CONTENIDO
DEL
CURSO: ADMINISTRACIÓN
DE LA FUNCION INFORMÁTICA
UNIDADI Introducción a la auditoria informática. 1.1 Conceptos de auditoría y auditoria Informática. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuadosy cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los objetivos de la auditoría Informática son: El control de la función informática El análisis de la eficiencia de los SistemasInformáticos La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad
• • •
•
• •
•
•
Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas: Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protección y Seguridad Planes de continuidad y Recuperación de desastres • Auditoria de resultados de programas: Esta auditoría la eficacia y congruencia alcanzadas 1.2 Tipos de auditoría. en el logro de los objetivos y las metas establecidas. Auditoría contable (de estados financieros) – • Auditoria de legalidad: Este tipo de auditoría no es interés del curso. tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades. Auditoría interna. La lleva a cabo un departamento dentro de la organización y • Auditoría integral: Es un examen que existe una relación laboral. proporciona una evaluación objetiva y constructiva acerca del grado en que los Auditoría externa. No existe relación laboral y recursos humanos, financieros y materiales. la hacen personas externas al negocio para que los resultados que nos arroje sean 1.2.1 Auditoría interna y externa. imparciales como pueden ser las firmas de contadores o administradores independientes. La Auditoría Externa examina y evalúa Auditoria administrativa. (William. P Leonard) cualquiera de los sistemas de información de es un examen completo y constructivo de la una organización y emite una opinión estructura organizativa de la empresa, independiente sobre los mismos, pero las institución o departamento gubernamental o empresas generalmente requieren de la de cualquier otra entidad y de sus métodos de evaluación de su sistema de información control, medios de operación y empleo que dé financiero en forma independiente para a sus recursos humanos y materiales. otorgarle validez ante los usuarios del Auditoria gubernamental. producto de este, por lo cual tradicionalmente Auditoría Financiera: Consiste en una revisión se ha asociado el término Auditoría Externa a exploratoria y critica de los controles Auditoría de Estados subyacentes y los registros de contabilidad de Financieros, lo cual como se observa no es una empresa realizada por un contador totalmente equivalente, pues puede existir. público. Auditoría Externa del Sistema de Información Auditoria de operaciones: Se define como una Tributario, Auditoría Externa del Sistema de técnica para evaluar sistemáticamente de una Información Administrativo, Auditoría Externa función o una unidad con referencia a normas del Sistema de Información Automático etc. de la empresa, utilizando personal no especializado en el área de estudio. La auditoría Interna es el examen crítico, Auditoría fiscal: Consiste en verificar el sistemático y detallado de un sistema de correcto y oportuno pago de los diferentes información de una unidad económica, impuestos y obligaciones fiscales de los realizado por un profesional con vínculos contribuyentes desde el punto de vista físico laborales con la misma, utilizando técnicas (SHCP), direcciones o tesorerías de hacienda determinadas y con el objeto de emitir estatales o tesorerías municipales. informes y formular sugerencias para el
mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pública. 1.3 Campo de la auditoria informática. Algunos campos de aplicación de la informática son las siguientes: •
• •
• •
•
Investigación científica y humanística: Se usan la las computadoras para la resolución de cálculos matemáticos, recuentos numéricos, etc. Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería y de productos comerciales, trazado de planos, etc. Documentación e información: Es uno de los campos más importantes para la utilización de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en basesde datos. Gestión administrativa: Automatiza las funciones de gestión típicas de una empresa. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo haría una persona inteligente. Instrumentación y control: Instrumentación electrónica, electro medicina, robots industriales, entre otros. 1.4 Control interno. El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización,
1
Practica offimatica
dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesosoperativos automatizados. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. 1.5 Modelos de control utilizados en auditoria informática. El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objetives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesosinvolucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. “La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber: -Planificación y organización -Adquisición e implantación -Soporte y Servicios - Monitoreo Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano. “Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK. 1.6 Principios aplicados auditores informáticos.
a
los
El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas detectados en el sistema informático de esta última. En ningún caso está justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deberá considerarse como no ética. Para garantizar el beneficio del auditado como la necesaria independencia del auditor, este último deberá evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o equipos compatibles con los de su cliente. La adaptación del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus características intrínsecas. Únicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido, este podrá proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informático globalmente contemplado. Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos,
aconsejables y óptimos para su adecuación a la finalidad para la que ha sido diseñado. El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañinas o que generen riesgos injustificados para el auditado. Una de las cuestiones más controvertidas, respecto de la aplicación de este principio, es la referente a facilitar el derecho de las organizaciones auditadas a la libre elección del auditor. Si el auditado decidiera encomendar posteriores auditorías a otros profesionales, éstos deberías poder tener acceso a los informes de los trabajos profesionales, éstos deberían poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado. 1.7 Responsabilidades de administradores y del auditor.
los
Recordemos que un auditor informático es un profesional especializado en ramas de la auditoría informática, principalmente dedicado al análisis de sistemas de información, que tiene conocimientos generales de los ámbitos en los que ésta se mueve, ademásde contar con conocimientos empresariales generales. El auditor puede actuar como consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y administración que le sean propios. Además, puede actuar como consejero con la organización en la que está desarrollando su labor. Un entorno informático bien controlado puede ser ineficiente si no es consistente con los objetivos de la organización. El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Se deben contemplar las siguientes características de un perfil profesional adecuado y actualizado: 1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de:
•Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo) •Administración del Departamento de Informática •Análisis de riesgos en un entorno informático •Sistemasoperativos •Telecomunicaciones •Administración de Basesde Datos •Redeslocales •Seguridad física •Operación y planificación informática (efectividad de las operaciones y rendimiento del sistema) •Administración de seguridad de los sistemas(planes de contingencia) •Administración del cambio de Datos •Automatización de oficinas (ofimática)
2
Practica offimatica
•Comercio electrónico •Encriptación de datos
2) Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial; Por ejemplo, en un entorno financiero pueden tener mucha importancia las comunicaciones, por lo que se debe tener una especialización en esa rama. 3) Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. 4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad. Es responsable de realizar las siguientes actividades para la función de la Auditoría Informática: •Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc. •Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración. •Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones. •Auditoría del riesgo operativo de los circuitos de información •Análisis de la administración de los riesgos de la información y de la seguridad implícita. •Verificación del nivel de continuidad de las operaciones. •Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear. •Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa. UNIDAD II Informática.
Planeación
de
la
auditoria
2.1 Fases de la auditoria.
FaseI: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas FaseIV: Análisis de controles FaseV: Evaluación de Controles FaseVI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones
2.1.1 Planeación. Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus
sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
idóneo para expresar en términos cuantitativos el juicio del auditor respecto a la razonabilidad, determinando la extensión de las pruebas y evaluando su resultado.
• Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo.
Cuando se utilicen bases subjetivas se deberá dejar constancia en los papeles de trabajo de las razones que han conducido a tal elección, justificando los criterios y basesde selección.
2.1.2 Revisión preliminar.
Evaluación del control interno
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera pérdidas sustanciosas), herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Realizados los cuestionarios y representado gráficamente el sistema de acuerdo con los procedimientos vistos, hemos de conjugar ambos a fin de realizar un análisis e identificar los puntos fuertes y débiles del sistema. En esa labor de identificación, influye primordialmente la habilidad para entender el sistema y comprender los puntos fuertes y débiles de su control interno.
Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un área tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razón habrá puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un ámbito administrativo y no solo desde la parte tecnológica, porque al fin de cuentas hablamos de tiempo y costo de producción, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa.
La conjugación de ambas nos dará el nivel de confianza de los controles que operan en la empresa, y será preciso determinar si los errores tienen una repercusión directa en los estados financieros, o si los puntos fuertes del control eliminarían el error. 2.1.5 Pruebas usuario.
Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisión con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. y evaluación
controles
de
En una auditoria existen los siguientes módulos para ayudarle a planificar y ejecutar pruebas:
2.1.3 Revisión detallada.
2.1.4 Examen información.
de
de la
Periodo en el que se desarrollan las pruebas y su extensión Los auditores independientes podrán realizar las pruebas de cumplimiento durante el periodo preliminar. Cuando éste sea el caso, la aplicación de tales pruebas a todo el periodo restante puede no ser necesaria, dependiendo fundamentalmente del resultado de estas pruebas en el periodo preliminar así como de la evidencia del cumplimiento, dentro del periodo restante, que puede obtenerse de las pruebas sustantivas realizadaspor el auditor independiente. La determinación de la extensión de las pruebas de cumplimento se realizará sobre bases estadísticas o sobre bases subjetivas. El muestreo estadístico es, en principio, el medio
• • • •
Aéreasde Auditoria Registro de Riesgosy Controles Plan de Pruebas Realizar pruebas Permite especificar la estructura bajo la cual se agruparan las pruebas. Permite planificar y ejecutar pruebas relacionadas con los riesgos y controles definidos para esta auditoría. Permite agregar, editar y borrar pruebas con independencia del Registro de Riesgos y Controles. Permite registrar el resultado y el status de cada prueba (completadas, revisadas o aprobadas). Una Librería de Áreas y una Librería de Pruebas pueden también ser mantenida para proveer Áreas y Pruebas Standard para su selección en cada auditoria. Las Áreas de Auditoria estructuran sus pruebas en programas de trabajo lógicos y pueden usarse para capturar información relacionada con los objetivos de cada programa de trabajo. 2.1.6 Pruebas sustantivas. El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el proceso de la información.
3
Practica offimatica
Se pueden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2 prueba para asegurar la calidad de los datos. 3 pruebas para identificar la inconsistencia de datos. 4 prueba para comparar con los datos o contadores físicos. 5 confirmaciones de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicación. 7 prueba para determinar falta de seguridad. 8 pruebas para determinar problemas de legalidad.
solicitud de documentos para poder definir el objetivo y alcancesdel departamento.
Objetivos a corto y largo plazo.
Recursosmateriales y técnicos
Solicitar documentos sobre los equipos, número de ellos, localización y características.
Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
2.2 Evaluación de los sistemas de acuerdo al riesgo. Riesgo
UNIDADIII Auditoria de la función informática.
Proximidad o posibilidad de un daño, peligro, etc.
Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.
Convenios que instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Sinónimos: amenaza, emergencia, urgencia, apuro.
Planes de expansión.
Seguridad
Ubicación general de los equipos.
Cualidad o estado de seguro
Políticas de operación.
Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo.
Políticas de uso de los equipos.
Entre otros.
se
También se deben contar con personas asignadas por los usuarios para que en el momento que se solicite información, o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.
tienen
con
otras
3.1 Recopilación de la información organizacional. Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico con información verdadera y a tiempo de lo que sucede en la organización bajo análisis, esta obtención de la información debe ser planeada en forma estructurada para garantizar una generación de datos que ayuden posteriormente su análisis. Es un ciclo continuo en el cual se planea la recolección de datos, se analiza, se retroalimentan y se da un seguimiento. La recolección de datos puede darse de varias maneras:
contingencia,
Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administración estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilación; se financia con aportaciones del Estado, trabajadores y empresarios. Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de seguridad. 2.3 Investigación preliminar. Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos: ADMIN ISTRACIÓN Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y
2.4 Personal participante. Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Aquí no se verá el número de persona que deberán participar, ya que esto depende de las dimensiones de la organización, de los sistemas y de los equipos, lo que se deberá considerar son exactamente las características que debe cumplir cada uno del personal que habrá de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la práctica profesional y la capacitación que debe tener el personal que intervendrá en la auditoria.
o o o o
Cuestionarios Entrevistas Observación Información documental (archivo)
Toda la información tiene un valor en sí misma, el método de obtención de información está directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad dependerá del objetivo que se busque y los medios para llevar a cabo esa recolección de datos en tiempo y forma para su posterior análisis. 3.2 Evaluación humanos
de
los
recursos
La auditoría de recursos humanos puede definirse como el análisis de las políticas y prácticas de personal de una empresa y la evaluación de su funcionamiento actual, seguida de sugerencias para mejorar. El propósito principal de la auditoria de recursos humanos es mostrar cómo está funcionado el programa, localizando prácticas y condiciones que son perjudiciales para la empresa o que no están justificando su costo, o prácticas y condiciones que deben incrementarse. La auditoría es un sistema de revisión y control para informar a la administración sobre la eficiencia y la eficacia del programa que lleva a cabo. El sistema de administración de recursos humanos necesita patrones capaces de permitir una continua evaluación y control sistemático de su funcionamiento.
4
Practica offimatica
Patrón en in criterio o un modelo que se establece previamente para permitir la comparación con los resultados o con los objetivos alcanzados. Por medio de la comparación con el patrón pueden evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor. 3.3 Entrevistas con el personal de informática. La entrevista es uno de los eslabones finales para conseguir la posición deseada. Desde el otro lado del mostrador y habiendo entrevistado a 5.000 profesionales en sistemas entre nuestro equipo de selectores, te dejamos valiosos consejos en esta nota. Es un diálogo directo entre el entrevistador y entrevistado. El entrevistador dirige la conversación e intenta obtener la máxima información posible del candidato. Te preguntará por tu currículum, experiencias, habilidades, aficiones e intentará ponerte en situaciones reales para estudiar tus reacciones. En ocasiones puede haber más de un entrevistador, con el fin de tener más de un punto de vista a la hora de elegir el candidato final. Modalidades de la Entrevista Personal Estructurada (dirigida) El entrevistador dirige la conversación y hace las preguntas al candidato siguiendo un cuestionario o guión. El entrevistador formulará las mismas preguntas a todos los candidatos. Se recomienda contestar a las preguntas aportando aquella información que se pide, con claridad y brevedad. No estructurada (libre) El entrevistador te dará la iniciativa a ti, y deberás desenvolverte por tu cuenta. El entrevistador podría empezar con la pregunta: “Háblame de ti”, y luego seguir con preguntas generales, que surgen en función del desarrollo de la conversación. Lo más aconsejable es empezar siguiendo el guión de tu historial profesional. También puedes preguntar si está interesado en conocer algo en particular. Aprovecha para llevar la conversación a los puntos fuertes que deseas destacar en relación con el puesto ofertado. Semi-estructurada (mixta) Es una combinación de las dos anteriores. El entrevistador utilizará preguntas directas para conseguir informaciones precisas sobre ti, y preguntas indirectas para sondearte respecto a tus motivaciones. Intenta seguir un orden discursivo, sé conciso e intenta relacionar tus respuestas y comentarios con las exigencias del puesto al que optas.
3.4 Situación financiera.
presupuestal
formulación de los presupuestos. Contiene lineamientos tendientes a lograr la unificación del gasto público, partiendo del principio "en que se gasta" y no del tradicional de "cuanto se gasta", considerando como modelo el presupuesto por programas. Así mismo lineamientos para que dentro de la ejecución presupuestal se evalúe a obtención de los objetivos a alcanzar, para aplicar medidas conectivas.
y
El estudio y evaluación del control interno deberá efectuarse conforme a lo dispuesto en el boletín 3050 “Estudio y Evaluación del Control Interno”, emitido por la Comisión de Normas y Procedimientos de Auditoría del Instituto Mexicano de Contadores Públicos, A.C., éste servirá de base para determinar el grado de confianza que se depositará en él y le permita determinar la naturaleza, alcance y oportunidad, que va a dar a los procedimientos de auditoría, por lo que el auditor para el cumplimiento de los objetivos deberá considerar lo siguiente: - Existencia de factores que aseguren un ambiente de control - Existencia de riesgo en la información financiera Existencia de un sistema presupuestal que permita identificar, reunir, analizar, clasificar, registrar y producir información cuantitativa de las operaciones basadasen flujos de efectivo y partidas devengadas - Existencia de procedimientos relativos a autorización, procesamiento y clasificación de transacciones, salvaguarda física de documentación soporte y de verificación y evaluación, incluyendo los aplicables a la actualización de cifras y a los controles relativos al procesamiento electrónico de datos. - Vigilancia sobre el establecimiento y mantenimiento de controles internos con objeto de identificar si están operando efectivamente y si deben ser modificados cuando existan cambios importantes. Para efectos de estudio y evaluación del control interno en una revisión en una revisión de estados presupuestarios, el auditor deberá considerar los siguientes aspectos: a. Existencia de un presupuesto anual autorizado b. Existencia e políticas, bases y lineamientos presupuestarios c. Existencia de un sistema de registro presupuestario d. Existencia de un procedimiento de autorizaciones e. Procedimientos de registro, control y reporte presupuestario Obtener el estado analítico de recursos presupuestarios y el ejercicio presupuestario del gasto, tal como lo establecen los Términos de Referencia para auditorías a Órganos Desconcentrados y Entidades Paraestatales de la SFP,así como el flujo de efectivo que detalle el origen y el destino de los egresos (Art.103 de la Ley Federal de Presupuesto y Responsabilidad Hacendaria) 3.4.1 Presupuestos. Da a conocer lineamientos, procedimientos y técnicas de auditoría para facilitar la ejecución y liquidación del presupuesto de las entidades descentralizadas, así como su propia fiscalización. Proporciona directrices de la
3.4.2 Recursos materiales.
financieros
y
•
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
•
Independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza
•
Generalmente para designar a la auditoría externa de estados financieros que es una auditoría Realizada por un profesional experto en contabilidad de los libros y registros contables de una Entidad para opinar sobre la razonabilidad de la información contenida en ellos y sobre el Cumplimiento de las normas contables. El origen etimológico de la palabra es el verbo latino “Audire”, que significa “oír”. Esta denominación proviene de su origen histórico, ya que los primeros auditores ejercían su función juzgando la verdad o falsedad de lo que les era sometido a su Verificación principalmente “oyendo”. Auditoría Informática La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si Un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en Una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la Consecución de los mismos. Los objetivos de la auditoría Informática son: * El control de la función informática * El análisis de la eficiencia de los Sistemas Informáticos * La verificación del cumplimiento de la Normativa en este ámbito * La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como: i. ii. iii.
Eficiencia Eficacia Rentabilidad
5
Practica offimatica
iv.
Seguridad
La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización:
Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:
• Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o información. Código oculto en un programa Entrada de virus
- Gobierno corporativo - Administración del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Protección y Seguridad - Planes de continuidad y Recuperación de desastres
Un método eficaz para proteger sistemas de computación es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computación, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada.
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría Informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, ISO,COSOe ITIL. UNIDADIV Evaluación de la seguridad. 4.1 Generalidades de la seguridad del área física.
4.3 Seguridad personal. Esmuy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.
A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemasde Información de la empresa.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema Informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial” (1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas. El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
4.2 Seguridad lógica y confidencial. La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora, así como de controlar el mal uso de la información. La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación. Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso específico, de las redes y terminales.
Sistemasde claves de acceso
4.4 Clasificación de los controles de seguridad. Clasificación general de los controles •
Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No fumar" salvaguardar las instalaciones
para
Controles detectives Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría Procedimientos de validación
•
Controles Correctivos Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles defectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores. 4.5 Seguridad en los datos y software de aplicación . Este apartado aborda los aspectos asociados al componente lógico del sistema: programas y datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos recursos, los procedimientos para asegurar la fiabilidad del software (tanto operativo como de gestión) y los criterios a considerar para garantizar la integridad de la información. Control de acceso. Sistemas de identificación, asignación y cambio de derechos de acceso, control de accesos, restricción de terminales, desconexión de la sesión, limitación de reintento. Software de base. Control de cambios y versiones, control de uso de programas de utilidad, control de uso de recursos y medición de 'performance'. Software de aplicación. En este apartado se trata todo lo concerniente al software de aplicación, es decir, todo lo relativo a las aplicaciones de gestión, sean producto de desarrollo interno de la empresa o bien sean paquetes estándar adquiridos en el mercado. Desarrollo de software. . Metodología: existe, se aplica, es satisfactoria. Documentación: existe, esta actualizada, es accesible. . Estándares: se aplican, como y quien lo controla. Involucración del usuario. . Participación de personal externo. . Control de calidad. . Entornos real y de prueba. . Control de cambios. Adquisición de software estándar.
6
Practica offimatica
Metodología, pruebas, condiciones, garantías, contratos, capacitación, licencias, derechos, soporte técnico.
rango aceptable en cada caso, y la lógica, que hace referencia a las relaciones que deben existir entre las tablas y reglas del negocio.
Datos.
Debe designarse un Administrador de Datos, ya que es importante centralizar en personas especializadas en el tema las tareas de redacción de normas referentes al gestor de datos utilizado, definición de estándares y nomenclatura, diseño de procedimientos de arranque, recuperación de datos, asesoramiento al personal de desarrollo entre algunos otros aspectos.
Los datos es decir, la información que se procesa y se obtiene son la parte más importante de todo el sistema informático y su razón de ser. Un sistema informático existe como tal desde el momento en que es capaz de tratar y suministrar información. Sin ésta, se reduciría a un conjunto de elementos lógicos sin ninguna utilidad.
Creación de basesde datos. En la actualidad la inmensa mayoría de sistemas tienen la información organizada en sendas Bases de Datos. Los criterios que se citan a continuación hacen referencia a la seguridad de los Sistemas de Gestión de Bases de Datos (SGBD) que cumplan normas ANSI, si bien muchos de ellos pueden ser aplicables a los archivos de datos convencionales.
Debe crearse un entorno de desarrollo con datos de prueba, de modo que las actividades del desarrollo no interfieran el entorno de explotación. Los datos de prueba deben estar dimensionados de manera que permitan la realización de pruebas de integración con otras aplicaciones, de rendimiento con volúmenes altos.
Diseño de basesde datos. Esimportante la utilización de metodologías de diseño de datos. El equipo de analistas y diseñadores deben hacer uso de una misma metodología de diseño, la cual debe estar en concordancia con la arquitectura de la Base de Datos elegida jerárquica, relacional, red, o bien orientada a objetos.
En la fase de creación, deben desarrollarse los procedimientos de seguridad, confidencialidad e integridad definidos en la etapa de diseño: . Construcción de los procedimientos de copia y restauración de datos. . Construcción de los procedimientos de restricción y control de acceso. Existen dos enfoques para este tipo de procedimientos:
Debe realizarse una estimación previa del volumen necesario para el almacenamiento de datos basada en distintos aspectos tales como el número mínimo y máximo de registros de cada entidad del modelo de datos y las predicciones de crecimiento.
Confidencialidad basada en roles, que consiste en la definición de los perfiles de usuario y las acciones que les son permitidas (lectura, actualización, alta, borrado, creación/eliminación de tablas, modificación de la estructura de las tablas).
A partir de distintos factores como el número de usuarios que accederá a la información, la necesidad de compartir información y las estimaciones de volumen se deberá elegir el SGBD más adecuado a las necesidades de la empresa o proyecto en cuestión.
4.6 Controles para evaluar software de aplicación.
En la fase de diseño de datos, deben definirse los procedimientos de seguridad, confidencialidad e integridad que se aplicarán a los datos: Procedimientos para recuperar los datos en casos de caída del sistema o de corrupción de los archivos. Procedimientos para prohibir el acceso no autorizado a los datos. Para ello deberán identificarlos. Procedimientos para restringir el acceso no autorizado a los datos. Debiendo identificar los distintos perfiles de usuario que accederán a los archivos de la aplicación y los subconjuntos de información que podrán modificar o consultar.
Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoría es la verificación de la observancia de las normas teóricamente existentes en el departamento de Informática y su coherencia con las del resto de la empresa. Para ello, habrán de revisarse sucesivamente y en este orden: 1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa, y sobre todo verificando que esta Normativa General . Informática no está en contradicción con alguna Norma General no informática de la empresa.
Procedimientos para mantener la consistencia y corrección de la información en todo momento.
2. Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación. Tampoco el alta de una nueva Aplicación podría producirse si no existieran los Procedimientos de Backup y Recuperación correspondientes.
Básicamente existen dos niveles de integridad: la de datos, que se refiere al tipo, longitud y
3. Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las
áreas fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido a Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática debe estar sometida. 4.7 Controles para prevenir crímenes y fraudes informáticos. En los años recientes las redes de computadoras han crecido de manera asombrosa. Hoy en día, el número de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus médicos online supera los 200 millones, comparado con 26 millones en 1995. A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernéticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorización o "piratería informática", el fraude, el sabotaje informático, la trata de niños con fines pornográficos y el acecho. Los delincuentes de la informática son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden pasar desapercibidos a través de las fronteras, ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningún documento de rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "paraísos informáticos" o sea, en países que carecen de leyes o experiencia para seguirles la pista -. Según datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dólares al año debido a los piratas que les roban de las cuentas online sus números de tarjeta de crédito y de llamadas. Dichos números se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnéticas de tarjetas bancarias y de crédito, señala el Manual de la ONU. Otros delincuentes de la informática pueden sabotear las computadoras para ganarle ventaja económica a sus competidores o amenazar con daños a los sistemas con el fin de cometer extorsión. Los malhechores manipulan los datos o las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio de disquetes "infectados"; también se están propagando últimamente por
7
Practica offimatica
las redes, con frecuencia camuflados en mensajes electrónicos o en programas "descargados" de la red. 4.8 Plan de contingencia, seguros, procedimientos de recuperación de desastres. Medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos. Los procedimientos manuales, si es que existen, sólo serían prácticos por un corto periodo. En caso de un desastre, la interrupción prolongada de los servicios de computación puede llevar a pérdidas financieras significativas, sobre todo si está implicada la responsabilidad de la gerencia de informática. Lo más grave es que se puede perder la credibilidad del público o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. En un estudio realizado por la Universidad de Minnesota, se ha demostrado que más del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en funcionamiento, saldrán del negocio en dos o tres años. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informáticos, este porcentaje seguramente crecerá.
• Los ductos del aire acondicionado deben de estar limpios. • Se debe tener equipo de fuente no interrumpible. • Restringir el acceso a los centros de cómputo sólo al personal autorizado. • Definición y difusión de las horas de acceso al centro de cómputo. Beneficios de la capacitación • Difusión de conocimientos y desarrollo general. • Creación de instructores propios de la compañía. • Capacitación permanente y motivación general del personal. • El personal que se envíe a los cursos y que después los imparta se sentirá motivado, reconocido y comprometido moralmente con la compañía. • Al existir los cursos internos se crea un ambiente de trabajo sano y por consecuencia atractivo para el personal de nuevo ingreso. 4.10 Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación. Es primordial que se instruya adecuadamente a los desarrolladores sobre las herramientas y técnicas necesarias para escribir códigos seguros y sobre la importancia del proyecto. Las políticas que afecten a los códigos de seguridad deben mantenerse a un nivel lo suficientemente alto como para cumplir con las necesidades de todos los proyectos de desarrollo de una empresa.
4.9 Técnicas y herramientas relacionadas con la seguridad física y del personal.
Sin embargo, hay que tener en cuenta que los desarrolladores a menudo no están de acuerdo sobre cuál es el mejor método para garantizar la seguridad de un código dado y que es necesario crear unas directrices flexibles para proporcionar una orientación más específica. Una parte muy útil del ciclo de desarrollo es la revisión de un proyecto por parte de compañeros. Los desarrolladores que escriben códigos que afectan a los procesos comerciales deben tener un conocimiento básico del tema, tal y como se describe en el siguiente diagrama:
SEGURIDADFISICA
Prueba manual
Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, periféricos, y equipos asociados, las instalaciones eléctricas, las instalaciones de comunicación y de datos.
La solución más adoptada hasta ahora para conocer las vulnerabilidades de una aplicación web es la prueba manual. Las consultorías de seguridad forman a un personal especializado para que analice las aplicaciones web desde una perspectiva estructural y funcional (revisión de código), por lo que los consultores conocen por experiencia los fallos más comunes de los desarrolladores. Este método elimina una gran cantidad de defectos de seguridad, como se muestra en la siguiente tabla. En el caso de las aplicaciones más complejas, los consultores valoran las conexiones con otras aplicaciones (y la gestión de las sesiones entre ellas) y repasan toda la infraestructura de la aplicación en busca de parámetros específicos, como el cumplimiento de la normativa aplicable (a menudo respecto del cifrado) y los acuerdos establecidos con terceras partes a nivel de
Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratégico de seguridad para una organización.
Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario y equipo de oficina, así como la protección a los accesos al centro de sistematización. En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y protección de los recursos físicos informáticos de la empresa. Señales de alerta
servicios. Ésta es aún la perspectiva preferida de las empresas, tales como las instituciones financieras y las empresas de fabricación, que no pueden tolerar que la seguridad de sus aplicaciones esté en riesgo. Pruebas automáticas La realización de pruebas automáticas se ha perfeccionado en los últimos años. Muchos productos del mercado realizan una excelente labor en la identificación de las vulnerabilidades más comunes, pero por lo general son caros y no pueden analizar aplicaciones que dependan de capas de software personalizado complejo o, a veces, de terceras partes. UNIDAD V Auditoria de la seguridad en la teleinformática. 5.1 Generalidades de la seguridad en el área de la teleinformática. En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se denomina teleinformática: la unión de la informática y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados con la teleinformática. Este trabajo se basa en conceptos fundamentales expresados de la manera más simple posible, pero a su vez siendo precisos. Comenzamos por introducir la historia y evolución de la teleinformática y de la manera en que fue desarrollándose, y a su vez, proporcionando un panorama general del tema. Luego mencionamos de forma genérica los elementos que integran un sistema teleinformática, desde un simple terminal hasta una red. Continuamos explicando las técnicas fundamentales de transmisión de datos, para comprender cómo viaja la información de un sistema a otro a través de los circuitos de telecomunicación. Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos, red, transporte, sesión, presentación y aplicación. También, mencionamos las redes de área local ya que son muy importantes en lo que a la teleinformática respecta. Hicimos inca pié en la red Internet y su protocolo TCP/IP, y en los conceptos básicos sobre Programasde Comunicación y Gestión de Red. Analizamos los servicios de valor añadido como el Video tex, Ibercom o La Telefonía Móvil. Además, establecimos los últimos desarrollos y las tendencias de la teleinformática, desde las redes digitales hasta el proceso distribuido. Por último, manifestamos la importancia de la relación que existe entre la teleinformática y la
8
Practica offimatica
sociedad, en lo que respecta a la educación, la sanidad y la empresa.
Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile), "los auditores y los astrónomos compartimos plenamente una idea: el universo se expande. Así como después del "big bang" un universo de planetas y estrellas comenzó y continúa expandiéndose, de la misma forma el mundo del Auditor Interno es cada vez más amplio. Como nunca, probablemente hoy se enfrenta a uno de los cambios más importantes en su profesión, debiendo abordar aspectos relacionados con el Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones. 5.3 Síntomas de riesgo.
Explicaremos claramente la importancia de la teleinformática y su desarrollo a través de la historia desde el comienzo ya que es uno de los factores que ha constituido y constituye un elemento fundamental para la evolución de la humanidad: la comunicación. En una comunicación se transmite información desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la información, el medio, que permite la transmisión, y el receptor, que recibe la información.
La Auditoría de la Seguridad
La primera comunicación que existió entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban acompañadosde sonidos.
Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad, aunque después se hayan ido ampliando los objetivos. Cada día es mayor la importancia de la información, especialmente relacionada con sistemas basados en el uso de tecnología de información y comunicaciones, por lo que el impacto de las fallas, los accesos no autorizados, la revelación de la información, entre otros problemas, tienen un impacto mucho mayor que hace algunos años.
Posteriormente, comenzó la comunicación hablada a través de un determinado lenguaje, en el cuál cada palabra significaba algo y cada frase tenía un contenido informativo. Más tarde, el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen las señales de humo, destellos con espejos entre innumerables métodos de comunicación. Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia comenzó a ser cada vez más importante. La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron comunicaciones a través de cables a unas distancias considerables. Posteriormente se desarrolló la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. Más tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de técnicas y métodos que luego fueron muy importantes a lo que respecta a la comunicación. 5.2 Objetivos y criterios de auditoria en el área de teleinformática.
En la auditoría de otras áreas pueden también surgir revisiones solapadas con la seguridad; así a la hora de revisar el desarrollo se verá si se realiza en un entorno seguro, etc. •
•
•
la la
Así ante la continua aparición de nuevas herramientas de gestión, la auditoría interna se ve compelida a velar entre otras cosas por la aplicación y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditoría debía velar no sólo por los activos de la empresa sino además por su capacidad competitiva. Cuidar de esto último significa difundir, apoyar y controlar las nuevas y buenas prácticas. Así, haciendo uso del benchmarking puede verificar y promover las mejores prácticas para el mantenimiento de la más alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa.
•
• •
Los controles directivos. Son los fundamentos de la seguridad: políticas, planes, funciones, objetivos de control, presupuesto, así como si existen sistemas y métodos de evaluación periódica de riesgos. El desarrollo de las políticas. Procedimientos, posibles estándares, normas y guías. Amenazas físicas externas. Inundaciones, incendios, explosiones, corte de líneas o suministros, terremotos, terrorismo, huelgas, etc., se considera: la ubicación del centro de procesos, de los servidores, PCs, computadoras portátiles (incluso fuera de las oficinas); estructura, diseño, construcción y distribución de edificios; amenazas de fuego, riesgos por agua, por accidentes atmosféricos; contenido en paquetes}, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes, proveedores, contratados; protección de los soportes magnéticos en cuanto a acceso, almacenamiento y transporte. Control de accesos adecuado. Tanto físicos como lógicos, que se realicen sólo las operaciones permitidas al usuario: lectura, variación, ejecución, borrado y copia, y quedando las pistas necesarias para el control y la auditoría. Uso de contraseñas, cifrado de las mismas, situaciones de bloqueo. Protección de datos. Origen del dato, proceso, salida de los datos. Comunicaciones y redes. Topología y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Protección de conversaciones de voz en caso necesario, protección de transmisiones por fax para contenidos
• •
•
clasificados. Internet e Intranet, correo electrónico, control sobre páginas web, así como el comercio electrónico. El entorno de producción. Cumplimiento de contratos, outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que éstos resulten auditables. Con el uso de licencias (de los programas utilizados). La continuidad de las operaciones. Planes de contingencia o de Continuidad. No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos, cifrado con comunicaciones, etc. Evaluación de riesgos Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de información almacenada, procesada y transmitida, la criticidad de las operaciones, la tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. Los riesgos pueden disminuirse (generalmente no pueden eliminarse), transferirse o asumirse. 5.4 Técnicas y herramientas auditoría relacionadas con seguridad en la teleinformática.
de la
Introducir al estudiante en los aspectos técnicos, funcionales y organizacionales que componen la problemática de seguridad en las redes teleinformáticas, ilustrando las operaciones, técnicas y herramientas más usuales para garantizar privacidad, autenticación y seguridad. Introducción General a la Seguridad en Redes . Definiciones . Generalidades . Intrusos . Amenazas . Ataques Planeación de la Seguridad . Análisis del sistema actual . Análisis de riesgos . Definición de políticas de seguridad . Implantación de la seguridad Servicios de Seguridad . Modelo OSI para arquitecturas de Seguridad . Modelo TCP/IP
UNIDAD VI Informe de la auditoria informática. 6.1 Generalidades de la seguridad del área física.
9
Practica offimatica
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 6.2 Características del informe. Objetivos, características y afirmaciones que contiene el informe de auditoría El informe de auditoría financiera tiene como objetivo expresar una opinión técnica de las cuentas anuales en los aspectos significativos o importantes, sobre si éstas muestran la imagen fiel del patrimonio, de la situación financiera y del resultado de sus operaciones, así como de los recursos obtenidos y aplicados durante el ejercicio. Características auditoría:
del
informe
de
1. Esun documento mercantil o público. 2. Muestra el alcance del trabajo. 3. Contiene la opinión del auditor. 4. Serealiza conforme a un marco legal. Principales afirmaciones que contiene el informe:
Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría.
Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad.
Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen fiel del patrimonio, de la situación
financiera, de los resultados y de los recursos obtenidos y aplicados.
Se opina también sobre la concordancia de la información contable del informe de gestión con la contenida en las cuentas anuales.
En su caso, explica las desviaciones que presentan los estados financieros con respecto a unos estándares preestablecidos.
Podemos sintetizar que el informe es una presentación pública, resumida y por escrito del trabajo realizado por los auditores y de su opinión sobre las cuentas anuales.
La Redacción del Informe debe merecer mucha atención cuidado de parte del auditor para que tenga la acogida y aceptación que los empresarios esperan de él, en este sentido el Informe debe: . Despertar o motivar interés. . Convencer mediante información sencilla, veraz y objetiva. 2. Requisitos del informe
6.3 Estructura del informe . Concluido el Trabajo de Campo, el auditor tendrá como responsabilidad la confección del Informe de Auditoría como un producto final de este trabajo. El informe contendrá el mensaje del Auditor sobre lo que ha hecho y como lo ha realizado, así como los resultados obtenidos. Concepto Es el documento emitido por el Auditor como resultado final de su examen y/o evaluación, incluye información suficiente sobre Observaciones, Conclusiones de hechos significativos, así como Recomendaciones constructivos para superar las debilidades en cuanto a políticas, procedimientos, cumplimiento de actividades y otras. Importancia El Informe de Auditoría, reviste gran Importancia, porque suministra a la administración de la empresa, información sustancial sobre su proceso administrativo, como una forma de contribuir al cumplimiento de sus metas y objetivos programados. El Informe a través de sus observaciones, conclusiones y recomendaciones, constituye el mejor medio para que las organizaciones puedan apreciar la forma como están operando. En algunas oportunidades puede ocurrir que, debido a un descuido en su preparación, se pierde la oportunidad de hacer conocer a la empresa lo que realmente desea o necesita conocer para optimizar su administración, a pesar de que se haya emitido un voluminoso informe, pero inadvertidamente puede estar falto de sustentación y fundamento adecuado; en consecuencia su contenido puede ser pobre; con esto queremos hacer resaltar el hecho de que, el Informe debe comunicar información útil para promover la toma de decisiones. Lamentablemente esto no se logrará si el informe revela pobreza de expresión y no se aportan comentarios constructivos. Redacción del Informe La Redacción se efectuará en forma corriente a fin de que su contenido sea comprensible al lector, evitando en lo posible el uso de terminología muy especializada; evitando párrafos largos y complicados, así como expresiones grandilocuentes y confusas.
Claridad y simplicidad. La Claridad y Simplicidad, significan introducir sin mayor dificultad en la mente del lector del informe, lo que el Auditor ha escrito o pensó escribir. A veces lo que ocasiona la deficiencia de claridad y simplicidad del informe es precisamente la falta de claridad en los conceptos que el Auditor tiene en mente, es decir, no hay una cabal comprensión de lo que realmente quiere comunicar, asimismo cuando el Informe está falto de claridad, puede dar lugar a una doble interpretación, ocasionando de este modo que, se torne inútil y pierda su utilidad. En consecuencia, para que el informe logre su objetivo de informar o comunicar al cliente, el Auditor: . Evitará el uso de un lenguaje técnico, florido o vago. . Evitará ser muy breve. . Evitará incluir mucho detalle. . Utilizará palabras simples, familiares al lector, es decir, escribirá en el idioma que el lector entiende.
6.4 Formato para el informe. El formato para informes finales está enfocado a apoyar y facilitar el proceso de evaluación de los resultados de los proyectos financiados por la sede Bogotá, con respecto a los compromisos adquiridos en el proyecto aprobado. Además de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtención de los resultados esperados y de las actividades de investigación científica. • Los informes finales técnico y financiero, deben ser entregados a la Dirección de Investigación de la sede, al finalizar el periodo de ejecución del proyecto. • El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad, Centro o Instituto. • El informe debe contener un índice. Cada página del informe debe estar numerada. • Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. • El informe técnico final deberá presentarse en versión impresa y magnética (CDo disquete). I. CONTENI DO TÉCNICO
DEL
INFORME
1. Título y código del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe
10
Practica offimatica
4. Sinopsis divulgativa: Con el propósito de promover la divulgación de las actividades investigativas que adelanta la Sede Bogotá y para dar mayor difusión a los proyectos, deben incluir un resumen de una cuartilla que servirá de base para la elaboración de notas académicas dirigidas a los medios de comunicación de la Universidad. 5. Resumen técnico de los resultados obtenidos durante la realización del proyecto y de las principales conclusiones (máximo cinco páginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realización del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formación de recurso humano, capacitación, organización y/o participación en eventos científicos, etc., estos deben numerarse y adjuntarse como anexos del informe (ver cuadro No. 1). 7. Descripción del impacto actual o potencial de los resultados: En términos de generación de nuevo conocimiento a nivel mundial, de aporte para el desarrollo del país, de contribución a la solución de problemas específicos, de fortalecimiento de la capacidad científica, y de fortalecimiento de la investigación y creación en la SedeBogotá (máximo dos páginas). 8. Conclusiones .
11
Practica offimatica
Tema 5. Referencias de apoyo para el curso • • • • • •
• •
Acha
Iturmendi, Juan Joset. (2006) Auditoría Informática en la Empresa. Madrid España. Paraninfo S.A. Derrien, Yaun. (2005) Técnicas de la Auditoría Informática. Madrid. España. Alfaomega Hernández, Hernández Enrique. (2007) Auditoría en Informática: Un enfoque Metodológico. D.F. México. CECSA. López Barrientos, Jaquelina. (2006) Fundamentos de Seguridad Informática. D.F. México. Facultad de Ingeniería. UNAM. Piattini, Mario Gerardo. (2001) Auditoría Informática: Un enfoque práctico 2 EDI. Madrid. España. Ra-Ma Romo Olguín, Heriberto. (2005) Dirección, Organización y Administración de Centros de Tecnología de Información. D.F. México. Facultad de Ingeniería. UNAM. Thomas y Douglas. (2005) Auditoría Informática. Madrid España. Paraninfo S.A. ITESM Vicerrectoría Académica. 2 de abril de 2008 Las técnicas didácticas Consultado 31 de Marzo de 2009. http://www.ulavirtual.cl/ulavirtual/SITIO %20WEB %20CRA/recursos_ensenanza/estrategiasytecn icasdidacticas/estudio_de_casos_como_tecnica didactica.pdf
12
Practica offimatica
o
TEMA 6. ANEXOS Anexo 1
•
Metodología para la realización de auditorías informáticas Para la realización específica de auditorías en informática se propone también se propone una metodología específica, misma que se menciona a continuación:
• o o o o o o o
Fase 1: Conocimiento general del área de sistemas Organigrama Estructura del área o departamento Relaciones funcionales y jerárquicas Recursos (equipos con los que se cuenta) Aplicaciones en desarrollo Aplicaciones en producción Sistemasde explotación
• o
Fase2: Planificación Concentración
de
objetivos
o
o
o o
o • • •
Tareas Calendario Resultados parciales
•
Presupuesto
Fase4: Fasede diagnóstico 2.- Definición de objetivos y alcances de auditoría claros y bien delimitados Definición de los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejora 3.- Realización de Gráfica de GANTT para planeación de actividades y tiemp
Fase5: Presentación de conclusiones 4.- Preparación del formato de oficio de presentación. Integración de soporte documental 5.- Preparación del cuestionario de control interno y demásmaterial de apoyo Formulación de cédulas de observaciones y papeles de trabajo 6.- Conocimiento previo de los manuales de procedimientos, manuales de o Informe final recuperación, lineamientos, políticas, normas, reglamentos, procedimientos, e
• mejoras
o o o o
Definición de objetivos y Personas de la organización que se involucrarán en el proceso de auditoría Plan de trabajo
de Información. de Tecnologías los Actividades: 1.- Conocimiento general de la Dirección General de Tecnologías de Informac tamaño, condiciones de trabajo, software, hardware, estructura, etc.
• o
alcances
o
Observación procedimientos
7.- Preparación de pruebas de cumplimiento, para la realización de pruebas ge Fase 6: Formación del plan de de la revisión. alcance
del material de apoyo, formato de cédulas de marcas, guía Resumen de 8.- Preparación las formato de papeles de trabajo, cédulas de observaciones, etc. deficiencias encontradas 9.- Aplicación del oficio de presentación. Recogerá las recomendaciones encaminadas a paliar las deficiencias detectadas 10.- Plática con el equipo, para determinar el desarrollo de la auditoría y activi Medidas a corto plazo: mejoras en plazo, calidad, planificación o 11.- Levantamiento de la información. Aplicación de técnicas de auditorí formación diseñado para la obtención de información. Medidas a medio plazo: 12.-de Análisis de la información.- Detección de debilidades de control, identific mayor necesidad de recursos, optimización análisis programas o documentación y aspectos de de la información recabada. Así como determinación de causase impa diseño
o o
13.- Integración de Papeles de trabajo.- Apoyados en las pruebas necesarias, c cualquier tipo de constancia de hechos. Medidas a largo oplazo: cambios en políticas, medios y estructuras 14.-del Confirmación de observaciones.- Verificar que las observaciones están fu servicio evidencia suficiente para presentar las observaciones levantadas. Seguimiento de 15.- Identificación de niveles de riesgo.- Por medio del análisis de la informac cumplimiento de recomendaciones se le asocia un nivel de riesgo; inminente, potencial o controlable.
16.- la Consolidación de niveles de riesgo.- Agrupación de observaciones com Guía de auditoría (Ejemplo tomado para debilidades y sugerencias de forma general. propuesta de implantación de un área de auditoría en informática en un órgano 17.- Elaboración del informe final. legislativo-Olea.org)
Actividades finales de papeles de trabajo. Existirán tantas guías de auditoría 18.como Fase3: Desarrollo de la auditoría procedimientos se realicen, sin embargo, a Entrevistas manera de ejemplo, se presenta la siguiente Cuestionarios guía como propuesta de las subsecuentes: Referencia Bibliográfica: Observación de las http://olea.org/~yuri/propuestasituaciones deficientes implantacion-auditoria-informatica-organoAspectos a revisar legislativo/ch05.html recuperado el Verificar que la seguridad física y lógica en la red de la H. Cámara de Diputados que maneja la Dirección General de 3/Julio/2011
• o o o
13
Practica offimatica