2. AUDITOR: RUBEN DARIO DIAZ H. 2
1. INTRODUCCION
• Los avances tecnológicos en informática, telemática y
videomática, permean cada vez más las organizaciones.
• El ejercicio del control fiscal tiene su basamento en el análisis,
evaluación y verificación de información producida por las
Entidades Sujetas de Control.
• Ejercer el control fiscal en un mundo convulsionado y
cambiante es un gran reto.
• Auditar la información de este tipo es complejo y no cabe
auditarla con procedimientos convencionales de control.
3. AUDITOR: RUBEN DARIO DIAZ H. 3
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Las tareas del Auditor Informático deben estar asociadas a la
rentabilidad ( optimizar tiempo vrs. calidad ).
• Toda organización posee flujos de información formalizados
(normas, procedimientos, etc.) y flujos de información no
formalizados.
• Un sistema computarizado es un subconjunto del flujo de
información formalizado.
• Los niveles de estructura en una empresa son : Gerencial,
Ejecutivo y Operacional.
4. AUDITOR: RUBEN DARIO DIAZ H. 4
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Se estima que sólo se detectan un 10% de los fraudes.
• Ante los problemas surgidos de informatización en una
organización, el Auditor Informático debe dar soluciones :
• Minimizar riesgos.
• Hacerlos menos probables.
• Disminuir el impacto sobre la empresa.
• La Auditaría Informática es la base de la pirámide informática de
una organización.
5. AUDITOR: RUBEN DARIO DIAZ H. 5
AUDITORIA INFORMATICA
PLAN ESTRATÉGICO
DE SISTEMAS
ESTRATEGIA
INFORMÁTICA
NECESIDA.
INFORMACION
.
EST.
CORP.
6. AUDITOR: RUBEN DARIO DIAZ H. 6
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• El ámbito de actuación de la Auditoría Informática sería a :
• La función de Planificación.
• La construcción o desarrollo de sistemas.
• La organización y la administración.
• El entorno operativo.
• La seguridad.
• La Gestión.
• El procesamiento electrónico de los datos.
7. AUDITOR: RUBEN DARIO DIAZ H. 7
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Planificación :
• Aplicaciones inconexas.
• Información redundante.
• Parque computarizado caótico.
• Rumbo indeterminado del Departamento.
• Desconexión del Departamento con la realidad de la
empresa.
• Objetivos inexistentes.
8. AUDITOR: RUBEN DARIO DIAZ H. 8
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Construcción de Sistemas :
• Construcción de sistemas inadecuados.
• Sistemas ineficaces.
• Sistemas inseguros.
• Sistemas de difícil mantenimiento.
• Sistemas que no satisfacen a los usuarios.
• Sistemas no confiables.
• Sistemas no confidenciales.
9. AUDITOR: RUBEN DARIO DIAZ H. 9
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Organización y Administración :
• Políticas y objetivos.
• Políticas de personal.
• Normas y procedimientos.
• Control de calidad.
• Relaciones con los usuarios y proveedores.
• Estructura organizacional y funcional.
• Dotación de recursos.
10. AUDITOR: RUBEN DARIO DIAZ H. 10
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados al Entorno Operativo :
• Políticas, normas y procedimientos.
• Programación y ejecución.
• Infraestructura locativa.
• Infraestructura eléctrica.
• Infraestructura de Hardware y software.
• Infraestructura de comunicaciones.
• Infraestructura de respaldo de datos.
11. AUDITOR: RUBEN DARIO DIAZ H. 11
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Seguridad :
• Acceso físico.
• Acceso lógico.
• Protección del hardware y el software.
• Mantenimiento del hardware y el software.
• Transmisión de datos.
• Políticas de backup.
• Planes de recuperación.
12. AUDITOR: RUBEN DARIO DIAZ H. 12
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Gestión :
• Costos excesivos y desequilibrados.
• Plazos excesivos.
• Incapacidad de cumplir objetivos.
• Utilización poco eficaz de los recursos.
• Estándares de productividad.
• Concordancia con los objetivos corporativos.
13. AUDITOR: RUBEN DARIO DIAZ H. 13
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados al Procesamiento Electrónico de los Datos :
• Entrada de datos.
• Salida de datos.
• Procesamiento de datos.
• Aplicativos de sistemas.
• Bases de datos.
• Procesamiento distribuido.
14. AUDITOR: RUBEN DARIO DIAZ H. 14
4. METODOLOGÍA DE LA AUDITORIA INFORMATICA
• Definición de Objetivos y Ambito.
• Realización de un Estudio Inicial.
• Determinación de Perfiles.
• Elaboración de Planes.
• Elaboración de Programas.
• Realización de Actividades.
• Elaboración del Informe Final.
• Formulación de Recomendaciones.
15. AUDITOR: RUBEN DARIO DIAZ H. 15
5. REGLAS BASICAS DE REALIZACION DE UNA AUDITORIA
INFORMATICA
• Fomentar la cooperación de los elementos auditados.
• Contar con el apoyo de la dirección.
• Cuidar aspectos protocolarios.
• Realizar una presentación.
• Solicitar con antelación la información precisa.
• No adelantar resultados parciales.
• Comentar resultados con interesados antes que niveles superiores.
• No emitir juicios que no estén sólidamente basados.
• El auditor observa, juzga y recomienda. Es imparcial.
16. AUDITOR: RUBEN DARIO DIAZ H. 16
6. SOFTWARE PARA AUDITORIA INFORMATICA
• El objetivo fundamental del software para Auditaría Informática
es el de verificar los registros y archivos del computador.
• Las Funciones serían de :
• Interpretar las especificaciones de Auditoría.
• Escoger e imprimir registros que cumplan criterios .
• Resumir datos de archivos.
• Calcular valores.
• Ordenar archivos según requerimientos de análisis.
• Escoger muestras aleatorias.
17. AUDITOR: RUBEN DARIO DIAZ H. 17
COMO IDENTIFICAR
O CONOCER A LA
ENTIDAD SUJETA
DE CONTROL ?
18. AUDITOR: RUBEN DARIO DIAZ H. 18
AMBIENTE
ORGANIZACIONAL
• Estructura Organizacional.
• Políticas Corporativas.
• Plan Estratégico Corporativo.
• Manual de Funciones.
• Manual de Procesos.
• Presupuesto.
• Indicadores de Gestión.
• Descomposición Funcional.
19. AUDITOR: RUBEN DARIO DIAZ H. 19
AMBIENTE DE
CONTROL INTERNO
• Estructura de la Auditaría Interna.
• Funciones de control.
• Plan Anual de Revisión.
• Plan de Contingencias.
• Políticas de Control.
• Valoración de Riesgos.
• Normatividad de Control.
• Evaluaciones anteriores.
20. AUDITOR: RUBEN DARIO DIAZ H. 20
AMBIENTE
INFORMATICO
• Estructura Area de Sistemas.
• Funciones Area de Sistemas.
• Plan Estratégico de Sistemas.
• Plan de Contingencias.
• Inventario de Software y Hardware.
• Políticas de Operación.
• Metodologías de Desarrollo.
• Políticas de Seguridad.
• Políticas de Backup y Recuperación.
21. AUDITOR: RUBEN DARIO DIAZ H. 21
COMO DEFINIR EL
AMBITO Y ALCANCE ?
• Analizar la información.
• Identificar el Ambiente de Control.
• Definir el Escenario de Riesgo.
• Definir las Actividades Sujetas de Control.
22. AUDITOR: RUBEN DARIO DIAZ H. 22
IDENTIFICACIÓN DE
LOS POR QUÉ
OCURREN LOS
PROBLEMAS DE
ORDEN INFORMÁTICO
Y COMPUTACIONAL EN
UNA ORGANIZACIÓN ?
24. AUDITOR: RUBEN DARIO DIAZ H. 24
1. POR QUÉ SISTEMAS
NO HA
AUTOMATIZADO
MI
PROCESO ?
25. AUDITOR: RUBEN DARIO DIAZ H. 25
• La planeación del área de sistemas debe hacerse
de acuerdo con políticas definidas por la
organización.
• La organización debe monitorear la calidad de los
productos y servicios ofrecidos por los recursos
PED.
• Debe existir un Comité de Sistemas que promueva
y apruebe las políticas y planes PED como de
relación con los usuarios.
• El recurso humano del área de sistemas debe ser
idóneo y sus funciones estar sujetas a lo definido en
la estructura organizacional.
• Deben existir criterios que permitan medir el
desempeño de los funcionarios del área de
sistemas.
26. AUDITOR: RUBEN DARIO DIAZ H. 26
• Escenario de Riesgo : ORGANIZACIÓN
Está relacionado con aquellos controles
que implanta la entidad para garantizar
la mejor administración y operación del
área de sistemas e informática, con el
fin de que sus servicios se presten de la
manera que la organización lo requiera,
para efectos de competitividad y óptima
gestión y acorde al plan estratégico
corporativo.
27. AUDITOR: RUBEN DARIO DIAZ H. 27
• Escenario de Riesgo : ORGANIZACIÓN
• Actividades Sujetas de Control
• Políticas/Objetivos
• Planeación Corporativa
• Estructura Organizacional/Funcional
• Recurso Humano
• Relación con Usuarios
• Control de Calidad
28. AUDITOR: RUBEN DARIO DIAZ H. 28
2. POR QUÉ LA INFORMACIÓN
NUNCA ESTA
ACTUALIZADA?
29. AUDITOR: RUBEN DARIO DIAZ H. 29
• Los recursos PED deben ser operados de manera que
proteja la información almacenada y debe proveer control
sobre su acceso y modificación.
• El sistema de información debe proveer información
oportuna.
• Debe incluirse en el plan de trabajo, el mantenimiento
periódico de los equipos.
• El sistema de información debe garantizar la integralidad
con el resto de sistemas de la organización.
• Debe existir un registro exacto del desempeño de todos y
cada uno de los trabajos procesados en el centro de
cómputo.
• La información suministrada por el sistema debe ser
confiable.
• Debe existir una adecuada segregación de funciones.
30. AUDITOR: RUBEN DARIO DIAZ H. 30
• Escenario de Riesgo : OPERACION
Está relacionado con aquellos controles y
procedimientos que garantizan que los equipos,
medios magnéticos y software sean
correctamente utilizados y, proporcionen
efectividad y continuidad en el PED, seguridad a
registros y restricciones en el acceso de
personal no autorizado.
31. AUDITOR: RUBEN DARIO DIAZ H. 31
• Escenario de Riesgo : OPERACION
• Actividades Sujetas de Control
• Políticas, Normas y Procedimientos
• Planeación
• Programación
• Ejecución
32. AUDITOR: RUBEN DARIO DIAZ H. 32
3. POR QUÉ LOS
SISTEMAS
NO SATISFACEN
MIS
NECESIDADES ?
33. AUDITOR: RUBEN DARIO DIAZ H. 33
• Las aplicaciones deben desarrollarse de acuerdo con las
políticas corporativas de la organización.
• Se deben emplear metodologías adecuadas de desarrollo de
sistemas.
• Los usuarios se deben involucrar en los proyectos de
desarrollo con responsabilidades asignadas.
• Se debe utilizar una metodología de control de proyectos.
• Las aplicaciones deben estar documentadas.
• La naturaleza general y el alcance de cada proyecto de
sistemas debe ser claramente establecido y documentado.
• Deben prepararse y documentarse el estudio tecnológico de
factibilidad del proyecto.
• El desarrollo de las aplicaciones debe obedecer a criterios
de priorización, costos, duración y tamaño.
34. AUDITOR: RUBEN DARIO DIAZ H. 34
• Escenario de Riesgo : DESARROLLO
Está relacionado con aquellos controles y
procedimientos que garantizan el desarrollo
efectivo de sistemas o aplicativos de
información, conforme a los tipos de desarrollo
de ciclo de vida, desarrollo por prototipado,
desarrollo mediante software comercial,
desarrollo por outsourcing o desarrollo por
usuario final.
35. AUDITOR: RUBEN DARIO DIAZ H. 35
• Escenario de Riesgo : DESARROLLO
• Actividades Sujetas de Control
• Políticas de Desarrollo
• Estudio de Factibilidad
• Preparación del Proyecto
• Análisis del Sistema
• Diseño del Sistema
• Construcción del Sistema
• Documentación
• Metodología Duración y Tamaño
• Metodología para Priorizar
• Metodología Costo/Beneficio
• Participación Usuarios
• Control Administrativo del Proyecto
• Metodología Definición de Sistemas
• Instalación y Postinstalación
36. AUDITOR: RUBEN DARIO DIAZ H. 36
4. POR QUÉ LAS CONSTANTES
FALLAS EN LOS
EQUIPOS ?
37. AUDITOR: RUBEN DARIO DIAZ H. 37
• Los elementos, equipos e instalaciones deben hacer del sitio
de trabajo un lugar cómodo, agradable, funcional y adecuado
para las tareas inherentes a la gestión informática.
• Las instalaciones del fluido eléctrico deben ofrecer un buen
servicio eléctrico uniforme y permanente.
• Los equipos de cómputo, periféricos y dispositivos
necesarios para el PED deben ser adecuados y necesarios.
• Los dispositivos electrónicos, interfaces, conexiones y
cableados indispensables para transmitir y recibir
información, interna como externa, deben ser de alta
tecnología.
• El conjunto de programas de computador y aplicativos de
usuario final se debe aprovechar al máximo por la
infraestructura de hardware y de comunicaciones como para
el desarrollo de sistemas.
• Se debe contar con software para realizar, almacenar y
recuperar las copias de respaldo de datos.
• Se debe contar con recursos logísticos para brindar apoyo a
38. AUDITOR: RUBEN DARIO DIAZ H. 38
• Escenario de Riesgo : INFRAESTRUCTURA
Está relacionado con aquellos controles y
procedimientos que protegen el conjunto de
instalaciones, equipos, insumos, dispositivos,
redes, periféricos, programas y recursos en
general de tecnología informática, con que
cuenta el ente auditado para desarrollar,
implementar y operar sus sistemas de
información.
39. AUDITOR: RUBEN DARIO DIAZ H. 39
• Escenario de Riesgo : INFRAESTRUCTURA
• Actividades Sujetas de Control
• Infraestructura Locativa
• Infraestructura Eléctrica
• Infraestructura de Hardware
• Infraestructura de Software
• Infraestructura de Comunicaciones
• Infraestructura para Respaldo de Datos
• Infraestructura de Soporte
41. AUDITOR: RUBEN DARIO DIAZ H. 41
• Deben asignarse responsabilidades sobre el control de acceso y
seguridad física en el área PED.
• El acceso a bases de datos y terminales debe ser controlado, a
partir de políticas de Password.
• Deben existir protecciones contra eventos como incendios e
inundaciones de acuerdo con estándares de seguridad aceptados.
• Los archivos de cómputo deben protegerse contra accidentes,
destrucción y utilización por personal no autorizado o de intrusos.
• Deben existir planes de recuperación en caso de presentarse una
contingencia.
• Se deben definir políticas unificadas de backup y los
responsables de ejecutarlas diariamente.
• Debe existir un programa periódico de mantenimiento preventivo
del hardware y el software.
• Se debe proteger la información de la empresa del acceso desde
Internet.
• Deben existir procedimientos establecidos para verificar la
integridad de la información transmitida.
42. AUDITOR: RUBEN DARIO DIAZ H. 42
• Escenario de Riesgo : SEGURIDAD
Está relacionado con aquellos controles,
procedimientos y medidas efectivas que
protegen al personal, a los equipos, a los
programas y a los datos de las amenazas que
rodean el ambiente informático de una
organización.
43. AUDITOR: RUBEN DARIO DIAZ H. 43
• Escenario de Riesgo : SEGURIDAD
• Actividades Sujetas de Control
• Acceso Físico
• Acceso Lógico
• Protección de Equipos
• Protección de Software
• Mantenimiento de Hardware y Software
• Seguridad en la Transmisión de Datos
• Planes de Recuperación
• Políticas de Backup
• Pólizas de Seguro
• Seguridad en las Bases de Datos
44. AUDITOR: RUBEN DARIO DIAZ H. 44
SISTEMAS DE
INFORMACIÓN
OPERACIÓN ORGANIZACIÓN
SEGURIDAD
INFRAESTRUCTURA DESARROLLO
AMBIENTE DE
CONTROL
GENERAL
45. AUDITOR: RUBEN DARIO DIAZ H. 45
6. POR QUÉ PERSONAL
NO AUTORIZADO
TIENE ACCESO A
LOS SISTEMAS DE
INFORMACIÓN ?
46. AUDITOR: RUBEN DARIO DIAZ H. 46
• El usuario debe tener procedimientos establecidos para preparar los
datos e ingresarlos.
• La información sometida a procesamiento debe ser autorizada,
preparada e integrada y transmitida adecuadamente.
• Los documentos fuente y formas en blanco, deben custodiarse por
personas no involucradas en su generación.
• Los documentos fuente deben retenerse por un tiempo determinado,
para poder en algún caso, reconstruir la información.
• Los datos de entrada a procesar deben ser validados.
• Los procedimientos para el manejo de errores deben facilitar la
reentrada y operación precisa de los datos corregidos.
• Los documentos fuente deben ser diseñados de forma tal que
minimicen los errores y omisiones.
• Debe existir un control de los documentos negociables.
• Deben existir procedimientos que faciliten la privacidad al ingreso de
datos.
47. AUDITOR: RUBEN DARIO DIAZ H. 47
• Escenario de Riesgo : ENTRADA
Está relacionado con aquellos procedimientos
implantados por la entidad y que validan de
alguna forma los datos de entrada a los
diferentes sistemas o aplicativos, buscando con
ello un alto grado de depuración que evite
grandes cargas de trabajo posteriores
relacionadas con la corrección de datos
erróneos y su reentrada.
48. AUDITOR: RUBEN DARIO DIAZ H. 48
• Escenario de Riesgo : ENTRADA
• Actividades Sujetas de Control
• Autorización
• Origen del Documento Fuente
• Manejo del Error en el Documento Fuente
• Retención del Documento Fuente
• Entrada de Datos
• Validación de Datos de Transacciones
• Manejo del Error en la Entrada de Transacciones
• Control de Documentos Negociables
• Privacidad
49. AUDITOR: RUBEN DARIO DIAZ H. 49
9. ES LA
INFORMACIÓN
UNA TRAMPA
PARA LA
ORGANIZACIÓN ?
50. AUDITOR: RUBEN DARIO DIAZ H. 50
• Se debe normalizar el control de acceso a las bases de datos.
• La información relacionada con la base de datos se debe controlar
en su flujo y al uso que se le pueda dar.
• Se deben salvaguardar de un fraude o desfalco los activos de la
base de datos del uso no autorizado o del retiro por personal tanto
de confianza como de extraños a la organización.
• Se debe garantizar la privacidad de los datos de la base de datos.
• Se debe normalizar procedimientos de recuperación ante la
destrucción accidental o intencional de la base de datos.
• Se deben implementar controles para el manejo de errores
después de que han ingresado a la base de datos.
• Los datos deben ser rastreados a través de todas las funciones de
la base de datos.
• Se debe garantizar programas que faciliten la interfaz con la base
de datos, sistema operativo, programas de telecomunicaciones y de
aplicaciones.
51. AUDITOR: RUBEN DARIO DIAZ H. 51
• Escenario de Riesgo : BASES DE DATOS
Está relacionado con aquellos controles
implantados por la entidad para su
administración, manejo de errores, acceso,
programas interfaz, etc., debido a que éstas son
colecciones estructuradas de datos
relacionados entre sí y que son compartidas por
un buen número de usuarios.
52. AUDITOR: RUBEN DARIO DIAZ H. 52
• Escenario de Riesgo : BASES DE DATOS
• Actividades Sujetas de Control
• Control de Acceso
• Políticas de la Información
• Fraude y Desfalco
• Privacidad
• Interrupciones y Desastres
• Manejo de Errores en Transacciones
• Pistas de Auditoría
• Balanceo y Conciliación de Salidas
• Interfaz de programas
53. AUDITOR: RUBEN DARIO DIAZ H. 53
3. CONCEPTOS FUNDAMENTALES
• Cuáles son las amenazas más comunes en el entorno
informático de una organización :
• Contingencias naturales
• Intrusos
• Aplicaciones mal diseñadas
• Accidentes
• Contravenciones a la Ley
• Fallas en el hardware y software
• Errores de usuarios
• Problemas de telecomunicaciones
54. AUDITOR: RUBEN DARIO DIAZ H. 54
• Antes de la automatización de los datos, éstos se mantenían
y aseguraban como registros en papel, dispersos en
negocios o unidades organizacionales por separado.
• Hoy en día, los sistemas de información concentran los
datos en archivos de computadora que pueden ser
accesados más fácilmente por mucha gente y grupos fuera
de la institución.
• Por lo tanto, los datos automatizados pueden ser más
susceptibles de destrucción, fraude, error y mal uso.
4. VULNERABILIDAD
55. AUDITOR: RUBEN DARIO DIAZ H. 55
• En 1992 un estudio encargado por Stratus Computer Inc. y
realizado por la empresa de investigaciones de Nueva York
Find/SVP, encuestó a 450 ejecutivos de SI seleccionados de las 1000
empresas de la revista FORTUNE, encontró algunos de los
siguientes resultados :
• Las caídas no planeadas del sistema ocurren nueve veces por año
en promedio.
• Los sistemas permanecen caídos un promedio de cuatro horas.
• Los efectos más negativos son la insatisfacción del cliente y
pérdidas de productividad.
4. VULNERABILIDAD
56. AUDITOR: RUBEN DARIO DIAZ H. 56
• Las distorsiones en los sistemas de cómputo cuestan a las
empresas 4.000 millones de dólares al año.
• La pérdida de productividad en los trabajadores es del orden
de 37 millones de horas.
• Mientras más tiempo permanezcan los sistemas de cómputo
“caídos”, más serias serán las consecuencias para la empresa.
• Sólo unos cuantos días de pérdida de capacidad de cómputo
originan un quebranto total de la funcionalidad del negocio.
4. VULNERABILIDAD
57. AUDITOR: RUBEN DARIO DIAZ H. 57
Los sistemas computarizados son vulnerables por las siguientes
razones:
• Un sistema de información complejo no puede ser duplicado a
mano.
• Los procedimientos computarizados parecen ser invisibles y no son
bien entendidos o auditados.
• En general no quedan huellas visibles de cambios en los sistemas
computarizados y, también son complejos.
• Se tiene menor inspección manual.
• La información es más fácil de recopilar, pero más difícil de
controlar.
4. VULNERABILIDAD
58. AUDITOR: RUBEN DARIO DIAZ H. 58
• El desarrollo y operación de los sistemas automatizados
requiere de conocimiento experto, que no puede ser
comunicado fácilmente a los usuarios finales.
• Los sistemas están abiertos al abuso de miembros del
personal altamente capacitados técnicamente que no estén
bien integrados a la institución.
• Los empleados pueden hacer copias no autorizadas de
archivos de datos con fines ilegales.
• El efecto de un desastre en un sistema computarizado puede
ser mayor que en uno manual.
4. VULNERABILIDAD
59. AUDITOR: RUBEN DARIO DIAZ H. 59
• Los datos en los sistemas de cómputo pasan por más pasos
de procesamiento que en los sistemas manuales.
• En cada uno de las funciones de origen de los datos, registro,
transmisión, procesamiento, almacenamiento, recuperación y
distribución, requiere de un conjunto independiente de
controles físicos, administrativos y técnicos.
• Los sistemas de información en línea son aún más difíciles de
controlar.
4. VULNERABILIDAD
60. AUDITOR: RUBEN DARIO DIAZ H. 60
4. VULNERABILIDAD
Radiación
Radiación
Intercepción
Distorsión
interferencia
Radiación Radiación
Radiación
Intercepción
Distorsión
interferencia
Consolas
remotas
Usuario :
modificar
Acceso :
Errores de programación
Hardware :
Conexiones inadecuadas
Centro de
intercambio Procesador
Canal de
comunicación
Programador :
Incapacitar medidas
Revelar medidas
Mantenimiento :
Incapacitar dispositivos
Uso programas indep.
Operador :
Reemplaza supervisor
Revela medidas
Hardware :
Falla circuitos protección
Contribuye fallas software
Archivos :
Robo, copiado,
Acceso no
autorizado
Software :
Falla disposit. protección
Control acceso
61. AUDITOR: RUBEN DARIO DIAZ H. 61
4. VULNERABILIDAD
• La vulnerabilidad creciente de los datos automatizados ha
creado preocupaciones especiales para los desarrolladores y
usuarios de los sistemas de información.
• Entre las preocupaciones se incluyen :
• Desastres
• Seguridad
• Error administrativo
62. AUDITOR: RUBEN DARIO DIAZ H. 62
4. VULNERABILIDAD
Preparación datos
Transmisión
Conversión
Entrada datos línea
Completar formas
Otro tipo acceso
Validación
Procesamiento
Salida
Transmisión
Distribución