INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
“IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA EN LAS EMPRESAS DEL
SECTOR PRIVADO”
T E S I N A
Q U E P A R A O B T E N E R E L T Í T U L O D E:
L I C E N C I A D O E N C I E N C I A S D E L A I N F O R M Á T I C A
P R E S E N T A N:
Q U E P A R A O B T E N E R E L T Í T U L O D E:
I N G E N I E R O E N I N F O R M Á T I C A P R E S E N T A:
MÉXICO, D.F. 2009 H É C T O R A R M A N D O A D A M E M O R E N O M I R I A M G A L V Á N S I L V A D I A N A A U R O R A P A T I Ñ O A G U I L A R R O S A M A R Í A Q U I R Ó S S A L I N A S
R O C Í O A R I A S H E R N Á N D E Z
Í N D I C E
R E S U M E N………...i
INTRODUCCIÓN………..iv
Capítulo I Marco Metodológico ………
11.1 Planteamiento del Problema………...1
1.2 Objetivo(s)………..1
1.2.1 Objetivo General………...1
1.2.2 Objetivos Específicos………...1
1.3 Técnicas e Instrumentos de Medición………...2
1.3.1Técnica Documental……….2
1.3.2 Instrumentos de Medición………...2
1.4 Universo y/o Muestra………...2
1.5 Justificación………..2
Capítulo II Conceptos Generales
………..42.1 Concepto de información y sus características………...4
2.2 Importancia de la información dentro de las empresas………..5
2.3 Seguridad de la información………...7
2.4 Las empresas y la seguridad de la información………12
2.5 Seguridad informática………14
2.5.1 Concepto de seguridad informática………..14
2.6 Riesgos………...16
2.6.1 Concepto de riesgo………16
2.6.2 Clasificación de los riesgos………..16
2.7 Delito Informático………...18
2.7.1 Definición de delito informático………18
2.7.2 Tipos de Delito Informático………...18
2.8. Auditoria en Informática. ………..22
2.8.1 Concepto de Auditoria en Informática ………23
2.8.2 Importancia de la auditoria en informática………..24
2.8.3 Tipos de Auditoria Informática……….24
2.8.4 Funciones administrativas del Auditor en Informática………..27
2.8.5 Auditoria Informática Interna y Auditoria Informática Externa……….27
2.8.6 Normas, Técnicas y Metodología de Auditoria………..29
2.8.6.1 Normas de Auditoria………..29
2.8.6.2 Técnicas de Auditoria………30
2.8.6.3 Metodología de Auditoria………..34
Capítulo III Situación Actual de la Auditoria
……….373.1. Principales delitos Informáticos………..37
3.2 Situación Actual de la Auditoria Informática a Nivel Internacional……….39
3.3 Situación Actual de la Auditoria Informática a Nivel Nacional……….39
3.3.1 ¿Quién realiza la Auditoria en Informática y por qué se lleva acabo ésta?...43
3.3.1.1 Auditoria en Informática a las Principales empresas del País…44 3.3.1.2 Auditoria en Informática en PYMES………...44
3.3.1.3 Administración Pública……….45
3.3.1.4 Sector Financiera………..46
Capítulo IV Legislación Existentes y Mejores Prácticas
………..484.1 Leyes que aplican a la Auditoria en Informática ………...48
4.1.1 Legislación nacional……….48
4.1.1.1 CNBV………...48
4.1.1.2 AMITI………54
4.1.1.3 CONDUSEF………57
4.1.2 Legislación Internacional………..58
4.1.2.1 SOX……….58
4.1.2.2 BASILEA II………60
4.1.2.3 PCI………61
4.2 Mejores Prácticas ………...64
4.2.1 ISACA………..64
4.2.2 ISACA MEXICO, ANTES AMAI………...65
4.2.3 COBIT………..66
4.2.4 ISO……….………..69
4.2.5 ITIL………...71
Capitulo V. Importancia de la auditoria en informática y Medidas propuestas para impulsar su aplicación……….
765.1 Importancia de la auditoria en informática………76
5.1.1 A Nivel Internacional……….76
5.1.2 A Nivel Nacional……….76
5.1.3 A Nivel Empresa del Sector Privado………...77
5.2 Propuestas para coadyuvar a la función de auditoria en informática………77
5.2.1 Propuesta a Nivel Internacional………...77
5.2.2 Propuesta a Nivel Nacional………..79
5.2.3 Propuesta a Nivel Empresa del Sector Privado………79
CONCLUSION………...82
BIBLIOGRAFÍA………84
GLOSARIO………..87
R E S U M E N
Actualmente las empresas privadas basan gran parte de sus operaciones en la tecnología de Información, ya que esta le da una versatilidad y facilidad para las labores que se desempeñan en ella, además, teniendo en cuenta que la información es el activo más valioso que se tiene esto da un papel fundamental a la TI, sin embargo se requiere tomar algunos puntos que son importantes y en los cuales está fundamentado el presente trabajo.
Las estadísticas muestran que los delitos en materia de tecnologías de información aumentan rápidamente por lo que el número de afectados es cada vez mayor; éste número no se limita solamente a personas sino que se extiende hasta las empresas, de aquí que en muchas de ellas, aun cuando nunca hayan recibido un ataque informático considerable, ya estén tomando medidas al respecto en materia de seguridad informática, sin embargo el avance tecnológico ocasiona que con el paso del tiempo las medidas tomadas se vuelvan obsoletas comparadas a las nuevas formas de ataques informáticos.
Para disminuir el riesgo de que las medidas implementadas sean superadas por las innovaciones en ataques informáticos, es importante apoyarse en la auditoria en informática, de tal manera que ésta ayude a tener una visión más objetiva de las vulnerabilidades y riesgos existentes dentro de las empresas.
Sin embargo actualmente a la auditoria en informática consideramos que no se le da la importancia que debería, ya que no existe alguna legislación en México que lo contemple y que obligue su existencia como un órgano de control interno y las empresas la omiten delegando la responsabilidad a otras áreas.
Es por esto que el objetivo de nuestro trabajo se centró en determinar la importancia que tiene la auditoria en informática y dar una propuesta factible que coadyuve a impulsar su función dentro de las empresas del sector privado.
Para lograrlo se empezó por definir los elementos más importantes que intervienen dentro de la auditoria en informática, lo cual nos ayudó a comprender como es que ésta debe de funcionar; una vez que tuvimos estas bases de conocimiento pudimos comenzar con las investigaciones, gracias a las cuales comprobamos que la delincuencia en materia informática lleva un considerable incremento en los últimos años, con tendencias a seguir aumentando en los próximos años y que las empresas más afectadas son las que no consideran dentro de sus procedimientos la función de auditoría en informática, también encontramos que gran parte de las empresas a nivel internacional no tienen una motivación para implementarla y que al menos en Latinoamérica esto se debe a que ésta no está respaldada por la legislación.
Esta primera investigación nos llevó a estructurar un capítulo más dentro de nuestro trabajo en el
cual plasmamos los lineamientos legales a nivel nacional e internacional y las regulaciones existentes que se relacionan con la auditoria en informática en la actualidad. De esto pudimos notar que la legislación en materia de tecnologías de información está enfocada principalmente a la seguridad, dejando de lado a la auditoria; sin embargo ya se comienzan a ver indicios por implementar esta función principalmente por los organismos financieros apoyados en los organismos reguladores y certificadores a nivel internacional.
De lo anterior podemos decir que el resultado de nuestra investigación fue que la auditoria en informática juega un papel determinante dentro de las empresas debido a que su evaluación permite a estas juzgar la situación en la que se encuentra su tecnología de información con respecto a las mejores prácticas mundiales, es por esto que consideramos primordial que la auditoria en informática tenga el impulso necesario dentro de las empresas del sector privado dando a conocer los beneficios que ésta puede brindarle a las organizaciones y con esto promover la función de la auditoria en informática ya sea por outsorcing o con la creación de un área interna dedicada especialmente a esto.
Con objeto de coadyuvar en el desarrollo de la función de auditoría en informática, sugerimos que los organismos reguladores que afectan a las empresas del sector privado las obliguen por medio de leyes o lineamientos a aplicar la función de auditoría en informática, ya sea a nivel internacional por medio de la Organización de las Naciones Unidas o a nivel nacional con una reforma a la legislación Mexicana o mediante la creación de un organismo dedicado a supervisar que se lleven a cabo auditorias en informática con regularidad, ya sea que este organismo esté representado como un área dependiente de la Secretaria de Hacienda y Crédito Público o tenga una dependencia total de otras instituciones de gobierno, pero finalmente respaldada por el gobierno federal
Así mismo, para las empresas que ya cuentan con el área de auditoría en informática establecida, se propone que modifiquen su esquema funcional de sus organizaciones para ubicar ésta área como un área Staff de la dirección general o de la misma área de auditoría financiera, pero que al final de cuentas tenga una función completamente independiente de las áreas de sistemas.
Por último podemos decir que el presente trabajo nos ayudó a definir incluso para nosotros mismos cual es la importancia que realmente tiene la Auditoría en Informática y entender el papel fundamental que juega en el día actual, que hay mucho por hacer para impulsarla a un nivel empresarial, nacional e internacional, que hoy en día la tecnología es utilizada por el hombre y como cualquier otra herramienta se debe saber usar, implementar y aprovechar y no es sino con un criterio objetivo que nos da la Auditoría en Informática, la única forma de hacerlo de manera optima.
Capítulo I Marco Metodológico
Dentro de este capitulo se menciona la Metodología a seguir, empezando por el Planteamiento del Problema para así, definir los objetivos, técnicas, instrumentos de medición y el universo ó muestra a usar, así mismo, se da una justificación del por qué de éste trabajo.
1.1 Planteamiento del Problema
El monitoreo y evaluación de las medidas de seguridad implementadas en las empresas para el uso de las tecnologías de información, se ha vuelto una necesidad, debido a que la delincuencia informática ha aumentado considerablemente en nuestros días como se verá mas adelante mediante investigaciones estadísticas, lo que significa que el riesgo de ser víctima de un ilícito informático también ha aumentado; ésta delincuencia se actualiza conforme avanza la tecnología por lo que ya no basta con solo implementar medidas de seguridad sino que es necesario conocer su eficacia para renovarlas conforme a las necesidades empresariales.
Sin embargo, actualmente de las empresas privadas que han decidido tomar medidas contra la delincuencia informática, muchas de ellas, han enfocado sus esfuerzos únicamente en materia de seguridad para el resguardo de sus tecnologías de información, pero al no conocer el desempeño de los controles implementados carecen de una visión objetiva de la vulnerabilidad de su empresa.
Esto aunado a que la mayoría de las regulaciones en materia informática están dirigidas a la seguridad, ocasiona que la auditoria en informática no sea tomada en cuenta como una medida importante para la disminución de los riesgos a los que está expuesta la tecnología de información.
1.2 Objetivo(s)
1.2.1 Objetivo General
Determinar la importancia que tiene la auditoria en informática dentro las empresas del sector privado y generar una propuesta factible que ayude a promover ésta función.
1.2.2 Objetivos Específicos
Presentar propuestas que ayuden a fortalecer y promover el uso de la auditoría en informática para que los beneficios de contar con está función estén presentes en las empresas del sector privado.
Dar a conocer los problemas a los que se enfrentan actualmente las empresas que no aplican la auditoria en informática.
Estudiar el cómo la Auditoria en Informática ayuda a detectar y prevenir fraudes, así como a evaluar la eficaz gestión de los recursos informáticos.
Determinar las asociaciones y mecanismos que se encargan de coadyuvar a la aplicación de la auditoria en informática.
Estudiar el impulso que ha tenido la legislación en materia de auditoria en informática.
1.3 Técnicas e Instrumentos de Medición 1.3.1 Técnica Documental
Es la presentación de un escrito formal. Consiste primordialmente en la presentación selectiva de lo que expertos ya han dicho o escrito sobre un tema determinado, además puede presentar la posible conexión de ideas entre varios autores y las ideas del investigador.
1.3.2 Instrumentos de Medición
Los instrumentos de medición a usar para determinar la importancia de la Auditoria en Informática serán estadísticas y publicaciones sobre problemas en seguridad informática, las leyes y normatividad que obligan la existencia de áreas de Seguridad Informática y Auditoria en Informática, así como investigación sobre la existencia de áreas y de funciones ya establecidas de Auditoria en Informática.
1.4 Universo y/o Muestra
Empresas privadas y públicas a nivel Internacional y nacional con o sin auditoria en Informática.
1.5 Justificación
En un mundo de constantes cambios como el nuestro, uno de los activos más importante de las empresas es la información y cuanto mejor se explote mayor será el beneficio obtenido, sin embargo, al llegar a ser tan valiosa, es necesario tener el mayor cuidado posible al manejarla, ya que el rumbo que lleva una empresa depende de las decisiones que las personas tomen según la información que poseen.
Actualmente las TI son las herramientas más usadas para explotar la información, pero éstas son susceptibles de ataques informáticos, los cuáles pueden ser prevenidos si se toman las medidas pertinentes.
Según la PGR,“la delincuencia en materia informática ha aumentado considerablemente en los últimos años, los delitos cometidos mediante tecnologías informáticas se han triplicado pasando de 500 en el 2004 a 1500 en el 2007” 1, y tomando en cuenta que éstos son solo los delitos registrados, podemos deducir que la cifra total de delitos reales es mucho mayor.
Esto ha llevado a la creación de diversos organismos que se encargan de regular los asuntos pertinentes al área informática y a que las naciones creen leyes que procuren el resguardo de la
1 “PGR”
información, sin embargo, en México ésta legislación apenas cubre algunos aspectos como el fraude.
Aunado a esto las empresas han creado sus propias políticas y controles internos para asegurar el buen manejo de sus tecnologías de información y así disminuir el riesgo de ser víctimas de los delincuentes informáticos.
En conjunto el interés por la seguridad informática ha aumentado, “para el 2004 el 63% de las organizaciones en México dijo no contar con una medida de seguridad informática y que no contemplaban tenerla, sin embargo para el 2007 el 85% de las organizaciones ya contaban con un oficial de seguridad informática” 2; según investigaciones realizadas por Ernest & Young.
Desafortunadamente estas medidas no siempre son suficientes debido al rápido avance tecnológico, por lo cual se necesita adecuarlas con regularidad a la situación actual de la empresa, sin embargo, para hacer las modificaciones correspondientes y que éstas sean oportunas, se necesita realizar una auditoria en la cual sean evaluadas y monitoreadas constantemente, esta es una de las funciones de la auditoria en informática.
Si una empresa no mantiene al día y en constante actualización sus medidas de seguridad informática, el riesgo de que sus tecnologías de información sufran un ataque es mayor.
Hoy en día existen muchas amenazas en cuanto a TI se refiere, tales como phishing, hackeo, robo de información, etc., no basta con implementar una medida de seguridad para contrarrestar un riesgo, si bien, ésta cumple su función, no nos consta que el alcance que queremos sé esté obteniendo, para ello, es necesario auditar todos los controles que tenga la empresa para lo cual se requiere de una revisión a detalle de estos.
Sin embargo, esta revisión es muchas veces omitida por las empresas lo que trae consigo que los controles no lleguen a ser los adecuados o bien que no sean efectivos contra algunas de las amenazas.
2 “Ernest & Young”
Capítulo II Conceptos Generales
Dentro de este capítulo se definen conceptos generales que se deben conocer en el momento en que hablamos de Auditoria en Informática, con el fin de que este trabajo se pueda comprender de la mejor manera, se abarcan desde los conceptos mas generales y básicos que son utilizados como lo es la Información y se define la importancia y valor que tiene ésta en las empresas privadas, así mismo, conceptos que surgen de esta como lo son la seguridad de información y por ende la Auditoria en Informática, así mismo, se definen conceptos ligados al tema como son el riesgo y los Delitos Informáticos, en cada uno de estos se profundiza de tal manera que se brinda un panorama de todo lo que abarca la Auditoria en Informática conceptualmente.
2.1 Concepto de información y sus características
Según el autor Robert L Krause “La información constituye un conjunto de elementos (datos, códigos, investigaciones, experiencias) que permiten tomar decisiones sobre situaciones específicas; a partir del establecimiento de relaciones entre los elementos y el problema o situación dada, para transformar lo que se tiene”.3
De acuerdo a la autora Claudia Elizabeth Vázquez Martínez “Información es un conjunto de datos significativos y pertinentes que describen sucesos o entidades.
• Datos significativos: Para ser significativos, los datos deben constar de símbolos reconocibles, estar completos y expresar una idea no ambigua.
• La integridad: Significa que todos los datos requeridos para responder a una pregunta específica están disponibles.
• Datos pertinentes. Decimos que tenemos datos pertinentes (relevantes) cuando pueden ser utilizados para responder a preguntas propuestas”. 4
En cuanto al Instituto Politécnico Nacional “Las características esenciales de la información son:
o Exactitud: En este sentido la información debe reflejar el evento epidemiológico al cual se refiere y su sistema de medición expresado con poca variabilidad.
o Objetividad: La información debe ser el producto de criterios establecidos que permitan la interpretación en forma estandarizada por diferentes personas en circunstancias diversas de tiempo y lugar.
3 Libro: “Estructura de Datos y Diseño de Programas” [En línea] Autor: Robert L Krause, 4 de febrero de 2007, Dirección URL: http://www.monografias.com/trabajos14/datos/datos.shtml, [Consulta: 25 septiembre 2008].
4 Artículo: Los datos y la información [En línea] Autor: Claudia Elizabeth Vázquez Martínez , Dirección URL:
http://boards4.melodysoft.com/app?ID=2005AAV0105&msg=22&DOC=61, [Consulta: 13 de agosto de 2007].
o Válida: Se refiere a que la información ha de permitir medir en forma precisa el concepto que se estudia, con criterios uniformes.
o Continuidad: La información ha de ser generada en forma permanente de tal manera que exista la disponibilidad de los datos a través del proceso de vigilancia.
o Completa: Debe contener todos los datos y variables previamente establecidas para cumplir con su finalidad en cada evento epidemiológico.
o Oportuna: La información debe generarse y notificarse a la par con los acontecimientos de tal manera que permita la toma de decisiones y la actuación inmediata.
o Comparable: que permita ser confrontada con datos similares”.5
Por lo tanto, y de acuerdo a lo anterior, concluimos que la información es un conjunto organizado de datos procesados, que al ser integrados constituyen un mensaje que adquiere un significado con el fin de hacer saber por algún medio.
Así mismo, consideramos importante que la información funge cómo vía para llegar al conocimiento y con ello ser utilizable y disponible.
2.2 Importancia de la información dentro de las empresas
La información es la parte fundamental de toda empresa para tener un alto nivel de competitividad y posibilidades de desarrollo.
En la asamblea organizada por la compañía Bayer titulada Science for a better life, (La ciencia para una mejor vida) celebrada en Centroamérica y El Caribe acentuaron cómo tema de discusión la Privacidad de la Información en las empresas.
“Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo esta basado en tecnología actual, para esto se debe conocer que la información:
o Esta almacenada y procesada en computadoras.
o Puede ser confidencial para algunas personas o a escala institucional.
o Puede ser mal utilizada o divulgada.
o Puede estar sujeta a robos, sabotaje o fraudes”.6
5 Instituto Politécnico Nacional - CINVESTAV
6 Artículo: “Bayer: Science for a Better Life”, Autor: Oficial de Seguridad de Información, Dirección URL: http://www.bayer- ca.com/otras.php?id=2 [Consulta: 15 – Julio – 2007].
Los dos primeros puntos muestran que la información esta centralizada y que puede tener un alto valor y los últimos dos puntos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo.
La información es un recurso vital para toda organización, y el buen manejo de esta puede significar la diferencia entre el éxito ó el fracaso para todos los proyectos que se emprendan dentro de una organización que busca el crecimiento y el éxito.
Dentro de cualquier organización la información fluye día con día, y cada actividad genera más información que puede apoyar las distintas tareas que se llevan a cabo para su buen funcionamiento. En todos los departamentos de todas las organizaciones se genera información, como lo son recursos humanos, finanzas, contabilidad, producción y todos los departamentos más que se imaginen.
De acuerdo al autor Sergio Alejandro Martínez De La Cruz integrante de la organización para la Gestión PyMES “La información se genera debido a las actividades que se llevan a cabo en cada departamento y el éxito de estos mismos depende de la visión que se tenga y en que se apoyen para lograr las metas establecidas, sin duda alguna, el apoyo en la información que se genera dentro de ese departamento es una base sumamente sustentable y creíble para tomarse en cuanta para posibles tareas”7.
En un artículo publicado en “El Universal” por Hewlett Packard resalta que “El objetivo básico de la información es el de apoyar a la toma de decisiones de todo gerente, este tendrá mas bases sustentables para poder decidir que es lo que se va a hacer y que rumbo tomar para lograr los objetivos que se planearon; contara con un mayor número de armas para afrontar el camino que decidirá el futuro de la organización”.8
Por lo que deducimos que la información es uno de los motores determinantes para la mejora continua de cualquier organización.
De acuerdo a lo anterior la situación en la que se encuentra la información permite identificar cuales son las fortalezas con las que se cuenta y cuáles son las debilidades y sectores vulnerables como organización.
Teniendo en cuenta que se sabe con certeza cuales son las debilidades y fortalezas se puede tener una planeación más alcanzable y factible, podemos identificar donde se tiene que trabajar
7 Sergio Alejandro Martínez De la Cruz integrante de la organización para la Gestión PyMES.
8 Artículo: “TODO SOBRE DISPOSITIVOS DE ALMACENAMIENTO”, Autor: Hewlett Packard; El universal Dirección URL:
http://www.eluniversal.com.mx/notasp/3985.html, [Consulta: 25 - Septiembre – 2008].
más y que parte de nuestra empresa necesita mayor atención. Esto ayudara a tener un control más amplio sobre el funcionamiento de todas las actividades de la organización.
Cualquier empresa que no registe sus actividades, constantemente sé vera en los mismo errores una y otra vez hasta que se percate de cual es el error y lo documente para su utilización en un futuro.
“El manejo de la información es fundamental para cualquier empresa, con ello puede lograr un alto nivel competitivo dentro del mercado y obtener mayores niveles de capacidad de desarrollo.”9
2.3 Seguridad de la información
La información hoy en día, es uno de los más importantes activos no solo para las empresas y organizaciones, sino para cada individuo. Por este motivo, la misma requiere ser asegurada y protegida en forma apropiada.
La empresa dedicada a la Seguridad Integral describe a la seguridad de la información como el
“conjunto de metodologías, prácticas y procedimientos que buscan proteger la información como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que esta expuesta, a efectos de asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de inversiones y las oportunidades del negocio.
Y en el caso de cada individuo de proteger la identidad y la privacidad.”10
En el portal de la seguridad informática, en la noticia acerca de la seguridad informática se describe lo siguiente:
“Para las organizaciones:
El propósito de la Seguridad de la Información es proteger los recursos de la organización como son la información, las comunicaciones, el hardware y el software que le pertenecen.
Para lograrlo se seleccionan y establecen Políticas, Procedimientos los controles apropiados que ayuden a disminuir los riesgos presentes, los mismos pertenecen al Sistema de Gestión de la Seguridad de la Información (SGSI).
La Seguridad de la información ayuda a la misión de la organización protegiendo sus recursos físicos y financieros, reputación, posición legal, empleados y otros activos tangibles e intangibles.
9 Artículo: “IMPORTANCIA DE LOS SISTEMAS DE INFORMACIÓN PARA LAS PEQUEÑAS EMPRESAS” [En línea], Autor:
Sergio Alejandro Martínez De La Cruz [Consulta: 21 – Octubre -2007], Dirección URL:
http://www.gestiopolis.com/canales5/emp/imposiste.htm.
10 Artículo: “PoToSEC” Sistema de Seguridad [En línea], [Consulta: 14-Mayo-2008], Dirección URL:
http://www.potosec.com.mx/es/
Para los individuos:
El propósito de la Seguridad de la Información es proteger la privacidad e identidad de los mismos evitando que su información caiga en la manos no adecuadas y sea usada de forma no apropiada.
Para la correcta administración de la Seguridad de la Información, se deben establecer y mantener programas que busquen cumplir con los tres requerimientos de mayor importancia, los cuáles se muestran en la Figura 1: la confidencialidad, la integridad y la disponibilidad de los recursos de las organizaciones; siendo los tres requerimientos básicos definidos como:
• Confidencialidad: Para la Seguridad de Información, la confidencialidad busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la información.
La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.
• Integridad: Para la Seguridad de la Información, el concepto de Integridad busca asegurar:
Que no se realicen modificaciones por personas no autorizadas a los datos, información o procesos
Que no se realicen modificaciones no autorizadas por personal autorizado a los datos, información o procesos
Que los datos o información sea consistente tanto interna como externamente.
• Disponibilidad: Para la Seguridad de Información, la disponibilidad busca el acceso confiable y oportuno a los datos, información o recursos para el personal apropiado.” 11
11 Artículo: “Noticias de Seguridad Informática” [En línea], Autor: Cristian Borghello, [Consulta: 5-Junio-2007], Dirección URL: http://blog.segu-info.com.ar/2008_07_01_archive.html.
12
Figura 1. Requerimientos de la seguridad de información.
En la Figura 2 se muestra la gráfica donde se describen las principales actividades identificadas a nivel global y en México cómo una preocupación de seguridad de la información; podemos observar notablemente que los medios más comunes son los utilizados, así como en menor medida, el uso de medios consulta de información electrónica, ya sean aplicaciones web o el uso de la red cómo tal. Asimismo, con las Tecnologías de Información actuales se han identificado a nivel mundial y nacional las siguientes preocupaciones sobre seguridad de información (gráfica obtenida de la 10ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México).
13
12 Dirección URL: http://www.wikimedia.org
13 “10ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México”.
Figura 2. Principales preocupaciones de la seguridad de información.]
Por lo anterior en las empresas se ha instituido la función de Oficial de Seguridad de Información, la cual se encarga de normar y verificar los controles que mantienen las características de la información de calidad mencionadas anteriormente.
En la Figura 3, de acuerdo a las estadísticas emitidas por la 10ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México en 2007, se muestra la importancia de la función de seguridad de la información aplicada para diferentes esfuerzos dentro de una organización para poder lograr una mayor protección y confidencialidad de la misma.
Podemos corroborar que el factor más importante es la privacidad y protección de la información tanto a nivel global cómo nacional y en segundo término encontramos que el cumplimiento corporativo y la mejora en la confianza de los clientes trascienden de manera directa para lograr la consistencia de la misma.
14
Figura . 3 Factores importantes de la seguridad informática Un sistema integral de seguridad de información contempla:
14 “10ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México”.
o Políticas y procedimientos.
o Organización: Definiendo roles y responsabilidades.
o Inventario de activos de información.
o Clasificación de activos de información.
o Permisos de acceso al sistema.
o Controles de acceso obligatorios y discrecionales.
o Administración de aspectos de privacidad.
o Administración de Riesgos.
o Administración de seguridad con terceras partes.
o Comunicación y educación sobre seguridad de información a todos los niveles de la empresa.
En la Figura 4 se tiene la siguiente gráfica emitida por la 10ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México en el 2007, se ponderan los principales habilitadores que han tenido un impacto significativo en las prácticas de seguridad de la información.
Se han detectado los siguientes habilitadores que apoyan la seguridad de información en las empresas. Podemos observar que de igual manera presenta mayor impacto la privacidad y protección de información a nivel nacional y a nivel global el cumplimiento regulatorio y el alcance de objetivos del negocio son considerados en segundo término.
15
Figura 4. Principales habilitadores con impacto significativo en las prácticas de seguridad.
2.4 Las empresas y la seguridad de la información
En un artículo publicado por integrantes de la comunidad Microsoft se expone lo siguiente:
“Las amenazas de manipulación de datos están relacionadas con la modificación malintencionada de los datos. Los ejemplos incluyen la realización de cambios de datos persistentes sin autorización (como la desfiguración de sitios Web), información contenida en una base de datos o la alteración de datos mientras circulan de un equipo a otro en una red abierta. Una amenaza específica de esta categoría es el secuestro de sesión.
El espectacular desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables.
La manipulación fraudulenta de los ordenadores con ánimo de lucro, la destrucción de programas o datos y el acceso y la utilización indebida de la información que puede afectar la esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrónico de datos mediante los cuales es posible obtener grandes beneficios económicos o causar importantes daños materiales o morales.
15 “10ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México”
Pero no sólo la cuantía de los perjuicios así ocasionados es a menudo infinitamente superior a la que es usual en la delincuencia tradicional, sino que también son mucho más elevadas las posibilidades de que no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas veces de borrar toda huella de los hechos.
En este sentido, la informática puede ser el objeto del ataque o el medio para cometer otros delitos. La informática reúne unas características que la convierten en un medio idóneo para la comisión de muy distintas modalidades delictivas, en especial de carácter patrimonial (estafas, apropiaciones indebidas, etc.).
La idoneidad proviene, básicamente, de la gran cantidad de datos que se acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente fácil manipulación de esos datos.
La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos.
A ello se une que estos ataques son relativamente fáciles de realizar, con resultados altamente perjudiciales y al mismo tiempo procuran a los autores una probabilidad bastante alta de alcanzar los objetivos sin ser descubiertos.”16
Las principales formas o funciones que se han encargado de salvaguardar la seguridad de la Información son:
− Auditoria Interna
− Auditoria Externa
− Auto-evaluaciones
− Evaluaciones de terceros
En la figura 5 se muestra la gráfica emitida por la 10ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México en el 2007, se muestra la proporción en la que las funciones anteriores se están utilizando en las empresas para verificar e implementar controles que mantengan la seguridad de la información.
Podemos observar que a nivel global entre las principales preocupaciones se encuentra la práctica de la auditoria tanto interna como externa dentro de las organizaciones y de igual manera a nivel nacional se encuentran los mismos factores.
16 Artículo: “Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo” [En línea], Autor: Comunidad Microsoft, [Consulta: 8-Abril -2007], Dirección URL:
http://www.microsoft.com/spain/technet/recursos/articulos/ipsecapd.mspx.
17
Figura 5 Principales preocupaciones de la organización .
2.5 Seguridad informática
2.5.1 Concepto de seguridad informática
Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es una definición útil para conocer lo que implica el concepto de seguridad informática.
La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos:
1.-Información: Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.
2.-Equipos que la soportan: Software, hardware y organización.
17 “10ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México”.
3.-Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.
Uno de los activos más importantes que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena.
Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Los medios para conseguirlo son:
• Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
• Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
• Asegurar que se utilicen los datos, archivos y programas correctos por el procedimiento elegido.
• Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. 18
2.6 Riesgos
2.6.1 Concepto de riesgo
El concepto de riesgo esta íntimamente relacionado al de incertidumbre, o falta de certeza, de algo pueda acontecer y generar una pérdida del mismo.
18Artículo: “Seguridad Informática” [En línea], Autor: Gabriel Acquistapace, [Fecha de publicación: 7/Octubre/2008], Dirección URL:http://es.wikipedia.org/w/index.php?title=Discusi%C3%B3n:Seguridad_inform%C3%A1tica&action=edit.
“Los riesgos son la posibilidad de que ocurra algún evento negativo para las empresas.
Los riesgos se pueden definir como la posibilidad de que ocurra algún evento negativo para las empresas considerando los recursos humanos, recursos materiales y recursos técnicos19”.
La existencia de un objeto expuesto a sufrir un daño o pérdida, determinado por: la propiedad y su uso, la salud o la capacidad de generar ingresos de una persona, y la responsabilidad ante terceros.
La presencia de la causa o causas posibles que ocasionan el daño o la perdida al objeto, que pueden ser de origen natural, como los terremotos; de origen humano, como los robos; y de origen económico, los cambios sociales.
“El perjuicio o pérdida generalmente se mide en términos económicos, como ser el costo de la pérdida de un Inmueble debido a un incendio, o el generado por una hospitalización”20.
2.6.2 Clasificación de los riesgos
La clasificación tradicional que existe referente a los riesgos que amenazan a la información en medios magnéticos son:
• Riesgos Internos.
• Riesgos Externos.
“Estos riesgos son los más sencillos de prever, sin embargo, son los que se presentan más continuamente, como ejemplo tenemos:
1.-Robo.- El robo puede realizarse al material, a los recursos o a la información.
2.-Sabotaje.- El sabotaje manejado como riesgo interno, este puede presentarse a través de entorpecer la producción, sobrecarga ficticia de la operación, etc.
3.-Destrucción.- La destrucción puede hacerse a datos o recursos, ésta a su vez puede darse en forma voluntaria o involuntaria.
19 “Seguridad y Auditoria en informática” Lic. Francisco Javier Álvarez Solís.
20Artículo: “El Riesgo” [En línea], [Fecha de publicación: 7/Octubre/2008, Dirección URL:
http://www.monografias.com/trabajos40/el-riesgo/el-riesgo.shtml.
4.-Huelga.- Este riesgo puede impedir la operación del servicio completo.
5.-Fraude. Este riesgo, considera la manipulación de la información a fin de obtener un beneficio ilegitimo para personas que lo realizan.
Los riesgos externos son aquellos que se presentan en el ambiente físico y social que rodea a la empresa y en el caso a tratar, son aquellos que rodean al Área Informática.
Como ejemplo de riesgos en un centro de proceso de información, tenemos:
Naturales: Son aquellos que se producen por condiciones naturales, como:
temblor, incendios, inundaciones, huracanes, etc.
Humanos: Estos pueden confundirse con riesgos internos, pero la diferencia es que en este caso son producidos por persona ajena a la empresa y estos pueden ser: robo, sabotaje, fraude, etc.
Dentro de las actividades del auditor y casi al concluir su revisión debe de realizar una evaluación del riesgo, a fin de determinar el nivel de riego en que se encuentra el Área o la empresa auditada.” 21
2.7 Delito Informático
2.7.1 Definición de delito informático
“Los delitos informáticos, en general, son aquellos actos delictivos realizados con el uso de computadoras o medios electrónicos, cuando tales conductas constituyen el único medio de comisión posible -o el Considerablemente más efectivo-, y los delitos en que se daña estos equipos, redes informáticas, o la información contenida en ellos, vulnerando bienes jurídicos protegidos”22.
Delitos informáticos: "Son todas aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático.
Algunas características principales de los delitos informáticos:
21 “Seguridad y Auditoria en informática” Lic. Francisco Javier Álvarez Solís
22 Artículo: “Peritaje Informático” [En línea], Autor: RECOVERY LABS [Fecha de publicación: Marzo 2008], Dirección URL:
www.es.wikipedia.org. [Consulta: 22/Octubre/2008].
Son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas.
Son actos que pueden llevarse a cabo de forma rápida y sencilla.
En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar presente físicamente en el lugar de los hechos.
Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aun más la identificación y persecución de los mismos” 23.
Por lo tanto, podemos decir que los delitos informáticos son conductas fuera de la ley, y que se realizan por medios informáticos y es probable que sea sancionado por la ley.
2.7.2 Tipos de Delito Informático
Como hemos visto, los beneficios que ha traído esta evolución informática y que han sido de gran importancia y significación para la humanidad, también existen consecuencias negativas. Por eso en este capitulo hablamos de los tipos de delitos que existen y cuales son los que se comenten con más frecuencia, con la finalidad de tener cuidado con la información que se tiene. Ya que cualquiera de nosotros puede ser o ha sido víctima de tales delitos. A continuación presentamos los tipos de delitos informáticos reconocidos por Naciones Unidas:
a) “Fraudes cometidos mediante manipulación de computadoras manipulación de los datos de entrada.
Este tipo de fraude informático, conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir.
Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
b) Manipulación de programas.
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar
23Artículo: “Peritaje Informático” [En línea], Autor: RECOVERY LABS [Fecha de publicación: Marzo 2008], Dirección URL:
www.delitosinformaticos.info. [Consulta: 22/Octubre/2008].
instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.
c) Manipulación de los datos de salida
Se efectúa fijando un objetivo al funcionamiento del sistema informático.
El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos.
Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas; sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
d) Manipulación informática aprovechando repeticiones automáticas de los procesos de cómputo
Es una técnica especializada que se denomina “técnica del salchichón” en la que “rodajas muy finas” apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra.
e) Falsificaciones informáticas
Como objeto: Cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumentos: Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas.
Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.
f) Daños o modificaciones de programas o datos computarizados sabotaje informático
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema.
Las técnicas que permiten cometer sabotajes informáticos son: VIRUS es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos.
Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada.
g) Acceso no autorizado a servicios y sistemas informáticos
Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos (hackers) hasta el sabotaje o espionaje informático.
Piratas, informáticos ó hackers el acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación.
El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema.
A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
h) Reproducción no autorizada de programas informáticos de protección legal
Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales.
El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas.
Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual.” 24
24 Artículo: “Los tipos de delitos informáticos reconocidos por Naciones Unidas” [En línea], Autor: Simón Bécquer, [Fecha de publicación: 25 – Enero - 2008], Dirección URL: http://realidadalternativa.wordpress.com/2008/01/25/los-tipos-de-delitos- informaticos-reconocidos-por-naciones-unidas/, [Consulta: 13 – Octubre - 2008].
Otros delitos: las mismas ventajas que encuentran en la Internet los narcotraficantes pueden ser aprovechadas para la planificación de otros delitos como el tráfico de armas, proselitismo de sectas, propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al ciberespacio o al revés.
En la Figura 6 se muestra la siguiente tabla en la que se puede observar la dificultad para detectar información acerca de los principales fraudes.
25
Figura 6. Dificultad para detectar información respecto a fraudes.
Infracciones que no Constituyen Delitos Informáticos
Usos comerciales no éticos: Algunas empresas no han podido escapar a la tentación de aprovechar la red para hacer una oferta a gran escala de sus productos, llevando a cabo «mailings electrónicos» al colectivo de usuarios de un Gateway, un nodo o un territorio determinado.
Ello, aunque no constituye una infracción, es mal recibido por los usuarios de Internet, poco acostumbrados, hasta fechas recientes, a un uso comercial de la red.
25 “Report to the Nation on Occupational Fraud and Abuse, Association of Certified fraud Examiners 1996”
Actos parasitarios: Algunos usuarios incapaces de integrarse en grupos de discusión o foros de debate online, se dedican a obstaculizar las comunicaciones ajenas, interrumpiendo conversaciones de forma repetida, enviando mensajes con insultos personales, etc. también se deben tomar en cuenta las obscenidades que se realizan a través de la Internet.
2.8. Auditoria en Informática.
2.8.1 Concepto de Auditoria en Informática
Definición: En la sesión del curso Ingeniería del Software III de la Universidad de les Iles Balears se define a la auditoria como: “Examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado.”
26
De acuerdo a la revista Master Magazine la Auditoria en Informática es: “Disciplina que se refiere al análisis de las condiciones de una instalación informática por un auditor externo o interno que realiza un dictamen sobre distintos aspectos informáticos.” 27
El autor Marc Thorin en su publicación Auditoria en Informática: métodos, reglas y normas define Auditoria en Informática como: “El conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales prefijados en la organización.” 28
De acuerdo lo anterior, definimos la auditoria en informática cómo el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar.
El Auditor Informático ha de velar por la correcta utilización de los recursos que la organización pone en juego para disponer de un eficiente y eficaz Sistema de Información.
26 Artículo: “Auditoria en Informática” [En línea], [Fecha de publicación: 21-Enero-2002], Dirección URL:
http://dmi.uib.es/~bbuades/auditoria/sld003.htm. [Consulta: 22-Octubre-2008].
27 Artículo: “Revista MaterMagazine” [En línea], [Fecha de publicación: Agosto 2004], Dirección URL:
http://www.mastermagazine.info/termino/3958.php. [Consulta: 25-Octubre-2008].
28 Artículo: “La Auditoria Informática: métodos, reglas, normas.” Autor: Thorin, Marc, [Fecha de publicación: Diciembre 1997], Dirección URL: http://html.rincondelvago.com/auditoria-informatica_1.html. [Consulta: 25-Octubre-2008].
Claro está, que para la realización de una auditoria en informática eficaz, se debe entender a la empresa en su más amplio sentido, en virtud de que la informática nos apoya a gestionar al
"negocio" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos.
2.8.2 Importancia de la auditoria en informática
Es vital afirmar que la Auditoria en Informática es un campo de importancia actual y de excelente proyección futura ya que va de la mano con el avance vertiginoso de las tecnologías de la información que es un factor trascendental y muchas veces determinante para el buen funcionamiento y crecimiento de las organizaciones.
El contar con las bases en cuanto al conocimiento suficiente y necesario, para llevar a cabo una auditoria es significativa para que la organización produzca resultados satisfactorios y de gran ayuda en la medida en la que da soporte a sus procesos esenciales de negocio. Por ello es necesario tener muy presentes los conceptos básicos de la Auditoria en Informática.
Es debido a la importancia de la información y la dependencia de las Tecnologías de Información para el funcionamiento de las empresas que existe la Auditoria en Informática.
2.8.3 Tipos de Auditoria Informática
Por lo investigado y en concordancia con el manual CISA (Certified Information Systems Auditor de 2007) “en términos generales los temas de las auditorias que realizará el auditor en informática son:
a) Auditoria a la administración del área de Tecnología de Información:
Se evalúa el servicio a los usuarios, la atención a incidentes y problemas, la existencia de procedimientos y descripciones de puesto, uso de metodologías de desarrollo de sistemas, segregación de funciones, atención a reportes de monitoreo, reportes a la alta gerencia, etc.
b) Auditoria Informática a Sistemas en desarrollo, adquisición mantenimiento.
Se revisa el uso de una metodología de administración de proyectos, estudios de factibilidad, definición de requerimientos, proceso de adquisición de software, diseño y desarrollo detallado, pruebas, fase de implementación, revisión post-implementación, procedimientos de cambio de sistemas y proceso de migración, revisiones a aplicaciones específicas del negocio tales como financieras, nomina especificas de la industria, bancarias y de planeación de compras.
Aplicaciones que utilicen el comercio electrónico, intercambio electrónico de datos, comercio electrónico, sistemas de punto de venta, banca electrónica, finanzas electrónicas y sistemas de pago, sistemas de manufactura integrados, transferencia electrónica de fondos, cajeros automáticos, proceso de imágenes, sistemas expertos y de inteligencia artificial, sistemas de soporte a decisiones, etc.
c) Auditoria Informática a la Infraestructura y Operaciones.
Tocando puntos de Entrega y Soporte: Lo que incluye al sistema operativo, bases de datos, infraestructura de red y su implementación, operación de la red, sistema operativo, administración de reporte de problemas, reporte de utilización y disponibilidad del hardware.
d) Auditoria Informática de Seguridad.
Buscando proteger las computadoras, los Centros de Proceso de Datos, la información de los clientes y de la organización.
e) Auditoria Informática a los Activos de Información Revisión al marco de Seguridad de Información, lo que incluye:
Revisión a las políticas, procedimientos y estándares documentados.
Políticas de acceso lógico.
Capacitación y entrenamiento.
Propiedad de datos.
Administrador de la seguridad.
Nuevos usuarios del área de Tecnología de Información.
Autorizaciones documentadas.
Ex empleados.
Bases de seguridad: Inventario, antivirus, passwords, parches, manejo de vulnerabilidades y respaldos.
Accesos Lógicos:
Conocimiento del ambiente de Tecnología de Información.
Documentación de las rutas de acceso a información, conocimiento del personal, reportes de acceso, manuales de operación, reporte de violaciones a los accesos, controles de acceso y administración de passwords.
Revisión a la seguridad de la infraestructura y seguridad de redes: accesos remotos, puntos de presencia en Internet, pruebas de penetración de red, evaluación completa de la red, desarrollo y autorización de cambios a la red, cambios no autorizados, cómputo forense.
Exposición y controles ambientales: Panel de control de alarmas, detectores de agua, extinguidores, detectores de humo, sistemas de supresión de fuego, ubicación del centro de computo, inspección del departamento de bomberos, material de construcción del cuarto de computo, protectores de fuente de electricidad, UPS, switch para detener la electricidad en emergencias, alimentación de electricidad, cableado, planes de evacuación, controles de temperatura y humedad.
Accesos físicos.
Computo móvil.
f) Auditoria Informática a la Continuidad del Negocio y Recuperación en caso de Desastres.
Conocimiento del plan, evaluación de resultados de pruebas, almacenamiento fuera de empresa, seguridad del sitio de operación alterno, revisión de contratos y revisión de coberturas de seguros.
El auditor informático es responsable de desarrollar un programa de revisión con los puntos específicos que revisará de acuerdo al objetivo y alcance de la revisión.
Una opción para elaborar los programas de auditoria es utilizando los objetivos de control establecidos por COBIT, del cual se hablará en él capitulo 4 en la sección de mejores prácticas.”29
Después de que los objetivos de auditoria en informática se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieran correcciones o mejoras.
La auditoria en informática a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia de los sistemas automatizados de manejo de información.
29 “Manual CISA: Certified Information Systems Auditor de 2007”.
Esta función es de vital importancia para el buen desempeño de los sistemas de información, ya que ayuda a que las Tecnologías de Información cuenten con los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.
2.8.4 Funciones administrativas del Auditor en Informática.
Entre las funciones administrativas del auditor informático estarán:
a) Elaborar la planificación anual de la auditoria de acuerdo con el ámbito asignado, considerando el riesgo para la empresa y coordinara las fechas de ejecución con las unidades administrativas correspondientes.
b) Organizar conforme a lo establecido, el índice y contenido de los papeles de trabajo para documentar los procedimientos de auditoria aplicados y los resultados obtenidos, tomando en cuenta que constituyen la fuente primaria de información para estructurar y redactar el informe de auditoria.
c) Elaborará un informe con sus observaciones, las cuales deberán estar soportadas con los papeles de trabajo.
d) Comentará con los auditados las observaciones y de ser el caso obtendrá planes de acción y fechas de corrección.
e) Dará seguimiento a las observaciones reportadas y reportará incumplimientos no justificados.
f) Organizar equipos de auditoria para realizar los exámenes programados, tomando en cuenta para su integración, entre otros aspectos, las condiciones técnicas, conocimiento, experiencia, habilidades y relaciones interpersonales.
g) Apoyar e incentivar la participación activa de los auditores involucrados, con el propósito de lograr el objetivo general propuesto para la auditoria específica.
h) Solventar los problemas que puedan surgir con los auditados durante el desarrollo de la auditoria.
i) Cumplir con el código de ética profesional (sugerimos el establecido por ISACA).
2.8.5 Auditoria Informática Interna y Auditoria Informática Externa
Como se puede apreciar en la Figura 7 extraída de la 9ª encuesta Internacional de Ernest & Young sobre fraude, la auditoria interna es considerada de los mecanismos más efectivos de prevención y detección de fraudes, siguiéndole la auditoria externa, aun así, ambas auditorias deben arrojarnos los mismos resultados.
Auditoria en Informática Interna. La lleva acabo un departamento dentro de la organización y existe una relación laboral aunque no debe existir una dependencia jerárquica con las áreas auditadas evitando ser juez y parte.
30
Figura 7 Mecanismos de prevención y detección de fraudes.
Auditoria en Informática Externa. No existe relación laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes.
Hoy en día no todas las empresas cuentan con un área de auditoria, lo que ocasiona que para detectar los fraudes se tiene que llegar a alguna denuncia o se detecta accidentalmente, estos datos se pueden apreciar en la Figura 8 que muestra la grafica extraída de The ACEF’s Report to the Nation on Occupational Fraud & and Abuse realizada en el 2006.
30 “9ª Encuesta Global de Seguridad de la información elaborada por Ernest & Young en México”.
31
Figura 8. Métodos de detección de fraudes informáticos.
2.8.6 Normas, Técnicas y Metodología de Auditoria.
2.8.6.1 Normas de Auditoria.
Por normas de auditoria se entienden los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña y a la información que rinde como resultado de dicho trabajo, conforme lo define el CINIF y el IFAC, para el presente trabajo; dichas normas se clasifican en:
a) Normas Personales:
Entrenamiento técnico y la capacidad profesional
El trabajo de auditoria cuya finalidad es rendir una opinión profesional independiente y debe ser desempeñado por personas que, teniendo el título profesional legalmente expedido y reconocido, tengan entrenamiento técnico adecuado y capacidad profesional como auditores.
Cuidado y diligencia profesionales
El auditor está obligado a ejercitar cuidado y diligencia razonables en la realización de su examen y en la preparación de su dictamen o informe.
Independencia
31 “The ACEF’s Report to the Nation on Occupational Fraud & and Abuse realizada en el 2006.”
El auditor está obligado a mantener una actitud de independencia mental en todos los asuntos relativos al trabajo profesional.
b) Normas de Ejecución del Trabajo:
Planeación y supervisión
El trabajo de auditoria debe ser planeado adecuadamente y, si se usan ayudantes, éstos deben ser supervisados en forma apropiada.
Estudio y evaluación del control interno
El auditor debe efectuar un estudio y evaluación adecuados del control interno existente, que le sirva de base para determinar el grado de confianza que va a depositar en él; asimismo, que le permita determinar la naturaleza, extensión y oportunidad que va a dar a los procedimientos de auditoria.
Obtención de evidencia suficiente y competente:
Mediante sus procedimientos de auditoria, el auditor debe obtener evidencia comprobatoria suficiente y competente en el grado que requiera para suministrar una base objetiva para su opinión.
c) Normas de Información:
El resultado final del auditor es su dictamen o informe. Mediante él, pone en conocimiento de las personas interesadas los resultados de su trabajo, dichos informes deberán contener lo siguiente:
Se debe de emitir un reporte escrito y firmado cada vez que se concluya con un examen de auditoria. Durante el transcurso de la auditoria se podrán transmitir, formal o informalmente, reportes orales o escritos.
Los auditores deberán discutir sus conclusiones y recomendaciones a un nivel adecuado de la administración antes de emitir su reporte escrito final.
Los reportes deberán ser objetivos, claros, concisos, constructivos y oportunos.
Los reportes contendrán el propósito, alcance y resultados de la auditoria y en lo aplicable, la opinión del auditor.
Los reportes pueden incluir recomendaciones para mejorar así como el reconocimiento de la ejecución de acciones correctivas.
Pueden ser incluidos en el reporte de auditoria los puntos de vista de los responsables de las áreas auditadas, respecto de las conclusiones o recomendaciones del auditor.
El responsable de la función de auditoria deberá revisar y aprobar el reporte final de la auditoria antes de su emisión y decidirá a quien o quienes les será distribuido el reporte.
2.8.6.2 Técnicas de Auditoria
Las técnicas de auditoria son los métodos prácticos de investigación y pruebas que el auditor utiliza para lograr la información y comprobación necesarias para poder formar y emitir su opinión.
Son de muy diversas clases y naturaleza y pueden agruparse, de acuerdo con el CINIF, bajo los siguientes conceptos:
a) Estudio general. Consiste en la apreciación general que el auditor hace del área por revisar, y, en resumen, de las fases importantes que requieren su atención especial.
b) Análisis. Contempla la separación y agrupación de los diferentes elementos que integran la función por revisar.
c) Inspección. Se le llama al examen físico (documental y funcional) del objeto sujeto a revisión. Esta observación o inspección se aplica principalmente para comprobar que existan físicamente los bienes.
Así, se habla de recuento al referirse a la inspección de los documentos por cobrar con el objeto de determinar la corrección de la cuenta que los controla;
de inventario cuando se hace una lista de los bienes para que el auditor pueda tener la convicción de que las mercancías existen; de arqueos, cuando se cuentan y se examinan el efectivo y los valores a fin determinar su monto, y de inspección personal del mobiliario y equipo, cuando se efectúa una revisión de éstos para poder juzgar su razonable presentación en los estados financieros.
Esto mismo aplica a la auditoria en informática.
d) Confirmación. Esta técnica se utiliza para la comprobación de hechos y procedimientos en el caso de auditoria en informática. En el caso de auditores financieros esto sucede cuando solicitan la confirmación de saldos a entidades financieras.
