INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
“IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA EN LAS PyMEs”
T E S I N A
Q U E P A R A O B T E N E R E L T Í T U L O D E : I N G E N I E R O E N I N F O R M Á T I C A
P R E S E N T A N :
E V A B E R E N I C E B A R A J A S S A N T O S J U L I O C É S A R D Í A Z J I M É N E Z
Q U E P A R A O B T E N E R E L T Í T U L O D E : L I C E N C I A D O E N C I E N C I A S D E L A I N F O R M Á T I C A
P R E S E N T A N :
G E N Y A D R I A N A M A C E D O P R A D O L I L I A N A M A R I S C A L A L F A R O A N A P A U L A V A Z Q U E Z T O R R E S
MÉXICO. DF 2010
Índice
RESUMEN ...I INTRODUCCIÓN ...III
CAPÍTULO I MARCO METODOLÓGICO ...1
1.1PLANTEAMIENTO DEL PROBLEMA... 1
1.2OBJETIVOS... 3
1.3 TÉCNICAS E INSTRUMENTOS DE MEDICIÓN... 4
1.4 UNIVERSO Y/O MUESTRA... 5
1.5 JUSTIFICACIÓN... 7
CAPITULO II PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN (TI), AUDITORÍA EN INFORMÁTICA Y LAS PYMES EN MÉXICO...8
2.1PEQUEÑA Y MEDIANA EMPRESA... 8
2.1.1 Concepto de PyMEs ... 8
2.1.2 Estratificación de las PyMEs ... 9
2.1.3 Características de las PyMEs ... 9
2.2PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN... 11
2.2.1 Conceptos de TI y características ... 12
2.2.2 La importancia de las TI en la actualidad ... 14
2.2.3 La Gestión de las TI... 15
2.2.4 Seguridad de las TI... 16
2.2.4.1 Definición de Seguridad ... 16
2.2.4.2 La Seguridad en informática... 17
2.2.5 Definición y Clasificación de Riesgos en el uso de las TI... 18
2.2.5.1 Definición de riesgo... 19
2.2.5.2 Clasificación de riesgos de TI... 19
2.2.5.3 Tipos de riesgos de TI ... 22
2.3AUDITORÍA EN INFORMÁTICA... 23
2.3.1 Concepto de Auditoria... 23
2.3.1.1 Concepto de Auditoría en Informática... 24
2.3.2 Tipos de Auditoría en Informática ... 25
2.3.3 Normas de auditoría... 26
2.3.4 Funciones de la Auditoría en Informática... 27
2.3.4.1 Estructura del área de Auditoría en Informática ... 27
2.3.4.2 Funciones del área de Auditoría en Informática ... 30
2.3.5 Metodologías de Auditoría en Informática ... 34
2.3.5.1 Conceptos de metodología ... 34
2.3.5.2 Metodologías de Auditorías en Informática ... 34
CAPÍTULO III PROBLEMÁTICA DE LA AUDITORÍA EN INFORMÁTICA LAS TI Y SU IMPORTANCIA DENTRO DE LAS PYMES...37
3.1ENTORNO DE LAS PYMES ... 37
3.1.1 Entorno global ... 37
3.1.2 Situación actual en México... 41
3.2AUDITORÍA EN INFORMÁTICA EN MÉXICO... 42
3.2.1 Problemática actual de la Auditoria en México... 42
3.3PRINCIPALES RIESGOS INFORMÁTICOS. ... 48
3.3.1 Principales riesgos informáticos para ser auditados. ... 48
CAPÍTULO IV LEGISLACIÓN, MEJORES PRÁCTICAS Y HERRAMIENTAS DE AUDITORÍA EN INFORMÁTICA ...52
4.1 LEGISLACIÓN ACTUAL DE LA AUDITORÍA... 52
4.1.1 Legislación Internacional... 53
4.1.1.1 Ley SOX... 53
4.1.1.2 Basilea II ... 55
4.1.1.3 PCI... 58
4.1.2 Legislación nacional ... 59
4.2 COMITÉS Y ORGANISMOS REGULADORES DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA... 61
4.2.1 Comités Internacionales Reguladores de la Función de Auditoría en Informática 61 4.2.2 Organismos Nacionales que regulan la función de Auditoría en Informática ... 62
4.3MEJORES PRÁCTICAS... 65
4.3.1 COBIT... 65
4.3.2 ISO 27000 ... 67
4.3.3 ISO 19011 ... 70
4.3.4 ISO / IEC 20000... 71
4.3.5 ITIL... 76
4.3.5.1 ITIL para PyMEs ... 77
4.4HERRAMIENTAS TECNOLÓGICAS PARA LA AUDITORÍA EN INFORMÁTICA... 79
4.4.1 Tecnologías de apoyo a la planeación y seguridad de Auditorías en Informática... 80
4.4.2 Herramientas tecnológicas para realizar Auditorías en Informática. ... 81
4.4.2.1 Herramientas tecnológicas para auditorias a bases de datos... 81
4.4.2.2 Herramientas tecnológicas para auditorias a Redes... 81
4.4.2.3 Herramientas tecnológicas para auditorias a equipos... 85
4.4.2.4 Herramientas tecnológicas para auditorias de sistemas... 85
CAPÍTULO V IMPORTANCIA Y PROPUESTA DE CREACIÓN Y DESARROLLO DEL ÁREA DE AUDITORÍA EN INFORMÁTICA BASADA EN PYMES ...86
5.1IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA... 86
5.2CONFORMACIÓN DEL ÁREA DE AUDITORÍA EN INFORMÁTICA... 88
5.2.1 Estructura Organizacional del área de auditoría en informática ... 89
5.2.2 Funciones del área de auditoría en informática... 89
5.2.3 Metodologías y herramientas de trabajo ... 92
5.2.4 Perfil del auditor ... 109
CAPÍTULO VI CASO PRÁCTICO ...111
6.1GENERALIDADES DE LA PYME ... 111
6.2APLICACIÓN DE LA PROPUESTA... 113
6.3RESULTADOS DE LA PROPUESTA A GCD ... 118
6.4VENTAJAS/DESVENTAJAS DEL MODELO PROPUESTO... 120
6.5BENEFICIOS... 121
CONCLUSIONES ...123
BIBLIOGRAFIA ...125
GLOSARIO ...126 ANEXOS
I
Resumen
El tema de la presente tesina se eligió debido a que es un asunto en el cuál no se han desarrollado investigaciones y el cual está sobresaliendo en estas épocas. A lo largo del desarrollo de esta tesina se habla de que las empresas PyMEs constituyen el mayor porcentaje de la economía de México, debido a esto se tiene la necesidad de darles una mayor importancia. También se hace referencia a las tendencias de la tecnología y como se usan en las PyMEs, que en la mayoría de los casos no aprovechan eficientemente los recursos de TI que tienen a su alcance y tampoco se dan cuenta de las ventajas y/o beneficios que pueden obtener al implementar controles o mejorar los que ya tienen implementados para el manejo de sus recursos informáticos.
Para llevar a cabo éste trabajo de investigación se abordan temas desde conceptos generales:
PyMEs, su estratificación y entorno global; panorama general de las TI, riesgos; seguridad en informática, auditoría en informática, funciones, metodologías. También se habla acerca de la problemática de la auditoría en informática en las PyMEs, la legislación a nivel nacional e internacional de la misma, mejores prácticas y las tecnologías actuales.
El objetivo de esta investigación es determinar cuál es la importancia de la función de auditoría en informática dentro de las PyMEs y proponer un modelo que sirva de guía para la definición e implementación de dicha función, si se cumplió el objetivo, con mucha dedicación al desarrollo del presente trabajo y un esfuerzo hecho por cada integrante del equipo para llevar a cabo el caso práctico aplicando el resultado de ésta tesina y determinar así si se logró el objetivo, que en nuestro caso en particular es satisfactorio y también se queda la experiencia y la práctica.
De igual manera se tratan temas de cómo debe de estar conformada la función de auditoría en informática y que es lo que necesita una auditoría en Informática básica, conforme a las necesidades de las PyMEs, así como conformar el área, su estructura organizacional, las funciones que desempeña ésta área, las metodologías y herramientas de trabajo y para finalizar se menciona el perfil del auditor. Profundizando en el tema de metodologías y herramientas se menciona que el proceso empieza con la descripción del proceso de auditoría en informática la cuál inicia con la revisión preliminar, evaluación de diagramas, establecer objetivo y alcance, apego a la legislación informática, análisis de políticas de seguridad, análisis del control interno, identificación de riesgos y amenazas, pruebas de cumplimiento, propuestas de corrección y presentación del informe final.
II Para comprobar la consecución de los objetivos planteados anteriormente, se realiza un caso práctico en el cuál se aplica el modelo propuesto de la presente tesina, en este caso se demuestran los resultados obtenidos de la aplicación del modelo dejando ver cuál es la importancia de la función de la auditoría en informática y definir e implementar ésta función, llegando a determinar si el resultado es satisfactorio o si no lo es llegando a una conclusión del tema.
Para finalizar el tema se concluye que se logró el objetivo propuesto en el cual en el caso práctico se demuestra que la importancia de la auditoría en informática es básica para las PyMEs, también se muestran las mejoras al implementar la función de auditoría en informática y con ello se identifican los problemas con respecto a las TI y también los riesgos del negocio, así mismo también se sugiere la estructuración del área de auditoría en informática, continuando con auditorías constantes para llegar a implementar el área de auditoría en informática de forma definitiva.
III
Introducción
En la actualidad las estadísticas del Instituto Nacional de Estadística Geografía e Informática (INEGI) concluyen que la economía de México está formada en su mayoría por Pequeñas y Medianas Empresas (PyMEs), por lo que surge la necesidad de invertir en tecnologías de información (TI), sin embargo la mayoría de estas empresas carecen de controles eficientes o de una adecuada gestión de los mismos; aunado a esto, los marcos reguladores existentes para la gestión y administración de controles están desarrollados pensando en las grandes empresas y corporativos, por lo que el hecho de promover realizar una auditoría en informática basada en dichos marcos resulta una inversión no sustentable de capital para las PyMEs.
Así mismo el universo PyME muestran lo importante que son para el país este tipo de empresas, ya que constituyen el rubro más importante económicamente hablando, pese a que existen apoyos por parte del gobierno, comités y demás, se ha dejado de lado o se le ha restado la importancia que la función de auditoría en informática debe tener, esto en cuanto al rubro de tecnologías de información se refiere. Por otra parte la inexistente legislación en México que contemple y que obligue la existencia de la función de auditoría en informática como un órgano de control interno ha dado lugar a que las PyMEs omitan la función, delegando la responsabilidad a otras áreas.1
Es por ello que el objetivo de esta investigación es determinar cuál es la importancia de la función de auditoría en informática y promoverla, basándose en la necesidad de las PyMEs, con lo cual se logrará tener una visión objetiva y más amplia que les permitirá a este rubro de empresas tener un punto de referencia para la implementación de controles o mejoramiento de los ya implementados, para lograr un mejor aprovechamiento de las TI.
Para objeto de esta investigación se desarrollaron seis capítulos, los cuales incluyen el marco metodológico, conceptos de la auditoría en informática y características de las PyMEs, la problemática de la auditoría en informática y su importancia dentro de las PyMEs, además de los temas relacionados a legislación, mejores prácticas y tecnologías de auditoría en informática, para poder así desarrollar la presente tesina de la importancia y propuesta de creación y desarrollo del área de auditoría en informática basada en PyMEs, así como el relato del caso práctico donde se aplicaron los temas ya previamente mencionados.
1 www.universopyme.com.mx Universo PyME
IV En el capítulo I Marco Metodológico, se encuentra la descripción del marco metodológico, además se pretende explicar la problemática que existe el sector de las PYMES a nivel organizacional, así como los objetivos que se quieren lograr con la propuesta de esta tesina, y la justificación del porque se escogió este tema, utilizando diferentes herramientas para su comprobación.
El capítulo II Panorama General de las Tecnologías de Información (TI), Auditoría en Informática y las PyMEs en México, se definen los conceptos generales de las PyMEs, en su estratificación y entorno global, así como el panorama general de las TI y los riesgos que conlleva el uso de las mismas, de la seguridad, enfocándose a la seguridad en informática, el rol que juega dentro de las organizaciones y el significado de la auditoría en informática conforme a sus funciones y metodologías.
En este capítulo III Problemática de la Auditoría en Informática y su importancia dentro de las PyMEs, se describe la situación de las PyMEs en México, entorno a la globalización de las Tecnologías de Información, así como la problemática que presenta en la actualidad la función del área de auditoría en informática a nivel nacional e internacional; con respecto a la realización de auditorías, acorde a al a situación actual y las necesidades de las PyMEs.
En el capítulo IV Legislación, Mejores prácticas y tecnologías de Auditoría en informática define las principales leyes nacionales e internacionales que contempla la función de auditoría en informática, así como los procesos de la función, desde la planeación estratégica de las auditorías hasta el establecimiento de comités, con la utilización de regulaciones y estándares acordes a las mejores prácticas internacionales (COBIT, ISO, etc.), referentes a la función de auditoría en informática, además de algunos ejemplos de herramientas de apoyo a esta función.
El capítulo V Importancia y propuesta de creación y desarrollo del área de Auditoría en informática para PyMEs, determina la importancia de la función de la auditoría en informática para las PyMEs, en este capítulo por medio del análisis de la necesidad de las PyMEs de implementar controles en cuanto a la adquisición y explotación de sus TI y mediante el uso del marco regulador de mejores prácticas existentes para llevar acabo auditorías en informática, se propone un modelo para PyMEs que ayude a la gestión de controles y evaluación de posibles riesgos, adecuado a la infraestructura de estas empresas.
El capítulo VI tiene como objetivo exponer los resultados obtenidos de la implementación del modelo de auditoría en informática propuesto y aplicado a una empresa para demostrar la
V importancia de la función de auditoría en informática así como los beneficios que esto genera y ayuda en la toma de decisiones de la empresa con respecto a las TI.
Se concluye la tesina con el propósito de concientizar a las PyMEs con respecto a la determinación de la importancia de la función de auditoría en informática y beneficios que aporta la inversión en tecnología como una oportunidad de crecimiento y competitividad; evidenciando estos beneficios mediante los resultados arrojados de la implementación del modelo propuesto para auditorías en informática.
Capítulo I Marco Metodológico
Dentro de este capítulo, se encuentra la descripción del marco metodológico, además se pretende explicar la problemática que existe el sector de las PYMES a nivel organizacional, así como los objetivos que se quieren lograr con la propuesta de esta tesina, y la justificación del porque se escogió este tema, utilizando diferentes herramientas para su comprobación. Se sustenta la problemática por medio de estadísticas, las cuales se muestras en el universo y delimitadas en la muestra que compone esta tesina.
A continuación se lista el contenido temático de este capítulo:
1.1 PLANTEAMIENTO DEL PROBLEMA 1.2 OBJETIVOS
1.3 TÉCNICAS E INSTRUMENTOS DE MEDICIÓN 1.4 UNIVERSO Y/O MUESTRA
1.5 JUSTIFICACIÓN
1
Capítulo I Marco Metodológico
1.1 Planteamiento del Problema
La economía del México está regida por dos grandes rubros o tipos de empresas entre las que destacan las empresas propiamente dichas, es decir aquellas en las que puede distinguir claramente la organización y la estructura de la misma, las cuales se desarrollan dentro del sector formal de la economía y por otro lado aquellas cuyo origen es predominantemente familiar y en cuyos casos se caracteriza una gestión enfocada a la supervivencia, sin prestar demasiada atención al costo de oportunidad de capital o a la inversión que les permitirá el crecimiento.
Podemos por lo antes mencionado considerar empresa a la unidad económico-social en la que el capital, el trabajo y la dirección se coordinan para realizar una producción socialmente útil de acuerdo con la exigencia del bien común. Es decir, una unidad productiva o de servicios, establecida con ciertos fines relacionados con la satisfacción de necesidades, integradas por recursos humanos, financieros y materiales.
A pesar de la heterogeneidad mundial para definir las Pequeñas y Medianas Empresas (PyMEs), existen criterios que permiten identificarlas; con el propósito para distinguir este tipo de unidades económicas, organismos como la Unión Europea y la OCDE reconocen dos grandes vertientes que determinan los criterios de estratificación para definir a las PyMEs a nivel mundial tienen que ver finalmente con características políticas y económicas de cada nación; la evidencia expone divergencias insalvables para buscar una definición universal que clasifique a las PyMEs.2 Como se muestra en la Figura 1.1 a continuación:
Criterios recomendados por la Unión Europea y la OCDE para fines legales y administrativos
Tamaño Personal ocupado
total Ventas Anuales
(Euros) Balance Anual (Euros) Micro Empresa 1 a 9 Menor a 2 millones Menor a 2 millones Pequeña Empresa 10 a 49 Menor a 10 millones Menor a 10 millones
Mediana Empresa 50 a 249 Menor a 50 millones Menor a 43 millones Grande Empresa Más de 250 Mayor a 50 millones Mayor a 43 millones
Fig. 1.1 OCDE 2004
2 www.gestiopolis.com
2 En México se determina PyME a las siglas o abreviatura de pequeña y mediana empresa, este tipo de empresas tienen algún límite de facturación o empleados o una combinación de ambas, así mismo se ha realizado una división o clasificación de acuerdo a varios factores o rubros, destacando como primordiales el tamaño y el tipo de sector como se muestra en la Figura 1.2.
Estratificación de empresas publicada en el Diario Oficial de la Federación 30 de Diciembre 2002
Sector
Clasificación según el número de empleados Tamaño
Industria Comercio Servicios
Micro Empresa De 0 a 10 De 0 a 10 De 0 a 10
Pequeña Empresa De 11 a 50 De 11 a 30 De 11 a 50
Mediana Empresa De 51 a 250 De 31 a 100 De 51 a 100
Fig. 1.2 OCDE 2004
Sin embargo estas últimas empresas (PyMEs) representan un aporte muy importante al desarrollo económico del país, por lo que debe de prestarse un notable interés en el desarrollo y competitividad de las mismas.
Debido al mercado que es cada vez más abierto y global este tipo de empresas (PyMEs) han tenido que buscar maneras de mantenerse a flote. Una de estas, es mediante el uso de TI, pero debido a que no existe un marco de referencia como tal adecuado a sus necesidades y debido también a factores primordiales como la falta de información, desconfianza, inercia o carencia de recursos los cuales impiden a las micro, pequeñas y medianas empresas (PyMEs) dar el paso para adquirir tecnología e inclusive no contar con las herramientas necesarias para sacar un mejor provecho de las mismas como parte del servicio o producto que ofrece su negocio.
Actualmente las condiciones del mercado permiten a las PyMEs ver la inversión en tecnología como una oportunidad de crecimiento y competitividad, no obstante existe el factor de cómo medir y evaluar las Tecnologías de Información con las que cuentan actualmente; por este motivo en particular se realiza esta investigación cuyo objetivo es determinar la función de auditoría en informática y promover un modelo de auditoría en informática orientado PyMEs y/o la implementación del área de auditoría en informática.
4 seguridad.internet2.ulsa.mx.
3 La función de auditoría en informática implica la verificación de lo que “es” contra lo que “debe ser”, desde un enfoque fiscalizador. Es decir, como ejemplo, en el caso de una auditoría contable se verifica que lo plasmado en los controles contables (libros, balances, etc.) manifieste la situación real financiera de la institución que debe ser dada a conocer a la autoridad hacendaria, es decir que se tiene un esquema jurídico fiscal, criterios de contabilidad, políticas internas, catálogos de cuentas, procedimientos, etc. con los cuales el contador debe cumplir, de lo contrario se derivan observaciones a dicha función que pueden ser no graves o incluso que deriven en posibles defraudaciones y que finalmente recae en un incumplimiento a la ley o normatividad4.
Pero en el caso de la auditoría informática, aunque en teoría es una práctica que se debe apegar a principios de auditoría en general (independencia de juicio, evidencia, etc.), se carece de un marco jurídico que satisfaga el respaldo de observaciones o inconsistencia que pueden afectar la continuidad en la función informática, y en el peor de los casos, la evidencia documental que se llega a recopilar, en muchos de los casos es descalificada como “suficiente y competente” por las autoridades en procesos de posibles faltas a la ley.
Si bien es cierto que la auditoría, cualquiera que sea el campo de acción (administrativa, contable, informática), debe tener como propósito principal ser una función principalmente “de detección” no tanto “correctiva”, en caso de detectarse por ejemplo mal uso o abusos de equipos de cómputo, esquemas de seguridad informático débiles, fraudes, sabotaje, espionaje, robo o daño a la información de la institución, etc.
1.2 Objetivos
Los objetivos son una parte crucial para determinar la importancia de la tesina, es decir, comprobar la razón de ser del proyecto, los cuales a partir del objetivo principal se desglosan los demás objetivos específicos. Los objetivos de la investigación presente, se exponen de manera clara y precisa, para dar a entender el logro que se desea obtener con la realización de ésta tesina.
Objetivo General
Determinar la importancia de la auditoría en Informática dentro de las PyMEs y proponer un modelo que sirva de guía para la definición e implementación de dicha función, compuesto de un conjunto de buenas prácticas, controles y checklists, basado en los marcos y los estándares de metodologías para auditoría en informática ya existentes.
4 Objetivos Específicos
•
Identificar y dar a conocer los principales problemas de la administración de la operación de TI en las PyMEs, debido a la falta de una función de auditoría en informática.• Determinar la importancia de la auditoría en informática y los beneficios de dicha área dentro de las PyMEs.
• Generar sugerencias de la estructuración e implementación de la función de la auditoría en informática dentro de las PyMEs.
• Generar guías de revisión sobre los controles principales para el aprovechamiento de las TI en las PyMEs. dependiendo de los niveles de riesgo que se tiene en la empresa.
• Proporcionar ejemplos de guías y metodologías de revisión del cumplimiento de procedimientos, normas y controles establecidos en la visión de las PyMEs.
1.3 Técnicas e instrumentos de medición
Para sustentar el desarrollo de esta tesina se recurrió a las técnicas e instrumentación que a continuación se listan:
Exploratoria
La investigación exploratoria se define como la recolección de información mediante mecanismos informales y no estructurados. Se propone obtener datos y hacer observaciones básicas que permitan delimitar un problema. Esta investigación está diseñada para obtener un análisis preliminar de la situación con un mínimo de costo y de tiempo. El diseño se caracteriza por la flexibilidad para ser sensible a lo inesperado y descubrir otros puntos de vista no identificados previamente. Se emplean enfoques amplios y versátiles. Estos incluyen las fuentes secundarias de información, observación, entrevistas con expertos, entrevistas de grupos con especialistas e historias de casos.
Esta investigación tiene por objeto ayudar a que el investigador se familiarice con la situación del problema, identifique las variables más importantes, reconozca otros cursos de acción, proponga pistas idóneas para trabajos posteriores y puntualice cuál de esas posibilidades tiene la máxima prioridad en la asignación de los escasos recursos presupuestarios de la empresa, la finalidad de
5 los estudios exploratorios es ayudar a obtener, con relativa rapidez, ideas y conocimientos en una situación.
La investigación exploratoria es adecuada en situaciones de reconocimiento y definición del problema. Una vez que el problema se ha definido claramente, la investigación exploratoria puede ser útil para la identificación de cursos alternativos de acción.5
• Recolectar la información necesaria de fuentes de información confiables
• Analizar y clasificar la información obtenida
• Filtrar y estructurar dicha información
• Adecuar la información para el desarrollo de la investigación
• Determinar la importancia de la auditoría en informática en las PyMEs
• Desarrollar un modelo de auditoría en informática en base a la información recabada
Documentales
La técnica documental permite la recopilación de información para enunciar las teorías que sustentan el estudio de los fenómenos y procesos. Incluye el uso de instrumentos definidos según la fuente documental a que hacen referencia. Consiste primordialmente en la presentación selectiva de lo que expertos ya han dicho o escrito sobre un tema determinado. Además, puede presentar la posible conexión de ideas entre varios autores y las ideas del investigador.6
1.4 Universo y/o muestra
De acuerdo a los resultados de los Censos Económicos 2004, en 2003 había en México 3 millones 5 mil 157 unidades económicas que realizaron alguna actividad económica objeto del censo, en las cuales laboraron 16 millones 239 mil 536 personas. De estos totales, el 97.3% de las unidades económicas y el 88.7% del personal ocupado corresponden en conjunto a la industria manufacturera, al comercio y a los servicios.7
Las cifras de los Censos Económicos 2004 muestran que el uso de la tecnología informática es mayor entre más grandes son las empresas: el uso de Internet en la relación con clientes y proveedores registró que el 60.3% de las empresas pequeñas lo utilizó, en tanto en las medianas
5 www.mitecnologico.com
6 www.gestiopolis.com
7 www.inegi.gob.mx
9 www.cipi.gob.mx
6 fue 74.3% y en las grandes 79.8 por ciento. El mayor uso de la tecnología informática se presentó en los procesos administrativos, donde las empresas medianas que lo utilizaron fueron 92.5% y las grandes 94.6 %.
Las cifras de los Censos Económicos 2004 también permiten conocer algunos temas generales sobre el uso de la tecnología (innovación e investigación) en los negocios. Las unidades económicas con más de 101 personas, que están en el rango de empresas grandes 66 de cada 100 utilizaron equipo informático en el desarrollo de programas para mejorar procesos. En la figura 1.3 se muestra la grafica relacionada a las unidades económicas que usaron equipo informático e Internet en algunos de sus procesos al año 2003:
Micro (0 a 10) Pequeña (11 a30) Mediana (31 a 100)
Grande (101 y mas personas)
4.1%
60.3%
74.3% 79.8%
6.9%
83.9%
92.5% 94.8%
2.5%
34.7%
47.3%
55.8%
2.2%
34.5%
48.1%
66.3%
Unidades Economicas
Internet en su relacion con clientes y proveedores En procesos administrativos
En procesos tecnicos o de diseño
En desarrollo de programas para mejorar procesos
Fig. 1.3 Comisión Intersecretarial de Política Industrial. 20099
Para efectos de este trabajo de investigación se tomo como muestra las empresas PyMEs de México que hacen uso de las tecnologías de información para la realización de los procesos de cada empresa.
7 1.5 Justificación
En las PyMEs, la informática no gestiona la empresa sino que ayuda a la toma de decisiones y que además participa en base a la función de la auditoría en informática en las PyMEs, la cual no sólo es una evaluación cuyo fin es detectar errores y señalar fallos, sino que se convierte en un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de la empresa.
Actualmente no hay estudios que comprueben que la práctica de auditoría se está desarrollando o llevando a cabo en las PyMEs, es por esto que hemos decidido realizar esta investigación con el propósito de determinar cuál es la importancia de la función de la auditoría en informática y promover ésta función dentro de dichas empresas.
Es importante subrayar que un modelo de auditoría en informática, es independiente de que la empresa siga o no funcionando de la misma forma, es decir no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes.
Aunque actualmente ya existen marcos de mejores prácticas a este respecto, dichos marcos fueron desarrollados basados en grandes economías; es decir, basados en empresas cuyas características les permiten realizar grandes inversiones en cuanto a la adquisición de infraestructura y tecnologías de información se refiere y por ende estos marcos no pueden ser aplicados de la misma forma para la realización de auditorías en informática en las PyMEs.
Debido al desconocimiento de las tendencias en las TI así como las metodologías de auditoría en Informática, surge en las PyMEs la necesidad de contar con modelo (actualmente inexistente) que sirva de guía de auditoría en informática y recomiende una mejor gestión de la administración de los controles, procesos, en el manejo de la Información su confidencialidad, integridad y disponibilidad basada en las necesidades y objetivos de las organización que contenga elementos de análisis, de verificación y de exposición de debilidades y disfunciones, y que por ende les permita alcanzar sus objetivos y competir en esta nueva era llamada globalización. Al desarrollar un modelo que sirva de guía de AI basada en PyMEs, permitirá emitir sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas (recomendaciones).
CAPITULO II Panorama general de las tecnologías de información (TI), Auditoría en informática y las PyMEs en México.
En este capítulo se definen los conceptos generales de las PyMEs, en su estratificación y entorno global, así como el panorama general de las TI y los riesgos que conlleva el uso de las mismas, de la seguridad, enfocándose a la seguridad en informática, el rol que juega dentro de las organizaciones y el significado de la auditoría en informática conforme a sus funciones y metodologías.
A continuación se lista el contenido temático de este capítulo:
2.1 PEQUEÑA Y MEDIANA EMPRESA Concepto de PyMEs
2.2 PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN
Conceptos de TI y características, La importancia de las TI en la actualidad, La gestión de las TI, Seguridad de las TI y Definición y Clasificación de Riesgos en el uso de las TI.
2.3 AUDITORÍA EN INFORMÁTICA
Concepto de Auditoría, Tipos de Auditoría en informática, Normas de Auditoría, Funciones de Auditoría en Informática y Metodologías de Auditoría en Informática.
8
CAPITULO II Panorama general de las tecnologías de información (TI), Auditoría en informática y las PyMEs en México.
2.1 Pequeña y Mediana Empresa
Debido a que las PyMEs en la historia han funcionado como grandes generadores económicos de países, donde México no es la excepción; ya que desde hace mucho tiempo estas empresas han constituido los ingresos principales de muchas familias mexicanas, además de que significan un apoyo para las siguientes generaciones y el crecimiento de las mismas, es por ello la importancia de tener en claro los conceptos que engloban la temática en este caso, para entender y tener una visión más amplia sobre lo que se quiere dar a conocer, por lo tanto los siguientes puntos nos apoyan a entender el panorama general de las PyMEs.
2.1.1 Concepto de PyMEs
Pequeña y mediana empresa (conocida también por su acrónimo PyME), es una empresa con características distintivas, tienen dimensiones con ciertos límites ocupacionales y financieros prefijados por los Estados o Regiones. Son agentes con lógicas, culturas, intereses y espíritu emprendedor específico10.
PyME es la abreviatura de pequeña y mediana empresa. Las PyMEs son empresas que llegan a tener problemas por mala administración o planeación, están limitadas en sus recursos por ser pequeñas y medianas empresas. Sin embargo, tienen un potencial muy grande por la gran flexibilidad que tienen y la lealtad de sus colaboradores11.
Por lo tanto definiremos PyME, para efectos de esta investigación: A la abreviatura de pequeña y mediana empresa. En lo general las empresas tienen algún límite de facturación o empleados o una combinación de ambas, así mismo se dividen o clasifican por medio de diferentes rubros.
10 es.wikipedia.org
11 www.pyme.com.mx
9 2.1.2 Estratificación de las PyMEs
Estratificación de empresas por tamaño. Se define con base al número de empleados y al sector económico en el cuál se desempeña (Fig. 2.1). En México, la estratificación de empresas por tamaño se establece con base en el sector económico y el número de empleados. La clasificación vigente se presenta a continuación12:
Tamaño Sector
Manufacturero Sector Comercial Sector Servicios Micro Empresa 0 – 10 empleados 0 – 10 empleados 0 – 10 empleados Pequeña Empresa 11 – 50 empleados 11 – 30 empleados 11 – 50 empleados Mediana Empresa 51 – 250 empleados 31 – 100 empleados 51 – 100 empleados
Grande Empresa 251 – en adelante 101 – en adelante 101 – en adelante
Fig. 2.1 Diario Oficial de la Federación, 30 de Diciembre de 2002
La estratificación se desprende de la Ley para el Desarrollo de la Competitividad de la Micro, Pequeña y Mediana Empresa, aprobada por el Congreso de la Unión en 2002. Según Nacional Financiera las Pequeñas y Medianas Empresas se clasifican de acuerdo a la siguiente tabla (Fig.
2.2):
Tamaño Sector Rango de número de
trabajadores
Rango de monto de ventas anuales
(mdp)
Tope máximo combinado*
Micro Todas Hasta 10 Hasta $4 4.6
Comercio Desde 11 hasta 30 Desde $4.01 hasta $100 93 Pequeña Industria y servicios Desde 11 hasta 50 Desde $4.01 hasta $100 95
Comercio Desde 31 hasta 100
Servicios Desde 51 hasta 100 Desde $100.1 hasta $250 235 Mediana
Industria Desde 51 hasta 250 Desde $100.1 hasta $250 250
Fig. 2.2www.nafin.com. Nacional Financiera Banca de Desarrollo. 2009
2.1.3 Características de las PyMEs
De manera habitual, no todas las PyMEs comparten casi siempre las mismas cualidades; por lo tanto, se podría decir que las características generales con las que cuentan son:
12 www.cipi.gob.mx
10
• Un gran porcentaje de las PyMEs en México tiene una estructura de empresa familiar, por lo que sus necesidades en cuestiones de dirección y administración de la empresa son diferentes a las de un negocio tradicional.13
• Su número de trabajadores empleados en el negocio crece y va desde uno hasta 250.
• Utilizan poca maquinaria y equipo, se siguen basando más en el trabajo que en el capital.
• Dominan y abastecen un mercado local o regional.
• Cerca del 90 por ciento de las empresas de este estrato no cuenta con algún tipo de certificación de calidad (ISO), lo cual conlleva efectos negativos sobre su integración a cadenas productivas y su posibilidad de exportar. Lo mismo aplica para metodologías de mejora de calidad y productividad.14
• Obtienen algunas ventajas fiscales por parte del Estado, que algunas veces las considera en el régimen de pequeños contribuyentes, dependiendo de sus ventas y utilidades.15
• La tasa de aprobación de créditos por parte de la banca comercial es relativamente alta en las PyMEs, cercana al 75 por ciento en promedio. Aquellos empresarios que no recibieron el crédito, aducen que una de las razones principales es la falta de garantías, y16
• Apenas el 9 por ciento de las PyMEs está involucrado en la actividad exportadora (la distribución entre sectores es variable, ya que para el sector manufacturero, el 21 por ciento de las empresas si exporta). Sin embargo, al cuestionar los motivos (ajenos a la empresa) por los que no se exporta, los empresarios señalan la lentitud y el exceso de trámites aduaneros, así como la lentitud en el reembolso de impuestos. 17
Además, para tener un concepto más claro, a manera de resumen se mencionan algunos de los elementos más importantes y la manera en que afectan a estas empresas, como se muestra en la siguiente Fig. 2.3:
Elemento Descripción
Estructura Los criterios para establecer el tamaño de una empresa no son importantes. Su estructura orgánica es familiar.
Tecnología La mayor parte de las empresas utilizan sistemas de producción tradicional, aún no están aplicando procesos automatizados.
Dirigente El típico director es un hombre de edad con 14 años de escolaridad y es empresario por herencia. En su actitud de dueño-administrador, la
13 www.Observatorio PyME México. CIPI. Primer Reporte de Resultados 2002
14 www.Observatorio PyME México. CIPI. Primer Reporte de Resultados 2002
15 Ángeles, Xavier. PYMES Pequeñas y Medianas Empresas, pág. 21
16 Ibídem
17 Ibídem
11 simplificación de las operaciones es negativa para la empresa.
Medio Ambiente Sostiene relaciones con: proveedores, clientes, competencia, asociaciones, bancos, gobierno y algunos despachos profesionales de consultoría.
Problemática a la que se enfrentan
Los problemas más difíciles a los que actualmente se enfrentan son:
recursos humanos, deficiencias impositivas del gobierno, falta de seriedad de los proveedores, escasez de materias primas de calidad, mercados reducidos, falta de financiamiento, alta competencia y deficiente organización.
Valores y Objetivos Para la mayoría de los directores, el objetivo principal es maximizar utilidades. Los procedimientos administrativos son sumamente personalizados, consisten en la vigilancia estrecha sobre las operaciones.
La toma de decisiones es centralizada y la ejecución la realizan jefes de área, a quienes se les responsabiliza por los resultados obtenidos.
Crecimiento y Planeación
No quieren crecer, la razón principal, se les escapa el control de su empresa. Por lo que se refiere a la planeación (estratégica), es casi inexistente.
Administración de Personal
Ésta área es un gran problema, la realidad es que existe una actitud muy pasiva en el manejo del personal. Para realizar el reclutamiento, selección, contratación y capacitación se aplican soluciones informales.
Procesos Informativos
Lo importante no es estar al día acerca de productos y tecnología. Los datos los pueden obtener mediante: revistas especializadas, información de sus clientes, las técnicas administrativas las pueden adquirir por cursos, los aspectos financieros con otros industriales y banqueros.
Fig. 2.3 Ángeles, Xavier. PYMES Pequeñas y Medianas Empresas
Podemos concluir que las PyMEs en México, son un factor de suma importancia para el país, ya que sustentan la economía nacional, sin embargo, se enfrentan a un futuro incierto, son muchos obstáculos a vencer y no tan fáciles de superar, es por ello el interés de entender su entorno y la importancia de su funcionamiento interno.
2.2 Panorama General de las Tecnologías de Información
Las PyMEs que tienen el capital suficiente para invertir en nueva tecnología les es muy fácil adaptarse a ésta, ya que no se encuentran arraigadas a algún proceso o técnica para la elaboración de sus productos o servicios, pero la mayoría de estas empresas no cuentan con mucho presupuesto para las tecnologías, por tanto todas las empresas aunque no lo vean así,
12 tienen la necesidad de contar con la automatización de alguno de sus procesos en cualquiera de sus áreas, independientemente del sector al que pertenezcan, por lo cual deben de recurrir a las Tecnologías de Información, y para esto, los siguientes puntos explican algunos conceptos básicos de las TI.
2.2.1 Conceptos de TI y características
Actualmente, se define a las tecnologías de información TI, según el autor Daniel Cohen, como:
“todas aquellas tecnologías que permiten y dan soporte al diseño, desarrollo, implementación y operación de los sistemas de información que conforman la infraestructura de la empresa, que provee una plataforma en la cual se construye y operan los sistemas de información”.18
La tecnología de información, según lo definido por la asociación de la tecnología de información de América (ITAA) es: "el estudio, diseño, desarrollo, implementación, soporte o dirección de los sistemas de información computarizados, en particular de software de aplicación y hardware de computadoras." Se ocupa del uso de las computadoras y su software para convertir, almacenar, proteger, procesar, transmitir y recuperar la información.19
Así que hablar de las TI es un tema muy amplio, en donde muchas áreas se relacionan dentro de una organización, y son todo un conjunto, pero de una manera general podemos clasificar a las TI de la siguiente forma:
• Hardware.- Sistema que forma el equipo computacional, las partes físicas de la computadora llamadas comúnmente “fierros”. Incluye dispositivos de entrada, dispositivos de salida, dispositivos de almacenamiento, la unidad central de procesamiento (CPU, central processing unit), la memoria, los dispositivos de telecomunicación y los dispositivos de conectividad.20
• Software.- Conjunto de programas que ejecuta una computadora. Estos programas contienen instrucciones u órdenes, las cuales se encuentran codificadas en un lenguaje que la computadora comprende. Se clasifica en: software de aplicación y software de sistema, que a su vez se divide en software de sistema operativo y software de utilerías.21
Adicionalmente las TI cuentan con recursos que son importantes describir, desde el punto de vista de la Metodología de COBIT, estos recursos son los que se muestran a continuación (Fig. 2.4)
18 Cohen Daniel, Asín Enrique. Tecnologías de información en los negocios. Pág. 85
19 www.itaa.org
20 Cohen Daniel, Asín Enrique. Op Cit. Pág. 85
21 Ibídem
13
Fig. 2.4
Los recursos de TI son administrados por procesos de TI, los cuales permiten al área de informática la entrega de servicios para que la organización pueda cumplir con sus objetivos. La norma UNIT-ISO/IEC 20000 impulsa el uso de un enfoque integral de gestión de procesos para brindar servicios que satisfagan las necesidades de los clientes y requerimientos del negocio.
Al hablar de las TI debemos considerar un entorno en donde se interrelacionan los recursos de TI.
Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT, el marco conceptual se puede abordar desde tres puntos de vista: los criterios de información, los recursos de TI y los procesos de TI. Estos tres puntos de vista se muestran en el Cubo de COBIT como se muestra a continuación (Fig. 2.5):
Datos Aplicaciones Infraestructura Personal
Sistemas informáticos para procesar la
información datos en su sentido más amplio
Procedimientos y Manuales Todos los
objetos de datos en su sentido más amplio
Habilidades, conocimiento y productividad del
personal para ejecutar los procesos de TI Hardware y
Software de base y elementos de comunicaciones que junto con las aplicaciones conforman los servicios de TI
14
Fig. 2.5COBIT 3rd Edition Framework IT Governance Institute
2.2.2 La importancia de las TI en la actualidad
En la actualidad, los negocios se vuelven más competitivos por varios aspectos, entre los que destacan: el incremento de su eficiencia productiva, la mejora en la calidad de sus productos y servicios y cualquier respuesta positiva inmediata que se tenga ante las necesidades del cliente.
Para poder lograr estos objetivos, muchos de los negocios que han tenido éxito en su estrategia ha sido mediante el uso de tecnologías de información, las cuales han tenido un impacto positivo en el desempeño de las funciones de estas compañías. Existen formas de medir el impacto que la inversión en TI está teniendo para los negocios en cuestión y si es o no conveniente invertir lo que se está pagando por automatizar sus procesos.22 Lo anterior hace necesario que tanto el personal de la empresa como los administradores comprendan la sinergia que las TI producen. De esta manera los administradores de empresas impulsaran soluciones con base en las TI.23
Hoy por hoy, los negocios buscan soluciones de información que les permitan competir en el mercado global; el reto es encontrar métodos eficientes para que las tecnologías de información reúnan las características que el negocio requiere, es decir, el nivel de asociación de la tecnología con un planteamiento de cambio en el modelo del negocio.24
22 www.gestiopolis.com
23 Cohen Daniel, Asín Enrique. Op Cit. Pág. 123
24 www.gestiopolis.com
15 El rol de las tecnologías de información en las organizaciones ha cambiado radicalmente de ser un simple soporte de oficina hasta llegar a formar parte de la estrategia competitiva de la compañía y de esta manera incrementar la eficiencia operacional, así como mejorar los productos y la calidad de los servicios que ofrecen. Al implementar nuevas TI, los negocios tendrán una adopción rápida de tecnología que les permitirá bajar costos y tener un buen control de sus bases de datos de clientes, proveedores y distribuidores.
En la actualidad, la necesidad de una mejor administración de los recursos de la compañía, específicamente de los tecnológicos, debido a su gran importancia, requiere de la medición de su contribución al desempeño de la organización.25
2.2.3 La Gestión de las TI
Ante la necesidad de una gestión de la TI, la Asociación de Auditoría y Control de Sistemas de Información (ISACA), ha propuesto los Objetivos de Control para la Información y la Tecnología Relacionada (COBIT) como un modelo de referencia desde un enfoque de control. La misión de COBIT es investigar, desarrollar, publicar y promover un conjunto de objetivos de control para TI, con autoridad, actualizados, de carácter internacional. COBIT es el resultado del análisis de diversos estándares internacionales existentes en el área de control de TI, de los cuales abstrajo y/o propuso sus definiciones más importantes. 26
La gestión de TI debe estar alineada con la estrategia del negocio, ser su soporte operativo. Así que mencionaremos 2 puntos muy importantes para dicha actividad:
• La gestión de los procesos de TI tiene como función identificar los procesos claves de la empresa, para que trabajen de una manera adecuada y funcione como un todo que gestione la información de forma eficaz y eficiente para la empresa. Un ejemplo claro de dicha gestión la hace COBIT en sus 4 dominios. Lo importante es que la gestión de los procesos de TI sea global como un todo en donde todos son procesos claves.
• La gestión de los servicios de TI se refiere a alinear los servicios soportados o entregados por las TI conforme a las necesidades del usuario, esto surge debido a la necesidad de calidad de la gestión de los servicios de TI. Tanto ITIL, COBIT y ISO/IEC 20000 hacen aportaciones muy importantes a esta gestión.
25 www.gestiopolis.com
26 www.itgi.org
16 Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de:
planear, construir, ejecutar y monitorear. Dentro del marco de COBIT, estos dominios, se muestran en la Fig. 2.6.
Fig. 2.6 COBIT 3rd Edition Framework IT Governance Institute
Podemos concluir que la relación y dependencia de las TI en su entorno requiere de cubrir nuevas necesidades que surgen de esta dependencia, y ofrecer un servicio de calidad. En la actualidad es muy difícil contar con marcos de referencia que ayuden a mejorar la gestión de las TI, sobre todo implementarlas. No olvidemos que estos marcos enfocados hacia la gestión de las TI son: COBIT.
ITIL, ISO/IEC 2000 solo por mencionar los más importantes entre otros.
2.2.4 Seguridad de las TI
El Plan Nacional de Desarrollo 2007-2012 menciona el papel de las TI como estratégico para el desarrollo e implementación de sistemas de información y comunicación basados en el estado del arte de la tecnología para enfrentar al crimen que salvaguarde la seguridad nacional.
2.2.4.1 Definición de Seguridad
La seguridad está definida en el diccionario como el conjunto de medidas tomadas para protegerse contra robos, ataques, crímenes y espionajes o sabotajes. La seguridad implica la cualidad o
Planear y Organizar
Monitorear y Evaluar Adquirir e
Implementa Entregar y Dar Soporte
17 estado de estar seguro, es decir, la evitación de exposiciones a situaciones de peligro y la actuación para quedar cubierto frente a contingencias adversas.27
Mangold señala que la seguridad "significa cosas distintas para actores y momentos diferentes dependiendo de lo que la gente percibe que debe proteger y de la naturaleza de la amenaza específica".28 En términos generales, según el INEGI, la seguridad puede entenderse como aquellas reglas, técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.29
2.2.4.2 La Seguridad en informática
La seguridad en informática es la administración y protección de los recursos de cómputo que tiene la empresa y a la cual tienen acceso los usuarios. El objetivo es proteger el patrimonio informático de la Institución, entendiendo por tal, instalaciones, equipos e información, ésta última en todas sus formas (en cualquier dispositivo de almacenamiento magnético como son los disquetes, discos duros, cintas, cartuchos, etc.). La seguridad en informática debe de establecer los controles suficientes para disminuir los riesgos que se generan en el ámbito informático.30
Otra definición de seguridad informática, es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.31
En este caso en particular, la información es el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales. Lo importante es proteger la información. La seguridad informática se dedica principalmente a proteger la confidencialidad, la integridad y la disponibilidad de la información.32
• Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos autorizados.
27 www.mitecnologico.com
28 Aguayo, S. Las seguridades de México y Estados Unidos en un momento de transición, pág. 105
29 www.inegi.gob.mx
30 Álvarez Solís, Francisco Javier. Apuntes seguridad y auditoría
31 definicion.de/seguridad-informática/
32 www.inegi.gob.mx
18
• Integridad: Ésta se refiere a la seguridad de que la información no ha sido alterada, borrada, reordenada, copiada, etc., durante el proceso de transmisión o en su propio equipo de origen.
• Disponibilidad: Se refiere a la seguridad de que la información pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.
La norma ISO/IEC 27001:2005 nos define los siguientes conceptos:
• Confidencialidad: La propiedad de que la información no esté disponible para personas, entidades o procesos no autorizados.
• Integridad: La propiedad de salvaguardar la precisión y los activos de forma completa.
• Disponibilidad: La propiedad de ser accesible y usable cuando sea solicitada por una entidad autorizada.33
Podemos concluir que la seguridad es de suma importancia, se deben cuidar los activos importantes para la empresa, como bien nos dimos cuenta la información es el activo más delicado e importante que hay que proteger de daños y ataques por factores externos como personas, entidades o procesos. Para efectos de esta investigación definiremos la seguridad en informática como el proceso de administrar, proteger y garantizar que los recursos informáticos de la compañía sean confiables, íntegros y disponibles, así como también establecer controles suficientes para disminuir los riesgos, se tiene presente que los riesgos no desaparecerán nunca, pero podemos minimizarlos.
2.2.5 Definición y Clasificación de Riesgos en el uso de las TI
Compañías como Cisco Systems, Sun Microsystems, Microsoft, Hewlett-Packard, IBM, Intel, Google, y otras ofrecen financiamiento u oportunidades de investigación así como donación de equipo/software y capacitación para mitigar los riesgos y promover a las TI como principales actores del desarrollo en México.
33 www.isaca.org
19 2.2.5.1 Definición de riesgo
Comencemos por definir el concepto de riesgo, el cual proviene de la palabra del latín “risicare” que significa “atreverse”. En finanzas, el concepto de riesgo está relacionado con la posibilidad de que ocurra un evento que se traduzca en pérdidas para los participantes en los mercados financieros, como pueden ser inversionistas, deudores o entidades financieras. El riesgo es producto de la incertidumbre que existe sobre el valor de los activos financieros, ante movimientos adversos de los factores que determinan su precio; a mayor incertidumbre mayor riesgo34.
Por otro lado de acuerdo con (COVENIN 2270:1995).el riesgo es “una medida potencial de pérdida económica o lesión en términos de la probabilidad de ocurrencia de un evento no deseado junto con la magnitud de las consecuencias”35. Así mismo el riesgo es la amenaza concreta de daño que yace sobre la gente en cada momento y segundos de sus vidas, pero que puede materializarse en algún momento o no36.
Para efectos de esta investigación entenderemos por riesgo a la probabilidad de que suceda un evento, impacto o consecuencia negativos. Así mismo lo entenderemos también como la medida de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y está en relación con la frecuencia con que se presente el evento.
Por otro lado riesgo en informática, según la norma ISO 27002:2005, un “riesgo” se entiende como la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.37 Así que para los fines de esta tesina, podemos concluir que un riesgo de TI es cualquier suceso que ponga en peligro los procesos críticos que son soportados por las TI y afecten de manera significativa a la PyME. Para comprender el entorno de las PyMEs, debemos abordar su problemática interna: su propio funcionamiento; y dentro del mismo, analizar el funcionamiento de las TI que contribuyen a ser más competitivos.
2.2.5.2 Clasificación de riesgos de TI
Es importante aclarar que para efectos de esta investigación y al estudio que nos atañe se usa la siguiente clasificación de riesgos, esto con el fin de dar al lector un panorama general de los
34 www.banxico.org.mx 35es.wikipedia.org
36 www.definicionabc.com
37 es.wikipedia.org
20 riesgos que afectan a la pequeña y mediana empresa, por lo que usamos la siguiente clasificación (véase Fig. 2.7):
Fig. 2.7 Clasificación de Riesgos en TI
1) Riesgos en la continuidad del proceso.- Cuando se refiere a riesgos en la continuidad del proceso, se involucran situaciones que pudieran afectar a la realización del trabajo informático o incluso que pudieran llegar a paralizarlo, y por consecuencia llegar a perjudicar gravemente a la empresa o incluso también a paralizarla. Ante los riesgos informáticos las PyMEs necesitan tomar precauciones con el fin de impedirlos, ninguna compañía está exenta de sufrir un percance que la afecte negativamente, ya sea un desastre natural o provocado por uno de los empleados.
2) Riesgos de la seguridad lógica.- Son todos aquellos accesos no autorizados a la información mecanizada mediante técnicas informáticas o de otros tipos. En cuanto a los riesgos de la seguridad lógica se mencionan los siguientes38:
• Seguridad en el uso de software y los sistemas.
• La protección de los datos, procesos y programas.
• Acceso ordenado y autorizado de los usuarios a la información.
• Así como la administración de usuarios y administradores de recursos de tecnología de información.
38 Piattini G. Mario y Del Peso Emilio. Op Cit. Pág. 572 En la eficacia
del servicio
En la seguridad
física En la
seguridad lógica
En la continuidad del proceso
En la eficiencia del servicio
Económicos directos
Riesgos de factor humano
RIESGOS TI
21 Se tienen en cuenta las siguientes consideraciones, basados en la en la norma Nº 305-03 del Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computadorizados emitido por la Contraloría General de la República, la cual establece las acciones a considerar en cuanto a la seguridad lógica se refieren a39:
• Restringir el acceso a programas y archivos mediante claves y/o encriptación
• Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo.
• Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático.
• Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió.
3) Riesgos de la seguridad física.- Se refiere a los controles y mecanismos de seguridad dentro y alrededor de las TI así como los medios de acceso remoto; implementado para proteger el hardware y medios de almacenamiento de datos. En general, en cuanto a la seguridad física, se debe tener en cuenta los riesgos asociados a:
• Acceso no autorizado a servidores y equipos
• Acceso no autorizado a edificios y salas
• Incendio: detección de humos y/o elevada temperatura
• Agua: escapes, goteras, inundación, etc.
• Interrupciones del suministro eléctrico
• Acondicionamiento de temperatura y humedad.40
4) Riesgos de factor humano.- Se refiere a aquellas posibilidades de usos inadecuados de la información por los empleados. Se puede decir que el factor humano puede ser el eslabón más débil en toda la cadena de seguridad y se encuentra presente en todos los procesos relacionados con la seguridad. En todos los procesos informáticos y empresariales existe la implicación de factores humanos ya sea en la toma de decisiones como en los procesos mismos. Sin embargo, se presta una atención especial a los ataques externos que provocan daños más o menos
39 www.funcionpublica.org.mx.
40 www.cert.inteco.es
22 cuantificables, cuando la mayoría de los incidentes ocurren dentro de la propia organización por un error humano, una errónea utilización de los medios de trabajo o por un ataque premeditado, falta de capacitación o la ausencia de una cultura de seguridad.
5) Riesgos en la eficacia del servicio informático.- Son aquellos que alteren dicha realización o que afecten a la exactitud de los resultados ofrecidos por el servicio informático. 41
6) Riesgos en la eficiencia del servicio informático.- Son los riesgos que se refieren a la mejor forma de realizar los procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con el análisis de estos riesgos mejorar la calidad del servicio. 42
7) Riesgos económicos directos.- Se refiere a aquellas posibilidades de desembolsos directos inadecuados.
Por lo tanto basados en lo anterior y para efectos que nos ocupan consideraremos que todas las PyMEs necesitan proteger su información, por motivos intrínsecos del negocio (información sobre productos, precios, métodos de fabricación, etc.), bien por imperativo legal (LOPD, Nº 305-03, etc.).
2.2.5.3 Tipos de riesgos de TI
Para efectos de esta investigación y se tiene como base el área que nos concierne referente a la seguridad en informática, empezamos de una manera sintética, puntualizando que el propósito de la seguridad en informática se puede resumir en asegurar la confidencialidad, la integridad y la disponibilidad de la información, y que la confidencialidad implica garantizar que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma, integridad consiste en salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento, y por disponibilidad se entiende garantizar que los usuarios autorizados tengan acceso a la información y a los recursos toda vez que se requiera43.
Esta previsión debe ser pensada en función de dos tipos de riesgos: internos y externos. Los primeros son aquellos que provienen de la organización o el lugar de trabajo, en oposición a los que surgen del acceso a Internet (externos). Entre los ejemplos de riesgos internos se pueden mencionar a las personas del exterior que pudieran tener acceso a las máquinas, o la instalación
41 Piattini G. Mario y Del Peso Emilio, Auditoría Op Cit. pág. 572
42 Ibídem
43 www.siu.edu.ar
23 de programas por parte de los propios empleados que pongan en riesgo, sin intención, sus propias computadoras y las de la red44.
En cuanto a los riesgos externos el M. en C. Francisco Álvarez Solís comenta “Los riesgos externos son aquellos que se presentan en el ambiente físico y social que rodea a la empresa y en el caso a tratar, son aquellos que rodean al área de informática”.45
Por lo anterior se puede decir que los riesgos externos son aquellos comúnmente relacionados con spyware (aplicaciones que recopilan información sobre una persona u organización sin su conocimiento), con los virus que llegan a través del correo electrónico, o con el accionar de crackers. A través de diversos mecanismos es posible tanto ingresar en un sistema y leer información como dañar un sistema operativo46.
2.3 Auditoría en Informática
La sociedad actual se dirige a vivir en lo que se denomina aldea global, suceso que evoluciona al género humano en múltiples direcciones, en especial lo referente a las TI. Por lo tanto, la auditoría debe ser consecuente con tales transformaciones para integrarlas en su campo de acción y transmutarse, adaptándose a los diferentes cambios económicos y de mercado, para convertirse en motor de innovación y cambio en pro del mejoramiento continuo en las organizaciones, respondiendo así a las necesidades de la futura aldea global.
2.3.1 Concepto de Auditoria
La auditoría es la investigación, consulta, revisión, verificación, comprobación y evidencia aplicada a la empresa. Es el examen realizado por el personal cualificado e independiente de acuerdo con Normas de Contabilidad; con el fin de esperar una opinión que muestre lo acontecido en el negocio; requisito fundamental es la independencia.
También se define como la actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones, estándares, y otros requisitos, la adhesión a los mismos y la eficacia de su instrumentación.47
44www.emagister.com.mx
45 Alvares Solís, Francisco Javier. Apuntes de seguridad y auditoría
46 www.siu.edu.ar.
47 De Pablos, C. Dirección y gestión de los sistemas de información en la empresa, pág. 68
