Auditoria de Sistemas TI

Universidad Tecnologica de Netzahualcoyotl

AUDITORIA DE SISTEMAS EN TI

Auditoria de Sistemas TI 2010 Contenido 1.1 Auditoria de la Función Informática..........................................................................................................................4 1.1.1 Definir conceptos de Auditoria y Auditoria Informática .....................................................................................4 1.1.2 Describir la estructura organizacional y funciones de la auditoria Informática .................................................4 1.1.3 Reconocer las TI y sus características .............................................................................................................4 1.2 Políticas de la Organización (Reglas de la Organización) .......................................................................................5 1.2.1 Describir el concepto de Política ......................................................................................................................5 1.2.2 Describir la importancia del manual de Políticas de la Organización ...............................................................5 1.3 Interpretación del Manual de Procedimientos de la organización ............................................................................6 1.3.1 Reconocer los conceptos de procesos, roles y funciones ................................................................................6 1.3.2 Definir el concepto de manual ..........................................................................................................................6 1.3.3 Describir los tipos de manuales de la organización y sus apartados................................................................6 1.4 Recursos Humanos..................................................................................................................................................7 1.4.1 Definir el concepto de Capital Humano ............................................................................................................7 1.4.2 Describir la Gestión de Recursos Humanos .....................................................................................................8 1.5 Diagnostico de la Situación Actual .........................................................................................................................10 1.5.1 Describir los pasos para realizar un diagnostico de la situación actual de una organización .........................10 1.5.2 Explicar el diagnostico del negocio u organización ........................................................................................11 1.5.3 Áreas de Oportunidad de TI dentro de la Organización .................................................................................12 1.6 Control Interno .......................................................................................................................................................13 1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control.....................................................13 1.6.2 Describir la metodología para el establecimiento de Controles ......................................................................16 2.1 Planeación de la auditoria Informática ...................................................................................................................17 2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI.........................................................17 2.1.2 Identificar las fases de la auditoria Informática ...............................................................................................17 2.1.3 Definir los elementos de la planeación de la auditoria Informática .................................................................17 2.1.4 Definir el concepto de la lista de Verificación .................................................................................................17 2.2 Evaluación de la Seguridad ...................................................................................................................................18 2.2.1 Identificar los modelos de Seguridad ..............................................................................................................19 2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad ..................................................19 2.2.3 Definir la auditoria de seguridad física lógica de los datos .............................................................................20 2.3 Selección de proveedores......................................................................................................................................21 2.3.1 Reconocer las características que debe tener un proveedor .........................................................................21 2.3.2 Reconocer los procedimientos vigentes o existentes para la selección de proveedores ...............................22 2.4 Licenciamiento del Software ..................................................................................................................................23 2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de uso .....................................23 2.5 Evaluación de Hardware y Software ......................................................................................................................24 2.5.1 Describir las características del Hardware y software apropiado para tareas específicas .............................25 2.6 Evaluación de sistemas .........................................................................................................................................25 2.6.1 Describir los pasos para evaluar los sistemas de información de acuerdo al ciclo de vida ............................26 2.6.2 Explicar los elementos de la evaluación de análisis de sistemas ...................................................................26 2.6.3 Explicar los elementos de la evaluación del diseño lógico ............................................................................26 2.6.4 Explicar los elementos de la evaluación del desarrollo del sistema ...............................................................27 2.7 Evaluación de la red...............................................................................................................................................27 2.7.1 Reconocer los elementos que debe contener una red local con base en el estándar ANSI/TIA 569 A y B ...27 2.7.2 Reconocer los elementos que debe contener una red inalámbrica con base en el estándar ANSI EIA/TIA 802.11x ....................................................................................................................................................................29 2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI EIA/TIA 569)..............................29 2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP ............................................................................................30 2.7.5 Describir la vulnerabilidad de las redes ..........................................................................................................32

2

Auditoria de Sistemas TI 2010 2.7.6 Explicar la auditoria de la red física y lógica ...................................................................................................33 3.1 Conceptos Básicos ................................................................................................................................................35 3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación.................35 3.2 Interpretación de los resultados de la Auditoria Informática ..................................................................................36 3.2.1 Identificar los tipos de opiniones.....................................................................................................................36 3.2.2 Describir los componentes, características y tendencias de un informe ........................................................37 3.3 Identificar los tipos de conclusiones de la Auditoria Informática ............................................................................37 3.3.1 Identificar los tipos de de conclusiones ..........................................................................................................37 3.4 Áreas de oportunidad e las ITIL ............................................................................................................................38 3.4.1 Reconocer el concepto de FODA y sus componentes ...................................................................................38 3.4.2 Definir el concepto de ITIL ..............................................................................................................................39 3.4.3 Describir los lineamientos y/o estándares que ayudan en el control, operación, administración de recursos y servicios informáticos ..............................................................................................................................................39

3

Auditoria de Sistemas TI 2010 1.1 Auditoria de la Función Informática 1.1.1 Definir conceptos de Auditoria y Auditoria Informática Auditoria: Es la revisión y examen de una función, cifra, proceso o reporte, efectuados por personal independiente a la operación, para apoyar la función ejecutiva. La Auditoria de tecnologías de información (T.I.), como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de los últimos 10 años. En algunos países altamente desarrollados es catalogada como una actividad de apoyo vital para el mantenimiento de la infraestructura crítica de una nación, tanto en el sector público como privado, en la medida en que la información es considerada un activo tan o más importante que cualquier otro en una organización. Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas prácticas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la información tratada y almacenada a través del computador y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha INFORMACION y todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de auditoría de general aceptación y conocimiento técnico específico.

1.1.2 Describir la estructura organizacional y funciones de la auditoria Informática Especialidad profesional apoyada por un conjunto de conocimientos profundos acerca de la tecnología informática, de técnicas y procedimientos de auditoría y de conocimientos contables suficientes, para evaluar la calidad, fiabilidad y seguridad de un entorno informático dado, así como brindar seguridad razonable acerca de la utilidad de la información almacenada y procesada en ellos, con el fin de emitir un juicio al respecto. Complementariamente, su trabajo, deberá permitir la emisión de un juicio u opinión acerca de lo adecuado del control interno informático. Finalmente, deberá expresar su opinión acerca de el grado de eficiencia, eficacia y economía con que están siendo usados - administrados todos los recursos de tecnología informática a cargo de la administración, incluido el factor humano. Rol de la auditoria/auditor de T.I. en la empresa El auditor de sistemas debe jugar un rol proactivo a través de todas las etapas del proceso de sistematización del negocio. Adicionalmente debe apoyar a la Auditoria Financiera en su proceso de obtención de evidencia y validación de procedimientos de control a través del uso de C.A.A.T. (computer audit assisted technologies) y del computador

1.1.3 Reconocer las TI y sus características Las TIC conforman el conjunto de recursos necesarios para manipular la información y particularmente los ordenadores, programas informáticos y redes necesarias para convertirla, almacenarla, administrarla, transmitirla y encontrarla. Se puede reagrupar las TIC según: Las redes.

4

Auditoria de Sistemas TI 2010 Los terminales. Los servicios. Ejemplos de tic Las redes Telefonía fija Banda ancha Telefonía móvil Redes de televisión Redes en el hogar Los terminales Ordenador personal Navegador de Internet Sistemas operativos para ordenadores Teléfono móvil Televisor Reproductores portátiles de audio y vídeo Consolas de juego

1.2 Políticas de la Organización (Reglas de la Organización) 1.2.1 Describir el concepto de Política La política, Es la actividad humana que tiende a gobernar o dirigir la acción del Estado en beneficio de la sociedad. Es el proceso orientado ideológicamente hacia la toma de decisiones para la consecución de los objetivos de un grupo. La ciencia política es una ciencia social que estudia dicha conducta de una forma académica utilizando técnicas de análisis político; los profesionales en esta ciencia adquieren el título de politólogos, mientras quienes desempeñan actividades profesionales a cargo del Estado o se presentan a elecciones se denominan políticos

1.2.2 Describir la importancia del manual de Políticas de la Organización Los Manuales representan una guía práctica que se utiliza como herramienta de soporte para la organización y comunicación, que contiene información ordenada y sistemática, en la cual se establecen claramente los objetivos, normas, políticas y procedimientos de la empresa, lo que hace que sean de mucha utilidad para lograr una eficiente administración. Son considerados uno de los elementos más eficaces para la toma de decisiones en la administración, ya que facilitan el aprendizaje y proporcionan la orientación precisa que requiere la acción humana en cada una de las unidades administrativas que conforman a la empresa, fundamentalmente a nivel operativo o de ejecución, pues son una fuente de información que trata de orientar y mejorar los esfuerzos de sus integrantes para lograr la adecuada realización de las actividades que se le han encomendado.

5

Auditoria de Sistemas TI 2010 1.3 Interpretación del Manual de Procedimientos de la organización 1.3.1 Reconocer los conceptos de procesos, roles y funciones Son los documentos en los que se integra toda la información operativa y administrativa de las unidades, con la finalidad de lograr la estandarización de operaciones, procesos, procedimientos, imagen y servicio. Manual de procedimientos Un manual de procedimientos es el documento que contiene la descripción de actividades que deben seguirse en la realización de las funciones de una unidad administrativa, o de dos ò más de ellas. Incluye: Puestos o unidades Administrativas Información y formatos de formularios Autorizaciones o documentos necesarios Funciones: Permite conocer el funcionamiento interno por lo que respecta a descripción de tareas, ubicación, requerimientos y a los puestos responsables de su ejecución. Auxilian en la inducción del puesto y al adiestramiento y capacitación del personal Sirve para el análisis o revisión de los procedimientos de un sistema Interviene en la consulta de todo el personal Sirve Para establecer un sistema de información o bien modificar el ya existente. Para uniformar y controlar el cumplimiento de las rutinas de trabajo y evitar su alteración arbitraria. Determina en forma más sencilla las responsabilidades por fallas o errores. Facilita las labores de auditoría, evaluación del control interno y su evaluación. Aumenta la eficiencia de los empleados, indicándoles lo que deben hacer y cómo deben hacerlo. Ayuda a la coordinación de actividades y evitar duplicidades. Construye una base para el análisis posterior del trabajo y el mejoramiento de los sistemas, procedimientos y métodos

1.3.2 Definir el concepto de manual Instrumento administrativo que contiene en forma explícita, ordenada y sistemática información sobre objetivos, políticas, procedimientos etc.

1.3.3 Describir los tipos de manuales de la organización y sus apartados Tipos de Manuales: Manual de Organización Describe la Organización Formal de la Empresa consignando: Misiones: enunciación sintética del objetivo que persigue el área de la Organización.

6

Auditoria de Sistemas TI 2010 Funciones Básicas de la Autoridad: Quienes dependen de él y él de quien depende Responsabilidad Características y Especificaciones de la Posición. Manual de Procedimientos. Describe en detalle las operaciones que integran los procedimientos administrativos en orden secuencial de su ejecución y las normas a cumplir por los miembros de la organización compatibles con dichos procedimientos. La estructura de un Manual de Procedimientos debe contemplar: Carátula de Presentación: indicando Tema, Nº de Procedimiento, Vigencia, Áreas afectadas y Analista Actuante. Objetivos y Alcance Instrucciones acerca de codificaciones utilizadas o de la forma de actualización. Manual del Puesto de Trabajo. Describe en forma pormenorizada la intervención que le corresponde a la posición en cada uno de los procedimientos en los que le toca intervenir. El Cómo, el Porqué y el Para Qué. Su contenido debe responder a la siguiente estructura: Objetivos. Funciones del Sector. Descripción de Procedimientos. Tareas a realizar. Instrucciones. Responsabilidad

1.4 Recursos Humanos 1.4.1 Definir el concepto de Capital Humano Se denomina recursos humanos al trabajo que aporta el conjunto de los empleados o colaboradores de una organización. Pero lo más frecuente es llamar así a la función que se ocupa de seleccionar, contratar, formar, emplear y retener a los colaboradores de la organización. Estas tareas las puede desempeñar una persona o departamento en concreto (los profesionales en Recursos Humanos) junto a los directivos de la organización. El capital humano es un término usado en ciertas teorías económicas del crecimiento para designar a un hipotético factor de producción dependiente no sólo de la cantidad, sino también de la calidad del grado de formación y productividad de las personas involucradas en un proceso productivo. A partir de ese uso inicialmente técnico, se ha extendido para designar el conjunto de recursos humanos que posee una empresa o institución económica. Igualmente se habla de modo informal de mejora en el capital humano cuando aumenta el grado de destreza, experiencia o formación de las personas de dicha institución económica. En las instituciones educativas se designa al "conjunto de conocimientos, habilidades, destrezas y talentos que posee una persona y la hacen apta para desarrollar actividades específicas"

7

Auditoria de Sistemas TI 2010 Capital: cantidad de dinero o valor que produce interés o utilidad. Elemento o factor de la producción formado por la riqueza acumulada que en cualquier aspecto se destina de nuevo a aquella unión del trabajo y de los agentes naturales. Humano: relativo al hombre o propio de él. Gestión: efectuar acciones para el logro de objetivos. Competencia: aptitud; cualidad que hace que la persona sea apta para un fin. Suficiencia o idoneidad para obtener y ejercer un empleo. Idóneo, capaz, hábil o propósito para una cosa. Capacidad y disposición para el buen de desempeño. Estos términos por separado no nos dan mucha claridad o luz de su utilización en la administración del RRHH, sin embargo veamos las interacciones que se suceden entre ellos.

Capital Humano: Es el aumento en la capacidad de la producción del trabajo alcanzada con mejoras en las capacidades de trabajadores. Estas capacidades realzadas se adquieren con el entrenamiento, la educación y la experiencia. Se refiere al conocimiento práctico, las habilidades adquiridas y las capacidades aprendidas de un individuo que lo hacen potencialmente. En sentido figurado se refiere al término capital en su conexión con lo que quizá sería mejor llamada la "calidad del trabajo" es algo confuso. En sentido más estricto del término, el capital humano no es realmente capital del todo. El término fue acuñado para hacer una analogía ilustrativa útil entre la inversión de recursos para aumentar el stock del capital físico ordinario (herramientas, máquinas, edificios, etc.) para aumentar la productividad del trabajo y de la "inversión" en la educación o el entrenamiento de la mano de obra como medios alternativos de lograr el mismo objetivo general de incrementar la productividad. La empresa es una entidad económica donde se combinan dinámicamente factores que son necesarios para el proceso de producción, entre estos factores esenciales está el capital, el capital humano, el trabajo y la dirección empresarial.

1.4.2 Describir la Gestión de Recursos Humanos La gestión de los recursos humanos se encarga de obtener y coordinar a las personas de una organización, de forma que consigan las metas establecidas. Para ello es muy importante cuidar las relaciones humanas. Las fases por las que ha pasado la gestión de los RRHH son cuatro: 1. Administrativa: Es puramente burocrático y actúa sobre la disciplina y las remuneraciones. Las medidas a adoptar son de tipo reactivo. 2. Gestión: Se empieza a considerar las necesidades de tipo social y sociológico de las personas. Las medidas a adoptar son de tipo pro activo. 3. Desarrollo: Se busca la conciliación entre las necesidades de los trabajadores y las necesidades económicas de la empresa. Se considera que las personas son elementos importantes para la empresa y se busca su motivación y eficiencia.

8

Auditoria de Sistemas TI 2010 4. Gestión estratégica de los RRHH: La gestión de los RRHH esta ligada a la estrategia de la empresa. Los trabajadores son la fuente principal de la ventaja competitiva de la empresa. Esta evolución ha sido protagonizada por: Objetivos de la gestión de recursos humanos Atraer a los candidatos al puesto de trabajo que estén potencialmente cualificados Retener a los mejores empleados Motivar a los empleados Ayudar a los empleados a crecer y desarrollarse en la organización Aumento de la productividad Mejorar la calidad de vida en el trabajo Cumplimiento de la normativa y legislación. A continuación se sintetizan algunas de las funciones más importantes de la Gestión de los Recursos Humanos: El proceso de selección 1º el formulario de solicitud: la preselección. En este punto vamos a analizar los distintos currículos o formularios de solicitud que hayamos recoger viendo el grado de adecuado de los candidatos al perfil deseado. Para ello clasificaremos los datos en excluyentes, valorables o ponderables e indicativos. 2º pruebas de selección Son unas operaciones por medio de las cuales se juzgan las cualidades y el valor de cada candidato en relación con el puesto que se quiere cubrir. Estas pruebas tienen un carácter prospectivo en el sentido en que tratan de predecir el comportamiento futuro de una persona interpretando y extrapolando los resultados de las pruebas. Tenemos pruebas profesionales, en las que se simulan las condiciones reales de trabajo; pruebas psicotécnicas, otras pruebas son juegos de empresas, ejercicios dinámicos de grupo, grafología, etc. La entrevista de selección En primer lugar hay que determinar la preparación del entrevistador y seleccionarlo. Hay que programarse la entrevista, y decidir los objetivos perseguidos con la misma. Hay que crear un ambiente apropiado, y citar a los candidatos, generalmente por teléfono, y hacer que no coincida en la sala de espera. Conocimiento del puesto a cubrir y del perfil ideal. Hay que reconocer a cada candidato -La gestión del desempeño está estrechamente vinculada a la evaluación de las competencias, del potencial y a los resultados obtenidos, lo que permite tener un estimado de cómo se está desarrollando el trabajo a la vez que constituye un ente motivador del mismo y de su desempeño respecto a las nuevas exigencias, que logre elevar la motivación con nuevas formas de estimulación y contribuya a hacer coincidir las necesidades de los individuos que trabajan en la organización con la misión y los objetivos de esta, dando respuesta en cuanto a eficiencia, eficacia y efectividad.

9

Auditoria de Sistemas TI 2010 La remuneración parte de la valoración de los puestos de trabajo y se basa en los resultados obtenidos de forma individual y colectiva, por lo que tenderá a ser un componente variable favoreciendo la eficacia que debe primar en las organizaciones. Las promociones se apoyan cada vez más en la competencia de los individuos, por lo que el concepto de evaluación del desempeño, de evaluación del potencial y el desarrollo de carrera prevén la evolución futura de los recursos humanos dentro de la organización. Evaluación del desempeño Toda evaluación es un proceso para estimular o juzgar el valor, la excelencia las cualidades de alguna persona. Los objetivos fundamentales de la evaluación del desempeño son: Permitir condiciones de medición del potencial humano en el sentido de determinar su plena aplicación. Permitir el tratamiento de los recursos humanos como un recurso básico de la empresa y cuya productividad puede desarrollarse indefinidamente, dependiendo la forma de administración. Dar oportunidades de crecimiento y condiciones de efectiva participación a todos los miembros de la organización, teniendo en cuenta, por una parte, los objetivos empresariales y, por la otra, los objetivos individuales. Estos sistemas efectivos de evaluación del desempeño pueden aplicarse a través de: Técnicas orientadas a la tarea Técnicas orientadas a las personas Sistemas de retroalimentación Sistemas de mejora del rendimiento

1.5 Diagnostico de la Situación Actual El diagnostico de la situación actual busca analizar tanto el entorno como la empresa en si. El análisis del entorno tiene que ver con la totalidad de los sistemas que rodean a la empresa y que interactúan con ella. Interesa identificar le conjunto de elementos y actores formales e informales que afectan o pudieran afectar sus operaciones y decisiones actuales o futuras. Se supone, por lo general que la empresa tiene poca o ninguna posibilidad de dominio sobre el entorno donde se encuentra y actual.

1.5.1 Describir los pasos para realizar un diagnostico de la situación actual de una organización Los programas de cambio organizacional planeado, parten del reconocimiento previo de que el comportamiento humano presenta una complejidad en su estudio derivada de su carácter multidimensional, de tal forma que se reconoce de antemano, la influencia de factores sociales e individuales que determinan el comportamiento individual y grupal. Por ello, es necesario precisar que para alcanzar la objetividad y garantizar mejores resultados en las intervenciones de agentes de cambio en organizaciones formales, se requiere la adopción de un enfoque multidisciplinario que retome las aportaciones de diferentes ciencias sociales que comparten como objeto de estudio el comportamiento humano en general y organizacional en particular.

10

Auditoria de Sistemas TI 2010 Revitalizar una organización implica intensificar las acciones de capacitación e incrementar la contribución de los directivos, trabajadores y la organización como un todo, de manera que puedan hacer frente a las exigencias de un entorno social cada vez más competitivo. La revitalización implica partir de un diagnóstico adecuado e integral de la organización como fase previa a la implementación de cambios planeados. La planeación de todo cambio organizacional debe incluir como una de sus primeras acciones la realización de un diagnóstico organizacional, que sirva como punto de partida y referencia para una retroalimentación posterior. Esta nueva filosofía de la organización ha venido a reducir la confianza exclusiva en la autoridad de la dirección, en las reglas rígidas y en las divisiones de trabajo estrictas y cerradas. Resaltan en cambio, como verdaderas necesidades de cambio las siguientes: a. Involucrar a los miembros de la organización en el proceso de toma de decisiones en base a un modelo horizontal b. Integración de equipos de trabajo en las diferentes áreas de la organización c. Crear, fortalecer y mantener diversos canales de comunicación organizacional, a través de los cuales fluya la información referente al rendimiento y el entorno competitivo que rodea a la organización. d. Desarrollo de una identidad organizacional que aumente los niveles de compromiso y responsabilidad a lo largo de toda la estructura ocupacional de la organización e. Fortalecimiento del proceso de socialización organizacional con el objeto de mejorar el contrato psicológico entre el individuo y su organización

1.5.2 Explicar el diagnostico del negocio u organización Diagnóstico organizacional es una actividad vivencial que involucra a un grupo de personas de una empresa o institución interesadas en plantear soluciones a situaciones problemáticas o conflictivas, sometiéndose a un auto-análisis que debe conducir a un plan de acción concreto que permita solucionar la situación problemática. La base del diagnóstico organizacional es que, al igual que las personas, las empresas o instituciones deben someterse a exámenes periódicos, para identificar posibles problemas antes de que estos se tornen graves. Estos exámenes periódicos constituyen un sistema de control que permite optimizar el funcionamiento de las empresas e instituciones, al identificar problemas en el funcionamiento de éstas, surgen acciones dirigidas a su eliminación o disminución, que en conjunto constituyen una parte importante de la planeación operativa. Se debe notar que en un diagnóstico se está evaluando el comportamiento de un sistema contra un modelo normativo, aunque es posible que este modelo nunca sea definido en forma explícita. De la misma manera que el médico examina a un paciente y lo compara mentalmente con el funcionamiento de una persona sana, el analista tiene un modelo mental de lo que debería ser su organización funcionando correctamente. Esta analogía es muy clara, ya que el paciente (organización) proporciona una serie de síntomas (funciones corporales alteradas) al médico (analista de sistemas), el cual puede identificar la enfermedad del paciente y proponer una terapia. En la figura N° 1 Se muestra un diagrama que ejemplifica la situación anteriormente mencionada. De aquí se puede ver que existen tres factores importantes a tomar en cuenta cuando se realiza un diagnóstico organizacional. Estos factores son muy importantes tanto para determinar la problemática, como para dar soluciones a la misma y son:

11

Auditoria de Sistemas TI 2010 La situación de la empresa dentro del contexto de su rama industrial. La posición de la empresa en el ciclo de vida de las organizaciones. El sistema social que prevalece dentro de la empresa. Además desde un punto global, un diagnóstico, aunque no necesariamente un Diagnóstico Organizacional, es el obligado punto de partida de un proceso de planeación, en donde es necesario saber dónde se está antes de decidir a dónde se quiere ir, y como se llegará a ese punto. La figura N° 2 que se muestra a continuación describe el proceso de planeación. Asignar recursos

Realizació

Planes detallados

Plan

Diagnóstico

Asignación de responsabilidades y funciones

Incentivo s Monitoreo y control

1.5.3 Áreas de Oportunidad de TI dentro de la Organización El objetivo del diagnóstico organizacional es someter a la organización a un auto-análisis que le permita identificar síntomas presentes en la organización, y a través de ellos, encontrar los problemas que podríamos llamar ―de fondo‖, y que deben ser resueltos para preservar la salud organizacional. Como en todo sistema participativo, el proceso es tan importante como el resultado, ya que el espíritu de grupo generado y el conocimiento de las opiniones y problemas de otros componentes de la organización son beneficios casi tan importantes como el de identificar y resolver el problema. El procedimiento general del Diagnóstico Organizacional consta de los siguientes pasos: Selección del grupo de trabajo Entrenamiento del grupo de trabajo Generación de síntomas individuales Generación de la lista colectiva Proceso de síntesis y generación de problemas Clasificación de problemas Planteamiento de soluciones Generación de un plan de trabajo

12

Auditoria de Sistemas TI 2010 1.6 Control Interno El control interno es de importancia para la estructura administrativa contable de una empresa. Esto asegura que tanto son confiables sus estados contables, frente a los fraudes y eficiencia y eficacia operativa.

1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control El sistema de control interno comprende el plan de la organización y todos los métodos coordinados y medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y verificara la confiabilidad de los datos contables. Pero cuando tenemos empresas que tienen más de un dueño, muchos empleados, y muchas tareas delegadas. Por lo tanto los dueños pierden control y es necesario un mecanismo de control interno. Este sistema deberá ser sofisticado y complejo según se requiera en función de la complejidad de la organización. Con la organización de tipo multinacional, los directivos imparten órdenes hacia sus filiales en distintos países, pero el cumplimiento de las mismas no puede ser controlado con su participación frecuente. Pero si así fuese su presencia no asegura que se eviten los fraudes. Entonces cuanto más se alejan los propietarios de las operaciones mas es necesario se hace la existencia de un sistema de control interno estructurado. Limitaciones de un sistema de control interno Ningún sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de acuerdo a esto, el control interno brinda una seguridad razonable en función de: Costo beneficio: El control no puede superar el valor de lo que se quiere controlar. La mayoría de los controles hacia transacciones o tareas ordinarias. Debe establecerse bajo las operaciones repetitivas y en cuanto a las extraordinarias, existe la posibilidad que el sistema no sepa responder •El factor de error humano Posibilidad de conclusiones que pueda evadir los controles. Polución de fraude por acuerdo entre dos o más personas. No hay sistema de control no Vulnerable a estas circunstancias. Control interno administrativo y control interno contable Dos tipos de controles internos (administrativos y contables) El control interno administrativo no está limitado al plan de la organización y procedimientos que se relaciona con el proceso de decisión que lleva a la autorización de intercambios

13

Auditoria de Sistemas TI 2010 Entonces el control interno administrativo se relaciona con la eficiencia en las operaciones establecidas por el ente. El control interno contable comprende el plan de la organización y los registros que conciernen a la salvaguarda de los activos y a la confiabilidad de los registros contables. Estos tipos de controles brindan seguridad razonable: 1. Los intercambios son ejecutados de acuerdo con autorizaciones generales o especificas de la gerencia 2. Se registran los cambios para: * mantener un control adecuado y * permitir la preparación de los ee.cc. 3. Se salvaguardan los activos solo accesandolos con autorización 4. Los activos registrados son comparados con las existencias. Clasificación de los controles internos Generales: No tienen un impacto sobre la calidad de las aseveraciones en los estados contables , dado que no se relacionan con la información Contable. Específicos: Se relacionan con la información Contable y por lo tanto con las aseveraciones de los saldos de los estados contables. Este tipo de controles están desde el origen de la información hasta los saldos finales. Tipos de controles generales Conciencia de control La gerencia es responsable del establecimiento de una conciencia favorable de control interno de la organización. Es importante que la gerencia no viole los controles establecidos porque el sistema es ineficaz. La Gerencia se podría motivar a violarlos por las siguientes causas: Cuando el ente está experimentando numerosos fracasos. Cuando le falte capacidad de capital de trabajo o crédito. Cuando la remuneración de los administradores este ligada al resultado. Cuando el ente se va a vender en base a sus ee.cc. Cuando se obtienen beneficios en exponer resultados más bajos. Cuando la gerencia se encuentra bajo presión en cumplir sus objetivos. Estructura organizacional Establecida una adecuada estructura en cuanto al establecimiento de divisiones y departamentos funcionales y así como la asignación de responsabilidades y políticas de delegación de autoridad. Esto incluye la existencia de un departamento de control interno que dependa del máximo nivel de la empresa. Personal

14

Auditoria de Sistemas TI 2010 Calidad e integridad del personal que esta encargado de ejecutar los métodos y procedimientos prescriptos por la gerencia para el logro de los objetivos. Protección de los activos y registros Políticas adoptadas para prevenir la destrucción o acceso no autorizado a los activos, a los medios de procesamiento de los datos electrónicos y a los datos generados. Además incluye medidas por el cual el sistema contable debe estar protegido ante la eventualidad de desastres ( incendio , inundación, etc. ) Separación de funciones La segregación de funciones incompatibles reduce el riesgo de que una persona este en condiciones tanto de cometer o ocultar errores o fraudes en el transcurso normal de su trabajo. Lo que se debe evaluar para evitar la colusión de fraudes son: autorización, ejecución , registro, custodia de los bienes, realización de conciliaciones. Control circundante en el procesamiento electrónico de datos El funcionamiento de los controles generales dependía la eficacia del funcionamiento de los controles específicos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado. Los controles generales en el procesamiento electrónico de datos ( PED ) tiene que ver con los siguientes aspectos. Organización El personal de PED (sistemas) no realice las siguientes tareas: iniciar y autorizar intercambios que no sean para suministros y servicios propios del departamento. Registro de los intercambios Custodia de activos que no sean los del propio departamento Corrección de errores que no provengan de los originados por el propio dpto. En cuanto a la organización dentro del mismo departamento, las siguientes funciones deben estar segregadas: Programación del sistema operativo Análisis, programación y mantenimiento Operación Ingreso de datos Control de datos de entrada / salida Archivos de programas y datos. Desarrollo y mantenimiento de sistemas Las técnicas de mantenimiento y programación operativos del sistema deben estar normalizadas y documentadas. Operación y procedimientos Deben existir controles que aseguren el procesamiento exacto y oportuno de la información contable. Instrucciones por escrito sobre procedimiento para preparar datos para su ingreso y procesamiento

15

Auditoria de Sistemas TI 2010 La función de control debe ser efectuada por un grupo específico e independiente. Instrucciones por escrito sobre la operación de los equipos. Solamente operadores de computador deben procesar los SIST OP. Controles de equipos y programas del sistema Debe efectuarse un control de los equipos: Programación del mantenimiento preventivo y periódico Registro de fallas de equipos Los cambios del sist. Op. Y la programación. Controles de acceso El acceso al PED debe estar restringido en todo momento. También debe controlarse: El acceso los equipos debe estar restringido a aquellos autorizados El acceso de la documentación solo aquellos autorizados El acceso a los archivos de datos y programas solo limitados a operadores

1.6.2 Describir la metodología para el establecimiento de Controles Metodologías más comunes Entre las metodologías más comunes de evaluación de sistemas se encuentra: Control interno informático. Sus métodos y procesamientos. Las herramientas de control Función de Control; En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo. Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles según la clase de información, permitir a dos personas intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad informática, controla la calidad de software, los costos, los responsables de cada departamento, control de licencias, manejo de claves De cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad informática. Metodologías de clasificación de información y de obtención de procedimientos de control; Es establecer cuáles son las entidades de información a proteger, dependiendo del grado de importancia de la información para el establecimiento de contramedidas. Herramientas de control; Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control de impresión y envío de listados por

16

Auditoria de Sistemas TI 2010 red, control de proyectos y versiones , gestión de independencia y control de cambios. Y físicos los cifradores

2.1 Planeación de la auditoria Informática Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: Evaluación de los sistemas y procedimientos. Evaluación de los equipos de cómputo.

2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos que debe cumplir, tiempos , herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.

2.1.2 Identificar las fases de la auditoria Informática El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar. Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.

2.1.3 Definir los elementos de la planeación de la auditoria Informática

Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.

2.1.4 Definir el concepto de la lista de Verificación La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un período de tiempo determinado. En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos que ya sucedieron. A pesar de que la finalidad de la Lista de verificación es el registro de datos y no su análisis, frecuentemente indica cuál es el problema que muestra esa ocurrencia.

17

Auditoria de Sistemas TI 2010 La lista de verificación permite observar, entre otros, los siguientes aspectos: Número de veces que sucede una cosa. Tiempo necesario para que alguna cosa suceda. Costo de una determinada operación, a lo largo de un cierto período de tiempo. Impacto de una actividad a lo largo de un período de tiempo. Se usa para: Registrar informaciones sobre el desempeño de un proceso. ¿Cómo usarla? Determine exactamente lo que debe ser observado. Defina el período durante el cual los datos serán recolectados. Construya un formulario simple y de fácil manejo para anotar los datos. Haga la recolección de datos, registrando la frecuencia de cada ítem que está siendo observado. Sume la frecuencia de cada ítem y regístrela en la columna Total. Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.

2.2 Evaluación de la Seguridad Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y ejecutar la implantación de un Sistema de Seguridad.

18

Auditoria de Sistemas TI 2010 Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.

2.2.1 Identificar los modelos de Seguridad Definir elementos administrativos Definir Políticas de Seguridad: A nivel departamental, a nivel institucional Organizar y dividir las responsabilidades Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones, etc.) Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de evacuación, Uso de recursos de emergencia (extinguidores, etc.) Definir el tipo de Pólizas de Seguros Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema Codificar la información: Criptografía Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y símbolos ) que deben ser cambiadas periódicamente Vigilancia de Red: Tecnologías repelentes o protectoras (Cortafuegos (firewalls), sistema de detección de intrusos, etc.)

2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad

Anti-spyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones que más impacten en la Seguridad Definir las necesidades de Sistemas de Seguridad para hardware y software Flujo de energía Cableados locales y externos Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos Planificación de los papeles de los Auditores internos y externos Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas (Simulación) Planificación de Pruebas al Plan de Contingencia con carácter periódico Política de Destrucción de basura, copias, fotocopias, discos duros, etc. Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditoría Informática más importantes. Áreas Específicas

Áreas Generales

Explotación

Interna

Dirección

Usuario

Seguridad

Desarrollo Sistemas Comunicaciones

19

Auditoria de Sistemas TI 2010 Seguridad

2.2.3 Definir la auditoria de seguridad física lógica de los datos La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales. La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad. Existen tres tipos de seguridad: Seguridad lógica. Seguridad física. Seguridad de las comunicaciones. EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE: Realizar un análisis de riesgos de los sistemas críticos. Establecer un periodo crítico de recuperación. Realizar un análisis de las aplicaciones críticas estableciendo periodos de proceso. Establecer prioridades de proceso por días del año de las aplicaciones y orden de los procesos. Establecer objetivos de recuperación que determine el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas. Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos. Asegurar la capacidad de las comunicaciones. Asegurar los servicios de bookup. Técnicas: Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos. Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y contratos de seguros. Entrevistas con directivos y personal. Consultas a técnicos y peritos. Fases de la Auditoria: Alcance de la Auditoría Adquisición de Información General Administración y Planificación Plan de Auditoría Resultado de las Pruebas Conclusiones y Comentarios Borrador de Informe Discusión con los Responsables de Área Informe Final

20

Auditoria de Sistemas TI 2010 2.3 Selección de proveedores Una vez que se han buscado proveedores, se procede a la selección de los más adecuados; esto implica el estudio exhaustivo de los posibles proveedores y su eliminación sucesiva basándose en los criterios de selección que se hayan elegido, hasta reducir la cantidad a unos pocos proveedores. Con la información que se recabe en el proceso de selección se realiza el siguiente trabajo: Una ficha de cada proveedor para formar un fichero de proveedores en el que se reflejarán las características de los artículos que cada proveedor puede suministrar y las condiciones comerciales que ofrece.

Modelo de ficha de proveedores.

2.3.1 Reconocer las características que debe tener un proveedor La investigación de proveedores consiste en investigar y estudiar los posibles proveedores de los materiales requeridos. Esta investigación generalmente se hace mediante la verificación de los proveedores previamente registrados en el organismo de compras. El organismo de compras debe tener un fichero o banco de datos sobre los proveedores registrados, que contengan los abastecimientos que hayan efectuado y las condiciones en que se negocio, este fichero debe permitir una evaluación del mercado de proveedores para cada material como modelo para comprar las características de cada proveedor potencial. La selección del proveedor más adecuado dentro de los investigados consiste en comparar las diversas propuestas y cotizaciones de venta de varios proveedores y escoger cual es el que mejor atiende a las conveniencias de la empresa, condiciones de pago, posibles descuentos, plazos de entrega, etc.

21

Auditoria de Sistemas TI 2010 Negociación con el proveedor Una vez escogido el proveedor, compras comienzan a negociar con la adquisición del material requerido, dentro de las condiciones más adecuadas del precio de pago. La negociación sirve para definir como se hará la emisión del pedido de compra del proveedor. El pedido de compra es un contrato formal entre la empresa y el proveedor, en donde se especifican las condiciones en que se hizo la negociación. El comprador es el responsable de las condiciones y especificaciones contenidas en el pedido de compra. Acompañamiento del pedido Hecho el pedido de compra, el organismo de compras necesita asegurarse de que la entrega del material se hará dentro de los plazos establecidos y en la cantidad y calidad negociadas, debe haber un acompañamiento o seguimiento del pedido, a través de constantes contactos personales o telefónicos con el proveedor, para conocer el avance de la producción del material requerido, este seguimiento representa una constante supervisión del pedido y una cobranza permanente de resultados, esto permite localizar anticipadamente problemas y evitar sorpresas desagradables, pues a través de el, compras puede asegurar el pedido, exigir la entrega en los plazos establecidos o intentar complementar el atraso con oreos proveedores.

2.3.2 Reconocer los procedimientos vigentes o existentes para la selección de proveedores Para la selección de los proveedores se utilizan básicamente criterios económicos y de calidad, aunque se puede utilizar una combinación de ambos. Criterios económicos La selección se realiza teniendo en cuenta el precio de los artículos, los descuentos comerciales, el pago de los gastos ocasionados (transporte, embalajes, carga y descarga, etc.), los descuentos por volumen de compra (rappels) y los plazos de pago. Se elegirá el proveedor cuyo precio final sea más bajo. Lógicamente, cuando dos productos reúnan las mismas condiciones económicas, se elegirá el de mayor calidad. Criterios de calidad Cuando a la hora de la selección el proveedor le conceda una gran importancia a la calidad de los artículos, éstos han de ser sometidos a un meticuloso estudio comparativo de sus características técnicas, analizar muestras, realizar pruebas, etcétera. Este criterio se utiliza cuando lo que prima en la empresa es conseguir un producto de una determinada calidad, que no tiene que ser necesariamente la mejor, sino la que interese al comprador en ese momento. También se utilizan criterios de calidad cuando el producto ha de responder a unas características técnicas determinadas. Cuando los artículos sean de la misma calidad se elegirá el que resulte más económico.

22

Auditoria de Sistemas TI 2010 No siempre la oferta más barata es la más conveniente, puesto que también se pueden considerar como parámetros de calidad aspectos no directamente relacionados con los productos como, por ejemplo: servicio postventa, periodo de garantía, imagen que el producto y el proveedor tengan en el mercado, existencia de servicios de atención al cliente, etcétera. También se toman en cuenta del proveedor, su prestigio, localización, instalaciones, fuerza técnica, capacidad financiera y nivel organizativo y de administración.

2.4 Licenciamiento del Software Es un contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el licenciatario del programa informático (usuario consumidor /usuario profesional o empresa), para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas. Las licencias de software pueden establecer entre otras cosas: la cesión de determinados derechos del propietario al usuario final sobre una o varias copias del programa informático, los límites en la responsabilidad por fallos, el plazo de cesión de los derechos, el ámbito geográfico de validez del contrato e incluso pueden establecer determinados compromisos del usuario final hacia el propietario, tales como la no cesión del programa a terceros o la no reinstalación del programa en equipos distintos al que se instaló originalmente.

2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de uso Elementos personales de una licencia de software Licenciante El licenciante o proveedor-licenciante es aquel que provee el software más la licencia al licenciatario, la cual, le permitirá a este último tener ciertos derechos sobre el software. El rol de licenciante lo puede ejercer cualquiera de los siguientes actores: Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasía quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del software. Titular de los derechos de explotación: Es la persona natural o jurídica que recibe una cesión de los derechos de explotación de forma exclusiva del software desde un tercero, transformándolo en titular derivado y licenciante del software. Distribuidor: Es la persona jurídica a la cual se le otorga el derecho de distribución y la posibilidad de generar sublicencias del software mediante la firma de un contrato de distribución con el titular de los derechos de explotación. Garantía de titularidad Es la garantía ofrecida por el licenciante o propietario, en la cual, asegura que cuenta con suficientes derechos de explotación sobre el software como para permitirle proveer una licencia al licenciatario. Licenciatario

23

Auditoria de Sistemas TI 2010 El licenciatario o usuario-licenciatario es aquella persona física o jurídica que se le permite ejercer el derecho de uso más algún otro derecho de explotación sobre un determinado software cumpliendo las condiciones establecidas por la licencia otorgada por el licenciante. Usuario consumidor: Persona natural que recibe una licencia de software otorgada por el licenciante, la cual, se encuentra en una posición desventajosa ante los términos y condiciones establecidas en ella. Usuario profesional o empresa: Persona natural o jurídica que recibe una licencia de software otorgada por el licenciante, la cual, se encuentra en igualdad de condiciones ante el licenciante para ejercer sus derechos y deberes ante los términos y condiciones establecidos en la licencia. Elementos objetivos de una licencia de software Plazo El plazo determina la duración en el tiempo durante la cual se mantienen vigentes los términos y condiciones establecidos en licencia. Las licencias en base a sus plazos se pueden clasificar en: Licencias con plazo específico. Licencias de plazo indefinido. Licencias sin especificación de plazo. Precio El precio determina el valor el cual debe ser pagado por el licenciatario al licenciante por el concepto de la cesión de derechos establecidos en la licencia.

2.5 Evaluación de Hardware y Software Cuando se utiliza el término Hardware se están englobando todos los aspectos materiales, es decir, que se ―VEN‖ y se ―TOCAN‖ dentro la función informática de la Empresa. Existen una serie de Objetivos de la Auditoria Informática del entorno Hardware: Determinar si el Hardware se utiliza eficientemente Revisar los Informes de la dirección sobre la utilización del Hardware. Revisar el Inventario Hardware Verificar los procedimientos de seguridad Física Revisar si el equipo se utiliza por el personal Autorizado. Comprobar las condiciones Ambientales Comprobar los Procedimientos de Prevención, Detección, Corrección frente a cualquier tipo de Desastre. Evaluación del Software La evaluación del Software en una empresa va a permitir determinar si este esta siendo bien utilizado Revisar cada cuando se le da mantenimiento, y si el que se le brinda es confiable y seguro. Si todos los cambios son suficientemente controlados. El Auditor debe someter a evaluaciones periódicas el software operativo y deberá obtener resultados que le permitan asegurarse de las fortalezas del Software.

24

Auditoria de Sistemas TI 2010 2.5.1 Describir las características del Hardware y software apropiado para tareas específicas El Software de sistemas es un conjunto de programas que interactúan con el entre el hardware y el software. El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el software, la computadora sería un conjunto de medios sin utilizar. Sus Componentes: Procesamiento de texto Bases de datos Graficas Servicios en línea Programas Características del Hardware para tareas Específicas Sus Componentes son: Teclado Mouse CPU Monitor Impresora Memoria ROM Memoria RAM Consta de: 1.- Evaluación de los Sistemas 2.- Evaluación de los equipos Capacidades Utilización Seguridad y evaluación física y lógica 3.- Evaluación de la Seguridad 4.-La seguridad en la informática 5.- La seguridad lógica

2.6 Evaluación de sistemas La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

25

Auditoria de Sistemas TI 2010 2.6.1 Describir los pasos para evaluar los sistemas de información de acuerdo al ciclo de vida En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el análisis. Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales: La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación. Los requerimientos de los usuarios. El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron.

2.6.2 Explicar los elementos de la evaluación de análisis de sistemas En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el análisis. Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales: La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación. Los requerimientos de los usuarios. El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron. La situación de una aplicación en dicho inventario puede ser alguna de las siguientes: Planeada para ser desarrollada en el futuro. En desarrollo. En proceso, pero con modificaciones en desarrollo. En proceso con problemas detectados. En proceso sin problemas. En proceso esporádicamente.

2.6.3 Explicar los elementos de la evaluación del diseño lógico En esta etapa se deberán analizar las especificaciones del sistema. ¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida de reportes?

26

Auditoria de Sistemas TI 2010 Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operación y decisión. Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está obteniendo.

2.6.4 Explicar los elementos de la evaluación del desarrollo del sistema En esta etapa se deberán analizar las especificaciones del sistema. ¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida de reportes? Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operación y decisión. Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está obteniendo. BASES DE DATOS. Fases: 1. 2. 3. 4. 5. 6.

Análisis de requisitos. Diseño conceptual. Elección del sistema gestor de bases de datos. Diseño lógico. Diseño físico. Instalación y mantenimiento.

La seguridad en Bases de Datos Está compuesta de Control de acceso Permisos y Privilegios Definición de roles y perfiles Control de Acceso a Bases de Datos: Acceso al Sistema Operativo Acceso a la Base de Datos Acceso a los objetos de la base de datos

2.7 Evaluación de la red 2.7.1 Reconocer los elementos que debe contener una red local con base en el estándar ANSI/TIA 569 A y B

27

Auditoria de Sistemas TI 2010 ANSI/TIA/EIA-568-A Alambrado de Telecomunicaciones para Edificios Comerciales Este estándar define un sistema genérico de alambrado de telecomunicaciones para edificios comerciales que puedan soportar un ambiente de productos y proveedores múltiples. El propósito de este estándar es permitir el diseño e instalación del cableado de telecomunicaciones contando con poca información acerca de los productos de telecomunicaciones que posteriormente se instalarán. La instalación de los sistemas de cableado durante el proceso de instalación y/o remodelación son significativamente más baratos e implican menos interrupciones que después de ocupado el edificio Esta norma guía la selección de sistemas de cableado al especificar los requisitos mínimos de sistemas y componentes, y describe los métodos de pruebas de campo necesarios para satisfacer las normas. Propósito del Estándar EIA/TIA 568-A: Establecer un cableado estándar genérico de telecomunicaciones que respaldará un ambiente multiproveedor. Permitir la planeación e instalación de un sistema de cableado estructurado para construcciones comerciales. Establecer un criterio de ejecución y técnico para varias configuraciones de sistemas de cableado El estándar especifica: Requerimientos mínimos para cableado de telecomunicaciones dentro de un ambiente de oficina Topología y distancias recomendadas Parámetros de medios de comunicación que determinan el rendimiento La vida productiva de los sistemas de telecomunicaciones por cable por más de 10 años (15 actualmente) ANSI/TIA/EIA-568-B El estándar TIA/EIA-568-B se publica por primera vez en 2001. Sustituyen al conjunto de estándares TIA/EIA-568-A que han quedado obsoletos. TIA/EIA-568-B tres estándares que tratan el cableado comercial para productos y servicios de telecomunicaciones. Los tres estándares oficiales: ANSI/TIA/EIA-568-B.1-2001, -B.2-2001 y -B.3-2001. El contenido de 568-B.3 se refiere a los requerimientos de rendimiento mecánico y de transmisión del cable de fibra óptica, hardware de conexión, y cordones de conexión, incluyen el reconocimiento de la fibra multi-modo y el uso de conectores de fibra de factor de forma pequeño TIA/EIA 568-B.3 Cables de fibra se reconoce la fibra de 50 mm se reconocen tanto la fibra multimodo como la modo-simple para el área de trabajo Conectores de fibra el conector 568SC dúplex permanece como estándar en el área de trabajo otros conectores pueden se usados en otro sitios

28

Auditoria de Sistemas TI 2010 Deben con Fiber Optic Connector Intermateability Standard (FOCIS)

2.7.2 Reconocer los elementos que debe contener una red inalámbrica con base en el estándar ANSI EIA/TIA 802.11x Una red inalámbrica 802.11 está basada en una arquitectura celular en la que el sistema se divide en células llamadas BSS (Basic Service Set). Cada célula está controlada por una estación base llamada AP (Access Point). Un sistema puede constar de una o varias células; en el caso pluricelular los diferentes AP se conectan entre sí mediante un backbone llamado DS (Distribution System), típicamente Ethernet, aunque en algunos casos también puede ser inalámbrico. Todo este conjunto de células interconectadas se ve como una única red desde los protocolos de las capas superiores, y se llama ESS (Extended Service Set). Cada ESS tiene un identificador conocido como SSID, que debe ser el mismo en todos los AP del ESS. El protocolo 802.11 puede utilizarse para soportar la conexión inalámbrica de puntos de acceso, de forma que el sistema de distribución se vuelve inalámbrico. Esta opción recibe el nombre de WDS (Wireless Distribution System). Los AP que soportan WDS pueden actuar con dos funciones: bridge inalámbrico o repetidor. El protocolo 802.11 define la capa física y la capa MAC. Hay distintas posibilidades para la capa física dependiendo del tipo de red (a, b, g, h), e incluso distintas opciones dentro del mismo tipo. Actualmente el tipo más común es el 802.11b, cuyas características de la capa física son: La banda de frecuencia de 2,4 GHz. El DSSS (Direct Sequence Spread Spectrum). La codificación CCK (para las velocidades de 5,5 y 11 Mbit/s). La capa MAC, además de la funcionalidad típica de estas capas, realiza funciones que normalmente se implementan en capas superiores: fragmentación, retransmisión de paquetes, y asentimientos .Esto es así debido a las características de los enlaces radio, con errores altos, que aconsejan un tamaño pequeño de los paquetes, pero debiéndose preservar desde el punto de vista de las capas superiores los paquetes de 1.518 bytes típicos de Ethernet.

2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI EIA/TIA 569) Estándar ANSI/TIA/EIA-569 de Rutas y Espacios de telecomunicaciones para Edificios Comerciales El Grupo de Trabajo de la Asociación de Industrias de Telecomunicaciones (TIA)TR41.8.3 encargado de Trayectorias & Espacios de Telecomunicaciones publicó la Norma ANSI/TIA/EIA-569-A ('569-A) en 1998.

29

Auditoria de Sistemas TI 2010 Este estándar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y edificios: Los edificios son dinámicos. Durante la existencia de un edificio, las remodelaciones son más la regla que la excepción. Este estándar reconoce, de manera positiva, que el cambio ocurre. Los sistemas de telecomunicaciones y de medios son dinámicos. Durante la existencia de un edificio, los equipos de telecomunicaciones cambian dramáticamente. Este estándar reconoce este hecho siendo tan independiente como sea posible de proveedores de equipo. Telecomunicaciones es más que datos y voz. Telecomunicaciones también incorpora otros sistemas tales como control ambiental, seguridad, audio, televisión, alarmas y sonido. De hecho, telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan información en los edificios. A continuación los rasgos sobresalientes de la Norma '569-A: Objetivo Estandarizar las prácticas de construcción y diseño. Provee un sistema de soporte de telecomunicaciones que es adaptable a cambios durante la vida útil de la instalación. Alcance Trayectorias y espacios en los cuales se colocan y terminan medios de telecomunicaciones. Trayectorias y espacios de telecomunicaciones dentro y entre edificios. Diseño de edificios comerciales para viviendas unifamiliares y multifamiliares.

2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP El modelo de referencia de Interconexión de Sistemas Abiertos (OSI, Open System Interconnection) es el modelo de red descriptivo creado por la Organización Internacional para la Estandarización lanzado en 1984. Es decir, es un marco de referencia para la definición de arquitecturas de interconexión de sistemas de comunicaciones. Capa física (Capa 1) Es la que se encarga de las conexiones físicas de la computadora hacia la red, tanto en lo que se refiere al medio físico como a la forma en la que se transmite la información. Capa de enlace de datos (Capa 2) Esta capa se ocupa del direccionamiento físico, de la topología de la red, del acceso a la red, de la notificación de errores, de la distribución ordenada de tramas y del control del flujo. Capa de red (Capa 3) El objetivo de la capa de red es hacer que los datos lleguen desde el origen al destino, aún cuando ambos no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan encaminadores, aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores. Los routers

30

Auditoria de Sistemas TI 2010 trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo de la función que se le asigne. Los firewalls actúan sobre esta capa principalmente, para descartar direcciones de máquinas. Capa de transporte (Capa 4) Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la máquina origen a la de destino, independizándolo del tipo de red física que se esté utilizando. La PDU de la capa 4 se llama Segmento o Datagrama, dependiendo de si corresponde a TCP o UDP. Sus protocolos son TCP y UDP; el primero orientado a conexión y el otro sin conexión. Capa de sesión (Capa 5) Esta capa es la que se encarga de mantener y controlar el enlace establecido entre dos computadores que están transmitiendo datos de cualquier índole. Capa de presentación (Capa 6) El objetivo es encargarse de la representación de la información, de manera que aunque distintos equipos puedan tener diferentes representaciones internas de caracteres los datos lleguen de manera reconocible. Capa de aplicación (Capa 7) Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP), gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones distintas y puesto que continuamente se desarrollan nuevas aplicaciones el número de protocolos crece sin parar. Modelo TCP/IP El Protocolo de Internet (IP) y el Protocolo de Transmisión (TCP), fueron desarrollados inicialmente en 1973 por el informático estadounidense Vinton Cerf como parte de un proyecto dirigido por el ingeniero norteamericano Robert Kahn y patrocinado por la Agencia de Programas Avanzados de Investigación (ARPA, siglas en inglés) del Departamento Estadounidense de Defensa. Internet comenzó siendo una red informática de ARPA (llamada ARPAnet) que conectaba redes de ordenadores de varias universidades y laboratorios en investigación en Estados Unidos. World Wibe Web se desarrolló en 1989 por el informático británico Timothy Berners-Lee para el Consejo Europeo de Investigación Nuclear (CERN, siglas en francés). DEFINICION TCP / IP Se han desarrollado diferentes familias de protocolos para comunicación por red de datos para los sistemas UNIX. El más ampliamente utilizado es el Internet Protocol Suite, comúnmente conocido como TCP / IP. Es un protocolo DARPA que proporciona transmisión fiable de paquetes de datos sobre redes. El nombre TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el

31

Auditoria de Sistemas TI 2010 Internet Protocol (IP). Todos juntos llegan a ser más de 100 protocolos diferentes definidos en este conjunto. Las capas están jerarquizadas. Cada capa se construye sobre su predecesora. El número de capas y, en cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier red, la misión de cada capa es proveer servicios a las capas superiores haciéndoles transparentes el modo en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien devuelve resultados. Capa 4 o capa de aplicación: Aplicación, asimilable a las capas 5 (sesión), 6 (presentación) y 7 (aplicación) del modelo OSI.la capa de aplicación debía incluir los detalles de las capas de sesión y presentación OSI. Crearon una capa de aplicación que maneja aspectos de representación, codificación y control de diálogo. Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI. Capa 2 o capa de red: Internet, asimilable a la capa 3 (red) del modelo OSI. Capa 1 o capa de enlace: Acceso al Medio, asimilable a la capa 1 (física) y 2 (enlace de datos) del modelo OSI.

2.7.5 Describir la vulnerabilidad de las redes El análisis de la vulnerabilidad, a veces llamado exploración de la vulnerabilidad, es el acto de determinar qué agujeros y vulnerabilidades de la seguridad pueden ser aplicables a la red. Para hacer esto, examinamos las máquinas identificadas dentro de la red para identificar todos los puertos abiertos y los sistemas operativos y los usos que los anfitriones están funcionando (número de versión incluyendo, nivel del remiendo, y paquete del servicio). Además, comparamos esta información con varias bases de datos de la vulnerabilidad del Internet para comprobar qué vulnerabilidades y hazañas actuales pueden ser aplicables a la red. Dado el constreñimiento del tiempo nos podemos estar debajo durante un contrato y el número de anfitriones dentro del alcance, puede ser necesario centrarse inicialmente en los anfitriones críticos. Sin embargo, si el pelado abajo de la lista de la blanco necesita ser hecho, él se hace generalmente durante el paso siguiente. Nota: Es importante tomar en la consideración que los resultados del silbido de bala autoritariamente no demuestran a que un anfitrión está abajo. En la luz de esto, si hay alguna duda si el target(s) está filtrado o protegido con eficacia contra silbido de bala o está realmente abajo, recomendamos el continuar con una exploración portuaria. Mantenga el número de puertos tales exploraciones abajo que estas exploraciones tiendan para tomar a una cantidad de tiempo más larga. Si es necesario explorar una gran cantidad de puertos en los anfitriones insensibles, es el mejor hacer esto durante la noche. En el extremo de esta etapa, tenemos gusto de poder documentar todos los anfitriones de la blanco (vivos y de otra manera) en una tabla junto con el OS, el IP address, los usos corrientes, cualquier información de

32

Auditoria de Sistemas TI 2010 la bandera disponible, y vulnerabilidades sabidas. Esta información es útil durante la etapa de la explotación y para la presentación al cliente de modo que el cliente sea enterado de las vulnerabilidades en la red y la cantidad de información que un forastero puede recopilar antes de comprometer la red. Identificación del OSI Identificando el sistema operativo, podemos procurar predecir los servicios que pueden funcionar en el anfitrión y adaptar nuestras exploraciones del puerto basadas en esta información. Nmap, la herramienta principal usada para realizar la identificación del OS, hace esto analizando la respuesta del apilado del TCP de la blanco a los paquetes que Nmap envió. Vario RFCs gobierna cómo el apilado del TCP debe responder cuando está preguntado. Sin embargo, los detalles de la puesta en práctica se dejan al vendedor. Por lo tanto, las diferencias en cómo los vendedores satisfacen el RFCs permiten que sean identificados. Mientras que este método no es a toda prueba, la detección del OS de Nmap es bastante confiable y aceptada bien por la industria. Cambiar la firma del OS de una computadora es posible pero no trivial, y no ha sido nuestra experiencia que las compañías realizan este nivel de enmascarar. La identificación del OS va una manera larga en la ejecución de la enumeración de la red y de la exploración de la vulnerabilidad. Tan pronto como sepamos el OS de una máquina particular, podemos comenzar a generar una lista de agujeros y de vulnerabilidades potenciales—a menudo de propio sitio del Web del vendedor. Por ejemplo, tan pronto como sepamos una máquina es Windows NT, podemos comprobar si el puerto 139 del TCP esté abierto y procurar una conexión nula a la parte del IP. Si identificamos una caja de UNIX, podemos buscar los puertos de X Windows (6000–6063). Enumeración Del Uso De los resultados de la exploración portuaria, ganamos una lista de puertos abiertos en las máquinas receptoras. Un puerto abierto no indica enteramente lo que puede ser activo el servicio que escucha. Los puertos debajo de 1024 se han asignado a los varios servicios y si éstos se encuentran abiertos, indican generalmente el servicio asignado. Además, otros usos se han funcionado en ciertos puertos para tan de largo que se han convertido en el estándar de hecho, tal como puerto 65301 para el pcAnywhere y 26000 para el temblor. Por supuesto los administradores de sistema pueden cambiar el puerto que un servicio funciona encendido en una tentativa ―de ocultarla‖ (un ejemplo de la seguridad con oscuridad). Por lo tanto, procuramos conectar con el puerto abierto y asir una bandera para verificar el funcionamiento del servicio. Investigación Del Internet Una vez que la lista de usos se sepa, el paso siguiente es investigar la lista y determinarse existen qué vulnerabilidades. Mientras que usted realiza pruebas de penetración, usted hace familiar con ciertas vulnerabilidades populares y puede determinarse rápidamente si un uso es vulnerable. Sin embargo, es importante tener presente que las nuevas vulnerabilidades están fijadas sobre una base diaria, y usted debe comprobar sus bases de datos preferidas de la vulnerabilidad para saber si hay todos los usos, servicios, y sistemas operativos que usted encuentra en cada contrato.

2.7.6 Explicar la auditoria de la red física y lógica

33

Auditoria de Sistemas TI 2010 Auditoria De La Red Física Se debe garantizar que exista: Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas. Comprobando que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad física del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas. Las líneas de comunicación estén fuera de la vista. Se dé un código a cada línea, en vez de una descripción física de la misma. Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red. Existan revisiones periódicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retrollamada, código de conexión o interruptores. AUDITORIA LOGICA En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones: Se deben dar contraseñas de acceso. Controlar los errores. Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red. Registrar las actividades de los usuarios en la red. Encriptar la información pertinente. Evitar la importación y exportación de datos. Que se comprueban si: El sistema pidió el nombre de usuario y la contraseña para cada sesión: En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las

34

Auditoria de Sistemas TI 2010 contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones. Inhabilitar el software o hardware con acceso libre. Generar estadísticas de las tasas de errores y transmisión. Crear protocolos con detección de errores. Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor. El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un análisis del riesgode aplicaciones en los procesos. Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red. Deben existir políticas que prohíban la instalación de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna. Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.

3.1 Conceptos Básicos 3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación De acuerdo al diccionario de la real academia española, una evidencia es un conocimiento que se nos aparece intuitivamente de tal manera que podemos afirmar la validez de su contenido, como verdadero, con certeza y sin sombra de duda La evidencia es la base de juicio del auditor. Es con lo que se sustentara la correcta ejecución de los procesos, procedimientos o instrucciones de trabajo. La evidencia, es uno de los fundamentos de la auditoria, la forma de solicitar evidencia y el tipo de evidencia dependerá del tipo de auditoría aplicada.

35

Auditoria de Sistemas TI 2010 Física

Documental

Analítica

Verbal

Control interno

Mayores y diarios

Comparaciones e índices

•Permite al auditor constatar la existencia real de los activos y la calidad de los mismos, mediante la inspección ocular. Puede haber ocasiones en que el auditor necesite apoyarse en personas técnicas, peritos, etc. •Es obtenida a través del examen de documentos importantes y registros contables. Hay 2 tipos: las creadas dentro de la organización (Se debe considerar al control interno de la organización como débil), y las creadas fuera de la organización. •Es la obtenida del conjunto de procedimientos que implican la realización de cálculos aritméticos y comprobaciones matemáticas. •Se obtiene a través del contacto personal con los distintos responsables y empleados de la compañía y con terceras personas independientes. Este tipo de evidencia sirve para detectar puntos débiles y conflictivos en el sistema permitiendo iniciar una investigación sobre los mismos. •Condiciona el alcance del trabajo de auditoria, su evaluación determina el nivel de pruebas que el auditor deberá realizar. La evidencia de un sistema de control interno eficaz y que además se cumpla, constituye para el auditor una evidencia válida del correcto funcionamiento de la empresa. •Esta evidencia depende del grado de control interno exigidos en su preparación.

•Es la comparación de las cantidades de cada una de las cuentas de activos, pasivos, ingresos y gastos con los saldos correspondientes al periodo precedente.

3.2 Interpretación de los resultados de la Auditoria Informática El informe de auditoría financiera tiene como objetivo expresar una opinión técnica de las cuentas anuales en los aspectos significativos o importantes, sobre si éstas muestran la imagen fiel del patrimonio, de la situación financiera y del resultado de sus operaciones, así como de los recursos obtenidos y aplicados durante el ejercicio.

3.2.1 Identificar los tipos de opiniones Opinión Favorable: En una opinión favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situación financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el ejercicio, y contienen la información necesaria y suficiente para su interpretación y comprensión adecuada. Opinión con Salvedades Este tipo de opinión es aplicable cuando el auditor concluye que existen una o varias de las circunstancias que se relacionan en este apartado, siempre que sean significativas en relación con las cuentas anuales tomadas en su conjunto.

Opinión Desfavorable

36

Auditoria de Sistemas TI 2010 La opinión desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las operaciones o de los cambios de la situación financiera de la entidad auditada, de conformidad con los principios y normas contables generalmente aceptados. Opinión Denegada Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinión sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinión sobre las mismas.

3.2.2 Describir los componentes, características y tendencias de un informe Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría. Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad.

3.3 Identificar los tipos de conclusiones de la Auditoria Informática 3.3.1 Identificar los tipos de de conclusiones La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Breve Después de aplicar los procedimientos y técnicas de auditoría, siendo auditores recurrentes, se le pide elaborar el Dictamen de auditoría por los años terminados al 31 de diciembre de 2009 y 2008 de la Empresa Ejemplo, S.A. tomar en consideración que no hubo observaciones importantes de auditoría que calificaran la opinión. Detallada Después de aplicar los procedimientos y técnicas de auditoría, siendo el año 2008 auditado por otros auditores emitiendo una opinión con salvedades, siendo esta: Al 31 de diciembre de 2008 la empresa cuenta con una contingencia en concepto de penalizaciones por concepto de software apócrifo para lo cual no se tiene provisión para dar cobertura a dicha contingencia.

37

Auditoria de Sistemas TI 2010 3.4 Áreas de oportunidad e las ITIL Es una estructura propuesta por la Oficina Gubernamental de Comercio (OGC) del Reino Unido que reúne las mejores prácticas del área de la gestión de servicios de Tecnología Informática (TI) en una serie de guías.

3.4.1 Reconocer el concepto de FODA y sus componentes Es una herramienta que permite conformar un cuadro de la situación actual de la empresa u organización, permitiendo de esta manera obtener un diagnóstico preciso que permita en función de ello tomar decisiones acordes con los objetivos y políticas formulados. El término FODA es una sigla conformada por las primeras letras de las palabras Fortalezas, Oportunidades, Debilidades y Amenazas De entre estas cuatro variables, tanto fortalezas como debilidades son internas de la organización, por lo que es posible actuar directamente sobre ellas. En cambio las oportunidades y las amenazas son externas, por lo que en general resulta muy difícil poder modificarlas. Fortalezas: son las capacidades especiales con que cuenta la empresa, y por los que cuenta con una posición privilegiada frente a la competencia. Recursos que se controlan, capacidades y habilidades que se poseen, actividades que se desarrollan positivamente, etc. Oportunidades: son aquellos factores que resultan positivos, favorables, explotables, que se deben descubrir en el entorno en el que actúa la empresa, y que permiten obtener ventajas competitivas. Debilidades: son aquellos factores que provocan una posición desfavorable frente a la competencia. Recursos de los que se carece, habilidades que no se poseen, actividades que no se desarrollan positivamente, etc. Amenazas: son aquellas situaciones que provienen del entorno y que pueden llegar a atentar incluso contra la permanencia de la organización. Se utilizará para desarrollar un plan que tome en consideración muchos y diferentes factores internos y externos para así maximizar el potencial de las fuerzas y oportunidades minimizando así el impacto de las debilidades y amenazas. Se debe de utilizar al desarrollar un plan estratégico, o al planear una solución específica a un problema.

38

Auditoria de Sistemas TI 2010 3.4.2 Definir el concepto de ITIL Es proporcionar a los administradores de sistemas de TI las mejores herramientas y documentos que les permitan mejorar la calidad de sus servicios, es decir, mejorar la satisfacción del cliente al mismo tiempo que alcanzan los objetivos estratégicos de su organización. La ITIL está dividida en nueve áreas (que corresponden a nueve libros) que abarcan todos los problemas encontrados por los administra dores de sistemas de IT. Soporte técnico del servicio Entrega del servicio Administración de infraestructura Administración de aplicaciones Administración del servicio Perspectiva empresarial Requisitos empresariales Tecnología  Soporte técnico del servicio El área de soporte técnico del servicio se ocupa de la operación y soporte de la infraestructura de TI. Se divide en los siguientes seis procesos:

3.4.3 Describir los lineamientos y/o estándares que ayudan en el control, operación, administración de recursos y servicios informáticos Los presentes lineamientos tienen por objeto establecer los mecanismos que regulen la captación, ejercicio, registro e información de los recursos externos obtenidos por los Organismos Descentralizados del Sector Salud. Capítulo I 1. Definiciones Para efectos de estos lineamientos se entenderá por: a) Coordinadora de Sector: La Secretaría de Salud. b) Secretaría: La Secretaría de Hacienda y Crédito Público. c) Contraloría: La Secretaría de Contraloría y Desarrollo Administrativo. d) Organismos Descentralizados del Sector Salud: Las Entidades sectorizadas en el Sector Salud, es decir los Institutos Nacionales de Salud definidos por la Ley de los Institutos Nacionales de Salud, así como el Hospital General de México y el Hospital General Dr. Manuel Gea González, con personalidad jurídica y patrimonio propios, que tienen como objeto principal la investigación científica en el campo de la salud, la formación y capacitación de recursos humanos

39

Auditoria de Sistemas TI 2010 calificados y la prestación de servicios de atención médica de alta especialidad, y cuyo ámbito de acción comprende todo el territorio nacional. e) Actividades de Investigación: Las que se realicen con el propósito de generar conocimientos sobre la salud o la enfermedad para su aplicación inmediata o mediata en la atención médica. f) Actividades de Enseñanza: Las que contribuyen a la identificación de necesidades de docencia, elaboración de planes de estudios, diseño e impartición de cursos, tutorías y evaluación de planes y programas de estudio, en los niveles de pregrado, especialización, subespecialización, maestría y doctorado, así como diplomados y educación continua, en los diversos campos de la ciencia médica. g) Desarrollo Profesional: A las actividades cuyos resultados contribuyen a la capacitación y actualización técnica del personal académico, como asistencia a cursos, simposia y congresos, estancias de entrenamiento, estudios de posgrado, visitas a grupos y centros de investigación o docencia, compra de revistas, libros y organización de reuniones técnicas y académicas. h) Actividades de carácter académico: Las que incluyan la participación especializada del personal, como entrenamientos técnicos, impartición de conferencias, asesorías técnicas y profesionales, evaluación de pruebas e instrumentos de investigación, procesamiento y análisis de muestras, análisis estadísticos de datos y servicios de informática electrónica. i) Actividades de carácter asistencial: Las relacionadas con la atención médica en el campo de su especialidad. j) Patronato: El órgano de apoyo de los Órganos de Gobierno de las Entidades que contribuye a la obtención de recursos para coadyuvar en el cumplimiento de los objetivos institucionales y cuyo funcionamiento se contiene en la Ley de Institutos Nacionales de Salud y en los decretos de creación de los hospitales generales. k) Personal Académico: Todo aquel que realiza funciones directas o de apoyo en actividades académicas de enseñanza e investigación. l) Personal Operativo: Todo aquel no comprendido en el inciso anterior que realice funciones asistenciales, de apoyo o de administración en las actividades sustantivas y adjetivas de la Entidad. m) Manual: Manual de Normas Presupuestarias para la Administración Pública Federal. n) Recursos Externos: Los subsidios, participaciones, donativos, herencias y legados, en efectivo o en especie, de personas físicas o morales, públicas o privadas, nacionales o extranjeras, que se otorguen de manera directa a los Organismos Descentralizados a través de su patronato. Estos recursos constituyen ingresos extraordinarios no programables aunque si proyectables; pueden o no estar etiquetados para un fin específico. o) Disponibilidad: Son los recursos no ejercidos en el ejercicio fiscal de que se trate, por lo que al témino del mismo adquirieren el estatus de disponibilidad final y de disponibilidad inicial al comienzo de un nuevo

40

Auditoria de Sistemas TI 2010 ejercicio fiscal; cuyos montos permanecerán en la Tesorería del Organismo Descentralizado, y su ejercicio estará sujeto a la autorización expresa de la Secretaría, en función de la normatividad presupuestaria aplicable. p) Responsable del Proyecto: El Servidor Público designado por el Director General del Organismo Público para fungir como encargado directo del desarrollo de un proyecto financiad con recursos externos con fin específico. q) Proyecto específico: El desarrollo articulado de actividades de enseñanza o asistenciales u otras actividades académicas con objetivos y metas precisas para lo cual el Organismo Descentralizado recibe recursos externos con un fin determinado. 2. Registro e Información a) Ningún servidor público del Organismo Descentralizado podrá recibir a título personal recursos externos. b) Los recursos externos en efectivo que reciba el Organismo Descentralizado se deberán controlar en registros contables y presupuestales, así como en cuentas bancarias independientes de los recursos federales. Los recursos externos forman parte del presupuesto del Organismo Descentralizado, por lo que su registro se deberá consignar en el ingreso-gasto del flujo de efectivo correspondiente y por lo tanto quedarán debidamente identificados en los reportes del sistema integral de información como ingresos diversos. c) Los recursos externos con fin determinado se administrarán como un proyecto específico de enseñanza, asistencial o de otras actividades académicas o asistenciales aplicados durante el ejercicio fiscal en curso, y su registro presupuestal se realizará conforme a las disposiciones establecidas por el Manual. d) Aunque los recursos externos son de captación extraordinaria, el Organismo Descentralizado realizará una proyección o estimación anual de su monto, así como de su probable ejercicio, para ser incorporados como ingresos diversos en el flujo de efectivo del Anteproyecto de Presupuesto anual. e) El Organismo Descentralizado deberá informar en las sesiones ordinarias del Órgano de Gobierno sobre la captación y aplicación real de los recursos externos. f) La Dirección de Administración del Organismo Descentralizado será responsable del adecuado manejo de los recursos externos. 3. Administración de los Recursos Externos con fin específico La Dirección de Administración tendrá las siguientes funciones en la administración de recursos externos con un fin específico: a) Informar al responsable del proyecto, dentro de las 24 horas siguientes a la captación, del depósito y registro de los recursos externos en las cuentas bancarias autorizadas del Organismo Descentralizado para este fin.

41

Auditoria de Sistemas TI 2010 b) Obtener y conservar por el tiempo que determinen las leyes, la documentación comprobatoria de la captación y aplicación de los recursos externos, para su verificación e integración. c) Conservar permanentemente actualizados los registros contables y auxiliares por cada proyecto, incluyendo activos fijos. d) Proporcionar asesoría en el ámbito de su competencia a los responsables de cada proyecto. e) Elaborar los informes financieros globales y por proyecto, con el nivel de detalle que requiera la Coordinadora Sectorial, la Secretaría y la Contraloría, en todos los casos previa Conciliación con el responsable del proyecto. 4. Obligaciones del Responsable del Proyecto Para todos los efectos legales, es obligación de los responsables de los proyectos, lo siguiente: a) Informar al Director General del Organismo Público Descentralizado sobre el avance y desarrollo del proyecto. b) Contratar al personal con cargo a los recursos externos que participe en el proyecto, a través de la Subdirección de Administración y Desarrollo de Personal, sujetándose a lo dispuesto en estos Lineamientos y demás disposiciones legales aplicables. Estas contrataciones en razón de su naturaleza civil, sólo podrán hacerse bajo el régimen de honorarios por tiempo o por obra determinada, por lo que los contratos que los amparen sólo consignarán el derecho al pago de los emolumentos convenidos sin ninguna otra prestación adicional, ni podrán pagarse con recursos fiscales o transformarse en plazas presupuestarias. Ningún contrato de honorarios podrá exceder el 31 de diciembre de cada ejercicio fiscal. c) Validar los informes sobre el avance financiero del proyecto que elabore la Dirección de Administración del Organismo Descentralizado, en los términos requeridos por el Órgano de Gobierno, la Coordinadora Sectorial, la Secretaría o la Contraloría. d) Integrar el informe de avance físico del proyecto, en los términos requeridos por el Órgano de Gobierno, la Coordinadora Sectorial, la Secretaría o la Contraloría. e) Fijar, en coordinación con el aportante de los recursos y el Organismo Descentralizado, los términos y condiciones para la distribución de los recursos del proyecto en gastos de operación, servicios personales y gastos de inversión; en todos los casos se incluirá una cantidad que no exceda de 15% del total del monto del proyecto como aportación al Organismo Descentralizado, para cubrir los costos de administración del proyecto. f) Vigilar que los recursos externos asignados al proyecto sean suficientes para su conclusión; de ninguna manera se le podrá asignar recursos fiscales o propios. 5. De los Convenios para el ejercicio de recursos externos con fin específico a) El Organismo Descentralizado y el aportante de los recursos externos decidirán sobre la viabilidad de suscribir convenios para el ejercicio de recursos externos con fin específico que señalen las metas,

42

Auditoria de Sistemas TI 2010 resultados a obtener y el monto de los recursos aportados, así como la periodicidad de la información que deberá entregarse al aportante. b) Los convenios serán suscritos por el Director General del Organismo Descentralizado previo dictamen favorable de su área jurídica, y de ninguna manera podrán incluir condiciones que contravengan los objetivos del Organismo Descentralizado. c) El Director General del Organismo Descentralizado deberá informar al Órgano de Gobierno de la suscripción, objetivos, montos y duración de los convenios establecidos. Capítulo II Del control de los recursos externos y su ejercicio 5. El gasto derivado de recursos externos con o sin fin específico se sujetará en su ejercicio y control a lo dispuesto por la normatividad vigente, incluida la adquisición de bienes y servicios, ejecución de obra pública y servicios personales. 6. El proceso de registro, aplicación e información de los recursos externos a que se refieren estos Lineamientos podrá ser sujeto de revisiones por las diferentes instancias fiscalizadoras. 7. El responsable del proyecto dispondrá de hasta el 85% de los recursos externos obtenidos y asignados a sufragar las erogaciones necesarias para el cumplimiento de los objetivos del proyecto. La disposición de estos recursos se sujetará a lo referido en el numeral 10 de estos Lineamientos. 8. El 15% de los recursos externos obtenidos o asignados a un proyecto con fin específico, se destinará a los gastos de administración directos e indirectos siguientes: a) Cubrir el costo administrativo del proyecto. b) El costo por la utilización de la infraestructura del Organismo Descentralizado. c) El gasto generado por mantenimiento y conservación de las instalaciones del Organismo Descentralizado. d) El Director General del Organismo Descentralizado podrá autorizar, en casos específicos y previa solicitud del responsable del proyecto y con la validación de la Dirección de Administración del Organismo Descentralizado, la disminución o eliminación del referido porcentaje, cuando las necesidades y características del proyecto así lo requiera. De lo anterior deberá informar al Órgano de Gobierno. 9. Los recursos externos que perciba el Organismo Descentralizado y los productos financieros que éstos generen deberán manejarse conforme a las disposiciones vigentes sobre disponibilidades financieras. 10. Todo gasto efectuado con recursos externos, deberá estar amparado con la documentación comprobatoria correspondiente, debidamente requisitada conforme a los procedimientos y políticas establecidas en los manuales de operación del Organismo Descentralizado y en la normatividad presupuestaria y fiscal aplicable.

43

Auditoria de Sistemas TI 2010 11. Las erogaciones correspondientes a los recursos externos se efectuarán a través de la Dirección de Administración, a excepción de los gastos de carácter urgente, los que podrán realizarse por el responsable del proyecto, previa autorización de la Dirección de Administración. En ningún caso el monto del gasto urgente podrá ser mayor al 10% del costo total del proyecto. 12. La documentación comprobatoria de los gastos se deberá presentar a la Dirección de Administración por el responsable del proyecto a más tardar dentro de los quince días naturales siguientes al ejercicio de los recursos. Capítulo III De los recursos humanos 13. El responsable del proyecto propondrá al Director General del Organismo Descentralizado, al personal del mismo Organismo Descentralizado que colaborará en el desarrollo del mismo, indicando las actividades, remuneración asignada y la duración del proyecto. La relación de personal deberá contar con el visto bueno del director o responsable del área de que se trate. 14. Para la ejecución de los proyectos con fin específico, las contrataciones del personal del Organismo Descentralizado serán realizadas por tiempo u obra determinada mediante un contrato de honorarios, conforme a la legislación y disposiciones presupuestarias y fiscales vigentes. 15. El personal del Organismo Descentralizado que participe en el desarrollo de proyectos Financiados con recursos externos, tendrá definidas las funciones a realizar; en contraprestación recibirá una remuneración. Esta participación siempre requerirá la opinión favorable de las áreas jurídicas y de recursos humanos, quienes definirán, conforme a norma, los tiempos dentro o fuera de la jornada laboral. 16. Toda remuneración a los servidores públicos derivada de recursos externos, deberá considerar la retención y entero de los impuestos correspondientes, de conformidad con las disposiciones fiscales y laborales aplicables. Dicho pago será independiente y no creará derechos para el trabajador, ni responsabilidad de tipo laboral o salarial para el Organismo Descentralizado 17. La remuneración al personal del Organismo Descentralizado que participe en el desarrollo de proyectos o actividades financiados con recursos externos, en ningún caso podrá rebasar los montos máximos de remuneración salarial establecidos por las disposiciones normativas vigentes; lo que se hará de la siguiente manera: A. Para mandos medios y superiores: a) Podrán recibir compensación los mandos medios (jefes de departamento, subdirectores y directores de área) y superiores (director general) cuando participen directamente en un proyecto con fin específico, siempre que esas actividades no vayan en detrimento de las funciones que tengan asignadas por la plaza presupuestaria que ocupen. b) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será hasta 1.5 veces el salario integrado vigente de la plaza que ocupe.

44

Auditoria de Sistemas TI 2010 B. Para el personal académico: a) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será hasta 1.5 veces de su salario integrado vigente. C. Para el personal operativo: a) El monto máximo de compensación global mensual, del total de proyectos en los que participen, será hasta 1.5 veces su salario vigente. 18. El monto máximo de remuneración mensual se asignará con base en la responsabilidad dentro del proyecto y el tiempo adicional a su jornada laboral la cual no podrá ser mayor a cuatro horas diarias. El personal que participe en el desarrollo de un proyecto específico estará sujeto a los controles establecidos por el Organismo Descentralizado. Capítulo IV Del Activo Fijo 19. Los bienes muebles e inmuebles adquiridos con recursos externos, en todos los casos, formarán parte del patrimonio del Organismo Descentralizado, por lo que deberán estar debidamente inventariados y resguardados conforme a la normatividad vigente. Transitorios PRIMERO. Estos lineamientos entrarán en vigor el 1 de enero de 2003. SEGUNDO. Los presentes lineamientos se aplicarán a los recursos que se reciban a partir de su entrada en vigor, los estudios o trabajos que actualmente se vienen realizando con aportaciones externas se ajustarán en un plazo no mayor de 180 días naturales después de su entrada en vigor. TERCERO. Se concede un plazo de 90 días naturales para que se actualice el manual de procedimientos para el registro, operación e información sobre recursos externos. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia. 45

Auditoria de Sistemas TI 2010 Los objetivos de la auditoría Informática son: El control de la función informática El análisis de la eficiencia de los Sistemas Informáticos La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como: Eficiencia Eficacia Rentabilidad Seguridad Generalmente se puede desarrollar en alguna o combinación de las siguientes areas: Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protection y Seguridad. Planes de continuidad y Recuperación de desastres La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL. Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación

46