Embed Size (px)
Citation preview
UNIVERSIDAD CENTROCCIDENTAL
“LISANDRO ALVARADO” DECANATO DE ADMINISTRACIÓN Y CONTADURÍA
BARQUSIMETO – LARA COORDINACIÓN DE POST GRADO
DISEÑO DE UNA METODOLOGIA DE EVALUACION DE SEGURIDAD DE
LA DATA SOBRE REDES LOCALES DE COMPUTACION PARA LOS
AUDITORES DE LA CONTRALORIA GENERAL DEL ESTADO LARA.
EYLER N. ALCON C.
Barquisimeto, septiembre del 2006
UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO”
DECANATO DE ADMINISTRACIÓN Y CONTADURÍA BARQUSIMETO – LARA
COORDINACIÓN DE POST GRADO
DISEÑO DE UNA METODOLOGIA DE EVALUACION DE SEGURIDAD DE LA DATA SOBRE REDES LOCALES DE COMPUTACION PARA LOS AUDITORES DE LA CONTRALORIA GENERAL DEL ESTADO LARA.
Trabajo presentado para optar al Grado de Especialista en Auditoría
Por: EYLER N. ALCON C.
Barquisimeto, septiembre del 2006
DISEÑO DE UNA METODOLOGÍA DE EVALUACIÓN DE SEGURIDAD DE LA DATA SOBRE REDES LOCALES DE COMPUTACIÓN
PARA LOS AUDITORES DE LA CONTRALORÍA DEL ESTADO LARA
Por: EYLER ALCON
Trabajo de grado aprobado
__________________________ __________________________ Msc. Dacmile Guaidó Profesor: José Luis Rodríguez Tutora ___________________________ Profesor: Abel Romero
Barquisimeto, _____ de _____________ de 200__
DEDICATORIA
A mi Familia:
Especialmente a mi Madre y a mi Padre,
fuentes inagotables de apoyo, estimulo y amor sincero,
quienes me llevaron de la mano a la escuela
y aun hoy siguen mostrándome el camino.
Con ellos cerca, se ha hecho más fácil mi vida.
A mi esposa Nelly, compañera de toda la vida.
Ha sido mi guía en todo momento.
Ella es la fuerza de superación
y ejemplo para lo más bello que tengo:
mi hija Adriana.
A mis amigos y compañeros de Trabajo:
Para todos ellos, que colaboraron con sus aportes
y opiniones en el momento oportuno.
AGRADECIMIENTO
A la Contraloría General del Estado Lara
y a la Universidad Centroccidental “Lisandro Alvarado”
por el legado escolástico otorgado y
constante preocupación por mi formación académica
y crecimiento profesional.
INDICE
pp. DEDICATORIA iv AGRADECIMIENTO v INDICE GENERAL vi LISTA DE CUADROS viii LISTA DE DIAGRAMAS ix RESUMEN x INTRODUCCIÓN 1
CAPITULO I EL PROBLEMA 3
Planteamiento del problema 3 Objetivos 8 Objetivo General 8 Objetivos Específicos 8 Justificación 8 Delimitación y Alcance 10
II
MARCO TEORICO 12
Antecedentes de la Investigación 13 Bases Teóricas 16 Informática . información y Seguridad 16 Auditoria Y Auditoria Informática 24 Sistema 27 Basamento Legal 28
III
MARCO METODOLOGICO 39
Tipo de Investigación 39 Diseño de la Investigación 40 Unidad de Análisis y unidad de Información 40 Técnicas e Instrumentos de Recolección de Información 41
IV
ANALISIS E INTERPRETACIÓN DE LOS RESULTADOS 43
IV
PROPUESTA DEL ESTUDIO 50
Objetivo De la propuesta 50 Justificación
Realidad Interna en la Contraloría General del Estado Lara 51 Programa de Auditoria Informática 53 Metodología para Auditoría Informática en la Contraloría
General del Estado Lara 64
IV
CONCLUSIONES Y RECOMENDACIONES 76
BIBLIOGRAFIA 79
INDICE DE CUADROS
CUADRO pp.
1 Clases o Tipos de Auditoría 24
2 Jerarquía Legal 43
3 Vinculación Internacional con la Data 44
4 Vinculación Nacional con la Data 44
5 Vinculación Nacional y Estadal con la Auditoría 45
6 Vinculación Nacional con el Manual 45
7 Vinculación Interna con el Manual 45
8 Vinculación de Auditoría con Características de la Información 46
9 Vinculación de Auditoría con Características de la Información 47
INDICE DE DIAGRAMAS
DIAGRAMAS pp.
1 Diagrama de Flujo de las Fases de Metodología 64
2 Diagrama del Programa para Evaluar la Integridad, Disponibilidad y Privacidad 68
UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” DECANATO DE ADMINISTRACIÓN Y CONTADURÍA
COORDINACIÓN DE ESTUDIOS DE POSTGRADO BARQUISIMETO, ESTADO LARA
DISEÑO DE UNA METODOLOGÍA DE EVALUACIÓN DE SEGURIDAD DE LA DATA SOBRE REDES LOCALES DE COMPUTACIÓN
PARA LOS AUDITORES DE LA CONTRALORÍA DEL ESTADO LARA
Autor: Eyler N. Alcón C. Tutor: Joaquín Oropeza
RESUMEN
En el presente trabajo de investigación se estructuró una propuesta de Metodología de Evaluación de la Seguridad de Data sobre Redes Locales de Computación para los auditores de la Contraloría General del Estado Lara basándose en la aplicación del ordenamiento jurídico vigente que rige la materia del control fiscal y de los conocimientos teóricos informáticos y de auditoria para facilitar a los auditores del Máximo Órgano de Control Externo del Estado, un instrumento normativo a los fines de determinar la validez de la información suministrada por los sistemas automatizados de información, utilizando para ello mecanismos de evaluación a los criterios de integridad, disponibilidad y privacidad de la Data. El mismo se enmarca en el tipo de investigación descriptivo con un diseño de investigación documental, por cuanto la misma busca estudiar una situación problemática y existente dentro de la institución.
En consecuencia se procedió a presentar la propuesta metodológica.
Palabras Claves: Auditoria, Metodología, Descriptivo, Propuesta, Seguridad.
1
INTRODUCCIÓN
La Contraloría General del Estado Lara (CGEL), en los términos
consagrados en la Constitución de la República Bolivariana de Venezuela, en la
Constitución del Estado Lara, en la Ley de Contraloría General del Estado Lara y
demás leyes que rigen la materia, es un órgano al que corresponde el control,
vigilancia y fiscalización de los ingresos, gastos y bienes públicos estadales, así
como las operaciones relativas a los mismos.
Las actuaciones de la Contraloría General del Estado Lara, se orientan a la
realización de auditorias, inspecciones, fiscalizaciones, exámenes, estudios,
análisis e investigaciones de todo tipo y de cualquier naturaleza en los órganos y
entes sujetos a su control.
De igual modo verifica la legalidad, exactitud y sinceridad, así como la
eficacia, economía, eficiencia, calidad e impacto de las operaciones y de los
resultados de la gestión de los órganos y entes sujetos a su control.
Corresponde a la Contraloría General del Estado Lara, el ejercicio del
control externo, el cual comprende la vigilancia, inspección y fiscalización sobre
las operaciones de los entes y órganos sujetos a control, con la finalidad de
determinar el cumplimiento de las disposiciones constitucionales, legales y
reglamentarias o demás normas aplicables a sus operaciones y determinar el grado
de observancia de las políticas ordenadas, en relación con el patrimonio y la
salvaguarda de los recursos de tales entidades.
También debe establecer la medida en la que se hubieren alcanzados sus
metas y objetivos. En esos mismos términos la CGEL debe evaluar la eficiencia,
eficacia, economía y calidad de sus operaciones, con fundamento en índices de
gestión, de rendimientos y demás técnicas aplicables y evaluar el sistema de
control interno y formula las recomendaciones necesarias para mejorarlo.
2
Otra finalidad tiene que ver con verificar la exactitud y sinceridad de su
información financiera, administrativa y de gestión.
Sin embargo, se presenta una situación real de tipo práctico, que solicita
una propuesta o solución para resolverla haciendo uso de todos los componentes
del Sistema Nacional de Control Fiscal.
Se requiere de una metodología para evaluar la seguridad de la data sobre
redes de computación, con la finalidad de verificar la validez de la información
suministrada por los sistemas de información instalados en los órganos sujetos a
los procedimientos de control, vigilancia y fiscalización. La información a la que
se hace referencia es el principal insumo para cualquier tipo de auditoria, sin
importar su objeto y finalidad.
Por tal motivo es necesario, incorporar dentro de las actuaciones fiscales
un instrumento normativo de control sobre las operaciones que definen la
integridad, disponibilidad y privacidad de la data; utilizando para ello las técnicas
de informática, de auditoria y el ordenamiento jurídico.
De acuerdo a lo anteriormente expuesto, el proyecto ha sido dividido en
capítulos. En el primer capítulo se esboza el planteamiento del problema, sus
objetivos, justificación, delimitacion y alcance de la investigación. En el segundo
se desarrolla el marco teórico, donde se especifican los antecedentes, bases
teóricas y legales que sustentan a la investigación. El tercer capitulo, incorpora el
tipo y diseño de investigación, unidad de análisis y unidad de información así
como las técnicas e instrumentos de recolección de información. El cuarto
capitulo comprende el análisis e interpretación de los resultados. El quinto
capitulo presenta la propuesta con sus objetivos y justificación. Y el sexto capitulo
acumula las conclusiones y recomendaciones como consecuencia de la
experiencia obtenida durante el estudio.
3
CAPÍTULO I
EL PROBLEMA
Planteamiento de la Investigación
Consiste en describir de manera amplia la situación objeto a estudio,
ubicándola en un contexto que permita comprender su origen y relaciones.
Los órganos de control externo tienen auditores que deben ejercer
funciones contraloras y fiscalizadoras sobre los sistemas automatizados de
información en organismos y entes de la administración publica estadal, en los
cuales se ejecutan y alcanzan su etapa de producción sobre un ambiente
constituido generalmente por redes locales de computación
Por lo tanto estas mismas organizaciones necesitan en forma sistemática
aplicar controles externos, en la búsqueda de seguridad en la integridad de la data
a los fines de obtener confianza razonable en la información y datos que son
procesados; todo en demanda de un impacto en las capacidades corporativas, en la
calidad y en la oportunidad del producto final o servicio que están obligados a
prestar en la institución pública.
Una de estas instituciones, la Contraloría General del Estado Lara CGEL,
está sometida legalmente a lo establecido en La Constitución de la República
Bolivariana de Venezuela, en la ley de Contraloría General de la República
Bolivariana de Venezuela y Sistema Nacional de Control Fiscal.
En este sentido, la CGEL, como órgano de control externo, no ha realizado
Auditoria de Informática como se observa en el seguimiento de sus actuaciones
fiscales. Esto se puede verificar en los reportes impresos de Resumen de
4
Actuaciones Fiscales Ejercicio Fiscal 2005 y de Resumen Parcial de Actuaciones
Fiscales Ejercicio Fiscal 2006 (Reportes 2005, 2006), emitidos por el Sistema
Automatizado de Actuaciones Fiscales (S.A.F.E) y suministrados por la misma
Contraloría. De éste reporte, se observa que de las últimas 455 actuaciones
fiscales realizadas por los auditores ninguna es de tipo Informática.
La falta de auditoria en el área informática, por parte de la CGEL no solo
es un problema de actuación en el área fiscal de esta naturaleza sino que
representa en muchos casos el insumo necesario para otros tipos de actuación,
tales como:
- En materia informática, la actuación puede realizarse en diversas áreas tales
como equipos, infraestructura, personal, operatividad, seguridad entre otros.
- En materia de seguridad los datos almacenados por el sistema de información
representa generalmente la materia prima por excelencia para el control,
verificación, comparación y validación de las actuaciones de los auditores.
Es por tanto necesario, la existencia de controles efectivos que permitan
garantizar razonablemente la validez de los datos de los diversos sistemas
organizacionales de los órganos sujetos a control. Por cuanto los mismos reflejan
la historia, hechos y decisiones en materia fiscal, contable, presupuestaria, bienes
nominas y de otra naturaleza.
En atención a la auditoria informática, la CGEL no solo no posee
actuaciones en dicha área, sino que adolece de una metodología, que sirva de
orientación y herramienta de unificación en la evaluación sobre la seguridad de la
data sobre redes locales de computación para todos los auditores de la Contraloría
del General del Estado Lara. Esto se corrobora en revisión de documentos
realizada el día 15 de Enero de 2006, de donde se evidencio que no existe
documento o una Resolución en el Archivo Oficial de Resoluciones, que
considere o contenga una metodología en ese sentido.
5
Esta metodología, como cualquier otra que se requiera, esta estructurada
de acuerdo a lo previsto en las Disposiciones Generales de las Normas Generales
de Auditoria de Estado emanado de la Contraloría General de la República de
Venezuela según Gaceta Oficial Numero. 36229 de fecha 17 de junio de 1997,
que aun están vigentes y que son de obligatorio cumplimiento por parte de los
órganos de control externo de los estados.
Adicionalmente a la problemática planteada, es de hacer notar que, en la
nómina de auditores y asistentes de auditoria de la Contraloría del Estado Lara, no
existen profesionales en la especialidad de informática. Tal como se desprende de
la información suministrada por la Dirección de Control Fiscal, a través del
listado de los Auditores y Asistentes que pertenecen a la Contraloría del Estado
Lara; que al revisarse permitió ratificar tal hecho.
En este mismo sentido, basados en información suministrada por la
Dirección de Recursos Humanos de la CGEL, se evidencio que existen 19
Licenciados en Contaduría Pública, 1 Economista, 10 licenciados en
Administración y 8 profesionales entre Ingenieros y Arquitectos; De esta misma
información se comprueba que en relación a los años de servicios, una vez
realizados los cálculos correspondientes, existe un promedio aproximado a los 15
años de servicios en el organismo; dejando constancia de la experticia dentro en
materia de auditorias.
Todo lo anterior coloca a la Contraloría del Estado Lara en situación de
minusvalía con el procesamiento de información frente a una realidad enmarcada
la Ley Orgánica de la Contraloría General de la República y del Sistema Nacional
de Control Fiscal y la Ley de Contraloría General del Estado Lara (LCGEL) que
ordenan hacer las actuaciones fiscales sobre los procesamientos de información;
interpretación que se desprende de la Ley de Contraloría del Estado Lara, en su
Artículo Número 59 de la Competencia que establece:
“La Contraloría General del Estado Lara, como órgano de control fiscal externo, en el ámbito de su competencia, podrá realizar auditorias,
6
inspecciones, fiscalizaciones, exámenes, estudios, análisis e investigaciones de todo tipo y de cualquier naturaleza en los entes u órganos sujetos a su control, para verificar la legalidad, exactitud, sinceridad y corrección de sus operaciones, así como para evaluar el cumplimiento y los resultados de las políticas, de las acciones administrativas y de la eficacia, eficiencia, economía, calidad e impacto de su gestión”
El marco jurídico, como se citó, es claro en relación a la actuación del
control al establecer que las mismas son de todo tipo y de cualquier naturaleza, sin
embargo, la CGEL no contaba con una metodología formal para realizar
evaluaciones de la seguridad de la data sobre redes locales de computación, esto
queda confirmado con el informe “Auditoria de Inventario de Bienes Muebles –
Específicamente Equipos de Procesamiento de Datos” presentado en el año 2003
emanado de la Unidad de Bienes Estadales de la Contraloría General del Estado
Lara, donde se evidencia desde el punto de vista de control de bienes una
situación de seguridad; sobre dicho informe entre sus recomendaciones, expresa:
“… Se debe implantar, mediante resolución emitida por el Ciudadano Contralor General del Estado Lara, un instrumento o manual mediante el cual se oriente a los auditores de este órgano de control externo en la evaluación de la seguridad de todos los componentes del ambiente informático…“.
Esta recomendación emitida de conformidad con el inciso 2 del articulo 58
del control externo de la LCGEL que expresa “Determinar el grado de las
políticas prescritas, en relación con el patrimonio y la salvaguarda de tales
entidades “e inciso 4, “Verificar la exactitud y sinceridad de su información
financiera, administrativa y de Gestión”
Por las razones descritas anteriormente, se atendió situaciones que tiene
que ver con la evaluación de la seguridad de la data sobre redes locales de
computación para los auditores de la Contraloría General del Estado Lara, ya que
existía la necesidad de atender los siguientes aspectos: Falta de criterios
metodológicos, Capacitación de auditores, Manuales de actuaciones. Todo
7
orientado a realizar exámenes y evaluaciones a la información que suministran los
entes sujetos a control.
Formulación del Problema
Es la reducción del problema objeto a estudio a términos concretos, explícitos,
claros y precisos. Esto mediante la elaboración de varias preguntas que marcaron
el inicio formal de la investigación.
Ante esta situación, se planteo una serie de interrogantes:
¿Cómo debería estar diseñada la metodología para que se constituya en un marco
normativo en materia de evaluación de la seguridad de la data sobre redes locales
de computación para los auditores de la Contraloría General del Estado Lara?
¿Que aspectos técnicos en materia de auditoria e informática deberían ser usados
en el diseño de la metodología de evaluación de la seguridad de la data sobre
redes locales de computación para los auditores de la Contraloría General del
Estado Lara?
¿Qué fases deberían incorporarse en la metodología de evaluación de la seguridad
de la data sobre redes locales de computación para los auditores de la Contraloría
General del Estado Lara?
En virtud de orientar las líneas de acción que se han de seguir, en el desarrollo
de esta investigación, se redacto el objetivo general como propósito global del
estudio y fin último buscado en la consecución de la propuesta metodológica o
solución a presentar en la Contraloría General del Estado Lara.
8
Objetivos
Objetivo General
Diseñar una metodología de evaluación de seguridad de la data sobre redes
locales de computación para los auditores de la Contraloría General del Estado
Lara.
Objetivo Específicos
- Identificar los criterios dentro del marco normativo que rigen en el máximo
órgano de control externo de los Estados para la elaboración de la metodología a
utilizar en la evaluación de la seguridad de la data sobre redes locales de
computación para los auditores de la Contraloría del Estado Lara.
- Identificar los aspectos teóricos informáticos y de auditoria en relación a la
seguridad de la data sobre redes locales de computación.
- Vincular el marco normativo con los aspectos teóricos de informática y de
auditoria en la estructuración de la metodología de evaluación de la seguridad de
la data sobre redes locales de computación para los auditores de la Contraloría
General del Estado Lara.
Justificación
Aquí se señalaron las razones por la cuales se realizó la presente
investigación y sus posibles aportes desde el punto de vista practico.
Inicialmente, es importante hacer una serie previa de consideraciones.
9
El diseño e implementación de la metodología para la evaluación de la
seguridad de la data sobre redes locales de computación, es fue debido a que la
Ley de Contraloría del Estado Lara, artículo Número 12 de las Atribuciones del
Contralor, lo faculta para crear las normativas que considere pertinentes para
aplicarlas en la actuaciones fiscales. Para ello utiliza la figura de Resoluciones
Administrativas que deben ser publicadas en Gaceta Oficial. Estas normas quedan
investidas de obligatorio cumplimiento basado en el artículo número 12 de la Ley
de Publicaciones Oficiales, de la Gaceta Oficial del Estado Lara el cual establece:
“Las Leyes, Decretos, Resoluciones, acuerdos y demás actos oficiales tendrán el carácter de públicos y auténticos, una vez publicados en la Gaceta Oficial del Estado Lara y los ejemplares de ésta tendrán fuerza de documento público”.
Adicionalmente, el articulo primero de las Normas de Auditoria de Estado
establece que “Las presentes Normas están dirigidas a optimizar la labor de
auditoria de Estado y unificar criterios y principios atinentes a su desarrollo,
mediante el establecimiento de un marco técnico normativo para el análisis y la
evaluación de la Gestión Pública y el ejercicio de la actividad técnica del auditor”.
Se observó entonces la existencia de una base jurídica que sustenta la
metodología a diseñarse, la cual debió a su vez tomar en consideración los
aspectos técnicos y jurídicos en materia de auditoria informática.
Con respecto a la razón técnica, estaba representada en una realidad para la
Contraloría del Estado Lara, que contenía información y datos cada día mas
difíciles de examinar para un auditor que no es especialista en auditoria
informática, por lo tanto proporcionar seguridad a la información y datos
capturados, almacenados, procesados y generados desde una red local de
computadores era de vital importancia para todas las actuaciones fiscales.
Este razonamiento técnico, fue pertinente para toda la Administración
Pública; la Ley de Simplificación Sobre Trámites Administrativos señala en el
artículo número 23 lo siguiente, “… A tal fin se deberán implementar bases de
10
datos de fácil acceso, tanto para los ciudadanos como para los mismos órganos y
entes públicos”, Igualmente dentro de esta misma Ley, el artículo número 45
expresa, “Cada organismo de la Administración Pública creará un sistema de
información centralizada, automatizada, ágil y de fácil acceso… ”.
Situación que reconocía la necesidad de evaluar, la integridad de la data
almacenada, independientemente del tipo de auditoria a ejecutar sobre estos
órganos sujetos a control.
Se desprendió entonces que, cualquier institución sujeta a control en la
búsqueda del eficiente cumplimiento de las funciones públicas tienden a
incrementar sustancialmente la automatización de sus procesos; de allí esta
investigación trata de hacer aportes a la solución de problemas derivados del uso
de redes locales de computación y especialmente de la incidencia de la seguridad
de la data. Fue por lo tanto un requerimiento corporativo contar con una guía para
los auditores de la Contraloría General del Estado Lara, el diseño de una
metodología, de acuerdo a principios técnicos y normativos.
Esta investigación buscó contribuir en la solución de una situación técnica
a los auditores, y surgió del análisis la necesidad de contar con una guía para este
tipo de actuación fiscal; en consecuencia estudió aspectos inherentes para diseñar
una metodología para la evaluación de la seguridad de la información y datos en
redes locales de computación para los auditores de la Contraloría General del
Estado Lara.
Delimitación y Alcance
La presente investigación tuvo como escenario fundamental, a la
Contraloría del Estado Lara, como máximo órgano de control externo del Estado
Lara en virtud de las competencias establecidas por la Ley de Contraloría General
del Estado Lara y Ley Orgánica de la Contraloría General de la Republica y del
Sistema Nacional de Control.
11
Evidentemente se buscó asegurar la existencia de integridad desde el
proceso de captura y procesamiento; y en consecuencia contar con información y
datos razonablemente confiables para el auditor.
La elaboración del estudio se realizó en un tiempo de un año
comprendidos entre enero y diciembre del año 2006; tiempo suficiente para
recolectar y procesar los datos, en su totalidad se obtuvieron por revisión de
fuentes documentales y bibliografía, otros datos por consideración de factores
legales y normativos, así como de los aspectos teóricos en el área informática y de
auditoria, que sirvieron de insumo para formulación de las pautas y pasos
metodológicas de evaluación de la seguridad de la data sobre redes locales de
computación; de utilidad técnica a los auditores en la ejecución de las actuaciones
fiscales ordenadas por la Contraloría General del Estado Lara.
La metodología de la evaluación de la seguridad de la data sobre redes
locales de computación, constituyó una propuesta que fue considerada pertinente
por la unidad de Planificación de la Contraloría General del Estado Lara, de
acuerdo a las normativas que rigen la materia de diseño y elaboración de
manuales.
12
CAPITULO II
MARCO TEORICO
Se presenta a continuación el fundamento teórico, sobre el que se ajustó la
investigación. En este contexto fue necesario realizar una revisión, sobre
antecedentes, aspectos sobre informática, información y seguridad, Auditoria
Informática y Sistemas, y sus relaciones con el tema objeto a estudio, de tal forma
que permitiera una mejor comprensión del trabajo de investigación. Sin olvidar el
basamento legal y normativo. Esto incluyó según, la Enciclopedia de Informática
y Computación (1998a), “realizar el diseño epistemológico o conceptualización,
es decir, hacer explicito los conceptos claves y relaciones relevantes surgidas
secciones de adquisición de conocimientos “(Pág. 5).
Una vez expuestos los elementos del problema, identificado en la práctica
auditora de la Contraloría General del Estado Lara, y definidos los objetivos de la
investigación (general y específicos), se procedió a precisar, previa revisión y
análisis de las fuentes bibliográficas y documentales del organismo, los
fundamentos teóricos en lo que se sustentó el estudio. El propósito fue dar al
estudio un estilo coordinado y coherente de conceptos y proposiciones que
permitieran integrar al problema a un ámbito de orden acertado y razonable.
También fue preciso situar al problema objeto de estudio dentro de un
ambiente de conocimientos, basados en conceptos y fundamentos necesarios y
suficientes tanto de los elementos previamente observados y valorados a través de
la experiencia personal en concordancia con los aspectos teóricos en materia
informática, seguridad, datos y auditoria. Esos fundamentos tuvieron que ver con
áreas esenciales de la Informática cuya plataforma alude conceptos básicos o
complejos como data, organización de carpetas, almacenamiento, resguardo,
recuperación, encriptamiento, registros y archivos, creación de cuentas de
usuarios, definición de accesos, sistemas ininterrumpidos de energía y
13
comunicación en redes, que debieron ser evaluados desde el punto de vista de la
Auditoria Informática para determinar que cumplen con las funciones de
seguridad previstos.
Es de hacer notar que en materia de conceptualización, para esta
investigación se tomaron como sinónimos data, datos e información por cuanto
la misma no pretendió su análisis conceptual en referencia a su uso en un
momento determinado sino de su uso como insumo para las auditorias.
A los fines de fortalecer a esta investigación, también se estableció
mediante el enfoque de sistema, un vínculo entre elementos que pertenecen a un
mismo sistema, en función de ello fue vital observar la interrelación de los
auditores, la data, su seguridad, aspectos del marco normativo y teóricos
informáticos con los procedimientos de evaluación que son pertinentes.
Antecedentes
Se refiere a estudios previos que pueden contribuir a la investigación ya
que de alguna manera contribuyen en el proceso de indagación.
Se hizo referencia a La Legislación sobre la seguridad de la Data en
España y en Venezuela y se consultaron elementos importantes sobre manejo de
información en investigaciones de la Universidad Nacional de Colombia y de la
Universidad de Málaga de España.
España, siempre ha sido una referencia obligada en muchas de las
actividades públicas y privadas que en Venezuela se ejecutan. La legislación
española, ha entendido la necesidad de darle protección a la información;
Mediante Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
Reglamento De Medidas de Seguridad de los ficheros automatizados que
contengan datos de carácter personal y tiene por objeto establecer las medidas de
índole técnica y organizativas necesarias para garantizar la seguridad que deben
reunir los ficheros automatizados, los centros de tratamiento, locales, equipos,
14
sistemas, programas y las personas que intervengan en el tratamiento
automatizado de los datos de carácter personal sujetos al régimen de la Ley
Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado
de los Datos de carácter personal.
Como se demostró en la investigación, mantener la integridad de la data de
un sistema, es una necesidad de todas las organizaciones publicas; esa integridad
proporciona información razonablemente valida, es decir, los centros de dirección
deben tener la certeza de que dicha información tiene una fortaleza suficiente para
la toma de decisiones. Por lo que la evaluación que se hizo a los elementos que
inciden en su empleo, permitió medir la seguridad de la data. Por lo tanto y
previamente, haber identificado esos elementos resultó conveniente, el Real
Decreto emitido por la Legislación Española, en ese sentido, detallaba un
conjunto de definiciones: usuarios, recursos, accesos autorizados, identificación,
autentificación, control de acceso, incidencias, soporte, responsable de seguridad
y copias de respaldo.
En relación a esta conveniencia, la ley Contra Delitos Informáticos en su
articulo número 2, también identifica a los elementos que considera pertinente con
el objeto de dar la protección integral de los sistemas que utilicen tecnologías de
información así como la prevención y sanción de los delitos cometidos contra
tales sistemas o cualquiera de sus componentes.
En esta última década, el rápido avance de la tecnología, ha originado la
proliferación de fuentes de información digital, sistemas de cómputo y la
inesperada velocidad de expansión de las redes de computadoras han facilitado el
procesamiento, la distribución y la explotación de este tipo de información. Día a
día, todas las actividades se involucran más con la tecnología, y el intercambio de
información se ha convertido en una necesidad primaria de muchos sectores. La
seguridad de la información es preocupación de todos los usuarios de dicha
información. Resultó interesante, conocer el contenido del trabajo de
investigación de López (2000)sobre Modelo para el Desarrollo de Bibliotecas
15
Digitales Especializadas de la Universidad Nacional de México, que analizó el
área de manejo extremo de información, el mismo planteó el problema de la
seguridad de la información:
“…la inestabilidad en los servicios informáticos depende drásticamente de sus sistemas de seguridad y por la interconexión de redes el número de posibles "usuarios infractores" aumenta potencialmente. La tecnología facilita los ataques a los sistemas pero también nos permite detener, ubicar y atrapar al responsable, aunque con la legislación vigente no se contempla perseguir los ataques o crímenes cibernéticos con la rigidez que realmente se debería hacer. Lo más importante es proteger nuestros sistemas, fortalecer la infraestructura tecnológica de cómputo y comunicaciones, capacitar a los usuarios y al personal responsable de la seguridad para prevenir estos eventos. Básicamente, existen dos tipos de seguridad que debe preocuparnos: la seguridad física y la seguridad de datos. Para cada uno, existen esquemas que garantizan la protección contra intrusos en nuestros sistemas” (Pág. 68).
Por otro lado, los sistemas de información emiten un conjunto de datos o
información sobre papel, son fuente de información y es solicitada generalmente
por los auditores mediante Acta de Requerimiento; es decir, el primer contacto
comunicativo de los auditores con la información procesada podría ser la
inspección óptica sobre estos reportes o documentos. Y ciertamente, es un
documento emitido por el sistema que será sometido a evaluación para determinar
la validez de su contenido. Es así como en el trabajo de Investigación presentado
por Palomares (1997), en relación a los documentos emitidos por un sistema
expresaba, “…el documento se perfila como algo más: es información, es una
entidad material, es mensaje, es conocimiento registrado en un soporte”. Continúa
y define documento electrónico como aquel:
“…que nace como consecuencia de la interconexión de ordenadores por medio de redes y de la utilización de aplicaciones informáticas específicas. Este documento virtual cuenta con una doble dimensión: espacial y temporal. En el tiempo, el sistema automatizado permite actualizar su contenido, ya que sus partes pueden enlazarse con otros documentos. En el espacio, la flexibilidad del programa facilita enrutar los documentos automáticamente a través de toda la red, y mostrarlos a los usuarios en una gran variedad de formas (texto, imagen, sonido, gráfico)” (Pág. 51).
16
La protección de estos documentos electrónicos, como se observa también
fue una prioridad. Fueron y son un requerimiento universal.
Bases Teóricas
Comprenden un conjunto de conceptos y proposiciones que constituyen un
punto de vista o enfoque determinado, dirigido a abordar el fenómeno u problema
planteado.
Informática. Información y Seguridad
Recordando que la presente investigación buscó proponer una herramienta
metodológica, es particularmente significativa la definición siguiente, para
Enciclopedia de Informática y Computación. (1998 a), “El objetivo básico de la
informática es la creación de instrumentos que sustituyan, o en algún caso imiten
al ser humano en la resolución de cierto tipo de problemas” (Pág. 5).
A partir de ahí, se han construido instrumentos informáticos que han
imitado capacidades psíquicas, del ser humano cada vez más complejas: calculo,
almacenamiento y manejo de datos, realización de algoritmos, almacenamiento y
manejo de información y en los últimos tiempos realización de tareas
consideradas inteligentes.
El termino Informática, en atención a Microsoft (2003), expresa que es,
“El estudio de las computadoras incluyendo su diseño, operación y empleo en el
procesamiento de la información. La informática combina aspectos tanto teóricos
como prácticos de la ingeniería, la electrónica, la teoría de la información, las
matemáticas, la lógica y la psicología. Los diversos aspectos de la informática van
desde la programación y la arquitectura de computadoras hasta la inteligencia
artificial” (Pág. 400). Es particularmente oportuno, definir el terminó Informática,
17
puesto que la seguridad a evaluar se refiere a uno de sus componentes: la
información o data. Así, sobre la información Burch y Strater (1984) precisa,
“… significa un aumento de conocimientos, obtenidos por el receptor mediante la coordinación apropiada de los elementos de los datos con las variables de un problema. La información es la adición o el procesamiento de los datos, que puede proporcionar un conocimiento o bien el entendimiento de ciertos factores” (Pág. 45).
Esta definición fue particularmente especial, ya que se hace aludiendo a las
variables de un problema. Para los auditores de la Contraloría del Estado Lara, la
información constituye un insumo fundamental en la ejecución de todas las
actuaciones fiscales que le son ordenadas. De allí el interés de resolver este
requerimiento técnico en el desempeño de sus funciones.
En relación a las personas que hacen uso de un sistema, se puede decir que
tiene un papel importante en el manejo de la data; esta afirmación lo detalló la
Ley de Contra Delitos Informáticos al definir la data de la siguiente manera en su
artículo 2, literal c, “ Data (datos): hechos, conceptos, instrucciones o caracteres
procesados de una manera apropiada para que sean comunicados, transmitidos o
procesados por seres humanos o por medios automatizados y a los cuales se les
asigna o se les puede asignar un significado”
Para ampliar este aspecto teórico sobre información, Rose (1993) señaló,
“al asignarle a la información algún modelo de organización, ésta puede
acrecentar los conocimientos de usuario y su certidumbre al tomar decisiones,
evitando así un sinnúmero de tentativas….” (Pág. 13).
A los fines de aportar, al concepto de información, más elementos se tomó
del Microsoft (2003), lo siguiente, “el significado de los datos tal como se
pretende que los interpreten las personas” (Pág. 399). Es decir la información para
que sea información tiene que ser entendida por las personas.
18
La clasificación de información, no tiene un esquema de clasificación
generalmente aceptado, pero para los fines de control externo es pertinente
precisar información útil a la alta gerencia, mediana y grupos operativos; en
consecuencia se tomó como valida como lo sugerido por Burch y Strater (1984),
que “La data puede clasificarse de acuerdo a aspectos de Estrategia, Táctica y
Operativa” (Pág. 47).
El Almacenamiento de la información, es la acción que permite guardarla
en uno o varios medios definidos para tales fines, inmediatamente después de
capturada. Para complementar lo anterior, Burch y Strater (1984) agregó,
“mediante esta operación, los datos se guardan en algún dispositivo, como papel,
microfilm o dispositivo magnético, donde se pueden tener disponibles y
consultados cuando sea necesarios” (Pág. 48). Algunos trabajos hicieron
referencia al término documento como un medio, en ese sentido, la Ley Especial
Contra los Delitos Informáticos en el Articulo 2, literal e, identifica Documento
como “registro incorporado en un sistema en forma escrito, video, audio o
cualquier otro medio, que contiene data o información acerca de un hecho, o acto
capaces de causar efectos jurídicos”.
El almacenamiento y recuperación, son operaciones que tienen como
objeto primero ubicar la información y segundo obtenerla ya sea por cualquier
usuario autorizado o por requerimiento del auditor.
Ante el almacenamiento de la información, el auditor haciendo analogía
con el sistema de mensajería de un celular, infiere que el sistema automatizado
puede mover los datos debido a una programación o debido a una solicitud de un
usuario. Tiene un experticia en manejos de información de que la misma siempre
esta en movimiento entre carpetas, esto es el movimiento de datos desde una
ubicación a otra. En ese orden de ideas, la Ley Especial Contra los Delitos
Informáticos, precisa en relación a Procesamiento de Datos e información en su
articulo 2 de las definiciones, inciso k, lo siguiente: “realización sistemática de
19
operaciones sobre data o sobre información, tales como manejo, fusión,
organización o cómputo”.
La transmisión de datos esta muy ligada a las Redes de Computación. En
este caso, Ray y Pany (2000), expone “La llegada de las telecomunicaciones – la
transmisión electrónica de la información por radio, cable fibra óptica, láser y
demás sistemas electromagnéticos -, ha hecho posible transferir información entre
computadores. Las redes de computadoras unidas a través de vínculos de
comunicaciones permite a las compañías comunicar información en cualquier
dirección, entre sedes de negocios geográficamente dispersos” (Pág. 208).
Por otro lado la información puede desaparecer en cualquier sistema y
causar daños irreparables a la organización sujeta a control, causando molestias al
momento de atender demandas de solicitud de información.
Mas adelante, para atender esas demandas, fue preciso mantener criterios
de respaldos; es así como Rose (1993) completa, “…los archivo de respaldo son
copias extras de cualquier archivo y se crean para emplearlos en casos de que se
destruya el archivo actual; son duplicados del conjunto original de los datos”
(Pág. 180).
Aquí fue oportuno diferenciar recuperación en base a restauración de datos
perdidos y la recuperación de datos borrados; es pertinente para reforzar esta
afirmación, lo tomado en consulta a Microsoft (2003), que define la recuperación
así: “la restauración de datos perdidos o la reconciliación de datos conflictivos o
erróneos después de un fallo del sistema” (Pág. 641).
Al tratar el tema de la seguridad e integridad de los datos, se hizo
necesario tomar en referencia un concepto y una realidad que ha ido creciendo con
particular importancia; la información puede ser alterada por la acción de un virus
computacional o informático. Puede invadir los sistemas por medio de un archivo
infectado vía remoto por la red o vía local por el computador que se opera. En tal
20
sentido para comprender mejor lo anteriormente expuesto, Rose (1993) define a
los virus de la siguiente manera,
“los virus computacionales son programas de computadora que reciben este nombre por su similitud con los virus biológicos por su capacidad de formar copias de sí mismos, es decir, de reproducirse, de causar daños en el organismo o sistema que los aloja y también en que resulta difícil se detección y erradicación” (Pág. 181).
Para una mejor comprensión, Microsoft (2003), precisa y recoge una
definición concisa al señalar que: es “un programa intrusivo que infecta los
archivos informáticos insertando en dichos archivos copias de sí mismo”
(Pág. 798).
Otro aspecto de seguridad que se debió abordar, vinculado con la
protección de la data, fue el encriptamiento de la información, es decir,
sustituyéndola por códigos basados en símbolos, caracteres y gráficos
aparentemente incoherentes. Se utiliza una aplicación o programa para dicha
conversión. Microsoft (2003), describe la fase de encriptamiento como:
“el proceso de codificar los datos para impedir el acceso no autorizado a los mismos, especialmente durante la transmisión. El cifrado se basa, usualmente, en una o más claves o códigos que son esenciales para decodificar los datos, es decir devolverlos a su formato legible” (pag145);
Es decir, quien recibe o requiera, no entiende la información tal como esta
presentada para lo cual, hay una fase que permite hacerla entendible; esta fase de
decodificación, igualmente lo describe Microsoft (2003), como sigue:
“es un dispositivo o rutina de programa que vuelve a convertir los datos codificados a su forma original. Esto puede significar transformar códigos no legibles o cifrados en texto legibles o cambiar de un código a otro, aunque a este último tipo de decodificación se le conoce normalmente como Conversión” (Pág. 229).
También se revisó otros elementos ligados a la seguridad de la data. Los
datos estructurados y almacenados en soporte legible por ordenador necesitan de
21
una aplicación informática que permita crear, mantener y explotar esos datos. Esta
aplicación informática se identificó como Sistema de Gestión de Bases de Datos o
conjunto coordinado de programas y procedimientos que suministran los medios
necesarios para describir y manejar los datos integrados en las bases. En virtud de
esta consideración Palomares (1997) expone que los programas de gestión de
bases de datos realizan las siguientes funciones:
“administración de bases de datos que comprende todas aquellas operaciones relacionadas con el diseño y creación de una base de datos, tareas como: definición del modelo de registro, determinación de la política de indización y mantenimiento. Encierra operaciones relacionadas con la alimentación de las bases de datos, bien por adición, modificación o supresión de registros., Indización y recuperación. Se ocupa de las tareas de creación de índices automáticos y de las modalidades de consulta., Difusión de la información, que abarca tanto los aspectos relacionados con la salida de registros como las operaciones que se ocupan de la incorporación y adaptación de ficheros externos de registros.” (Pág. 121).
En este sentido, sobre seguridad de las Bases de Datos, la Enciclopedia de
Informática y Computación (1998 b), explica que:
“una base de datos mantiene íntegra la información almacenada cuando en todo momento los datos que contiene en su interior son los mismos que han sido introducidos sin que se hayan producidos modificaciones posteriores no comprobadas ni validadas. Los medios de validación de datos del sistema…han de proveer a ésta de la posibilidad de detectar la introducción de información inconsistente” (Pág. 43).
Continúa en relación a la confidencialidad con lo siguiente “…establecer
una serie de restricciones al acceso de esa información” (Pág. 44). La seguridad de
la data también incluye mantener un debido control, sobre las personas que se
convierten en usuarios autorizados de un sistema automatizado; un usuario
autorizado tiene asignado para operar una Cuenta de Usuarios; Microsoft (2003),
proporciona una referencia significativa definiéndola en los términos siguientes:
“es un sistema informático multiusuario o un sistema informático seguro, es un método establecido para que una persona pueda tener acceso al sistema o sus recursos. Usualmente creada por el administrador, una cuenta de usuario esta compuesta de información
22
acerca del usuario, como una contraseña y una serie de derechos y privilegios” (Pág. 219).
Dentro de este cuadro de limitaciones se debió considerar las expectativas
del usuario, Laboratorio Docente de Computación (2000), expresa:
“para el usuario que tiene datos en un sistema de información, las expectativas incluyen: Que pueda tener acceso a los datos cuando los necesita (el sistema es confiable), que los datos no desaparezcan espontáneamente en el futuro, que los datos no se alteran sin autorización y que los datos no se lean sin autorización” (Pág. 30).
En ese mismo orden de ideas, la Creación de Usuarios esta ligada a los
Controles de Acceso; Microsoft (2003) lo define así:
“los mecanismos para limitar el acceso a ciertos elementos de información o a ciertos controles basándose en las identidades de los usuarios y en su pertenencia a varios grupos predefinidos. Los mecanismos de control de accesos son utilizados normalmente por los administradores de los sistemas para controlar el acceso de los usuarios a los recursos de la Red, tales como servidor, directorio y archivos” (Pág. 199).
Este control de acceso indica que la cuenta de usuario, permite al sistema
verificaciones, que tienen que ver, con Identificación, Autenticación y Contraseña,
En función de ello, la legislación española mediante el Real Decreto 994/1999, en
su artículo 2, indica:
1.- al 4. (Omisiss) 5.- Identificación: Procedimiento de reconocimiento de la identidad de un usuario. 6.- Autenticación: Procedimiento de comprobación de la identidad de un usuario. 7.- (omisiss) 8.- Contraseña: Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario. 9.- al 12 (omisiss)
Un recurso a darle seguridad, normalmente olvidado, tuvo que ver con las
impresoras; se han convertido en una fuente de emisión de información vital para
23
el usuario ya sea presentada en forma de reportes o documentos; las impresoras y
la incorporación de colas de impresión ha hecho que su sistema sea también sujeto
a evaluación.
Según Microsoft (2003), cola de impresión es,
“el Búfer para los documentos e imágenes en espera de ser impresos. Cuando una aplicación coloca un documento en la cola de impresión, éste se mantiene en una parte especial de la memoria de la computadora, donde espera hasta que la impresora este lista para recibirlo” (Pág. 165).
Todos estos criterios de seguridad informática, de los que dispone un
sistema automatizado de información, no cumplirían con sus respectivos
cometidos si no existe un sistema de alimentación ininterrumpido de energía
(conocido como UPS). Es un dispositivo que esta constituido por una batería y un
sensor de perdida de alimentación; el protege a la computadora contra posibles
sucesos dañinos tales como los picos de alimentación y las sobretensiones. Estos
sucesos causarían suspensiones constantes o totales del fluido eléctrico. Microsoft
Diccionario de Informática e Internet (2004), en su definición, resaltó que ante la
perdida de alimentación, “si el sensor detecta que se ha perdido las alimentación,
conmuta a la batería para que el usuario tenga tiempo de salvar el trabajo que haya
estado haciendo y después apagar la computadora” (Pág. 673).
Antes de entrar en consideraciones sobre la Auditoria, es preciso tener una
idea de integridad y de seguridad, Rose (1994), plantea que
“la integridad es la coordinación de programas distintos para el acceso a datos y para asegurar la validez de los datos. La integridad también incluye mantener una guía de auditoria, es decir, una Bitácora o registro de todos los accesos y cambios que afecten a cada dato elemental así como de la interacción de programas y datos, de manera que pueda recuperarse la integridad sí se detecta un error posteriormente” (Pág. 189).
Igualmente en relación a la seguridad Rose (1994), aduce que:
24
“un sistema para base de datos debe tener los mecanismos adecuados para la asignación, control, y revocación de derechos de acceso (leer, cambiar, insertar, eliminar) a cualquier usuario de cualquier dato elemental. El sistema debe garantizar la seguridad de los datos. Conforme aumenta en la base la cantidad de los datos compartidos y los programas de usuarios, la tarea del sistema para garantizar la seguridad también se incrementa” (Pág. 190).
Auditoria y Auditoria Informática
Para Piattini y Del Peso (2005) conceptualmente la auditoria, toda y
cualquier auditoria, “es la actividad consistente en la emisión de una opinión
profesional sobre sí el objeto sometido a análisis presenta adecuadamente la
realidad que pretende reflejar y/o cumple las condiciones que le han sido
prescritas”. Este concepto de auditoria, se enfoca desde el punto de vista general;
más adelante Piattini y Del Peso (2005) al descomponer este concepto en los
elementos fundamentales que la forman, agrega “Contenido: una opinión,
Condición: profesional; Justificación: sustentados en determinados
procedimientos; Objeto: una determinada información obtenida en un cierto
soporte; Finalidad: determinar sí presenta adecuadamente la realidad o ésta
responde a las expectativas que le son atribuidas, es decir, su fiabilidad” (Pág. 4).
Cuadro 1 Clases o tipos de Auditoria
Clase Contenido Objeto Finalidad Financiera Opinión Cuentas Anuales Presenta realidad Informática Sistemas de
aplicación, recursos informáticos, planes de contingencia, etc.
Operatividad eficiente según normas establecidas.
Gestión Opinión Dirección Eficacia, eficiencia, economía
Cumplimiento Opinión Normas establecidas Las operaciones se adecuan a estas normas
Fuente: Piattini y del Peso (2005)
Al respecto del Cuadro 1, Piattini y Del Peso (2005), en relación a objeto y
finalidad asegura lo siguiente, “distinguen que clase o tipo de auditoria se trata. El
25
objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con
que se realiza el estudio, definen el tipo de auditoria de que se trata” (Pág. 4).
Por otra parte la información como elemento en todas estas definiciones,
constituye una realidad constante, la auditoria se basa en información, procesa
información, evalúa información y emite información paro legalmente esa
información es examinada por un humano que es el auditor; por ello el Instituto
Mexicano de Contadores Públicos (1994), agrega, “Las normas de auditoria son
los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo
que desempeña y a la información que rinde como resultado de dicho trabajo”
(Pág. 13).
La información sirve de partida para las auditorias. La seguridad de la
información también es vital para las auditorias. En relación a ello, en Microsoft
(2003), se observó,
“En referencia a la informática, un examen de los equipos, programas, actividades y procedimientos dirigido a determinar con qué eficiencia se esta comportando el sistema global, especialmente en términos de garantizar la integridad y seguridad de los datos” (Pág. 72).
Cepeda (1997), en relación a la auditoria informática advirtió lo siguiente,
“su campo de acción será: …- Evaluación de los sistemas y procedimientos y de
la eficiencia que tienen en el uso de la información – y Evaluación del proceso de
datos y de los equipos de computo… ” (Pág. 203).
En atención a la planificación de la auditoria informática, Albuja (2000)
expresó lo siguiente: “El proceso de auditoria en ambientes computarizados tiene
muchas semejanzas con el proceso tradicional de control:
Planificación: La auditoria a los sistemas automatizados busca
fundamentalmente emitir una opinión al respecto de la calidad, confiabilidad y
oportunidad de la información que se produce y se genera dentro de tales
sistemas. El análisis implica una serie de procedimientos manuales y
26
automatizados; Por esos motivos, el auditor, para enfrentar un proceso
automatizado debe considerar en la cobertura de sus análisis diversas funciones,
actividades y procedimientos tanto técnicos como administrativos que son
necesarios para el procesamiento de la información. Si el componente a analizar
tiene total dependencia con un sistema automatizado, éste debe ser evaluado
obligatoriamente; caso contrario su análisis deja de ser necesario. Es
indispensable que el auditor planifique el trabajo; la auditoria de igual forma debe
efectuar una planificación previa frente al trabajo a desarrollar…sin embargo, el
ambiente informático sí modifica el desarrollo de la actividad auditora, debido
fundamentalmente al tipo de elemento a evaluar y las técnicas que deben ser
aplicadas, variando el concepto del auditor sobre el control individual al control
del sistema en todo su conjunto.
La planificación en este tipo de trabajo, permite asegurar un nivel
adecuado en el alcance del examen, proporcionando un programa lógico para
realizar dicha actividad, además permitirá establecer el tiempo que tomará.
Tomando en cuenta estos conceptos, se procedió bajo el siguiente esquema:
conocimiento de la entidad, conocimiento del área de sistemas, evaluación de
controles generales y específicos, pruebas y comunicación de resultados
obtenidos.
Ejecución: Del esquema de la planificación, se desarrolla el aspecto de
Evaluación de Controles Generales y Específicos dentro del área a examinar. De
aquí se procede a evaluar pormenorizadamente lo concerniente a controles
específicos para el sistema en cuestión. Se describen los puntos más importantes a
verificar dentro de estos controles: de ellos se considera la seguridad lógica.
Luego, el auditor esta en capacidad de preparar las pruebas de auditoria, por
medio de las cuales espera obtener los elementos de juicio suficientes para
determinar el impacto en la información procesada. Se habla de pruebas
sustantivas que tienden a probar la consistencia e integridad de la información.
Las pruebas sustantivas reciben influencia directa de la evaluación de los
controles o del resultado de las pruebas de cumplimiento, pues a la falta de
27
controles la confiabilidad de la información disminuye substancialmente.
Resumiendo, se tiene que: las pruebas de cumplimiento permiten determinar la
eficacia de los controles (fortalezas), mientras que las pruebas sustantivas están
orientadas a determinar sí la información producida por el sistema es valida
(debilidades).
Comunicación de Resultados: Los resultados permitirán al auditor, tener
una certeza razonable sobre la validez y confianza en la información producida
por los sistemas, que le es suministrada por los auditados” (Pág. 12).
Sistemas.
Para un mejor entendimiento de este concepto Microsoft (2003), define
sistema como “Cualquier colección de elementos componentes que funciona
conjuntamente para realizar una tarea” (Pág. 704).
Si embargo el término sistema, puede ser ubicado en un contexto algo
mayor, es así como en la Ley Especial Contra los Delitos Informáticos en el
Artículo 2 de la Definiciones, inciso b entiende por Sistema,
“Cualquier arreglo organizado de recursos y procedimientos diseñados para el uso de tecnologías de información, unidos y regulados por interacción o interdependencia para cumplir una serie de funciones específicas, así como la combinación de dos o más componentes interrelacionados, organizados en un paquete funcional, de manera que estén en capacidad de realizar una función operacional o satisfacer un requerimiento dentro de unas especificaciones previstas.”
Lo anterior explica como la Contraloría, los órganos sujetos a control, los
auditores, los sistemas de información, los usuarios, la data, las actuaciones
fiscales, los elementos de seguridad y las interrelaciones que existen entre ellos,
forman parte de un ambiente común llamado Sistemas.
28
Basamento Legal
La Contraloría General del Estado Lara, es el máximo órgano de control
externo del Estado Lara, y su funcionamiento esta sujeto a las disposiciones
reglamentarias de la Contraloría General de República, así como de las
resoluciones administrativas que emita el mismo despacho del Contralor del
Estado. Tanto las disposiciones reglamentarias como estas resoluciones son de
obligatorio cumplimiento para todos los procedimientos que deben ejecutarse
dentro del organismo.
Normas Internacionales (ISO)
La Organización Internacional para la Estandarización (ISO) es una
organización internacional no gubernamental, compuesta por representantes de los
organismos de normalización (ONs) nacionales, que produce normas
internacionales industriales y comerciales. Dichas normas se conocen como
normas ISO y su finalidad es la coordinación de las normas nacionales, en
consonancia con el Acta Final de la Organización Mundial del Comercio, con el
propósito de facilitar el comercio, facilitar el intercambio de información y
contribuir con unos estándares comunes para el desarrollo y transferencia de
tecnologías.
En España existe la publicación nacional UNE-ISO/IEC 17799 que fue
elaborada por el comité técnico AEN/CTN 71 y titulada Código de buenas
prácticas para la Gestión de la Seguridad de la Información que es una copia
idéntica y traducida del Inglés de la Norma Internacional ISO/IEC 17799:2000.
La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima
que esté disponible en la segunda mitad del año 2006.
ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en
la gestión de la seguridad de la información a todos los interesados y responsables
29
en iniciar, implantar o mantener sistemas de gestión de la seguridad de la
información. La seguridad de la Información se define en el estándar como la
preservación de la confidencialidad (asegurando que sólo quienes estén
autorizados pueden acceder a la información), integridad (asegurando que la
información y sus métodos de proceso son exactos y completos) y disponibilidad
(asegurando que los usuarios autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran).
Constitución de la República Bolivariana de Venezuela. Gaceta Oficial de la
República Bolivariana de Venezuela Nº 5.453 Extraordinario del 24 de marzo
de 2000.
Para el estado venezolano la tecnología y la información son factores
dignos de proteger y estimular; eso se desprende al observar términos como
información, documentos, derecho a estar informado establecidos inicialmente en
el texto constitucional, sobre ello Articulo 28, enuncia,
“Toda persona tiene derecho de acceder a la información y a los datos…. Igualmente, podrá acceder a documentos de cualquier naturaleza que contengan información cuyo conocimiento sea de interés para comunidades o grupos de personas”.
Pero la información, depende de otros elementos, que están íntegramente
ligados en su procesamiento, de allí, tenemos que el, Artículo 110, expresa,
“El Estado reconocerá el interés público de la ciencia, la tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de información necesarios por ser instrumentos fundamentales para el desarrollo económico, social y político del país, así como para la seguridad y soberanía nacional. Para el fomento y desarrollo de esas actividades, el Estado destinará recursos suficientes y creará el sistema nacional de ciencia y tecnología de acuerdo con la ley. El sector privado deberá aportar recursos para las mismas. El Estado garantizará el cumplimiento de los principios éticos y legales que deben regir las actividades de investigación científica, humanística y tecnológica. La ley determinará los modos y medios para dar cumplimiento a esta garantía”.
30
Sin embargo, se debe cubrir aspectos generales que son de importancia, se
debe tomar en cuenta el consumidor de la Información, los documentos
electrónicos y la tecnología. Deben estar al alcance de la sociedad, el Artículo
143, es claro,
“Los ciudadanos y ciudadanas tienen derecho a ser informados e informadas oportuna y verazmente por la Administración Pública, sobre el estado de las actuaciones en que estén directamente interesados e interesadas, y a conocer las resoluciones definitivas que se adopten sobre el particular. Asimismo, tienen acceso a los archivos y registros administrativos, sin perjuicio de los límites aceptables dentro de una sociedad democrática en materias relativas a seguridad interior y exterior, a investigación criminal y a la intimidad de la vida privada, de conformidad con la ley que regule la materia de clasificación de documentos de contenido confidencial o secreto. No se permitirá censura alguna a los funcionarios públicos o funcionarias públicas que informen sobre asuntos bajo su responsabilidad”.
Para consolidar estos planteamientos, que giran alrededor de la
información y operaciones relativas a ésta, se fortalecen las instituciones
Nacionales y Estadales en su utilización y provecho público atendiendo
requerimientos para unificación de normas y procedimientos, control, vigilancia y
fiscalización, Es así como la Constitución Nacional, establece para toda la
República, en su Artículo 156, lo siguiente, es de la competencia del Poder
Público Nacional:
1) a 18) (omisiss) 19) El establecimiento, coordinación y unificación de normas y procedimientos técnicos para obras de ingeniería, de arquitectura y de urbanismo, 20) a 33) (omisiss).
Por otro lado, fue necesario especificar sobre el control sobre las
operaciones de los bienes públicos, entre ellos las tecnologías de información. El
Artículo 287 deja constancia de que “La Contraloría General de la República es el
órgano de control, vigilancia y fiscalización de los ingresos, gastos, bienes
públicos y bienes nacionales, así como de las operaciones relativas a los mismos.
Goza de autonomía funcional, administrativa y organizativa, y orienta su
31
actuación a las funciones de inspección de los organismos y entidades sujetas a su
control”, e indica en el Artículo 289,
Que son atribuciones de la Contraloría General de la República:
1. Ejercer el control, la vigilancia y fiscalización de los ingresos, gastos y bienes públicos, así como las operaciones relativas a los mismos, sin perjuicio de las facultades que se atribuyan a otros órganos en el caso de los Estados y Municipios, de conformidad con la ley. 2. a 6 (omisiss)
En función del mejor uso de la tecnología y sus componentes, los estados
se dotan de facultades contraloras a los fines de establecer condiciones para su
evaluación. Por ello, el Artículo 163, expone,
“Cada Estado tendrá una Contraloría que gozará de autonomía orgánica
y funcional. La Contraloría del Estado ejercerá, conforme a esta
Constitución y a la ley, el control, la vigilancia y la fiscalización de los
ingresos, gastos y bienes estadales, sin menoscabo del alcance de las
funciones de la Contraloría General de la República. Dicho órgano
actuará bajo la dirección y responsabilidad de un Contralor o
Contralora, cuyas condiciones para el ejercicio del cargo serán
determinadas por la ley, la cual garantizará su idoneidad e
independencia, así como la neutralidad en su designación, que será
mediante concurso público”.
Ley Sobre Simplificación de Tramites Administrativos, Gaceta Oficial 36845 de
7 de diciembre de 1999
A esta necesidad de unificar criterios para examinar información, se
agregó la necesidad imperiosa de mejorar el esquema de los trámites
administrativos; la administración pública debe modernizarse; debe incluir por
mandato de ley, bases de datos y sistemas automatizados de información; como lo
32
indica, la secuencia lógica dada a los artículos de esta ley. Es inmediata la
actualización en el manejo de la información, es preciso, el Artículo 5:
“Cada uno de los órganos y entes de la administración pública, en el ámbito de sus competencias, llevará a cabo la simplificación de los trámites administrativos que se realicen ante los mismos. A tales fines elaborarán sus respectivos planes de simplificación de los trámites administrativos, con fundamento en las bases y principios establecidos en este decreto-ley y de conformidad con los siguientes lineamientos: 1) (omisiss). 2) Simplificar y mejorar los trámites realmente útiles, lo cual supone entre otros aspectos: a) a c) (omisiss). d) Utilizar al máximo los elementos tecnológicos de los que se disponga actualmente. e) a h) (omisiss). 3) (Omisiss)”.
En ese sentido, existe la obligación de los gerentes públicos de incorporar
mejoras sustanciales en los procedimientos administrativos más importantes,
sobre esto el Artículo 23. Prosigue con el mandato de ley, “A tal fin, se deberá
implementar bases de datos de fácil acceso, tanto para los ciudadanos como para
los mismos órganos y entes públicos”.
Igualmente, completa la idea el Artículo 45, indicando,
“Así mismo deberán habilitar sistema de transmisión electrónica de
datos para que los administrados envíen o reciban la información
requerida en sus actuaciones frente a la administración pública”.
Ley Especial Contra los Delitos Informáticos Gaceta Oficial 37313 de 30 de
octubre de 2001
Otro instrumento legal de orden Nacional, que hace referencia a la
protección y seguridad sobre la información, planteando mecanismo de
seguimiento, control y eventuales aspectos de orden sancionatorio, es publicado el
33
7 e diciembre de 1999, constituyéndose en una herramienta oportuna, y su objeto
es claro. En el Artículo 1. Objeto de la Ley, justifica que
“La presente Ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los delitos cometidos mediante el uso de dichas tecnologías, en los términos previstos en esta Ley”,
Luego, además el Artículo 2, Definiciones menciona que,
“A efectos de la presente Ley, y cumpliendo con lo previsto en el artículo 9 de la Constitución de la República Bolivariana de Venezuela, se entiende por: a) a k) (omisiss). l) Seguridad: condición que resulta del establecimiento y mantenimiento de medidas de protección, que garanticen un estado de inviolabilidad de influencias o de actos hostiles específicos que puedan propiciar el acceso a la data de personas no autorizadas, o que afecten la operatividad de las funciones de un sistema de computación. m) a p) (omisiss)”.
El legislador, entendiendo la magnitud de la importancia del
procesamiento información, completa la normativa mediante el Artículo 14.
Fraude, el cual ampara que:
“Todo aquel que, a través del uso indebido de tecnologías de información, valiéndose de cualquier manipulación en sistemas o cualquiera de sus componentes, o en la data o información en ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno, será penado con prisión de tres a siete años y multa de trescientas a setecientas unidades tributarias”.
Todo el ambiente que incluye información, sistemas automatizados,
usuarios, necesidades de control, necesidades de evaluación de los datos, nuevas
disposiciones para mejoras tecnológicas de trámites obligaron a introducir
cambios en las actuaciones fiscales.
34
Ley Orgánica de la Contraloría General de la República y del Sistema Nacional
de Control Fiscal, Gaceta Oficial Nº 37.347 de fecha 17 de diciembre de 2001
Base legal en toda la nación, que ordena actuaciones fiscales sobre el
poder público estadal, y someter a los órganos sujetos a control, los mecanismos
de evaluación que se consideren convenientes.
Las operaciones, independientemente del medio donde se ejecuten, esta
siempre sometidos a evaluación; el Artículo 9, explica que:
“Están sujetos a las disposiciones de la presente Ley y al control, vigilancia y fiscalización de la Contraloría General de la República: 1. (omisiss). 2. Los órganos y entidades a los que incumbe el ejercicio del Poder Público Estadal. 3 al 12 (omisiss)
En relación a las normativas de control, el Artículo 37, indica que:
“Cada entidad del sector público elaborará, en el marco de las normas básicas dictadas por la Contraloría General de la República, las normas, manuales de procedimientos, indicadores de gestión, índices de rendimiento y demás instrumentos o métodos específicos para el funcionamiento del sistema de control interno.”
Normas Generales de Auditoria de Estado emanadas de la Contraloría General
de la República aprobada el 30 de abril de 1997 y publicada en Gaceta Oficial
Nº 36.229 de fecha 17 de junio de 1997 según Resolución Nº 01-00-00-06.
Las actuaciones fiscales, están sujetas a las disposiciones de la Ley de la
Contraloría General de la República. En consecuencia todas las auditorias deben
cumplir con las normas relativas al auditor, a la planificación, a la ejecución y al
informe de auditoria contempladas en estas Normas Generales de Auditorias de
Estado; este instrumento normativo, indica en uno de sus considerando: “Que es
necesario regular las labores de auditoria del Estado para uniformar su marco
técnico normativo, maximizar los resultados derivados de su aplicación, promover
35
la modernización de la administración y el mejoramiento de los procesos de la
gestión pública, fortalecer el Sistema Nacional de Control”, por lo que el Artículo
1ª, expone:
“Las presentes Normas están dirigidas a optimizar la labor de auditoria de Estado y unificar criterios y principios atinentes a su desarrollo, mediante el establecimiento de un marco técnico normativo para el análisis y la evaluación de la gestión pública y el ejercicio de la actividad técnica del auditor. Están sujetos a su cumplimiento: 1) La contraloría General de la República. 2) Los órganos de control externo de los Estados y Municipios. 3) a 5) (omisiss)”.
Constitución del Estado Lara, Gaceta oficial número 155 de fecha 29 de
Diciembre de 2000.
Las instituciones del estado Lara, sujetas a control, deben suministrar la
información que le es requerida, en función de ello el Artículo 93 expresa
“Todos los funcionarios o funcionarias de la administración pública estadal están obligados, bajo las sanciones que establezca la ley, a colaborar preferente y urgentemente con los representantes del Consejo Moral Estadal en sus investigaciones. Este podrá solicitarles las declaraciones y documentos que considere necesarios para el desarrollo de sus funciones, incluidos aquellos que hayan sido clasificados o catalogados con carácter confidencial o secreto de acuerdo con la ley. En todo caso, el Poder Ciudadano Estadal sólo podrá suministrar la información contenida en documentos confidenciales o secretos mediante los procedimientos que establezca la ley”.
Ley de Contraloría General del Estado Lara, Gaceta Estadal número 1931 del
30 de junio del 2003
A los efectos estadales, en materia de creación de metodologías y para el
cabal funcionamiento de los procedimientos de control, en el Artículo 32 de la
Sujeción a la Disposiciones, contempla que,
“La Contraloría General del Estado Lara, dictará las normas de coordinación necesarias en el ejercicio de su competencia con el objeto
36
de adaptarse a las disposiciones que dicte la Contraloría General de la República, de conformidad con la Ley Orgánica que rige la materia”.
En consecuencia, la Contraloría General del Estado Lara, podrá crear
normativas, en razón de lo cual el Artículo 12.- Atribuciones del Contralor,
informa,
Son atribuciones y obligaciones del Contralor General del Estado, las
siguientes:
1) a 16 (omisiss). 2) Dictar, modificar y derogar las normas reglamentarias sobre la estructura, organización, competencia y funcionamiento de las direcciones y demás dependencias para el funcionamiento de la Contraloría General del Estado Lara, las cuales entrarán en vigencia a partir de su publicación en la Gaceta Oficial del Estado. 3) (omisiss) 4) Aprobar, modificar o derogar los manuales de organización o de procedimientos, o cualquier acto administrativo, de conformidad con las leyes. 20 a 27 (omisiss)
En este mismo sentido para crear normas, el Articulo 38, De las Otras
Potestades de la Contraloría, mantiene que,
“La Contraloría General del Estado Lara, podrá dictar normas, medidas y procedimientos a objeto de mejorar la eficiencia, eficacia y economía en la captación y uso de los recursos públicos, manteniendo la objetividad, transparencia y confiabilidad de la información que respecto de los mismos se tengan, a objeto de detectar, identificar o impedir el manejo inadecuado de los recurso y bienes del Estado”
en este mismo sentido el Artículo 58.- Del Control Externo, Completa
Corresponde a la Contraloría General del Estado Lara, el ejercicio del control externo, el cual comprende la vigilancia, inspección y fiscalización sobre las operaciones de los entes y órganos sujetos a la presente Ley, con la finalidad de: 1. Determinar el cumplimiento de las disposiciones constitucionales, legales y reglamentarias o demás normas aplicables a sus operaciones.
37
2. Determinar el grado de observancia de las políticas prescritas, en relación con el patrimonio y la salvaguarda de los recursos de tales entidades. 3. (omisiss) 4. Verificar la exactitud y sinceridad de su información financiera, administrativa y de gestión. 5. Evaluar la eficiencia, eficacia, economía y calidad de sus operaciones, con fundamento en índices de gestión, de rendimientos y demás técnicas aplicables. 6. (omisiss)
La actuaciones fiscales, están sujetas al control interno, en función de ello,
es determinante el articulo 47 del Funcionamiento del Sistema de Control Interno,
el cual establece que,
“Sin perjuicio de las atribuciones de la Contraloría General de la República, cada entidad del sector público estadal elaborará, de conformidad con las normas, manuales de procedimientos, indicadores de gestión, índices de rendimientos y demás instrumentos y métodos específicos para el funcionamiento del control interno”. En relación a estas indicaciones, las máximas autoridades incurrirán en
responsabilidades, según el artículo 95, cuando: “…no dicten las normas,
manuales de procedimientos, métodos y demás instrumentos…”
Las actuaciones fiscales, incluye cualquier naturaleza de auditoria, de allí
que la pertinencia de hacer auditoria Informática o cualquier evaluación
relacionada con estas. En ese sentido fue pertinente el Artículo 59 de la
Competencia que manifiesta. “La Contraloría General del Estado Lara, como
órgano de control fiscal externo, en el ámbito de su competencia, podrá realizar
auditorias, inspecciones, fiscalizaciones, exámenes, estudios, análisis e
investigaciones de todo tipo y de cualquier naturaleza en los entes u órganos
sujetos a su control, para verificar la legalidad, exactitud, sinceridad y corrección
de sus operaciones, así como para evaluar el cumplimiento y los resultados de las
políticas, de las acciones administrativas y de la eficacia, eficiencia, economía,
calidad e impacto de su gestión”.
38
Normas Generales de Control Interno emanadas de la Contraloría General
de la República aprobada el 30 de abril de 1997 y publicada en Gaceta
Oficial Nº 36.229 de fecha 17 de junio de 1997 según Resolución Nº 01-00-
00-015
Instrumento normativo emanado de la Contraloría General de la República
que precisa los fundamentos mínimos de obligado cumplimiento para el control
interno que deben regir para la administración pública.
Resolución Organizativa Nº 009 emanada de la Contraloría General del
Estado Lara aprobada el 03 de junio de 2003 y publicada en Gaceta Oficial
Nº 1840 de fecha 06 de junio de 2003
Es el documento normativo fundamental que define las políticas e
instrucciones para la ejecución de actuaciones fiscales de control externo
realizadas por la Contraloría General del Estado Lara, a los Organismos y
Entidades sujetas a su control; contiene las normas, procedimientos y formatos de
auditoria que deben aplicar los Auditores durante la realización de su trabajo en
los Organismos de la Administración Activa Centralizada y Descentralizada;
están en concordancia con las Normas de Auditoria de Estado.
39
CAPITULO III
MARCO METODOLÓGICO
El marco metodológico se refiere al conjunto de técnicas y procedimientos
lógicos, que fueron utilizados para llevar a cabo el proceso de investigación, con
el objeto identificarlos y organizarlos, a los fines de afirmar los supuestos del
estudio tomando en cuenta las características del problema investigado y de los
objetivos planteados. Según Arias (1999), el marco metodológico “es el “cómo”
se realizará el estudio para responder al problema planteado” (p. 45).
En relación a la definición de Marco Metodológico Balestrini (2001),
incorporó, “…esta referido al momento que alude el conjunto de procedimientos
lógicos, tecno - operacionales implícitos en todo proceso de instigación, con el
objeto de ponerlos de manifiesto y sistematizarlos (Pág. 125).
Entonces como en todo proceso de investigación, fue fundamental elaborar
el Marco Metodológico apropiado. Por lo tanto se procedió a relacionar las
diferentes técnicas y métodos para obtener la información requerida. Lo cual
debió realizarse en función de facilitar la conformación y presentación de la
propuesta metodológica de evaluación de la seguridad de la data sobre redes
locales de computación para los auditores de la Contraloría General del estado
Lara.
En función de lo anterior, el conjunto de aspectos técnicos y
operacionales, métodos así como aspectos lógicos procedímentales se muestran a
continuación.
Tipo de Investigación
Se presento en la Contraloría General del Estado Lara, un hecho real, que
debió ser atendido y debidamente caracterizado. El Problema presentado referido
con el diseño de una metodología de evaluación de la seguridad de la data sobre
40
redes locales de computación para los auditores, debió ser abordado desde los
lineamientos de una investigación del tipo descriptivo con proyecto factible.
Puesto que este tipo de investigación buscó establecer el comportamiento de este
hecho, a los fines de proporcionar una respuesta o solución a este problema
innegable, que existió dentro de la institución contralora.
Diseño de la Investigación
El Diseño de la Investigación se define como el plan o la estrategia global
utilizado por el investigador para guiar todo el proceso de averiguación para
atender y responder al problema planteado.
El presente estudio, encauzado al diseño de una metodología de
evaluación de la seguridad de la data sobre redes locales de computación para los
auditores de la Contraloría General del estado Lara, y en atención a la
justificación y demás objetivos delimitados anteriormente, necesitó
fundamentalmente de la verificación de datos provenientes de materiales impresos
u otros tipos de documentos para el levantamiento de información.
Esta situación conllevó a la utilización del diseño documental ya que un
significativo conjunto de datos se obtuvieron fundamentalmente como resultado
de la ejecución de técnicas documentales sobre informes de auditorias, revistas,
documentos del archivo de Consultaría Jurídica emitidos o relacionados dentro de
la institución. Dejando claro que para este caso, las fuentes documentales y
bibliografiítas constituyen en el principal generador de información.
Unidad de Análisis y Unidad de Información
La información recogida se obtuvo de los Registro de Archivo de la
Consultaría Jurídica, Informes de Auditoria de Bienes sobre Procesamiento de
Datos, Bibliografías sobre Teorías y Auditorias Informáticas, Teoría general de
Sistemas, Leyes relacionadas, Manual de Normas Generales de Auditorias de
Estado, Normas Generales de Control Interno de Estados, Nominas de Auditores
41
de la Contraloría General del Estado Lara emitido por la Dirección de Recursos
Humanos, reportes de informes de auditoria del sistema de control de actuaciones
fiscales, entre otros.
En función de la delimitacion del problema y de los objetivos propuestos,
estas fuentes documentales y bibliográficas descritas anteriormente, aportaron
fundamentalmente la información necesaria y suficiente a los fines de llevar
adelante la investigación. Resaltando el hecho de que a estas fuentes
documentales de información se puede acudir en cualquier momento o lugar
donde estén, sin que se altere su naturaleza o sentido, para corroborar la realidad
o información contenidas en dichos documentos.
Las unidades de análisis y de información para este estudio estuvo
conformado por fuentes bibliográficas y material documental obtenidas en la
institución y concretamente en las Direcciones de Control, Dirección de Recursos
Humanos, la Consultaría Jurídica y la Unidad de Planificación adscritas a la
Contraloría General del Estado Lara.
Técnicas e Instrumentos de Recolección de Información
Según Arias (1999): “Las técnicas de datos son las distintas formas o
maneras de obtener la información” (Pág. 53).
En función de los objetivos definidos en el presente estudio, se utilizaron
una serie de instrumentos y técnicas de recolección de la información, orientadas
de manera esencial a alcanzar los fines propuestos.
Para esta estrategia se utilizó en primer término, las técnicas relacionadas
con la exploración documental de las fuentes bibliográficas, que a la vez
facilitaron la redacción del trabajo escrito, como fueron las técnicas de
observación documental y presentación resumida de un texto. En segundo
término, las técnicas operacionales para el manejo de las fuentes documentales, a
saber: de subrayado, fichaje de citas y notas de referencias bibliográficas y de
42
ampliación de texto, construcción y presentación de índices, presentación de
cuadros, gráficos y del trabajo escrito.
En ese sentido se analizaron reportes de actuaciones fiscales emitidos por
la institución. También se analizó el Registro de Archivo de la Consultaría
Jurídica, Informes de Auditoria de Bienes sobre Procesamiento de Datos,
Bibliografías sobre Teorías y Auditorias Informáticas, Teoría general de Sistemas,
Leyes relacionadas, Manual de Normas Generales de Auditorias de Estado,
Normas Generales de Control Interno de Estados, Nominas de Auditores de la
Contraloría General del Estado Lara emitido por la Dirección de Recursos
Humanos, entre otros.
43
CAPÍTULO IV
ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS
Con el objeto de organizar los resultados, se construyeron cuadros con las
normativas y se clasificaron en tres Grupos: Internacionales, Nacionales y por
último en Estadales o Internas.
Un hecho relevante, consistió en que al analizar el reporte impreso del
Sistema Automatizado de Actuaciones Fiscales del lapso 2006, se comprobó que
no existe actuación que se considere evaluación a la seguridad de la data.
Cuadro 2 Jerarquía Legal
Internacionales Organización Internacional para la Estandarización
Nacionales
Constitución de la República Bolivariana de Venezuela. Ley Orgánica de la Contraloría General de la Republica Normas Generales de Auditoria de Estado emanadas de la Contraloría General de la República. Normas Generales de Control Interno emanadas de la Contraloría General de la República Ley Especial Contra Delitos Informáticos Ley Sobre Simplificación de Tramites Administrativos
Estadales o Internas
Ley Contraloría General del Estado Lara. Resolución Administrativa Número 009 de la Contraloría del Estado
Fuente: Elaboración Propia.
Como se observó en el Cuadro 2, existe un basamento legal, bien
identificado que establece un Ordenamiento Jurídico, que rige el funcionamiento
de todo el Sistema Nacional de Control. Dentro del cual esta ubicado, la
Contraloría General del Estado Lara y por ende da un marco normativo a las
actuaciones fiscales que le son ordenadas por fuerza de ley.
Es de hacer notar, la presencia en este cuadro de leyes que obligan a los
organismos públicos a sustituir los procedimientos manuales por procedimientos
automatizados y al mismo tiempo someterlos a controles. La Ley Sobre
44
Simplificación de Tramites Administrativos y la Ley Contra Delitos Informáticos,
evidencian, durante esta investigación que sus contenidos refuerzan la necesidad
de establecer metodologías de evaluación sobre la información.
Cuadro 3 Vinculación Internacional con la Data Ordenamiento Jurídico Internacional
Referente a Data o sistemas de información
Organización Internacional para la Estandarización
ISO/IEC 17799 Data o sistemas de información
Fuente: Elaboración Propia.
Como se observó en el Cuadro 3, existe una Plataforma que reúne a nivel
internacional, recomendaciones sobre la seguridad de la información. Existe una
oportunidad a nivel internacional, especialmente en España, cuya experiencia
puede aumentar las fortalezas y ayudar a disminuir las debilidades dentro de las
instituciones que aplican controles sobre la seguridad de la data.
Cuadro 4 Vinculación Nacional con la Data Ordenamiento Jurídico Nacional
Referente a Sobre Uso de Tecnologías Informáticas
Ley Especial contra Delitos Informáticos
Artículos 1,2 Data o sistemas de información
Ley Simplificación Sobre Tramites Administrativos
Artículo 5, 23, 45 Data o sistemas de información
Constitución de la República Bolivariana de Venezuela.
Artículos 28, 110, 143, 156,
Data o sistemas de información
Fuente: Elaboración Propia.
Como se observó en el Cuadro 4, la tecnología de información tiene una
presencia cada vez mayor en las organizaciones públicas, esto es, un mandato
constitucional para la República Bolivariana de Venezuela; paralelamente a esta
situación, se ha legislado en función de implantar y controlar el usos de los
sistemas automatizados de información como una forma de modernizar a las
organizaciones que sirven al ciudadano con el fin ultimo de garantizarle
información oportuna y de calidad.
45
Cuadro 5 Vinculación Nacional y Estadal con la Auditoria Ordenamiento Jurídico Nacional y Estadal
Referente a Auditorias
Normas Generales de Auditoria de Estado Todo su contenido Ley Contraloría General del Estado Lara Articulo 32, 38, 58 59
Fuente: Elaboración Propia.
Como se observó en este Cuadro 5, las actuaciones fiscales y
concretamente las auditorias, están sometidas al ordenamiento de la Ley de
Contraloría General de la República y alcanzan su mayor incidencia en las
Normas Generales de Auditoria de Estado, instrumento que guía la planificación,
la ejecución y elaboración del informe de todas las auditorias independientemente
de su objeto y finalidad.
Cuadro 6 Vinculación Nacional con el Manual Ordenamiento Jurídico Nacional Referente a
Manual
Ley Contraloría General de la República Artículos 9, 24,37 Normas Generales de Control Interno Todo su contenido Constitución de la República Bolivariana de Venezuela.
Artículos 137, 163
Fuente: Elaboración Propia.
Como se observó en este Cuadro 6, las Normas Generales de Control
Interno son de utilidad normativa para la elaboración de metodologías.
Cuadro 7 Vinculación Interna con el Manual Ordenamiento Jurídico Interno Referente a
Manual Ley Contraloría General del Estado Lara Articulo 12 # 7,47 Resolución Número 009 Todo su contenido Fuente: Elaboración Propia.
Como se observó en este Cuadro 7, la Contraloría dicta las normas que
deben seguirse, en la elaboración de normas y procedimientos. La resolución 009
46
ha sido la guía para la elaboración de otras normas que la institución ha
habilitado en virtud de las nuevas necesidades de control y seguimiento.
La necesidad de implementar controles, es un mandato para la Contraloría
y debe materializarlos sobre una metodología que enfrente a desarrollos de otras
actividades que deben auditarse. Fitzgerald (1991), expone,” Un cierto número de
desarrollos ha causado un incremento considerable en el interés de los
controles…Entre ello se encuentran un incremento explosivo de la tecnología del
proceso de datos” (Pág. 15).
Cuadro 8 Vinculación de Auditoria con Características de la Información
Auditoria
Seguridad
Integridad Disponibilidad
Privacidad Fuente: Elaboración Propia.
Como se observó en este Cuadro 8, La Auditoria Informática es el proceso
de recoger, agrupar y evaluar evidencias para determinar sí un sistema
automatizado salvaguarda los activos, mantiene la integridad, disponibilidad y
privacidad de los datos, lleva eficazmente los fines de la organización y utiliza
eficientemente los recursos. De este modo la auditoria informática sustenta y
confirma la consecución de los objetivos de la auditoria: Objetivos de protección e
integridad de los datos y Objetivos de Gestión que abarcan, no solamente de
protección de activos, sino también de eficacia y eficiencia.
En relación a la aplicación de la Auditoria Informática se concluyó que
debe estar orientada hacia lo establecido en la Normas Generales de Auditoria
de Estado en tal sentido es necesario regular las labores de auditoria del Estado
para uniformar su marco técnico normativo, maximizar los resultados derivados
de su aplicación, promover la modernización de la administración y el
mejoramiento de los procesos de la gestión pública, en todo caso fortalecer el
Sistema Nacional de Control; La Auditoria del Estado fue un medio idóneo para
verificar que la gestión pública se haya realizado con apego a las disposiciones
47
legales aplicables y dentro de los principios de la economía, eficiencia y eficacia;
exige a quienes se les encomienda su ejecución, particulares virtudes éticas como
fórmulas para conocer con objetividad el desenvolvimiento y resultados de la
gestión pública; La responsabilidad que incumbe al auditor del Estado requiere de
la exigencia de un cuerpo normativo coherente que guié su desempeño y facilite el
mejoramiento técnico de su labor; La auditoria del Estado atiende al interés
general de la sociedad en la honesta y eficiente administración del patrimonio
público;
Cuadro 9 Vinculación de Auditoria con Características de la Información
Integridad
Evaluación
Almacenamiento Recuperación
Resguardo Cuenta de Usuario
Disponibilidad
Contraseña Colas de Impresión
Sistema Interrumpido de Energía
Privacidad Clasificación de la Información
Encriptamiento Respaldo
Fuente: Elaboración Propia.
Como se observó en este Cuadro 8, Mantener la Integridad, la
Disponibilidad y Privacidad de la información operada por un sistema
automatizado de información tiene que ver con examinar una serie de categorías
que deben ser implementadas por cada organismo sujeto a control. Esto es:
-Conocer el estado de acatamiento de las políticas establecidas por las
máximas autoridades del Organismo en relación a la seguridad de la información.
-Evaluar el cumplimiento de las disposiciones legales y reglamentarias
aplicables a las operaciones de seguridad de la data.
-Examinar y evaluar los sistemas de controles de acceso a la data.
Determinar sí existen los procedimientos de otorgamiento de claves de usuarios
para el ingreso a los sistemas.
-Constatar si existe un control de Cuentas de Usuarios.
48
-Constatar si los sistemas tienen incluido control de impresiones remotas y
locales.
-Determinar las modalidades de acceso asignados a los usuarios para su
acceso a los recursos informáticos.
-Constatar si los programas o actividades autorizados y ejecutados
cumplen los propósitos de seguridad en forma eficaz.
-Determinar las características de almacenamiento, respaldo, recuperación
y resguardo que se utilizan sobre la información.
-Determinar si el sistema ininterrumpido de energía cubre todas las
necesidades de los equipos de computación.
-Determinar sí existe implantadas políticas de compartimiento de
Directorios entre usuarios.
-Constatar sí existe personal autorizado para realizar funciones de
Administrador de la Red. Comunicar oportuna y claramente todo hallazgo
significativo.
Consideraciones
Del análisis del contenido de todos los cuadros presentados, se obtuvo que
existió un mandato con fuerza de ley suficiente, para aplicar las auditorias de
informática sobre los entes sujetos a control. Que los auditores tiene la normativa
para aplicar dichas auditorias y existe el basamento teórico de informática y de
auditoria.
En consecuencia, estábamos en presencia de una fortaleza desde el punto
de vista normativo con una base sólida de conocimientos informáticos y de
auditoria que en su conjunto, pudieron atender la situación o hechos que dieron
origen a la investigación.
Al respecto se consideró oportuna e innovadora, la propuesta de una
metodología para la evaluación de seguridad de la data sobre redes locales de
computación para los auditores de la Contraloría General del Estado Lara.
49
Fue oportuna la propuesta, ya que pudo atender institucionalmente a una
situación real que afectaba a los funcionarios que tienen facultad auditora y fue
innovadora porque constituyó para ellos un progreso y desarrollo dentro del
campo profesional. Sáez (2005), afirma “las innovaciones son aquellas que
promueven el desarrollo del pensamiento creativo, basado en el aprendizaje con
todo el cerebro.” (Pág. 22).
50
CAPITULO V
PROPUESTA DEL ESTUDIO
Objetivo de la Propuesta:
Establecer la metodología para que los auditores de la Contraloría General
del Estado Lara efectúen la evaluación de la seguridad de la data sobre redes
locales de computación considerando la integridad, disponibilidad y privacidad;
dejando claro que constituye una propuesta que puede ser probada posteriormente
y pudiera convertirse en punto de partida para otros trabajos de investigación con
un alcance diferente.
Justificación
La Contraloría General del Estado Lara esta sometida a los mandatos de la
ley, que la obliga a ejecutar los procedimientos de control de cualquier naturaleza
que considere convenientes a los fines de evaluar el funcionamiento automatizado
de determinado organismo de la administración publica.
Igualmente estos organismos de la administración pública, están sometidos
por otras leyes, entre ellas, la Ley Sobre Simplificación de Tramites
Administrativos para mejorar sus servicios. Para ello, deben instalar sistemas
automatizados dentro de sus respectivas organizaciones a los fines de facilitar
acceso a información en beneficio de las comunidades y sociedad en general.
Estos sistemas lógicamente constituyen áreas específicas que también deben
examinarse con el objeto de determinar su operatividad mediante auditorias.
En consecuencia, para estos casos, la información que fue y sigue siendo
el insumo fundamental para las auditorias, proviene de un sistema automatizado.
Es el resultado de los datos que han sido capturados, procesados, almacenados,
manipulados, organizados, clasificados, respaldados, resguardados, recuperados,
51
protegidos, modificados, parcial o totalmente eliminados, consultados, impresos y
actualizados dentro de un ambiente computacional.
Realidad Interna en la Contraloría General del Estado Lara
Frente a este panorama, los auditores de la Contraloría General del Estado
Lara, tiene el mandato de realizar las auditorias de acuerdo a las disposiciones
establecidas para tales fines, claramente definidos en la Ley Orgánica de la
Contraloría General de la Republica y Sistema Nacional de Control Fiscal, entre
otras.
Una vez, revisado el contenido de los informes de auditorias realizados
durante el lapso 2006, resoluciones, normas, revistas y publicaciones divulgadas
por el órgano contralor, documentos como dictámenes del archivo de la
Consultaría Jurídica, se observó una situación real que requería evaluaciones en
el área informática dentro de la institución, que tuvo que ser atendida.
Para este momento, no existía una metodología para ejecutar auditorias
enmarcadas dentro de los limites de la informática y concretamente no se habían
realizado auditorias vinculadas a la seguridad de la data.
Los auditores requerían de un instrumento normativo estructurado
mediante fases y pasos, de tal manera que cubriera los conceptos y definiciones
básicas generalmente aceptadas de auditorias, suficientemente consustanciado con
la terminología y con aspectos esenciales de la teoría informática pero dentro del
marco y dentro de los lineamientos vigentes de auditoria de estado.
Por eso la propuesta presentada en este trabajo, se realizó con el fin de
unificar el trabajo de los auditores en el desarrollo de las actuaciones fiscales,
dentro del ambiente normativo legal y sublegal y dentro de un marco conceptual
informático.
52
Todo en función de verificar razonablemente la validez de la información
suministrada por el ente sujeto a control, tomando en consideración la integridad,
disponibilidad y privacidad.
La metodología esta conformada por seis fases, perfectamente definidas y
numeradas del 1 al 6, que abordan respectivamente cuestiones que tiene que ver
con Definición del Plan de Trabajo, Definición y Análisis del Ambiente
Computacional, Ejecución, Emisión del Informe Preliminar, Revisión del
Informe Preliminar y Emisión del Informe Final de Auditoria.
Para cada una de estas fases, existen pasos que reúnen un conjunto de
ordenamiento referidos a la aplicación de órdenes ha ejecutar y cumplir.
Los pasos aglutinan instrucciones relacionadas con asignación de trabajos
de auditoria, entrega de credenciales, entrega de formatos, planificación de
auditorias, instalación de la comisión de auditoria, elaboración de actas de
instalación y de requerimientos, llenados de datos del cuenta dantes, elaboración
de actas de inspección o fiscalización, organización y análisis de documentos,
elaboración de cedulas de hallazgos, aplicación de instrumentos de obtención de
información, ejecución del contenido del programa de auditoria informática,
elaboración de los informes preliminares, análisis de alegatos del órgano sujeto a
control, elaboración del Informe Final y su remisión.
La metodología propuesta hace mención particularmente al programa de
auditoria informática, el cual esta dispuesto en su presentación de acuerdo a
ciertos criterios preestablecidos en los manuales y normas de auditoria de la
Institución contralora.
El programa esta esquematizado inicialmente de tal manera que identifica
a la unidad sujeta a control, el alcance de la auditoria, credenciales, fecha de
inicio, sus respectivos objetivos así como los procedimientos e ejecutar, la acción
a tomar, fecha de ejecución, observación y verificación.
53
Y en atención a su contenido esta orientada fundamentalmente a la
evaluación de los elementos de seguridad que tiene que ver con la integridad,
disponibilidad y privacidad de la data, aplicables por los auditores acreditados
por la Contraloría General del Estado Lara.
En concordancia con lo expuesto, en relación a la metodología propuesta,
se presentó previamente, lo siguiente:
Programa de Auditoria Informática
Aspectos Generales de la Institución
Identificación del Organismo Alcance de Auditoria - Auditoria a la data
Objetivo General - Evaluar la seguridad de la data sobre redes locales de computación.
- Verificar la sinceridad y razonabilidad de la información suministrada.
Número y Fecha de Credencial Fecha de Instalación
Fecha de Terminación Estimada Tiempo de Duración Previsto
Programas Específicos y Objetivos A - Programa para la Planificación Objetivo: Conocer el funcionamiento del organismo y planificar la ejecución de la actuación fiscal.
54
Procedimientos, Acción, Fechas de Ejecución, Observación y Verificación.
Procedimientos Acción Fecha de Ejecución
Observación Verificación
Localizar, recopilar y analizar información referente a Misión, Visión, organización, proyectos, Manuales y Normas. .
Solicitar la información al organismo sujeto a control en caso de que exista en la documentación dentro de la Institución Contralora.
Programas Específicos y Objetivos B – Programa relacionado con la verificación de la integridad, disponibilidad y privacidad de la información. Objetivo: Evaluar el cumplimiento de los controles previstos de integridad, disponibilidad y privacidad utilizados en el Manejo de la información y determinar su sinceridad y razonabilidad.
Integridad: Procedimientos, Acción, Fecha de Ejecución, Observación y Verificación.
Procedimientos Acción Fecha de Ejecución
Observación Verificación
Verificar que no exista palabra clave con solo blancos.
Solicitar la creación de un usuario y asignarle una clave con solo blancos para comprobar la aceptación del sistema.
Verificar que la palabra clave tenga, mínimo, ocho caracteres para conformarla.
Solicitar la creación de un usuario y asignar una clave utilizando menos de ocho caracteres para determinar la aceptación por parte del sistema.
Verificar la conformación de palabras claves, según las políticas
Solicitar la creación de un usuario y conformar las claves con caracteres no, según las políticas.
Verificar que se cumplen los requisitos normativos para la identificación de los usuarios
Solicitar los documentos que indiquen las normas para la identificación de usuarios; solicitar al administrador de la red un listado con los usuarios para realizar las comparaciones.
55
Determinar si el sistema permite reutilizar las últimas claves asignadas a un usuario.
Solicitar la creación de un usuario y hacer actualizaciones sucesivas de la clave y verificar si acepta utilizar las últimas claves asignadas.
Determinar que medidas ejecuta el sistema cuando existe un número de intentos fallidos al escribir la palabra clave por parte de un usuario autorizado.
Seleccionar un usuario y tipear varias veces una clave errónea hasta detectar una respuesta del sistema.
En caso de que un usuario rebase el número de intentos fallidos al ingresar la palabra clave, Verificar exista bloqueo de clave.
Seleccionar un usuario y tipear varias veces una clave errónea, para detectar su bloqueo.
Verificar que las solicitudes de acceso, las emita el personal competente, de acuerdo a lo establecido en el Manual respectivo.
Solicitar listado del personal competente para solicitar accesos.
Determinar que las solicitudes de acceso a la red se hagan de acuerdo a las políticas vigentes
Solicitar Documentación de Políticas y comparar con las solicitudes de acceso.
Comparar los permisos o accesos otorgados en la Cuenta de Usuarios con el contenido de la solicitud
Solicitar al administrador de la red listado impreso de las Cuentas de usuarios y compara su contenido con los permisos otorgado.
Verificar que usuarios están autorizados para acceder a los módulos del sistema
Solicitar un registro de usuarios del sistema y comparar con las solicitudes de acceso realizadas por las personas competentes.
Determinar qué usuarios son responsables de ejecutar el procedimiento de Respaldo, Resguardo y Recuperación de la información.
Solicitar documentación o memos sobre asignación de dicha responsabilidad.
Verificar la existencia de respaldos de información realizados hasta la fecha.
Solicitar al administrador de la red el sitio donde se encuentran respaldados los archivos.
56
Verificar y comparar los archivos respaldados con sus correspondientes archivos de origen a los fines de comparar exactitud en su contenido.
Una vez efectuado el respaldo, hacer las comparaciones de los archivos fuentes con sus respectivos respaldos para determinar diferencias.
Verificar la existencia de prioridades en el procedimiento de respaldo, resguardo y recuperación
Solicitar documentación donde se especifique las prioridades.
Verificar la existencia de posibles sanciones por incumplimiento de la ejecución del procedimiento de respaldo, resguardo y recuperación
Solicitar documentación sobre los tipos de sanciones existentes previstas en las normas.
En caso de respaldos manuales, verificar que archivos deben respaldarse.
Solicitar documentación donde indique los archivos o información que debe respaldarse manualmente.
Verificar sitios físicos donde se resguarda la información respaldada.
Solicitar al responsable del respaldo mostrar el sitio físico donde se depositan los respaldos.
Constatar si los respaldos son resguardados solo dentro de la institución.
Solicitar al administrador de la red, informe escrito donde indique ubicación de los respaldos dentro y fuera de la institución.
Verificar que el archivo recuperado coincide con el recurso original o protegido.
Una vez realizado un respaldo, solicitar la recuperación de un archivo y proceder a compáralo con el archivo fuente.
Verificar que usuario esta autorizado para entregar información recuperada.
Solicitar memos que indique las personas responsables de entregar información recuperada
Verificar la existencia de cuadros de Diálogos para orientar al usuario en el procedimiento de almacenamiento.
Verificar por pantalla exista la opción Cuadros de Dialogo para el usuario.
Determinar que usuarios tiene acceso al modulo de Guardar la información en caso de no existir un Servidor de Archivo.
Solicitar documentos o memos que indique los nombres de los usuarios responsables de Guardar información
57
Verificar exista instalados antivirus en los equipos de computación.
Verificar la existencia de iconos o programas instalados de antivirus y solicitar sus licencias.
Verificar que equipos y componentes y computación están protegidos por un servicio alterno de energía o UPS.
Hacer inspección ocular y constatar que existe UPS funcionado para cada Servidor, equipos y componentes de computación involucrados en los procedimientos de respaldos y componentes de la red tales como concentradores o switches.
Verificar exista un control de la carga y tiempo estimado del servicio de energía alterna o UPS, durante la contingencia.
Solicitar documentación del fabricante del UPS, sobre la carga y tiempo de servicio.
Verificar que la mayor parte de la información o datos posibles sea seleccionada de u
Verificar por pantalla exista la opción de la lista desplegable para el usuario.
Verificar el contenido correcto de los campos
Solicitar al administrador, las tablas de datos y proceder a revisarlas mediante consultas para detectar errores.
Determinar repeticiones de datos.
Solicitar al administrador, las tablas de datos y proceder a revisarlas mediante consultas en función de detectar repeticiones de información.
Determinar la cantidad de errores cometidos en la captación y registro de datos, durante el lapso evaluado
Solicitar las tablas de datos y revisarlas mediante consultas mediante consultas tomando en cuenta las fechas de registros de datos.
Evaluar la validación de los datos (orden, caracteres alfabéticos, numéricos, alfanuméricos, especiales).
Solicitar las tablas de datos y proceder a revisarlas o realizar consultas de datos.
58
Verificar que existen habilitados para los usuarios cuadros de Consultas de Selección
Verificar por pantalla exista la opción de Consultas de Selección para el usuario
Verificar la existencia de una Lista Desplegable para los usuarios a los fines de seleccionar las opciones al agregar o modificar dato
Verificar por pantalla exista la opción Lista Desplegable para el usuario.
Verificar que los registros tienen claves que de alguna manera ubiquen la información.
Solicitar al administrador de la red, le edite listado de registros y ubicar un código o elemento que identifique a cada registro.
Disponibilidad: Procedimientos, Acción, Fecha de Ejecución, Observación y Verificación.
Procedimientos Acción Fecha de Ejecución
Observación Verificación
Verificar que los usuarios que solicitan acceso están autorizados.
Solicitar al administrador de la red, un listado de usuarios autorizados para acceder a los recursos informáticos.
Determinar que las solicitudes de acceso a la red se hagan de acuerdo a las políticas vigentes
Solicitar Documentación de Políticas y compara con las solicitudes de las personas competentes.
Determinar el tiempo de respuesta transcurrido entre la solicitud de actualización de una cuenta de usuarios y su efectiva actualización.
Solicitar los memos de solicitud de actualización de cuentas de usuarios y comparar las fechas con las fechas de modificación de en la red.
Verificar que usuarios están autorizados para acceder a los módulos del sistema
Solicitar un registro de usuarios del sistema y comparar con las solicitudes de acceso realizadas por las personas competentes.
59
Verificar que existen orden de importancia para recuperación de los sistemas en caso de contingencia
Solicitar documentación que indique el orden de importancia de los sistemas a los fines de identificar prioridad en los procedimientos de recuperación.
Verificar que usuarios tienen autorización para instalar y desinstalar sistemas de información.
Solicitar al administrador de la red, cuales usuarios tiene autorización por escrito para instalar y desinstalar sistemas de información.
Determinar que usuarios tiene acceso a más un sistema de información.
Solicitar al administrador de la red, listado de usuarios autorizados por sistemas de información.
Verificar cuales usuarios están autorizados para eliminar información en los sistemas
Solicitar memos donde se solicita dicha autorización para los usuarios.
Evaluar la capacidad de restauración que tiene cada sistema después de cada contingencia.
Solicitar al administrador de la red, listado de los sistemas que se mantiene operativos después de una contingencia, durante el lapso evaluado.
Verificar el tiempo de respaldo
Observar en cualquier equipo de computación cuando comienza y termina el procedimiento de respaldo a los fines de medir el tiempo de ejecución.
Verificar el tiempo de recuperación
Observar en cualquier equipo de computación cuando comienza y termina el procedimiento de recuperación a los fines de medir el tiempo de ejecución
Verificar que el archivo recuperado coincide con el recurso original o protegido.
Una vez realizado un respaldo, solicitar la recuperación de un archivo y proceder a compáralo con el archivo fuente.
60
Determinar los diferentes dispositivos de almacenamientos con que cuenta la institución.
Solicitar al administrador de la red, un listado de los medios de almacenamiento con que cuenta la institución
Determinar la capacidad instalada para garantizar el almacenamiento de la información.
Solicitar al administrador de la red, un listado de los medios de almacenamiento y su capacidad máxima de almacenamiento y comparar con el volumen de información a almacenado durante el lapso evaluado.
Determinar el tiempo transcurrido desde el momento en que un usuario acciona un acceso a un archivo y el momento en que le es mostrada la información
Solicitar a un usuario que consulte un archivo y observar el tiempo que transcurre hasta que aparece en pantalla el archivo.
Verificar que los reportes impresos del sistema son emitidos oportunamente.
Solicitar a un usuario que ejecute una impresión de un reporte y medir el tiempo que transcurre hasta que se inicia el proceso de impresión.
Privacidad: Procedimientos, Acción, Fecha de Ejecución, Observación, Verificación.
Procedimientos Acción Fecha de Ejecución
Observación Verificación
Verificar que efectivamente la red solicita una identificación y una palabra clave para acceder a los recursos informáticos.
Solicitar al administrador de la red, listado de cuentas de usuarios y revisar que todos tengan asignados su clave correspondiente.
Verificar que se cumplen los requisitos normativos para la identificación de los
Solicitar los documentos que indiquen las normas para la identificación de usuarios; solicitar al
61
usuarios administrador de la red un listado con los usuarios para realizar las comparaciones.
Determinar que las solicitudes de acceso a la red se hagan de acuerdo a las políticas vigentes
Solicitar Documentación de Políticas y comparar con las solicitudes de acceso.
Comparar los permisos o accesos otorgados en la Cuenta de Usuarios con el contenido de la solicitud
Solicitar al administrador de la red listado impreso de las Cuentas de usuarios y comparar su contenido con los permisos otorgado.
En caso de ausencia temporal de un usuario, determinar si es suspendida la cuenta de usuario.
Solicitar al administrador de la red un listado de cuentas suspendidas temporalmente y comparar con listado de usuarios ausentes temporales durante el lapso evaluado.
En caso de ausencia definitiva de un usuario, determinar si es eliminada la cuenta de usuario.
Solicitar al administrador de la red un listado de cuentas suspendidas temporalmente y comparar con listado de usuarios desincorporados definitivamente de la institución durante el lapso evaluado.
Determinar las modalidades de acceso permitidos a los usuarios.
Solicitar los memos con los cuales se solicitan las modalidades de acceso y compara con registro de cuentas de modalidades permitidas emitido por el administrador de la red.
Verificar que exista un control que incluya ubicar a la unidad administrativa a la que pertenece el usuario
Solicitar listado de cuentas de usuarios para comparar ubicación de unidad administrativa registrada y comparar con memos de solicitud de acceso.
Verificar que exista un control de fecha y horas permitidas para dicho acceso durante el lapso evaluado.
Solicitar listado de cuentas de usuarios para comparar fechas y horas registradas y comparar con memos de solicitud de acceso.
62
Verificar que usuarios están autorizados para acceder a los módulos del sistema
Solicitar un registro de usuarios del sistema y comparar con las solicitudes de acceso realizadas por las personas competentes.
Verificar que los privilegios de accesos a sistemas otorgados en el lapso evaluado para cualquier usuario deben limitarse solo a lo necesario para completar las tareas o funciones asignadas
Solicitar los memos de solicitud y comparar las funciones de cada usuario y compararlas con los permisos autorizados por el administrador de la red durante el lapso evaluado.
En caso de cambios de funciones, asignación de nuevas funciones, verificar que existe un procedimiento para actualizar la autorización de acceso.
Solicitar memos donde se solicitan cambios de funciones o modificaciones de funciones y comparar con la cuenta de usuario actualizada.
Verificar qué controles están habilitados para monitorear las solicitudes de servicios de los sistemas durante el lapso evaluado.
Solicitar al administrador de la red, listado de horas y fechas, horas de conexión, equipo donde opera, modulo del sistema activado por usuarios durante el lapso evaluado.
Verificar que exista un control específico para los módulos de impresión de cada sistema de información.
Solicitar listado de usuarios que consultaron por pantalla o imprimieron reportes durante el lapso evaluado.
Determinar que tipos de usuarios, posee los sistemas de información.
Solicitar al administrador de la red, los tipos de usuarios de cada sistema de información.
Como se protege el nombre del usuario y la clave al momento de tipear para ingresar al sistema
Desde cualquier equipo solicitar a un usuario que ingrese su nombre y clave y observar si es protegido por asteriscos, espacios o no se mueve el cursor.
63
Verificar que existen usuarios responsables del encriptamiento.
Solicitar a la administrador de la red, listado de los usuarios autorizados para encriptar y desincriptar.
Existen usuarios autorizados para modificar los archivos del sistema.
Solicitar a l administrador de la red, listado de los usuarios autorizados para modificar los archivos del sistema
Verificar el nivel de importancia que tiene la información de los sistemas instalados en la institución.
Solicitar documentación donde se indique el nivel de importancia que tiene cada sistema de información.
En caso de tener habilitado salva pantalla con repetición de escribir palabra clave, verificar el tiempo máximo de activación
Observar en cualquier equipo de la red, y esperar que se cumpla el tiempo de reposo para ver la activación de salva pantalla y comprobar que el sistema ordena tipear nuevamente la clave.
Determinar que usuarios están habilitados para hacer uso de colas de impresión
Solicitar los memos con los cuales se autorizan a los usuarios y chequear los privilegios en el servidor.
64
METODOLOGIA PARA AUDITORIA INFORMATICA EN LA CONTRALORIA DEL ESTADO LARA.
Una vez presentado el Programa de Auditoria Informática, se procedió a
explicar las fases, los objetivos y los pasos que debe ejecutar el auditor para
realizar la auditoria informática. Es procedente indicar el orden lógico que debe
privar para el auditor en la aplicación de de la metodología.
Usuario/ Unidad Contraloría
Usuario/ Unidad Auditada
Fase 1: Definición Plan
de Trabajo
Fase 2: Def. y Análisis
Ambiente. Computacional
Fase 3: Ejecución
Programa A. I
Fase 4: Emisión Informe
Preliminar
Fase 5: Revisión Informe
Preliminar
Fase 6: Emisión
Informe Final
Resultados Obtenidos (Hallazgos)
Acta de Instalación
Información Solicitada
Papeles de Trabajo
Informe Revisado / Alegatos
Fuente: Elaboracion Propia
Diagrama de Flujo de las Fases de la Metodología
65
Del Diagrama anterior, se tiene lo siguiente:
Fase 1: Definición del Plan de Trabajo
Objetivos: En esta fase el director elabora el Plan de Trabajo donde
reflejará el lapso de duración la auditoria programada. El director hace la
asignación de trabajo al auditor y a los asistentes conforme a la planificación de su
Dirección.
Descripción de Pasos.
1.1 Asignación de Trabajo de Auditoria.
Implica que el director debe seleccionar al auditor y a los asistentes para
hacer de su conocimiento la auditoria que deben realizar.
1.2 Entrega de Credenciales.
El Contralor General del Estado Lara, emite la credencial, la cual es
entregada al auditor y a los asistentes.
1.3 Entrega de Formatos.
El director hace entrega formal de los formatos correspondientes a
utilizarse en esta fase, según lo establecido en el Manual de Normas y
Procedimientos. Entre ellos,
- Acta de Instalación y Acta de No Instalación,
- Actas de Requerimientos I, Actas de Requerimientos II,
- Actas de Inspección o Fiscalización,
- Cedula de Hallazgos,
- Papeles de Trabajos,
- Datos Personales del Cuentadante,
- Remisión de Informe Preliminar,
- Remisión del Informe Final,
- Programa de Auditoria Informática (Programa A. I.).
66
1.4 Planificación de la Auditoria.
El programa de auditoria informática es preparado por el auditor. Debe ser
formulado por áreas bien definidas. Debe incluir un cronograma tentativo de
actividades para realizar la evaluación.
El auditor planifica en base a la duración de la auditoria, la manera de
aplicar el programa de auditoria informática vigente para la fecha, el cual tiene
como finalidad de hacer un examen de seguridad a la integridad, disponibilidad y
privacidad de la data.
1.5 Instalación.
El auditor y el Superior Inmediato, se presentan al organismo para el acto
de instalación mediante la presentación de Credenciales.
Deben llenar el Acta de Instalación o Acta de No Instalación, según sea el
caso.
Fase 2: Definición y Análisis del Ambiente Computacional
Objetivos: En esta fase la comisión auditora, deberá en base a lo
planificado proceder a solicitar la información que considere pertinente a los fines
de realizar las evaluaciones del caso según lo establecido.
Descripción de Pasos.
2.1 Elaborar de Actas de Requerimientos.
El auditor debe solicitar la información al organismo sujeto a control.
- Llenar el acta de requerimiento I, y entregarla al ente auditado.
- Sí es necesario, llenar el acta de requerimiento II.
67
- Solicitar el Manual de Políticas de Seguridad
2.2 Especificar los datos Personales del Cuenta Dante.
Deberá identificar al funcionario o funcionarios representantes del
organismo sujeto a control.
- Llenar el formato de Datos Personales del Cuenta Dante.
2.3 Elaborar Actas de Inspección o Fiscalización.
Realiza fiscalización y levanta acta de fiscalización.
- Llenar el formato de Acta de Inspección o Fiscalización.
2.4 Organizar y Analizar Documentos.
Se procede a organizar y analizar documentos relativos a la auditoria.
- Organizar los papeles de trabajo
- Credencial
- Acta de Instalación o Acta de No Instalación
- Actas de Requerimientos I y II
- Elementos de Convicción y Pruebas (soportes debidamente certificados)
- Oficio de remisión y notificación de Resultados de Informe Preliminar
- Actas de Inspección y Fiscalización
- Otro documento significativo.
2.5 Elaborar Cédulas de Hallazgos.
Con el objeto de enumerar los hechos detectados se registran en las
cédulas de hallazgos. En complemento se solicitan los soportes debidamente
certificados.
- Llenar el formato de Cedula de Hallazgos.
68
Fase 3: Ejecución.
Objetivos: Cuando la comisión Auditora reciba la información solicitada,
procede a la ejecución de la auditoria de acuerdo a lo establecido en el programa
de auditoria informática vigente para la fecha.
Descripción de Pasos.
3.1 Aplicación de Instrumentos de obtención de información.
Se utiliza los cuestionarios, entrevistas y confirmaciones, observación
directa, validaciones, verificaciones, revisión y análisis de documentación,
inspecciones ¨in situ¨.
3.2 Ejecución del contenido del programa de Auditoria Informática
(Programa A.I.).
Auditor
Auditor
Asistentes
Ejecutar Programa de
A.I.
Programa
Programa para evaluar la Integridad, Disponibilidad y Privacidad
Fuente: Elaboracion Propia
69
De lo anterior, se tiene que el programa de auditoria esta formado por
procedimientos sujetos a verificación y fecha de ejecución. Constituye un plan de
trabajo para los auditores para evaluar las categorías en relación a la integridad,
disponibilidad y privacidad de la información suministrada y al mismo tiempo
permite el registro del logro y alcance de cada etapa o procedimiento en el
proceso de la auditoria.
Permite:
- Probar los controles
- Ejecutar pruebas
- Evaluar los resultados de las pruebas
Fase 4: Emisión del informe Preliminar.
Objetivos: En función de registrar las observaciones detectadas hasta el
momento, fiscalizaciones, información obtenida, instrumentos utilizados, papeles
de trabajo acumulados y todo documento significativo recopilado durante la
auditoria, el auditor procede a cumplir con la elaboración del Informe de
Preliminar de Auditoria, el cual será evaluado por el Director correspondiente.
Luego se hace la remisión al órgano sujeto a control.
Descripción de Pasos.
4.1 Elaboración de Informe Preliminar.
El auditor elabora el informe preliminar que enviara al Director.
- El auditor elaborara el informe preliminar el cual debe incluir: índice,
origen, alcance, limitaciones, objetivos, metodología utilizada, base legal y
resultados obtenidos.
- El auditor en el Informe Preliminar no incluirá las recomendaciones. Pero
debe prepararlas, en este momento, a los efectos de incluirlas
posteriormente, si fuera el caso, en el Informe Final.
70
4.2 Remisión de Informe Preliminar.
Enviar el informe preliminar al Director para su evaluación. Una vez
evaluado el Informe Preliminar elaborado por el auditor, el Director recomienda
mejoras en el informe; una vez incluidas dichas mejoras, lo remite al órgano
sujeto a control.
Fase 5: Revisión del Informe Preliminar.
Objetivos: El Director tomando en consideración los alegatos y
argumentos, presentados formalmente por el órgano sujeto a control, puede
conjuntamente con el Auditor, someter a revisión el Informe Preliminar.
Sí son pertinentes los alegatos y argumentos, son considerados para la redacción
del Informe Preliminar.
Descripción de Pasos.
5.1 Alegatos del Órgano Sujeto a Control.
El órgano sujeto a control presenta al Director los alegatos y argumentos
en relación al informe preliminar.
5.2 Análisis de Alegatos.
El director envía al auditor, los alegatos y argumentos presentados por el
órgano sujeto a control para su consideración. Realiza las modificaciones
pertinentes.
71
5.3 Remisión del Informe Preliminar.
El Informe Preliminar es conformado definitivamente. En este paso ya se
agotaron los alegatos y argumentos.
Fase 6: Emisión del Informe Final
Objetivo: Hacer constar al órgano sujeto a control, los resultados de la
actuación fiscal practicada por los funcionarios acreditados para tales fines.
Descripción de Pasos.
6.1 Elaboración del Informe Final.
El auditor elabora el informe final y lo envía al director incluyendo los
papeles de trabajo.
6.2 Evaluación del Informe Final.
El director somete a evaluación al Informe Final, pudiendo regresarlo al
auditor con las observaciones del caso si los hubiere. Luego el director, lo remite
al Contralor General del Estado Lara.
6.3 Remisión de Informe Final.
El Contralor General del Estado Lara remite el Informe Final al ente sujeto
a control, Las recomendaciones contenidas en ese Informe Final o de cualquier
actividad de control, cada uno dentro del ámbito de sus competencias, tienen
carácter vinculante. Por lo tanto son de obligatorio cumplimiento.
72
GLOSARIO
Administrador de la Red:
Persona habilitada por una Institución a los fines de administrar los
recursos de una red de computación.
Antivirus:
Archivo que una vez colocados en el computador, puede combatir
programas que atacan a los sistemas ya instalados.
Archivo:
Grupo de datos estructurados que son almacenados en algún medio y
pueden ser usados por las aplicaciones.
Bloqueo de Clave:
Suspensión de uso de esa clave.
Campos:
En informática, espacio para el almacenamiento de un dato en particular.
En las bases de datos un campo es la mínima unidad de almacenamiento de
información accesible.
Caracteres:
Representación grafica o cualquier símbolo en una computadora con
significado propio.
Caracteres alfabéticos:
Representación solo para letras.
Caracteres alfanuméricos:
Representación que combina números y letras.
73
Caracteres especiales:
Representación de signos.
Caracteres numéricos:
Representación solo para números.
Clave o palabra clave:
Conjunto finito de caracteres limitados que forman una palabra secreta que
sirve a uno o más usuarios para acceder a un determinado recursos.
Colas de Impresión:
Servicio mediante el cual, un usuario autorizado puede hacer uso de una
impresora por medio de la red.
Consultas de Selección:
Información preestablecida como ayuda por pantalla del monitor, para los
usuarios en un sistema.
Credencial:
Documento emitido por el Contralor del Estado en su condición de máxima
autoridad de la Contraloría General del Estado Lara para autorizar a un auditor el
inicio de una auditoria.
Cuenta de usuarios:
Registro de una persona que tiene accesos controlados a recursos informáticos.
Conformado por el nombre del usuario, la clave asignada e información adicional
que permiten ubicar a esa persona.
Data:
Información suministrada o almacenada en un sistema automatizado de
información. Hechos o actos registrados capaces de causar efectos jurídicos.
74
Disponibilidad:
Es su capacidad de la data o información de estar siempre disponible para
ser procesada por las personas autorizadas
Dispositivos de almacenamiento:
Grupo de dispositivos de hardware o software dedicados a guardar datos y
por extensión a administrarlos y buscarlos.
Integridad:
Característica de la data o información que hace que su contenido
permanezca inalterado o solo lo modifique la persona autorizada, y quede un
registro de esa modificación para evitar modificaciones de personas que se
infiltran en el sistema
Lista desplegable:
Información preestablecida como ayuda que es vista por pantalla del
monitor, para los usuarios en un sistema.
Modalidades de Acceso:
Clases de accesos permitidos a un usuario sobre un recurso informático.
Modulo de Sistemas:
Segmento de un programa de computación que puede ser operado por un
usuario.
Privacidad:
Característica de la data o la información mediante la cual solo sea
conocida por las personas autorizadas, para evitar divulgación de su contenido.
Recuperación:
Procedimiento mediante el cual, un archivo es regresado a sus condiciones
iniciales.
75
Redes:
Conjunto de equipos y componentes de computación, programas,
aplicaciones y operadores organizados de tal manera que intercambian
información entre si.
Resguardo:
Procedimiento mediante el cual se ubica un archivo respaldado en un sitio
seguro.
Respaldo:
Procedimiento mediante el cual se efectúa una copia de un archivo para
protegerlo.
Salva Pantalla:
Programa que se activa cuando la computadora se encuentra inactiva por
un período determinado de tiempo y muestra efectos gráficos en la pantalla,
generalmente ocultando el contenido con el que se está trabajando.
Seguridad:
Mantener bajo protección los recursos y la información con que cuenta la
red por medio de procedimientos basados en una política de seguridad.
UPS:
Fuente de energía que mantiene funcionando a los equipos y componentes
de computación después de ocurrir un fallo eléctrico.
Usuario:
En informática, un usuario es un individuo que utiliza una computadora,
sistema operativo, servicio o cualquier sistema informático
.
76
CAPITULO VI
CONCLUSIONES Y RECOMENDACIONES
Consideración importante se refiere al aporte realizado por medio de la
elaboración y conformación del Programa de Auditoria Informativa, el cual
representa un valor agregado al trabajo. Este programa no existía en la Institución
y significa una herramienta técnica al servicio de los auditores, incorporada a la
fase de Ejecución de la metodología de evaluación de la seguridad de la data sobre
redes de computación.
Existe la disposición e interés, por parte de los altos ejecutivos de la
Contraloría General del Estado Lara, de abordar la situación planteada y
coadyuvar en la materialización de la propuesta metodológica en la búsqueda de
la estandarización de los procesos y trabajos que realizan todos los auditores en el
desempeño de sus funciones contraloras y fiscalizadoras.
Los criterios fundamentales que se deben utilizar en la evaluación de la
seguridad de la data tienen que ver con la aplicación de instrumentos normativos
que permitan una estandarización antes mencionada por medio del uso de una
herramienta metodológica aprobada por la institución para cumplir con el
mandato legal y la definición del perfil profesional del auditor mediante el
Manual Descriptivo de Clases de Cargos para cumplir con las exigencias
mínimas de formación académica, experiencia y habilidades y destrezas.
Las herramientas e instrumentos de recolección y acumulación de
información que deben ser utilizados en la auditoria informáticas están
constituidas por la aplicación de los formatos entregados por las direcciones de
control de la Contraloría del Estado Lara, es decir, las Acta de Instalación y Acta
de No Instalación, Actas de Requerimientos I, Actas de Requerimientos II, Actas
de Inspección o Fiscalización, Cedula de Hallazgos, Papeles de Trabajos que
incluya Elementos de Convicción y Pruebas, Datos Personales del Cuentadante,
77
Remisión de Informe Preliminar, Remisión del Informe Final, Programa de
Auditoria Informática. Todos estas herramientas de auditoria deben, en función de
evaluar la seguridad de la data, aplicarse con el objeto de medir las categorías que
tiene que ver con claves de acceso, cuentas de usuarios de la red, cuentas de
usuarios del sistema, almacenamiento, respaldo, resguardo, recuperación,
protección, exactitud, oportunidad y confidencialidad.
Para obtener una seguridad razonable de la validez de la información
suministrada por el ente sujeto a control, se considera el enfoque siguiente: los
factores identificados como integridad, disponibilidad y privacidad, evaluados por
los procedimientos del programa de auditoria informática, constituyen el insumo
que debe ser procesado mediante la aplicación de la metodología de auditoria
propuesta, permitiendo sistemáticamente obtener resultados que forman parte
significativa en la elaboración de informes preliminares e informe definitivo.
Incorporar a las Comisiones de Auditorias Informáticas de la Contraloría
General del Estado Lara, a personal especializado en el área informática ya que en
el Manual Descriptivo de Clases de Cargos vigente de la Contraloría General del
Estado Lara, el la sección de Requisitos Mínimos establece la posibilidad real de
incorporar a un ingeniero en las comisiones de auditoria.
Impulsar los mecanismos necesarios y útiles que conlleven a revisar o
actualizar el contenido que permitan definir un perfil para el auditor informático.
Proponer al Contralor del Estado Lara, la elaboración y publicación de las
resoluciones con las formalidades del caso, para darle carácter institucional y de
obligatoriedad a la metodología propuesta.
Generar procedimientos de seguimiento que permitan examinar, medir y
valorar constantemente a la metodología de evaluación de la seguridad de la data
78
y al programa de auditoria informática con el objeto de incluir las actualizaciones
que se consideren convenientes.
Proponer al Contralor General del Estado Lara, la incorporación de
auditorias informáticas en los Planes de Auditoria que se programan anualmente
para cada Dirección,
Capacitar a la plantilla de de la Contraloría General del Estado Lara, en
uso de técnicas e instrumentos informáticos que puedan ser utilizados en las
actuaciones fiscales y concretamente en la evaluación de la seguridad de la data.
79
REFERENCIA BIBLIOGRAFICA - Albuja Valdivieso Lucila. (2000). Las Técnicas de Auditoria Asistidas por el
Computador Frente al Fraude (OLACEFS). Contraloría General de la República.
- Balestrini Acuña, Mirian. 2001. Como Se Elabora el Proyecto de
Investigación Para los estudios Formulativos o exploratorios, Descriptivos, Diagnósticos, Evaluativos, Formulación de Hipótesis, Causales, Experimentales y los Proyectos Factibles. Quinta Edición
- Burch Jr, J. G. y Strater Jr., F. R. (1984). Sistema de Información .1981
México Editorial Limusa - Cepeda, Gustavo. 1997. Auditoria y Control Interno.1997 Santa fe de
Bogota Kimpres Ltda. - Constitución de la República Bolivariana de Venezuela. Gaceta Oficial de la
República Bolivariana de Venezuela Nº 5.453 Extraordinario del 24 de marzo de 2000.
- Constitución del Estado Lara, Gaceta oficial número 155 de fecha 29 de
Diciembre de 2000. - Enciclopedia de Informática y Computación. Ingeniería de Software, 1998 a,
CETTICO, Centro de Transferencia Tecnológica en informática y Comunicaciones Facultad de Informática de Universidad de Madrid. ISBN: 84-8055-198-4
- Enciclopedia de Informática y Computación. Deontología Informática, 1998
b, CETTICO. Centro de Transferencia Tecnológica en informática y Comunicaciones Facultad de Informática de Universidad de Madrid. ISBN: 84 -8055- 202- 6
- Echenique G, J. A. 2001 Auditoria en Informática México McGraw-Hill
/Interamericana Editores, S.A. - Echenique G, J. A. (1992). Auditoria en Informática. (1992) México
Carbayón S.A. McGraw-Hill/Interamericana Editores, S.A. - FitzGeral, Jerry. (1991). Controles Internos para sistemas de Computación,
Segunda Edición. Editorial Limusa. - Instituto Mexicano de Contadores Públicos. Y Comisión de Normas Y
Procedimientos de Auditoría (1994) Normas y Procedimientos de Auditoría. (1994) México Comercializadora de Papeles gráficos, S.A. de C.V.
80
- Laboratorio Docente de Computación, Revista Universidad Simón Bolívar
¿Qué es la Seguridad de Datos?, 2000. www.ldc.usb.ve - Ley Orgánica De La Contraloría General de La Republica y del Sistema
Nacional de Control Fiscal, Gaceta Oficial N° 37.347, de fecha 17 de diciembre de 2001.
- Ley Especial Contra Delitos Informáticos, Gaceta Oficial Número 37313 del
30 de octubre de 2001. - Ley Sobre Simplificación de Tramites Administrativos Gaceta oficial
Número 36845 del 07 de diciembre de 1999. - Ley de Contraloría General del Estado Lara, Gaceta Estadal número 10931
del 30 de junio del 2003. - López Guzmán, Clara (2000). Modelo para el Desarrollo de Bibliotecas
Digitales Especializadas. Universidad Nacional de Mexico-www.bibliodgsca.unam.mx/tesis.
- - Manual Para la Presentación del Trabajo Conducente al Grado Académico
de especialización, Maestría, Doctorado. 2002, Universidad Centroccidental “Lisandro Alvarado”. Profesor Salvador Camacho, Profesor Teresa de Niño, Profeso Reinaldo Pire, Profesora Ayolaida Rodríguez.
- - Microsoft. (2003) Diccionario de Informática e Internet. (2003 McGraw-
Hill/Interamericana Editores, S.A. - Normas Generales de Auditoria de Estado emanadas de la Contraloría
General de la República aprobada el 30 de abril de 1997 y publicada en Gaceta Oficial Nº 36.229 de fecha 17 de junio de 1997 según Resolución Nº 01-00-00-06.
- Normas Generales de Control Interno emanadas de la Contraloría General
de la República aprobada el 30 de abril de 1997 y publicada en Gaceta Oficial Nº 36.229 de fecha 17 de junio de 1997 según Resolución Nº 01-00-00-015.
- Palomares Perraut. Roció. (1997). Universidad de Málaga Facultad de
Filosofía y Letras Departamento de Filología Griega Estudios Árabes y Traducción e Interpretación análisis de fuentes de información de estudios de traducción: creación de una base de datos tesis doctoral
- Piattini, Mario G. y Del Peso Emilio. (2005). Auditoría Informática un
Enfoque Practico 2005. México alfaomega grupo editor s.a. de c.v.
81
- Ray Whittington, O y Pany, Kurt, . Auditoría un enfoque integral (2001) Santafe de Bogotá Irwin McGraw-Hill. Lily Solano Arévalo.
- Reglamento de Medidas de Seguridad de los Ficheros Automatizados que
Contengan Datos de Carácter Personal. Emitido mediante Real Decreto 994/1999, de 11 de junio. España https://www.agpd.es/
- Resolución Organizativa Nº 009 emanada de la Contraloría General del
Estado Lara aprobada el 03 de junio de 2003 y publicada en Gaceta Oficial Nº 1840 de fecha 06 de junio de 2003.
- Rose, C. E. (1994) Archivos Organización y Procedimientos. (1994) México
Computec Editores S.A. de C.V. - Sáez, Maria, (2005). Diseño del Manual de Contabilidad para el Curso
Oficinista Integral Financiero del Instituto Nacional de Capacitación Educativa Aplicando Estrategia Innovadoras de Aprendizaje. Universidad Pedagógica Experimental Libertador.
82
CURRICULUM VITAE
Eyler Natividad Alcon Cordero, C.I. 7302699, nació en Barquisimeto el 12 de
marzo de 1961. Realizó sus estudios de Educación Primaria de primer grado en el
Colegio Doctor Agustín Zubillaga y luego culmina su primaria en la Unidad Educativa
“El Obelisco”. Educación Media en el Liceo Rafael Villavicencio, obteniendo el titulo
de Bachiller en Ciencias, en Barquisimeto Estado Lara.
Posteriormente, ingresó a la Universidad Centroccidental “Lisandro Alvarado”, en
donde obtuvo el titulo de Ingeniero de la república en la especialidad de Informática.
Ha desempeñado cargos de asistente de ingeniero en la Dirección de Infraestructura
y Mantenimiento de Obras (DIMO – LARA) y en el Organismo de Desarrollo Comunal
(ORDEC - LARA). Igualmente tuvo la responsabilidad de ejercer el cargo de encargado
de procesamientos de datos en la Dirección de Política, Secretaria General de Gobierno.
Culminado su estadía como empleado de la Gobernación del Estado Lara, ejerciendo la
Jefatura de Informática de DIMO – LARA.
Actualmente, desempeña el cargo de Jefe de la Coordinación de Computación en la
Contraloría General del Estado Lara, con lo cual completa 21 anos de servicios a la
Administración Pública.
