Upload
others
View
5
Download
1
Embed Size (px)
Citation preview
Autores:
Christian Tello S.
Mónica Guerrero S. Primera Edición
2017
Principios de Auditoría Informática
2
Contenido
Índice de Figuras ........................................................................................................................... 5
Introducción .................................................................................................................................. 7
Importancia ................................................................................................................................... 8
CAPÍTULO I – INTRODUCCIÓN A LAS TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIONES ................................................................................................................... 9
Las TIC y la Auditoría Informática ............................................................................................... 9
Conceptos TIC relacionados con la Auditoría Informática ....................................................... 9
Hardware ............................................................................................................................... 9
Software .............................................................................................................................. 15
Conectividad ....................................................................................................................... 19
Seguridades en las TIC ........................................................................................................ 22
Organización del Departamento de Informática ................................................................. 29
Normas Ético Morales que regulan la actuación del Auditor .............................................. 30
Definición de Auditoría Informática ................................................................................... 32
Delitos Informáticos ............................................................................................................ 33
Base Legal ........................................................................................................................... 36
Los Riesgos y el Control Interno ................................................................................................. 39
Control Interno Informático .................................................................................................... 39
Objetivos principales ........................................................................................................... 40
Funciones principales .......................................................................................................... 40
Área de aplicación ............................................................................................................... 41
COSO ...................................................................................................................................... 42
NIAA ....................................................................................................................................... 43
Metodología para la Gestión de Riesgos de TI ....................................................................... 43
Objetivos de la Gestión de Riegos de TI ............................................................................. 44
Beneficios de la Gestión de Riegos de TI ........................................................................... 44
Metodología de Gestión de Riesgos de TI .......................................................................... 45
Auditoría Informática .............................................................................................................. 60
Diferencias entre Control Interno Informático y Auditoría Informática ................................. 62
CAPÍTULO II – MARCOS DE REFERENCIA DE TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIONES ................................................................................................................. 63
Conceptos básicos de COBIT 5 .................................................................................................. 63
Fundamentos COBIT 5 ........................................................................................................... 63
Principios de Auditoría Informática
3
Principales marcos de referencia de Gobierno de TI........................................................... 74
Introducción a COBIT 5 ...................................................................................................... 76
Los 5 Principios de COBIT 5 .............................................................................................. 79
Principio 1: Satisfacer las necesidades de las partes interesadas ........................................ 80
Principio 2: Cubrir la organización de forma integral ......................................................... 83
Principio 3: Aplicar un Marco de Referencia Único Integrado ........................................... 86
Principio 4: Hacer Posible un Enfoque Holístico ................................................................ 87
Principio 5: Separar el Gobierno de la Gestión ................................................................... 90
Conceptos básicos de ITIL 3 ....................................................................................................... 92
Beneficios de implementar ITIL ............................................................................................. 93
Estrategia del Servicio ............................................................................................................. 94
Diseño del Servicio ................................................................................................................. 95
Transición del Servicio............................................................................................................ 96
Operación del Servicio ............................................................................................................ 97
Mejora Continua del Servicio ................................................................................................. 98
Conceptos básicos de SGSI – ISO 17799 ................................................................................. 100
CAPÍTULO III – AUDITORÍA INFORMÁTICA ................................................................... 101
Auditoría Informática ................................................................................................................ 101
Tipos de Auditoría Informática ............................................................................................. 103
Auditoría de Seguridad Física y Lógica a los elementos de TI ......................................... 103
Auditoría de Planificación en TI ....................................................................................... 104
Auditoría de Producción de TI .......................................................................................... 106
Auditoría a la Gestión de la unidad de TI ......................................................................... 107
Metodología para una Auditoría Informática ........................................................................ 108
Planeación de la Auditoría ................................................................................................ 109
Ejecución de la Auditoría .................................................................................................. 112
Dictamen de la Auditoría .................................................................................................. 113
Seguimiento ....................................................................................................................... 113
Herramientas Tecnológicas en Auditoría Informática .......................................................... 114
ACL ................................................................................................................................... 114
Autoaudit ........................................................................................................................... 114
BackTrack ......................................................................................................................... 115
Apex SQL Audit................................................................................................................ 115
Principios de Auditoría Informática
4
Auditor Assistant ............................................................................................................... 115
TeamMate ......................................................................................................................... 115
Meycor CobiT Suite .......................................................................................................... 115
Anexo ........................................................................................................................................ 116
Ejemplo: Auditoria de hardware y software en estaciones de trabajo ................................... 116
Glosario de Términos ................................................................................................................ 120
Bibliografía ............................................................................................................................... 122
Netgrafía .................................................................................................................................... 122
Datos de los Autores ................................................................................................................. 123
Principios de Auditoría Informática
5
Índice de Figuras
Figura 1 Primera Generación de Computadoras Fuente: www.preceden.com_______ 9
Figura 2 Segunda Generación de Computadoras Fuente: www.preceden.com _____ 10
Figura 3 Tercera Generación de Computadoras Fuente: www.preceden.com ______ 10
Figura 4 Cuarta Generación de Computadoras Fuente: www.preceden.com_______ 11
Figura 5 Quinta Generación de Computadoras Fuente: www.preceden.com _______ 11
Figura 6 Sexta Generación de Computadoras Fuente: www.preceden.com ________ 12
Figura 7 Hardware ____________________________________________________ 12
Figura 8 Chipset ______________________________________________________ 13
Figura 9 Procesador __________________________________________________ 13
Figura 10 Memoria RAM _______________________________________________ 13
Figura 11 CD Writter __________________________________________________ 13
Figura 12 Dispositivos de entrada ________________________________________ 14
Figura 13 Dispositivos de Salida _________________________________________ 14
Figura 14 Dispositivos Mixtos ___________________________________________ 14
Figura 15 Dispositivos de Almacenamiento _________________________________ 15
Figura 16 Software ____________________________________________________ 15
Figura 17 Sistema Operativo ____________________________________________ 16
Figura 18 Software de Aplicación ________________________________________ 17
Figura 19 Base de Datos _______________________________________________ 17
Figura 20 Ejemplo Tabla Base de Datos Elaborado: Los Autores _______________ 17
Figura 21 Sistemas de Información Elaborado: Los Autores ___________________ 18
Figura 22 Software de Desarrollo ________________________________________ 19
Figura 23 Red de Computadoras _________________________________________ 19
Figura 24 Red LAN ___________________________________________________ 20
Figura 25 Redes WAN _________________________________________________ 21
Figura 26 Topología Física _____________________________________________ 21
Figura 27 Seguridades _________________________________________________ 22
Figura 28 Organigrama de TI Elaborado: Los Autores _______________________ 30
Figura 29 Auditoría Informática Fuente: Los Autores ________________________ 32
Figura 30 Delitos Informáticos __________________________________________ 33
Figura 31 Fuente G Data Software _______________________________________ 35
Figura 32 Metodología de Gestión de Riesgos de TI – Elaborado: Los Autores ____ 45
Figura 33 Metodología de Gestión de Riesgos de TI – Elaborado: Los Autores ____ 45
Figura 34 Activos TI -Fuente: http://solintels.com/arquitectura.html _____________ 47
Figura 35 ¿Qué es COBIT? – Fuente: Los Autores ___________________________ 63
Figura 36 Factores de las TI – Elaborado: Los Autores _______________________ 64
Figura 37 Estándares para la Gestión de TI - Fuente: http://www.iedge.eu ________ 65
Figura 38 Evolución COBIT -Fuente www.isaca.org/cobit _____________________ 77
Figura 39 Estructura COBIT 5 – Fuente: Los Autores ________________________ 77
Figura 40 Familia de Productos COBIT 5 - Fuente COBIT® 5, © 2012 ISACA® Todos
los Derechos Reservados. _______________________________________________ 78
Figura 41 Principios COBIT® 5, © 2012 ISACA® Todos los derechos reservados _ 80
Principios de Auditoría Informática
6
Figura 42 Objetivos de Gobierno COBIT® 5, © 2012 ISACA® Todos los derechos
reservados ___________________________________________________________ 81
Figura 43 Resumen Principio 1 – Fuente: Los Autores ________________________ 83
Figura 44 Componentes del Sistema de Gobierno, © 2012 ISACA® Todos los derechos
reservados ___________________________________________________________ 84
Figura 45 Roles, actividades y relaciones © 2012 ISACA® Todos los derechos
reservados ___________________________________________________________ 85
Figura 46 Marco de referencia integrado único de COBIT 5 © 2012 ISACA® Todos los
derechos reservados ___________________________________________________ 87
Figura 47 Habilitadores Corporativos COBIT 5 © 2012 ISACA® Todos los derechos
reservados ___________________________________________________________ 88
Figura 48 Área clave de Gobierno y Gestión 5 © 2012 ISACA® Todos los derechos
reservados ___________________________________________________________ 90
Figura 49 Modelo de Referencia de Procesos de COBIT 5 © 2012 ISACA® Todos los
derechos reservados ___________________________________________________ 91
Figura 50 Etapas COBIT 5 – Fuente OCG-ITIL V3 __________________________ 94
Figura 51 Etapas del ciclo de vida del servicio vs Ciclo de Deming ______________ 99
Figura 52 Dominios ISO 17799 – Elaborado: Los Autores ____________________ 100
Figura 53 Fases de la Auditoría Informática – Fuente: Los Autores ____________ 108
Figura 54 Ejecución de la Auditoría – Fuente: Los Autores ___________________ 112
Principios de Auditoría Informática
7
Introducción
En la actualidad todas las actividades que se realicen en las organizaciones depende de la
tecnología y la informática, las mismas se encuentran inmersas en cada tarea, actividad,
proceso que se realice en la organización, tanto con clientes internos como clientes
externos, por tanto, se debe establecer normas y estándares informáticos en cada proceso
que se ejecute en la organización, con el objetivo de controlar y precautelar el uso de los
elementos tecnológicos sean estos hardware, software, seguridad y comunicaciones,
además de asegurar la confidencialidad, integridad y disponibilidad de datos e
información de la organización.
En un ambiente donde las tecnologías de información están conduciendo el quehacer
diario en las diferentes organizaciones, el almacenamiento, ejecución y procesamiento de
los datos se está haciendo vía dispositivos tecnológicos, por lo tanto, en el trabajo de la
auditoria también es algo indispensable. Aunque en el ambiente de la informática la
computadora es el medio principal para auditar, pero no hay que olvidar que es a la
persona junto a procesos e información lo que se debe auditar y no a los dispositivos
tecnológicos en sí, no se ha cambiado el espirito de la auditoría tradicional, solamente se
cambió el método.
Principios de Auditoría Informática
8
Importancia
En el presente se tratan los aspectos acerca de la auditoría informática como son:
elementos de las tecnologías de información y comunicaciones (TIC), áreas de aplicación,
procedimientos, leyes, normas, marcos de referencia y buenas prácticas que se suelen
emplear en el desarrollo de una auditoría informática, así como también herramientas que
permiten el proceso de la auditoría y la captación de evidencias que el auditor debe
conocer.
Al igual que cualquier área de la organización, los elementos de las TIC deben estar
sometidos a controles de calidad y auditoría informática porque las computadoras y los
centros de procesamiento de datos son blancos apetecibles para el espionaje, la
delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de
entrada a los sistemas de tecnologías de información (TI) se genera información errónea,
con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones,
asimismo, un sistema de TI mal diseñado puede convertirse en una herramienta muy
peligrosa para la gestión y la coordinación de la organización, de igual manera la
administración de un contrato de TI mal llevado puede traer consigo un sin número de
perjuicios a la organización, la gestión de TI llevada de forma errónea ocasiona daños a
la organización, así mismo el no tener un adecuado control de las seguridades
informáticas puede ocasionar el robo y pérdida de información que puede afectar a la
organización, clientes internos y externos.
Debido a la importancia que tiene la informática en el funcionamiento de una
organización, existe la auditoría informática.
La auditoría informática se ha convertido en un apoyo interno a la organización, dado que
ha permitido realizar verificaciones y validaciones en forma periódica con el objetivo de
identificar la exposición a riesgos y de cómo gestionarlos, cumplir normativa vigente,
analizar el desempeño del uso de la tecnología, identificar puntos de mejora, así como
permitir realizar investigaciones para descartar la posibilidad de un delito.
Principios de Auditoría Informática
9
CAPÍTULO I – INTRODUCCIÓN A LAS TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIONES
Las TIC y la Auditoría Informática
Conceptos TIC relacionados con la Auditoría Informática
Hardware
Evolución del Hardware
Desde la década de los años 40 inicia el desarrollo de las computadoras, dando inicio a la
Primera Generación en 1941, la misma que se caracteriza por grandes consumos de
energía eléctrica y gran tamaño, por ejemplo, la ENIAC.
Figura 1 Primera Generación de Computadoras Fuente: www.preceden.com
La Segunda Generación inicia en 1948 y se extiende hasta 1962, la cual se caracteriza
por tener una arquitectura construida por transistores, con esto se logró reducir de manera
significativa el tamaño de las computadoras, se inicia el uso del procesamiento por lotes
y la velocidad de respuesta llegó a los milisegundos.
Principios de Auditoría Informática
10
Figura 2 Segunda Generación de Computadoras Fuente: www.preceden.com
La Tercera Generación inicia en 1962, esta se caracteriza por el uso de circuitos
integrados, con lo cual se lograr disminuir el tiempo de procesamiento (nanosegundos),
el tamaño de las computadoras y además la fiabilidad aumenta.
Figura 3 Tercera Generación de Computadoras Fuente: www.preceden.com
La Cuarta Generación inicia en 1971, se caracteriza por los grandes avances que se dan
en el ámbito tecnológico, se inicia con el desarrollo de microprocesadores, chips de
memoria y los equipos cada vez son más pequeños, los fabricantes que incursionan con
Apple, IBM.
Principios de Auditoría Informática
11
Figura 4 Cuarta Generación de Computadoras Fuente: www.preceden.com
La Quinta Generación inicia en 1982, se caracteriza por el reconocimiento de imágenes
y voz, trabajo en paralelo lo que permite el desarrollo de la inteligencia artificial y
sistemas expertos que ayuda a la toma de decisiones.
Figura 5 Quinta Generación de Computadoras Fuente: www.preceden.com
La Sexta Generación inicia en 1990, la misma se caracteriza por el uso de procesamiento
en paralelo y vectorial que permite realizar operaciones aritméticas superiores al millón
por segundo, las redes a nivel mundial siguen creciendo y usan medios de comunicación
grandes anchos de banda a través de fibra óptica, satélites, etc.
Principios de Auditoría Informática
12
Figura 6 Sexta Generación de Computadoras Fuente: www.preceden.com
Como se puede evidenciar el avance tecnológico es acelerado y esto ha permitido que los
datos e información que son ingresados, procesados, analizados se conviertan en un activo
muy importante dentro de la organización luego del personal humano.
Dada la importancia de los datos e información es necesario establecer mecanismos que
permitan tener un control adecuado de los Sistemas de Información (SI).
Por tanto, la Gestión del Conocimiento en la actualidad es una característica fundamental
en las organizaciones, y se debe implementar controles que garanticen una gestión
efectiva de la información; así como todo lo relacionado a las TIC, y de esta manera
minimizar los riesgos de que la información pueda ser alterada, robada o no esté
disponible cuando se la requiera.
Definición de Hardware
Dada la experiencia del desarrollo profesional, se
puede establecer que hardware es todo dispositivo
físico (computadoras, routers, impresoras, switchs,
teclados, dispositivos móviles, etc.) que forma parte
las TIC.
Figura 7 Hardware
Principios de Auditoría Informática
13
A continuación, se presentan definiciones de varios dispositivos de hardware.
Chipset: Dispositivo que permite el flujo de información entre el
microprocesador y los demás componentes que conforman la PC y
el mismo se encuentra integrado a la tarjeta madre (main board) de
la computadora.
Procesador - CPU: Dispositivo que interpreta y ejecuta las
instrucciones recibidas del sistema operativo, administra las
solicitudes de usuarios realizadas a través de los diferentes
aplicativos de software.
Memoria RAM: Dispositivo que almacena datos y resultados
procesados por el CPU y permite brindar un mejor rendimiento a
la PC.
Unidades de Almacenamiento: Dispositivos destinados a guardar
los datos del sistema o de usuario, es decir, un lugar físico en donde
se encuentra el sistema operativo, los programas y los documentos
del usuario, los mismos pueden ser discos rígidos, unidades de CD,
DVD o Blue Ray, pendrives o discos externos extraíbles.
Tipos de Hardware
Se puede realizar una clasificación del hardware de acuerdo con la necesidad de
procesar información, es decir, que pueden existir dispositivos mediante los cuales se
ingresa, se presenta o se almacena información.
Figura 8 Chipset
Figura 9 Procesador
Figura 10 Memoria RAM
Figura 11 CD Writter
Principios de Auditoría Informática
14
Dispositivos de Entrada
Son aquellos dispositivos mediante los cuales se
puede ingresar información por parte del usuario,
por ejemplo, teclado, mouse, micrófono, lector de
barras, lector óptico, escáner entre otros.
Dispositivos de Salida
Son aquellos dispositivos mediante los cuales se
presenta información al usuario, por ejemplo,
monitor, impresora, altavoz, entre otros.
Dispositivos Mixtos
Son aquellos dispositivos mediante los cuales se
puede ingresar y presentar información al usuario,
en este grupo podemos mencionar tarjetas de red,
módems y puertos de comunicaciones.
Figura 12 Dispositivos de entrada
Figura 13 Dispositivos de Salida
Figura 14 Dispositivos Mixtos
Principios de Auditoría Informática
15
Dispositivos de almacenamiento
Son aquellos dispositivos que permiten al usuario
guardar y leer información, por ejemplo, arreglos
de disco, CD, DVD, tarjetas de Memoria, entre
otros.
Software
Figura 16 Software
Evolución del Software
Se lo puede definir como una secuencia de instrucciones que son interpretadas y/o
ejecutadas para la gestión, re direccionamiento o modificación de datos/información o
eventos. Por ejemplo: Windows, Linux, Unix, Navegadores de Internet (IE, Firefox,
Chrome, Safari), antivirus, virus, Microsoft Office, Libre Office, entre otros.
La evolución del software inicia con la aparición de las computadoras, los primeros
sistemas de información no poseían sistema operativo, es decir, el usuario tenía acceso
directo a las instrucciones que eran codificadas a mano, el lenguaje que se usaba era el
lenguaje de máquina.
Primera era, inicia en 1950 con sistemas operativos que trabajan con procesamiento por
lotes, una vez iniciado el trabajo la máquina tiene el control y lo devuelve al usuario al
terminar el procesamiento.
Figura 15 Dispositivos de Almacenamiento
Principios de Auditoría Informática
16
Segunda era, inicia en la década de 1960, los sistemas operativos su principal
característica es la multiprogramación, para ello usan varios procesadores en un solo
sistema computacional y con esto se verá incrementado el poder de procesamiento.
Tercera era, se inicia en 1964 y tienen sistemas para usos generales, es decir,
procesamiento por lotes, tiempo compartido, multiprocesamiento y en tiempo real.
Cuarta era, se inicia a mediados de la década del 70, los sistemas de la cuarta eran
constituyen el estado actual de la tecnología.
Quinta era, empezó en Japón en 1982, y son sistemas que pueden aprender a partir de
patrones, es decir, las computadoras pueden adquirir Inteligencia Artificial.
Tipos de Software
Al software se lo puede clasificar de acuerdo con su uso, en este caso se tienen los
siguientes tipos de software:
- Software de Sistema Operativo
- Software de Aplicación
- Software de Desarrollo
Software de Sistema Operativo
Se lo puede definir como el conjunto de instrucciones que
controla y administra el uso de recursos del Hardware, sin
el Software de Sistema Operativo no se podría hacer uso
de los dispositivos de hardware, por tanto, es
INDISPENSABLE dado que controla lo siguiente:
- Entrada / salidas de información
- Asigna uso de recursos de hardware
- Administra el almacenamiento
- Detecta fallas o errores
- Mantiene la seguridad del sistema
Como ejemplos de software de sistema operativo, se tiene DOS, Windows, Unix, Linux,
Android entre otros.
Figura 17 Sistema Operativo
Principios de Auditoría Informática
17
Software de Aplicación
Son todos aquellos programas o aplicaciones que se usan
para realizar una determina tarea, como, por ejemplo:
Realizar tareas de RRHH, Diseño Gráfico, Contabilidad,
Gestores de Base de Datos, Creación de Documentos, por
citar algunos de los que se puede encontrar en el mercado.
Además, se indica el concepto general de lo que se conoce
como Base de Datos, Sistemas de Información.
Base de Datos
Se puede definir a una base de datos como un conjunto de datos
que se encuentra relacionada entre sí, los mismos que son
almacenados y utilizados por los sistemas de información.
Por lo general una base de datos se encuentra compuesta de:
campos, registros y tablas que mantienen relación entre sí.
Figura 20 Ejemplo Tabla Base de Datos Elaborado: Los Autores
Las características principales que tiene una base de datos son:
- Independencia lógica y física de los datos.
- Redundancia mínima.
- Acceso concurrente por parte de múltiples usuarios.
- Integridad de los datos.
- Consultas complejas optimizadas.
- Seguridad de acceso y auditoría.
- Respaldo y recuperación.
Para la gestión de una Base de Datos, existe el software denominado Sistema de Gestión
de Base de Datos (SGBD) que es un software específico que permite la manipulación
directa de los datos, dado que se compone de:
Figura 18 Software de Aplicación
Figura 19 Base de Datos
Principios de Auditoría Informática
18
- Lenguaje de definición de datos
- Lenguaje de manipulación de datos
- Lenguaje de consulta
Sistemas de Información
Es un conjunto de elementos orientados al trato y
administración de datos e información, organizados
y listos para su uso posterior, generados para cubrir
una necesidad o un objetivo. Además, se lo puede
definir como un sistema computacional que se
utilice para obtener, almacenar, manipular,
administrar, controlar, procesar, transmitir o recibir
datos, para satisfacer una necesidad de información.
Los objetivos de un Sistema de Información son:
- Apoyar los objetivos y estrategias de la organización.
- Proporcionar información para el control de la totalidad de actividades de la
organización.
- Adaptar las necesidades de información a la evolución de la organización.
- Interactuar con los diferentes agentes de la organización.
Clasificación de los Sistemas de Información
Una clasificación conveniente es la propuesta por Laudon y Laudon (2012), quienes
exponen que los sistemas de información se agrupan según su utilidad en los diferentes
niveles de la organización empresarial, detallando 4 niveles básicos: nivel operativo, nivel
del conocimiento, nivel administrativo y nivel estratégico; según estos niveles se estable
la siguiente clasificación:
- Sistema de Procesamiento de Operaciones (SPO). Nivel del Operativo.
- Sistemas de Trabajo del Conocimiento (STC). Nivel del Conocimiento.
- Sistemas de Automatización en la Oficina (SAO). Nivel del Conocimiento.
- Sistemas de Información para la Administración (SIA). Nivel Administrativo.
- Sistemas para el Soporte de decisiones (SSD). Nivel Administrativo.
- Sistemas de Soporte Gerencial (SSG). Nivel Estratégico.
Figura 21 Sistemas de Información Elaborado: Los Autores
Principios de Auditoría Informática
19
Software de Desarrollo
Son lenguajes de programación que
permiten crear programas, aplicaciones
para realizar cualquier tipo de tarea.
Ejemplos: C, Visual Basic, Java, PHP,
PERL, Ruby, Pascal, entre otros
Conectividad
Se la puede definir como la capacidad de un dispositivo tecnológico de hardware
(Computadora, laptop, celular, router, switch, tablet, etc., entre otros) de poder ser
conectado a otro dispositivo sin la necesidad de un computador, es decir, de forma
autónoma.
La conectividad entre dispositivos tecnológicos en la actualidad por lo general se basa en
redes inalámbricas, las mismas que permiten el acceso a diferentes recursos tecnológicos
sean internos o externos dentro de la organización que se labore.
El uso de dispositivos móviles permite el acceso a internet mediante redes 3G, 4G o LTE,
además que facilita el intercambio de información y datos entre los usuarios en la vida
diaria.
Redes de Computadoras
Conocida también con el nombre de red
informática o red de comunicación de datos,
es un conjunto de dispositivos de hardware
y software que se encuentran
interconectados entre sí por medio de
equipos físicos que envían y reciben señales
con la finalidad de compartir información,
prestar servicios y recursos que dependen de
la tecnología informática que dispongan.
Figura 23 Red de Computadoras
Figura 22 Software de Desarrollo
Principios de Auditoría Informática
20
Clasificación de Redes
Las redes de computadoras o informáticas se pueden clasificar por dos métodos:
- Por alcance
- Por topología física
Por alcance
Red de Área Personal (PAN)
Es una red de pocos metros de alcance, la misma que permite conectar equipos de una
persona ya sea mediante cable o por medio de vía inalámbrica en un espacio reducido.
Red de Área Local (LAN)
Se la puede definir como una red que se limita
a un área relativamente pequeña como un
local, edificio, avión, etc., permite la
conexión de computadoras, impresoras,
escáneres, y diferentes periféricos que
permitan un intercambio de datos.
Pueden abarcar una distancia de 200 metros
hasta un kilómetro de cobertura
Red de Área Metropolitana (MAN)
Es una red que tiene una cobertura geográfica más extensa que un edificio, pero aun así
es limitada, una red MAN puede conectar varias redes LAN, por ejemplo, una red que
interconecte los edificios públicos de una organización dentro de la misma ciudad por
medio de fibra óptica.
Figura 24 Red LAN
Principios de Auditoría Informática
21
Red de Área Amplia (WAN)
Son las que suelen desplegar las
organizaciones proveedoras de internet para
cubrir las necesidades de conexión de redes
de una zona muy amplia, como una ciudad o
país. Usan medios como: satélites, cables
interoceánicos, Internet, fibras ópticas
públicas, etc.
Red de Área de Almacenamiento (SAN)
Es una red propia para las organizaciones que trabajan con servidores y no quieren perder
rendimiento en el tráfico de usuario, ya que manejan una enorme cantidad de datos.
Suelen utilizarlo mucho las organizaciones tecnológicas.
Por topología física
Figura 26 Topología Física
Red en bus o Red lineal
Se caracteriza por tener un único canal de comunicaciones (denominado bus, troncal o
backbone) al cual se conectan los diferentes dispositivos.
Red en anillo o Red circular
Cada estación está conectada a la siguiente y la última está conectada a la primera.
Red en estrella (star)
Las estaciones están conectadas directamente a un dispositivo central y todas las
comunicaciones se han de hacer necesariamente a través de éste.
Figura 25 Redes WAN
Principios de Auditoría Informática
22
Red en árbol (tree) o Red jerárquica
Los nodos están colocados en forma de árbol. Desde una visión topológica, la conexión
en árbol es parecida a una serie de redes en estrella interconectadas salvo en que no tiene
un nodo central.
Red híbrida o Red mixta
Se da cualquier combinación de las anteriores. Por ejemplo, circular de estrella, bus de
estrella, etc.
Seguridades en las TIC
Es una rama de la tecnología conocida como Seguridad de la
Información aplicada para los computadores, redes y sistemas
informáticos. El objetivo del equipo de seguridad incluye la
protección de la información y la propiedad contra el robo, la
corrupción, o los desastres naturales.
Estándares y Normas para Asegurar la Información
Para la correcta administración de la seguridad de la información, se deben establecer y
mantener acciones que busquen cumplir con los tres requerimientos de mayor
importancia que son:
Confidencialidad
- Prevenir el acceso no autorizado a los datos o información. La pérdida de la
confidencialidad puede ocurrir por ejemplo con la publicación intencional de
información confidencial de la organización.
Integridad
- No se realicen modificaciones por personas no autorizadas a los datos o procesos.
- No se realicen modificaciones no autorizadas por personal autorizado a los datos
o procesos.
- Datos consistentes tanto interna como externamente
Disponibilidad
- Acceso confiable y oportuno a los datos o recursos para el personal apropiado
Figura 27 Seguridades
Principios de Auditoría Informática
23
ISO 27000
Es un conjunto de estándares desarrollados por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de Gestión de la Seguridad de la Información utilizable por
cualquier tipo de organización, pública o privada, grande o pequeña.
ISO NOMBRE DEFINICIÓN
27000 Sistemas de gestión de la
seguridad de la información
La seguridad de la información, como la mayoría
de los temas técnicos, utiliza una compleja red
de terminología que está evolucionando
continuamente. Varios términos centrales en la
seguridad de la información tienen diferentes
significados o interpretaciones según el
contexto, la intención del autor y las
preconcepciones del lector. Pocos autores se
toman la molestia de definir con precisión lo que
significan, pero tal ambigüedad es claramente
inútil en el ámbito de las normas, ya que conduce
a la confusión.
27001
Sistemas de gestión de la
seguridad de la información -
Requisitos
Especifica formalmente un Sistema de Gestión
de la Seguridad de la Información (SGSI), una
serie de actividades relacionadas con la gestión
de los riesgos de la información. El SGSI es un
marco general de gestión mediante el cual la
organización identifica, analiza y aborda sus
riesgos de información. El SGSI garantiza que
los arreglos de seguridad se ajusten para
mantener el ritmo de las amenazas de seguridad,
las vulnerabilidades y los impactos
empresariales.
27002
Código de prácticas para los
controles de seguridad de la
información
La seguridad de la información, y por lo tanto la
ISO / CEI 27002, es relevante para todos los
tipos de organización, incluyendo
organizaciones comerciales de todos los tamaños
(de un solo hombre hasta gigantes
multinacionales), sin fines de lucro,
organizaciones caritativas, departamentos
gubernamentales y cuasi autónomos Organismos
Principios de Auditoría Informática
24
- de hecho, cualquier organización que maneja y
depende de la información.
27003
Guía de implementación del
sistema de gestión de la
seguridad de la información
ISO / IEC 27003 guía el diseño de un ISMS
conforme ISO / IEC 27001, que conduce al
inicio de un proyecto de implementación del
SGSI. Describe el proceso de especificación y
diseño del SGSI desde el inicio hasta la
producción de planes de proyectos de
implementación, cubriendo las actividades de
preparación y planificación antes de la
implementación real
27004
Gestión de la seguridad de la
información - Seguimiento,
medición, análisis y evaluación
Se refiere a las mediciones o medidas necesarias
para la gestión de la seguridad de la información:
son comúnmente conocidas como "métricas de
seguridad" en la profesión
La norma tiene por objeto ayudar a las
organizaciones a evaluar la eficacia y la
eficiencia de sus sistemas de gestión de la
seguridad de la información ISO27001,
proporcionando la información necesaria para
gestionar y mejorar sistemáticamente el SGSI.
27005 Gestión de riesgos en la
seguridad de la información
Directrices para la gestión de riesgo en (SGSI).
El riesgo se define como una amenaza que
explota la vulnerabilidad de un activo pudiendo
causar daños. El riesgo se encuentra relacionado
con el uso, propiedad, operación, distribución y
la adopción de las tecnologías de la información
de la organización.
27006 Tecnología de la Información
Especifica los requisitos y suministrar una guía
para la auditoría y la certificación del sistema.
Los auditores de certificación solo tienen interés
pasajero en los controles reales de seguridad de
información que están siendo administrados por
el sistema de gestión.
27007
Sistema de Gestión de
Seguridad de la Información
(Guía para poder auditar)
Comprobar que las obligaciones contractuales de
los proveedores son satisfactorias.
Realizar una revisión y control por la dirección.
Operaciones rutinarias del SGSI de una
organización para garantizar la buena marcha de
la organización.
Auditar después de producirse incidentes en la
seguridad de la información como parte del
análisis.
Principios de Auditoría Informática
25
27008 Controles de la Seguridad de la
Información.
Implementación y operación de los controles, es
aplicable a cualquier tipo y tamaño de
organización, tanto pública como privada que
lleve a cabo revisiones relativas a la seguridad de
la información y los controles de seguridad de la
información. Estos controles ISO 27008
ayudarán a la organización a:
Comprender el alcance de los problemas o
deficiencias en la aplicación y puesta en marcha
de los controles de seguridad de la información,
normas de seguridad de la información y
controles de la información técnica.
27009 Guía sobre el uso y aplicación
La Norma ISO 27009 está pensada para ayudar
a aplicar en sectores específicos con
características propias los requisitos en materia
de seguridad de la información de la Norma ISO
27001.
27010
Gestión de seguridad de la
información para las
comunicaciones inter-
sectoriales e inter-
organizacionales
Permite una orientación sobre del
funcionamiento interno de la organización,
seguridad y comunicación entre el propio sector,
entre sectores y con los gobiernos.
Con esto se consigue proteger la infraestructura
crítica, reconocer las circunstancias normales
para satisfacer los requisitos jurídicos,
reglamentarios y otras obligaciones
contractuales.
Aporta una guía sobre los métodos, modelos,
procesos, controles y demás mecanismos para
realizar el intercambio de información de una
manera segura, garantizando la confianza y el
entendimiento, respetando los principios de
seguridad de la información.
27011
Guía de interpretación de la
implementación y gestión de la
seguridad de la información en
organizaciones del sector de
telecomunicaciones basada en
ISO/IEC 27002:2005
Facilita modernos controles, además de una
orientación para la implementación en las
organizaciones de telecomunicaciones.
Consolida la privacidad, disponibilidad e
integridad de las infraestructuras y servicios de
estas organizaciones.
27013
Guía de implementación
integrada de ISO/IEC
27001:2005 (gestión de
seguridad de la información) y
Ayuda a las organizaciones interesadas, por
ejemplo, a:
Implementar el estándar ISO 27001 cuando ya
trabajan con la norma ISO 20000, o, al contrario.
Principios de Auditoría Informática
26
de ISO/IEC 20000-1 (gestión
de servicios TI).
Implementar las normas ISO 27001 e ISO 20000
conjuntamente desde cero.
Alinear y coordinar los sistemas relativos a
ambos estándares, tanto el SGSI como el SGS.
27014
Guía de gobierno corporativo
de la seguridad de la
información.
Es una norma de seguridad de la información, la
cual facilita orientación sobre los principios y
conceptos para gobernar la seguridad de la
información.
A través de esta, las organizaciones podrán
dirigir, comunicar, evaluar y controlar la
seguridad de la información que está relacionada
con las actividades de la organización.
Su ámbito de aplicación es para todas las clases
y tamaños de organizaciones.
27015
Guía de SGSI orientada a
organizaciones del sector
financiero y de seguros y como
complemento a ISO/IEC
27002:2005.
Esta es una guía destinada a ayudar a las
organizaciones de servicios financieros (bancos,
compañías de seguros, compañías de tarjetas de
crédito, etc.)
Las organizaciones del sector financiero se
enfrentan a retos nuevos sobre las amenazas de
seguridad de la información como el malware,
ataques cibernéticos y phising.
27016
Guía de valoración de los
aspectos financieros de la
seguridad de la información.
Proporciona directrices sobre cómo una
organización puede tomar decisiones para
proteger la información y comprender las
consecuencias económicas de estas decisiones
en el contexto de los requisitos de competencia
para los recursos.
Sirve para entender las consecuencias
económicas que puede tener mantener la
información protegida en una organización.
27017 Guía de seguridad para Cloud
Computing.
Proporciona directrices para los controles de
seguridad de la información aplicables a la
provisión y uso de servicios en la nube al
proporcionar:
- Directrices de aplicación adicionales para los
controles pertinentes especificados en ISO / IEC
27002;
- Controles adicionales con directrices de
implementación que se refieran específicamente
a los servicios en la nube.
Principios de Auditoría Informática
27
- Proporciona controles e instrucciones de
implementación tanto para los proveedores de
servicios en la nube como para los clientes de
servicios en la nube.
27018
Requisitos para la protección
de la información de
identificación personal (PII) en
sistemas cloud
Proporciona orientación destinada a garantizar
que los proveedores de servicios en la nube
puedan ofrecer controles adecuados de seguridad
de información con el objetivo de proteger la
privacidad de los clientes
27019
Gestión de seguridad de la
información y aplicada a
sistemas de control de
procesos en entornos
industriales de suministro de la
energía
Que la industria de la energía pueda poner en
práctica un sistema de gestión de información de
seguridad normalizado (SGSI) en conformidad
con la norma ISO/IEC 27001 que se extienda
desde la organización hasta el nivel de control de
procesos.
27023
Cartografía de las ediciones
revisadas de ISO / IEC 27001
e ISO / IEC 27002
El documento mapea o compara las ediciones
más recientes de ISO / IEC 2700 e ISO / IEC
27002 con las ediciones anteriores, indicando
dónde terminaron las secciones originales.
27031
Directrices para la preparación
de la tecnología de la
información y las
comunicaciones para la
continuidad del negocio
La norma abarca todos los eventos e incidentes
(no sólo relacionados con la seguridad de la
información) que podrían tener un impacto en la
infraestructura y los sistemas de TIC. Por lo
tanto, amplía las prácticas de gestión y manejo
de incidentes de seguridad de la información,
planificación y servicios de preparación para las
TIC.
27032 Directrices para la seguridad
cibernética
Aborda la "seguridad cibernética" o "seguridad
del ciberespacio", definida como la
"preservación de la confidencialidad, integridad
y disponibilidad de la información en el
ciberespacio".
27033 Seguridad de la red
Proporciona una guía detallada sobre la
implementación de los controles de seguridad de
la red que se introducen en ISO / IEC 27002. Se
aplica a la seguridad de los dispositivos en red y
la gestión de su seguridad, las aplicaciones /
servicios de red y los usuarios de la red, además
de la seguridad de la información que se
transfiere a través de enlaces de comunicaciones.
27034 Seguridad de las aplicaciones
Ofrece orientación sobre la seguridad de la
información a aquellos que especifican, diseñan
y programan o procuran, implementan y usan
Principios de Auditoría Informática
28
sistemas de aplicación, en otras palabras,
Empresarios y responsables de TI,
desarrolladores y auditores y, en última
instancia, los usuarios finales de las TIC.
27035 Gestión de incidentes de
seguridad de la información
Explica un enfoque de mejores prácticas
destinado a la gestión de la información de
incidentes de la seguridad. Los controles de
seguridad de la información son imperfectos de
varias maneras: los controles pueden ser
abrumados o socavados (por ejemplo, hackers
competentes, fraudes o malware), fallar en el
servicio (por ejemplo, fallos de autenticación).
27036
Seguridad de la información
para las relaciones con los
proveedores
Ofrece orientación sobre la evaluación y el
tratamiento de los riesgos de información
involucrados en la adquisición de bienes y
servicios de los proveedores, por ejemplo, (una
parte de una organización o grupo puede adquirir
productos de otra parte como una transferencia
interna sin pagar por ellos).
27037
Directrices para la
identificación, recopilación,
adquisición y conservación de
pruebas digitales
La norma 27037 proporciona orientación sobre
la identificación, recolección / adquisición,
manipulación y protección / conservación de
pruebas forenses digitales, es decir, "datos
digitales que pueden ser de valor probatorio"
para su uso en los tribunales.
27038 Especificación para la
redacción digital
La norma 27038 especifica las características de
las técnicas para realizar la redacción digital en
los documentos digitales y requisitos para las
herramientas de redacción de software y los
métodos de prueba de que la redacción digital se
ha completado de forma segura pero no Incluyen
la redacción de información de bases de datos
27039
Selección, despliegue y
funcionamiento de sistemas de
detección y prevención de
intrusiones (IDPS)
La norma 27039 proporciona directrices de
ayuda a las organizaciones en la implantación de
sistemas de prevención y detección de
intrusiones (IDPS), específicamente, en las
actividades de su selección, implementación y
operativa.
Principios de Auditoría Informática
29
27040
Tecnología de la información-
Técnicas de seguridad- la
seguridad de almacenamiento
Proporciona orientación técnica detallada sobre
cómo gestionar eficazmente todos los aspectos
de seguridad de almacenamiento de datos, desde
la planificación y el diseño hasta la
implementación y documentación.
27041
Orientación en asegurar la
idoneidad y adecuación de los
métodos de investigación de
incidentes
Proporciona orientación sobre los mecanismos
para garantizar que los métodos y procesos
utilizados en la investigación de los incidentes de
seguridad de información son aptos para el
propósito
27042
Directrices para el análisis y la
interpretación de la evidencia
digital
Ofrece orientación sobre el proceso de análisis e
interpretación de las pruebas digitales, que por
supuesto es sólo una parte del proceso de análisis
forense.
27043 Principios de investigación de
incidentes y procesos
Proporciona directrices que incluye modelos
idealizados de los procesos de investigación de
incidentes común a través de diversos escenarios
de investigación de incidentes que involucran
evidencia digital.
27050 Detección Electrónica
Se refiere a la fase de descubrimiento,
específicamente el descubrimiento de
información electrónicamente almacenado
(ESI), la evidencia forense en forma de datos
informáticos y el descubrimiento electrónico
(eDiscovery).
Tabla 1 Serie 27K Fuente: http://www.iso27000.es/iso27000.html
Organización del Departamento de Informática
Considerando el ámbito laboral y profesional desempeñado por varios años tanto en el
sector público y privado, nos permitimos poner en consideración la siguiente estructura
organizacional para un Departamento, Dirección o área de Tecnología de Información y
Comunicaciones, el mismo se encuentra de manera general organizado por Roles que
pueden cumplir los diferentes integrantes de dicho departamento.
Principios de Auditoría Informática
30
Normas Ético Morales que regulan la actuación del Auditor
Para conocer acerca de las normas que deben regular la actuación del Auditor debemos
identificar en primer lugar los conceptos básicos tales como ético, ética, moral.
Ético
Relativo a la moral
Ética
Parte de la Filosofía que estudia los fundamentos y las normas de conducta humana.
Se puede explicar a la ética como tipo de experiencia humana o forma de comportamiento
del ser humano que estudia una forma de conducta que éstos consideran valiosa,
obligatoria y debida.
Moral
Conjunto de principios y reglas que recomiendan lo bueno y rechazan lo malo, en otras
palabras, se puede definir como hacer el bien y evitar el mal.
Según González (2002), la moral es “el conjunto de reglas, normas de comportamiento o
valores que establecen la distinción entre lo bueno y lo malo como criterio de
humanización, de perfección humana.”
Para comprender de mejor manera todo lo relacionado a la ética se puede revisar todo lo
relacionado a las siguientes corrientes éticas:
- Doctrina ética griega
- Doctrina ética aristotélica
- Doctrina ética cristiana
Figura 28 Organigrama de TI Elaborado: Los Autores
Principios de Auditoría Informática
31
- Doctrina ética kantiana
- Doctrina ética marxista
- Doctrina ética existencialista
- Doctrina ética pragmática
Principios y Valores
- Honestidad, se refiere a la autenticidad, franqueza y honradez que debe presentar
el auditor
- Integridad, se refiere a los principios solidos con que se maneja tanto en el ámbito
personal como el profesional, cumple con sus convicciones
- Cumplimiento, es digno de confiar y cumple con sus promesas
- Lealtad, muestra fidelidad con su equipo de trabajo y sus auditados
- Imparcialidad, es objetivo, de acuerdo con lo que se puede comprobar y trata de
forma equitativa a sus dirigidos
- Búsqueda de la excelencia, siempre está en constante aprendizaje, tiene un alto
grado de competencia
- Respeto, consideración y estima por la dignidad de las personas
- Cumplimiento a Normas Legales y Sociales, respeta, cumple y hace cumplir leyes,
normas, reglamentos
- Ayuda a sus semejantes, trata de manera amable y justa, tiene empatía con los
demás, evalúa el trabajo de otros
- Responsabilidad, acepta las consecuencias de su trabajo, dado que es un
compromiso inevitable cuando ha emitido un informe.
- Confiabilidad, usa procedimientos y métodos necesarios que le permiten realizar
su trabajo y eso deriva en que el auditado le dé su confianza.
- Sincero, los datos que obtienen son confiables y fidedignos
- Confidencialidad, debemos ser custodios de la información que las organizaciones
nos entregan
Criterios y Responsabilidades
- Cumplir con la ética y moral
- Respetar y hacer cumplir las normas, políticas y reglamentos
- Implementar los conocimientos adquiridos
- Independencia mental y profesional
Principios de Auditoría Informática
32
- Contar con habilidad, aptitud y experiencia
- Manejo de relaciones interpersonales, profesionales y laborales
- Usar de manera correcta la metodología y procedimientos
- No ocultar, modificar o destruir evidencia
- Discreto, actúa de forma imparcial
- Revisar puntos relevantes
- Emitir dictámenes razonables apegados a las evidencias encontradas
Definición de Auditoría Informática
Figura 29 Auditoría Informática Fuente: Los Autores
Según lo que se puede observar en la figura precedente, se puede definir a la Auditoría
Informática como un proceso que recoge, agrupa y evalúa evidencias que le permitan
entender sí en la organización se mantiene la integridad de datos, se protege los activos,
el uso eficaz de recursos y el cumplimiento de leyes, normas, políticas que se encuentran
establecidas.
De acuerdo con la definición establecida se pueden indicar los objetivos generales de una
Auditoría Informática:
- Proteger activos e integridad de datos
- Gestionar la eficacia y eficiencia
- Verificar el cumplimiento
- Descubrir deficiencias e irregularidades
El auditor informático evalúa y comprueba en determinados momentos los controles y
procedimientos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo
el uso del software. En muchos casos, ya no es posible verificar manualmente los
Principios de Auditoría Informática
33
procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se
deberá emplear software de auditoría y otras técnicas.
El auditor es responsable de revisar e informar acerca del diseño y el funcionamiento de
los controles implantados y sobre la fiabilidad de la información entregada.
De esta manera se establecen las funciones principales que cumple un auditor:
- Planificar las actividades de auditoría
- Consensuar el cronograma de actividades propuesto
- Solicitar y analizar documentación
- Analizar datos
- Trabajo de campo (Entrevistas, encuestas, revisiones in situ)
- Revisar el nivel de eficacia, utilidad, fiabilidad y seguridad tanto de hardware
como software
- Revisar controles implementados que permitan proteger la confidencialidad de la
información, cobertura ante desastres
Delitos Informáticos
Un delito informático se lo considera como toda
actividad ilícita que se comete mediante el uso de
dispositivos de hardware (computadoras,
celulares, tablets, entre otros), sistemas
informáticos y que causan daño, provocan
pérdidas, impiden el acceso a sistemas
informáticos.
Los delitos informáticos se encuentran como reforma al Código Penal por parte de la Ley
de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas.
Los delitos informáticos son actos dirigidos contra la confidencialidad, integridad y
disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso
de dichos sistemas, redes y datos.
Figura 30 Delitos Informáticos
Principios de Auditoría Informática
34
Características de los delitos informáticos
- Difíciles de demostrar
- Son actos que se pueden llevar a cabo de forma rápida y sencilla
- Evolucionan constantemente, y esto no permite la identificación
Tipos de Delitos Informáticos
- Delitos contra la Información Protegida: Violación de claves o sistemas de
seguridad
- Delitos contra la Información Protegida: Destrucción o supresión de documentos,
programas
- Falsificación Electrónica
- Daños Informáticos
- Fraude Informático
- Violaciones al Derecho a la Intimidad (Contravención)
- Pornografía Infantil
Recomendaciones para no ser víctimas de Delitos Informáticos
- No introducir datos como claves y número de tarjetas desde una red wifi pública.
- Actualizar el software periódicamente para no tener vulnerabilidades de
seguridad.
- Contar con contraseñas de alta complejidad
- Disponer de antivirus (Navegación de Internet, control paternal, detección de
sitios falsos, etc.)
- Usar páginas seguras
- Cambiar las claves periódicamente
Principios de Auditoría Informática
35
Figura 31 Fuente G Data Software
1. La información personal no debe ser suministrada a nadie por medios electrónicos, en
especial datos bancarios, claves, tarjeta de crédito, etc.
2. Usar un antivirus en dispositivos que se conecten a internet como son computadoras
personales, smartphones, entre otros.
3. Actualizar el sistema operativo, navegador, aplicaciones, programas, antivirus de tal
manera que se evite el ataque de malware.
4. Enseñar a los niños el uso de internet y bloquear contenidos no apto para menores
5. No abrir los correos electrónicos spam
6. Usar contraseñas seguras, no se debe utilizar fechas de nacimiento, debe tener
mayúsculas, minúsculas, números y caracteres especiales
7. Obtener una copia de seguridad de los archivos más importantes de manera periódica,
además de configurar la opción de copia de seguridad en algunos sistemas operativos
8. Descargar aplicaciones de confianza, es decir, no instalar cualquier aplicación en su
dispositivo tecnológico
9. Conectarse a redes inalámbricas seguras, ya que redes inseguras pueden servir para que
sus datos e información sea robada
Principios de Auditoría Informática
36
10. Amigos en redes sociales, identificar siempre a las personas con quien comparte datos
e información en redes sociales, ya que muchas veces puede ser objeto de engaño
Base Legal
En lo relacionado a la base legal que se usa en el país para desarrollar una auditoría
informática y evitar ser víctima de delios informáticos se tienen las siguientes leyes y
normas:
- Ley de Comercio Electrónico
- Ley de Propiedad Intelectual
- Normas de Control Interno 410 CGE
En cada una de ellas se han considerado algunos de los aspectos más relevantes:
Ley de Comercio Electrónico
Art. 1.- Objeto de la Ley. - Esta Ley regula los mensajes de datos, la firma electrónica,
los servicios de certificación, la contratación electrónica y telemática, la prestación de
servicios electrónicos, a través de redes de información, incluido el comercio electrónico
y la protección a los usuarios de estos sistemas.
Art. 11.- Definiciones Básicas. –
- Momento de emisión del mensaje de datos. - Cuando el mensaje de datos ingrese
en un sistema de información o red electrónica que no esté bajo control del emisor
o de la persona que envió el mensaje.
- Momento de recepción del mensaje de datos. - Cuando el mensaje de datos ingrese
al sistema de información o red electrónica señalado por el destinatario.
- Lugares de envío y recepción. - Los acordados por las partes, sus domicilios
legales o los que consten en el certificado de firma electrónica, del emisor y del
destinatario.
Art. 13.- Firma Electrónicas. - Son los datos en forma electrónica consignados en un
mensaje de datos para identificar al titular de la firma en relación con el mensaje e indicar
que el titular de la firma aprueba y reconoce la información contenida en el mismo.
La firma electrónica tendrá igual validez y se le reconocerán los mismos efectos jurídicos
que a una firma manuscrita en relación con los datos consignados en documentos escritos,
y será admitida como prueba en juicio. La firma electrónica en un mensaje de datos deberá
enviarse en un mismo acto como parte integrante del mensaje de datos o asociada a éste.
Para su validez, la firma electrónica reunirá los siguientes requisitos, sin perjuicio de los
Principios de Auditoría Informática
37
que puedan establecerse por acuerdo entre las partes: ser individual y estar vinculada
exclusivamente a su titular, que permita verificar la identidad del signatario, mediante
dispositivos técnicos de comprobación, que su método de creación y verificación sea
confiable, seguro e inalterable para el propósito para el cual el mensaje fue generado o
comunicado y que la firma sea controlada por la persona a quien pertenece. (Arts. 14, 15,
16)
Para verificar los requisitos del certificado de la firma electrónica se debe revisar los Arts.
20, 22, de igual manera la ley establece las obligaciones y responsabilidades de las
entidades de certificación en sus Arts. 29 y 30.
En los Arts. 36, 37, 38, 28 se establecen los Organismos que promueven y difunden los
servicios electrónicos.
Ley de Propiedad Intelectual
Art. 1. - El Estado reconoce, regula y garantiza la propiedad intelectual adquirida de
conformidad con la ley, las Decisiones de la Comisión de la Comunidad Andina y los
convenios internacionales vigentes en el Ecuador.
La propiedad intelectual comprende:
- Los derechos de autor y derechos conexos.
- La propiedad industrial, que abarca, entre otros elementos, los siguientes:
o Las invenciones
o Los dibujos y modelos industriales
o Los esquemas de trazado (topografías) de circuitos integrados
o La información no divulgada y los secretos comerciales e industriales
o Las marcas de fábrica, de comercio, de servicios y los lemas
comerciales
o Las apariencias distintivas de los negocios y establecimientos de
comercio
o Los nombres comerciales
o Las indicaciones geográficas
o Cualquier otra creación intelectual que se destine a un uso agrícola,
industrial o comercial.
- Las obtenciones vegetales.
Principios de Auditoría Informática
38
Las normas de esta Ley no limitan ni obstaculizan los derechos consagrados por el
Convenio de Diversidad Biológica, ni por las leyes dictadas por el Ecuador sobre la
materia.
Normas de Control Interno 410 – Contraloría General del Estado
1. Organización Informática
2. Segregación de Funciones
3. Plan Informática Estratégico de Tecnología
4. Políticas y Procedimientos
5. Modelo de Información Organizacional
6. Administración de Proyectos Tecnológicos
7. Desarrollo y adquisición de software aplicativo
8. Adquisiciones de Infraestructura Tecnológica
9. Mantenimiento y control de Infraestructura Tecnológica
10. Seguridad de Tecnología de Información
11. Plan de Contingencias
12. Administración de Soporte de Tecnología de Información
13. Monitoreo y Evaluación de los Procesos y Servicios
14. Sitio Web, Servicios de Internet e Intranet
15. Capacitación Informática
16. Comité Informático
17. Firmas Electrónicas
Principios de Auditoría Informática
39
Los Riesgos y el Control Interno
Control Interno Informático
Según Pinilla Forero (1997), el Control Interno Informático es “el sistema integrado al
proceso administrativo, en la planeación, organización, dirección y control de las
operaciones con el objeto de asegurar la protección de todos los recursos informáticos y
mejorar los índices de economía, eficiencia y efectividad de los procesos operativos
automatizados.”
Por su parte Piattini y Del Peso (2000), establecen al Control Interno como “cualquier
actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores
o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus
objetivos.”
Un control se lo define como las políticas, procedimientos, prácticas y estructuras
organizacionales las mismas que se encuentran diseñadas para brindar una seguridad
razonable y que permitirán alcanzar los objetivos institucionales.
En el ámbito informático se debe tener en cuenta los tipos de controles que se usan en
este sentido serán:
- Manuales: Estos son ejecutados por el personal del área tecnológica sin el uso de
herramientas informáticas
- Automáticos: Son aquellos que se ejecutan por medio de herramientas
informáticas, es decir, se encuentran incorporados dentro del software, puede
ejecutarse a nivel de software base (Sistema Operativo, Software de Aplicación
(Sistemas de Gestión de Base de Datos, Middleware, Aplicaciones)) que verifican
ciertas condiciones de funcionamiento de la infraestructura de la tecnología de la
información (TI).
Además de la clasificación presentada los controles se pueden clasificar de acuerdo con
su finalidad en:
- Preventivos: Son aquellos que previenen y evitan que se produzcan errores o fallas
en la seguridad tanto de software como de hardware, como, por ejemplo, el uso
de antivirus, software de seguridad para controlar el acceso a redes informáticas
por medio de personas no autorizadas.
- Detectivos: Son aquellos que no se pudieron detectar con los controles
preventivos y que se los descubre una vez que se suscitó el error o falla.
Principios de Auditoría Informática
40
- Correctivos: Son aquellos en los cuales se debe corregir o solucionar todos los
errores que se identificaron con los controles detectivos.
Al controlar que las actividades de la infraestructura de TI se realicen de acuerdo con los
procedimientos, estándares, políticas, normativas y leyes vigentes en la organización y el
estado, por tanto, se puede definir que la función del control informático interno es
asegurar que las medidas que se han implementado sean válidas y correctas.
Todas las actividades que se realizan dentro del Control Interno Informático son
ejecutadas o programadas por personal interno del área de TI y estas deben ser
monitoreadas para verificar su correcto funcionamiento, así como registrar posibles
ejecuciones erróneas que se puedan presentar y de esta forma poder tomar acciones
correctivas que ayuden a mitigar los riesgos en la infraestructura de TI.
Objetivos principales
- Establecer como prioridad la seguridad y protección de los diferentes elementos
de TI (Hardware, Software, Seguridad Informática, Comunicaciones)
- Impulsar la confiabilidad, oportunidad y veracidad en la recepción de datos,
procesamiento de los mismos y emisión de reportes en la organización
- Implementar procedimientos, procesos, herramientas que permitan desarrollar
de manera eficiente las tareas, actividades y funciones de los servicios
tecnológicos de acuerdo con las necesidades institucionales
- Implementar políticas, normas, procedimientos que regulen los servicios
tecnológicos, y hacer cumplir de forma cabal los mismos
- Establecer mecanismos adecuados para el análisis, diseño, desarrollo, pruebas e
implementación de sistemas informáticos, con el fin de promover los servicios
tecnológicos de manera eficiente
- Establecer los mecanismos de evaluación para la adquisición de software
propietario, el mismos que apoye de manera eficiente a los servicios tecnológicos
Funciones principales
Las funciones principales que tiene el Control Interno Informático son:
- Socializar y controlar el cumplimiento de normas, procesos, procedimientos,
políticas en la unidad de TI
- Definir la organización que se debe establecer para el Sistema de Control Interno
en la unidad de TI en los siguientes aspectos:
Principios de Auditoría Informática
41
o Desarrollo y mantenimiento de software
o Compra de software propietario (licencias)
o Redes Informáticas
o Seguridad Informática
o Relaciones con proveedores
o Control de hardware existente
o Compra de hardware
o Riesgo informático
o Plan de Continuidad de los Servicios Tecnológicos
o Plan Operativo anual
o Plan Estratégico de Tecnologías de Información
Área de aplicación
De acuerdo con la definición que se realice para establecer el Sistema de Control Interno
en la unidad de TI, se puede establecer las siguientes áreas en donde se tiene que intervenir
para que se ejecuten los controles necesarios y se tengan servicios tecnológicos eficientes.
- Controles generales organizativos
- Controles en el desarrollo, mantenimiento y compra de software
- Controles en el uso de los sistemas de información
- Controles en aplicaciones
- Controles en la administración de Base de Datos
- Controles en la Red Informática
- Controles en computadoras
Controles generales organizativos
Son la base para la planificación, control y evaluación que se debe dar por parte de la
Dirección General de las actividades de la unidad de TI, y debe contener la siguiente
planificación:
- Plan Estratégico de TI
- Plan Operativo Anual
- Plan General de Seguridad (física y lógica)
- Plan de Contingencia ante desastres.
Principios de Auditoría Informática
42
Controles de desarrollo, mantenimiento y mantenimiento de software
Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos,
protección de recursos y cumplimiento con las leyes y regulaciones a través de
metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones, CMMI, Buenas
Prácticas como SCRUM, ITIL en el manejo de proyectos de desarrollo de software.
Controles en el uso de sistemas de información
Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición
y uso del hardware, así como los procedimientos de instalación, configuración,
administración y ejecución del software.
Controles en aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la entrada,
actualización, salida, validez y mantenimiento de los datos en forma exacta.
Controles en la administración de Base de Datos
Tienen que ver con la administración de la base de datos que almacena los datos que se
colectan por medio de los diferentes sistemas de información aplicaciones, e información
que se genera en los sistemas de información con la finalidad de asegurar su integridad,
disponibilidad y confidencialidad que son estándares que debe cumplir para asegurar la
información.
Controles en la Red Informática
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento
de las redes instaladas en una organización sean estas centrales y/o distribuidas.
Controles en computadoras
Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del
hardware como del software de usuario, así como la seguridad de los datos que en los
mismos se procesan.
COSO
Según el Informe COSO define el Control Interno como “Las normas, los procedimientos,
las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad
Principios de Auditoría Informática
43
razonable de que los objetivos de la organización se alcanzarán y que los eventos no
deseados se preverán, se detectarán y se corregirán”.
NIAA
El Comité Internacional de Prácticas de Auditoría ha sido autorizado a emitir Normas
Internacionales de Auditoría y Aseguramiento (NIAA). El propósito de este documento
es describir el marco de referencia dentro del cual se emiten las NIAA en relación con los
servicios que pueden ser desempeñados por los auditores.
Las NIAA son un conjunto de principios, reglas o procedimientos que obligatoriamente
debe seguir o aplicar el profesional Contador Público que se dedique a labores de
auditoría de estados financieros, con la finalidad de evaluar de una manera razonable y
confiable la situación financiera de la organización o ente por él auditados, y en base de
aquello le permita emitir su opinión en forma independiente con criterio y juicio
profesionales acertados.
La numeración de las NIAA es la siguiente:
- 200-299 Principios Generales y Responsabilidad
- 300-499 Evaluación de Riesgo y Respuesta a los Riesgos Evaluados
- 500-599 Evidencia de Auditoría
- 600-699 Uso del trabajo de otros
- 700-799 Conclusiones y dictamen de auditoría
- 800-899 Áreas especializadas
Metodología para la Gestión de Riesgos de TI
La Gestión de Riesgos se la puede definir como la aplicación sistemática de políticas,
procedimientos, normas, que permiten identificar, analizar, estimar y clasificar el riesgo,
y luego poder implementar mecanismos que ayuden a mitigar el mismo, de tal manera
que se pueda garantizar los objetivos institucionales.
La gestión de riesgos de TI es un proceso permanente que consiste en la identificación de
los activos de TI que soportan los procesos institucionales, el conocimiento y evaluación
de las amenazas y vulnerabilidades a las cuales se encuentran expuestos; con el fin de
seleccionar los controles necesarios para reducir el riesgo a niveles aceptables para la
organización.
Principios de Auditoría Informática
44
Objetivos de la Gestión de Riegos de TI
- Determinar los elementos de los sistemas de tecnología de información
institucional que requieren protección, sus vulnerabilidades y las amenazas que
los ponen en peligro.
- Identificar y evaluar el riesgo, para luego recomendar medidas de mitigación
que lo reduzcan a niveles aceptables para la organización.
- Mantener seguros los sistemas de información que almacenan, procesan o
transmiten información sensible de la organización.
- Garantizar la eficacia, eficiencia, cumplimiento, confidencialidad, integridad y
disponibilidad de la información.
- Contribuir con el proceso de diseño del Plan General de Auditoría Informática,
de modo que las acciones de control a ser ejecutados enfoquen su análisis a los
activos de TI que tengan un mayor nivel de riesgo
Beneficios de la Gestión de Riegos de TI
- Ayuda al Gobierno de la organización a la implementación de políticas, planes
y procedimientos que aseguren razonablemente que los objetivos
institucionales se cumplan y que los eventos no deseados se prevengan,
detecten y corrijan.
- Impulsa dentro de la organización una cultura de gestión que procura la
salvaguarda de los activos de TI, la exactitud y la confiabilidad de la
información, la eficiencia operacional y el apego a las políticas y
procedimientos internos.
- Ayuda al Gobierno de la organización a alcanzar un balance entre riesgo e
inversión en el ámbito de control para las tecnologías de la información.
- Se la usa como herramienta base para la planificación de la auditoría
informática, dado que contribuye en la definición de la naturaleza, oportunidad
y alcance de las pruebas de auditoría que se aplicarán durante la ejecución de
una acción de control, de este modo permite enfocar el análisis en los activos
de TI con mayor nivel de riesgo.
Principios de Auditoría Informática
45
Metodología de Gestión de Riesgos de TI
Determinar la estructura organizacional
Para dar inicio al proceso de Gestión de Riesgos de TI es necesario tener una visión
de que se encuentra estructurada la organización, es decir, debemos conocer la
Planificación Estratégica en donde vamos a conocer las capacidades, metas, objetivos
y las estrategias que están encaminadas para lograrlos.
En la Gestión de Riesgos de TI hay que determinar objetivos, estrategias, alcance de
las actividades que se deben llevar a cabo. El proceso debe considerar la necesidad de
equilibrar costos, beneficios y oportunidades.
Una vez que se conoce el Diagnostico Situacional de la Organización y se ha definido
el alcance de la Gestión de Riegos de TI se puede definir los niveles de aceptabilidad
y el procesamiento del riesgo, la utilidad de esta metodología está orientada a
identificar el riesgo en función del nivel, aplicar procedimientos de auditoría que
avalen que los controles que se han implementado para mitigar los riesgos estén
adecuadamente diseñados, implementados y monitoreados.
Control del Riesgo
En el control del riesgo se deben realizar los siguientes pasos:
- Identificación de Activos
- Identificación de Amenazas
Figura 33 Metodología de Gestión de Riesgos de TI – Elaborado: Los Autores
Figura 32 Metodología de Gestión de Riesgos de TI – Elaborado: Los Autores
Principios de Auditoría Informática
46
- Estimación del Impacto
- Identificación de Controles
- Estimación del Riesgo
Identificación de Activos de TI
Los activos de TI son los recursos que se usan para prestar servicios de tecnología que
funcionen e manera correcta y eficiente.
Los activos de TI se los puede clasificar de la siguiente manera:
- Las aplicaciones: son sistemas de usuario que se encuentran automatizados y
pueden ser:
o Sistemas de Información (ERPs, CRMs)
o Servicios (internet, correo electrónico)
o Software (antivirus, sistemas operativos, ofimática, diseño gráfico,
entre otros)
- La información: son los datos que han sido procesados y generados por los
diferentes sistemas de información y se puede tener datos, documentos,
reportes y contratos
Figura 33 Control del Riesgo – Elaborado: Los Autores
Principios de Auditoría Informática
47
- La infraestructura: se refiere a los componentes de TI que permiten el
adecuado funcionamiento de aplicaciones, por ejemplo: Hardware
(Servidores, Routers, Librerías de Almacenamiento, Cintas, Discos, entre
otros), redes de comunicaciones (LAN, WAN, entre otras), instalaciones del
Centro de Datos, Climatización
- Las personas: se refiere al personal necesario que permite planear, organizar,
adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y
los servicios de tecnología, y estos pueden ser: administradores, técnicos,
analistas, especialistas, proveedores, entre otros que tiene que ver con la unidad
de TI.
Como se puede observar en la figura precedente, se puede evidenciar que existe una
interrelación entre los activos de TI, por tanto, se puede determinar que las capas
superiores dependen de las capas inferiores.
Valoración de los Activos de TI
Una vez que se han identificado los activos de TI, se debe realizar una estimación del
valor que tienen dentro de la organización, es decir, la importancia que tienen dentro de
la misma, para realizar este cálculo se puede considerar el daño que puede causar en la
organización si un activo resulta dañado debido a:
- Confidencialidad
Figura 34 Activos TI -Fuente: http://solintels.com/arquitectura.html
Principios de Auditoría Informática
48
Con la finalidad de evaluar la confidencialidad, se debe responder la siguiente
pregunta:
¿Cuál es la importancia de acceder al activo de TI, sin tener la respectiva
autorización?, para responder dicha pregunta se va a usar la siguiente escala:
Valor Criterio
0 No aplica
1 Bajo, no existe daños a la unidad afectada
3 Medio, se puede afectar a varias unidades
5 Alto, la imagen y reputación de la organización pueden ser
comprometidas Tabla 2 Evaluación Confidencialidad – Elaborado: Los Autores
- Disponibilidad
Con la finalidad de evaluar la disponibilidad, se debe responder la siguiente
pregunta:
¿Cuál es la afectación que se tendrá si el activo no se encuentra disponible?, para
responder dicha pregunta se va a usar la siguiente escala:
Valor Criterio
0 No aplica
1 Bajo, puede tener una indisponibilidad del 90%
3 Medio, puede tener una indisponibilidad del 50%
5 Alto, puede tener una indisponibilidad del 1% Tabla 3 Evaluación Disponibilidad – Elaborado: Los Autores
- Integridad
Con la finalidad de evaluar la integridad, se debe responder la siguiente pregunta:
¿Cuál es la afectación que se tendrá si el activo fuera modificado sin
autorización?, para responder dicha pregunta se va a usar la siguiente escala:
Valor Criterio
0 No aplica
1 Bajo, no se valora los errores que pueda tener la información
3 Medio, la información debe ser correcta en al menos el 50%
5 Alto, la información puede tener un error de máximo el 5% Tabla 4 Evaluación Integridad – Elaborado: Los Autores
Principios de Auditoría Informática
49
Considerando que se usa valores cuantitativos la confidencialidad, disponibilidad e
integridad, de los activos de TI, el valor total de cada activo será la suma de dichos
valores, y de esta manera se podrá obtener los activos de TI más importantes para la
organización, y de esta manera se determina cuáles son aquellos que necesitan una mayor
atención. Para determinar dicha estimación se usará los siguientes rangos:
Valor Criterio Rango
MB Muy Bajo 0 – 3
B Bajo 4 – 7
M Medio 8 – 10
A Alto 11 – 14
MA Muy Alto 15
Tabla 5 Valoración Activos TI – Elaborado: Los Autores
Para realizar la valoración de los activos de TI, se debe contar con un grupo
interdisciplinario, el mismo que pueda tener la perspectiva desde el servicio, costo, riesgo
y la tecnología.
Por ejemplo, se puede realizar la valoración de los activos de TI que se muestran en la
siguiente tabla:
Activo TI Confidencialidad Disponibilidad Integridad Total Valor
Activo TI Criterio
Servidor de
Base de Datos
OLTP
5 5 5 15 MA Muy
Alto
Licencias de
Base de Datos
OLTP
1 1 1 3 MB Muy
Bajo
Laptop Quinta
Generación 1 3 0 4 B Bajo
Monitor 20" 1 1 0 2 MB Muy
Bajo
Switch Core
Central 5 5 5 15 MA
Muy
Alto
Librería de
Respaldos 3 5 5 13 A Alto
Tabla 6 Ejemplo Valoración Activos TI – Elaborado: Los Autores
Principios de Auditoría Informática
50
Identificación de Amenazas
Para identificar las amenazas que los activos de TI pueden tener, se debe señalar que una
amenaza, es un evento que puede ocasionar un incidente no deseado y que puede dañar a
los activos de TI y por ende a la organización.
Las amenazas se pueden ocasionar de diferentes orígenes, entre estos tenemos:
- Desastres naturales (terremotos, inundaciones, entre otros.)
- Humanos (errores accidentales, errores de usuario, errores premeditados entre
otros.)
- Del entorno (inundaciones, fallas eléctricas, incendios, entre otros.)
- Defectos de las aplicaciones (error en desarrollo, error en el mantenimiento,
falta de actualizaciones, sobrecarga de tráfico, entre otros.)
- Actos deliberados (terrorismo, robos, ataques, entre otros.)
No todas las amenazas afectan a todos los activos de TI, sino existe una cierta relación
entre el tipo de activo y la amenaza.
Valoración de las Amenazas a los Activos de TI
Una vez determinado que una amenaza puede perjudicar a un activo de TI, hay que valorar
el daño que puede causar en el supuesto de que la amenaza se llegue a plasmar; esto se
conoce como degradación, que no es otra cosa sino el daño causado por un incidente. Se
suele caracterizar como un porcentaje del valor del activo, en términos de funcionamiento,
se tiene la siguiente escala de valoración:
Valor Criterio
10% Degradado en su funcionamiento en máximo el 10%, Bajo
50% Degradado en su funcionamiento en máximo el 50%, Medio
100% Degradado en su funcionamiento en máximo el 100%, Alto Tabla 7 Valoración Amenazas – Elaborado: Los Autores
Estimación del Impacto
Para definir la estimación del impacto que los activos de TI pueden tener, se debe señalar
que un impacto es la medida del daño sobre el activo obtenido de la ejecución de una
amenaza. Conociendo el valor de los activos y la degradación que causan las amenazas,
es directo obtener el impacto que estas tendrían. Para determinar el impacto se usará la
siguiente tabla de doble entrada que cruza el valor del activo con el nivel de degradación
causado por las amenazas:
Principios de Auditoría Informática
51
IMPACTO Degradación
10% 50% 100%
Valor
del
Activo
Muy Bajo MB MB B
Bajo MB B M
Medio B M M
Alto M M A
Muy Alto M A MA
Tabla 8 Estimación del Impacto – Elaborado: Los Autores
VALORACIÓN DEL IMPACTO
VALOR CRITERIO
IMPACTO EN
OBJETIVOS
INSTITUCIONALES
IMPACTO
EN LO
OPERATIVO
IMPACTO EN LA
IMAGEN
INSTITUCIONAL
MB Muy Bajo
Incumplir de manera
parcial con un objetivo
institucional
Impacta en la
operatividad
cuando se
trata de un
proceso de
apoyo
específico
La imagen y la
credibilidad de la
organización se ven
afectados de
manera moderada
B Bajo
Incumplir con los
objetivos institucional,
de modo que haya que
cambiar el Plan
Estratégico
Impacta en la
operatividad
cuando se
trata de más
de un proceso
de apoyo
Se compromete la
imagen y
credibilidad de la
organización en
ciertos aspectos
M Medio
Incumplir con la
misión y visión de la
organización
Impacta en la
ejecución
normal de los
procesos de
apoyo
Se compromete
fuertemente la
imagen y
credibilidad de la
organización en
ciertos aspectos
A Alto
Incumplir con la
misión, visión y
objetivos
institucionales y que
causen disminución en
la credibilidad de la
organización
Se afecta de
manera fuerte
en la
operatividad
de los
procesos
principales
Se compromete
fuertemente la
imagen y la
credibilidad de la
organización
MA Muy Alto
Incumplir con la
misión, visión y
objetivos
Se afecta de
manera
directa y
Se compromete
gravemente la
imagen y la
Principios de Auditoría Informática
52
institucionales y que
causen pérdida en la
credibilidad de la
organización
grave a la
operación y
ejecución de
los procesos
principales
credibilidad de la
organización a
nivel nacional
Tabla 9 Valoración del Impacto – Elaborado: Los Autores
Ejemplo de la estimación del impacto
Degradación
Activo TI Valor
Activo TI 10% 50% 100%
Servidor de Base de Datos
OLTP MA MA
Licencias de Base de Datos
OLTP MB MA
Laptop Quinta Generación B B
Monitor 20" MB MB
Switch Core Central MA MA
Librería de Respaldos A MA
Tabla 10 Ejemplo Estimación del Impacto – Elaborado: Los Autores
Identificación de Controles
Como se ha mencionado en los párrafos de Control Interno Informático, se estableció lo
que es un control y los tipos de controles que se deben manejar en el ámbito de TI que
son: preventivos, detectivos y correctivos.
Eficacia de los controles
Los controles se caracterizan, por su existencia y eficacia frente al riesgo que pretenden
mitigar. Un control ideal es 100% eficaz, bajos dos puntos de vista:
- Punto de vista técnico: es técnicamente idóneo para enfrentarse al riesgo que
protege y se lo emplea siempre
- Punto de vista de operación: se encuentra perfectamente desplegado, configurado
y mantenido, son procedimientos claros de uso normal y en caso de incidencias
los usuarios están formados y conocen, existen controles auxiliares que avisan de
posibles fallos.
La eficacia del 0% para aquellos que fallan y el 100% para aquellos que funcionan de
manera correcta y se ejecutan sin inconvenientes, se encuentran perfectamente
Principios de Auditoría Informática
53
implementados, se estimará un grado de eficacia con una escala de madurez que sirva
para medir la confianza que merece el proceso de gestión del control.
MADUREZ CRITERIO EFICACIA DESCRIPCIÓN
0 Inexistente 0%
El control no ha sido implementado, la
organización no conoce que tiene
inconvenientes que solucionar
1 Inicial 15%
La organización reconoce que existen
problemas, se aplican procesos de manera
individual o caso por caso, existe
desorganización
2 Repetible 40%
Los procesos semejantes se adoptan por
diferentes personas, no existe estándares,
la responsabilidad es de la persona, existe
confianza y puede existir errores
3 Definido 70%
Los procedimientos se encuentran
documentados y socializados, son
obligatorios, son una mejora de las
prácticas existentes
4 Gestionado
y medible 85%
Se monitorea y mide los procesos, se toma
medidas cuando los procesos no
funcionan adecuadamente, se encuentran
automatizados de manera limitada, los
procesos están en mejora continua
5 Optimizado 100%
Se ha aplicado buenas prácticas a los
procesos, se usan herramientas que
permiten mejorar la calidad y la eficacia,
y esto permite que la organización se
adapte de manera rápida Tabla 11 Escala de Madurez de los Controles – Elaborado: Los Autores
El incremento en la madurez en la gestión de los controles reduce el riesgo y mejora la
eficacia, generando menos errores y el uso rentable de los recursos.
Estimación del Riesgo
El riesgo es la probabilidad de que una amenaza determinada estalle las vulnerabilidades
de un activo o grupo de activos y, por consiguiente, ocasione pérdidas o daño a la
organización. Las vulnerabilidades o las amenazas, por separado, no representan un
peligro; pero si se juntan, se convierten en un riesgo, es decir, en la probabilidad de que
ocurra un desastre provocando un impacto en la organización.
Principios de Auditoría Informática
54
El riesgo de TI es un riesgo de la organización, asociado con el uso, la propiedad, la
operación, la participación, la influencia y la adopción de TI dentro de la organización.
Consiste en eventos relacionados con TI que potencialmente podrían impactar a la
organización.
Probabilidad de ocurrencia
Es la frecuencia con la cual un evento puede repetirse dentro de un período de tiempo
determinado, para su valoración se va a utilizar la siguiente tabla:
VALOR CRITERIO RANGO CÓDIGO
100 Frecuente Diario a Mensual F
10 Probable Mensual a Trimestral P
1 Ocasional Trimestral a
Semestral
O
0.1 Remota Semestral a Anual R Tabla 12 Probabilidad de Ocurrencia de un Riesgo – Elaborado: Los Autores
Riesgo Inherente
Toda organización sin importar la actividad en la que desarrolle sus operaciones se
encuentra expuesta a diversos tipos de riesgos, los mismos que están presentes en forma
de amenazas que pueden ser internas o externas que se encuentran apegadas a cualquier
actividad que se realza y no son fruto de un deficiente control, por tanto, es aquel riesgo
que por su naturaleza no se puede separar de la situación donde se genera, es propio de la
actividad o trabajo que se realiza.
Cálculo del Riesgo Potencial
Para realizar la definición del riesgo potencial se debe evaluar el impacto y probabilidad
de ocurrencia sin tomar en cuenta los posibles controles que se encuentran implementados
en la organización.
Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo
tomando en cuenta la probabilidad de ocurrencia del evento. Para determinar el riesgo se
usará la siguiente tabla de doble entrada que cruza el impacto con la probabilidad de
ocurrencia:
RIESGO PROBABILIDAD
F P O R
IMPACTO MA M A MA MA
Principios de Auditoría Informática
55
A M M A MA
M B M M A
B MB B M M
MB MB MB B M
Tabla 13 Cálculo Riesgo Potencial – Elaborado: Los Autores
VALORACIÓN DEL RIESGO
VALOR SEVERIDAD CRITERIO TRATAMIENTO
MA 70 - 100 Riesgo muy
alto
Se deben hacer todos los esfuerzos para reducir el
riesgo, se pondrá a disposición todos los recursos
necesarios para controlar el riesgo, las medidas
deben implantarse inmediatamente
A 50 - 70 Riesgo alto
Se deben hacer esfuerzos considerables para
reducir el riesgo, puede que se precisen muchos
recursos para controlar el riesgo, las medidas
deben implantarse a corto plazo
M 30 - 50 Riesgo
medio
Se deben hacer esfuerzos para reducir el riesgo, las
medidas deben implantarse a mediano plazo
B 10 - 30 Riesgo
menor
Se requieren comprobaciones periódicas para
asegurar que se mantiene la eficacia de las medidas
de control
MB 1 - 10 Despreciable No se requiere acción específica
Tabla 14 Valoración del Riesgo Elaborado: Los Autores
Riesgo residual
Una vez que se han implementado las decisiones relacionadas con el tratamiento de un
riesgo, se presenta por lo general un remanente de dicho riesgo, que resulta de la relación
entre el grado de manifestación de los riesgos inherentes y la gestión de mitigación que
se haya encaminado (aplicación de controles).
Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para resolver
su caso, se puede considerar identificar diferentes opciones de tratamiento de riesgo; o se
puede instaurar nuevos controles, o hacer arreglos con aseguradoras para reducir
finalmente el riesgo a niveles aceptables.
Cálculo del riesgo residual
La estimación del riesgo residual será el producto de la severidad del riesgo por el nivel
de vulnerabilidad del control, así:
Principios de Auditoría Informática
56
Exposición al riesgo = Severidad ∗ (100% − % de Cobertura)
Matriz de riesgos
Una matriz de riesgos se define como una herramienta de control y gestión que se usa
para identificar los riesgos relacionados con los activos de TI. Los beneficios de contar
con una matriz de riesgo a nivel organizacional permiten generar una herramienta de fácil
manejo, que permite identificar aquellos riesgos que son prioritarios, con la finalidad de
aplicar controles y preparar o diseñar planes de prevención.
Dentro de las funciones de la Auditoría Informática está la de asistir a la organización
mediante la identificación y evaluación de las exposiciones significativas a los riesgos y
la contribución a la mejora de los sistemas de gestión de riesgos y control, de ahí la
necesidad de construir una matriz de riesgos sobre la base del experiencia, criterio y juicio
profesional del auditor.
Procesamiento del riesgo
Una vez que se haya efectuado el análisis y la evaluación del riesgo, se debe decidir cuales
acciones se han de tomar con los activos de TI que están sujetos a riesgo. Los activos de
TI que tengan un mayor nivel de riesgo y a su vez sean considerados, de alta
disponibilidad para soportar los procesos de la organización, deberán tener una prioridad
de atención inmediata.
La selección de la opción más apropiada involucra balancear el costo de implementar
cada opción contra los beneficios derivados de la misma. En general, el costo de
administrar los riesgos necesita ser conmensurada con los beneficios obtenidos.
MA A M B MB 0 1 2 3 4 5
100-70 70-50 50-30 30-10 10-1 0% 15% 40% 70% 85% 100%
BBDD OLTP x x >50
Servidores x x >50
Intranet x x <10
Internet x x <70
Computadoras PC's x x <10
MATRIZ DE RIESGOSNivel de CoberturaSeveridad
ACTIVOS TIExposición al
Riesgo
Tabla 15 Matriz de Riesgos – Fuente: Los Autores
Principios de Auditoría Informática
57
Cuando el costo acumulado de la implementación de todos los tratamientos de riesgo
excede el presupuesto disponible, el plan debería identificar claramente el orden de
prioridad bajo el cual deberían implementarse los tratamientos individuales de los riesgos.
Los riesgos descubiertos pueden manejarse con una serie de controles para la detección y
la prevención, estrategias para evitar el riesgo, aceptarlo o transferirlo a terceros.
Reducir el riesgo
Para reducir el riesgo se deben implementar los controles apropiados de modo que el
riesgo alcance un nivel que se haya definido como aceptable. Los controles deben
enfocarse a reducir la posibilidad de que las vulnerabilidades sean explotadas por las
amenazas, detectar eventos no deseados, reducir el posible impacto si el siniestro
ocurriese, reaccionar y recuperarse de este.
Los controles deberán ser seleccionados, diseñados, implementados, documentados,
monitoreados y evaluados de modo que cumplan un ciclo de mejoramiento continuo, con
lo cual se garantice su eficiencia y efectividad en el tiempo.
Aceptar el riesgo
La organización asume los riesgos cuando, están por debajo de un valor de riesgo
aceptable, no se han encontrado los controles para mitigar los riesgos o la implementación
de los controles resulta más costosa que los beneficios obtenidos.
Transferir el riesgo
La transferencia del riesgo se debe dar cuando es difícil reducir el riesgo a un nivel
aceptable, por lo tanto, se intenta compartir el riesgo o que otra parte lo asuma. Los
mecanismos incluyen el uso de contratos, seguros y estructuras organizacionales.
La transferencia de riesgo a terceros, o la transferencia física a otros lugares, reducirán el
riesgo para la organización, pero puede no disminuir el nivel general del riesgo para la
sociedad.
Cuando los riesgos son total o parcialmente transferidos, la organización que transfiere
los riesgos ha adquirido un nuevo riesgo; que la organización a la cual ha transferido el
riesgo no pueda administrarlo efectivamente.
Principios de Auditoría Informática
58
Evitar el riesgo
Para evitar un riesgo se debe partir del principio de que su probabilidad de ocurrencia es
alta y representa un alto peligro para la organización, porque podría traer consecuencias
muy graves en caso de la ocurrencia del siniestro.
Algunas formas de evitar un riesgo son eliminar la actividad que genera el riesgo o
sustituirla por otra que no sea tan peligrosa o que no produzca tantas perdidas, no
emprendiendo un nuevo proyecto evaluado como no factible, descartar el activo, el
proceso o incluso el área de negocio que es la fuente del riesgo.
Comunicación y consulta
La comunicación y consulta son una consideración importante en cada paso del proceso
de administración de riesgos. Es importante desarrollar un plan de comunicación para los
interesados internos y externos en la etapa más temprana del proceso.
Es importante la comunicación efectiva interna y externa para asegurar que aquellos
responsables por implementar la administración de riesgos, y aquellos con intereses
creados comprenden la base sobre la cual se toman las decisiones.
Antes de tomar cualquier decisión relativa al tratamiento de un riesgo hay que entender
los sistemas de información y cómo se usan; esto quiere decir que hay que mantener un
contacto fluido con varios actores:
- Gerencia General de la Organización: la decisión debe estar alineada con la
misión de la organización
- Usuarios Técnicos: la decisión debe tener en cuenta su impacto en la
productividad y sobre la usabilidad de los sistemas
- Proveedores: la decisión debe contar con su colaboración
Hay que tener en cuenta que cualquier medida que merme la productividad, dificulte la
operación de los sistemas, o requiera una elaborada formación de los usuarios, está
condenada al fracaso.
Toda medida debe ser apoyada por las autoridades de la organización, amparada por la
normativa interna, que debe estar socializada, de manera clara y directa en procedimientos
operativos, además es interesante disponer de indicadores que midan el grado de
aceptación por parte de los usuarios.
Principios de Auditoría Informática
59
Monitoreo y revisión
Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos,
las estrategias y el sistema de administración que se establece para controlar la
implementación. Los riesgos y la efectividad de las medidas de control necesitan ser
monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades
de los riesgos.
Los resultados del análisis y la evaluación del riesgo requieren ser revisados con
regularidad para visualizar cualquier modificación. Las estructuras organizacionales, las
tareas que se ejecutan, la tecnología que se utiliza y las personas hacen una dinámica que
afecta los riesgos valorados en un momento determinado. Cualquier nueva función dentro
la organización puede significar nuevos activos de información o modificación de los
actuales. Otra fuente de cambio en el escenario de riesgos pudiera ocurrir luego de la
medición de la eficacia de los controles y por la aparición de nuevas amenazas y
vulnerabilidades.
Normativas de Gestión de Riesgos
OCTAVE
Identifica los riesgos de la seguridad que pueden impedir la consecución del objetivo de
la organización, además enseña a evaluar los riesgos de la seguridad de la información,
crea estrategias de protección con el objetivo de reducir los riesgos de seguridad de la
información prioritaria.
Fases de planificación:
- Vista de la organización
- Vista Tecnológica
- Desarrollo el plan y de la estrategia
MARGERIT
Inició con enfoques a las entidades públicas en España, pero se recomienda para todo tipo
de organizaciones, tiene varios documentos como: método, catálogos y técnicas.
Consta de cuatro fases
Principios de Auditoría Informática
60
- Planificación del proyecto de Riesgos
- Análisis de Riesgos
- Gestión de Riesgos
- Selección de salvaguardas.
Auditoría Informática
Para realizar una auditoría informática se debe realizar la planeación de cómo se va a
ejecutar la auditoría, donde se debe identificar de forma clara las razones por las que se
va a realizar la auditoría, periodo del cual se va a realizar la auditoría, la determinación
del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para
llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución,
terminando con la elaboración de la documentación de los planes, programas y
presupuestos para llevarla a cabo.
Identificar el origen de la auditoría: Este es el primer paso para iniciar la planeación de la
auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar
una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o
¿para qué? Se quiere hacer la evaluación de algún aspecto de las TI de la organización.
Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la
auditoría y consiste en realizar una visita preliminar al área de informática que será
auditada, luego de conocer el origen de la petición de realizar la auditoría y antes de
iniciarla formalmente; el propósito es el de tener un primer contacto con el personal
asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los
servidores y equipos terminales en el centro de cómputo, sus características, las medidas
de seguridad y otros aspectos sobre que problemáticas que se presentan en el área
auditada.
Aquí se deben tener en cuenta aspectos tales como:
- La visita inicial para el arranque de la auditoría cuya finalidad es saber ¿Cómo se
encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo
son los servidores y terminales que existen en el área?, ¿Qué características generales
de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas
existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son
las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan
Principios de Auditoría Informática
61
para realizar la auditoría?. ¿Qué políticas se encuentran implementadas para el
desarrollo de las actividades dentro de TI (Administración de Infraestructura, Gestión
de Servicios, Gestión de Proyectos, Soporte, Desarrollo de Aplicaciones, etc.)?
Con esta información el auditor podrá diseñar las medidas necesarias para una
adecuada planeación de la auditoría y establecer algunas acciones concretas que le
ayuden al desarrollo de la evaluación.
Establecer los Objetivos de la Auditoría: Los objetivos de la planeación de la auditoría
son:
- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo
de la auditoría informática, en él se plantean todos los aspectos que se pretende
evaluar.
- Los objetivos específicos que son los fines individuales que se pretenden para el logro
del objetivo general, donde se señala específicamente los sistemas, componentes o
elementos concretos de las TI que serán evaluados.
Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la
auditoría se debe relacionar los aspectos que serán evaluados, y para esto se debe
considerar aspectos específicos del área informática y de las TI en general tales como: la
gestión administrativa del área informática, el cumplimiento de las funciones del personal
informático y usuarios de los sistemas, el desarrollo de sistemas, la operación de los
sistemas en producción, los programas de capacitación para el personal del área y usuarios
de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las
mismas, protección de los respaldos de información y seguridad de la información y la
restauración de la información, entre otros aspectos.
Elaborar Planes, programas y Presupuestos para Realizar la auditoría: Para realizar la
planeación formal de la auditoría informática, en la cual se concretan los planes,
programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales
para el desarrollo de la auditoría, donde se delimiten las etapas, eventos y actividades y
los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con
los costos de los recursos que se utilizarán para llevarla a cabo.
Algunos de los aspectos para tener en cuenta son: Las actividades que se van a realizar,
los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos
Principios de Auditoría Informática
62
que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que
serán utilizados; los tiempos estimados para las actividades y para la auditoría; los
auditores responsables y participantes de las actividades; Otras especificaciones del
programa de auditoría.
Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos
necesarios para la Auditoría: En esta fase se debe determinar la documentación y medios
necesarios para llevar a cabo la revisión y evaluación en la organización, seleccionando
o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de
acuerdo con los planes, presupuestos y programas establecidos anteriormente para la
auditoría.
Para ello se debe considerar los siguientes puntos: establecer la guía de ponderación de
cada uno de los puntos que se debe evaluar; elaborar una guía de la auditoría; elaborar el
documento formal de la guía de auditoría; determinar las herramientas, métodos y
procedimientos para la auditoría de sistemas; diseñar los sistemas, programas y métodos
de pruebas para la auditoría.
Asignar los Recursos para la auditoría: Finalmente se debe asignar los recursos que serán
utilizados para realizar la auditoría. Con la asignación de recursos humanos, informáticos,
tecnológicos y de cualquier otro tipo se llevará a cabo la auditoría.
Diferencias entre Control Interno Informático y Auditoría Informática
Control Informático Interno Auditoría Informática
Frecuencia Cada día En un periodo determinado
Informa Unidad, dirección, área de
Tecnología de la Información y
Comunicaciones
Dirección general de la
organización
Personal Interno, que desarrolla sus
actividades en la unidad de
Tecnología de la Información y
Comunicaciones
Participa personal interno y externo
Alcance Sus funciones se las realiza
exclusivamente en su unidad
Cubre todos los componentes de un
sistema de información que está
funcionando en la organización
Tabla 16 Diferencias Control informático interno con Auditoría Informática
Principios de Auditoría Informática
63
CAPÍTULO II – MARCOS DE REFERENCIA DE TECNOLOGÍAS DE
INFORMACIÓN Y COMUNICACIONES
Conceptos básicos de COBIT 5
Fundamentos COBIT 5
Introducción
En la actualidad cada organización tiene sus propias características, es decir, de acuerdo
con su naturaleza tienen diferentes tipos de clientes, tecnología, recurso humano,
modelos de gestión, estructura organizacional y la forma de interactuar con terceros ya
sean estos proveedores o clientes. La Planificación Estratégica de cada organización
depende de los objetivos y necesidades que deben cubrir, por tanto, no son iguales.
Con la automatización de los procesos que se desarrollan en la organización y dado el
avance y uso intenso de las TI, se puede establecer que estas desempeñan un papel
importante en el manejo de la información, considerando que la información les sirve
para realizar negocios, tomar decisiones. Las organizaciones manejan la información
desde su creación, luego su administración en donde pueden actualizar la misma y al final
incluso puede eliminarla. Las TI se encuentran inmersas en diferentes ámbitos como son
el social, cultural, deportivo y corporativo, dado que se encuentran en constante
evolución.
Figura 35 ¿Qué es COBIT? – Fuente: Los Autores
Principios de Auditoría Informática
64
En las diferentes organizaciones con el transcurso de los años han incorporado TI que les
permita mejorar los procesos de negocio y la relación que mantienen con clientes,
proveedores y entidades de regulación, en este sentido se puede establecer que existen
organizaciones que han llegado a un proceso de madurez alto, otras se encuentran en un
nivel intermedio y otras se encuentran iniciando la implementación de procesos TI.
Las TI son un sistema que abarca diferentes conceptos, pero los más relevantes se refieren
a los técnicos y la gestión del recurso humano que se lo debe considerar como el más
importante, después de la información, considerando que gracias al recurso humano se
logra implantar los procesos que se encuentran en la Cadena de Valor de la organización,
mediante las TI.
Para Rezende (2008), las TI representan un recurso tecnológico que les permite preservar,
gestionar el uso de la información y del conocimiento, por medio de sistemas,
aplicaciones, telecomunicaciones, gestión de datos e información, desde este punto de
vista se puede considerar a la información como un activo esencial para que las
organizaciones puedan tener una ventaja estratégica.
El ITGI - IT Governance Institute (2003), describe a las TI como un conjunto de procesos,
los mismos que dependen de la interacción entre personas, tecnología y la estructura
organizacional, esto nos lleva a tener que las TI y la organización están compuestos por
los siguientes factores Personas, Procesos y TI.
Figura 36 Factores de las TI – Elaborado: Los Autores
Desde el punto de vista de la organización la gestión de TI, se la puede considerar fácil,
pero en la realidad no es así, considerando que el manejo de TI en la organización se ha
convertido en un factor crítico de éxito, el mismo que permite generar valor y beneficios
para la organización.
Principios de Auditoría Informática
65
Para garantizar una gestión eficiente de los recursos de TI representa un desafío para las
organizaciones innovadoras, pues esta actividad abarca aspectos complejos de naturaleza
técnica y humana que necesitan interactuar para obtener sinergia entre las áreas de
negocio y de TI de las organizaciones. El área de TI tiene un impacto alto dado que debe
proveer, mantener y gestionar los recursos de TI de forma eficiente, eficaz, segura y
disponible para todos los interesados en las actividades de negocio de la organización.
Considerado el escenario en el que se devuelven las organizaciones en la actualidad, se
necesita que las organizaciones tengan personas capacitadas para liderar y gobernar un
ambiente complejo, de manera que se usen marcos de referencia adecuados para la gestión
y el gobierno de TI.
Al hablar de marcos de referencia que se relacionan con los factores que influyen en la
gestión de TI, se puede sintetizar en la siguiente figura:
Figura 37 Estándares para la Gestión de TI - Fuente: http://www.iedge.eu
Principios de Auditoría Informática
66
Autoevaluación
Una vez que se ha establecido como las TI influyen en las organizaciones, se puede
establecer el siguiente cuestionamiento ¿Cuál de los factores Procesos, Personas y TI es
el más importante para el éxito en la gestión de la Tecnología de Información en la
organización?
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Indique al menos dos buenas prácticas de gestión TI que se han implementado en la
organización, en cada uno de los factores, procesos, personas y TI
Procesos
______________________________________________________________________
______________________________________________________________________
Personas
______________________________________________________________________
______________________________________________________________________
TI
______________________________________________________________________
______________________________________________________________________
¿Qué es el Gobierno de TI?
En el área de TI la función principal es atender las necesidades que el negocio requiera
para lograr alcanzar las estrategias de acuerdo a las leyes, normas, reglamentos, políticas
tantos internos como externos, las estrategias y los requisitos legales varían de acuerdo a
la naturaleza de las organizaciones, con este antecedente nace el término “Gobierno de
TI”, el mismo que en la actualidad es muy discutido en las organizaciones dado que
existen pocos directivos que ven a la TI como un área asesora que ayuda a cumplir con
los objetivos y estrategias institucionales.
Principios de Auditoría Informática
67
Fernandes y Abreu (2008), señalan que el principal objetivo del Gobierno de TI es alinear
a las TI con los requisitos de la organización, estableciendo como principal plataforma la
continuidad del negocio, la atención a las estrategias, normativas tanto internas como
externas.
Desde el punto de vista Weill y Ross (2004), establecen el Gobierno de TI como los
derechos de decisión y el marco de rendición de cuentas para alentar una conducta
deseable en el uso de TI.
El Gobierno de TI es de responsabilidad de las más altas esferas que lideran una
organización, en las estructuras organizacionales y en los procesos para organizar que las
TI de la organización apoyen y entiendan las estrategias de la organización (ITGI, 2007).
Objetivos del Gobierno de TI
- Posicionar a TI con las demás áreas de negocio
- Entender las estrategias de negocio y convertirlos en planes para sistemas,
aplicaciones, procesos e infraestructura
- Alinear las iniciativas de TI con las estrategias de negocio
- Priorizar lo que se ha planificado, siempre tomando en cuenta las necesidades y
prioridades del negocio, sin dejar de lado las restricciones financieras y de recursos
humanos.
- Alinear los recursos de TI con las necesidades de la organización
- Planificar y priorizar la implantación de proyectos y servicios de acuerdo con las
necesidades del negocio ya sea a corto, mediano o largo plazo
- Proveer de servicios de TI de acuerdo con las necesidades de la organización
- Ejecutar proyectos de acuerdo con los procesos operacionales que se encuentren
definidos con los recursos apropiados.
- Gestionar los riegos y la continuidad del negocio
- Mantener procesos para la Gestión de la Seguridad de la Información, mitigación de
riesgos y continuidad operacional del negocio
- Asumir la responsabilidad sobre las decisiones y acciones relacionadas a TI
- Identificar las responsabilidades sobre la toma de decisiones y necesidades de
inversión en recursos de TI
Para tener Gobierno de TI se debe cumplir con el Plan Director, el mismo que debe
contener lo siguiente:
Principios de Auditoría Informática
68
1. Plan de Gestión de Riegos
2. Plan de Seguridad de la Información
3. Plan de Recuperación de Desastres
4. Plan Operativo Anual de TI
El Plan Director de TI (PD) se lo realiza una vez que se ha definido el Plan Estratégico
de Tecnologías de la Información (PETI), el mismo que debe estar acorde con el Plan
Estratégico Institucional (PEI).
Ejercicios de autoevaluación
De acuerdo con su criterio indique que entiende como “Gobierno de TI”
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Cite tres Objetivos de Gobierno TI que se han definido en la organización que usted labora
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Las áreas de enfoque del Gobierno de TI se pueden agrupar en cinco áreas que son:
- Alineamiento estratégico
- Entrega de valor
- Administración de riesgos
- Administración de recursos
- Medición del desempeño
Alineamiento
estratégico
Se enfoca en asegurar el enlace de los planes del negocio
y de TI; en definir, mantener y validar la proposición de
valor de TI y en alinear las operaciones de TI con las
operaciones de la organización. La pregunta clave es si la
inversión de una organización de TI está en armonía con
sus objetivos estratégicos
Entrega de valor Se refiere a ejecutar la proposición de valor a través de
todo el ciclo de entrega, asegurando que TI entrega los
Principios de Auditoría Informática
69
beneficios acordados alineados con la estrategia,
concentrándose en la optimización de costos, y
demostrando el valor intrínseco de TI, es decir, se entrega
a tiempo y dentro del presupuesto
Administración de
riesgos
Se cumplir con lo siguiente:
- Conciencia de riesgo por parte de los directivos
de la organización
- Un claro entendimiento del apetito de riesgo de la
organización
- Un entendimiento de los requerimientos de
cumplimiento
- Transparencia sobre los riesgos significativos de
la organización
- Implementar las responsabilidades de la
administración de riesgos dentro de la
organización
Administración de
recursos
Se refiere a la inversión óptima y a la adecuada
administración de los recursos críticos de TI tales como:
aplicaciones, información, infraestructura, datos
Medición del
desempeño
Da seguimiento y supervisa la estrategia de
implementación, la finalización de proyectos, el
desempeño de procesos y la entrega de servicio. Si no hay
forma de medir y evaluar las actividades de TI, no es
posible gobernarlas ni asegurar el alineamiento, la
entrega de valor, la administración de riesgos y el uso
efectivo de los recursos. Tabla 17 Áreas de Enfoque de Gobierno TI – Fuente: ITGI
Componentes de Gobierno TI
Según Weill y Ross (2004), el gobierno de TI abarca varios mecanismos y componentes,
que lógicamente integrados, permiten el desdoblamiento de la estrategia de TI (Plan
Estratégico de Tecnologías de Información) para el soporte y operación de los productos
y servicios utilizando recursos de TI (Plan Operativo Anual de TI), se va analizar los
principales componentes y mecanismos que se deben aplicar a TI para que se pueda
proveer un Gobierno de TI de manera eficaz y eficiente.
Alineación estratégica de TI
Busca la integración y adecuación de la TI en relación con las necesidades actuales y
futuras de la organización, en términos de arquitectura, infraestructura, aplicaciones,
Principios de Auditoría Informática
70
procesos y estructura organizacional, considerando que TI existe para cumplir los
requerimientos de la organización.
Principios de TI
Representan las reglas, normas, políticas que se encuentran definidas por la
administración de la organización, las cuales deben ser ejecutadas por todos los miembros
de la organización.
Además, que aportan en forma significativa en:
- Proceso de Toma de Decisiones
- Arquitectura de TI
- Infraestructura de TI
- Adquisición y Desarrollo de aplicaciones
- Gestión de activos de TI
- Formulación de Políticas de TI
Aplicaciones de TI
Son las soluciones de negocio que provienen de los sistemas de información (SI) y la
disponibilidad de servicios de TI desarrollados, adquiridos y mantenidos por la
organización para atender las necesidades estratégicas, operacionales y de continuidad
del negocio.
La estrategia que defina la organización sobre las aplicaciones de TI definirá cuales se
deberán desarrollar, mantener, mejorar, implantar, sustituir, de acuerdo con las
necesidades de la organización.
Infraestructura de TI
Se relaciona con la capacidad técnica y humana de TI disponible en la organización,
incluyendo servicios compartidos, confiables y usados en diferentes aplicaciones.
Además, se define los servicios de TI requeridos por la organización para la gestión de
datos, comunicaciones, gestión de activos de TI, disponibilidad, seguridad de la
información, normas para las interfaces y recursos tecnológicos necesarios que permitan
conseguir la estrategia de la organización, también se puede usar la infraestructura de TI
para permitir la conexión entre socios y proveedores de TI para la organización.
Principios de Auditoría Informática
71
Responsabilidades de TI
Se refiere a la capacidad en recursos humanos que se debe tener para cubrir las
necesidades de atención de servicios de TI.
Outsourcing de Servicios TI
Comprende la definición del alcance de los servicios para tercerizar y las alternativas de
asociarse con algún proveedor de servicios, se debe tener en cuenta que hay que definir
la gestión del desempeño de los proveedores y prestadores de servicios, de acuerdo con
los servicios que va a ejecutar.
Seguridad de la Información
Se debe establecer políticas, normas, procedimientos referentes a la seguridad de las
aplicaciones, infraestructura, datos, información, personas, socios, proveedores de la
organización.
Capacitación de Recurso Humano
Se relaciona con las competencias, habilidades y actitudes requeridas y necesarias para
implantar las iniciativas y soluciones de TI que estén basadas en las necesidades de la
organización, además que se debe considerar las actividades, tareas, subprocesos,
procesos y servicios de TI ejecutados por la organización.
Organización de los procesos de TI
Se refiere a la manera de como los servicios y productos de TI son desarrollados,
administrados y entregados a los clientes internos y externos, además se debe definir las
responsabilidades de roles, procesos de acuerdo con las necesidades de la organización.
Inversiones y costos de TI
Se refieren a los aspectos financieros involucrados en la administración y soporte de la
organización tales como aplicaciones, infraestructura y personas. Se debe identificar,
analizar, monitorear y controlar los costos de TI de tal manera que se pueda garantizar un
retorno de la inversión.
Principios de Auditoría Informática
72
Relación con clientes internos y externos
Se trata de la interacción de los usuarios internos y externos con el área de TI, los mismos
que abarca los procesos que deben definir los responsables de la solicitud de servicios,
procedimientos operacionales, indicadores de evaluación, canales de comunicación,
capacitación y entrenamiento a los usuarios sobre el uso de todos los servicios
tecnológicos y desarrollo de proyectos.
Rendimiento de TI
La administración debe definir indicadores que le permitan medir el rendimiento del área
de TI con el cumplimiento de metas, según las estrategias y necesidades de negocio de la
organización.
Así los indicadores guiarán a la administración de TI a atender metas de rendimiento que
sean compatibles con los objetivos de la organización definidos para la prestación de
servicios de TI.
Se definen los niveles de servicio entre el área de TI y las áreas de la organización, los
mismos se denominan SLA (Service Level Agreement) Acuerdos de Nivel de Servicios,
además se definen niveles de servicio entre las unidades internas del área de TI que se
denominan OLA (Operational Level Agreement) Acuerdos de Nivel Operacionales,
permitiendo englobar todo el ciclo de actividades de TI.
La gestión de rendimiento de TI se refiere al monitoreo de los objetivos de desempeño de
las operaciones de servicios en términos de desarrollo de aplicaciones, soporte a servicios,
entrega de servicios, seguridad de la información y monitoreo de acuerdos firmados.
Autoevaluación
Responda las siguientes preguntas, recuerde que se debe considerar el entorno de la
organización en la que trabaja.
Indique tres buenas prácticas o estándares adoptados en la organización para cada uno de
los componentes de gobierno de TI listados a continuación:
Rendimiento de TI
Principios de Auditoría Informática
73
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Responsabilidades de TI
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Infraestructura de TI
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Aplicaciones de TI
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Seguridad de la Información
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Rendimiento de TI
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
Infraestructura de TI
______________________________________________________________________
______________________________________________________________________
Principios de Auditoría Informática
74
______________________________________________________________________
______________________________________________________________________
Principales marcos de referencia de Gobierno de TI
El Gobierno de TI comparte las decisiones de TI con los principales actores de la
organización y el establecimiento de políticas, normas, reglas y procedimientos para el
uso eficiente y eficaz de las TI por parte de todos los interesados (clientes, funcionarios,
proveedores, áreas de negocio, gobierno) en las actividades de la organización de tal
manera que se determine como se deberá proveer los servicios TI.
A continuación, se presenta un resumen se los principales marcos de referencia
relacionados con el Gobierno de TI.
Marco de Referencia Alcance
COBIT 5
Modelo para el Gobierno corporativa de
TI desarrollado a partir de cinco principios
y basado en siete habilitadores
TOGAF: The Open Group
Architecture Forum
Modelo de Arquitectura corporativo que
aborda de forma global, el diseño,
planificación, implementación y gobierno
desde la tecnología, dato, aplicación y
negocio.
COSO: Comitee of Sponsoring
Organizations of the Tradeway
Comission
Es una estructura de gestión de riesgos
corporativos capaz de ofrecer los
principios y conceptos fundamentales
utilizando un lenguaje común, y está
compuesto por ocho componentes
interrelacionados
ITIL: Information Technology
Infrastructure Library
Modelo aplicado a la infraestructura de TI,
comprende desde la estrategia, el diseño,
la transición, la operación y la mejora
continua de los servicios de TI
PMBOK: Project Management Body
of Knowledge
Modelo aplicado a la gestión de proyectos,
el mismo que mide el alcance, costo y
Principios de Auditoría Informática
75
tiempo de un proyecto, para ejecutarlo de
la mejor manera.
BSC: Balanced Score Card Modelo de Planificación y gestión de
desempeño de la estrategia organizacional
VAL IT
Modelo de Gobierno TI que se encuentra
basado en COBIT 4.1 que se apoya en los
procesos de soporte que están
relacionados con la evaluación y selección
de inversiones de negocios viables de TI.
Tabla 18 Marcos de Referencia Gobierno de TI – Elaborado por los Autores
Investigue acerca de los siguientes marcos de referencia que se pueden usar en el
Gobierno de TI:
- ISO 31000:2009
- CMMI
- ISO 20000
- ISO 22301
- ISO 27000
- ISO 27001
- ISO 38500
- ISO 17799
- eSCM – CP
- PRINCE
- Six Sigma
- SAS 70
- RISK IT
A continuación, se mencionan las principales normas que se usan en el Gobierno de TI
se debe tener en cuenta que cada marco de referencia tiene un propósito, alcance y
objetivos definidos, y en base a los cuales las organizaciones y en especial los directivos
de TI se deben basar para establecer las estrategias necesarias que les permita estar
alineados con los objetivos institucionales:
- CMMI
- ITIL
Principios de Auditoría Informática
76
- COSO
- ISO 38500
- ISO 27001
- PMBOK
- COBIT
- BSC
De la lista que se indica a continuación relacione o empareje los marcos de referencia con
la finalidad que tiene cada uno,
1. Continuidad de Negocios a. COSO
2. Planificación del Desempeño b. TOGAF
3. Gestión de Riesgos c. ITIL
4. Gestión de Servicios TI d. BSC
5. Gestión de Proyectos e. COBIT 5
6. Gobierno Corporativo de TI f. PRINCE
7. Arquitectura Empresarial g. ISO 22301
8. Ambiente de Control h. ISO 31000
Introducción a COBIT 5
COBIT 5, publicado por ISACA el 9 de abril de 2012, es la evolución de la familia
COBIT, apoyado en más de 15 años de experiencia, es el resultado del trabajo de expertos
de los cinco continentes, además de contar con la retroalimentación de miembros de
ISACA.
Principios de Auditoría Informática
77
Figura 38 Evolución COBIT -Fuente www.isaca.org/cobit
COBIT está estructurado en: Resumen Ejecutivo, ocho capítulos y 8 apéndices.
Figura 39 Estructura COBIT 5 – Fuente: Los Autores
Familia de productos de COBIT 5
La publicación COBIT 5 contiene el marco de referencia COBIT 5 para el gobierno y la
gestión de las TI en la organización. La publicación es parte de la familia de productos
de COBIT 5, como se muestra en la siguiente figura:
Principios de Auditoría Informática
78
Figura 40 Familia de Productos COBIT 5 - Fuente COBIT® 5, © 2012 ISACA® Todos los Derechos Reservados.
COBIT 5
Se construye sobre los cinco principios básicos, los mismos que quedan cubiertos en
detalle e incluyen la guía sobre los habilitadores para el gobierno y la gestión de las TI en
la organización.
Guías Habilitadoras de COBIT 5
Es un conjunto de guías de los procesos habilitadores, las mismas comprenden las
publicaciones COBIT 5 Procesos Habilitadores, Información Habilitadora (en desarrollo)
y Otras Guías Habilitadoras (Revisar www.isaca.org/cobit).
Guías Profesionales de Orientación de COBIT 5
Se trata de un conjunto de guías profesionales que incluyen:
• Implementación de COBIT 5
• COBIT 5 para la Seguridad de la Información (en desarrollo)
• COBIT 5 para el Aseguramiento (en desarrollo)
• COBIT 5 para Riesgos (en desarrollo)
• Otras guías profesionales (Revisar www.isaca.org/cobit)
Ambiente Colaborativo en Línea
Se encuentra disponible para dar soporte al uso de COBIT 5.
Principios de Auditoría Informática
79
En resumen, la familia de COBIT 5 tiene como objetivos:
• Unificar las publicaciones COBIT 4.1, Val IT 2.0, Risk IT y BMIS en una sola
publicación
• Desarrollar las áreas de TI que necesitan de contenidos actualizados
• Alinear con otros marcos de referencia
• Definir el conjunto de habilitadores de gobierno y gestión a partir de la estructura
básica
• Ofrecer una sólida base de referencia de buenas prácticas en TI
Buscando el Gobierno Corporativo de TI
En las organizaciones las TI representan un recurso indispensable, además que se ha
convertido en un factor diferencial para cumplir los objetivos y estrategias institucionales,
por tanto, el Gobierno y la Gestión de TI son elementos esenciales para que las
organizaciones sean exitosas en los negocios.
En al ámbito organizacional los procesos de negocio tienen una vinculación sumamente
fuerte con las TI. Los directores, jefes de TI tienen un rol fundamental en el apoyo para
que los negocios tengan éxito, considerando que las áreas de negocio y TI deben actuar
en conjunto, con esto se da inicio a incluir a las TI en el contexto del Gobierno
Corporativo y de la Gestión Estratégica de las organizaciones.
La integración del Gobierno de TI al Gobierno Corporativa de la organización conduce
al concepto de Gobierno Corporativo de TI.
Los 5 Principios de COBIT 5
En este apartado se citan los cinco principios de COBIT 5 que se usan para el Gobierno
y la Gestión de TI en las organizaciones, además de analizar la influencia que dichos
principios en el Gobierno y la Gestión de TI, y poder establecer lineamientos para su
aplicación.
Un principio se lo puede definir como una ley o norma que se debe cumplir con cierto
propósito.
Principios de Auditoría Informática
80
Figura 41 Principios COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Principio 1: Satisfacer las necesidades de las partes interesadas
Las partes interesadas (clientes externos, internos, funcionarios, proveedores accionistas,
etc.), son la razón de ser de las organizaciones, dado que las mismas existen por un
determinado objetivo, y de esa manera se debe crear valor para las partes interesadas, por
tanto, en la organización se debe mostrar un equilibrio en la realización de beneficios,
optimización de riesgos y de recursos, sin tomar en cuenta el origen, tamaño, finalidad.
El ambiente de TI debe estar adecuado a las estrategias y necesidades de la organización,
considerando que todas las organizaciones son únicas.
El alineamiento entre el negocio y TI es elemental para lograr los objetivos estratégicos
de la organización.
En el ámbito de COBIT 5, el Gobierno tiene por objetivo crear valor, a partir de las
necesidades de los interesados, pero optimizando el riesgo y los recursos, como se puede
ver en la siguiente figura:
Principios de Auditoría Informática
81
Necesidades de las partes interesadas
Con la implementación de COBIT 5, la organización debe identificar cuáles son las
necesidades de las partes interesadas, dichas necesidades se pueden relacionar a aspectos
sociales, económicos, financieros, tecnológicos, ambientes, etc., las mismas que se
convertirán en los objetivos estratégicos que debe cumplir la organización, de tal manera
que se puede identificar cuáles serán los objetivos de TI que permitirán lograr dichos
objetivos. La creación de valor para la organización se consigue con un equilibrio entre
la realización de beneficios, la optimización de riesgos y la optimización de recursos.
Realización de Beneficios
Los beneficios para la organización se relacionan a aspectos económicos, financieros,
sociales, tecnológicos, entre otros; el conseguir lo beneficios se encuentra relacionado de
manera directa con la misión de la organización, es decir, con su razón de ser.
Optimización de riesgos
Optimizar el riesgo implica el reconocimiento, evaluar el impacto, la probabilidad de
ocurrencia, la definición de estrategias para minimizar el riesgo que permita minimizar el
impacto, transferirlo, de tal manera que se pueda administrar los riesgos.
Figura 42 Objetivos de Gobierno COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Principios de Auditoría Informática
82
Optimización de recursos
Al hablar de recursos se hace referencia a las personas, los procesos, y la tecnología, que
permitirán a la organización cumplir con los objetivos estratégicos, por tanto, se debe
considerar que la optimización de recursos trata sobre el uso eficaz, eficiente y
responsable de los recursos humanos, financieros, tecnológicos entre otros.
Equilibrio entre beneficios, riesgos y recursos
Cada organización tiene diferentes partes interesadas, por tanto “la creación de valor”
puede tener significados diferentes y puede existir conflicto dentro del ámbito de la
organización.
Por tanto, el Gobierno Corporativo debe considerar a todas las partes interesadas al tomar
decisiones sobre la evaluación de los recursos, beneficios organizacionales y
minimización del riesgo, pues para cada decisión se puede, y se debe, hacer las siguientes
preguntas:
- ¿Quién recibe los beneficios?
- ¿Quién asume el riesgo?
- ¿Qué recursos se necesitan?
Autoevaluación
Investigue las siguientes cuestiones dentro de la organización que usted trabaja
- Identifique las partes interesadas en su organización
- Identifique las necesidades que tienen las partes interesadas
- Identifique cuales son conflictos entre las partes interesadas, es positivo
- Existen normas o procedimientos para resolver los conflictos
- Desde su perspectiva, TI atiende de manera efectiva las necesidades de las
partes interesadas
- ¿Cómo debe actuar TI para crear valor a los objetivos de la organización de
tal manera que atienda las necesidades de las partes interesadas?
Lo expuesto se resume en la siguiente figura:
Principios de Auditoría Informática
83
Figura 43 Resumen Principio 1 – Fuente: Los Autores
Principio 2: Cubrir la organización de forma integral
COBIT 5 se concentra en el gobierno y la gestión de TI las mismas que deben ser
consideradas desde una perspectiva integral a nivel de toda la organización, por tanto, el
Gobierno abarca las áreas operativas, tácticas y estratégicas en la organización, así
también debe considerar a las personas responsables de las actividades.
Esto significa que COBIT 5:
- Integra el gobierno corporativo de TI en el gobierno corporativo, o sea, el
sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra,
de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT
5 está alineado a los últimos desarrollos en gobierno corporativo.
- Cubre todas las funciones y los procesos dentro de la organización; COBIT 5
no solamente se concentra en la “Función de la TI”, sino trata la tecnología de
la información y relacionadas como activos que necesitan ser manejados como
cualquier otro activo, por todos en la Organización.
Con estos principios, se puede observar que COBIT 5 engloba a todos los procesos de
negocio y servicios que son soportados por TI, ya sean internos o externos a la
organización.
Considerando el Principio 1 en donde se establece que para crear valor para las partes
interesadas debe existir un equilibrio entre la obtención de beneficios, optimización de
recursos y riesgos, al cubrir la organización de manera integral (extremo a extremo / punta
a punta) se debe considerar que COBIT provee 7 Habilitadores de Gobierno, los cuales
Principios de Auditoría Informática
84
que deben estar alineados a la creación de valor, además se debe considerar el alcance
que debe tener el Gobierno Corporativo.
Tanto los habilitadores como el alcance de gobierno están relacionados con los roles,
actividades y relaciones que deben tener para cumplir la “Creación de Valor”.
COBIT engloba todos los procesos de negocio y servicios que son soportados por TI, ya
sean estos internos o externos.
Figura 44 Componentes del Sistema de Gobierno, © 2012 ISACA® Todos los derechos reservados
En la figura anterior se ha plasmado el enfoque de gobierno de cubrir la organización de
forma integral, es decir, de punta a punta, extremo a extremo.
Habilitadores de Gobierno
COBIT define siete habilitadores para que se logre un eficiente sistema de gobierno, los
mismos son:
1. Principios, políticas y marcos de referencia
2. Procesos
3. Estructuras organizacionales
4. Cultura, ética y comportamiento
5. Información
6. Servicios, Infraestructura y aplicaciones
7. Personas, Habilidades y Competencias
Principios de Auditoría Informática
85
Mediante estos habilitadores se logrará alcanzar los objetivos institucionales, es necesario
resaltar que la falta de personal, políticas puede afectar en la capacidad de la organización
para crear valor.
Alcance de Gobierno
Abarca a toda la organización, área de negocios, activos tangibles e intangibles, además
se puede indicar que el alcance se encuentra relacionado con la gestión de proyectos,
evaluación de riesgos, seguridad de la información, desarrollo de sistemas,
mantenimiento de infraestructura, entre otros, es por eso por lo que en cada organización
se debe definir el alcance que se va a dar al gobierno.
Roles, actividades y relaciones
En este sistema se identifica los elementos principales a ser adoptados en una estructura
organizacional, en la siguiente figura se puede observar el flujo y las interacciones que
se presentan entre las diferentes funciones de la organización.
Figura 45 Roles, actividades y relaciones © 2012 ISACA® Todos los derechos reservados
En la figura anterior se definen los actores, relaciones e interacciones que se dan a cabo
en el alcance de un sistema de gobierno, además se puede observar las actividades
organizacionales relacionadas al gobierno y gestión.
Autoevaluación
Resuelva las siguientes preguntas
- Indique los tres componentes principales del gobierno de extremo a extremo
propuesto por COBIT 5
Responda las siguientes preguntas considerando el entorno de la organización en
donde usted labora
Principios de Auditoría Informática
86
- De los siete habilitadores de gobierno, identifique los tres menos desarrollados
de tal manera que la gerencia le preste mayor atención para que se pueda
mejorar la efectividad del gobierno.
- ¿Cuál es el alcance del gobierno?, Qué criterios se consideraron para la
definición del alcance del gobierno?
- Basado en la figura de roles, actividades y relaciones y considerando la
estructura organizacional de TI, identifique las principales funciones y
actividades con el gobierno (responsables, directiva, administración,
operaciones y ejecución, aquí se debe identificar personas y funciones que
aporten al sistema de gobierno)
Principio 3: Aplicar un Marco de Referencia Único Integrado
Al revisar los principales marcos de referencia de TI, que se trataron anteriormente
podemos indicar que existen diversas normas ISO, buenas prácticas de TI, calidad,
organización, entre otros. Cada estructura está compuesta por orientaciones específicas
para un subconjunto de actividades de TI dependiendo del alcance que tenga el modelo o
marco de referencia usado., por tanto, el tercer principio actúa como una estructura
unificada integrada de alto nivel para el gobierno y la gestión de TI, de tal manera que se
factible la alineación con normas, modelo, marcos de referencia de buenas prácticas de
TI.
COBIT 5 se le puede considerar una estructura única e integrada en un lenguaje común y
no técnico y agnóstico – tecnológico de acuerdo con:
- Se basa en una arquitectura simple
- Se alinea con otras normas y con esto la organización se ogra que se integre
la estructura de gobierno y gestión
- Es completo, ya que cubre toda la organización, dado que se puede integrar
con otras estructuras, normas y prácticas usadas
La siguiente figura muestra como COBIT 5 es usado como una estructura integrada para
ser considerada un modelo único para el sistema de gobierno de las organizaciones.
Principios de Auditoría Informática
87
Figura 46 Marco de referencia integrado único de COBIT 5 © 2012 ISACA® Todos los derechos reservados
Se puede observar como la “Base de Conocimiento COBIT 5” es un modelo y estructura
central de orientación de las buenas prácticas aplicadas a TI, que es soportada por Guías
de ISACA, nuevos materiales, otros estándares y marcos además de los habilitadores o
catalizadores.
Autoevaluación
Indique porque a COBIT 5 se le puede considerar una estructura única e integrada
que permita regular el sistema de gobierno de las organizaciones.
Principio 4: Hacer Posible un Enfoque Holístico
Para que el gobierno y la gestión de las organizaciones puedan ser eficientes y eficaces
se requiere un enfoque sistemático que considere diferentes componentes enlazados, para
lograr que las propiedades de un sistema se pueden integrar de forma total COBIT 5 hace
Principios de Auditoría Informática
88
uso de los habilitadores o catalizadores, en este caso influye de forma individual o
colectiva en el gobierno y la gestión de la organización. En este sentido COBIT 5 define
siete categorías de habilitadores como se puede ver en la siguiente figura:
Figura 47 Habilitadores Corporativos COBIT 5 © 2012 ISACA® Todos los derechos reservados
Principios, políticas y marcos de referencia son instrumentos que permiten traducir el
comportamiento deseado en metas prácticas para la gestión diaria.
Procesos representa un de prácticas y actividades para alcanzar determinados objetivos
de tal manera que permitan producir un conjunto de resultados que ayuden a las metas
generales relacionadas con TI.
Estructuras organizativas entidades de toma de decisiones clave en una organización.
Cultura, ética y comportamiento un factor de éxito en las actividades de gobierno y
gestión relacionada a las personas de la organización, pero en muchas ocasiones este
aspecto es subestimado por la administración.
Información impregna toda la organización e incluye toda la información producida y
utilizada por la organización.
Mediante la información se mantiene la organización funcionando y bien gobernada, pero
a nivel operativo, la información es muy a menudo el producto clave de la organización
en sí misma.
Principios de Auditoría Informática
89
Servicios, infraestructuras y aplicaciones se refiere a la infraestructura, tecnología y
aplicaciones que proporcionan a la organización, servicios y tecnologías de
procesamiento de la información.
Personas, habilidades y competencias están relacionadas con las personas necesarias
para el éxito en la realización de todas las actividades de la organización y para la correcta
toma de decisiones.
En la práctica los siete habilitadores de COBIT 5, permiten cumplir con el enfoque
holístico, considerando que los mismos están presentes en todos los niveles y actividades
de las organizaciones de acuerdo con lo establecido en el Principio 2 Cubrir la
organización de forma integral.
Toda organización debe considerar un conjunto interconectado de habilitadores, es decir,
cada habilitador necesita de los otros para ser efectivo, dado que los procesos necesitan
información, las estructuras organizativas necesitan habilidades, y comportamiento.
Por tanto, cuando se trata con el gobierno y la gestión de la organización TI, se pueden
tomar buenas decisiones solo cuando se toma en consideración esta naturaleza sistémica
del gobierno y de la gestión.
Ejemplo: La necesidad de seguridad de la información requiere de la creación y puesta
en marcha de varias políticas y procedimientos, las políticas, necesitan por su parte, la
implantación de diferentes prácticas relacionadas a la seguridad. Sin embargo, si la
cultura y ética de la organización y del personal no son apropiadas, los procesos y
procedimientos de seguridad de la información no serán efectivos.
Autoevaluación
Responda las siguientes preguntas:
- Indique cuales son los siete habilitadores definidos por COBIT 5
- Considera usted que los habilitadores influyen en el éxito del sistema de
gobierno y gestión de la organización en la que labora.
Principios de Auditoría Informática
90
Principio 5: Separar el Gobierno de la Gestión
La estructura del modelo de referencia de procesos de COBIT 5 diferencia el gobierno de
la gestión, estas dos disciplinas comprenden actividades y estructuras organizacionales
diferentes dado que tienen propósitos y objetivos distintos.
El Gobierno asegura que se evalúen las necesidades, condiciones y opciones de las partes
interesadas para determinar que se alcanzan las metas corporativas equilibradas y
acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones;
y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.
ISACA. (2011).
La Gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección
establecida por el cuerpo de gobierno para alcanzar las metas empresariales. ISACA.
(2011).
COBIT 5 defiende que las organizaciones implementen procesos de gobierno y de gestión
de manera que las unidades se encuentren cubiertas de acuerdo con como se muestra en
la siguiente figura:
Figura 48 Área clave de Gobierno y Gestión 5 © 2012 ISACA® Todos los derechos reservados
Principios de Auditoría Informática
91
En la mayoría de organizaciones el Gobierno es responsabilidad de la Junta Directiva
bajo el liderazgo de su presidente, y la gestión responsabilidad de la Gerencia Ejecutiva,
bajo el liderazgo del Gerente General (CEO).
COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en inglés), que
define y describe en detalle un número de procesos de gestión y de gobierno.
La siguiente figura muestra el conjunto completo de los 37 procesos de gobierno y gestión
de COBIT 5. Los detalles de todos los procesos, del modelo habilitador específico pueden
encontrarse en la guía de COBIT 5: Procesos Habilitadores
Figura 49 Modelo de Referencia de Procesos de COBIT 5 © 2012 ISACA® Todos los derechos reservados
El área de procesos para el gobierno relaciona los cinco procesos de gobierno que
constan en los dominios: Evaluar, Orientar (Dirigir) y Monitorear. El área de procesos
para la gestión relaciona los procesos de los cuatro dominios que son:
- Alinear, Planificar y Organizar
- Construir, Adquirir e Implementar
- Entregar, dar Servicio y Soporte
Principios de Auditoría Informática
92
- Supervisar, Evaluar y Valorar
El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y prácticas
de la organización relacionadas con la TI en dos áreas principales – Gobierno y Gestión
– con la Gestión a su vez dividida en dominios de procesos:
- El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de cada
proceso se definen las prácticas para Evaluar, Dirigir y Monitorear (EDM).
- Los cuatro dominios de la GESTIÓN están alineados con las áreas de responsabilidad
de Planificar, Construir, Operar y Monitorear (PBRM por sus siglas en inglés).
Autoevaluación
Responda las siguientes preguntas:
- Defina Gobierno y Gestión en el ámbito de COBIT 5
- Indique cuales son los procesos de gobierno de TI (1), y cuales son procesos
de gestión de TI (2) en el ámbito del modelo de referencia de procesos que se
revisado en párrafos anteriores.
Garantizar la entrega de
beneficios
Gestionar la innovación
Gestionar los cambios Garantizar la optimización del
riesgo
Gestionar los activos Gestionar Portafolio
Garantizar optimización de los
recursos
Gestionar los Proveedores
Gestionar la estrategia Gestionar la transparencia
Conceptos básicos de ITIL 3
ITIL = Biblioteca de Infraestructura de Tecnologías de la Información
ITIL, se lo puede definir como el conjunto de buenas prácticas que son usadas para la
Gestión de Servicios de Tecnología de la Información, por tanto, tiene como finalidad
proporcionar guías de calidad para la prestación de servicios de TI, además de los
procesos, funciones y otras competencias necesarias para sustentarlos.
Mediante ITIL se puede lograr entregar valor a los clientes a través de los servicios, así
como también se mejora la interacción con los clientes (internos / externos), permite la
Principios de Auditoría Informática
93
optimización del servicio dado que se puede monitorear y medir el mismo, gestionar el
riesgo, el conocimiento y las competencias que se pueden presentar en los diferentes
servicios de TI que son prestados a toda la organización ya sea para uso interno y/o
externo
ITIL al ser un conjunto de buenas prácticas se la puede aplicar en cualquier organización
de cualquier índole sean estas públicas o privadas, grandes o pequeñas nacionales,
internacionales o multinacionales y con la aplicación de ITIL se puede optimizar y reducir
costos en TI y por ende en toda la organización.
Beneficios de implementar ITIL
Una implementación exitosa de ITIL en una organización le permitirá tener una gestión
de los servicios de TI adecuada y la misma le ayudará a ser eficaz y eficiente, de tal
manera que se pueden establecer los siguientes beneficios:
- Apoya en la mejora de servicios de TI
- Reduce los costos en la entrega de servicios de TI
- Mejora el desempeño de los procesos
ITIL ha ido evolucionando desde su primera versión, en la actualidad se maneja en cinco
etapas fundamentales que cubren todo el ciclo de vida de un servicio TI, los mismos que
son:
1. Estrategia del Servicio
2. Diseño del Servicio
3. Transición del Servicio
4. Operación del Servicio
5. Mejora Continua del Servicio
Principios de Auditoría Informática
94
Figura 50 Etapas COBIT 5 – Fuente OCG-ITIL V3
Estrategia del Servicio
Esta etapa tiene como principal objetivo convertir la gestión del servicio en un activo
estratégico, por ende, es la parte medular del ciclo de vida del servicio, considerando
dicha afirmación y con el afán de lograr el cumplimiento del objetivo, es necesario
establecer los servicios que se van a brindar tanto desde la perspectiva del cliente y el
mercado general en el que se desarrolla la organización.
Esta etapa permitirá que las demás etapas se ajusten a la visión y políticas del negocio
desde el punto de vista estratégico.
Los procesos asociados directamente a la etapa de Estrategia son:
- Gestión Financiera: el proceso responsable de garantizar la prestación de
servicios con costos adecuados y determinando una adecuada y correcta
relación entre el precio y la calidad
- Gestión del Portafolio de Servicios: el proceso responsable de realizar la
inversión la actualización, mantenimiento de servicios que se encuentran en
operación, así como también nuevos servicios, que permitan ofrecer a los
clientes internos y externos el máximo valor y a su vez minimizar costos y
riesgos.
- Gestión de la Demanda: es el proceso que se encarga de responsable de
modular la oferta con la demanda existente en el mercado.
Principios de Auditoría Informática
95
Diseño del Servicio
La función principal en esta etapa es la diseñar nuevos servicios o modificar los existentes
para ser incorporados en el catálogo de servicios y su posterior puesta en producción,
además debe cumplir las directrices que se establezcan en la etapa de estrategia, debe
ayudar a la misma para que los servicios diseñados cumplan lo siguiente:
- Se adecuen a las necesidades del mercado.
- Sean eficientes en costos
- Cumplan los estándares de calidad adoptados.
- Aporten valor a clientes tanto internos como externos
Los procesos de la etapa de Diseño son:
- Gestión del Catálogo de Servicios: es el proceso responsable de crear y
mantener un catálogo de servicios TI de la organización se debe incluir toda
la información importante: administradores, estado, proveedores, etc.
- Gestión de Niveles de Servicio: es el proceso responsable de ajustar y
garantizar los niveles de calidad de los servicios TI que se encuentran en
operación y los servicios que se encuentran en diseño.
- Gestión de la Capacidad: es el proceso responsable de garantizar que la
organización dispone de la capacidad suficiente en recursos tecnológicos ya
sean de hardware y software para que los servicios funcionen de manera
adecuada.
- Gestión de la Disponibilidad: es el proceso responsable de garantizar que se
cumplan los niveles de disponibilidad acordados en los niveles de servicios,
ya sean estos internos y/o externos.
- Gestión de la Continuidad de los Servicios TI: es el proceso responsable de
establecer planes de recuperación de desastres y contingencia que permitan
asegurar la continuidad de los servicios TI primordiales y del negocio en un
tiempo predeterminado con el menor impacto posible.
- Gestión de la Seguridad de la Información: es el proceso responsable de
establecer las políticas de integridad, confidencialidad y disponibilidad de la
información.
Principios de Auditoría Informática
96
- Gestión de Proveedores: es el proceso responsable de mantener la relación con
los proveedores y hacer cumplir todo lo estipulado en los contratos y/o
convenios.
Transición del Servicio
En esta etapa los servicios que fueron definidos en la etapa de diseño se deben integrar al
entorno de producción que manejan las organizaciones, y los mismos sean accesibles a
los clientes internos y/o externos autorizados.
En la epata de transición se debe cumplir lo siguientes objetivos:
- Controlar y dar soporte en todo el proceso de cambio tanto del modificado como
del nuevo servicio
- Garantizar que los nuevos servicios cumplen los requisitos y estándares de
calidad que se han definido en las etapas de estrategia y diseño
- Reducir los riesgos que se puedan presentar en el cambio de tal manera que no
afecten a los servicios que se encuentran en producción
- Mejorar la satisfacción del cliente respecto a los servicios prestados.
- Comunicar de los cambios a realizar a todos los usuarios que participan en el
cambio
En esta etapa se debe planificar todo el proceso de cambio, para ello se debe contar con
los ambientes de prueba y pre producción necesarios, establecer y cumplir el respectivo
plan de pruebas, tener definidos los planes de despliegue y retorno a la última versión
del servicio sin que esto afecte la operación normal de los servicios que se encuentran
en producción.
Los procesos de la etapa de Transición son:
- Gestión de Cambios: es el proceso responsable de controlar y la puesta en
producción de la modificación de los servicios y de los nuevos servicios de tal
manera que se cumpla con todo lo que se definió en las etapas anteriores,
Principios de Auditoría Informática
97
- Gestión de la Configuración y Activos del Servicio de TI: es el proceso
responsable del registro y gestión de los elementos de configuración y activos del
servicio. Este proceso da soporte a prácticamente todos los aspectos de la Gestión
del Servicio
- Gestión de Entregas y Despliegues: Es el proceso responsable de probar e
implementar las nuevas versiones de los servicios en los ambientes de pruebas y
pre producción según las normas definidas en la etapa de diseño con el fin de
establecer la versión final del servicio que será puesto en producción.
- Gestión del Conocimiento: es el proceso que se encarga de la gestión toda la
información relevante a la prestación de los servicios asegurando que esté
disponible para los todos los agentes implicados en su concepción, diseño,
desarrollo, implementación y operación.
- Planificación y soporte a la Transición: es el proceso responsable de planificar y
coordinar todo el proceso de transición asociado a la creación o modificación de
los servicios TI.
- Validación y pruebas: es el proceso responsable de garantizar que los servicios
cumplan los requisitos preestablecidos antes de su paso al entorno de producción.
- Evaluación del cambio: es el proceso responsable de evaluar la calidad general de
los servicios, su rentabilidad, su uso, la percepción de sus usuarios.
Operación del Servicio
Es la etapa más crítica del ciclo de vida del servicio, dado que en esta etapa es donde los
servicios se encuentran disponibles para el uso de los clientes internos y externos, además
que la calidad será evaluada por estos con el uso de dichos servicios.
Esta etapa es la que se encarga de recoger toda la información que le servirá de base a la
etapa de mejora continua del servicio de tal manera que esta etapa pueda ofrecer
soluciones y cambios para beneficios de los clientes.
Los procesos de la etapa de Operación del Servicio son:
Principios de Auditoría Informática
98
- Gestión de Eventos: es el responsable de monitorear todos los eventos que
sucedan en la infraestructura TI con el objetivo de asegurar el correcto
funcionamiento y ayudar a prever incidentes futuros.
- Gestión de Incidentes: es el responsable de registrar todos los incidentes que
afecten a la calidad del servicio y restaurarlo a los niveles acordados de calidad
en el más breve plazo posible.
- Gestión de Requerimientos: es el proceso responsable de gestionar los
requerimientos de usuarios y clientes que habitualmente requieren pequeños
cambios en la prestación del servicio.
- Gestión de Problemas: es el proceso responsable de analizar y ofrecer
soluciones a aquellos incidentes que por su frecuencia o impacto degradan la
calidad del servicio
- Gestión de Acceso a los Servicios TI: es el proceso responsable de garantizar
que sólo las personas con los permisos adecuados puedan acceder a la
información de carácter restringido.
Las funciones involucradas en la etapa de Operación del servicio son las responsables de
que los servicios cumplan los objetivos solicitados por los clientes y de gestionar toda la
tecnología necesaria para la prestación de dichos servicios:
- Centro de Servicios: responsable de todos los procesos de interacción con los
usuarios de los servicios TI.
- Gestión de Operaciones TI: responsable de la operación diaria del servicio.
- Gestión Técnica: es una unidad funcional que incluye a todos los equipos,
grupos y departamentos involucrados en la gestión y soporte de la
infraestructura TI.
- Gestión de Aplicaciones: esta unidad funcional es la responsable de la gestión
del ciclo de vida de las aplicaciones TI
Mejora Continua del Servicio
En la actualidad nos encontramos en constante cambio, por tanto, se debe ofrecer los
mejores servicios mediante procesos que se hayan optimizado y que permitan tener una
mayor satisfacción del cliente.
Principios de Auditoría Informática
99
En consecuencia, se necesita que los procesos se adecuen a los modelos y protocolos
vigentes, los cuales les permitirá tener calidad de tal manera que se cumplan los plazos y
las formas establecidas, y lleven a la obtención de efectividad a toda la organización de
tal manera que los clientes obtener el máximo valor del servicio recibido.
Para que la mejora continua pueda desarrollarse en los servicios se ha basado en el Ciclo
de Deming, el mismo que maneja las cuatro fases: planificar, hacer, verificar y actuar.
- Planificar: definir los objetivos y los medios para conseguirlos.
- Hacer: implementar la visión preestablecida.
- Verificar: comprobar que se alcanzan los objetivos previstos con los recursos
asignados.
- Actuar: analizar y corregir las desviaciones detectadas, así como proponer
mejoras a los procesos utilizados.
Figura 51 Etapas del ciclo de vida del servicio vs Ciclo de Deming
En la figura anterior se puede observar cómo se engranan las fases de ciclo de Deming
con las etapas del ciclo de vida del servicio, de tal manera que la planificación se
encuentra en la estrategia y el diseño, y así se observa cómo van encajando las fases de
Deming con el ciclo de vida del servicio.
Para realizar la mejora de procesos se puede aplicar los siguientes pasos:
1. Definir lo que se debería medir
2. Definir lo que podemos medir
3. Recopilar datos
Principios de Auditoría Informática
100
4. Procesar los datos
5. Analizar los datos
6. Presentar y usar la información
7. Implementar acciones correctivas
Conceptos básicos de SGSI – ISO 17799
La norma ISO 17799 establece las guías y principios necesarios para iniciar una
implementación, mantenimiento y procesos de mejora en la gestión de la seguridad de la
información en una organización en base a las buenas prácticas en la cuales se fundamenta
Villalón (2005).
Define diez dominios de control que cubren en forma total la Gestión de la Seguridad de
la Información, además cuenta con 36 objetivos de control y 127 controles.
Figura 52 Dominios ISO 17799 – Elaborado: Los Autores
Principios de Auditoría Informática
101
CAPÍTULO III – AUDITORÍA INFORMÁTICA
Auditoría Informática
Según Kell (1998), “Es un proceso sistemático para obtener y evaluar evidencia de una
manera objetiva respecto de las afirmaciones concernientes a actos económicos y eventos
para determinar el grado de correspondencia entre estas afirmaciones y criterios
establecidos y comunicar los resultados a los usuarios interesados”.
En el ambiente de sistemas, los exámenes de las operaciones que realiza un sistema de
cómputo con la finalidad de evaluar la situación del mismo. Los auditores deben tener la
capacidad de validar los reportes y de probar la autenticidad y la precisión de los datos y
la información que se maneja.
De acuerdo con Muñoz (2002), Auditoría informática es la revisión técnica especializada
y exhaustiva que se realiza a los sistemas computacionales, software e información
utilizados en una organización, sean individuales, compartidos y/o redes, así como las
instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.
En un esfuerzo formal la Real Academia Española (RAE), define la palabra “auditoría”
como: “Revisión sistemática de una actividad o de una situación para evaluar el
cumplimiento de las reglas o criterios objetivos a aquellas que deben someterse.”
Con los antecedentes descritos se puede señalar que auditoría informática es un proceso
profesional que permite realizar un análisis a todos los elementos de las TIC, el mismo
que debe ser independiente, riguroso y objetivo de acuerdo con las técnicas definidas, con
el fin de precautelar la información, el uso adecuado de los elementos de las TIC que es
ejecutado posteriormente a los hechos sucedidos y de esa manera generar un dictamen
que permita establecer posibles soluciones y/o planes de mejora que promuevan la
economía, eficiencia y eficacia. Por tanto, no debe ser visto a la auditoría como algo para
encontrar culpables, sino más bien para hacer cumplir la normativa, contratos, políticas,
procedimientos establecidos y aprobados en cada organización o emitidas por órganos de
control.
Se la conoce también como auditoria de sistemas, y su principal objetivo es evaluar:
Principios de Auditoría Informática
102
- sistemas informáticos en forma integral
- los procedimientos y seguridad de los dispositivos tecnológicos
- hardware o software que posea la organización, ya sean propios o contratado bajo
la modalidad de servicios.
En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que
las comunicaciones, redes de telecomunicaciones, se auditen por separado, aunque
formen parte del entorno general de los sistemas que ofrece la organización.
Para iniciar una auditoría es necesario conocer ciertas definiciones, las mismas que han
sido tomadas de Muñoz (2002) que ayudaran a comprender de mejor manera el desarrollo
de una auditoría informática; a continuación, se detallan las siguientes definiciones:
- Método. - Procedimiento para hallar el conocimiento y enseñarlo
- Metodología. - Descripción secuencial de la manera de efectuar una operación o
serie de operaciones
- Planeación. - Proceso de decidir de antemano qué se hará y de qué manera.
Incluye determinar las misiones globales, identificar resultados claves y fijar
objetivos específicos, así como políticas de desarrollo, programas y
procedimientos para alcanzarlos
- Plan. - El plan es un método detallado, formulado de antemano, para hacer algo,
características que debe tener son: referirse al futuro, señalar acciones, existe un
elemento de identificación o causalidad personal
- Programa. - Conjunto estructurado de diversas actividades con un cierto grado
de homogeneidad respecto del producto o resultado final, al que se deben asignar
recursos humanos, financieros, materiales
- Presupuesto. - Estimación programada en forma sistemática de los ingresos y
egresos que maneja un organismo en un periodo determinado
- Evento. - Determinación de acontecimientos que llevan fines específicos de
transmisión de ideas, de imágenes y sonidos, para un fin determinado
- Actividad. - Conjunto de operaciones ejecutadas o de actos desarrollados por una
o varias personas y que contribuyen al logro de una función
- Tiempo. -Duración de las cosas sujetas a cambio
- Políticas. - Criterio de acción que es elegido como guía en el proceso de toma de
decisiones al poner en práctica o ejecutar las estrategias, programas y proyectos
específicos a nivel institucional
Principios de Auditoría Informática
103
- Tarea. – Elemento de trabajo que consume recursos, con una duración limitada
- Plan de trabajo. – Representación gráfica de las tareas y actividades de un
proyecto, las mismas que muestran el tiempo y el responsable de cada una.
Tipos de Auditoría Informática
De acuerdo con la experiencia se puede definir los siguientes tipos de auditoría:
- Auditoría de Seguridad Física y Lógica a los elementos de TI
- Auditoría de Planificación
- Auditoría de Producción
- Auditoría a la Gestión de la unidad de TI
Auditoría de Seguridad Física y Lógica a los elementos de TI
Para realizar una auditoría de seguridad física y lógica se debe tener en cuenta los
siguientes lineamientos:
- Seguridad Física: Acceso a de instalaciones del Centro de Computo de acuerdo
con roles y responsabilidades
- Seguridad Lógica: Protege el acceso de usuarios, acceso de acuerdo con
responsabilidades a archivos y transacciones
Por tanto, al realizar una auditoría de este tipo se podría plantear las siguientes
interrogantes:
Seguridad Física
Preguntas SI NO
1. ¿Se han adoptado medidas de seguridad en la dirección de informática?
2. ¿Existe una persona responsable de la seguridad?
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?
4. ¿Existe personal de vigilancia en la organización?
5. ¿La vigilancia se contrata:
a) Directamente?
b) Por medio de organizaciones especializadas
6. ¿Existe una clara definición de funciones entre los puestos claves?
7. ¿Se investiga a los vigilantes cuando son contratados directamente?
Principios de Auditoría Informática
104
8. ¿Se controla el trabajo fuera del horario?
9. ¿Se registran las acciones de los operadores para evitar que realicen alguna
que pueda dañar el sistema?
10. ¿Existe vigilancia en el Centro de datos las 24 horas?
11. ¿A la entrada del Centro de Datos existe:
a) Vigilante?
b) Recepcionista?
c) Tarjeta de control de acceso?
d) Nadie?
12. ¿Se ha establecido que información puede ser accedida y por qué persona?
13. ¿Existe control estricto en las modificaciones?
14. ¿Existe alarma para detectar condiciones anormales del ambiente en el
cuarto frio?
Seguridad Lógica
Preguntas SI NO
1. ¿Se ha implementado medidas de seguridad a nivel de accesos a SGBD,
aplicaciones relacionales y demás software propietario?
2. ¿Existe una persona responsable de la seguridad lógica?
3. ¿Se han firmado los respectivos acuerdos de confidencialidad por parte de
todos los usuarios de la organización?
4. ¿A todos los usuarios de la organización se ha socializado las medidas de
seguridad lógica?
5. ¿Existen logs de los ingresos y transacciones que realiza cada usuario en
los diferentes aplicativos? Tabla 199 Preguntas Auditoría Seguridad Física y Lógica – Fuente: Los Autores
Entre otras que el auditor podrá realizar con el fin de establecer de manera clara la
evaluación que se desee lograr en la organización, de tal forma que se pueda levantar la
mayor cantidad de información para poder evaluar el sistema de seguridad física y lógica
de la organización.
Auditoría de Planificación en TI
Mediante este tipo de auditoría se pretende conocer y evaluar el plan de contingencia de
negocios (BCP por sus siglas en inglés Business Continuity Plan), plan de recuperación
de desastres (DRP por sus siglas en inglés Disaster Recovery Plan); los mismos deberán
tener un alto nivel de integración con la organización, dado que la misma es quien debe
definir cuáles son los servicios que son soportados por el área de TI que deben ser puestos
en operación para que la organización pueda seguir operando.
Principios de Auditoría Informática
105
Por tanto, el área de TI deberá analizar, diseñar e implementar el BCP de acuerdo con las
necesidades organizacionales.
Además, en este tipo de auditoría también se debe revisar el Plan Estratégico de TI (PETI)
y el Plan de desarrollo y mantenimiento de software, los mismos que deberán contar con
todos los elementos necesarios que permitan el apoyo al Plan Estratégico Institucional.
Otro elemento que se debe evaluar es el nivel de participación y compromiso de los
directivos en la elaboración de los respectivos planes.
Para que todo lo indicado anteriormente pueda ser evaluado se pueden plantear las
siguientes interrogantes:
Planificación
Preguntas SI NO
1. ¿Existe BCP en la organización?
2. ¿Existe DRP en el área de TI?
3. ¿Se han realizado pruebas del DRP?
4. ¿Existe la documentación aprobado del BCP y DRP?
5. ¿Cada que tiempo se realizan las pruebas del BCP?
6. ¿Existen responsables de dar inicio al BCP?
7. ¿Se ha estimado cual debe ser el tiempo máximo de puesta en marcha del
BCP?
8. ¿Existen las responsables del área de TI de ejecutar el DRP?
9. ¿Existe un inventario de todo el software tanto propietario como
desarrollado en la organización?
10. ¿Se ha establecido los respectivos contratos de soporte del software
propietario?
11. ¿Existe una lista de proyectos para el desarrollo de sistemas y fechas
programadas de implantación que está considerado dentro del PETI?
12. ¿Está relacionado el PETI con un plan estratégico de desarrollo de la
organización?
13. ¿Existe la persona que autoriza los proyectos?
14. ¿Existen técnicas para el control de los proyectos?
15. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si
aún cumplen con los objetivos para los cuales fueron diseñados?
16. ¿Los analistas son también programadores?
Tabla 200 Preguntas Auditoría de Planificación – Fuente: Los Autores
Entre otras que el auditor podrá realizar con el fin de establecer de manera clara la
evaluación que se desee lograr en la organización, de tal forma que se pueda levantar la
Principios de Auditoría Informática
106
mayor cantidad de información que permita la evaluación del BCP, DRP, PETI, Plan de
desarrollo y mantenimiento de software.
Auditoría de Producción de TI
Mediante esta auditoría se pretende evaluar los procedimientos que se ejecutan en el
Centro de Datos en la operación diaria (Administración de Software base, Base de datos,
Aplicaciones o Sistemas, Obtención de respaldos, recuperación de respaldos, gestión de
incidentes, problemas, cambios, continuidad, disponibilidad, servicios, entre otros). Así
como también todo lo relacionado a mantenimiento de los activos informáticos.
Entonces se pueden plantear las siguientes interrogantes que permitirán obtener
información acerca del ambiente tecnológico que presta servicios a toda la organización.
Producción
Preguntas SI NO
1. ¿Tienen los servidores de datos protección automática contra el fuego?
2. ¿Se verifican con frecuencia la validez de los inventarios de los archivos
magnéticos?
3. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo
en cinta a disco, el cual fue inadvertidamente destruido?
4. ¿Se tienen identificados los archivos con información confidencial y se
cuenta con claves de acceso?
5. ¿Se tiene un responsable, por turno, de los servidores de datos?
6. ¿Se restringe el acceso a los lugares asignados para guardar los
dispositivos de almacenamiento, al personal autorizado?
7. En los procesos que manejan archivos en línea, ¿Existen procedimientos
para recuperar los archivos?
8. ¿Existe un programa de mantenimiento preventivo para cada dispositivo
del sistema de cómputo?
9. ¿Existen tiempos de respuesta y de solución estipulados en los contratos?
10. ¿Existe el plan de mantenimiento preventivo que debe ser proporcionado
por el proveedor?
11. ¿Existe un lugar asignado a las cintas y discos magnéticos? Tabla 21 Preguntas Auditoría de Producción – Fuente: Los Autores
Entre otras que el auditor podrá establecer con el objetivo de obtener toda la información
referente al ambiente de producción en donde se ejecutan los servicios tecnológicos de la
organización y de esta manera comprobar el uso efectivo de la operación diaria del centro
de cómputo.
Principios de Auditoría Informática
107
Auditoría a la Gestión de la unidad de TI
Mediante esta auditoría se puede evaluar que el responsable de la unidad de TI organiza,
dirige y controla los recursos de la misma de forma adecuada, para ello se pueden realizar
las siguientes preguntas que permitirán obtener la suficiente información acerca de la
gestión que realiza el responsable de unidad de TI.
Gestión de la Unidad de TI
1. ¿Sabe que hacer el personal en caso de una emergencia?
2. ¿Se ha entrenado al personal sobre el uso de extintores?
3. ¿Existe una persona responsable de la seguridad de autorización de acceso?
4. ¿El personal que trabaja actualmente es adecuado para cumplir con las funciones
encomendadas?
5. ¿Se da algún tipo de inducción al personal para que este informado de las funciones
que realizará?
6. ¿Cuál es la forma de darles a conocer sus funciones?
7. ¿Existe el Plan Estratégico de TI?
8. ¿Se encuentran definidos los objetivos de la unidad de TI?
9. ¿Cumple el personal o encargado del centro de cómputo con dichos objetivos?
10. ¿Los niveles jerárquicos establecidos son necesarios para el desarrollo de las
actividades del área?
11. ¿Existe un programa de mantenimiento del centro de cómputo ya especificado?
12. Señale el periodo aproximado en el cual está estipulado en el programa cumplir el
mantenimiento a las computadoras
a. 2 meses
b. 6 meses
c. Cada año
d. Otro Indique___________________________________________________)
13. ¿Existe la división de trabajo para realizar el mantenimiento del centro de cómputo?
Si____ No____
14. ¿Existen tiempos de respuesta en el programa entre la demanda del usuario de
compostura de su máquina y la solución del problema del usuario?
Si______ No_______
15. ¿Se llevo a cabo la planeación para la instalación de los equipos?
Si_______ No_______
16. ¿Existe un informe técnico en el que se justifique la adquisición del equipo, software
y servicios de computación, incluyendo un estudio costo-beneficio?
Si (¿Cuál? _______________________________) No _____ ¿Por qué no?
Principios de Auditoría Informática
108
17. ¿Se sigue la estandarización del Sistema Operativo, software de ofimática,
manejadores de base de datos y se mantienen actualizadas las versiones y la
capacitación sobre modificaciones incluidas?
Si_______ No_______
Tabla 22 Preguntas Auditoría Gestión Unidad de TI – Fuente: Los Autores
El auditor en su afán de conocer todo lo relacionado a la Gestión de TI, y evidenciar que
se cumple de manera efectiva la gestión en la unidad de ti, puede crear más preguntas
relacionadas a la gestión de TI y que el coordinador debe proveer la información
necesaria.
Metodología para una Auditoría Informática
La metodología que se plantea para desarrollar una auditoría informática está basada en
la experiencia profesional la misma que se apoya por la literatura de varios autores que la
han desarrollado a lo largo del tiempo, para ello se tiene que definir las fases que debe
tener una auditoría informática:
- Planeación
- Ejecución
- Dictamen
- Seguimiento
Cada una de las fases indicadas tendrá o no sub fases que permitan realizar el examen de
manera objetiva e independiente sin importar a quien se esté auditando.
Figura 53 Fases de la Auditoría Informática – Fuente: Los Autores
Principios de Auditoría Informática
109
Planeación de la Auditoría
En esta fase se definen las actividades necesarias para su ejecución, lo cual se logrará
mediante una adecuada planeación, es decir, se deben identificar de manera clara las
razones por las que se va a realizar la auditoría y determinar el objetivo de la misma, así
como el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y
preparar los documentos que servirán de apoyo para su ejecución, culminando con la
elaboración documental de los planes, programas y presupuestos para la auditoría
En la fase de planeación se debe ejecutar las siguientes fases:
Identificar el origen de la auditoría
El origen de la auditoría se puede generar por solicitud de:
- Autoridades de la organización (auditoría interna)
- Autoridades locales, nacionales (auditoría externa)
- Cumplimiento de planes de contingencia, las mismas se deben realizar de
manera periódica y sirven de ayuda para mitigar riesgos
- Debido a una emergencia que se ha suscitado en la organización, la emergencia
puede ser por desastres naturales, fallas humanas o terrorismo
Visita preliminar al área a ser evaluada
En la visita preliminar se debe establecer los contactos con todos los funcionarios y
empleados de la unidad de TI, en este contacto se debe establecer de manera clara la
problemática existente, de tal manera que se puedan identificar los objetivos iniciales de
la auditoría, además que se puede establecer los recursos y personas necesarias que
intervendrán en la auditoría
Establecer los objetivos de la auditoría
Una vez que se ha identificado el origen de la auditoría y se ha realizado la visita
preliminar se pueden establecer de manera clara y objetiva tanto el objetivo general y
los específicos que se aspira a cumplir mediante el desarrollo de la auditoría.
- Objetivo general
Principios de Auditoría Informática
110
Es el término global o general que se pretende alcanzar con el desarrollo de la
auditoría
- Objetivos específicos
Determinar en forma detallada, los fines que se pretenden alcanzar con la auditoría
informática, indicando de manera específica las áreas a evaluar y, de manera
particular, los elementos de TI que van a ser evaluados ya sean Hardware,
Software, Comunicaciones, Seguridad o el cumplimiento de normativa legal
(nacional, propia de la organización) que debe cumplirse.
Determinar los puntos a ser evaluados
Como se ha mencionado anteriormente lo que se va a evaluar a TI son los dispositivos de
las TIC, con esto se puede definir los siguientes aspectos que pueden ser evaluados:
- Evaluar la seguridad de la información, en general, ya sean accesos a la red, a
sistemas de información y dispositivos de HW
- Evaluar los datos, información, documentos, procesos de toda el área de TI
- Evaluar el desarrollo de sistemas de información, incluidos los contratos que se
puedan desprender para verificar su cumplimiento
- Evaluar los sistemas, equipos, instalaciones y componentes
- Evaluar las funciones y actividades del personal del área de sistemas y las áreas y
unidades administrativas que están inmersa en la unidad (departamento, área,
dirección, jefatura, etc.) de TI
Al definir los puntos que se deberán evaluar en la auditoría, se podrá establecer el tipo de
auditoría que se va a realizar de acuerdo con la clasificación que se indicó anteriormente.
Elaborar planes, programas y presupuestos
Con todas las sub fases dentro de la fase de planeación que se han ido cumpliendo, se
puede llegar a establecer el cronograma, en donde se tendrá que definir, recursos
(humanos, financieros), tareas, actividades, fechas de inicio y fin, entregables en cada
fase y los responsables de cada actividad. Con esta información también se llega a
establecer el presupuesto con el cual se va a desarrollar la auditoría.
Principios de Auditoría Informática
111
Identificar y definir los métodos, herramientas y técnicas
El auditor deberá hacer la recopilación y evaluación de la evidencia que le permita
establecer los dispositivos, sistemas, aplicaciones, gestión, de la unidad de TI cumplen de
manera eficiente con los objetivos organizacionales y protege la información, mantiene
la integridad de los datos, hace uso eficaz y eficiente de los recursos de las TIC. Para
poder cumplir con la recopilación y evaluación de la evidencia se debe hacer uso de
diferentes métodos, técnicas, herramientas y procedimientos. El uso adecuado de dichas
técnicas establecerá un punto importante para que el resultado de la auditoria se
satisfactorio.
A continuación, se señalan los principales técnicas, herramientas y procedimientos que
se pueden aplicar en una auditoría informática:
Para la recopilación de datos el auditor podrá utilizar:
- Entrevista
- Encuesta
- Cuestionario
- Observación
- Muestreo
- Inventarios
- Experimentos
Para la evaluación de la evidencia el auditor podrá hacer uso de:
- Examen
- Inspección
- Comparación
- Revisión de documentos
- Matriz de evaluación
- Matriz FODA
- Modelos de simulación
- Guías de auditoría
Principios de Auditoría Informática
112
Asignar los recursos para la auditoría
En esta sub fase se deberá establecer de manera clara lo siguiente:
- Personal que realizará la auditoría informática
- Identificar al personal clave del área que va a ser evaluada
- Identificar los dispositivos, sistemas y políticas, normativas, leyes que serán de
apoyo en la auditoría
- Del presupuesto de la auditoría se define el recurso económico de la auditoría
- Se definen los recursos materiales que se van a usar en la auditoría
Ejecución de la Auditoría
En esta fase estará determinada por las características concretas, los puntos y los
requerimientos que se estimaron en la etapa de planeación, a continuación, se presenta un
diagrama de flujo general de cómo se deberá ejecutar la auditoría.
Figura 54 Ejecución de la Auditoría – Fuente: Los Autores
Papeles de trabajo
- Son los registros de los diferentes tipos de evidencia acumulada por el auditor.
Principios de Auditoría Informática
113
- Los papeles de trabajo son registros que mantiene el auditor de los procedimientos
aplicados como pruebas desarrolladas, información obtenida y conclusiones
pertinentes a que se llegó en el trabajo.
- Algunos ejemplos de papeles de trabajo son los programas de auditoría, los
análisis, los memorandos, las cartas de confirmación y declaración, resúmenes de
documentos de la entidad y papeles preparados u obtenidos por el auditor
Propósitos de los papeles de trabajo
- Ayudar a organizar y coordinar las muchas fases de la revisión de auditoría
- Proporcionar información que será incluida en el informe de auditoría
- Servir como respaldo de la opinión del auditor
Dictamen de la Auditoría
En esta fase se debe preparar el resultado de la auditoría, y el equipo de trabajo debe
preparar los siguientes informes:
- Informe de situaciones detectadas
- Dictamen final
Una vez que se ha elaborado los documentos indicados se deberá proceder a la
presentación del informe final, en la cual se deberá convocar a todos los funcionarios que
participaron en la auditoría, además de todo el equipo de trabajo.
Seguimiento
Una vez que se ha presentado el informe final, se debe realizar un plan de seguimiento,
para que las observaciones, recomendaciones realizadas sean implementadas acorde a lo
establecido.
Para dicha actividad la entidad evaluada puede presentar un cronograma de
implementación, el auditor deberá evaluar el cronograma de implementación y se
procederá a revisar si las observaciones y recomendaciones fueron implementadas y el
estado puede variar entre abierto, progreso, cerrado.
Principios de Auditoría Informática
114
Generalmente una auditoría que ha sido calificada como mala o deficiente se la deberá
evaluar en un tiempo aproximado de seis meses a un año para comprobar el debido
cumplimiento de las deficiencias presentadas.
Herramientas Tecnológicas en Auditoría Informática
Las herramientas que se pueden usar en el proceso de auditoría son aquellas que permiten
captar las evidencias, procesar la información dado que permiten realizar un proceso de
contabilización, revisión y auditoria más selectivo y penetrante de las actividades y
procedimientos relativos a un copioso volumen de transacciones.
A continuación, se señalan algunas herramientas que se puedan usar en el proceso de
auditoría:
ACL
Es la herramienta de software preferida por los profesionales de las finanzas y auditoría
para extraer y analizar datos, detectar fraudes y lograr un monitoreo continuo.
Ventajas
- Análisis datos más rápido y eficientemente.
- Produce informes claros.
- Identifica tendencias, indica de excepciones con toda precisión
- Localiza errores y posibles fraudes.
- Identifica problemas de control y garantiza el cumplimiento de los estándares.
- Análisis interactivo, con resultados inmediatos.
- Rapidez y facilidad de uso, lo que permite el análisis de grandes volúmenes de
información
Autoaudit
Es una herramienta dirigida al departamento de auditoría, que permite realizar una
planificación de Auditorías en función de evaluación de riesgos, siguiendo metodologías
Principios de Auditoría Informática
115
de evaluación vertical y/o por proceso. Soportando todo el proceso y flujo de trabajo,
desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del
informe final.
BackTrack
Es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría
de seguridad y relacionada con la seguridad informática en general
Apex SQL Audit
Es una herramienta de auditoría activa para organizaciones que necesitan auditar bases
de datos Microsoft SQL Server
Auditor Assistant
Sistema integrado de administración de auditorías que le ayuda a realizar, revisar y
controlar su actividad de auditoría de manera más eficiente.
TeamMate
Desarrollado para hacer más eficiente la documentación, elaboración de informes y
proceso de revisión de los papeles de trabajo de la auditoría.
Meycor CobiT Suite
Es una herramienta integral e intuitiva para la implementación del marco COBIT, para el
gobierno, la gestión de riesgos tecnológicos, la seguridad, el control interno, y el
aseguramiento de la TI.
Principios de Auditoría Informática
116
Anexo
Ejemplo: Auditoria de hardware y software en estaciones de trabajo
Alcance: La auditoría se realizará sobre los sistemas informáticos en computadoras
personales que estén conectados a la red interna de la organización.
Objetivo: Establecer una visión actualizada de los sistemas de información en cuanto a
la seguridad física, las políticas de uso, transferencia de datos y seguridad de los activos.
Recursos: El número de personas que integraran el equipo de auditoría será de tres, con
un tiempo máximo de ejecución de 4 semanas
Etapas de trabajo
1. Recopilación de información básica
- Antes de dar inicio a la Auditoría se realiza una encuesta al personal directivo
de la organización, con el objetivo de conocer los procesos que se realizan en
los computadores asignados por la misma.
- Con la ayuda del personal directivo esta encuesta será realizada en toda la
organización
- Se debe mantener una entrevista con el personal encargado del área de TI con
el objetivo de conocer el hardware y software usado
2. Identificación de riesgos potenciales
- Se debe evaluar la manera en que se adquieren los nuevos equipos y
aplicativos, los procedimientos deben estar aprobados por los directivos de la
organización, además de contar con los requerimientos mínimos para la
ejecución en el hardware y software base.
- Se deberá contemplar los posibles fallos de seguridad del software y la
configuración de los equipos críticos en el firewall
3. Objetivos de control
- Evaluar la existencia y la aplicación correcta de las políticas de seguridad
- Revisar la normativa, procesos y procedimientos que se encuentren
actualizados y sean comprendidos por todo el personal
- Evaluar el Plan de Recuperación de Desastres
Principios de Auditoría Informática
117
- Evaluar el Plan de Seguridad que permita la evaluación de riesgos de los
equipos, programas y datos.
4. Determinación de los procedimientos de control
Objetivo N. 1: Existencia de normativa de hardware.
- El hardware debe estar correctamente identificado y documentado.
- Se debe contar con todas las órdenes de compra y facturas con el fin de contar
con el respaldo de las garantías ofrecidas por los fabricantes.
- El acceso a los componentes del hardware debe estar restringido a las personas
que lo utilizan.
- Se debe contar con un plan de mantenimiento y registro de fechas, problemas,
soluciones y próximo mantenimiento propuesto.
Objetivo N. 2: Política de acceso a equipos.
- Cada usuario deberá contar con su nombre de usuario y contraseña para
acceder a los equipos.
- Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y
alternando mayúsculas y minúsculas).
- Los usuarios saldrán del sistema una vez que haya pasado 10 minutos de
inactividad.
- Todos los usuarios deberán firmar acuerdos de confidencialidad y deben
mantenerse luego de finalizada la relación laboral.
- Uso restringido de medios removibles (USB, CD-ROM, discos externos etc.).
5. Pruebas que realizar
- Son los procedimientos que se llevaran a cabo a fin de verificar el
cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar
las siguientes técnicas:
o Tomar 20 máquinas al azar y evaluar la dificultad de acceso a las
mismas.
o Intentar sacar datos con un dispositivo externo.
o Facilidad para desarmar una computadora personal.
o Facilidad de accesos a información de confidencialidad (usuarios y
claves).
o Verificación de contratos.
Principios de Auditoría Informática
118
o Comprobar que luego de 10 minutos de inactividad la sesión del
usuario a expirado
6. Obtención de los resultados
En esta etapa se obtendrán los resultados que surjan de la aplicación de los
procedimientos de control y las pruebas realizadas a fin de determinar si se cumple
o no con los objetivos de control antes definidos. Los datos obtenidos se
registrarán en planillas realizadas a medida para cada procedimiento a fin de tener
catalogado perfectamente los resultados con el objetivo de facilitar la
interpretación de los mismos y evitar interpretaciones erróneas
7. Conclusiones y Comentarios
En este paso se detallará el resumen de toda la información obtenida, así como lo
que se deriva de esa información, sean fallas de seguridad, organización o
estructura empresarial. Se expondrán las fallas encontradas, en la seguridad física
sean en temas de resguardo de información (Casos de incendio, robo), manejo y
obtención de copias de seguridad, en las normativas de seguridad como por
ejemplo normativas de uso de claves, formularios de adquisición de equipos, y
estudios previos a las adquisiciones para comprobar el beneficio que los mismos
aportarían. Finalmente se verán los temas de organización empresarial, como son
partes responsables de seguridad, mantenimiento y supervisión de las otras áreas
8. Redacción del borrador del informe
Se detalla de manera concisa y clara un informe de todos los problemas
encontrados, anotando los datos técnicos de cada una de las máquinas auditadas:
- Marca
- Modelo
- Número de Serie
- Problema encontrado
- Solución recomendada
9. Presentación del borrador del informe, al responsable de informática
Se le presentará el informe borrador al responsable del área de TI, como se aclaró
en el punto anterior, con el máximo de detalle posible de todos los problemas y
posibles soluciones, este informe se pasará por escrito en original y copia
firmando un documento de conformidad del mismo para adquirir un compromiso
fuerte en la solución de los mismos, de esta forma se evitará posibles confusiones
futuras.
Principios de Auditoría Informática
119
10. Redacción del Informe Resumen y Conclusiones
Es en este paso es donde se muestran los verdaderos resultados a los responsables
de la organización, el informe presentado dará a conocer todos los puntos
evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles
soluciones.
La conclusión tendrá como temas los resultados, errores, puntos críticos y
observaciones de los auditores. Mientras que en el resumen se verán las posibles
soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen
uso, además de recomendaciones sobre la forma incorrecta de realizar algunos
procedimientos.
11. Entrega del informe a los directivos de la organización
Esta es la última parte de la auditoria y en una reunión se formaliza la entrega
del informe final con los resultados obtenidos en la auditoria.
También se fijan los parámetros, si así se requiere para realizar el seguimiento de
los puntos en los que el resultado no haya sido satisfactorio o simplemente se
quiera verificar que los objetivos de control se sigan cumpliendo a lo largo del
tiempo.
Principios de Auditoría Informática
120
Glosario de Términos
BCP
Business Continuity Plan, por sus siglas en inglés, se refiere al Plan de Continuidad
de Negocios, el mismo que deberá ser definido por el área de negocio en conjunto
con la unidad e tecnología, con el objetivo de reestablecer los servicios más
importantes del negocio que usan servicios tecnológicos.
BSC Modelo de Planificación y gestión de desempeño de la estrategia organizacional
CGE Contraloría General del Estado, la misma que regula todo el accionar del sector
público en el Ecuador
CHIPSET Es una placa de circuito impreso con algunos componentes integrados y a la que se
conectan los componentes esenciales de una computadora
CMMI
Integración de modelos de madurez de capacidades o Capability Maturity Model
Integration, es un modelo para la mejora y evaluación de procesos para el
desarrollo, mantenimiento y operación de sistemas de software
CPU
Unidad Central de Procesamiento, la misma que se encarga de realizar las tareas y
actividades que el software requiere para su funcionamiento dentro de un
dispositivo tecnológico
CRM Se refiere a todo software que permite administrar la relación con los clientes
DRP
Disaster Recovery Plan, por sus siglas en Ingles, se refiere al Plan de recuperación
de desastres que debe tener la unidad de tecnología, con el objetivo de
reestablecer los servicios tecnológicos en el menor tiempo posible
DVD Disco de almacenamiento de datos, imagen o sonidos, con una capacidad mayor
que al del disco compacto
ERP
Es un conjunto de sistemas de información que permite la integración de ciertas
operaciones de una empresa, especialmente las que tienen que ver con la
producción, la logística, el inventario, los envíos y la contabilidad.
FIREFOX Navegador de internet, desarrollado por Mozilla, organización sin fines de lucro
IE Navegador de internet, desarrollado por Microsoft
JAVA Lenguaje de programación, orientada a objetos, que permite la creación de
aplicaciones empresariales, seguro, confiable
LINUX
Sistema Operativo, el mismo que es desarrollado por varias empresas, pero el
mismo es libre y se lo puede usar sin restricciones de acuerdo con el acuerdo de
licenciamiento GNU General Public License o GPL
PETI
Plan Estratégico de Tecnologías de la Información, el mismo que contiene todas las
acciones que se deben cumplir en el área de TI en un determinado periodo y que
permitirán cumplir con los objetivos institucionales.
PHP Lenguaje de programación, que permite la creación de aplicaciones empresariales
pero que tiene debilidades en lo relacionado a seguridades
Principios de Auditoría Informática
121
RAM
Memoria de acceso aleatorio de la computadora, se puede realizar operaciones de
lectura, escritura los mismos que desaparecen cuando se apaga el dispositivo
tecnológico
RPO Es el tiempo máximo que se puede perder datos de un servicio de TI, debido a un
incidente importante
RTO
Es el tiempo específico dentro del cual se debe restaurar un servicio después de
una interrupción, con el objetivo de evitar consecuencias inaceptables asociadas
en la continuidad del negocio
SCRUM
Es un proceso en el que se aplican de manera regular un conjunto de buenas
prácticas para trabajar colaborativamente, en equipo, y obtener el mejor
resultado posible de un proyecto
SGBD
Sistema de Gestión de Base de Datos, el mismo que permite administrar los datos
que se almacenan en una base de datos, gestiona almacenamiento,
funcionamiento para que se usen los datos por medio de diferentes programas o
aplicaciones
TI Tecnologías de la Información
TIC
Tecnologías de Información y Comunicaciones, las mismas que engloban todo lo
relacionado a hardware, software, comunicaciones y seguridades de la
información
WINDOWS Sistema Operativo, el mismo que es desarrollado por Microsoft, se maneja ya el
esquema de licencias y tiene un costo
Principios de Auditoría Informática
122
Bibliografía
Diogo, L. (2015). Fundamentos do COBIT 5. Rio de Janeiro: Escola Superior de Redes,
RNP.
Fernandes, A. y Abreu, V. (2008). Implantando a Governança de TI: da estratégia à
Gestão dos Processos e Serviços. Rio de Janeiro: Brasport.
González, L. J. (2002). Ética latinoamericana. USTA: Bogotá. p. 26
ISACA. (2011). COBIT 5 The Framework (Exposure draft). IL, USA: CRISC
ISACA. (2012). COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de TI en
la Empresa. USA.
ITGI. (2003). IT Governance Executive Summary. IT Governance Institute.
IT Governance Institute. (2017). Cobit 5. USA: ITGI. Recuperado de:
http://www.isaca.org/cobit/pages/default.aspx
Kell, W., Boynton W. y Ziegler R. (1995). Auditoría Moderna. México: Continental
Laudon, K. y Laudon, J. (2012). Sistemas de Información Gerencial. México: Pearson
Educación.
Muñoz R., C. (2002). Auditoría en Sistemas Computacionales. México: Pearson
Educación.
Rezende D., A. (2008). Planejamento de Sistemas de Informação e Informática: Guia
Prático para Planejar a Tecnologia da Informação Integrada ao Planejamento
Estratégico das Organizações. São Paulo: Atlas.
Piattini, M. y Del Peso, E. (2002). Auditoría informática: un enfoque práctico.
Madrid:Ra-Ma.
Pinilla F. J. (1997). Auditoria informática, aplicaciones en producción. ECOE
Villalón, A. (2005) El Sistema de Gestión de Seguridad de la Información: Calidad de la
información. Recuperado de: https://goo.gl/jwWXHi
Weill P. y Ross J. (2004). IT Governance: How Top Performers Manage IT Decision
Rights for Superior Results. Boston, MA: Harvard Business School Press.
Netgrafía
ITIL.org. (2017). ITIL, COBIT, ISO 2000, ISO 27000. Recuperado de
http://os.itil.org/en/vomkennen/itil/index.php
ISO.org (2017). International Organization for Standardization. Recuperado de
https://www.iso.org/standard/39612.html
SICE (2017) Derechos de Propiedad Intelectual. Recuperado de
http://www.sice.oas.org/int_prop/nat_leg/Ecuador/L320a.asp
Registro Oficial (2017). Ley De Comercio Electrónico, Firmas Electrónicas Y Mensajes
De Datos. Recuperado de
http://www.redipd.es/legislacion/common/legislacion/ecuador/ecuador_ley_200
2-67_17042002_comelectronico.pdf
Contraloría General del Estado (2017). Normas de Control Interno. Recuperado de
http://www.contraloria.gob.ec/Portal/Busqueda/normas%20de%20control%20int
erno
Principios de Auditoría Informática
123
Datos de los Autores
Ing. Christian Tello Santillán, MBA.
Formación Académica: Ingeniero Informático
Diploma Superior en Gerencia en Investigación y
Planificación Estratégica
Maestría en Administración de Empresas
Experiencia docente: Universidad Central del Ecuador
Universidad Politécnica Salesiana
Ing. Mónica Guerrero Segovia, MTE.
Formación Académica: Ingeniera en Sistemas e Informática
Diplomado en Docencia Universitaria
Maestría en Tecnología Educativa
Experiencia docente: Universidad Central del Ecuador
Universidad Politécnica Salesiana
Scanned by CamScanner
Scanned by CamScanner
Scanned by CamScanner
Scanned by CamScanner