revista de infromatica
-
Upload
josefina-aguilar-tapia -
Category
Documents
-
view
219 -
download
0
description
Transcript of revista de infromatica
Contenido del Curso: Administración de la función informática
UNIDAD I
Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Auditar consiste
principalmente en estudiar
los mecanismos de control
que están implantados en
una empresa u
organización, determinando
si los mismos son
adecuados y cumplen unos
determinados objetivos o
estrategias, estableciendo
los cambios que se
deberían realizar para la
consecución de los mismos.
Los objetivos de la auditoría Informática son:
* El control de la función
informática
* El análisis de la
eficiencia de los Sistemas
Informáticos
* La verificación del
cumplimiento de la
Normativa en este ámbito
* La revisión de la eficaz
gestión de los recursos
informáticos.
La auditoría informática
sirve para mejorar ciertas
características en la
empresa como:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad
Generalmente se puede
desarrollar en alguna o
combinación de las
siguientes áreas:
- Gobierno corporativo
- Administración del
Ciclo de vida de los
sistemas
- Servicios de Entrega
y Soporte
- Protección y
Seguridad
- Planes de continuidad
y Recuperación de
desastres
1.2 Tipos de auditoría.
Auditoría contable (de
estados financieros) – no es
interés del curso.
Auditoría interna. La lleva a
cabo un departamento
dentro de la organización y
existe una relación laboral.
Auditoría externa. No existe
relación laboral y la hacen
personas externas al
negocio para que los
resultados que nos arroje
sean imparciales como
pueden ser las firmas de
contadores o
administradores
independientes.
Auditoria administrativa.
(William. P Leonard) es un
examen completo y
constructivo de la
estructura organizativa de la
empresa, institución o
departamento
gubernamental o de
cualquier otra entidad y de
sus métodos de control,
medios de operación y
empleo que dé a sus
recursos humanos y
materiales.
Auditoria gubernamental.
Auditoría Financiera:
Consiste en una revisión
exploratoria y critica de los
controles subyacentes y los
registros de contabilidad de
una empresa realizada por
un contador público.
Auditoria de operaciones:
Se define como una técnica
para evaluar
sistemáticamente de una
función o una unidad con
referencia a normas de la
empresa, utilizando
personal no especializado
en el área de estudio.
Auditoría fiscal: Consiste
en verificar el correcto y
oportuno pago de los
diferentes impuestos y
obligaciones fiscales de los
contribuyentes desde el
punto de vista físico
2
(SHCP), direcciones o
tesorerías de hacienda
estatales o tesorerías
municipales.
Auditoria de resultados de
programas: Esta auditoría la
eficacia y congruencia
alcanzadas en el logro de
los objetivos y las metas
establecidas.
Auditoria de legalidad: Este
tipo de auditoría tiene como
finalidad revisar si la
dependencia o entidad, en
el desarrollo de sus
actividades.
Auditoría integral: Es un
examen que proporciona
una evaluación objetiva y
constructiva acerca del
grado en que los recursos
humanos, financieros y
materiales.
1.2.1 Auditoría interna y
externa.
La Auditoría Externa
examina y evalúa
cualquiera de los sistemas
de información de una
organización y emite una
opinión independiente sobre
los mismos, pero las
empresas generalmente
requieren de la evaluación
de su sistema de
información financiero en
forma independiente para
otorgarle validez ante los
usuarios del producto de
este, por lo cual
tradicionalmente se ha
asociado el término
Auditoría Externa a
Auditoría de Estados
Financieros, lo cual como
se observa no es totalmente
equivalente, pues puede
existir. Auditoría Externa
del Sistema de Información
Tributario, Auditoría
Externa del Sistema de
Información
Administrativo, Auditoría
Externa del Sistema de
Información Automático
etc.
La auditoría Interna es el
examen crítico, sistemático
y detallado de un sistema de
información de una unidad
económica, realizado por un
profesional con vínculos
laborales con la misma,
utilizando técnicas
determinadas y con el
objeto de emitir informes y
formular sugerencias para
el mejoramiento de la
misma. Estos informes son
de circulación interna y no
tienen trascendencia a los
terceros pues no se
producen bajo la figura de
la Fe Pública.
1.3 Campo de la auditoria
informática.
Algunos campos de
aplicación de la informática
son las siguientes:
Investigación científica y
humanística: Se usan la las
computadoras para la
resolución de cálculos
matemáticos, recuentos
numéricos, etc.
Aplicaciones técnicas: Usa
la computadora para
facilitar diseños de
ingeniería y de productos
comerciales, trazado de
planos, etc.
Documentación e
información: Es uno de los
campos más importantes
para la utilización de
computadoras. Estas se
usan para el
almacenamiento de grandes
cantidades de datos y la
recuperación controlada de
los mismos en bases de
datos.
Gestión administrativa:
Automatiza las funciones de
gestión típicas de una
empresa.
Inteligencia artificial: Las
computadoras se programan
de forma que emulen el
comportamiento de la
mente humana. Los
programas responden como
previsiblemente lo haría una
persona inteligente.
Instrumentación y control:
Instrumentación
electrónica, electro
medicina, robots
industriales, entre otros.
1.4 Control interno.
El Control Interno
Informático puede definirse
como el sistema integrado
al proceso administrativo,
en la planeación,
organización, dirección y
control de las operaciones
con el objeto de asegurar la
protección de todos los
recursos informáticos y
mejorar los índices de
economía, eficiencia y
efectividad de los procesos
operativos automatizados.
También se puede definir
el Control Interno como
cualquier actividad o acción
realizada manual y/o
automáticamente para
prevenir, corregir errores o
irregularidades que puedan
afectar al funcionamiento
de un sistema para
conseguir sus objetivos.
1.5 Modelos de control
utilizados en auditoria
informática.
El COBIT es precisamente
un modelo para auditar la
gestión y control de los
sistemas de información y
tecnología, orientado a
todos los sectores de una
organización, es decir,
administradores IT,
usuarios y por supuesto, los
3
auditores involucrados en el
proceso.
Las siglas COBIT
significan Objetivos de
Control para Tecnología de
Información y Tecnologías
relacionadas (Control
Objetives for Information
Systems and related
Technology). El modelo es
el resultado de una
investigación con expertos
de varios países,
desarrollado por ISACA
(Information Systems Audit
and Control Association).
La estructura del modelo
COBIT propone un marco
de acción donde se evalúan
los criterios de información,
como por ejemplo la
seguridad y calidad, se
auditan los recursos que
comprenden la tecnología
de información, como por
ejemplo el recurso humano,
instalaciones, sistemas,
entre otros, y finalmente se
realiza una evaluación sobre
los procesos involucrados
en la organización.
El COBIT es un modelo de
evaluación y monitoreo que
enfatiza en el control de
negocios y la seguridad IT y
que abarca controles
específicos de IT desde una
perspectiva de negocios.
“La adecuada
implementación de un
modelo COBIT en una
organización, provee una
herramienta automatizada,
para evaluar de manera ágil
y consistente el
cumplimiento de los
objetivos de control y
controles detallados, que
aseguran que los procesos y
recursos de información y
tecnología contribuyen al
logro de los objetivos del
negocio en un mercado
cada vez más exigente,
complejo y diversificado”,
señaló un informe de
ETEK.
COBIT, lanzado en 1996,
es una herramienta de
gobierno de TI que ha
cambiado la forma en que
trabajan los profesionales
de tecnología. Vinculando
tecnología informática y
prácticas de control, el
modelo COBIT consolida y
armoniza estándares de
fuentes globales
prominentes en un recurso
crítico para la gerencia, los
profesionales de control y
los auditores.
COBIT se aplica a los
sistemas de información de
toda la empresa, incluyendo
los computadores
personales y las redes. Está
basado en la filosofía de
que los recursos TI
necesitan ser administrados
por un conjunto de procesos
naturalmente agrupados
para proveer la información
pertinente y confiable que
requiere una organización
para lograr sus objetivos.
El conjunto de lineamientos
y estándares internacionales
conocidos como COBIT,
define un marco de
referencia que clasifica los
procesos de las unidades de
tecnología de información
de las organizaciones en
cuatro “dominios”
principales, a saber:
-Planificación y
organización
-Adquisición e
implantación
-Soporte y Servicios
- Monitoreo
Estos dominios agrupan
objetivos de control de alto
nivel, que cubren tanto los
aspectos de información,
como de la tecnología que
la respalda. Estos dominios
y objetivos de control
facilitan que la generación y
procesamiento de la
información cumplan con
las características de
efectividad, eficiencia,
confidencialidad,
integridad, disponibilidad,
cumplimiento y
confiabilidad.
Asimismo, se deben tomar
en cuenta los recursos que
proporciona la tecnología
de información, tales como:
datos, aplicaciones,
plataformas tecnológicas,
instalaciones y recurso
humano.
“Cualquier tipo de empresa
puede adoptar una
metodología COBIT, como
parte de un proceso de
reingeniería en aras de
reducir los índices de
incertidumbre sobre
vulnerabilidades y riesgos
de los recursos IT y
consecuentemente, sobre la
posibilidad de evaluar el
logro de los objetivos del
negocio apalancado en
procesos tecnológicos”,
finalizó el informe de
ETEK.
1.6 Principios aplicados a
los auditores informáticos.
El auditor deberá ver cómo
se puede conseguir la
máxima eficacia y
rentabilidad de los medios
informáticos de la empresa
auditada, estando obligado
a presentar
recomendaciones acerca del
reforzamiento del sistema y
el estudio de las soluciones
más idóneas según los
problemas detectados en el
sistema informático de esta
4
última. En ningún caso está
justificado que realice su
trabajo el prisma del propio
beneficio. Cualquiera
actitud que se anteponga
intereses personales del
auditor a los del auditado
deberá considerarse como
no ética. Para garantizar el
beneficio del auditado como
la necesaria independencia
del auditor, este último
deberá evitar estar ligado en
cualquier forma, a intereses
de determinadas marcas,
productos o equipos
compatibles con los de su
cliente. La adaptación del
auditor al sistema del
auditado debe implicar una
cierta simbiosis con el
mismo, a fin de adquirir un
conocimiento
pormenorizado de sus
características intrínsecas.
Únicamente en los casos en
el que el auditor dedujese la
imposibilidad de que el
sistema pudiera acomodarse
a las exigencias propias de
su cometido, este podrá
proponer un cambio
cualitativamente
significativo de
determinados elementos o
del propio sistema
informático globalmente
contemplado. Una vez
estudiado el sistema
informático a auditar, el
auditor deberá establecer
los requisitos mínimos,
aconsejables y óptimos para
su adecuación a la finalidad
para la que ha sido
diseñado. El auditor deberá
lógicamente abstenerse de
recomendar actuaciones
innecesariamente onerosas,
dañinas o que generen
riesgos injustificados para
el auditado. Una de las
cuestiones más
controvertidas, respecto de
la aplicación de este
principio, es la referente a
facilitar el derecho de las
organizaciones auditadas a
la libre elección del auditor.
Si el auditado decidiera
encomendar posteriores
auditorías a otros
profesionales, éstos
deberías poder tener acceso
a los informes de los
trabajos profesionales, éstos
deberían poder tener acceso
a los informes de los
trabajos anteriormente
realizados sobre el sistema
del auditado.
del grado de cobertura que
dan las aplicaciones a las
necesidades estratégicas y
operativas de información
de la empresa.
UNIDAD II Planeación de
la auditoria Informática.
2.1 Fases de la auditoria.
Fase I: Conocimientos del
Sistema
Fase II: Análisis de
transacciones y recursos
Fase III: Análisis de riesgos
y amenazas
Fase IV: Análisis de
controles
Fase V: Evaluación de
Controles
Fase VI: El Informe de
auditoria
Fase VII: Seguimiento de
las Recomendaciones
2.1.1 Planeación.
Para hacer una adecuada
planeación de la auditoría
en informática, hay que
seguir una serie de pasos
previos que permitirán
dimensionar el tamaño y
características de área
dentro del organismo a
auditar, sus sistemas,
organización y equipo. En
el caso de la auditoría en
informática, la planeación
es fundamental, pues habrá
que hacerla desde el punto
de vista de los dos
objetivos:
• Evaluación de los sistemas
y procedimientos.
• Evaluación de los equipos
de cómputo.
2.1.2 Revisión preliminar.
En esta fase el auditor debe
de armarse de un
conocimiento amplio del
área que va a auditar, los
objetivos que debe cumplir,
tiempos (una empresa no
pude dejar sus equipos y
personal que lo opera sin
trabajar porque esto le
genera pérdidas
sustanciosas), herramientas
y conocimientos previos,
así como de crear su equipo
de auditores expertos en la
materia con el fin de evitar
tiempos muertos a la hora
de iniciar la auditoria.
Es de tomarse en cuenta que
el propietario de dicha
empresa, ordena una
auditoria cuando siente que
un área tiene una falla o
simplemente no trabaja
productivamente como se
sugiere, por esta razón
habrá puntos claves que se
nos instruya sean revisados,
hay que recordar que las
5
auditorias parten desde un
ámbito administrativo y no
solo desde la parte
tecnológica, porque al fin
de cuentas hablamos de
tiempo y costo de
producción, ejercicio de
ventas, etc. Es decir, todo
aquello que representa un
gasto para la empresa.
2.1.3 Revisión detallada.
Los objetos de la fase
detallada son los de obtener
la información necesaria
para que el auditor tenga un
profundo entendimiento de
los controles usados dentro
del área de informática.
El auditor debe de decidir
se debe continuar
elaborando pruebas de
consentimiento, con la
esperanza de obtener mayor
confianza por medio del
sistema de control interno, o
proceder directamente a
revisión con los usuarios
(pruebas compensatorias) o
a las pruebas sustantivas.
2.1.4 Examen y evaluación
de la información.
Periodo en el que se
desarrollan las pruebas y su
extensión
Los auditores
independientes podrán
realizar las pruebas de
cumplimiento durante el
periodo preliminar.
Cuando éste sea el caso, la
aplicación de tales pruebas
a todo el periodo restante
puede no ser necesaria,
dependiendo
fundamentalmente del
resultado de estas pruebas
en el periodo preliminar así
como de la evidencia del
cumplimiento, dentro del
periodo restante, que puede
obtenerse de las pruebas
sustantivas realizadas por el
auditor independiente.
La determinación de la
extensión de las pruebas de
cumplimento se realizará
sobre bases estadísticas o
sobre bases subjetivas. El
muestreo estadístico es, en
principio, el medio idóneo
para expresar en términos
cuantitativos el juicio del
auditor respecto a la
razonabilidad,
determinando la extensión
de las pruebas y evaluando
su resultado.
Cuando se utilicen bases
subjetivas se deberá dejar
constancia en los papeles de
trabajo de las razones que
han conducido a tal
elección, justificando los
criterios y bases de
selección.
Evaluación del control
interno
Realizados los cuestionarios
y representado gráficamente
el sistema de acuerdo con
los procedimientos vistos,
hemos de conjugar ambos a
fin de realizar un análisis e
identificar los puntos
fuertes y débiles del
sistema.
En esa labor de
identificación, influye
primordialmente la
habilidad para entender el
sistema y comprender los
puntos fuertes y débiles de
su control interno.
La conjugación de ambas
nos dará el nivel de
confianza de los controles
que operan en la empresa, y
será preciso determinar si
los errores tienen una
repercusión directa en los
estados financieros, o si los
puntos fuertes del control
eliminarían el error.
2.1.5 Pruebas de controles
de usuario.
En una auditoria existen los
siguientes módulos para
ayudarle a planificar y
ejecutar pruebas:
Aéreas de Auditoria
Registro de Riesgos y
Controles
Plan de Pruebas
Realizar pruebas
Permite especificar la
estructura bajo la cual se
agruparan las pruebas.
Permite planificar y ejecutar
pruebas relacionadas con
los riesgos y controles
definidos para esta
auditoría.
Permite agregar, editar y
borrar pruebas con
independencia del Registro
de Riesgos y Controles.
Permite registrar el
resultado y el status de cada
prueba (completadas,
revisadas o aprobadas).
Una Librería de Áreas y una
Librería de Pruebas pueden
también ser mantenida para
proveer Áreas y Pruebas
Standard para su selección
en cada auditoria.
Las Áreas de Auditoria
estructuran sus pruebas en
programas de trabajo
lógicos y pueden usarse
para capturar información
relacionada con los
objetivos de cada programa
de trabajo.
2.1.6 Pruebas sustantivas.
El objetivo de las pruebas
sustantivas es obtener
evidencia suficiente que
6
permita al auditor emitir su
juicio en las conclusiones
acerca de cuándo pueden
ocurrir pérdidas materiales
durante el proceso de la
información.
Se pueden identificar 8
diferentes pruebas
sustantivas:
1 pruebas para identificar
errores en el procesamiento
o de falta de seguridad o
confidencialidad.
2 prueba para asegurar la
calidad de los datos.
3 pruebas para identificar la
inconsistencia de datos.
4 prueba para comparar con
los datos o contadores
físicos.
5 confirmaciones de datos
con fuentes externas
6 pruebas para confirmar la
adecuada comunicación.
7 prueba para determinar
falta de seguridad.
8 pruebas para determinar
problemas de legalidad.
2.2 Evaluación de los
sistemas de acuerdo al
riesgo.
Riesgo
Proximidad o posibilidad de
un daño, peligro, etc.
Cada uno de los
imprevistos, hechos
desafortunados, etc., que
puede cubrir un seguro.
Sinónimos: amenaza,
contingencia, emergencia,
urgencia, apuro.
Seguridad
Cualidad o estado de seguro
Garantía o conjunto de
garantías que se da a
alguien sobre el
cumplimiento de algo.
Ejemplo: Seguridad Social
Conjunto de organismos,
medios, medidas, etc., de la
administración estatal para
prevenir o remediar los
posibles riesgos, problemas
y necesidades de los
trabajadores, como
enfermedad, accidentes
laborales, incapacidad,
maternidad o jubilación; se
financia con aportaciones
del Estado, trabajadores y
empresarios.
Se dice también de todos
aquellos objetos,
dispositivos, medidas, etc.,
que contribuyen a hacer
más seguro el
funcionamiento o el uso de
una cosa: cierre de
seguridad, cinturón de
seguridad.
2.4 Personal participante.
Una de las partes más
importantes en la
planeación de la auditoría
en informática es el
personal que deberá
participar, ya que se debe
contar con un equipo
seleccionado y con ciertas
características que puedan
ayudar a llevar la auditoria
de manera correcta y en el
tiempo estimado.
Aquí no se verá el número
de persona que deberán
participar, ya que esto
depende de las dimensiones
de la organización, de los
sistemas y de los equipos,
lo que se deberá considerar
son exactamente las
características que debe
cumplir cada uno del
personal que habrá de
participar en la auditoria.
Uno de los esquemas
generalmente aceptados
para tener un adecuado
control es que el personal
que intervenga esté
debidamente capacitado,
que tenga un alto sentido de
moralidad, al cual se le
exija la optimización de
recursos (eficiencia) y se le
retribuya o compense
justamente por su trabajo.
Con estas bases debemos
considerar los
conocimientos, la práctica
profesional y la
capacitación que debe tener
el personal que intervendrá
en la auditoria.
También se deben contar
con personas asignadas por
los usuarios para que en el
momento que se solicite
información, o bien se
efectúe alguna entrevista de
comprobación de hipótesis,
nos proporcionen aquello
que se está solicitando, y
complementen el grupo
multidisciplinario, ya que
debemos analizar no sólo el
punto de vista de la
dirección de informática,
sino también el del usuario
del sistema.
UNIDAD III Auditoria de
la función informática.
3.1 Recopilación de la
información organizacional.
7
Para que un proceso de
D.O. tenga éxito debe
comenzar por obtener un
diagnostico con
información verdadera y a
tiempo de lo que sucede en
la organización bajo
análisis, esta obtención de
la información debe ser
planeada en forma
estructurada para garantizar
una generación de datos que
ayuden posteriormente su
análisis. Es un ciclo
continuo en el cual se
planea la recolección de
datos, se analiza, se
retroalimentan y se da un
seguimiento.
La recolección de datos
puede darse de varias
maneras:
• Cuestionarios
• Entrevistas
• Observación
• Información documental
(archivo)
Toda la información tiene
un valor en sí misma, el
método de obtención de
información está
directamente ligado a la
disponibilidad, dificultad y
costo. Existen ventajas y
desventajas en el uso de
cada una de estas
herramientas, su utilidad
dependerá del objetivo que
se busque y los medios para
llevar a cabo esa
recolección de datos en
tiempo y forma para su
posterior análisis.
3.2 Evaluación de los
recursos humanos
La auditoría de recursos
humanos puede definirse
como el análisis de las
políticas y prácticas de
personal de una empresa y
la evaluación de su
funcionamiento actual,
seguida de sugerencias para
mejorar. El propósito
principal de la auditoria de
recursos humanos es
mostrar cómo está
funcionado el programa,
localizando prácticas y
condiciones que son
perjudiciales para la
empresa o que no están
justificando su costo, o
prácticas y condiciones que
deben incrementarse.
La auditoría es un sistema
de revisión y control para
informar a la administración
sobre la eficiencia y la
eficacia del programa que
lleva a cabo.
El sistema de
administración de recursos
humanos necesita patrones
capaces de permitir una
continua evaluación y
control sistemático de su
funcionamiento.
Patrón en in criterio o un
modelo que se establece
previamente para permitir la
comparación con los
resultados o con los
objetivos alcanzados. Por
medio de la comparación
con el patrón pueden
evaluarse los resultados
obtenidos y verificar que
ajustes y correcciones
deben realizarse en el
sistema, con el fin de que
funcione mejor.
3.3 Entrevistas con el
personal de informática.
La entrevista es uno de los
eslabones finales para
conseguir la posición
deseada. Desde el otro lado
del mostrador y habiendo
entrevistado a 5.000
profesionales en sistemas
entre nuestro equipo de
selectores, te dejamos
valiosos consejos en esta
nota.
Es un diálogo directo entre
el entrevistador y
entrevistado. El
entrevistador dirige la
conversación e intenta
obtener la máxima
información posible del
candidato.
Te preguntará por tu
currículum, experiencias,
habilidades, aficiones e
intentará ponerte en
situaciones reales para
estudiar tus reacciones. En
ocasiones puede haber más
de un entrevistador, con el
fin de tener más de un
punto de vista a la hora de
elegir el candidato final.
Modalidades de la
Entrevista Personal
Estructurada (dirigida)
El entrevistador dirige la
conversación y hace las
preguntas al candidato
siguiendo un cuestionario o
guión. El entrevistador
formulará las mismas
preguntas a todos los
candidatos.
Se recomienda contestar a
las preguntas aportando
aquella información que se
pide, con claridad y
brevedad.
No estructurada (libre)
El entrevistador te dará la
iniciativa a ti, y deberás
desenvolverte por tu cuenta.
El entrevistador podría
empezar con la pregunta:
“Háblame de ti”, y luego
seguir con preguntas
generales, que surgen en
8
función del desarrollo de la
conversación.
Lo más aconsejable es
empezar siguiendo el guión
de tu historial profesional.
También puedes preguntar
si está interesado en
conocer algo en particular.
Aprovecha para llevar la
conversación a los puntos
fuertes que deseas destacar
en relación con el puesto
ofertado.
Semi-estructurada (mixta)
Es una combinación de las
dos anteriores. El
entrevistador utilizará
preguntas directas para
conseguir informaciones
precisas sobre ti, y
preguntas indirectas para
sondearte respecto a tus
motivaciones. Intenta seguir
un orden discursivo, sé
conciso e intenta relacionar
tus respuestas y
comentarios con las
exigencias del puesto al que
optas.
3.4 Situación presupuestal
y financiera.
El estudio y evaluación del
control interno deberá
efectuarse conforme a lo
dispuesto en el boletín 3050
“Estudio y Evaluación del
Control Interno”, emitido
por la Comisión de Normas
y Procedimientos de
Auditoría del Instituto
Mexicano de Contadores
Públicos, A.C., éste servirá
de base para determinar el
grado de confianza que se
depositará en él y le permita
determinar la naturaleza,
alcance y oportunidad, que
va a dar a los
procedimientos de
auditoría, por lo que el
auditor para el
cumplimiento de los
objetivos deberá considerar
lo siguiente:
- Existencia de factores que
aseguren un ambiente de
control
- Existencia de riesgo en la
información financiera
Existencia de un sistema
presupuestal que permita
identificar, reunir, analizar,
clasificar, registrar y
producir información
cuantitativa de las
operaciones basadas en
flujos de efectivo y partidas
devengadas
- Existencia de
procedimientos relativos a
autorización, procesamiento
y clasificación de
transacciones, salvaguarda
física de documentación
soporte y de verificación y
evaluación, incluyendo los
aplicables a la actualización
de cifras y a los controles
relativos al procesamiento
electrónico de datos. -
Vigilancia sobre el
establecimiento y
mantenimiento de controles
internos con objeto de
identificar si están operando
efectivamente y si deben ser
modificados cuando existan
cambios importantes.
Para efectos de estudio y
evaluación del control
interno en una revisión en
una revisión de estados
presupuestarios, el auditor
deberá considerar los
siguientes aspectos:
a. Existencia de un
presupuesto anual
autorizado
b. Existencia e políticas,
bases y lineamientos
presupuestarios
c. Existencia de un sistema
de registro presupuestario
d. Existencia de un
procedimiento de
autorizaciones
e. Procedimientos de
registro, control y reporte
presupuestario
Obtener el estado analítico
de recursos presupuestarios
y el ejercicio presupuestario
del gasto, tal como lo
establecen los Términos de
Referencia para auditorías a
Órganos
Desconcentrados y
Entidades Paraestatales de
la SFP, así como el flujo de
efectivo que detalle el
origen y el destino de los
egresos (Art.103 de la Ley
Federal de Presupuesto y
Responsabilidad
Hacendaria)
UNIDAD IV Evaluación de
la seguridad.
Generalidades de la
seguridad del área física.
Es muy importante ser
consciente que por más que
nuestra empresa sea la más
segura desde el punto de
vista de ataques externos,
Hackers, virus, etc.
(conceptos luego tratados);
la seguridad de la misma
será nula si no se ha
previsto como combatir un
incendio.
La seguridad física es uno
de los aspectos más
olvidados a la hora del
diseño de un sistema
Informático. Si bien
algunos de los aspectos
tratados a continuación se
prevén, otros, como la
detección de un atacante
interno a la empresa que
9
intenta a acceder
físicamente a una sala de
operaciones de la misma,
no.
Esto puede derivar en que
para un atacante sea más
fácil lograr tomar y copiar
una cinta de la sala, que
intentar acceder vía lógica a
la misma.
Así, la Seguridad Física
consiste en la “aplicación
de barreras físicas y
procedimientos de control,
como medidas de
prevención y contramedidas
ante amenazas a los
recursos e información
confidencial” (1). Se refiere
a los controles y
mecanismos de seguridad
dentro y alrededor del
Centro de Cómputo así
como los medios de acceso
remoto al y desde el mismo;
implementados para
proteger el hardware y
medios de almacenamiento
de datos.
4.2 Seguridad lógica y
confidencial.
La seguridad lógica se
encarga de los controles de
acceso que están diseñados
para salvaguardar la
integridad de la información
almacenada de una
computadora, así como de
controlar el mal uso de la
información.
La seguridad lógica se
encarga de controlar y
salvaguardar la información
generada por los sistemas,
por el software de
desarrollo y por los
programas en aplicación.
Identifica individualmente a
cada usuario y sus
actividades en el sistema, y
restringe el acceso a datos,
a los programas de uso
general, de uso específico,
de las redes y terminales.
La falta de seguridad lógica
o su violación puede traer
las siguientes consecuencias
a la organización:
Cambio de los datos antes o
cuando se le da entrada a la
computadora.
Copias de programas y /o
información.
Código oculto en un
programa
Entrada de virus
Un método eficaz para
proteger sistemas de
computación es el software
de control de acceso. Los
paquetes de control de
acceso protegen contra el
acceso no autorizado, pues
piden al usuario una
contraseña antes de
permitirle el acceso a
información confidencial.
Sin embargo, los paquetes
de control de acceso
basados en componentes
pueden ser eludidos por
delincuentes sofisticados en
computación, por lo que no
es conveniente depender de
esos paquetes por si solos
para tener una seguridad
adecuada.
4.3 Seguridad personal.
A finales del siglo XX, los
Sistemas Informáticos se
han constituido en las
herramientas más poderosas
para materializar uno de los
conceptos más vitales y
necesarios para cualquier
organización empresarial,
los Sistemas de Información
de la empresa.
La Informática hoy, está
subsumida en la gestión
integral de la empresa, y
por eso las normas y
estándares propiamente
informáticos deben estar,
por lo tanto, sometidos a los
generales de la misma. En
consecuencia, las
organizaciones informáticas
forman parte de lo que se ha
denominado el
"management" o gestión de
la empresa. Cabe aclarar
que la Informática no
gestiona propiamente la
empresa, ayuda a la toma de
decisiones, pero no decide
por sí misma. Por ende,
debido a su importancia en
el funcionamiento de una
empresa, existe la Auditoría
Informática.
El término de Auditoría se
ha empleado
incorrectamente con
frecuencia ya que se ha
considerado como una
evaluación cuyo único fin
es detectar errores y señalar
fallas. A causa de esto, se
ha tomado la frase "Tiene
Auditoría" como sinónimo
de que, en dicha entidad,
antes de realizarse la
auditoría, ya se habían
detectado fallas.
El concepto de auditoría es
mucho más que esto. Es un
examen crítico que se
realiza con el fin de evaluar
la eficacia y eficiencia de
una sección, un organismo,
una entidad, etc.
4.4 Clasificación de los
controles de seguridad.
Clasificación general de los
controles
Controles Preventivos
Son aquellos que reducen la
frecuencia con que ocurren
las causas del riesgo,
10
permitiendo cierto margen
de violaciones.
Ejemplos: Letrero "No
fumar" para salvaguardar
las instalaciones
Sistemas de claves de
acceso
Controles detectives
Son aquellos que no evitan
que ocurran las causas del
riesgo sino que los detecta
luego de ocurridos. Son los
más importantes para el
auditor. En cierta forma
sirven para evaluar la
eficiencia de los controles
preventivos.
Ejemplo: Archivos y
procesos que sirvan como
pistas de auditoría
Procedimientos de
validación
Controles Correctivos
Ayudan a la investigación y
corrección de las causas del
riesgo. La corrección
adecuada puede resultar
difícil e ineficiente, siendo
necesaria la implantación de
controles defectivos sobre
los controles correctivos,
debido a que la corrección
de errores es en sí una
actividad altamente
propensa a errores.
4.5 Seguridad en los datos
y software de aplicación.
Este apartado aborda los
aspectos asociados al
componente lógico del
sistema: programas y datos.
Para ello, se distingue entre
las medidas para restringir y
controlar el acceso a dichos
recursos, los
procedimientos para
asegurar la fiabilidad del
software (tanto operativo
como de gestión) y los
criterios a considerar para
garantizar la integridad de
la información.
Control de acceso.
Sistemas de identificación,
asignación y cambio de
derechos de acceso, control
de accesos, restricción de
terminales, desconexión de
la sesión, limitación de
reintento.
Software de base.
Control de cambios y
versiones, control de uso de
programas de utilidad,
control de uso de recursos y
medición de 'performance'.
Software de aplicación.
En este apartado se trata
todo lo concerniente al
software de aplicación, es
decir, todo lo relativo a las
aplicaciones de gestión,
sean producto de desarrollo
interno de la empresa o bien
sean paquetes estándar
adquiridos en el mercado.
Desarrollo de software.
. Metodología: existe, se
aplica, es satisfactoria.
Documentación: existe, esta
actualizada, es accesible.
. Estándares: se aplican,
como y quien lo controla.
Involucración del usuario.
. Participación de personal
externo.
. Control de calidad.
. Entornos real y de prueba.
. Control de cambios.
Adquisición de software
estándar.
Metodología,
pruebas, condiciones,
garantías, contratos,
capacitación, licencias,
derechos, soporte técnico.
Datos.
Los datos es decir, la
información que se procesa
y se obtiene son la parte
más importante de todo el
sistema informático y su
razón de ser. Un sistema
informático existe como tal
desde el momento en que
es capaz de tratar y
suministrar información.
Sin ésta, se reduciría a un
conjunto de elementos
lógicos sin ninguna utilidad.
En la actualidad la inmensa
mayoría de sistemas tienen
la información organizada
en sendas Bases de Datos.
Los criterios que se citan a
continuación hacen
referencia a la seguridad de
los Sistemas de Gestión de
Bases de Datos (SGBD)
que cumplan normas ANSI,
si bien muchos de ellos
pueden ser aplicables a los
archivos de datos
convencionales.
Diseño de bases de datos.
Es importante la utilización
de metodologías de diseño
de datos. El equipo de
analistas y diseñadores
deben hacer uso de una
misma metodología de
diseño, la cual debe estar en
concordancia con la
11
arquitectura de la Base de
Datos elegida jerárquica,
relacional, red, o bien
orientada a objetos.
Debe realizarse una
estimación previa del
volumen necesario para el
almacenamiento de datos
basada en distintos aspectos
tales como el número
mínimo y máximo de
registros de cada entidad
del modelo de datos y las
predicciones de
crecimiento.
A partir de distintos
factores como el número de
usuarios que accederá a la
información, la necesidad
de compartir información y
las estimaciones de
volumen se deberá elegir el
SGBD más adecuado a las
necesidades de la empresa o
proyecto en cuestión.
En la fase de diseño de
datos, deben definirse los
procedimientos de
seguridad, confidencialidad
e integridad que se
aplicarán a los datos:
Procedimientos para
recuperar los datos en casos
de caída del sistema o de
corrupción de los archivos.
Procedimientos para
prohibir el acceso no
autorizado a los datos. Para
ello deberán identificarlos.
Procedimientos para
restringir el acceso no
autorizado a los datos.
Debiendo identificar los
distintos perfiles de usuario
que accederán a los
archivos de la aplicación y
los subconjuntos de
información que podrán
modificar o consultar.
Procedimientos para
mantener la consistencia y
corrección de la
información en todo
momento.
Básicamente existen dos
niveles de integridad: la de
datos, que se refiere al tipo,
longitud y rango aceptable
en cada caso, y la lógica,
que hace referencia a las
relaciones que deben existir
entre las tablas y reglas del
negocio.
Debe designarse un
Administrador de Datos, ya
que es importante
centralizar en personas
especializadas en el tema
las tareas de redacción de
normas referentes al gestor
de datos utilizado,
definición de estándares y
nomenclatura, diseño de
procedimientos de arranque,
recuperación de datos,
asesoramiento al personal
de desarrollo entre algunos
otros aspectos.
Creación de bases de datos.
Debe crearse un entorno de
desarrollo con datos de
prueba, de modo que las
actividades del desarrollo
no interfieran el entorno de
explotación. Los datos de
prueba deben estar
dimensionados de manera
que permitan la realización
de pruebas de integración
con otras aplicaciones, de
rendimiento con volúmenes
altos.
En la fase de creación,
deben desarrollarse los
procedimientos de
seguridad, confidencialidad
e integridad definidos en la
etapa de diseño:
. Construcción de los
procedimientos de copia y
restauración de datos.
. Construcción de los
procedimientos de
restricción y control de
acceso. Existen dos
enfoques para este tipo de
procedimientos:
Confidencialidad basada en
roles, que consiste en la
definición de los perfiles de
usuario y las acciones que
les son permitidas (lectura,
actualización, alta, borrado,
creación/eliminación de
tablas, modificación de la
estructura de las tablas).
4.6 Controles para evaluar
software de aplicación.
Una vez conseguida la
Operatividad de los
Sistemas, el segundo
objetivo de la auditoría es la
verificación de la
observancia de las normas
teóricamente existentes en
el departamento de
Informática y su coherencia
con las del resto de la
empresa. Para ello, habrán
de revisarse sucesivamente
y en este orden:
1. Las Normas Generales de
la Instalación Informática.
Se realizará una revisión
inicial sin estudiar a fondo
las contradicciones que
pudieran existir, pero
registrando las áreas que
carezcan de normativa, y
sobre todo verificando que
esta Normativa General .
Informática no está en
contradicción con alguna
Norma General no
informática de la empresa.
2. Los Procedimientos
Generales Informáticos. Se
verificará su existencia, al
menos en los sectores más
12
importantes. Por ejemplo, la
recepción definitiva de las
máquinas debería estar
firmada por los
responsables de
Explotación. Tampoco el
alta de una nueva
Aplicación podría
producirse si no existieran
los Procedimientos de
Backup y Recuperación
correspondientes.
3. Los Procedimientos
Específicos Informáticos.
Igualmente, se revisara su
existencia en las áreas
fundamentales. Así,
Explotación no debería
explotar una Aplicación sin
haber exigido a Desarrollo
la pertinente
documentación. Del mismo
modo, deberá comprobarse
que los Procedimientos
Específicos no se opongan a
los Procedimientos
Generales. En todos los
casos anteriores, a su vez,
deberá verificarse que no
existe
contradicción
alguna con la
Normativa y
los
Procedimientos
Generales de la
propia
empresa, a los
que la
Informática
debe estar
sometida.
4.7 Controles
para prevenir crímenes y
fraudes informáticos.
En los años recientes las
redes de computadoras han
crecido de manera
asombrosa. Hoy en día, el
número de usuarios que se
comunican, hacen sus
compras, pagan sus cuentas,
realizan negocios y hasta
consultan con sus médicos
online supera los 200
millones, comparado con 26
millones en 1995.
A medida que se va
ampliando la Internet,
asimismo va aumentando el
uso indebido de la misma.
Los denominados
delincuentes cibernéticos se
pasean a su aire por el
mundo virtual, incurriendo
en delitos tales como el
acceso sin autorización o
"piratería informática", el
fraude, el sabotaje
informático, la trata de
niños con fines
pornográficos y el acecho.
Los delincuentes de la
informática son tan diversos
como sus delitos; puede
tratarse de estudiantes,
terroristas o figuras del
crimen organizado. Estos
delincuentes pueden pasar
desapercibidos a través de
las fronteras, ocultarse tras
incontables "enlaces" o
simplemente desvanecerse
sin dejar ningún documento
de rastro. Pueden despachar
directamente las
comunicaciones o esconder
pruebas delictivas en
"paraísos informáticos" - o
sea, en países que carecen
de leyes o experiencia para
seguirles la pista -.
Según datos recientes del
Servicio Secreto de los
Estados Unidos, se calcula
que los consumidores
pierden unos 500 millones
de dólares al año debido a
los piratas que les roban de
las cuentas online sus
números de tarjeta de
crédito y de llamadas.
Dichos números se pueden
vender por jugosas sumas
de dinero a falsificadores
que utilizan programas
especiales para codificarlos
en bandas magnéticas de
tarjetas bancarias y de
crédito, señala el Manual de
la ONU.
Otros delincuentes de la
informática pueden sabotear
las computadoras para
ganarle ventaja económica a
sus competidores o
amenazar con daños a los
sistemas con el fin de
cometer extorsión. Los
malhechores manipulan los
datos o las operaciones, ya
sea directamente o mediante
los llamados "gusanos" o
"virus", que pueden
paralizar completamente los
sistemas o borrar todos los
datos del disco duro.
Algunos virus dirigidos
contra computadoras
elegidas al azar; que
originalmente pasaron de
una computadora a otra por
medio de disquetes
"infectados"; también se
están propagando
últimamente por las redes,
con frecuencia camuflados
en mensajes electrónicos o
en programas
"descargados" de la red.
4.8 Plan de contingencia,
seguros, procedimientos de
recuperación de desastres.
Medida que las empresas se
han vuelto cada vez más
dependientes de las
computadoras y las redes
para manejar sus
actividades, la
disponibilidad de los
sistemas informáticos se ha
vuelto crucial. Actualmente,
la mayoría de las empresas
necesitan un nivel alto de
disponibilidad y algunas
requieren incluso un nivel
continuo de disponibilidad,
ya que les resultaría
extremadamente difícil
13
funcionar sin los recursos
informáticos.
Los procedimientos
manuales, si es que existen,
sólo serían prácticos por un
corto periodo. En caso de
un desastre, la interrupción
prolongada de los servicios
de computación puede
llevar a pérdidas financieras
significativas, sobre todo si
está implicada la
responsabilidad de la
gerencia de informática. Lo
más grave es que se puede
perder la credibilidad del
público o los clientes y,
como consecuencia, la
empresa puede terminar en
un fracaso total.
En un estudio realizado por
la Universidad de
Minnesota, se ha
demostrado que más del
60% de las empresas que
sufren un desastre y que no
tienen un plan de
recuperación ya en
funcionamiento, saldrán del
negocio en dos o tres años.
Mientras vaya en aumento
la dependencia de la
disponibilidad de los
recursos informáticos, este
porcentaje seguramente
crecerá.
Por lo tanto, la capacidad
para recuperarse
exitosamente de los efectos
de un desastre dentro de un
periodo predeterminado
debe ser un elemento
crucial en un plan
estratégico de seguridad
para una organización.
4.9 Técnicas y herramientas
relacionadas con la
seguridad física y del
personal.
SEGURIDAD FISICA
Es todo lo relacionado con
la seguridad y salvaguarda
de los bienes tangibles de
los sistemas
computacionales de la
empresa, tales como el
hardware, periféricos, y
equipos asociados, las
instalaciones eléctricas, las
instalaciones de
comunicación y de datos.
Igualmente todo lo
relacionado con la
seguridad y salvaguarda de
las construcciones, el
mobiliario y equipo de
oficina, así como la
protección a los accesos al
centro de sistematización.
En sí, es todo lo relacionado
con la seguridad, la
prevención de riesgos y
protección de los recursos
físicos informáticos de la
empresa.
UNIDAD V Auditoria de la
seguridad en la
teleinformática.
5.1 Generalidades de la
seguridad en el área de la
teleinformática.
En la actualidad tiene una
gran trascendencia tanto
técnica como social, lo que
se denomina
teleinformática: la unión de
la informática y las
telecomunicaciones. Tanto
en la vida profesional como
en las actividades
cotidianas, es habitual el
uso de expresiones y
conceptos relacionados con
la teleinformática.
Este trabajo se basa en
conceptos
fundamentales
expresados de la manera
más simple posible, pero a
su vez siendo precisos.
Comenzamos por introducir
la historia y evolución de la
teleinformática y de la
manera en que fue
desarrollándose, y a su vez,
proporcionando un
panorama general del tema.
Luego mencionamos de
forma genérica los
elementos que integran un
sistema teleinformática,
desde un simple terminal
hasta una red.
Continuamos explicando las
técnicas fundamentales de
transmisión de datos, para
comprender cómo viaja la
información de un sistema a
otro a través de los circuitos
de telecomunicación.
Las técnicas de
comunicación se
estructuran en niveles:
físico, enlace de datos, red,
transporte, sesión,
presentación y aplicación.
También, mencionamos las
redes de área local ya que
son muy importantes en lo
que a la teleinformática
respecta.
Hicimos inca pié en la red
Internet y su protocolo
TCP/IP, y en los conceptos
básicos sobre
Programas de
Comunicación y Gestión de
Red.
Analizamos los servicios de
valor añadido como el
Video tex, Ibercom o La
Telefonía Móvil.
Además, establecimos los
últimos desarrollos y las
tendencias de la
teleinformática, desde las
14
redes digitales hasta el
proceso distribuido.
Por último, manifestamos la
importancia de la relación
que existe entre la
teleinformática y la
sociedad, en lo que respecta
a la educación, la sanidad y
la empresa.
Explicaremos claramente la
importancia de la
teleinformática y su
desarrollo a través de la
historia desde el comienzo
ya que es uno de los
factores que ha constituido
y constituye un elemento
fundamental para la
evolución de la humanidad:
la comunicación.
En una comunicación se
transmite información
desde una persona a otra e
intervienen tres elementos:
el emisor, que da origen a la
información, el medio, que
permite la transmisión, y el
receptor, que recibe la
información.
La primera comunicación
que existió entre los
hombres fue a base de
signos o gestos que
expresaban intuitivamente
determinadas
manifestaciones con sentido
propio. Estos gestos iban
acompañados de sonidos.
Posteriormente, comenzó la
comunicación hablada a
través de un determinado
lenguaje, en el cuál cada
palabra significaba algo y
cada frase tenía un
contenido informativo.
Más tarde, el hombre tubo
necesidad de realizar
comunicaciones a distancia
como por ejemplo, entre
personas de dos aldeas
situadas a cierta distancia
pero con visibilidad entre
ambas, o bien entre un
barco y la costa. Es aquí
donde aparecen las señales
de humo, destellos con
espejos entre innumerables
métodos de comunicación.
Con el paso del tiempo y la
evolución tecnológica, la
comunicación a distancia
comenzó a ser cada vez más
importante.
La primera técnica utilizada
surgió con la aparición del
telégrafo y el código morse
que permitieron
comunicaciones a través de
cables a unas distancias
considerables.
Posteriormente se
desarrolló la técnica que dio
origen al teléfono para la
comunicación directa de la
voz a larga distancia. Más
tarde la radio y la
transmisión de imágenes a
través de la televisión
habilitaron un gran número
de técnicas y métodos que
luego fueron muy
importantes a lo que
respecta a la comunicación.
5.2 Objetivos y criterios de
la auditoria en el área de la
teleinformática.
Así ante la continua
aparición de nuevas
herramientas de gestión, la
auditoría interna se ve
compelida a velar entre
otras cosas por la aplicación
y buen uso de las mismas.
Ello ciertamente implica un
muy fuerte compromiso.
Dijimos antes que la
auditoría debía velar no
sólo por los activos de la
empresa sino además por su
capacidad competitiva.
Cuidar de esto último
significa difundir, apoyar y
controlar las nuevas y
buenas prácticas. Así,
haciendo uso del
benchmarking puede
verificar y promover las
mejores prácticas para el
mantenimiento de la más
alta competitividad. Ser
competitivo es continuar en
la lucha por la subsistencia
o continuidad de la
empresa.
Como brillantemente lo
expresa Fernando Gaziano
(Deloitte Chile), "los
auditores y los astrónomos
compartimos plenamente
una idea: el universo se
expande. Así como después
del "big bang" un universo
de planetas y estrellas
comenzó y continúa
expandiéndose, de la misma
forma el mundo del Auditor
Interno es cada vez más
amplio. Como nunca,
probablemente hoy se
enfrenta a uno de los
cambios más importantes en
su profesión, debiendo
abordar aspectos
relacionados con el
Gobierno Corporativo y los
nuevos riesgos a los que se
enfrentan las
organizaciones.
5.3 Síntomas de riesgo.
La Auditoría de la
Seguridad
15
Para muchos la seguridad
sigue siendo el área
principal a auditar, hasta el
punto de que en algunas
entidades se creó
inicialmente la función de
auditoría informática para
revisar la seguridad, aunque
después se hayan ido
ampliando los objetivos.
Cada día es mayor la
importancia de la
información, especialmente
relacionada con sistemas
basados en el uso de
tecnología de información y
comunicaciones, por lo que
el impacto de las fallas, los
accesos no autorizados, la
revelación de la
información, entre otros
problemas, tienen un
impacto mucho mayor que
hace algunos años.
En la auditoría de otras
áreas pueden también surgir
revisiones solapadas con la
seguridad; así a la hora de
revisar el desarrollo se verá
si se realiza en un entorno
seguro, etc.
Los controles directivos.
Son los fundamentos de la
seguridad: políticas, planes,
funciones, objetivos de
control, presupuesto, así
como si existen sistemas y
métodos de evaluación
periódica de riesgos.
El desarrollo de las
políticas. Procedimientos,
posibles estándares, normas
y guías.
Amenazas físicas externas.
Inundaciones, incendios,
explosiones, corte de líneas
o suministros, terremotos,
terrorismo, huelgas, etc., se
considera: la ubicación del
centro de procesos, de los
servidores, PCs,
computadoras portátiles
(incluso fuera de las
oficinas); estructura, diseño,
construcción y distribución
de edificios; amenazas de
fuego, riesgos por agua, por
accidentes atmosféricos;
contenido en paquetes},
bolsos o carteras que se
introducen o salen de los
edificios; visitas, clientes,
proveedores, contratados;
protección de los soportes
magnéticos en cuanto a
acceso, almacenamiento y
transporte.
Control de accesos
adecuado. Tanto físicos
como lógicos, que se
realicen sólo las
operaciones permitidas al
usuario: lectura, variación,
ejecución, borrado y copia,
y quedando las pistas
necesarias para el control y
la auditoría. Uso de
contraseñas, cifrado de las
mismas, situaciones de
bloqueo.
Protección de datos. Origen
del dato, proceso, salida de
los datos.
Comunicaciones y redes.
Topología y tipo de
comunicaciones, posible
uso de cifrado, protecciones
ante virus. Tipos de
transacciones. Protección de
conversaciones de voz en
caso necesario, protección
de transmisiones por fax
para contenidos
clasificados. Internet e
Intranet, correo electrónico,
control sobre páginas web,
así como el comercio
electrónico.
El entorno de producción.
Cumplimiento de contratos,
outsourcing.
El desarrollo de
aplicaciones en un entorno
seguro, y que se incorporen
controles en los productos
desarrollados y que éstos
resulten auditables. Con el
uso de licencias (de los
programas utilizados).
La continuidad de las
operaciones. Planes de
contingencia o de
Continuidad.
No se trata de áreas no
relacionadas, sino que casi
todas tienen puntos de
enlace comunes:
comunicaciones con control
de accesos, cifrado con
comunicaciones, etc.
Evaluación de riesgos
Se trata de identificar
riesgos, cuantificar su
probabilidad e impacto y
analizar medidas que los
eliminen o que disminuyan
la probabilidad de que
ocurran los hechos o
mitiguen el impacto. Para
evaluarlos hay que
considerar el tipo de
información almacenada,
procesada y transmitida, la
criticidad de las
operaciones, la tecnología
usada, el marco legal
aplicable, el sector de la
entidad, la entidad misma y
el momento. Los riesgos
pueden disminuirse
(generalmente no pueden
eliminarse), transferirse o
asumirse.
5.4 Técnicas y
herramientas de auditoría
relacionadas con la
seguridad en la
teleinformática.
Introducir al estudiante en
los aspectos técnicos,
funcionales y
organizacionales que
componen la problemática
de seguridad en las redes
teleinformáticas, ilustrando
las operaciones, técnicas y
herramientas más usuales
para garantizar privacidad,
autenticación y seguridad.
16
Introducción General a la
Seguridad en Redes
. Definiciones
. Generalidades
. Intrusos
. Amenazas
. Ataques
Planeación de la Seguridad
. Análisis del sistema actual
. Análisis de riesgos
. Definición de políticas de
seguridad
. Implantación de la
seguridad
Servicios de
Seguridad
. Modelo OSI
para
arquitecturas
de Seguridad
. Modelo
TCP/IP
UNIDAD VI
Informe de la
auditoria
informática.
6.1
Generalidades de la
seguridad del área física.
Es muy importante ser
consciente que por más que
nuestra empresa sea la más
segura desde el punto de
vista de ataques externos,
Hackers, virus, etc.
(conceptos luego tratados);
la seguridad de la misma
será nula si no se ha
previsto como combatir un
incendio.
La seguridad física es uno
de los aspectos más
olvidados a la hora del
diseño de un sistema
informático. Si bien algunos
de los aspectos tratados a
continuación se prevén,
otros, como la detección de
un atacante interno a la
empresa que intenta a
acceder físicamente a una
sala de operaciones de la
misma, no.
Esto puede derivar en que
para un atacante sea más
fácil lograr tomar y copiar
una cinta de la sala, que
intentar acceder vía lógica a
la misma.
Así, la Seguridad Física
consiste en la “aplicación
de barreras físicas y
procedimientos de control,
como medidas de
prevención y contramedidas
ante amenazas a los
recursos e información
confidencial”(1). Se refiere
a los controles y
mecanismos de seguridad
dentro y alrededor del
Centro de Cómputo así
como los medios de acceso
remoto al y desde el mismo;
implementados para
proteger el hardware y
medios de almacenamiento
de datos.
6.2 Características del
informe.
Objetivos, características y
afirmaciones que contiene
el informe de auditoría
El informe de auditoría
financiera tiene como
objetivo expresar una
opinión técnica de las
cuentas anuales en los
aspectos significativos o
importantes, sobre si éstas
muestran la imagen fiel del
patrimonio, de la situación
financiera y del resultado de
sus operaciones, así como
de los recursos obtenidos y
aplicados durante el
ejercicio.
Características del informe
de auditoría:
1. Es un documento
mercantil o público.
2. Muestra el alcance del
trabajo.
3. Contiene la opinión del
auditor.
4. Se realiza conforme a un
marco legal.
Principales afirmaciones
que contiene el informe:
Indica el alcance del trabajo
y si ha sido posible llevarlo
a cabo y de acuerdo con qué
normas de auditoría.
Expresa si las cuentas
anuales contienen la
información necesaria y
suficiente y han sido
formuladas de acuerdo con
la legislación vigente y,
también, si dichas cuentas
han sido elaboradas
17
teniendo en cuenta el
principio contable de
uniformidad.
Asimismo, expresa si las
cuentas anuales reflejan, en
todos los aspectos
significativos, la imagen
fiel del patrimonio, de la
situación financiera, de los
resultados y de los recursos
obtenidos y aplicados.
Se opina también sobre la
concordancia de la
información contable del
informe de gestión con la
contenida en las cuentas
anuales.
En su caso, explica las
desviaciones que presentan
los estados financieros con
respecto a unos estándares
preestablecidos.
Podemos sintetizar que el
informe es una presentación
pública, resumida y por
escrito del trabajo realizado
por los auditores y de su
opinión sobre las cuentas
anuales.
6.3 Estructura del informe.
Concluido el Trabajo de
Campo, el auditor tendrá
como responsabilidad la
confección del
Informe de Auditoría como
un producto final de este
trabajo. El informe
contendrá el mensaje del
Auditor sobre lo que ha
hecho y como lo ha
realizado, así como los
resultados obtenidos.
Concepto
Es el documento emitido
por el Auditor como
resultado final de su
examen y/o evaluación,
incluye información
suficiente sobre
Observaciones,
Conclusiones de hechos
significativos, así como
Recomendaciones
constructivos para superar
las debilidades en cuanto a
políticas, procedimientos,
cumplimiento de
actividades y otras.
Importancia
El Informe de Auditoría,
reviste gran Importancia,
porque suministra a la
administración de la
empresa, información
sustancial sobre su proceso
administrativo, como una
forma de contribuir al
cumplimiento de sus metas
y objetivos programados.
El Informe a través de sus
observaciones, conclusiones
y recomendaciones,
constituye el mejor medio
para que las organizaciones
puedan apreciar la forma
como están operando. En
algunas oportunidades
puede ocurrir que, debido a
un descuido en su
preparación, se pierde la
oportunidad de hacer
conocer a la empresa lo que
realmente desea o necesita
conocer para optimizar su
administración, a pesar de
que se haya emitido un
voluminoso informe, pero
inadvertidamente puede
estar falto de sustentación y
fundamento adecuado; en
consecuencia su contenido
puede ser pobre; con esto
queremos hacer resaltar el
hecho de que, el Informe
debe comunicar
información útil para
promover la toma de
decisiones.
Lamentablemente esto no se
logrará si el informe revela
pobreza de
expresión y no se
aportan
comentarios constructivos.
Redacción del Informe
La Redacción se efectuará
en forma corriente a fin de
que su contenido sea
comprensible al lector,
evitando en lo posible el
uso de terminología muy
especializada; evitando
párrafos largos y
complicados, así como
expresiones grandilocuentes
y confusas.
La Redacción del Informe
debe merecer mucha
atención cuidado de parte
del auditor para que tenga la
acogida y aceptación que
los empresarios esperan de
él, en este sentido el
Informe debe:
. Despertar o motivar
interés.
. Convencer mediante
información sencilla, veraz
y objetiva.
2. Requisitos del informe
Claridad y simplicidad.
La Claridad y Simplicidad,
significan introducir sin
mayor dificultad en la
mente del lector del
informe, lo que el Auditor
ha escrito o pensó escribir.
A veces lo que ocasiona la
deficiencia de claridad y
simplicidad del informe es
precisamente la falta de
claridad en los conceptos
que el Auditor tiene en
mente, es decir, no hay una
cabal comprensión de lo
que realmente quiere
comunicar, asimismo
cuando el Informe está falto
de claridad, puede dar lugar
a una doble interpretación,
ocasionando de este modo
18
que, se torne inútil y pierda
su utilidad. En
consecuencia, para que el
informe logre su objetivo de
informar o comunicar al
cliente, el Auditor:
. Evitará el uso de un
lenguaje técnico, florido o
vago.
. Evitará ser muy breve.
. Evitará incluir mucho
detalle.
. Utilizará palabras simples,
familiares al lector, es decir,
escribirá en el idioma que el
lector entiende.
6.4 Formato para el
informe.
El formato para informes
finales está enfocado a
apoyar y facilitar el proceso
de evaluación de los
resultados de los proyectos
financiados por la sede
Bogotá, con respecto a los
compromisos adquiridos en
el proyecto aprobado.
Además de reportar sobre el
cumplimiento de los
objetivos y el impacto
logrado a partir del uso y
obtención de los resultados
esperados y de las
actividades de investigación
científica.
• Los informes finales
técnico y financiero, deben
ser entregados a la
Dirección de
Investigación de la sede, al
finalizar el periodo de
ejecución del proyecto.
• El informe debe ser
aprobado previamente por
el respectivo Consejo
Directivo de cada
Facultad, Centro o Instituto.
• El informe debe contener
un índice. Cada página del
informe debe estar
numerada.
• Cada anexo debe estar
numerado haciendo
referencia a lo anotado en
los cuadros de resultados.
• El informe técnico final
deberá presentarse en
versión impresa y
magnética (CD o disquete).
I. CONTENIDO DEL
INFORME TÉCNICO
1. Título y código del
proyecto
2. Nombre del investigador
principal y de la Facultad,
Centro o Instituto al que
pertenece
3. Fecha de entrega del
Informe
4. Sinopsis divulgativa: Con
el propósito de promover la
divulgación de las
actividades investigativas
que adelanta la Sede Bogotá
y para dar mayor difusión a
los proyectos, deben incluir
un resumen de una cuartilla
que servirá de base para la
elaboración de notas
académicas dirigidas a los
medios de comunicación de
la Universidad.
5. Resumen técnico de los
resultados obtenidos
durante la realización del
proyecto y de las
principales conclusiones
(máximo cinco páginas).
6. Cuadro de resultados
obtenidos: De acuerdo a los
objetivos y resultados
esperados planteados en el
proyecto aprobado,
relacione los resultados
obtenidos durante la
realización del proyecto, los
cuales deben estar
soportados por sus
respectivos indicadores
verificables: publicaciones,
patentes, registros, normas,
certificaciones, memorias,
formación de recurso
humano, capacitación,
organización y/o
participación en eventos
científicos, etc., estos deben
numerarse y adjuntarse
como anexos del informe
(ver cuadro No. 1).
7. Descripción del impacto
actual o potencial de los
resultados: En términos de
generación de nuevo
conocimiento a nivel
mundial, de aporte para el
desarrollo del país, de
contribución a la solución
de problemas específicos,
de fortalecimiento de la
capacidad científica, y de
fortalecimiento de la
investigación y creación en
la Sede Bogotá (máximo
dos páginas).
8. Conclusiones
.