrezca esta posibilidad. Esta condicin es aun ms importante cuando nos referimos a software especializado.
En base a lo anterior se iniciara el siguiente paso del proceso que es el envi de solicitudes de propuestas a diferentes proveedores.
En la prctica se solicita la cotizacin, abrindose esta en una fecha determinada ante la presencia de todos los concursantes a fin de que no existan favoritismos en la asignacin del periodo y este se canalice hacia la mejor alternativa para la institucin.
Estas solicitudes de propuestas debern incluir todas las especificaciones tcnicas y operativas que debern cumplir para estaren posibilidades de concursar.Con estas propuestas se realizara la evaluacin de los equipos yprogramas y se realizaran las pruebas de aceptacin previas.Se sugiere que los resultados de las pruebas se alimenten a un sistema que asignara calificaciones y en forma automtica, sealara el ganador del concurso.
Es necesaria una revisin minuciosa del contrato con el proveedor. Es recomendable solicitar la opinin del departamento legal de la institucin o en su ausencia de un especialista externo, que valide la formulacin del mismo.
En el caso de adquisicin de software es importante definir el nivel demodificaciones (customizacin) que requiere para hacerlo operativo enla realidad. Aceptando que los paquetes responden a necesidadesgenerales pero que requerirn de este proceso de adecuacin razonable para hacerlos operativos.
Estos trabajos debern declararse en forma detallada dentro de los contratos respectivos.
Al trmino de esta actividad se autoriza la compra mediante la aprobacin de la gerencia y se iniciara un sistema de seguimiento del proyecto de tal manera que este se cumpla dentro de las estimaciones de costo y tiempo definidas.
Otro aspecto importante a sealar es la capacitacin requerida y ofrecida por el proveedor, tanto en hardware como en software, que tambin tendr que formar parte de la propuesta inicial para tener un panorama real de la inversin necesaria.
Es necesario tener claramente especificado de que activos se trata, de que manera y cuales sern los requisitos de autorizacin necesarios, los cuales pasaran a formar parte de la evaluacin del auditor.
Para finalizar, es necesario realizar un seguimiento de los resultados que se obtengan al utilizar las nuevas adquisiciones a fin de comparar las expectativas contra los resultados reales y estar en posibilidades de realizar los ajustes necesarios.
Objetivos de la revisinQue los recursos y el capital sean efectivas y eficientementeaplicados.Que se cumpla con las polticas y procedimientos establecidos por la institucin.
Aspectos de las adquisiciones. Determinacin del presupuestoConsideraciones financieras
Requisitos de la aplicacin / prioridadesSeleccin de posibles proveedores
Peticin formal de propuestasDemostraciones
Referencias/ pruebasCaractersticas de las licencias de uso de software Comparacin de propuestas evaluacin de riesgos Planificacin del local (instalaciones)
Plan de instalacin
Planificacin de la conversinPlan de implantacin
Tema 2. Sistema operativoImplantacinTpicamente el sistema operativo lo proporciona el fabricante del computador, pero el trabajo de implantacin abarca el seleccionar las opciones apropiadas del sistema operativo y generar un sistema que cumpla con los requerimientos especficos de la institucin, tomando en
cuenta factores como:
Configuraciones de equipos de computo (capacidades de memoria,perifricos en uso etc.) Modo de procesamiento (batch o en lnea)
Otras facilidades que se requieren (comunicaciones)
Este trabajo puede ejecutarse por el proveedor, por cuenta de la entidad opor la entidad misma. En cualquiera de los casos debern verse involucrado, como responsable. Un funcionario de procesamiento
electrnico de datos que ayude a determinar que las opciones se han deseleccionar, probar documentar e implantar apropiadamente.
El sistema operativo que resulte deber probarse acuciosamente bajo la supervisin del funcionario responsable, para determinar que se ejecuta de conformidad con los requerimientos de la entidad y que se han implantado apropiadamente todas las rutinas, facilidades y capacidades autorizadas.
Mantenimiento de sistemas operativos
Deben establecerse formalmente los procedimientos para dar mantenimiento de los sistemas operativos, al igual que en las aplicaciones. Un procedimiento conveniente pudiera incluir el que se prepare, revise y autorice adecuadamente una forma estndar de requisicin de cambio antes de que se haga la modificacin.
Una vez efectuado el cambio debern estar en vigor procedimiento de revisin. A este efecto de asegurar que la documentacin se actualiza de acuerdo a las normas de la entidad.
Despus de que los programas modificados se han catalogado, un funcionario de procesamiento electrnico de datos (personal calificado en soporte tcnico) deber cerciorarse de que se han seguido los procedimientos apropiados para garantizar que se han considerado los aspectos mas importantes como son la ejecucin del sistema operativo y los cambios que afectan a los usuarios, as mismo se debern obtener las aprobaciones requeridas y cerciorarse de que el personal implicado ha sido notificado por escrito respecto a la fecha en que entrara en vigor la versin modificada del sistema operativo.
Algunos de los aspectos a incluir en la revisin del sistema operativo son: Documentacino Tablas de configuracin del sistema operativo, guas,procedimientos, etc.
Procedimientoso Carga inicial del sistemao Aplicacin de actualizaciones o modificaciones.
o Retencin del registro de la actividad en consola y contabilidaddel trabajo (job accounting)
o Restricciones para el uso de comandos crticos
Ejecucin del sistema (software para monitoreo)o Tiempo de respuesta en lneao Costos/gastos excesivos.
o Sistema operativo.
Tema 3 auditoria a la seguridad fsicaSeguridad fsicaLa informacin y los recursos informticos son activos que deben ser protegidos del acceso no autorizado. La manipulacin y la destruccin. La seguridad fsica debe establecerse para prevenir accesos innecesarios y/o no autorizados y registrar los hechos.
La auditoria a la seguridad fsica se re refiere a la revisin de las medidas de control orientadas a la continuidad del servicios y dependen en gran
parte de;
Los fenmenos naturales: incendio, terremoto, huracanes,tormentas, severas, inundacin, fallas de corriente, picos devoltaje, falla de aire acondicionado y cortos circuitos.
Actos intencionales de ex-empleados, empleados notificados dedespido, huelga, empleados adictos al alcohol o drogas, ladrones profesionales, empleados con problemas econmicos o descontentos
Por lo anterior la entidad corre el peligro de: Entrada no autorizadaDao de equipo
VandalismoRobo de equipo y documentos
Copias, consulta y/o divulgacin de informacin confidencial Alteracin de equipos sensible. Cambio no autorizacin de datos
La seguridad fsica debe proteger principalmente las reas deSala de computo Consola del operadorImpresoras
Equipo de teleproceso Fuentes de poderLugar donde se guardan las cintas o discos magnticos
Bvedas de respaldosOficina de control de entradas y salidas
Closet de comunicacionesMicrocomputadoras y terminales remotas
rea de programacin
La revisin principalmente abarca la verificacin de controles sobre:Ubicacin del equipoFacilidad de acceso. Las reas extremadamente visibles son muyvulnerables.
Alimentacin de energa elctrica Lneas telefnicas privadas de respaldo, sobre todo en el caso deteleproceso
ndice de delincuencia. Empresas vecinas altamente contaminantesndice de fenmenos naturales: sismos, tormentas, etc.
Material de construccin y mobiliarioo materiales de construccin. Las paredes, techos y pisosdeben estar construidas de material difcil de romper, resistente al fuego y no combustibles y que adems no genere partculas de polvo, ya que pueden daar los recursos informticos
o evitar las alfombras ya que causan electricidad esttica,sobre todo cuando la humedad es baja.
o Se debe mantener al mismo el numero de puertas yventanas
o El centro de cmputo debe instalarse dentro de un edificiolejos de ventanas y paredes que den a la calle.
o No deben existir grandes rboles u otras estructuras quepongan en peligro el rea de computo
o Bvedas resistentes al calor y humedado Barreras para cortar o aislar incendios.oSe deben vigilar la instalacin de detectores y controles de acceso. Los detectores pueden ser de: humo, calor, agua, combustin, controles de temperatura, controles de humedad, sistemas de deteccin de intrusos.
o El lugar debe acatarse a los cdigos de seguridad
o Debe evitarse el uso de ventiladores en las reas en dondese encuentra ubicado el equipo, ya que es un elemento parapropagar el polvo con el riesgo de daar los equipos.
o El mobiliario debe ser resistente al fuego y no se debepermitir fumar alrededor o cerca de daar los equipos
o El mobiliario debe ser resistente al fuego y no se debepermitir fumar alrededor o cerca de los equipos.
Control de acceso Control de puertas. El acceso solo debe permitirse a aquellaspersonas que opriman la secuencia correcta de botones, sistemade tarjetas, sistemas de gafetes, etc. Tratndose de sistemas digitales generalmente la secuencia es de 6 dgitos. Lo cual proporciona un milln de combinaciones diferentes.
Guardias de seguridad.Cerraduras de combinacin, electrnicas o biomtricas. Cerraduras para terminales
Circuito cerrado de televisin
Alarmas Puertas blindadas bajo sistemas de doble puerta Registro de visitante y gafetes de identificacin
Uso de credenciales-gafetes con fotografas
Algunas consideraciones en la seleccin del sistema de control de accesoson:
Margen de error. Determinar el porcentaje tolerable de error delsistema a seleccionar; es decir, hasta cuantas veces se aceptaraque el sistema niegue el acceso a una persona autorizada o lopermita a una que no lo esta.
Proteccin en caso de fallas en el suministro de energa elctrica.Resistencia a la manipulacin o sabotaje
Mantenimiento del sistema en buen estadoFlexibilidad para crecer en relacin al crecimiento institucional. Sencillez en su operacin desde su instalacin hasta su puesta en marcha
Cantidad y frecuencia de acceso de acuerdo al trafico de entradas y salidas
Prevencin contra fuego y aguaExistencia mnima de material combustible Existencia adecuada de trituradora de papelEvitar cables sueltos y contactos en mal estado
Detectores y alarmas de fuego, humo y humedadExtinguidores de agua (reas administrativas y almacenes) y gas (reas de equipo) carga, peso, ubicacin, cantidad y capacidad. Tuberas adecuadamente aisladas para evitar filtraciones. Apagadores automticos de incendio en ductos de aire acondicionado.
Fundas para los equipos
ExtrasSalidas de emergencias Planta de energa, reguladores de voltaje y sistema no-breakRespaldos
Contratos de mantenimiento preventivo y correctivo a todos losequipos e instalaciones del rea de informtica.
Tema 4 auditoria a la seguridad lgicaNunca ha sido tan grande la demanda de la identificacin de los usuariosen todos los niveles. En la actualidad, cada vez ms existe la tendencia a que los usuarios compartan los recursos de cmputo, por lo tanto el
auditor debe preocuparse por:
Determinar el mecanismo de acceso autorizado es capaz deprevenir accesos no autorizados a los recursos.
Dadas las capacidades del mecanismo del control de acceso a lossistemas de informacin, determinar si es suficiente.
entre el usuario de un sistema y en computador mismo. Su propsito primario es establecer la identificacin y la autenticacin del que pretende ser usuario del sistema, para lo cual se necesitar un mecanismo de control.
Es una realidad que cada vez ms los recursos informticos: equipo, programas y datos, son compartidos por un gran nmero de personas fsicamente dispersas lo cual hace necesario implantar controles que garanticen que el acceso a ellos se realiza de acuerdo al nivel jerrquico y
funciones del personal. Protegiendo a la instalacin de:
Destruccin accidental o intencional Mal uso Consulta no autorizada de datos
La seguridad lgica se lleva a cabo a travs de programas de acceso a:Equipos ProgramasComunicaciones
Datos Facilidades
Las acciones sobre el acceso sobre los datos y programas debenrestringirse en cuanto a:
CreacinModificacin Copiado Eliminacin
ConsultaEjecucin
nica a un usuario de los dems mientras que la autentificacin consiste en determinar si el individuo es quien dice ser. Es autentico para efectos de la seguridad lgica, un usuario lo constituye cualquier persona que utiliza los recursos informticos ya que pertenezca a la rea de informtica o no.
La identificacin, autentificacin y autorizacin de los accesos del personal se logran mediante el uso de:
Informacin memorizada passwords o contraseas. queconoce el usuario?
Objetos, tarjetas plsticas con bandas magnticas, llaves, etc.que posee el usuario? Caractersticas personales: voz, huella digital, retina del ojo, etc.
El medio mas comn para el control de accesos es la informacinmemorizada o palabras calves; passwords y debe reunir las siguientescaractersticas:
No menores de cuatro caracteresAlfanumricos para incrementar el numero de combinaciones No debe tener el nombre del usuario o cualquier dato personalasignados por el propio usuario
Debe ser intransferible. Cada usuario es responsable del buen omal uso.
No debe permitirse usar palabras anteriormente utilizadasFciles de recordar, difciles de recordar
Numero limitado de intentos Internamente transformados en un cdigo secreto encriptados No desplegables en pantalla
Cambiados peridicamente y de manera automtica por elsistema
El sistema de control de accesos mediante passwords debe establecerperfiles de usuarios que incluyan los siguientes datos.
Nombre del usuario Identificador del usuario USER IDrea a que pertenece
Privilegios dentro del sistemaVigencia de acceso al sistema
El archivo en donde reciben los passwords deber ser protegidos con surespectiva contraseaCobra una gran importancia el concienciar al personal para que no rebelen los passwords. Enfatizando lo que estos representan en la reduccin de riesgo de transferencia, modificacin, perdida o divulgacin, accidental o intencional de informacin confidencial
Normalmente los sistemas computarizados para seguridad proporcionan una bitcora de las actividades efectuadas en el proceso electrnico de datos. Constituyendo pistas de auditoria que pueden analizarse peridicamente y tomar decisiones en esta bitcora deben quedar registrados todos los accesos ocurridos y los intentos de acceso no autorizados a fin de que se puedan tomar las medidas pertinentes cuando el numero de incidencias es relevante: en que Terminal ocurre, a que hora, cuantas veces, que persona la utiliza, etc.
Los datos que pueden ser tiles como pistas de auditoria son: Identificacin del usuarioInformacin dada para autentificacin
Recursos requeridosAcciones privilegiadas (derechos) requeridas
Identificacin del dispositivo (Terminal)hora de inicio y terminacin del acceso numero de intentos de acceso
recursos proporcionados o negados
acciones privilegiadas (derechos) otorgadas o negadas
Controles mediante criptografaLa criptografa derivada de dos palabras griegas: kriptos (oculto o secreto) y grafos (escritura). Es un mtodo de proteccin de informacin mediante un proceso en el cual datos entendibles o legibles son transformados en cdigos secretos (criptogramas) para prevenir accesos no autorizados y mantener la privacidad de la informacin por o tanto la criptografa convierte los datos originales en mensajes que no tienen significados para los que no conocen el sistema para recobrar los datos iniciales.
El anlisis criptogrfico se refiere a las tcnicas para recobrar legalmente datos crpticos incorporados en criptogramas. Los trminos de encripcion y decripcion son sinnimos descifrados.
Existen bsicamente tres mtodos para transformacin de informaron: Sustitucin: mediante este mtodo se conserva la posicin original de los
caracteres del mensaje y esconde su identidad pues los remplaza por otroscaracteres de acuerdo a una tabla de cdigos equivalentes ya seannumricos o alfabticos.
Transposicin o permutacin. Consiste en cambiar el orden de loscaracteres del mensaje original.
Hibrido. Este mtodo combina las caractersticas de los mtodos de sustitucin y de transposicin.
Con el objeto de estandarizar la forma de encriptar. Se diseo un algoritmo llamado des (data enryption standard) basado en la tcnica de sustitucin o transposicin de datos; el cual fue adoptado por la nbs (national bureau of standards) de, los estados unidos de Norteamrica.
La seguridad no puede depender de un solo elemento como lo es un algoritmo de encripcin. Pues la persona que quisiera acceder informacin confidencial protegida, lo nico que tendra que hacer es enfocar sus esfuerzos a descubrir los detalles de dicho algoritmo. Es por esto que se requiere de un segundo elemento llamado llave de encripcion, que es un numero generado en forma aleatoria con el objeto de mantener su confidencialidad.
El concepto de encripcion por hardware se aplica cuando se utiliza un dispositivo elctrico denominado encriptor para transportar datos que viajan a travs de un medio de comunicacin. Se dice que la encripcion es va software, cuando se utilizan una serie de programas para transformar los datos independientemente de que estos se encuentren almacenados o viajando a travs de cables, lneas telefnicas, etc.
Aspectos importantes para evitar cambios no autorizados a los programasy datos.Segregacin de funcioneso Diferentes personasoDiferentes bibliotecas y directorios en disco (para produccin desarrollada)
Adecuado sistema de medios de identificacin por ejemplopalabras claves (passwords) definicin de autorizaciones, frecuencia de cambios estructurales, etc.
Supervisin.Tema 5. Plan de contingencias.Ha existido mucha dificultad para la plantacin y prevencin de desastresdurante los ltimos aos. Un buen punto de inicio fue el reconocimiento del poder de las comunicaciones (telfono, fax MODEM, etc.) y como afecto a los centros de computo el temblor de de septiembre de 1985 en Mxico, DF. El impacto mayor no es en muchas veces el desastre mismo, sino las acciones que se tomen en el momento del desastre.
Recordando los desastres pueden ser naturales, humanos y materiales. Normalmente se piensa en los fenmenos naturales, pero no en lo de todos los das. Roedores, fugas de agua, etc. Y eso muchas veces es lo primero a controlar. Otro ejemplo es el que cualquiera puede llegar a las instalaciones, a recursos vitales como las comunicaciones.
Se entiende como: Desastre: accidente, tragedia, emergencia.
Recuperacin: sanar, reponer, ganar de nuevo.
Se puede definir un plan de recuperacin como la habilidad de unaorganizacin para continuar sus operaciones diarias, a pesar de que ocurraun desastre, por medio de una serie de acciones coordinadas y planeadas con el conocimiento y el apoyo gerencial. El gerente de informtica debe ser el lder del plan. Pero debe involucrarse seriamente el director de finanzas.
Para que u plan de recuperacin ante contingencias funcione deben ser del conocimiento y reconocimiento de todos los involucrados. Para obtener un mayor convencimiento se puede recurrir a fuentes externas. Es una pliza de seguro diferente.
En general los planes de contingencia pueden definirse como un elemento de control interno que es establecido para asegurar la disponibilidad de datos valiosos y los recursos del computador en el caso de un evento que ocasione la interrupcin de operaciones.
Un buen plan de contingencia y recuperacin detallada los procedimientos para emigrar a una situacin de emergencia en el menor tiempo posible y con el menor grado de riesgo as como regresar a la operacin normal de la misma forma.
La preparacin de los planes de contingencia no es una tarea simple yrealizable por un solo individuo. Es una actividad compleja y multifactico que requiere la involucracin de toda una organizacin. Por lo que resulta necesaria la creacin de un comit que administre todo lo relacionado con el plan de contingencias: recursos humanos y financieros aunque el desarrollo del plan requiere de la cooperacin de todas las reas de la institucin, una persona debe tener la responsabilidad de coordinar, complementar y dar mantenimiento al plan. A esta persona se le conoce como lder del proyecto.
Una parte del proceso de planeacin para los casos de contingencia es la determinacin de los desastres potenciales de la organizacin. Diferencindose un desastre de una falla operativa. La clave para la determinacin efectiva de los planes de contingencia es el entendimiento de los requerimientos de procesamiento y sus prioridades.
A continuacin se indican algunos puntos a considerar dentro de un plan de contingencia. :
Tener un mejor entendimiento de la entidad. lo importante no es serinformtico sino pertenecer a una entidad en particular.
Ver las cosas no con una perspectiva simplemente tecnolgica, sinode proteccin y seguridad. Muchos problemas se van generandopaulatinamente y en un momento se convierten en desastre, diariamente pasan inadvertidos.
Imposicin de sanciones (penalizaciones y multas) por violaciones oinfracciones a las reglas de seguridad por empleados irresponsableso descuidados. Por ejemplo, en el caso de cortes de cables.
Realizar un inventario de todos los sistemas. Facilidades y recursosde cmputo incluye a las personas que estn operando enfermedades que parecen limitaciones emocionales, Accesibilidad y responsabilidad, empleados valiosos, mobiliario, aire acondicionado, puertas, cerraduras, necesidades de usuarios y fijar prioridades.
Analizar todos los conflictos legales y laborales considerados comopotenciales en caso de desastre, con empleados accionistas,clientes, proveedores, etc.
Cuidar la coordinacin cuando se comparte el inmueble con otrasinstituciones. Fincando responsabilidad compartida, tambin es elcaso de construcciones y remodelaciones vecinas.
Auxiliarse de documentos modelos y preparar un plan preliminar, entrminos de negocios.
Incluir procedimientos detallados iniciales de avisos y acciones. Loms importante es proteger la vida humana. Las telecomunicacionesen muchos casos son crticas en caso de desastres. El seguir las instrucciones ordenadamente puede evitar que un desastre se convierta en una catstrofe. Puede darse el caso de tener la necesidad de reemplazar trabajadores valiosos que renuncian como resultado de tener sentimientos de inseguridad o percibir un alto riesgo para sus vidas.
Lista de personas que deben arrancar el plan contra desastres, quedeben ser informadas de manera inmediata y de los coordinadoresresponsables de la centralizacin y diseminacin de la informacindurante la emergencia.
Clasificar los recursos informticos de acuerdo a su importancia.Requerimientos de personal para recuperacin.Direcciones y telfonos de:
o Centro alterno de proceso de datos.
o Proveedores.
o Clientes.o Doctores.
o Polica.o Servicios de emergencia, bomberos, hospitales, etc.
o Agencias de personal para nuevas contratacioneso Personal activo.
Rutas de transportacin primaria y alterna en el caso de que resultenecesario enviar empleados a su domicilio.Procedimiento en caso de amenaza de bombas
Procedimientos para activar el equipo de soporteMecanismo de notificacin y control de actividades.
Operaciones a procesar en el centro de apoyo o facilidades alternas. Prioridades de operacin de sistemas.Planes de evacuacin y planes alternos en caso de fuego, bomba o explosin.
Procedimientos para solicitar asistencia de la polica y los bomberos. Procedimiento para recuperacin, conmutacin telefnica y
restauracin de los servicios del centro de procesos de datos. Reporte y evaluacin de riesgos existentes.
Copiad de contratos y seguros de mantenimiento y respaldos. Mecanismos de respaldo existentes. Guardando la versin abuelo de los archivos en medios magnticos en un lugar seguro y fuera de la zona en que se ubique el centro de proceso de datos.
Convenios con otras instalaciones para formalizar soporte de equipoen caso de catstrofes.
Los procedimientos deben funcionar siempre por lo que es importante efectuar una revisin peridica de ellos y actualizar los ejemplares que se tengan del manual por el comit de contingencias cada vez que ocurran cambios en:
o Personal.
o Equipo o instalacin propia y/o soporte.o Telfonos.
o Usuarios.o Contratos de mantenimiento y respaldo.VI. AUDITORA ADMINISTRATIVA PARA EL REA DE CMPUTO.ADMINISTRACIN DE LA FUNCIN INFORMTICAREQUERIMIENTOS A SOLICITRA PARA LA REVISIN P L A N E A C I N
Dentro de esta etapa vamos a considerar la determinacin de objetivos, polticas, procedimientos y programas, adems de la eleccin de los cursos de accin para lograrlos con base en la investigacin y elaboracin de programas de trabajo que incluya. La creacin y funcin del comit u rgano interno de cmputo que debe ser el encargado de administrar los bienes informticos.
SOLICITAR
Manuales de Organizacin donde se identific:o Funciones, personal y equipo del rea.
o Objetivos del rea.o Objetivos particulares de cada departamento.
o Polticas del rea.o Procedimientos del rea.o Programas.
O R G A N I Z A C I NEn esta etapa se deber considerar el establecimiento de la estructura necesaria, para la optimizacin de los recursos a travs de la determinacin de jerarquas y agrupacin de actividades con el fin de realizar y simplificar las funciones del rea.
SOLICITAR
Organigrama general y particular del rea de cmputo.I N T E G R A C I NDentro de esta etapa se verifica la funcin a travs de la cual el encargado de la administracin de la funcin informtica elige y se allega de los recursos humanos necesarios para cumplir con los objetivos previamente establecidos.
SOLICITAR
Planes y programas de trabajo respecto a: Reclutamiento.Seleccin. Induccin.
Capacitacin. Desarrollo.
D I R E C C I NEn esta etapa se consider si existe supervisin y coordinacin de las actividades desarrolladas por el personal del rea de cmputo.
SOLICITAR
Documentos que establezcan:o Frecuencia con que se realiza.
o Quin es el responsable de realizarla.o Formas en que se realiza.
C O N T R O LEn esta etapa se verifica si se cumpli con los objetivos planeados, analizando los resultados obtenidos.
SOLICITAR
Informe anual de actividades del jefe de la Divisin de Informtica. Ultimo informe de cada departamento con la finalidad de verificar suexistencia y periodicidad de realizacin.
Registros y bitcoras de actividades desarrolladas por todas y cadauna de las personas del rea.
Aplicacin de los cuestionarios desarrollados en el proceso administrativo,auxiliados de las metodologas, ya se sea de William P. Leonard, O delanlisis Factorial del Banco de Mxico, o por desarrollado por Jos de Jess Aguirre, que se explicarn en clase. Y que son aplicables a la estructura orgnica de la empresa, al personal, a costos, presupuestos y controles de asignacin de trabajo.
VII. INTERPRETACIN DE LA INFORMACIN.Se cuenta en la actualidad con numerosas herramientas para interpretar la informacin que recopilamos durante la auditoria previamente planeada, despus viene la fase de la ejecucin del trabajo en donde, para realizar un trabajo suficiente y competente nos auxiliamos de las tcnica de auditoria emitida por el IMCP, y que podemos adaptar a nuestras revisiones en informtica, no obstante podemos adherir las tcnicas propias de la informtica, a continuacin mencionaremos las tcnica emitidas por el IMCP.
Clasificacin de las Tcnicas de Auditoria
La comisin de normas y procedimientos de Auditoria del Instituto Mexicano de Contadores Pblicos, en su boletn 5010-procedimientos de auditora ha propuesto la siguiente clasificacin:
Estudio GeneralAnlisis.
Inspeccin.Confirmacin. Investigacin.
DeclaracionesCertificacin.
Observaciones.Clculo.
Estudio General
Es la apreciacin y juicio de las caractersticas generales de la empresa, las cuentas o las operaciones, a travs de sus elementos mas significativos para concluir se ha de profundizar en su estudio y en la forma que ha de hacerse.
AnlisisEs el estudio de los componentes de un todo para concluir con base enaquellos respecto de este. Esta tcnica se aplica concretamente al estudiode las cuentas o rubros genricos de los estados financieros.
InspeccinEs la verificacin fsica de las cosas materiales en las que se tradujeron lasoperaciones, se aplica a las cuentas cuyos saldos tienen una representacinmaterial, (efectivos, mercancas, bienes, etc.).
ConfirmacinEs la ratificacin por parte de una persona ajena a la empresa, de laautenticidad de un saldo, hecho u operacin, en la que participo y por la cual esta en condiciones de informar validamente sobre ella.
InvestigacinEs la recopilacin de informacin mediante platicas con los funcionarios yempleados de la empresa.
Declaraciones y CertificacionesEs la formalizacin de la tcnica anterior, cuando, por su importancia,resulta conveniente que las afirmaciones recibidas deban quedar escritas (declaraciones) y en algunas ocasiones certificadas por alguna autoridad (certificaciones).
Es una manera de inspeccin, menos formal, y se aplica generalmente aoperaciones para verificar como se realiza en la practica.
ClculoEs la verificacin de las correcciones aritmticas de aquellas cuentas uoperaciones que se determinan fundamentalmente por clculos sobre bases precisas.
Clasificacin de los Procedimientos de AuditoriaComo ya se ha mencionado los procedimientos de auditoria son laagrupacin de tcnicas aplicables al estudio particular de una cuenta u operacin; prcticamente resulta inconveniente clasificar los procedimientos ya que la experiencia y el criterio del auditor deciden las tcnicas que integran el procedimiento en el caso particular.
Extensin o alcance de los ProcedimientosSe llama extensin o alcance a la amplitud que se da a los procedimientos,es decir, la intensidad y profundidad con que se aplican prcticamente.
Oportunidad de los ProcedimientosEs la poca en que deben aplicarse los procedimientos al estudio departidas especficasAdems de las tcnicas antes mencionadas, nos ayudaremos de loscuestionarios de control interno, y cuestionarios de aplicacin general yespecfica utilizando el modelo Jos de Jess Aguirre, que hace referencia ala ponderacin de cada etapa de la auditoria en informtica y se le da un valor para medir, ya sea la productividad, costo-beneficio, y utilidad de la capacidad instalada, para poder emitir una opinin sobre la razonabilidad en el uso de recursos informticos, que es finalmente el objetivo de la Auditoria en informtica.
INFORME DE AUDITORIA
Elementos bsicos del Informe de Auditora
La materializacin final del trabajo llevado a cabo por los auditores independientes se documenta en el dictamen, informe u opinin de auditora. Adems, para aquellas entidades sometidas a auditora legal, este documento junto con las cuentas anuales del ejercicio forma una unidad,
El informe de auditora independiente deber contener, como mnimo, los siguientes elementos bsicos:
El ttulo o identificacin.A quin se dirige y quienes lo encargaron. El prrafo de "Alcance".
El prrafo de "Opinin".
El prrafo o prrafos de "nfasis". El prrafo o prrafos de "Salvedades". El prrafo sobre el "Informe de Gestin". La firma del informe por el auditor.
El nombre, direccin y datos registrables del auditor. La fecha del informe.
El prrafo legal o comparativo
Objetivos, caractersticas y afirmaciones que contiene el informe deauditora
El informe de auditoria en informtica tiene como objetivo expresar una opinin tcnica sobre el uso de los recursos informticos, sobre si stas muestran la imagen fiel del patrimonio informtico, y su aplicacin correcta dentro de la Institucin que se audite.
Caractersticas del informe de auditora
Es un documento mercantil o pblico.Muestra el alcance del trabajo. Contiene la opinin del auditor.
Se realiza conforme a un marco legal.Principales afirmaciones que contiene el informe
Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qu normas de auditora.
Expresa si las cuentas anuales de gastos en los recursos informticos y que contienen la informacin necesaria y suficiente y han sido formuladas de acuerdo con la legislacin vigente y, tambin, si dichas cuentas han sido elaboradas teniendo en cuenta el principio de uniformidad.
Se opina tambin sobre la concordancia de la informacin contable para verificar la veracidad de las cifras en el rubro de recursos informticos.
En su caso, explica las desviaciones que presentan los estadosfinancieros con respecto a unos estndares preestablecidos y el plan anual de avance informtico..
Podemos sintetizar que el informe es una presentacin pblica,resumida y por escrito del trabajo realizado por los auditores y de su opinin sobre la situacin de los recursos informticos de una Institucin.
Tipos de opininExisten cuatro tipos de opinin en auditora: Opinin Favorable.
Opinin con Salvedades.Opinin Desfavorable. Opinin Denegada.
La opinin favorable, limpia o sin salvedades significa que el auditor est de acuerdo, sin reservas, sobre la presentacin y contenido de los procedimientos que se llevan a cabo par verificar la utilizacin adecuada en los recursos Informticos.
La opinin con salvedades (llamada tambin en la jerga de la auditora como opinin calificada o cualificada), significa que el auditor est de acuerdo con los procedimientos y utilizacin de los recursos informticos, pero con ciertas reservas.
La opinin desfavorable u opinin adversa o negativa significa que el auditor est en desacuerdo con los procedimientos utilizados para el manejo de los recursos informticos y afirma que stos no se realizan conforme a estndares nacionales o determinados por la empresa.
Por ltimo, la opinin denegada, o abstencin de opinin significa que el auditor no expresa ningn dictamen sobre el manejo de los recursos informticos. Esto no significa que est en desacuerdo con ellos, significa simplemente que no tiene suficientes elementos de juicio para formarse ninguno de las tres anteriores tipos de opinin.
ObservacionesEl auditor debe realizar procedimientos diseados a obtener suficiente y apropiada evidencia de auditoria, en que puedan todos los elementos hasta la fecha del informe del auditor que puedan requerir de ajustes o exposiciones en las metodologas que, hayan sido identificados. Ciertos eventos y transacciones que ocurren despus de cada fin de ao, deben ser examinados como parte del trabajo normal de verificacin de auditoria.
Adems debe de llevar acabo una revisin completamente documentada, de eventos subsecuentes la cual tiene como objetivo de obtener una seguridad razonable, de que todos los eventos importantes han sido identificados y expuestos o registrados en las bitcoras de auditora.
La revisin debe ser actualizada a una fecha lo ms cercanamente posible a la fecha del informe de auditoria, hablando con la gerencia y realizando pruebas futuras de ser necesario.
Todos los procedimientos de auditoria emprendidos y las conclusiones alcanzadas deben estar completamente documentadas las hojas de trabajo deben incluir notas, detalladas de reuniones, incluyendo quien estaba presente, los asuntos discutidos y el resto de las discusiones.
El auditor no tiene ninguna obligacin de hacer ninguna investigacin relacionada con la informacin de los recursos informtcos, que estos hayan sido omitidos, pero antes de que la reunin general anual, el entera de informacin que pudo haber afectado el informe de auditoria si hubiera tenido conocimiento de ella en ese momento, nuevamente el debe discutir el asunto con los directores.
Los objetivos de los procedimientos de finalizacin de la auditoria paraasegurar que:Si ha sido obtenida suficiente evidencia de auditoria para apoyar laopinin de auditoria.
Todas las decisiones tomadas han sido documentadas.El archivo de auditoria ha sido complementado.
Cualquier tema estratgico ha sido documentado y discutido con elcliente.
Las tareas claves en la terminacin de la auditoria son: Terminacin de cada rea de auditoria del archivo. Escribir el informe al socio.
Escribir cualquier revisin estratgica del negocio. Revisin de las hojas de trabajo.
Conclusiones generales de auditoria.
Realizar una reunin para asegurar que los secretos de la empresano sean relevados. Sugerencias
Los programas principales de auditoria deben mostrar claramente el objetivo de auditoria, el trabajo realizado y las conclusiones alcanzadas y ser sustentados por todos los papeles de trabajo de referencia cruzada.
Cada programa principal auditado debe ser comparado con las hojas de trabajo de auditora relevantes y con las cifras de los recursos ejercidos en informtica.
Conclusiones del rea de Auditoria:
Se debe obtener una conclusin para cada rea de auditoria.Antes de obtener una conclusin, debe asegurarse que el programa de auditoria fue llevado a cabo como se planteo, o que los cambios acerca de las decisiones hechos en la etapa de la planificacin estn documentados.
Las hojas de trabajo tambin se deben escudriar para asegurar que todas las preguntas que surjan hayan sido claras y que todos los procedimientos y programas de auditoria planificados hayan sido completados. Se debe hacer un informe completo de todos los problemas no resueltos.
Cualquier problema importante u otros asuntos no aclarados deben ser anotados por la gerencia o incluidos en el informe al socio. Cualquier asunto inusual, aun cuando estn aclarados, deben ser incluidos en el informe al socio en manera de informacin
Cualquier debilidad u otros asuntos relacionados con el rea de auditoria, que resulten apropiados reportar al cliente, deben ser resumidos e incluidos en la carta de gerencia.
Cualquier rea donde el auditor haya tenido que depender derepresentaciones, deben ser incluidas en la carta de representacin.Informe al socio
El informe al socio agrupan en un solo lugar, todos los asuntos que tiene un efecto en la opinin de auditoria, o que necesitan ser discutidos con al cliente.
Dependiendo de la estructura del equipo de auditoria debe ser hecho enborrador por el seor mientras la auditoria progresa y completado por el cliente.
El gerente debe evidenciar la terminacin del informe al socio firmado la primera pgina y el socio debe refrendarlo. El gerente debe firmar una segunda vez cuando todos los puntos que surjan de la revisin del informe al socio deben entonces refrendarlo para evidenciar su satisfaccin.
Aunado a todo lo anterior, el auditor en informtica, debe tener en cuentaque su trabajo, es profesional y de una fuerte independencia mental ya queal realizar auditorias a informacin o procedimientos informticos estosson la mdula espinal de la empresa y con riesgos altos.
Y conlleva a que la fragilidad de los sistemas son de alto riesgo y que normalmente las instituciones no le dan importancia a este tipo de auditorias por que no son obligatorios, si no voluntarios y las empresas ven a la auditoria como un gasto y no como una inversin.
El auditor debe con su trabajo, motivar a que ese supuesto gasto se convierta en beneficios de la empresa y aumenta su nivel de confianza en la seguridad de sus recursos informticos.
