Guía de Auditoría de La Tecnología de La Información

Material de Apoyo

AUDITORIA DE LA TECNOLOGÌ A DE LA INFORMACIÒN

Curso Virtual

AUDITORIA DE LA TECNOLOGÍA DE LA INFORMACIÓN La auditoría informática aparece en respuesta al desarrollo acelerado de la informática y tecnología, que hace necesario la actualización y adaptación constante, tanto de los escenarios como controles a proponer e implementar en una entidad. Hoy en día la información se ha convertido en uno de los activos principales de las empresas, y es la base de la mayoría de las decisiones adoptadas por los directivos; dando origen a los sistemas de información, por lo cual surge la necesidad de verificar y evaluar estos sistemas, y determinar si son eficaces y eficientes, así como la adopción de sistemas y procedimientos para la protección de los mismos. El fácil acceso a la información, debido al rápido avance de la tecnología, ha generado que las organizaciones hagan un uso más frecuente de las TICs (Tecnologías de la información y la comunicación), lo que por una parte ha ayudado a automatizar y agilizar procesos; pero por otro lado, ha generado situaciones, tales como, la fuga de información, robo y modificación ilegal de datos, pérdida de capacidad de procesamiento, daño de equipos, entre otras, que han hecho susceptibles a las organizaciones y provocado en algunas, grandes pérdidas. Es por esto, que el papel de los auditores informáticos es fundamental para minimizar los riesgos de fraude y de malversación de los recursos informáticos, y ayudar a aprovechar al máximo los recursos informáticos en una entidad; por lo tanto existe una gran necesidad de su formación, capacitación y actualización continua. Garantizar un control y administración adecuada de los recursos informáticos, ayuda en la prevención, detección y corrección oportuna de cualquier falla, acciones que con la ayuda de una auditoria informática, fortalecen el entorno informático de la entidad. El centro informático tiene entonces, una importancia crucial debido a que soporta los sistemas de información del negocio, aumentando las necesidades de control y auditoria en la entidad, aún más teniendo en cuenta que hoy en día las empresas han tenido que reorganizarse y tomar medidas como la restructuración de los procesos empresariales (BPR, Bussiness Process Re-Engineering), Gestión de Calidad Total (TQM, Total Quality Management), Contratación externa (Outsourcing), entre otras. En una auditoria, el auditor emite una opinión profesional sobre si el objeto analizado, se presenta acorde a la realidad y cumple con las características prescritas. De esta manera, una auditoria informática consiste en la revisión, evaluación y valoración sistémica de la aplicabilidad de controles generales y específicos, con el fin de salvaguardar los recursos informáticos de una entidad, mantener la integridad de los datos y utilizar eficientemente los recursos. Este trabajo tiene como objeto de estudio los recursos informáticos, tales como hardware, software, bases de datos, redes, o instalaciones; e implica la creación, apropiación y adaptación de metodologías y procedimientos de desarrollo de auditoria informática, que orienten y guíen al auditor de manera eficiente y eficaz, con el fin de proporcionar una seguridad razonable de lo que se afirma. Por consiguiente, el auditor debe estar preparado para encontrar diferentes entornos informáticos en las empresas, debido a que mientras unas empresas cuentan con una infraestructura actualizada y a la vanguardia de las tecnologías de información, otras están iniciando los procesos informáticos. Estos entornos heterogéneos requieren que el auditor esté preparado para actuar en dos áreas, la auditoria y la informática; el auditor debe revisar, diagnosticar y controlar los sistemas de información y los sistemas informáticos. Por lo tanto el auditor debe trabajar en las áreas de seguridad, control interno operativo, eficacia y eficiencia, tecnología informática, continuidad de operaciones y gestión de riesgos, así como tener conocimiento en:

1 www.auditool.org

              

Desarrollo informático y gestión de proyectos Gestión del departamento de sistemas Análisis de riesgos en un ambiente informático Sistemas operativos Telecomunicaciones Gestión de bases de datos Redes Seguridad física y lógica de los sistemas Operaciones y planificación informática Gestión de planes de contingencia Gestión de problemas y de cambios en los entornos informáticos Administración de datos Ofimática Comercio electrónico Encriptación de datos

Este curso tiene como objetivo presentar al auditor, en primera medida, conceptos claros de sistemas informáticos, tecnología de información y seguridad informática, para luego presentar la auditoria informática, su concepto y área de trabajo, objetivos, etapas y tipos de auditoria dentro de la auditoria informática. Esta información le brinda al auditor las herramientas necesarias para el desarrollo exitoso de una auditoria informática. Finalmente, se presenta la estructura del modelo COBIT, establecido por ISACA. SISTEMAS DE INFORMACIÓN Los datos son símbolos que describen condiciones, hechos, situaciones, o valores; los cuales al estar en conjunto se convierten en información, la cual obtiene un significado e importancia dentro del ámbito que se maneje. La mayoría de los datos que maneja una entidad, ya sean contables, de fabricación, de recursos humanos, entre otros, son recolectados, tratados, y almacenados en sistemas informáticos, los cuales sirven para prestar un servicio específico, y para la toma de decisiones en una organización. La información puede envolver cuatro niveles:  Técnico: Aspectos de eficiencia y capacidad de los canales de transmisión.  Semántico: Significado de la información.  Pragmático: Contexto especifico del receptor.  Normativo: Uso de la información. Estos niveles deben ser abarcados por la informática, entendida como la utilización de las aplicaciones del computador para almacenar y procesar información, debido a que el uso de medios electrónicos permite manejar la información de forma rápida y a grandes volúmenes, así como, duplicar y distribuir la información de forma sorprendente, haciendo necesario un control más grande en el cuarto nivel, asegurando que la información sea usada y manipulada por personas autorizadas para fines correctos y establecidos en una empresa. Un sistema de información se define como un conjunto de componentes que interactúan para que la empresa alcance los objetivos planteados de manera satisfactoria. Estos componentes son datos, aplicaciones, tecnología, instalaciones y personal.

2 www.auditool.org

NORMAS

CONTROL ENTRADA

PERSONAL

SALIDA

PROCESOS

APLICACIONES

TECNOLOGIA

INSTALACIONES

DATOS

La creación de un sistema de información para una empresa, comprende aspectos como, función de análisis de sistemas de información, función de diseño y construcción de sistemas de información, administración y control de sistemas de información y el entorno operativo de los sistemas de información, hasta llegar a la adaptación e implementación de la tecnología de información, seguridad y gestión en la función informática, y procesamiento electrónico de los datos. Este proceso inicia con la función de análisis de los sistemas de información, que permite definir los requerimientos y necesidades de información y especificar la funcionalidad del sistema ideal de información. A través de diagramas de flujo, en esta función se realiza la modelación conceptual de la información o laicalización de las funciones de la organización. Cuando no se realiza un análisis adecuado de los sistemas de información pueden presentarse problemas como:      

Falta de integralidad entre las aplicaciones Información redundante Un departamento informático caótico y sin un plan estratégico de sistemas e información Aplicaciones que no soportan la misión de la empresa Sistemas de información de vida útil corta Falta de políticas de mantenimiento de los sistemas

La función de diseño y construcción de sistemas de información comprende el modelamiento de la solución de información ideal a implementar en la organización, por lo cual la actividad más importante a realizar, es la definición del esquema o estructura lógica de la base de datos. Acompañada a esta actividad se realiza el diseño externo o interfaz de usuario, durante la cual se diseñan las pantallas, menús y reportes que cubren las necesidades de información de los usuarios, y recolección e introducción de datos al sistema. Si esta función no se desarrolla adecuadamente, pueden presentarse los siguientes problemas:   

Sistemas de difícil operación, ineficaces, inseguros y con vida útil corta. Sistemas que no propician la integralidad con otros sistemas de información de la organización. Sistemas con redundancia de datos

La administración y control de los sistemas de información comprenden todos los aspectos relacionados al desarrollo de los sistemas de información, relacionados a los lineamientos y políticas establecidas en la empresa. Sin una buena administración y control de los sistemas de información se pueden generar problemas como:

3 www.auditool.org

   

Ausencia de políticas y objetivos corporativos Inexistencia de un plan estratégico y sistema de control interno en la entidad Recursos informáticos obsoletos Falta de metodologías y estrategias para gerenciar proyectos de tecnología de información

La productividad de un sistema de información implica las políticas de operación y los recursos de infraestructura, que garanticen la prestación eficiente de un servicio, facilitando a los usuarios información oportuna y confiable. Esta función debe incluir un mantenimiento preventivo oportuno y apropiado de los equipos, así como la instalación de nuevos cuando sea necesario. Algunos problemas que se pueden presentar por una inadecuada operación de los sistemas de información son:     

Falta de políticas, normas y procedimientos de operación y mantenimiento de los sistemas Inapropiada infraestructura locativa y eléctrica Escasa infraestructura de hardware y software Obsoleta infraestructura de comunicaciones Presupuesto insuficiente

Análisis de sistemas de informacion

Diseño y construccion de sistemas de informacion

Administracion y control de sistemas de informacion

Entorno operativo de los sistemas de informacion

Adaptacion e implementacionde tecnologia de informacion

Seguridad y gestion de la funcion informatica

Procesamiento electronico de los datos

Clasificación de los sistemas de información De acuerdo al nivel organizacional y función, los sistemas se clasifican en:  Sistemas de información según el nivel organizacional que respaldan  Sistemas a nivel operativo: Sistemas diseñados para apoyar a los gerentes operativos en el seguimiento de las actividades y transacciones de la organización, tales como ventas, ingresos, nomina, flujo de materiales, entre otros. Ejemplo: Sistema de procesamiento de transacciones (SPT), Transaction Processin System (TPS).  Sistemas a nivel de conocimiento: Apoyan a los trabajadores del conocimiento y datos de una organización. Ejemplo: Sistema del trabajo del conocimiento (STC), Knowledge Work system (KWS), Sistemas de Oficina (SO), Office System (OS).  Sistemas a nivel administrativo: Sirven a las actividades de supervisión, control, toma de decisiones y administrativas de la gerencia. Ejemplo: Sistema de

4 www.auditool.org





Sistemas de información según la función organizacional a que dan servicio    



Información Gerencial (SIG), Management Information System (MIS), Sistema de apoyo a la toma de decisiones (SAD), Decision Support System (DSS). Sistemas a nivel estratégico: Apoyan a los directivos para enfrentar y resolver aspectos estratégicos y tendencias a largo plazo, tanto en la empresa como en el entorno, y permiten adquirir una ventaja competitiva. Ejemplo: Sistemas de apoyo a ejecutivos (SAE), Executive Support Systems (ESS).

Sistemas de ventas y marketing Sistemas de manufactura y producción Sistemas de finanzas y contabilidad Sistemas de recursos humanos

Aplicaciones empresariales especificas 

 

Sistemas empresariales, ERP, Enterprise Resource Planning, Planeación de recursos empresariales: Son sistemas que integran aplicaciones informáticas para gestionar todos los departamentos y funciones de una empresa. Estos sistemas influyen en cuatro dimensiones de la empresa: estructura de la empresa, proceso administrativo, plataforma tecnológica, y capacidad de negocios. Sistemas de administración de la cadena de abastecimiento, SCM, Supply Chain Management: Son sistemas enfocados a que la empresa administre su relación con los proveedores. Administración de la relación con el cliente, Customer Relationship Management: Metodología, información y procesos que le permiten a una empresa administrar sus contactos con los clientes de una forma organizada y adecuada.

TECNOLOGIA DE INFORMACIÓN Las exigencias del mundo de hoy han hecho que la forma de manejar una empresa cambie y se adapte a las necesidades de sus usuarios y clientes. Una de estas, es la tecnología de información, la cual en los últimos años ha alcanzado una gran amplitud e impacto en diferentes sectores, cambiando así la forma y el lugar para hacer el trabajo. Ahora, las organizaciones deben satisfacer la calidad, requerimientos y seguridad de su información, a través de la optimización de los recursos de TI disponibles, incluyendo aplicaciones, información, infraestructura y personal. Las primeras generaciones de computadoras se limitaban a guardar los registros y monitorear el desempeño operativo de una entidad, sin embargo la información no era pertinente ya que esta obedecía a tiempos pasados y desactualizados dentro de los distintos procesos de las entidades. Con los nuevos avances tecnológicos, las tecnologías hacen posible capturar y utilizar la información en el momento en que se crea, es decir procesos en línea. Cuando se llevan a cabo las distintas labores de una entidad apoyadas en la tecnología de la información se beneficia con un procesamiento más rápido y confiable de los datos, por lo tanto la información que resulta es favorecida con mayor movilidad y de fácil acceso, además de proveer una visión de más integralidad. La tecnología de información, TI, se refiere al uso de la tecnología para el manejo y procesamiento de información, como lo es la captura, procesamiento, almacenamiento, protección y recuperación de datos e información, para la toma oportuna y eficiente de decisiones, evidenciando así una gestión pertinente, apropiada y precisa para los distintos procesos de la entidad.

5 www.auditool.org

En una empresa debe existir un departamento o área que se encargue de estudiar, diseñar, desarrollar, implementar y administrar los sistemas de información, utilizados para el manejo de la información dentro de la empresa, para gestionar los procesos del negocio, como lo son los registros financieros y transaccionales, registros de empleados, facturación, pagos, compras, entre otros. El uso de TI garantiza ventajas en competitividad en la empresa, debido a que puede:         

Obtener presencia y reconocimiento a través de internet. Mantener un control exacto y preciso de los procesos de la entidad u organización. Tomar decisiones argumentadas por medio de métodos cuantitativos. Uso de la comunicación oportuna e inmediata en todos los niveles de la entidad u organización. Acceso a procesos en línea. Usar herramientas que le permiten diferenciar sus recursos humanos, productos y servicios en relación a sus competidores. Facilita la evaluación y medición de distintos procesos de la entidad u organización. Acoger buenas prácticas que aportan a la alta calidad, seguridad y confiabilidad de los servicios de la entidad u organización. Beneficia tiempos, costos y calidad en los distintos procesos de la entidad u organización, con el diseño e implementación de métodos apropiados y actualizados.

SEGURIDAD INFORMÁTICA La seguridad informática es el conjunto de hardware, software y procedimientos establecidos para asegurar que personal no autorizado acceda a la información, o el personal que maneja los sistemas realice operaciones que puedan poner en peligro el sistema y los datos. Para esto la organización debe establecer controles informáticos para prevenir, detectar o corregir cualquier falla en la seguridad informática. El aseguramiento de la información es imprescindible para la toma de decisiones en la empresa; si no se garantiza que la información sobre la que se sustentan es confiable, segura y está disponible, las decisiones de la dirección de la empresa no tendrán validez. Por esta razón, además de la auditoria informática, las empresas deben implementar un Plan de Seguridad, que permita llevar a cabo el análisis de riesgos, debido a que la auditoria identifica el nivel de exposición que pueda tener la empresa por falta de controles. El acceso a la información de la empresa debe estar restringido y organizado, por lo tanto se deben establecer controles de acceso, los cuales encierran los siguientes aspectos:       

Separación de funciones entre los usuarios del sistema con perfiles definidos, de acuerdo a la información que manejan. Integridad de los log, e imposibilidad de desactivarlos por ningún perfil para revisarlos. Legibles e interpretables por control informático. Contraseña única para los distintos sistemas de red, con autentificación de entrada una sola vez, y controles de derechos de uso. Contraseña y archivos con perfiles y derechos inaccesibles a todos, incluyendo a los administradores de la seguridad. El sistema debe rechazar e inhabilitar a los usuarios que no usan las claves o los derechos de uso correctamente, y avisar a control informático. Cambio de contraseñas periódicamente. Uso de mecanismos de auto-logout, el cual saca del sistema al usuario después de un tiempo determinado.

6 www.auditool.org

AUDITORIA INFORMATICA Los sistemas de información de las empresas cada vez son más dependientes de la informática, sistemas de cómputo y tecnologías de información, lo que hace necesario verificar su correcto funcionamiento y eficiencia, para evitar cualquier riesgo de fraude o pérdida de información con ayuda de los computadores. Es así como, la auditoria informática cobra una real importancia para las empresas, más aun teniendo en cuenta que la información se ha convertido en uno de los activos principales, y que las inversiones en sistemas de información son cada vez más grandes Sin embargo hoy en día todavía existen empresas que no asimilan las nuevas tecnologías, manejan aplicaciones obsoletas, no planifican los sistemas de información, e incluso llevan a cabo procesos manuales difíciles y costosos. Esto no solo causa pérdidas a las entidades sino que representa riesgos en el manejo de la información. La auditoría informática aquí juega un papel primordial, porque aporta soluciones tanto en el reconocimiento de fallas o indicios de un mal procedimiento, que pueda tener consecuencias negativas para la empresa, como una forma de mejorar los procesos en el ámbito de la informática aportando al funcionamiento general de la empresa y a la reducción de costos. Ante estas situaciones, y los rápidos cambios en el mundo, los directivos deben tomar decisiones para revaluar y restructurar sus sistemas de información y controles internos, asegurando la integridad de la información.

Concepto La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados, que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Además, la auditoria permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes. El desarrollo de una auditoria informática es importante debido a que permite identificar fortalezas, debilidades y riesgos en la gestión de proyectos, funcionalidad de los sistemas de información, configuración de la plataforma informática, calidad en los servicios prestados, y demás aspectos incluidos en el ámbito del uso y aplicación de las Tics en la entidad. A partir de esta información, el auditor puede brindar recomendaciones y propuestas para el mejoramiento de los procesos de la entidad, dando así soluciones integrales y un apoyo para el logro de los objetivos establecidos en la entidad. La auditoría informática se puede desarrollar de dos maneras, por medio de una auditoria interna, aquella que se hace dentro de la empresa por un auditor interno; y auditoria externa, como su nombre lo indica es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su empresa. Asimismo, la auditoria informática se desarrolla en tres etapas, que aseguran su eficacia y eficiencia, planeación, ejecución e información. Estas etapas se llevan a cabo consecutivamente, y permiten una retroalimentación constante durante el desarrollo de la auditoria, garantizando así su calidad y pertinencia.

7 www.auditool.org

El auditor durante el desarrollo de la auditoria adquiere responsabilidades, tanto en el ejercicio de la auditoria como en la planeación y ejecución de la misma. Al aceptar la auditoria, el auditor debe definir sus objetivos y alcance, y planificar y evaluar los siguientes aspectos, trabajando bajo unos principios éticos:             

Realización de un estudio inicial o diagnostico organizacional Determinación de perfiles del equipo de trabajo Elaboración de planes de evaluación Elaboración de programas de control interno Diseño de los cuestionarios de control interno Definición del riesgo computacional Aplicación de pruebas de auditoria Contar con el apoyo de la dirección Solicitar con antelación la información necesaria Análisis de datos con software de auditoria Elaboración del informa final Formulación de conclusiones y recomendaciones Realización de auditoria de seguimiento

Estas responsabilidades están contempladas en los diferentes aspectos de la auditoria informática, que permiten establecer el ámbito de actuación del auditor. Los aspectos funcionales se enfocan a la adecuación de los sistemas en función de las necesidades reales y la evaluación del rendimiento y fiabilidad de los mismos. Los aspectos económicos relacionados con la informática le permitirán al auditor conocer sobre los presupuestos del servicio informático o los costos del desarrollo de un plan de sistemas. Los aspectos técnicos envuelven los equipos, periféricos, procedimientos de captura de datos, redes, comunicaciones, entre otros. Los aspectos de dirección, contemplan las indicaciones hacia los planes informáticos, en cuanto a su adecuación y seguimiento. Finalmente, los aspectos de seguridad se relacionan a la confidencialidad de los datos, seguridad de acceso, protección de las instalaciones, y demás factores que garanticen la seguridad de los sistemas informáticos.

CAMPO DE ACCION DEL AUDITOR

Evaluación administrativa del área informática

Evaluación de los sistemas y procedimientos, y de la eficacia que se tiene en el uso de la información. Evaluación de la eficiencia y eficacia con la que se trabaja.

ELEMENTOS Objetivos del departamento, dirección o gerencia. Metas, planes, políticas y procedimientos de procesos electrónicos estándares. Organización del área y su estructura orgánica. Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos. Integración de los recursos materiales y técnicos. Dirección y controles administrativos del área de procesos electrónicos. Costos y controles presupuestales. Evaluación del análisis de los sistemas y sus diferentes etapas. Evaluación del diseño lógico del sistema. Evaluación del desarrollo físico del sistema. Facilidades para la elaboración de los sistemas. Control de proyectos. Control de sistemas y programación. Instructivos y documentación. Formas de implantación.

8 www.auditool.org

Evaluación del proceso de datos, de los sistemas y equipos de cómputo (software, hardware, redes, bases de datos y comunicaciones).

Seguridad y confidencialidad de la información.

Aspectos legales de los sistemas de información.

Seguridad física y lógica de los sistemas. Confidencialidad de los sistemas. Control de mantenimiento y forma de respaldo de los sistemas. Utilización de los sistemas. Prevención de factores que puedan causar contingencias; seguros y recuperación en caso de desastres. Productividad. Derechos de autor y secretos industriales. Control de los datos fuente y manejo de cifras de control. Control de operación. Control de salida. Control de asignación de trabajo. Control de medios de almacenamiento masivos. Control de otros elementos de cómputo. Control de medios de comunicación. Orden en el centro de cómputo. Seguridad física y lógica. Confidencialidad. Respaldos. Seguridad del personal. Seguros. Seguridad en la utilización de los equipos. Plan de contingencia y procedimiento de respaldo para casos de desastre. Restauración de equipo y de sistemas. Cumplimiento de las normas y leyes pertinentes.

El departamento o área de informática en una empresa, debe llevar a cabo un control interno informático, que permita controlar las actividades diarias de los sistemas de información y verificar si estas cumplen a cabalidad con los procedimientos, estándares y normas pertinentes, tanto dentro de la empresa como las establecidas nacional e internacionalmente. El trabajo realizado en control interno informático colabora y apoya el trabajo de la auditoria informática. Perfil del auditor Para el desarrollo de una auditoria informática exitosa, el auditor debe ser un profesional con un alto grado de conocimiento en informática y suficiente experiencia en el área, así como habilidad para comunicarse efectivamente y dar un trato adecuado a las personas. El auditor, ya sea interno o externo, debe ser independiente de las actividades que audita, asegurando un trabajo objetivo y profesional. Al momento que el auditor acepta el trabajo de auditoria, está aceptando la responsabilidad de actuar a favor del interés público, cumpliendo no solo las necesidades de su cliente, sino acogiéndose a los requisitos establecidos en el Código de Ética para profesionales, el cual establece los principios fundamentales de ética profesional relevantes al auditor cuando conduce una auditoria, estos principios son:

9 www.auditool.org

    

Integridad: El auditor debe ser sincero y honesto en todas las relaciones profesionales y de negocios. Objetividad: El auditor no debe permitir que favoritismos o conflictos de interés influyan en sus juicios profesionales. Competencia profesional y debido cuidado: El auditor debe mantener sus habilidades y conocimientos profesionales en el nivel apropiado y actualizados, para prestar un servicio de calidad y competente, de acuerdo a las legislaciones o regulaciones vigentes. Confidencialidad: El auditor debe respetar la confidencialidad de la información obtenida como resultado de su trabajo, y no debe revelar la información a terceros que no cuenten con la debida autorización. Conducta profesional: El auditor debe cumplir con los reglamentos y leyes relevantes, así como rechazar cualquier acción que desacredite a la profesión.

1.1 Objetivos    

     

Verificar si los riesgos del negocio y de Tecnología de información han sido identificados y gestionados apropiadamente. Salvaguardar los activos, en términos de protección de hardware, software y recursos humanos. Verificar control interno. Control de la función informática:  Verificar que las aplicaciones proporcionen información oportuna, exacta, necesaria y suficiente.  Revisar las medidas de seguridad, integridad de la información, procedimientos de operación, infraestructura de sistemas, procedimientos de mantenimiento, proceso de desarrollo de sistemas, software y hardware.  Revisar y evaluar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información. Análisis de la eficiencia de los sistemas informáticos y el estado del arte tecnológico de las instalaciones. Análisis de la gestión de los riesgos de la información y de la seguridad implícita. Diagnosticar el grado de cobertura de las aplicaciones a las necesidades estratégicas y operativas de la información de la organización. Verificación del cumplimiento de la normatividad de la empresa Verificar la protección de activos e integridad de los datos y nivel de continuidad de las operaciones. Revisión de la eficaz gestión de los recursos materiales y humanos informáticos

Control interno informático El control interno informático controla diariamente todas las actividades de los sistemas de información para asegurar que se estén cumpliendo los procedimientos, estándares y normas pertinentes dentro de la entidad. Esta tarea la lleva a cabo el personal asignado dentro del departamento de informática en la entidad, quienes tienen como objetivos:    

Controlar que todas las actividades sean realizadas de acuerdo a los procedimientos, estándares y normas establecidas y pertinentes. Asesorar sobre las normas y regulaciones pertinentes. Colaborar y apoyar el trabajo de la auditoria informática. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro.

10 www.auditool.org

 

Asegurar que las modificaciones de los procedimientos, correspondientes al mantenimiento, están adecuadamente diseñadas, probadas, aprobadas e implementadas. Garantizar la protección en los procedimientos programados, evitando así cambios no autorizados.

Los controles se clasifican en controles preventivos, detectivos y correctivos, definidos de la siguiente manera:   

Controles preventivos: Implica el software de seguridad que impide los accesos no autorizados al sistema. Controles detectivos: En caso de que los controles preventivos no funcionen correctamente, los controles detectivos deben estar atentos para reconocer cualquier eventualidad. Controles correctivos: Son la corrección de las fallas que se han producido, permitiendo que el sistema vuelva a su normalidad.

Para determinar la implementación de controles es importante conocer el sistema, sus elementos, productos y herramientas; lo que permite identificar los posibles riesgos. Este conocimiento envuelve el entorno de red, configuración del computador base, entorno de aplicaciones, productos y herramientas, y seguridad del computador base. La responsabilidad de este sistema de control interno informático es de la gerencia o dirección de la empresa, quienes deben definir las normas de funcionamiento del entorno informático mediante el establecimiento de procedimientos, estándares, metodologías y normas a seguir. Controles internos: 

Controles generales organizativos       



Controles de desarrollo, adquisición y mantenimiento de sistemas de información: Permiten alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento de las leyes y regulaciones.  



Políticas: Son base para la planificación, control y evaluación de las actividades del departamento de informática. Planificación: Realización del plan estratégico de información, plan informático, plan general de seguridad física y lógica, y plan de emergencia ante desastres. Estándares: Regulan la adquisición de recursos, el diseño, desarrollo y modificación y explotación de sistemas. Procedimientos: Describen la forma y responsabilidades de ejecución para regular las relaciones entre el departamento de informática y los usuarios. Funciones y responsabilidades dentro del departamento. Políticas de selección, capacitación y evaluación del personal. Autorización y control de accesos al sistema.

Metodología del ciclo de vida del desarrollo de sistemas Explotación y mantenimiento: Asegurar que los datos se tratan de forma congruente y exacta, y que los cambios solo se realizaran con las autorizaciones pertinentes.

Controles de explotación de sistemas de información 

Planificación y gestión de recursos: Definición de presupuesto operativo, plan de adquisición de equipos, y gestión de la capacidad de equipos.

11 www.auditool.org

   

Controles para uso de los recursos: Calendario de carga de trabajo, programación de personal, mantenimiento preventivo, gestión de problemas y cambios, procedimientos de facturación a usuarios, soportes. Procedimientos de selección del software del sistema, de instalación, de mantenimiento, seguridad y control de cambios. Seguridad física y lógica

Controles específicos de ciertas tecnologías   

Controles en sistemas de gestión de bases de datos Controles en informática distribuida y redes Controles sobre computadores personales y redes de área local

Etapas de una auditoria informática Para que la auditoria informática se desarrolle apropiadamente, esta se debe llevar a cabo en tres etapas bien definidas, planeación, ejecución, e información. Planeación La planeación de la auditoria debe hacerse cuidadosa y objetivamente. Esta función de planear la auditoria se desarrolla en tres procesos: conocimiento general de la entidad, definición del ámbito y alcance de la auditoria, y definición del programa de auditoria; procesos que permiten llevar a cabo la auditoria de una manera eficaz y eficiente. El proceso de planeación comprende el establecer metas, programas de trabajo de auditoria, planes de contratación de personal, presupuesto financiero, e informes de actividades. De esta manera, esta etapa inicia con un diagnostico general de la organización o entidad, en torno a los ambientes organizacional, informático y de control interno; que permite reconocer los sistemas y procesos dentro de la entidad, y a su vez identificar cualquier falla o anomalía que afecte los mismos. Esta información permite que el auditor establezca el alcance y planeación de los procedimientos a seguir, así como:    

Destinatario de las conclusiones, documentación a entregar y fechas. Información y documentación previa a solicitar (informes previos de auditoría, organigrama funcional y departamental, esquema de arquitecturas, procesos o interfaces). Programas de trabajo detallados y estándares que se van a seguir (COBIT, ISO). Identificación de interlocutores (administradores de bases de datos, responsables de la seguridad) e identificación de herramientas tecnológicas para la realización del trabajo.

Conocimiento general de la entidad El conocimiento de la entidad inicia desde la dirección y su plan estratégico corporativo, que contiene todos los lineamientos y políticas por las que se rige la empresa, así como su visión y misión. Todos los proyectos desarrollados en la empresa están bajo el plan estratégico, y deben obedecer a las necesidades de información de cada área de la empresa. La satisfacción de estas necesidades originan un plan estratégico informático y de sistemas, que une todos los recursos tanto de personal como tecnológicos, para la creación de estrategias informáticas, orientadas a la integralidad eficiente para la producción y gestión inteligente de información para la administración, operación y control de la empresa, así como la atención oportuna, eficaz y segura de clientes y proveedores. En este sentido, el auditor debe evaluar las funciones que la alta gerencia debe realizar:

12 www.auditool.org

    

Planeación: Determinar los objetivos del área y la forma en que se van a lograr. Organización: Proveer las facilidades, estructura, división del trabajo, responsabilidades, actividades de grupo y personal, necesarios para realizar las metas. Recursos humanos: Selección, capacitación y entrenamiento del personal requerido para realizar las metas. Dirección: Coordinar las actividades y procesos dentro del área, con liderazgo, guía y motivando al personal. Control: Comparar lo real con lo planeado, de tal manera que se identifiquen problemas o anomalías, para realizar los ajustes necesarios.

Por ende el auditor debe tener en cuenta los siguientes aspectos:                 

Estructura organizacional: Revisión de jerarquía, estructura orgánica, funciones y objetivos. Políticas corporativas Plan estratégico corporativo Manual de funciones Presupuesto Indicadores de gestión Misión y visión Planta de cargos, número de personas y distribución por áreas Plan anual operativo Plan de capacitación Recursos humanos Políticas de selección y administración del recurso humano Matriz DOFA Plan de contingencias Distribución geográfica Soporte legal de las funciones Plan de calidad

ESTRATEGIA CORPORATIVA NECESIDADES DE INFORMACION ESTRATEGIA INFORMATICA PLAN ESTRATEGICO INFORMATICO Y DE SISTEMAS AUDITORIA INFORMATICA

13 www.auditool.org

Evaluación de control interno Al evaluar el área de control interno de la empresa, el auditor debe verificar las actividades, operaciones y actuaciones, administración de recursos en relación a las normas y políticas legales y definidas por la dirección de la empresa. Para esto debe tener en cuenta aspectos como:          

Estructura de la auditoria interna Funciones de control Plan anual de revisión Plan de contingencias Políticas y normatividad de control y protección Valoración de riesgos Evaluaciones anteriores Estructura funcional Objetivos y metas del control interno Tipos de control

El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX, es el diseñado por el Comité de organizaciones patrocinadoras de la Comisión Treadway, COSO, en cuál fue diseñado con el fin de estudiar los factores que llevaran a acciones fraudulentas en las operaciones de una organización; y permite evaluar el sistema de control interno implementado en la organización. El modelo COSO comprende cinco componentes de control, que permiten lograr los objetivos de control para alcanzar los objetivos del negocio y cumplir con las normas y regulaciones pertinentes, estos son: 



Ambiente de control: Factores que inciden en el ambiente de control, tales como integridad y valores morales del personal, contratación de personal de calidad, capacidad de identificación de riesgos operacionales, entrenamiento especializado sobre la aplicación de controles internos, y roles y responsabilidades de la junta y comité de auditoría. Evaluación de riesgos: Procedimientos para identificar cambios externos que puedan afectar a la organización; herramientas y metodologías para la identificación, evaluación y medición de los riesgos operacionales y evaluación periódica de riesgos en las diferentes áreas de la organización.



Actividades de control: Acciones tomadas para implementar políticas y estándares dentro de la organización. Estas actividades incluyen administración de los riesgos operacionales, control de acceso a los sistemas de información y recursos informáticos, controles para mitigar errores operacionales, y evaluación de controles generales de cómputo asociados al área de TI.



Información y comunicación: Información suficiente para la toma de decisiones, información adecuada y oportuna de los sistemas de información, y comunicación apropiada entre los diferentes departamentos de la organización, disponibilidad de medios para comunicar irregularidades y resultados de alta gerencia de la organización.



Monitoreo: Monitoreo continuo del sistema de control para asegurar que opera efectivamente, a través de actividades de supervisión, auditoria interna, monitoreo permanente de los indicadores de riesgos operacionales y situaciones críticas, efectividad de los controles implantados, y disponibilidad de herramientas.

14 www.auditool.org

Área informática En cuanto al área informática el diagnostico comprende la revisión y evaluación de la organización, administración, operación, seguridad, infraestructura de computo, procesamientos electrónico de datos, y herramientas de tecnología de información. El auditor debe tener en cuenta los siguientes aspectos:  



  



Estructura de funciones del área de sistemas Estudios de viabilidad: Análisis de costos y beneficios sobre el uso de los computadores a largo plazo, definiendo tipo de hardware, software, periféricos, y equipo de comunicaciones, necesarios para lograr los objetivos de la organización y el departamento de informática. De la misma manera, este estudio permite evaluar si un procedimiento puede ser llevado a cabo por el computador, y cuáles son las alternativas para un mejor resultado. Los resultados del estudio de viabilidad deben ser distribuidos al personal de informática, como base y soporte para la compra, contratación o elaboración de un proyecto. Plan estratégico de sistemas e informático: Definición de objetivos a largo plazo y las metas necesarias para lograrlos. Este plan envuelve el plan estratégico de organización, plan estratégico de sistemas de información, plan de requerimientos y plan de aplicaciones de sistemas de información. Plan de proyectos: Plan básico para desarrollar un sistema y asegurar que el proyecto es consistente con las metas y objetivos de la organización. Plan estratégico de instalaciones Plan de seguridad: Debido a que las instalaciones de informática están expuestas a desastres por varias razones, huracanes, inundaciones, fuego, terremotos, entre otros; debe existir un plan que permita reducir los riesgos a un nivel aceptable, planeando los seguros que se deban obtener, y el plan de recuperación en caso de un desastre, que permita garantizar el funcionamiento de las operaciones en el menor tiempo posibles y con el menor impacto para la organización. Plan de contingencias: En la organización pueden ocurrir diferentes accidentes debido a mal manejo de la administración, negligencia, ataques o desastres naturales. Es por esto que la organización debe contar con un plan de contingencia que prevea cualquier riesgo que afecta a la organización y determinar cuáles son las acciones a seguir. El plan de contingencias es definido como la identificación y protección de los procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecución, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organización en caso de desastre. Este plan debe asegurar la continuidad de las operaciones o la restauración de los equipos en el menor tiempo posible, evitando consecuencias negativas para la entidad. De la misma manera, el plan de seguridad debe garantizar la integridad y exactitud de los datos, permitir identificar la información confidencial, proteger los activos de desastres naturales u ocasionados por el hombre, asegurar la capacidad de la organización para sobrevivir a las eventualidades. El plan de contingencia debe ser probado, sobre la base de que puede ocurrir un desastre, para evaluar si responde adecuadamente. En la elaboración del plan de contingencias debe intervenir los niveles ejecutivos de la organización y el personal usuario y técnico de los procesos, quienes determinaran el desarrollo del plan de contingencias, el cual envuelve: 

Planificación: Definición del alcance, fases del plan de eventos, estrategia de planificación de la continuidad del negocio, identificación y asignación de los grupos de trabajo, definición de roles y responsabilidades.

15 www.auditool.org

Elaboración del directorio de emergencia. Objetivos del plan de contingencia: 

elementos considerados como críticos, que componen los sistemas de información.  Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen el sistema de información. Aprobación y respaldo de la empresa y directivos. 

Identificación y Análisis de Riesgos: Esta fase busca minimizar las fallas que se puedan generar en los sistemas de información, a partir del análisis de los proyectos en desarrollo. Es importante realizar un análisis de impacto económico y legal, y determinar el efecto de las fallas de los principales sistemas de información y producción de la organización. Este análisis se lleva a cabo teniendo en cuenta: Un diagnóstico integral del sistema de información. Listado de servicios afectados, evaluando su importancia y magnitud de impacto. Identificación de todos los procesos de los servicios afectados. Análisis de los procesos críticos de los servicios. La naturaleza, extensión y complejidad de las actividades de la organización. Grado de riesgo al que la organización está expuesto. Tamaño de las instalaciones de la organización. Evaluación de los procesos considerados como críticos. Número de procesos críticos.

  

Análisis del impacto en la organización Identificación de soluciones: Identificación de alternativas, eventos activadores, y soluciones. Selección de la estrategia: Las estrategias permiten identificar prioridades y determinar en forma razonable las soluciones, algunas de estas pueden ser: Respaldar toda la información importante en medio magnética. Generar discos de arranque de acuerdo a los sistemas operativos, libres de virus y protegidos contra escritura. Mantener copia de antivirus actualizado para emergencias. Guardar una copia impresa de la documentación de los sistemas e interfaces, y planes de contingencia definidos. Ubicación y disposición adecuada del centro de cómputo. Control de accesos Vigilancia Control adecuado y periódico de los medios magnéticos. Establecer controles de impresión.

 Formulación de las medidas de seguridad necesarias.  Justificación del costo requerido para implantar las medidas de seguridad.  Documentación del proceso: Es necesario documentar todo el plan de contingencia y distribuirlo al personal y directivos de la organización.  Pruebas y Validación: Las pruebas permitirán evaluar el plan y determinar si está acorde a las necesidades de la organización. Es importante designar en cada unidad o departamento de la organización un responsable de la seguridad de la información de su área.

16 www.auditool.org



Implementación y mantenimiento:

Dentro del plan de contingencias esta un plan de respaldo, plan de emergencia, y plan de recuperación.  

 



             

Plan de acción: Se deben establecer los procedimientos relacionados con los sistemas de información, equipos de cómputo, backups y políticas. Plan de emergencia: Acciones a seguir en el momento del desastre, teniendo en cuenta los posibles escenarios de ocurrencia del siniestro, personal presente, vías y salidas de emergencia, plan de evacuación, ubicación y señalización de elementos contra el siniestro, secuencia de llamadas, elementos de iluminación, y listado de teléfonos. Formación de equipos y entrenamiento: establecer claramente cada equipo y funciones, teniendo en cuenta el entrenamiento recibido para la lucha y reacción ante diferentes tipos de siniestros. Plan de recuperación: Cuando ocurre una contingencia, se debe conocer el motivo que la origino en el menor tiempo posible, y el daño que se ha producido, lo que permitirá recuperar el proceso perdido. Este plan debe incluir actividades previas al desastre, actividades durante el desastre, y actividades después del desastre. Actividades después del desastre: Se debe evaluar los daños, priorización de actividades del plan de acción, ejecución de actividades, evaluación de los resultados y retroalimentación del plan de acción.

Inventario de software y hardware Políticas de operación, seguridad, capacitación y mantenimiento Metodologías de desarrollo Políticas de backup y recuperación Planta de cargos y perfiles Distribución física del área de sistemas Infraestructura de comunicaciones Inventario de aplicaciones Planeación de cambios, modificaciones y actualización: Especificar metas y actividades para realizar los cambios y modificaciones necesarios. Manual de procedimientos Estándares de desarrollo Recursos financieros Herramientas de tecnología de información Prácticas de hacer negocios

17 www.auditool.org

Análisis y Evaluación de Controles Una vez terminado el diagnostico, el auditor debe iniciar el análisis de la información obtenida para determinar los controles a evaluar. Por un lado se encuentra el ambiente de control específico, que evalúa todas aquellas normas, procedimientos, acciones y uso de recursos empleados en el procesamiento electrónico de datos, entrada, procesamiento, salida, bases de datos, aplicaciones y procesamiento distribuido, es decir todo lo relacionado a lo que ocurre al interior de los equipos de cómputo.

Redes y comunicaciones

Entrada

Bases de datos

Procesamiento

Salida

Aplicaciones

Y en segundo lugar está el ambiente de control general que evalúa todas aquellas normas, procedimientos, acciones y uso de recursos empleados para soportar el desarrollo y producción de los sistemas de información, es entonces todo lo concerniente a lo que ocurre alrededor de los equipos de cómputo. Esta información permite identificar los sectores de riesgo o que necesitan ser mejorados, para direccionar el desarrollo de la auditoria informática y definir su alcance. Los controles se dividen en generales y de las aplicaciones, los de aplicaciones comprenden los operativos y técnicos. 

Controles generales: Estos controles se aplican al procesamiento de la información y establecen un marco de referencia de control global sobre las actividades de TI, y proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control interno: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información.       

Preinstalación Controles operativos y de organización Políticas, procedimientos y estándares Desarrollo de sistemas de aplicación y control de mantenimiento Administración de recursos Controles sobre el desarrollo de programas y su documentación Controles sobre los programas y los equipos

18 www.auditool.org



 Seguridad y confidencialidad  Controles de acceso  Controles sobre los procedimientos y los datos  Controles de las aplicaciones 

Controles operativos: Comprenden cada uno de los sistemas en forma individual.  Control de flujo de la información  Control de proyectos  Organización del proyecto  Reporte de avance  Revisiones del diseño del sistema  Técnicas de usuario y de control  Control de cambios a programas  Mantenimiento y documentación  Producción  Controles de documentación  Documentación del sistema y del programa  Mantenimiento y acceso a la documentación  Control de sistemas y programas  Sistemas en lote (batch)  Reporte de control  Validación de entradas  Controles de programas misceláneos  Controles de entrada  Corrección de errores  Puntos de verificación y reinicio  Controles de salida



Controles técnicos                     

Controles de operación y uso del computador Supervisor Capturistas Bibliotecario Operadores Controles de entrada y salida Recepción de información Detección y corrección de errores Distribución de la información Calendarización Reporte de fallas y mantenimiento preventivo Controles sobre archivos Recuperación de desastres Controles de preparación de datos Control de usuarios Control de origen de datos Origen de documentación fuente Autorización de documentación fuente Recolección y preparación de entrada y documentación fuente Manejo de errores de documentación fuente Revisar procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los datos de entrada en forma de manual de usuario.

19 www.auditool.org

       

Verificar que los usuarios entienden y siguen los procedimientos. Verificar que todos los datos de entrada en el sistema pasan por validación y registro antes de su tratamiento. Controles de entrada de datos Controles de actualización y tratamiento de datos Controles de salida de datos Controles de documentación Controles de back-up Existencia de un plan de contingencia.

Evaluación de controles generales de tecnología de información, ITGCs (Information Technology General Controls) El auditor debe entender y evaluar el ambiente de control general de tecnología de información. Los controles generales son las políticas y procedimientos que se aplican a los sistemas de información, infraestructura y plataformas de TI en una organización, asegurando así un correcto funcionamiento de todas las operaciones. Dentro de este ambiente existen cuatro dominios:  Acceso a programas y datos: Verificar que solo el personal autorizado accede a los programas e información bajo la autentificación de la identidad de los usuarios.  Cambios en los programas: Verificar que los cambios a los programas y los componentes de infraestructura relacionados, son solicitados, autorizados, desarrollados, evaluados e implementados para alcanzar los objetivos de control de gestión de aplicaciones.  Operaciones informáticas: Confirmar que los sistemas de producción , y los problemas de procesos son identificados y solucionados adecuadamente para mantener la integridad de la información:  Desarrollo de programas: Determinar si los sistemas son desarrollados, configurados e implementados de acuerdo a los objetivos de control de gestión de aplicaciones. Ámbito, Alcance y Programa de auditoria De esta manera el auditor puede proceder a elaborar por escrito el programa de auditoria a seguir, teniendo en cuenta los siguientes puntos:     

Introducción Antecedentes Justificación Objetivos Alcance     

      

Evaluación de la dirección informática Evaluación de los sistemas Evaluación de los equipos Evaluación de procesos de datos Evaluación de la seguridad

Información de apoyo Metodología Establecer comunicaciones necesarias con el personal involucrado en la auditoria Tiempo y costo Recursos Comunicación de resultados Aprobación del plan de trabajo de la auditoria informática

20 www.auditool.org

Así mismo, el plan del auditor debe definir:  

Funciones: Descripción de forma precisa de las funciones y organización del departamento de auditoria, con todos sus recursos. Procedimientos: Actividades a realizar en la auditoria, definiendo tipos de auditoria, sistema de evaluación, nivel de exposición, lista de distribución de informes, seguimiento de acciones correctivas, plan de cinco años y plan de trabajo anual. Programa De Auditoría Informática Hoja #:

Organismo:

Fase

Descripción

Actividad

Personal Participante

Fecha: Periodo Estimado Inicio Término

Días

Días

Ejecución Durante la ejecución se diseñan y aplican los cuestionarios de control, se evalúa el riesgo computacional, y se realizan todos los procedimientos detallados en los programas para obtener evidencias del desarrollo del trabajo. Para obtener estas evidencias el auditor puede usar técnicas, métodos y herramientas: 

  

      

Observación: Observación de los procedimientos y actividades más significativas realizadas por los usuarios, de tal manera que el auditor pueda identificar cualquier falla o falta de formación en los usuarios, o mejoras de diseño que puedan aumentar la agilidad y productividad en el uso de una aplicación o sistema de información. Así mismo, es una herramienta que brinda la oportunidad de probar la efectividad de los controles establecidos, solicitando la simulación de errores previsibles, para comprobar si la respuesta del sistema es la esperada. Estudio de procesos concretos Cuestionarios Entrevistas: El auditor debe seleccionar las personas a entrevistar que puedan aportar a su propósito. Así mismo el auditor debe preparar la entrevista con anterioridad, estableciendo fecha y hora de la entrevista, autorización previa de los entrevistados, temas a tratar, documentos necesarios, e invitación a sugerir en el proceso, dejando abierta la posibilidad de nuevas entrevistas. Encuestas: Se debe preparar un cuestionario que permita, recoger también las observaciones y sugerencias de los encuestados y datos de la entidad donde se está desarrollando y si es posible de los encuestados, cuando estos lo necesitan así. Análisis de la documentación Muestreo estadístico Flujo-gramas, mapas conceptuales Listas de chequeo: Son vitales para el trabajo de análisis, cruzamiento y síntesis posterior. Verificaciones físicas Revisión de contratos de prestación de servicios y acuerdos de nivel de servicio

21 www.auditool.org



CAAT (Computer Assisted Audit Techniques), Técnicas de auditoria asistidas por computador: software de auditoria generalizado, software utilitario, datos de prueba y sistemas expertos de auditoria. Estas técnicas pueden ser utilizadas para varios procedimientos como: prueba de los detalles de operación y saldos, procedimientos de revisión analíticos, pruebas de cumplimiento de los controles generales de SI, y pruebas de cumplimiento de los controles de aplicación. Cuando el auditor decide utilizar herramientas CAAT, debe controlar el uso de las herramientas para asegurar que se cumple con los objetivos de la auditoria, y documentar el trabajo que se realice incluyendo: planificación, objetivos de los CAAT, CAATs a utilizar, controles a implementar, personal involucrado, tiempo y costos, procedimientos de la preparación y prueba de los CAAT y controles relacionados, detalle de las pruebas, detalles de los input, evidencia de auditoria – output, resultado de auditoria, conclusiones, y recomendaciones.

HERRAMIENTA

IDEA

ACL

Auto Audit

AUDICONTROL APL

TIPOS DE HERRAMIENTAS CAAT FUNCIÓN Esta herramienta permite leer, visualizar, analizar y manipular datos, llevar a cabo muestreos y extraer archivos de datos. Además, el uso de esta herramienta disminuye costos de análisis y realzar la calidad de trabajo. Funciones: importación de datos, manejo de archivos y clientes, estadísticas de campo, historial, extracciones, extracción indexada, extracción por valor clave, funciones, conector visual, uniones, agregar, comparar, duplicados, omisiones, gráficos, Ley de Benford, estratificación, sumarización, antigüedad, tabal pivot, agrupador de procesos, muestreo, agregar campos, e IDEASscript. Herramienta enfocada al acceso de datos, análisis y reportes para auditores y profesionales financieros. ACL lee y compara datos, permitiendo que la fuente de datos permanezca intacta, para una completa integridad y calidad de los datos. Así mismo ACL permite analizar datos para un completo aseguramiento, localizar errores y fraudes potenciales, identificar errores y controlarlos, limpiar y normalizar los datos para incrementar la consistencia de los resultados, realizar un test analítico automático y manda una notificación vía e-mail con el resultado. Sistema completo para la automatización de la función de auditoria, soportando todo el proceso del trabajo, desde la planificación, trabajo de campo, hasta la preparación del informe final. Auto Audit permite planificar la auditoria en función de evaluación de riesgos, asignación de auditores para el trabajo de campo, flexibilidad, mantenimiento de bibliotecas estándares, establecimiento de usuarios con perfil definidos, creación del informe final, monitoreo de hallazgos, registro de tiempos y costos, elaboración de encuestas y evaluaciones a los auditores, registro histórico, adaptar cualquier estructura de auditoria, y encriptamiento de datos asegurando la confidencialidad de la información. Metodología y software que asiste a los diseñadores de controles, analistas de seguridad y analistas de riesgos en el desarrollo de todas las etapas de proyectos de gestión de riesgos y diseño de controles Internos, reingeniería del sistema de

22 www.auditool.org

AUDITMASTER

DELOS

control interno, sistemas de información y la infraestructura de Tecnología de información de la organización. Solución de supervisión de transacciones a nivel de bases de datos, controlando toda la actividad que tiene lugar en una base de datos. Sistema experto que posee conocimientos específicos en materia de auditoria, seguridad y control de tecnología de información.

El auditor encuentra tres tipos de control, preventivos, de detección y correctivos. El control preventivo es la primera línea de defensa contra cualquier factor o elemento que pueda afectar los sistemas de información. El control de detección ofrece una segunda línea de defensa contra los agentes causales que no son detectados en la fase preventiva, además estos activan una alerta de alguna desviación; y los correctivos proceden a ejecutar una acción correctiva. Esta fase de ejecución se desarrolla en tres procesos, evaluación del sistema de control interno, riesgo computacional y elaboración de pruebas de auditoria.

Evaluación del sistema de control interno En la evaluación del sistema de control interno se aplican los cuestionarios de control por cada actividad de riesgo definida en el alcance de la auditoria, a partir de esta información se evalúa el riesgo computacional. Este proceso permite medir la eficiencia y eficacia de los diferentes mecanismos de control establecidos en la entidad, que deben garantizar la confiabilidad, confidencialidad, oportunidad, integralidad y seguridad en el manejo de la información como de los recursos informáticos. Antes de evaluar el riesgo computacional, es importante determinar el tipo de software con que cuenta la organización para cumplir con los requerimientos. La selección de tipo de software a ser usado en la empresa, debe estar definida en el plan estratégico, evaluando las ventajas y desventajas de cada uno, y acorde a las necesidades y requerimientos de la entidad. Estas pueden ser:  Software elaborado por el usuario  Software comercial  Software compartido o regalado  Software transportable  Un solo usuario o multiusuario  Categorización del software de aplicación por usuario  Software a la medida de la oficina Los sistemas deben ser evaluados de acuerdo con su ciclo de vida, teniendo claridad del mismo.

Definicion del problema y requerimientos del usuario

Aprobacion, planificacion y gestion del proyecto

Análisis

Diseño

Construcción

Implantación

23 www.auditool.org

Riesgo computacional Al evaluar el riesgo computacional, el auditor debe conocer los diferentes riesgos informáticos que pueden presentarse en una entidad; un riesgo es una contingencia o proximidad de un daño o amenaza interna o externa que puede afectar la operación del sistema de control. Los riesgos pueden ser de perdida, estos exponen al sistema a interrupciones, inaccesibilidad y demoras en el procesamiento de la información, los cuales representan una perdida financiera para la empresa; riesgos de revelación de la información, estos vulneran el sistema debido al acceso sin autorización faltando así a los requerimientos de confidencialidad y seguridad; y los riesgos de modificación que hacen referencia a los cambios no autorizados en la información o componentes del sistema; Algunos de estos riesgos son:

Riesgos según su origen

Métodos de fraudes

Desfalcos

Riesgo computacional Incendio Naturaleza Inundación Terremoto Daño del computador o impresora Fallas de Daño del equipo de transcripción hardware Daño en la transmisión Fallas humanas Error de reporte, transcripción y transmisión Saqueos Fallas humanas Sabotajes intencionales Violación de la privacidad Fraude Alteración de la información Caballo Troya: Colocar instrucciones adicionales en un programa, para que efectúe una función no autorizada. Técnica del salami: Robo de información mediante el fraude de un programa. Bombas lógicas: Diseño de un programa que busca una condición o estado especifico. El programa funciona correctamente hasta que esa condición se Fraudes cumple y se realiza una acción no autorizada. Escobitas: Método que consigue información dejada en el computador después de la ejecución de un trabajo. Accesos no autorizados a computadores o cualquier recurso del sistema a través del uso de passwords, códigos u otro método que suplante personal autorizado. Intercepción: intervención de los circuitos de comunicación.

Desfalcos

Falsedad de la información en las nóminas de pago. Cuentas incobrables No registro de ventas Malversar pagos de clientes Alteraciones en planillas Falsificación de inventarios

24 www.auditool.org

Pruebas de auditoria El tercer proceso es la realización de pruebas de auditoria que permiten constatar la aplicación de los controles informáticos, estas pruebas pueden ser: 

Pruebas de consentimiento: Se implementan para determinar si los controles internos operan adecuadamente, y cumplen con la función para la cual fueron diseñados. Así mismo, el auditor debe verificar si los controles establecidos, en realidad existen y son confiables. Estas pruebas pueden utilizar técnicas manuales de recolección de evidencia o técnicas asistidas por computador (CAATs).



Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo, es decir, están orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o controles. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.



Pruebas de cumplimiento: Verifican el grado de cumplimiento de procedimientos, normas o controles de acuerdo con lo previsto y esperado en la documentación pertinente. Esto se comprueba a través de la revisión de registros, documentos, y observación directa del funcionamiento específico. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

El auditor luego de analizar el riesgo computacional y aplicar las pruebas y cuestionarios correspondientes, debe recolectar toda la evidencia necesaria para soportar la opinión que el auditor va formando durante el desarrollo de la auditoria. Esta evidencia debe ser relevante, fiable, suficiente, y adecuada. Información Esta última etapa es la presentación del informe final de auditoria, las conclusiones preliminares y definitivas, y las recomendaciones; para esto se debe tener en cuenta que la información se debe presentar de tal manera que se facilite la comunicación eficaz entre los auditores y los directivos y administrativos de la entidad auditada. Luego de las revisiones y evaluaciones realizadas el auditor puede emitir un informe previo de los puntos principales de la revisión, dando a los responsables del área auditada la posibilidad de contribuir a la elaboración del informe final, y permitir su aceptación. El informe final de auditoria debe cumplir con los siguientes objetivos:    

Comunicar a la administración los resultados de la auditoria informática. Estos resultados pueden ser problemas identificados o riesgos, entonces el auditor debe explicar su impacto en términos organizativos y económicos. Facilitar el análisis de los hallazgos de la auditoria informática entre los auditados. Facilitar el proceso de decisión gerencial para adoptar las estrategias del orden administrativo, operativo y tecnológico en la organización. Facilitar el seguimiento posterior.

El informe de auditoría de informática contiene el resumen de la gestión y el informe detallado de la auditoria, y para su redacción el auditor debe tener en cuenta el destinatario y presentar un informe

25 www.auditool.org

coherente, pulcro, de calidad, confiable y veraz. El resumen de la gestión es un informe ejecutivo preparado para la dirección o alta gerencia de la entidad y se estructura a partir de los siguientes elementos:          

Ambientes, escenarios de riesgo y actividades sujetas de control evaluados. Periodo de la auditoria. Objetivo Alcance Restricciones Resultados y hallazgos de la auditoria Conclusiones Opinión del auditor: Esta puede ser favorable, con salvedades, desfavorable, o denegada. Recomendaciones razonables, verificables, y acordes a la organización. Acuerdos

El informe detallado de auditoria informática está preparado para los directamente involucrados en la auditoria informática y responsables de las áreas de informática; este informe consta de los siguientes aspectos:               

Introducción Antecedentes Justificación Alcance Objetivos Metodología Hallazgos Determinación del riesgo computacional Realización de pruebas de auditoria de cumplimiento y sustantivas Evaluación de los usuarios Situaciones encontradas (correctas, para ser mejoradas, de riesgo) Conclusiones Recomendaciones e impacto Anexos Bibliografía

Estos informes están soportados por los papeles de trabajo, los cuales facilitan la planeación de la auditoria, la recolección, análisis, síntesis de la información de control obtenida y representan las evidencias suficientes de las actividades realizadas. Tipos de Auditoría informática Dentro de la auditoría informática encontramos los siguientes tipos de auditoria: Auditoria Física La auditoría física envuelve todo lo que rodea los equipos informáticos y Centro de Procesamiento de Datos, de tal manera que se asegure la integridad de los activos humanos, lógicos y materiales. Por esta razón se refiere a la ubicación de la organización, evitando ubicaciones de riesgo, las protecciones externas y protecciones del entorno.

26 www.auditool.org

Instalaciones Organigrama de la empresa

Administración de la seguridad Seguridad Física Centro de proceso de datos

Auditoria interna Equipos y comunicaciones

Una seguridad física adecuada debe comprender:  

   



Ubicación del edificio. Ubicación del Centro de Procesamiento de Datos: Es importante que el centro de cómputo este localizado en un lugar seguro, que permita la realización eficaz del trabajo. Así mismo se debe tener en cuenta aspectos como los materiales de construcción, espacios y ubicación de ventanas, evitando ambientes calurosos o manejo de elementos inflamables que puedan ocasionar un desastre. Otro aspecto importante es la protección del cableado del sistema, a través del uso de pisos falso o canales y paneles adecuados de resistencia al fuego, en lugares aislados y fuera de los lugares de transito del personal. Aire acondicionado: Instalación de aire acondicionado, que permita prevenir la entrada de polvo y suciedad, que puedan afectar los equipos de cómputo; así como garantizar una temperatura adecuada en el centro de cómputo. Compartimentación de áreas. Elementos de construcción. Potencia eléctrica e instalaciones: Es importante que el auditor se asesore de un especialista en lo que concierne al adecuado funcionamiento del sistema eléctrico y el respectivo suministro de energía, con el fin de evaluar y controlar con rigurosidad las instalaciones eléctricas, debido a que estas pueden ocasionar fallas de energía que ponen en riesgo la información y trabajo, e incluso provocar incendios en las instalaciones de la entidad. Por lo tanto, es importante conocer los planos de las instalaciones eléctricas y el sistema de cableado eléctrico, con el fin de identificar tanto positivos y negativos como polo a tierra, que protegerá los equipos de cómputo contra un cortocircuito durante una descarga eléctrica. para evitar cortocircuitos, tener una estrategia de protección contra roedores o fauna nociva en el sistema cableado eléctrico, porque estos pueden morder el plástico de los cables. El uso de reguladores puede disminuir el riesgo de tener accidentes relacionados con los cambios de corriente, siempre y cuando se garantice que el número de equipos conectados este acorde con las cargas y especificaciones del regulador, para evitar sobre carga en los contactos y terminar en un incendio. Así mismo, para no tener problemas con las sobrecargas eléctricas en el daño de los equipos es recomendable utilizar un sistema de energía no interrumpido (UPS) que presta consistencia a la corriente eléctrica que hace funcionar los equipos de cómputo en caso que haya algún tipo de falla en el suministro de energía eléctrica, este sistema de energía no interrumpido provee de energía al computador

27 www.auditool.org

por cierto periodo que pueden ser en horas o minutos de acuerdo a su sofisticación, resguardando así la información. Sistema contra incendios: Las instalación de los detectores de incendios debe hacerse en lugares no tan cercanos a los aparatos de aire acondicionado, debido a que estos pueden difundir el calor o el humo y dificultar así la activación de los detectores. Es recomendable que estos detectores se instalen cerca a los centros de cómputo, en las áreas de oficina y depósitos de la papelería, entre otros. Las alarmas contra incendios deben estar conectadas a la alarma central o si es posible, directamente al departamento de bomberos. Toda la documentación de la organización debe estar protegida contra incendios, por lo que se debe contar con un plan de respaldo, y guardar todas las copias de seguridad en un lugar seguro y alejado. Esta información y procedimientos a seguir deben estar incluidos en el plan de contingencias. El sistema de cómputo debe contar con:  Sistema de detección de humo por ionización para aviso anticipado.  Dispositivo manual para cortar el sistema eléctrico y el aire acondicionado.  Extintores portátiles de CO para equipos eléctricos de fácil acceso y peso, y que estén recargados.  Señalización de las salidas de emergencia.  Capacitación al personal para que actúen de la manera adecuada en caso de una emergencia. 

   

Control de acceso: Todo el personal debe identificarse para tener acceso al centro de cómputo. Para asegurar que no ingrese personal no autorizado se puede utilizar:  Puerta con cerradura  Puerta de combinación  Puerta electrónica  Puertas sensoriales  Registros de entrada  Videocámaras  Personal de vigilancia  Puertas dobles  Alarmas Selección y capacitación del personal Seguridad de los medios Medidas de protección Duplicación de medios

Acompañado a este cubrimiento de las instalaciones físicas de la empresa, debe existir un plan de contingencia que permita coordinar las operaciones de recuperación en caso de desastre. Este plan debe desarrollarse a partir de un análisis de riesgos, análisis de prioridades, procesos y objetivos de recuperación, designación de un centro alternativo de proceso de datos, y asegurar la capacidad de comunicación y servicios de back-up. Auditoria Ofimática La auditoría ofimática comprende el conjunto de herramientas de tecnología de información que permiten generar, procesar, almacenar, recuperar, comunicar y presentar los datos relacionados con el funcionamiento de las oficinas. El desarrollo de sistemas ofimáticos envuelve el escritorio virtual y el trabajo cooperativo; los cuales deben posibilitar el trabajo personal de cada empleado, permitir distribuir las aplicaciones por los diferentes departamentos de la organización y la aplicación de los controles necesarios de los sistemas de información. Los controles ofimáticos se establecen teniendo en cuenta la economía, eficacia y eficiencia, seguridad y normatividad vigente en la organización, de esta manera estos controles deben:

28 www.auditool.org

           

Determinar la exactitud del inventario ofimático Evaluar los procedimientos de adquisición de los equipos y aplicaciones. Determinar y evaluar la política de mantenimiento de la organización Evaluar la calidad de las aplicaciones del entorno ofimático Evaluar los procedimientos para cambio de versiones y aplicaciones. Determinar si los usuarios cuenta con la formación y documentación suficiente y pertinente. Determinar si los sistemas existentes se ajustan a las necesidades de la empresa. Determinar si existen garantías suficientes para proteger los accesos no autorizados a la información de la empresa y la integridad de la misma. Evaluar la fiabilidad y confiabilidad de los procesos de copia de respaldo y back-up, garantizando la recuperación de la información en caso de que sea necesario. Determinar si se garantiza el funcionamiento continuo de las aplicaciones sin interrupciones que puedan generar pérdidas de la integridad de la información y aplicaciones. Determinar el grado de exposición ante la posibilidad de intrusos y virus en los sistemas informáticos. Determinar si el entorno ofimático aplica y cumple con las normas y regulaciones establecidas en la organización, así como evaluar si existen situaciones que puedan generar infracciones según los dispuesto en la ley.

Auditoria de la dirección Las organizaciones hoy en día trabajan con base a la información, por lo que invierten grandes sumas de dinero en la implementación de herramientas tecnológicas y nuevas prácticas de negocio. Estas actualizaciones están incorporadas en el Plan Estratégico Corporativo y general cambio en los procesos y relaciones desarrollados en la empresa, generando una estructura organizacional en la que las áreas y procesos se integran como un todo a partir de las soluciones de negocio. Debido a esto, cada proceso y actividad en la empresa tendrá repercusiones de orden financiero y logístico, y estarán enfocadas a la eficiencia, costos, satisfacción del cliente, rentabilidad, competencia y cooperación. La dirección debe entonces, planificar, organizar, coordinar y controlar todos los procesos y procedimientos llevados a cabo en la empresa, soportados en la tecnología de información.  Planificar: La dirección debe prever la utilización de las tecnologías de información de la empresa, estas directrices constituyen el Plan Estratégico de Sistemas de información, el cual debe asegurar el alineamiento de los sistemas de información con los objetivos de la empresa.  Organizar y coordinar: Esta función permite estructurar los recursos, flujos de información y controles que permitan alcanzar los objetivos marcados durante la planificación.  Controlar: La dirección debe controlar y efectuar un seguimiento permanente de todas las actividades del departamento de informática, evaluando así su rendimiento y funcionamiento Auditoria de la explotación La auditoría informática periódica permite detectar las debilidades del sistema para mejorarlas a tiempo, racionalizando los recursos informáticos. La auditoría de explotación sigue los controles establecidos en el modelo COBIT:

29 www.auditool.org

INICIO

Contrato

Planificación estratégica: Estudio y evaluación de riesgos Establecimiento de objetivos PLANIFICACION

Planificación administrativa Planificación administrativa Actualización del programa de trabajo

TRABAJO

Pruebas de cumplimiento Pruebas Sustantivas Revisión del trabajo

REVISIONES E INFORMES

Elaboración de informes Distribución de informes

FIN

Archivar los papeles del trabajo

Auditoria del desarrollo El área de desarrollo abarca todas las fases, desde que surge la necesidad de los sistemas de información hasta su creación e implementación. La auditoría del desarrollo envuelve todo el ciclo de vida del software, exceptuando su explotación y mantenimiento; y verifica la existencia y aplicación de procedimientos de control adecuados, que garanticen que los sistemas de información se han desarrollado de acuerdo a los principios de ingeniería. Para llevar a cabo la auditoria del desarrollo, el auditor, en primer lugar, debe determinar las funciones del área de desarrollo, para establecer su plan a seguir. Algunas de las funciones del área de desarrollo son:  Planificación del área y participación en la elaboración del plan estratégico de informática.  Desarrollo de sistemas de información, incluyendo análisis, diseño, construcción e implementación.  Mantenerse actualizado en el campo de tecnología e informática, para aplicar los lenguajes, técnicas, metodologías, estándares, herramientas y demás elementos relacionados.  Capacitación continua para el personal del área de desarrollo.  Establecer normas y controles para la realización de las actividades del área. El auditor, una vez conozca las funciones del área de desarrollo, llevara a cabo la auditoria por una parte de la organización y gestión del área, y por otra de los proyectos de desarrollo de sistemas de

30 www.auditool.org

información. El auditor basa su trabajo en la evaluación de riesgos, estableciendo controles que minimicen los riesgos relacionados al desarrollo de un sistema de información. Así mismo se deben utilizar pruebas de cumplimiento, que permitan la comprobación de la existencia y correcta implementación de los controles, obteniendo así evidencia. El análisis de esta información le permitirá al auditor conocer los puntos fuertes y débiles de los controles, para determinar cuáles riesgos son cubiertos y cuáles no, y en qué medida lo son, y lo que puede representar para la organización. Estas conclusiones son presentadas en el informe de auditoría. Los controles de la auditoria de desarrollo se pueden organizar de la siguiente manera: Área de desarrollo

Organización y gestión del área de desarrollo.

Objetivos de control Comprobar la existencia de un documento que contiene las funciones, competencia del área de desarrollo, aprobado por la dirección de informática. Verificar el organigrama con la estructura de la organización del área, especificando las funciones de cada puesto, requisitos mínimos de formación y experiencia, y dependencia jerárquica. Verificar la existencia de un manual que establezca las relaciones entre los puestos de trabajo, y los procedimientos de promoción de personal a puestos superiores. El área debe tener su plan, el cual debe ser coherente con el plan de sistemas. Verificar que el área de desarrollo lleva a cabo su propio presupuesto, lo cumple, y está acorde a los objetivos establecidos. El personal del área debe contar con una formación adecuada, para el desarrollo de sus funciones. Para el cumplimiento de control, deben existir procedimientos objetivos de contratación. Se deben establecer planes de formación y capacitación para el personal, acordes a la política tecnológica del área y departamento de sistemas. Debe existir un protocolo de recepción y abandono para el personal del área. Debe existir una biblioteca y una hemeroteca a disposición para el personal del área. Garantizar la satisfacción y motivación del personal para realizar su trabajo. Los proyectos deben realizarse de acuerdo al plan de sistemas. Se debe garantizar la actualización del plan de sistemas, de acuerdo a la información que se genera a lo largo del desarrollo. La propuesta y aprobación de nuevos proyectos debe realizarse de acuerdo a los procedimientos y normas establecidas. Así mismo la asignación de recursos y personal para los proyectos deben seguir los procedimientos adecuados. Para el desarrollo de los sistemas de información, se deben aplicar los principios de ingeniería, implementando una metodología de desarrollo de sistemas soportada por herramientas de ayuda CASE. Esta metodología debe cubrir todas las fases de desarrollo del sistema, y adaptarse a los diferentes tipos de sistemas. Comprobar la existencia de mecanismos de creación y actualización de estándares. Los nuevos estándares deben estar documentados y conocidos en el área.

31 www.auditool.org

Área de desarrollo

Proyectos de desarrollo de sistemas de información.

Objetivos de control Deben existir mecanismos para la adquisición y homologación de cualquier nuevo software, garantizando las capacitaciones al personal y registros de configuración. Reutilización del software. A través de un catálogo se debe dar a conocer el software a ser reutilizado. Implementación de metodología que permita establecer los tiempos de cada una de las fases de los proyectos. El área de desarrollo debe estar en contacto con los suficientes proveedores, para recibir una información objetiva y completa. La contratación de estos servicios externos debe ser regulada por protocolos establecidos. El área debe evaluar sus actividades y rendimiento, para adaptarse a las necesidades de la organización. Al momento de realizar cualquier cambio o modificación a los procesos y actividades, estas deben ser documentadas, incluyendo la fecha. Aprobación, planificación y gestión del proyecto: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. El documento resultante debe presentar los objetivos del proyecto, presentando recursos, tiempos, presupuestos, y unidades de la organización que involucra. Además, cada proyecto debe tener un director asignado, ser catalogado y dimensionado según las normas establecidas, determinar el ciclo de vida a seguir y el equipo técnico. Se debe constituir un comité de dirección del proyecto, el cual debe reunirse periódicamente y documentar mediante actas, las decisiones tomadas. Así mismo, se deben establecer procedimientos para los cambios o resolución de problemas, dejando constancia de los mismos. Documentar cada etapa del proceso de desarrollo del proyecto, garantizando que se cumplan con las normas y regulaciones establecidas. Al terminar el proyecto se debe cerrar toda la documentación, liberar recursos empleados y hacer un balance, para incorporar la nueva aplicación al catálogo de la organización. Análisis: Esta fase debe determinar las necesidades de información que deben ser cubiertas con la nueva aplicación. El proceso inicia identificando los requisitos del nuevo sistema, incluyendo los requisitos funcionales y no funcionales. Este análisis debe permite determinar las posibles soluciones que puedan cubrir los requisitos. Los usuarios de las áreas involucradas en el proyecto deben participar en esta fase de análisis, para determinar los requisitos. Estar intervenciones se realizaran por medio de entrevistas, que permitan conocer como los usuarios valoran el sistema actual y cuáles son sus expectativas del nuevo sistema. Las entrevistas deben ser programadas y coordinadas por el comité de dirección, y dar a conocer esta programación a los usuarios seleccionados. Una vez realizadas las entrevistas, se deben comprobar las conclusiones con los entrevistados. De la misma manera esta información debe permitir documentar el sistema actual con las características y problemas, y determinar los requisitos para el nuevo sistema.

32 www.auditool.org

Área de desarrollo

Objetivos de control Una vez definidos los requisitos para el nuevo sistema, se deben establecer las alternativas para la construcción, analizando sus ventajas, desventajas y riesgos asociados. Estas alternativas deben ser presentadas en un documento, que describa sus características objetivamente, para que el comité de dirección pueda escoger la más adecuada. Se debe elaborar una especificación funcional del nuevo sistema acorde a las determinaciones y requisitos establecidos, incluyendo el Modelo Lógico de Procesos (MLP) y Modelo Lógico de datos (MLD), usando diagramas de flujo de datos y modelo entidad-relación o diagramas de estructura de datos. Los modelos deben ser aprobados por los usuarios y el comité de dirección. Debe existir un diccionario de datos. Se debe definir la forma en que el nuevo sistema interactuara con los usuarios, definiendo así su forma de trabajo con el sistema. Esta definición debe presentar los pantallazos, teclas de función disponibles, menús, botones, informes, formularios y demás características. Así mismo se especificara los requisitos de seguridad, rendimiento, copias de seguridad y recuperación de información. El sistema debe pasar por diferentes pruebas para la aceptación y aprobación por parte de los usuarios y comité de dirección. De la misma manera se debe determinar la entrega y transición del nuevo sistema. Diseño: En esta fase se elabora el conjunto de especificaciones físicas del nuevo sistema; a partir de las características funcionales y teniendo en cuenta el entorno tecnológico, se diseña la arquitectura del sistema y el esquema externo de datos. En primera medida se debe definir el entorno tecnológico para el proyecto: servidores, computadores, sistemas operativos, conexiones de red, protocolos de comunicación, bases de datos, compiladores, herramientas CASE, y demás. Documentar todas las actividades físicas que debe realizar el sistema, para diseñar la estructura física de datos. Diseña un plan de pruebas, que permita verificar los componentes del sistema, subsistemas y el sistema en conjunto. Construcción: Programación y prueba del sistema, para la puesta en marcha de todos los procedimientos necesarios para que los usuarios trabajen en el nuevo sistema. Esta fase se divide en dos módulos, desarrollo de los componentes del sistema y desarrollo de los procedimientos de usuario. Desarrollo de los componentes del sistema: Los componentes deben desarrollarse usando técnicas de programación correcta, asegurándose que están disponibles todos los elementos lógicos y físicos. El equipo de desarrollo debe realizar las pruebas necesarias para asegurar que las interfaces funcionan correctamente. Desarrollo de los procedimientos de usuario: Envuelve la instalación, conversión de datos, operación y explotación. Al finalizar el proyecto, todos los usuarios deben ser capacitados para dar uso al sistema.

33 www.auditool.org

Área de desarrollo

Objetivos de control Se deben especificar los perfiles de usuario necesarios para la implementación y explotación del nuevo sistema. También, se deben desarrollar todos los procedimientos de usuario y recopilarlos en el manual del usuario. Definir y preparar los recursos materiales necesarios para el trabajo de los usuarios en el nuevo sistema. Implantación: Es la aceptación del sistema por parte de los usuarios. En esta fase se debe verificar que se cumplen con todos requisitos establecidos en el análisis, para dar su aprobación y aceptación. Se da inicio a la instalación de todos los componentes y procedimientos desarrollados, inicialización de datos, y explotación formalmente. Si existe un sistema antiguo, se debe coordinar su retirada, manteniendo un periodo de funcionamiento de los dos sistemas, hasta que el nuevo sistema esté funcionando con todas las garantías. Los usuarios y el comité de dirección deben firmar la implantación del sistema. Durante las primeras semanas se debe supervisar el funcionamiento del nuevo sistema, incluyendo un acompañamiento a los usuarios. Para terminar el proyecto se debe poner en marcha el mantenimiento del sistema.

Auditoria del mantenimiento El mantenimiento es un factor de calidad que engloba todas las características del software que hacen que un sistema sea más fácilmente mantenible. En esta auditoría, entran en juego diferentes elementos, uno de estos es la productividad, la cual está directamente relacionada con el mantenimiento del sistema. Se pueden establecer tres tipos de contrato de mantenimiento en una empresa, mantenimiento total, mantenimiento por llamada, y mantenimiento en banco. El mantenimiento total incluye un mantenimiento correctivo y preventivo, y se deja al proveedor la responsabilidad total del mantenimiento, con excepción de daños por negligencia en la utilización de los equipos. En el mantenimiento por llamada, se contacta al proveedor en el caso de una falla y se presta el servicio técnico, acorde a las tarifas establecidas. Y el mantenimiento en banco, se lleva a cabo cuando el cliente lleva a las oficinas del proveedor el equipo para el arreglo necesario. La empresa, debe hacer una análisis sobre cual tipo de contrato de mantenimiento le conviene, para solicitarlo y revisar con detalle las clausulas y artículos, con el fin de evitar inconvenientes con los proveedores. El auditor debe determinar si los contratos de mantenimiento celebrados por la empresa están de acuerdo a las políticas y necesidades de la empresa. De la misma manera, el auditor debe evaluar que controles ha establecido la empresa con respecto a la utilización del sistema de cómputo, debido a que un control adecuado permitirá acceder al mantenimiento necesario, reduciendo costos y teniendo control sobre las fallas que se puedan presentar. Se debe realizar mantenimiento no solo del equipo central, sino del total de los equipos, incluyendo computadores personales, impresoras, equipos de comunicación, y periféricos. Se debe evaluar:

34 www.auditool.org

 



Registros de la utilización del sistema de computo Uso adecuado del sistema de cómputo, evitar que:  Programadores utilicen el equipo para aplicaciones ajenas a la empresa.  Personal utilice los equipos para trabajos personales, trabajos no autorizados o juegos.  Instalación de programas mal elaborados, que degradan los equipos.  Degradación en los equipos por fallas en equipos periféricos. Registros de fallas, causas y procedimientos llevados a cabo.

Auditoría de bases de datos La auditoría de bases de datos evalúa y verifica los controles de acceso, de actualización, de integridad y calidad de los datos. Una base de datos es definida como la organización sistemática de archivos de datos, para facilitar su acceso, recuperación, consulta y actualización. Los archivos están relacionados unos con otros, y son tratados como una entidad. El auditor debe evaluar y verificar en la base de datos:  Independencia de los datos  Si existe redundancia de datos  Consistencia de los datos  Diccionario de datos  Lenguaje de datos  Monitoreo de teleproceso  Software de seguridad  Sistema de almacenamiento, respaldo y recuperación  Lenguajes de consulta (Query languages)  Bases de datos de multiplataforma Los auditores pueden usar una metodología tradicional o metodología de evaluación de riesgos. En la metodología tradicional el auditor utiliza lista de chequeo o checklist, para revisar el entorno de las bases de datos. La metodología de evaluación de riesgos, la propone ISACA, y se inicia fijando los objetivos de control que minimizan los riesgos a los que está el entorno de bases de datos durante su ciclo de vida. Una vez establecidos estos objetivos, se determinan las técnicas de control para alcanzar dichos objetivos. Para la verificación de los objetivos se utilizan las pruebas de cumplimiento y pruebas sustantivas, cuando sean necesarias.

35 www.auditool.org

Bases de datos

Estudio previo y plan de trabajo

Concepción de la base de datos y selección de equipo

Diseño y carga

Explotación y mantenimiento

Objetivos de control Elaborar un estudio tecnológico de viabilidad y análisis de costobeneficio, que contemple todas las alternativas para alcanzar los objetivos del proyecto, y que sea revisado y aprobada por la dirección de la empresa. Comprobar la existencia de plan para el seguimiento y gestión del proyecto, que cumpla los estándares y procedimientos generales de la organización. Aprobación de la estructura orgánica del proyecto de base de datos y de la unidad que tendrá la responsabilidad de su gestión y control, por lo tanto de debe asignar administrador de datos y administrador de la base de datos. Asegurar la separación de funciones entre el personal de desarrollo de sistemas y el de explotación, explotación y control de datos, y administración de bases de datos y desarrollo. Esta separación permite verificar las funciones de cada puesto de trabajo, requisitos mínimos de formación y experiencia, y dependencia jerárquica. Esta fase comprende el diseño de la base de datos de acuerdo a los modelos y técnicas definidos en la metodología de desarrollo de sistemas de la empresa. Dicha metodología determina los documentos fuentes, mecanismos de control y seguridad. La selección del equipo de trabajo debe realizar mediante un procedimiento riguroso, que tenga en cuenta las necesidades de la empresa y los servicios que prestan los sistemas de gestión de bases de datos (SGBD). El personal del área debe contar con una formación adecuada, para el desarrollo de sus funciones. Para el cumplimiento de control, deben existir procedimientos objetivos de contratación. Diseño lógico y físico de la base de datos. El auditor debe determinar si el diseño esta realizado correctamente, revisando la definición de los datos, asociaciones y restricciones, especificaciones de almacenamiento de datos y seguridad. Verificar que el departamento de informática, los usuarios y el administrador de la base de datos aprobaron el diseño de los datos y aplicaciones. Una vez diseñada y aprobada la base de datos se procede a su carga, la cual se debe programar y planificar debidamente, para evitar la pérdida de información y transmisión de sistemas de datos erróneos. Se deben realizar las pruebas necesarias, para verificar el cumplimiento de los controles y corrección de las fallas detectadas. Establecer controles que aseguren la integridad de los datos durante la entrada manual de datos. Comprobar que se establecen los procedimientos de explotación y mantenimiento, que aseguran que los datos se tratan de congruente y exacta, y que cualquier modificación se realiza con previa autorización. Verificar el rendimiento del sistema de base de datos, para comprobar que se lleve a cabo un proceso de ajuste y optimización adecuados.

36 www.auditool.org

Revisión postimplantación

Desarrollar un plan de revisión de post-implantación de la base de datos, para determinar si se han conseguido los resultados esperados, se satisfacen las necesidades de los usuarios, y los costos y beneficios son acorde a los previstos. Revisar la documentación de todo el ciclo, para verificar si es suficiente y se ajusta a los estándares de la empresa.

El auditor debe revisar la utilización de todas las herramientas que ofrece el Sistema de Gestión de Bases de Datos SGBD, las políticas y procedimientos definidas para su utilización, y así determinar si son suficientes o se deben mejorar. Es responsabilidad de la empresa coordinar los distintos elementos y controles de seguridad, a través del monitoreo de los controles, gestión rigurosa de la configuración del sistema y demás procedimientos necesarios. El auditor puede utilizar dos técnicas para evaluar estos procedimientos:  Matrices de control: Esta técnica permite identificar el conjunto de datos de los controles de seguridad o integridad implementados. Los controles se clasifican en detectivos, preventivos y correctivos.  Análisis de los caminos de acceso: Permite documentar el flujo, almacenamiento y procesamiento de los datos en todas las fases, identificando los componentes del sistema y los controles asociados. Esta técnica le permite al auditor identificar las debilidades o fallas que puedan exponer a los datos a riesgos de integridad, confidencialidad y seguridad. Auditoria de técnica de sistemas La técnica de sistemas consiste en desempeñar las actividades de instalar y mantener en adecuado orden de utilización la infraestructura informática. El avance de la informática exige un alto grado de especialización en el manejo de las aplicaciones, determinando todas las actividades relacionadas para alcanzar los objetivos. La auditoría de técnica de sistemas envuelve los siguientes aspectos:  Instalaciones: Salas de proceso, con sus sistemas de control y seguridad, y elementos de conexión y cableados.  Equipos de proceso: Computadores, periféricos, dispositivos de comunicación y conmutación.  Software de base: Sistemas operativos, compiladores, traductores e intérpretes de comandos y programas, gestores de datos, herramientas y componentes auxiliares e intermedios. Estos aspectos deben ser evaluados para determinar el nivel de servicio, es decir su eficacia. Para garantizar la eficacia y calidad de los servicios, es importante determinar los procedimientos que permiten lograr los objetivos propuestos. Estos procedimientos son:  Instalación y puesta en servicio: Actividades para conseguir el funcionamiento adecuado de la aplicación o sistema.  Mantenimiento y soporte: Conjunto de acciones necesarias para la puesta en marcha del sistema o aplicación. Se incluye la asistencia a los usuarios para su mejor utilización.  Requisitos para otros componentes: Requerimientos para el mejor comportamiento de otros componentes del sistema.  Resolución de incidencias: Procedimiento para registrar, analizar, diagnosticar, calificar y seguir las incidencias que se presenten para lograr su resolución.  Seguridad y control: Estos procedimientos son de gran importancia, debido a que permiten detectar a tiempo cualquier incidencia. Además, la protección de la información debe ser garantizada por medio de procedimientos, tales como el control de accesos y perfiles de trabajo. Los entornos de desarrollo y mantenimiento de programas deben dejar documentados los cambios, modificaciones o actualizaciones.

37 www.auditool.org

 Información sobre la actividad: Documentación sobre la evolución, objetivos, estándares, y demás aspectos relacionados al desarrollo de la actividad. Junto a los procedimientos, se encuentran los controles, que permiten determinar el comportamiento del sistema y prevenir cualquier situación relacionada al software y hardware. Para esto se determinan los siguientes objetivos de control:

Técnica de sistemas Definición del plan estratégico tecnológico Determinación de la dirección tecnológica Gestión de inversiones

Apreciación de riesgos

Gestión de proyectos

Identificación de soluciones automatizadas

Adquisición y mantenimiento de infraestructura tecnológica Desarrollo y mantenimiento de procedimientos relacionados a los sistemas de información

Instalación y certificación de sistemas

Gestión de cambios Definición de niveles de servicio

Objetivos de control Planificación estratégica para el cumplimiento de los objetivos establecidos en la empresa, buscando un balance entre la tecnología de la información, infraestructura actual, y resultados de los estudios de factibilidad. A través del plan de infraestructura tecnológica, se busca adecuar las tecnologías emergentes para evolucionar la capacidad de la infraestructura, siguiendo los lineamientos de la empresa. Determinación de presupuestos que permitan buscar alternativas de financiación, al momento de invertir. Identificación de riesgos relacionados a la tecnología de información, y análisis de su impacto para la toma de decisiones adecuadas, teniendo en cuenta eficacia, eficiencia, confidencialidad, integridad, disponibilidad, legalidad y fiabilidad. Organización de proyectos en línea con el plan operativo de la empresa, y puesta en marcha de los proyectos siguiendo los procedimientos y ciclos adecuados. Selección de las mejores opciones para satisfacer las necesidades de los usuarios, teniendo en cuenta restricciones internas y externas, dirección de la tecnología, estudios de factibilidad, requerimientos y arquitectura de la información. Adquisición de las plataformas adecuadas para soportar las aplicaciones de la empresa, determinando consideraciones específicas de requerimientos funcionales y operativos. Además, se debe tener en cuenta la disponibilidad de la tecnología, dirección de su evolución, políticas de seguridad, procedimientos de instalación y flexibilidad. Uso adecuado de las aplicaciones y soluciones tecnológicas instaladas. Los usuarios deben estar involucrados en el proceso de desarrollo y conocer el manual de los procedimientos operativos y requerimientos del sistema. Verificación del cumplimiento de los objetivos establecidos para el proyecto desarrollado, evaluando si está acorde a las necesidades de la empresa y los usuarios. Para esto se debe revisar la aprobación de la estructura, documentación, pruebas específicas, entrenamiento, conversión y carga de datos, y revisiones postimplantación. Análisis, implantación y seguimiento de los cambios, previamente autorizados por los entes pertinentes, en la infraestructura tecnológica. Entendimiento sobre el nivel de servicio requerido, estableciendo criterios de rendimiento, para medir la cantidad y calidad del servicio.

38 www.auditool.org

Gestión de relaciones de servicios de terceros Gestión de rendimiento y capacidad Aseguramiento de la continuidad del servicio Aseguramiento de la seguridad de los sistemas Identificación y reparto de costes Gestión de la configuración Gestión de problemas e incidencias Monitorización de los procesos Seguridad independiente

Control de los contratos con terceras personas, así como los servicios prestados, verificando la eficacia y cumplimiento de las políticas y lineamientos de la empresa. Corroborar la capacidad y rendimiento adecuado, de acuerdo a los requerimientos establecidos. Garantizar el funcionamiento continuo, y puesta en marcha de un plan de contingencia al momento de presentarse una incidencia. Proteger la información contra usos no autorizados, revelación, modificación, corrupción o pérdida; a través del control de acceso lógico y físico al sistema, datos y programas, usando autorización, autenticación, perfiles de usuarios, gestión de claves, informe y seguimiento de incidencias. Correcta asignación de costes a los servicios de tecnología de información, usando un sistema de contabilidad adecuado. Control adecuado de los componentes del sistema de información, a través de inventarios y gestión de cambios, para prevenir alteraciones no autorizadas y verificar su existencia. Establecer procedimientos adecuados para la detección y corrección de problemas e incidencias que afecten el sistema de información. Es necesario hacer los registros seguimientos pertinentes. Estos registros se convierten en pistas de auditoria para el conocimiento de los problemas existentes. Controles de los procesos, determinación si alcanzan los objetivos establecidos, definiendo informes de gestión y rendimiento. Realización de auditorías independientes a intervalos regulares, para incrementar los niveles de confidencialidad.

El auditor, una vez evalúe los procedimientos y controles, deberá emitir su juicio, y soportarlo con los resultados y evidencias de las pruebas de cumplimiento y sustantivas llevadas a cabo. Auditoria de la calidad La calidad es un factor importante al momento de competir en el mercado, y se define como la concordancia con los requisitos funcionales (funciones realizadas por el software) y el rendimiento, establecidos por los usuarios, con los estándares de desarrollo de software determinados y normas de calidad. Una auditoria de calidad tiene como objetivo el mostrar la situación real, para aportar confianza y destacar las áreas que puedan afectar esa confianza, es decir evaluar los proyectos o sistemas, y verificar la aplicación de los estándares, líneas guía, especificaciones y procedimientos. En este proceso, se establece el estado del sistema o del proyecto, capacidad de realizar o continuar un trabajo específico, verificar que elementos del programa o plan de aseguramiento de la calidad, han sido desarrollados y documentados. Esta información debe ser analizada, y sirve como base para la toma de decisiones en la organización. Para garantizar la calidad de los proyectos de software, es necesario asegurar dentro del desarrollo, la realización del Plan General de Calidad, el cual determina las especificaciones para garantizar la calidad del software. Así mismo se deben seguir y cumplir diferentes normas de calidad de software, algunas de estas son:

39 www.auditool.org

NORMA

IEEE Standard 1028 for Software Reviews and Audits

ISO 9126

Norma ISO/IEC 12207

DESCRIPCION Define los requerimientos para los procesos de revisión y auditoria. La revisión está definida como la evaluación de los elementos del software o proyecto en curso. Para conseguir procesos de calidad se debe llevar a cabo evaluaciones, verificación, validación, conformidad y confirmación de los mismos durante el ciclo de vida del proyecto. Otro estándares son:  IEEE 730-2002: Planes de aseguramiento de la calidad del software  IEEE 829-1998: Documentación de pruebas de software  IEEE 982.1 – 982.2: Diccionario estándar de medidas para producir software fiable  IEEE 1008-1987: Pruebas de unidad del software  IEEE 1012- 1998: Verificación y validación del software  IEEE 1044-1993: Clasificación estándar para anomalías del software  IEEE 1061-1998: Estándar para una metodología de métricas de calidad del software  IEEE 1228-1994: Planes de seguridad del software Define calidad de software como el conjunto de atributos del software, a través de los cuales la calidad es descrita y evaluada, y se estructura en forma jerárquica. Estos atributos o características son:  Funcionalidad: Existencia de un conjunto de funciones y propiedades físicas, que cumplen con los requerimientos y necesidades establecidas.  Fiabilidad: Capacidad del software para mantener un nivel de rendimiento, bajo unas condiciones específicas durante un periodo.  Usabilidad: Condiciones necesarias para el uso de software, y valoración de estas por parte de los usuarios.  Eficiencia: Relación entre el nivel de rendimiento del software y la cantidad de recursos usados.  Mantenibilidad: Esfuerzo necesario para hacer modificaciones específicas.  Portabilidad: Habilidad del software para ser transferido desde un entorno a otro. Esta norma contiene las directrices para los procesos del ciclo de vida del software, y los procesos actividades y tareas para aplicar durante la adquisición del software; fundamentales para una buena ingeniería de software. Componentes del Sistema de Calidad:  Revisión de controles  Especificaciones de los requisitos de los usuarios y clientes  Planificación del desarrollo  Planificación de la calidad  Diseño y realización  Ensayo y validación  Aceptación  Reproducción, despacho e instalación  Mantenimiento

40 www.auditool.org

    

Norma ISO/IEC 12207

Control de documentos Registros de calidad Mediciones Reglas, prácticas y convenciones Herramientas y técnicas

Esta norma es denominada tecnologías de información: proceso de evaluación. Se realiza la evaluación del proceso y la aplicación del proceso de evaluación para el mejoramiento y determinación de la capacidad; precisa los requisitos mínimos para realizar una evaluación que asegure un nivel de consistencia y capacidad de repetición, y que los resultados de la evaluación sean objetivos.

Una característica de los procesos de calidad es la repetitividad de los mismos; estos deben estar definidos, para conseguir los mismos resultados, cada vez que se repitan. Esta repetición permite redefinir los procesos y corregir las fallas encontradas. En el desarrollo de la auditoria se debe llevar a cabo procesos de revisión, que permiten evaluar el software o proyecto para identificar las discrepancias sobre los resultados planificados y expresar las recomendaciones necesarias. Los requisitos de calidad son establecidos desde las necesidades de los usuarios y clientes, y teniendo en cuenta la calidad de los productos y servicios, tiempos acordados de entrega y costos. El auditor, también, puede usar software de evaluación de calidad, para suministrar una valoración independiente. La auditoría de calidad debe permitir evaluar si:  Los productos software codificados reflejan lo diseñado en la documentación.  Los requerimientos de la revisión de aceptación y de pruebas prescritos por la documentación, son adecuados para la aceptación de los productos software.  Los datos de prueba cumplen con las especificaciones.  Los informes de prueba son correctos y los problemas que se presentaran, fueron resueltos.  La documentación del usuario cumple a cabalidad con los estándares.  Las actividades se han desarrollado de acuerdo requerimientos, planes y contrato establecido.  Los costos y cronograma se ajustan a los planes establecidos. Auditoría de la seguridad La importancia de la información manejada por las empresas, cada día tiene un valor mayor, por esta razón surge la necesidad de una protección adecuada que garantice la disponibilidad, integridad, confidencialidad y autenticación de la información. Si no existen las medidas adecuadas de protección puede perderse información vital para la empresa, y que puede generar la toma de decisiones erróneas, o causar problemas mayores. Los objetivos de la auditoria de seguridad son:    

Verificar la protección de la integridad, exactitud y confidencialidad de la información. Verificar la protección de los activos ante desastres provocados por el hombre y actos hostiles. Corroborar la protección de la empresa contra situaciones externas como desastres naturales y sabotajes. Comprobar la existencia de planes y políticas de contingencias, para lograr una pronta recuperación de la información.

41 www.auditool.org



Comprobar la existencia de seguros necesarios que cubran las pérdidas económicas, en caso de desastre.

El auditor debe evaluar en primera instancia, si los modelos de seguridad están acorde a las nuevas arquitecturas, plataformas y posibilidades de comunicación. Así mismo debe evaluar las siguientes áreas:  Controles directivos: Políticas, planes, funciones, comités, objetivos de control, presupuestos y evaluación de riesgos.  Desarrollo de políticas: Procedimientos, estándares, normas y guías.  Amenazas físicas externas: inundaciones, incendios, explosiones, corte de suministros, terremotos, terrorismo, o huelgas.  Control de accesos físicos y lógicos: Establecer rutas de acceso, claves, software de control y encripta miento.  Protección de datos, programas, instalaciones, equipos y soportes.  Comunicaciones y redes: Usos autorizados, con la asignación de dominios según los perfiles de los usuarios. Se deben revisar y evaluar el uso de internet e intranet, correo electrónico, y demás servicios en línea.  Entorno de producción: desarrollo de las aplicaciones en un entorno seguro, e incorporación de controles en los productos realizados, haciendo posible el desarrollo de la auditoria. Todos los proyectos deben ser autorizados, para verificar el cumplimiento de los estándares y normas establecidas. Otro aspecto importante es la contratación de servicios y su respectivo seguimiento.  Continuidad de las operaciones: Desarrollo de un plan de contingencias. En la evaluación de riesgos se deben considerar tipo de información almacenada, procesada y transmitida, criticidad de las aplicaciones, tecnología usada, marco legal aplicable, sector de la entidad y momento de la evaluación. A partir de esta evaluación las entidades deben considerar que riesgos importantes se debe tratar. El auditor debe verificar si se ha dado el trato correcto a estas amenazas y darle a conocer a las entidades que la seguridad en un factor, que puede representar rentabilidad y buena imagen. Es por esto que la seguridad no solo debe implicar procesos físicos, sino formación y capacitación al personal, para generan una estructura segura en toda la empresa. El personal debe ser seleccionado a través de procesos objetivos y pertinentes para los cargos a desempeñar. Así mismo es importante separar las funciones y tener un organigrama claro, con distribución de puestos de trabajo y funciones, para evitar que solo unas personas manipulen las operaciones y transacciones importantes, lo que podría llevar a fraudes o el acceso y manipulación de información, sin las autorizaciones previas. Esto empieza a generar una cultura de seguridad en la entidad, que debe ser acompañada de un modelo de seguridad adecuado para la entidad que incluya medidas como sistemas de detección y extinción de riesgos, revisiones periódicas, copia de archivos, contraseñas y controles. Un riesgo al que los sistemas y equipos están expuestos, son los virus (malware, software malicioso), rutinas que se esconden en los programas, y se activan cuando se cumple una condición específica, y llevan a cabo actividades como copia de archivos e incluso el borrado de toda la información contenida en disco del equipo. Existen varios tipos de virus, como son:   

Caballos de Troya: Se ubican dentro de un programa y actúan con determinada indicación. Permiten robar información o alterar el sistema del hardware, e incluso el acceso de un usuario externo al equipo. Gusano: Tienen la propiedad de duplicarse a sí mismos. Bombas lógicas o de tiempo: Programas que se activan al producirse una acción determinada.

42 www.auditool.org

 

Hoax: Mensajes de contenido falsos, que incitan a los usuarios a hacer copias y enviarlas a los contactos. Joke: Crean algún efecto molesto o humorístico en el equipo.

La auditoría de seguridad debe garantizar cuatro aspectos importantes de la información, confidencialidad, integridad, disponibilidad y autenticidad, mencionados anteriormente, a través de la implementación de procedimientos pertinentes.    

Confidencialidad: Asegurar que solo las personas autorizadas tiene los accesos a la información correspondiente. Integridad: Garantizar que solo los usuarios autorizados pueden realizar cambios en la información correspondiente, dejando los registros pertinentes para el desarrollo de la auditoria. Disponibilidad: Asegurar el acceso de las personas con las autorizaciones pertinentes, a la información en los tiempos determinados. Autenticidad: Garantizar que la información sea autentica y manipulados por las personas autorizadas.

Una forma de proteger la información y el control de accesos, es el encriptamiento, arte de proteger la información transformándola con un determinado algoritmo, dentro de un formato, para que no pueda ser leída normalmente. Solo los usuarios autorizados podrán, desencriptar la información. Auditoría de los sistemas redes La auditoría de redes debe determinar que la función de gestión de redes y comunicaciones este claramente definida en la empresa y se tenga en cuenta:  Gestión de la red, inventario de equipos y normas de conectividad.  Monitorización de las comunicaciones, registro y solución de problemas.  Revisión de costes y su asignación de proveedores y servicios de transporte, balanceo de tráfico entre rutas y selección de equipamiento.  Evaluar:  La existencia de una gerencia de comunicaciones con autoridad para establecer procedimientos y normatividad.  Procedimientos y registros de inventarios y cambios.  Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento, registro de incidencias y resolución de problemas.  Procedimientos para vigilar el uso de la red de comunicaciones.  Participación activa de la gerencia en el desarrollo de nuevas aplicaciones en línea, para asegurar que se sigue la normatividad establecida. 

Garantías y vulnerabilidad de las instalaciones físicas de la empresa.      

Controlar las áreas para los equipos de comunicaciones, para prevenir accesos inadecuados. Protección de cables y líneas de comunicación, para evitar accesos físicos. Monitoreo de la red y su tráfico, para impedir usos inadecuados e identificar anomalías y seguir los procedimientos establecidos. Establecer contraseñas y los procedimientos necesarios para limitar y detectar cualquier intento de acceso no autorizado a la red. Control e identificación de errores de transmisión, para restablecer las retransmisiones apropiadas. Controles para asegurar que las transmisiones van a los usuarios autorizados.

43 www.auditool.org

 

Registros de la actividad en la red, para reconstruir incidencias y detectar accesos no autorizados. Controles adecuados para la importación o exportación de datos a través de puertas a otros sistemas informáticos.

Entonces, el auditor debe definir el sistema de comunicación de la empresa, teniendo en cuenta los siguientes elementos:        



Servidor y huésped Terminal o estación de trabajo Convertidores de protocolo Modem Equipo de conexión de terminales Modo de comunicación Medio de comunicación Topología de las redes:  Punto a punto, estrella y tipología jerárquica  Multidrop o bus y ring  Mesh  Sin cables, wireless Tipos de red  Local  WAN  Enterprise  Internacional

Para la auditoria de redes se trabaja con base al modelo OSI (Open systems Interconnection), el cual consta de siete etapas:       

Aplicación: Conexión entre la aplicación con el sistema de comunicaciones. Presentación: Formato de datos que van a presentar la aplicación. Sesión: Establecer procedimientos de apertura y cierre de sesiones, e información de la sesión en curso. Transporte: Comprobación de la integridad de los datos transmitidos. Red: Rutas de comunicación entre el emisor y receptor. Enlace: Transformación de los paquetes de información en trama adaptadas por los dispositivos físicos, usados para la transmisión. Físico: Transformación de la información en señales físicas adaptadas al medio de comunicación.

Para establecer una comunicación, la información debe pasar por cada una de las siete etapas, a través de los métodos prefijados para establecer la comunicación entre las mismas etapas. En las tres primeras etapas se definen las redes LAN (Local área Network), MAN (Metropolitan Área Network), y WAN (Wide Área Network). Existe un elemento que influye en la redes, es la vulnerabilidad, debido a que la información transita por diferentes lugares, físicamente a diferentes distancias, lo que hace necesario implementar modelos de seguridad apropiados. Según el origen de los riesgos se pueden dividir en tecnológicos o físicos:

44 www.auditool.org



Tecnológicos  Alteración de bits  Ausencia de tramas  Alteración de secuencias  Físicos  Indagación  Suplantación  Modificación  Una forma de responder a estos riesgos en las redes es la criptografía, y el uso de protocolos de alto nivel, estos son:     

SNA , System Network Architecture OSI Netbios IPX TCP/IP, Transfer Control Protocol/Internet Protocol

Este último protocolo TCP/IP ha generado la siguiente clasificación de redes:   

Intranet: Red interna, privada y segura de una empresa. Extranet: Red privada y segura compartida por un conjunto de empresas. Internet: Red de redes, a donde se conecta cualquier red. Es de alcance mundial y público, donde se pueden conectar los interlocutores.

Uno de los mayores riesgos que se presentan a raíz del uso del protocolo TCP/IP, es la que se genera a raíz de su mayor ventaja, la disponibilidad de utilidades. Si no se dispone de la seguridad necesaria, puede suceder que terceros utilicen los servicios para su beneficio. Un dispositivo utilizado para la protección es el corta-fuegos, Firewall, el cual revisa cada paquete de datos que entra y sale, para decidir si pasa o no. El auditor también debe evaluar las siguientes características en la red:      

Confiabilidad Tiempos de respuesta Costo de la red Compatibilidad con otras redes Seguridad Diseño lógico: entradas, salidas, procesos, especificación de datos y procesos, métodos de acceso, operaciones, manipulación de datos, identificación de archivos, proceso en línea, frecuencia y volumen de operaciones, sistemas de seguridad, sistemas de control, responsables, número de usuarios, software necesario, y bases de datos requeridas.

Auditoria de aplicaciones La auditoría de aplicaciones se basa en la última etapa del ciclo de vida de la aplicación, su funcionamiento, en la cual se evalúa el grado de cumplimiento de los objetivos establecidos para la aplicación, y se realiza una revisión de la eficacia del funcionamiento de los controles diseñados frente a los riesgos, asegurando la fiabilidad, seguridad, disponibilidad y confidencialidad de la información gestionada por la aplicación. Es importante que el auditor para llevar a cabo la auditoria de aplicación, conozca la organización y los procedimientos de los servicios que utilizan la aplicación, así como el entorno en que se desarrolla la aplicación. Una aplicación o sistema de información de una empresa tiene los siguientes objetivos:

45 www.auditool.org

   

Registro de la información de las operaciones y actividades de la empresa. Realización de procesos de cálculo y edición necesarios. Dar respuesta a consultas autorizadas, sobre la información almacenada, solicitadas con el fin de dar cobertura a las necesidades de los usuarios. Generar informes con la información correcta y utilizando criterios de selección.

A pesar del cumplimiento de estos objetivos, el sistema siempre está en riesgo de una falla, ya sea técnica o humana, que amenazan la confidencialidad, integridad y disponibilidad de la información. Es por esto que desde la etapa de diseño de la aplicación o sistema, se debieron tomar las medidas de control interno para reducir los riesgos que afecte la información, y el sistema o aplicación en su totalidad. Estas medidas pueden clasificarse en dos grupos, el primero son los controles manuales y automáticos, y el segundo grupo son controles preventivos, detectivos, y correctivos. Los controles manuales son realizados por el personal del área y establecidos para asegurar que se preparan, autorizan y procesan todas las operaciones, se subsanan adecuadamente los errores, las bases de datos dan soporte a la aplicación, y los resultados son coherentes respecto a los datos de entrada. Los controles automáticos son incorporados en los programas de la aplicación, para asegurar que la información se registre y mantenga completa y exacta, los procesos de todo tipo sean correctos, y los usuarios respeten los ámbitos de confidencialidad establecidos. De esta manera, el auditor debe entender el software básico de la aplicación, identificando la seguridad que ofrece, y los riesgos inducidos, incluyendo la arquitectura y características lógicas. Este entendimiento le permite identificar cualquier falla o riesgo significativo en la aplicación. Auditoria Jurídica de entorno informáticos La auditoría jurídica es parte fundamental de la auditoria informática, debido a que su objetivo es comprobar el cumplimiento legal de las medidas del uso de la informática y de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Esta auditoria es esencial para evitar posibles reclamaciones contra la entidad auditada. Entonces, el trabajo del auditor será preventivo, y evitara cualquier sanción administrativa o legal, cuando sea posible; así como costos económicos como indemnizaciones, por negligencias que pudieron haber prevenido a tiempo. La auditoría informática llevada a cabo a tiempo, puede prevenir el delito informático, generando beneficios para la empresa. La auditoría informática comprende cuatro áreas:  

 

Auditoria del entorno informático: Revisión y evaluación de los elementos del hardware, software y contratos de paquetes gestionados, outsourcing. Auditoria de las personas que manipulan la información: Evaluar al personal que utiliza los sistemas de información y equipos, verificando así: quienes tienen acceso a la información, adecuación del personal al cargo que ostentan, conocimiento de la normatividad pertinente y actitud ética frente al desarrollo de las funciones relegadas, establecimiento en el contrato del personal de la labor que cumplen y responsabilidad que ostentan, y si los contratos con proveedores aseguran la confidencialidad de la información. Auditoria de la información: cumplimiento de la normatividad en cuanto al manejo de la información, evitando su uso con finalidades incompatibles con aquellas para las que se seleccionó la información. Auditoria de los archivos: Evaluación de los niveles de protección de los archivos, mecanismos de seguridad, y figura del responsable del archivo.

46 www.auditool.org

Aspectos legales en una auditoria informática El derecho informático regula el mundo informático por medio de procedimientos y regulaciones como lo son la protección de datos personales, protección jurídica de los programas, delitos informáticos, documento electrónico, comercio electrónico, y demás elementos relacionados a la informática. Esta parte del derecho es imprescindible para el auditor, este debe conocer esta rama, ya que define las normas y procedimientos que envuelven la auditoria informática, en el ámbito legal. Todas las normas y regulaciones se basan en un bien jurídico, la información. Como profesional el auditor debe desarrollar su trabajo en busca de la protección de este bien, y bajo unos principios deontológicos que garantizan el desarrollo correcto y ético de la profesión, estos son:             

Principio de beneficio del auditado Calidad Capacidad Cautela Comportamiento profesional Criterio propio Discreción Formación continuada Independencia Información suficiente Legalidad Principio de no injerencia Veracidad

PAIS

Colombia

México Estados Unidos

Venezuela

LEYES Y REGULACIONES Congreso de las Naciones Unidas en Viena en octubre del 2000, sobre prevención del delito y tratamiento de delincuentes, relacionados con las redes informáticas. Ley orgánica 15/1999 de 13 de Diciembre de Protección de datos de carácter personal Ley 527 de 1999, por la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales. Decreto 1747 de 2000, se reglamenta parcialmente la ley 527 de 1999. Ley 1286 de 2009, Ley de Ciencia y Tecnología. Ley Federal del derecho de autor, título IV, capitulo IV, última reforma febrero de 2012. Decreto No. 142, ley para el uso de medios electrónicos del Estado de México, septiembre de 2010. Ley estadounidense “Sarbanes-Oxley Act”. Ley Orgánica de las telecomunicaciones, Marzo de 2000. Decreto No. 825, Decreto referente al acceso y uso de Internet en el territorio nacional. Decreto No. 2.479, creación de la Red del Estado. Ley sobre mensajes de datos y firmas electrónicas. Ley orgánica de ciencia, tecnología e innovación. Ley especial contra los delitos informáticos. Decreto 3.390, se determina el uso prioritario de Software libre con estándares abiertos, en sus sistemas, proyectos y servicios informáticos.

47 www.auditool.org

Los programas de computador, software, también deben ser protegidos jurídicamente. Estos son concebidos como bienes inmateriales y se pueden proteger a través de estipulaciones contractuales, secreto comercial, derecho de patentes, derecho de marcas, y derechos de autor. Estos derechos le dan al autor una serie de derechos que pueden ser morales y patrimoniales. Los delitos informáticos son definidos como toda acción culpable realizada por el ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor, que se realiza en el entorno informático y está sancionado con una pena. Los delitos informáticos se pueden presentar como delitos contra la intimidad, contra el patrimonio, falsedades documentales, estafas informáticas, defraudaciones, daños informáticos, propiedad intelectual.

48 www.auditool.org