Este documento presenta una introducción al curso de administración de la función informática. Explica conceptos clave como auditoría informática y sus objetivos. También describe los tipos de auditoría, como interna, externa y de operaciones. Finalmente, introduce marcos de control como COBIT, el cual provee una estructura para evaluar y monitorear el cumplimiento de objetivos y controles de TI desde una perspectiva de negocios.
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
Periodico
1. 1 Eduardo Salas Gonzalez ofimatica
CONTENIDO DEL CURSO: ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA
UNIDAD I
Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar
si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían
realizar para la consecución de los mismos.
dentro de la organización de una empresa realizada
Los objetivos de la y existe una relación por un contador público.
auditoría Informática son: laboral. Auditoria de operaciones:
* El control de la función Auditoría externa. No existe Se define como una técnica
informática relación laboral y la para evaluar
* El análisis de la hacen personas externas sistemáticamente de una
eficiencia de los Sistemas al negocio para que los función o una unidad con
Informáticos resultados que nos referencia a normas de la
* La verificación del arroje sean imparciales empresa, utilizando
cumplimiento de la como pueden ser las personal no especializado
Normativa en este ámbito firmas de contadores o en el área de estudio.
* La revisión de la eficaz administradores Auditoría fiscal: Consiste
gestión de los recursos independientes. en verificar el correcto y
informáticos. Auditoria administrativa. oportuno pago de los
(William. P Leonard) es un diferentes impuestos y
La auditoría informática sirve para mejorar ciertas examen completo y obligaciones fiscales de
características en la empresa como: constructivo de la los contribuyentes desde
- Eficiencia
- Eficacia estructura organizativa de el punto de vista físico
- Rentabilidad la empresa, institución o (SHCP), direcciones o
- Seguridad departamento tesorerías de hacienda
Generalmente se puede desarrollar en alguna o gubernamental o de estatales o tesorerías
combinación de las siguientes áreas: cualquier otra entidad y de municipales.
- Gobierno corporativo sus métodos de control, Auditoria de resultados de
- Administración del Ciclo de vida de los sistemas
- Servicios de Entrega y Soporte
medios de operación y programas: Esta auditoría
- Protección y Seguridad empleo que dé a sus la eficacia y congruencia
- Planes de continuidad y Recuperación de recursos humanos y alcanzadas en el logro de
desastres
materiales. los objetivos y las metas
AUDITORIA establecidas.
1.2 Tipos de auditoría. GUBERNAMENTAL. Auditoria de legalidad: Este
Auditoría Financiera: tipo de auditoría tiene como
Auditoría contable (de Consiste en una revisión finalidad revisar si la
estados financieros) – no exploratoria y critica de dependencia o entidad, en
es interés del curso. los controles el desarrollo de sus
Auditoría interna. La lleva a subyacentes y los actividades.
cabo un departamento registros de contabilidad
Modulo 3 pag.1
2. 2 Eduardo Salas Gonzalez ofimatica
Auditoría integral: Es un objeto de emitir informes y haría una persona
examen que proporciona formular sugerencias inteligente.
una evaluación objetiva y para el mejoramiento de la Instrumentación y control:
constructiva acerca del misma. Estos informes son Instrumentación
grado en que los recursos de circulación interna y no electrónica, electro
humanos, financieros y tienen trascendencia a los medicina, robots
materiales. terceros pues no se industriales, entre otros.
producen bajo la figura de
1.2.1 Auditoría interna y la Fe Pública. 1.4 Control interno.
externa.
1.3 Campo de la auditoria El Control Interno
La Auditoría Externa informática. Informático puede
examina y evalúa cualquiera definirse como el sistema
de los sistemas de Algunos campos de integrado al proceso
información de una aplicación de la administrativo, en la
organización y emite una informática son las planeación, organización,
opinión independiente siguientes: dirección y control de las
sobre los mismos, pero operaciones con el objeto
las empresas Investigación científica y de asegurar la protección
generalmente requieren de humanística: Se usan la las de todos los recursos
la evaluación de su sistema computadoras para la informáticos y mejorar
de información financiero resolución de cálculos los índices de economía,
en forma independiente matemáticos, recuentos eficiencia y efectividad de
para otorgarle validez numéricos, etc. los procesos operativos
ante los usuarios del Aplicaciones técnicas: Usa automatizados.
producto de este, por lo la computadora para
cual tradicionalmente se facilitar diseños de También se puede definir el
ha asociado el término ingeniería y de productos Control Interno como
Auditoría Externa a comerciales, trazado de cualquier actividad o
Auditoría de Estados planos, etc. acción realizada manual
Financieros, lo cual como Documentación e y/o automáticamente para
se observa no es información: Es uno de los prevenir, corregir errores
totalmente equivalente, campos más importantes o irregularidades que
pues puede existir. para la utilización de puedan afectar al
Auditoría Externa del computadoras. Estas se funcionamiento de un
Sistema de Información usan para el sistema para conseguir
Tributario, Auditoría almacenamiento de grandes sus objetivos.
Externa del Sistema de cantidades de datos y la
Información Administrativo, recuperación controlada 1.5 Modelos de control
Auditoría Externa del de los mismos en bases de utilizados en auditoria
Sistema de Información datos. informática.
Automático etc. Gestión administrativa:
Automatiza las funciones El COBIT es precisamente
La auditoría Interna es el de gestión típicas de una un modelo para auditar la
examen crítico, sistemático empresa. gestión y control de los
y detallado de un sistema Inteligencia artificial: Las sistemas de información y
de información de una computadoras se tecnología, orientado a
unidad económica, programan de forma que todos los sectores de una
realizado por un emulen el comportamiento organización, es decir,
profesional con vínculos de la mente humana. Los administradores IT,
laborales con la misma, programas responden usuarios y por supuesto,
utilizando técnicas como previsiblemente lo los auditores
determinadas y con el
Modulo 3 pag.2
3. 3 Eduardo Salas Gonzalez ofimatica
involucrados en el procesos y recursos de -Planificación y
proceso. información y tecnología organización
contribuyen al logro de -Adquisición e implantación
Las siglas COBIT significan los objetivos del negocio -Soporte y Servicios
Objetivos de Control para en un mercado cada vez - Monitoreo
Tecnología de Información más exigente, complejo y
y Tecnologías diversificado”, señaló un Estos dominios agrupan
relacionadas (Control informe de ETEK. objetivos de control de
Objetives for Information alto nivel, que cubren
Systems and related COBIT, lanzado en 1996, es tanto los aspectos de
Technology). El modelo es una herramienta de información, como de la
el resultado de una gobierno de TI que ha tecnología que la
investigación con expertos cambiado la forma en que respalda. Estos dominios y
de varios países, trabajan los objetivos de control
desarrollado por ISACA profesionales de facilitan que la generación
(Information Systems Audit tecnología. Vinculando y procesamiento de la
and Control Association). tecnología informática y información cumplan con
prácticas de control, el las características de
La estructura del modelo modelo COBIT consolida y efectividad, eficiencia,
COBIT propone un marco de armoniza estándares de confidencialidad,
acción donde se evalúan fuentes globales integridad, disponibilidad,
los criterios de prominentes en un recurso cumplimiento y
información, como por crítico para la gerencia, confiabilidad.
ejemplo la seguridad y los profesionales de
calidad, se auditan los control y los auditores. Asimismo, se deben tomar
recursos que comprenden en cuenta los recursos
la tecnología de COBIT se aplica a los que proporciona la
información, como por sistemas de información de tecnología de información,
ejemplo el recurso toda la empresa, tales como: datos,
humano, instalaciones, incluyendo los aplicaciones, plataformas
sistemas, entre otros, y computadores personales tecnológicas,
finalmente se realiza una y las redes. Está basado instalaciones y recurso
evaluación sobre los en la filosofía de que los humano.
procesos involucrados en recursos TI necesitan ser
la organización. administrados por un “Cualquier tipo de empresa
conjunto de procesos puede adoptar una
El COBIT es un modelo de naturalmente agrupados metodología COBIT, como
evaluación y monitoreo que para proveer la parte de un proceso de
enfatiza en el control de información pertinente y reingeniería en aras de
negocios y la seguridad IT confiable que requiere una reducir los índices de
y que abarca controles organización para lograr incertidumbre sobre
específicos de IT desde una sus objetivos. vulnerabilidades y riesgos
perspectiva de negocios. de los recursos IT y
“La adecuada El conjunto de consecuentemente, sobre
implementación de un lineamientos y estándares la posibilidad de evaluar el
modelo COBIT en una internacionales conocidos logro de los objetivos
organización, provee una como COBIT, define un del negocio apalancado en
herramienta automatizada, marco de referencia que procesos tecnológicos”,
para evaluar de manera clasifica los procesos de finalizó el informe de ETEK.
ágil y consistente el las unidades de tecnología
cumplimiento de los de información de las 1.6 Principios aplicados a
objetivos de control y organizaciones en cuatro los auditores
controles detallados, que “dominios” principales, a informáticos.
aseguran que los saber:
Modulo 3 pag.3
4. 4 Eduardo Salas Gonzalez ofimatica
El auditor deberá ver cómo informático globalmente
se
máxima
puede conseguir
eficacia
la
y
contemplado.
estudiado el
Una vez
sistema
UNIDAD
rentabilidad de los medios informático a auditar, el
informáticos de la empresa
auditada, estando obligado
auditor deberá establecer
los requisitos mínimos, II Planeación de la
a presentar aconsejables y óptimos auditoria Informática.
recomendaciones acerca para su adecuación a la
del reforzamiento del finalidad para la que ha 2.1 Fases de la auditoria.
sistema y el estudio de las sido diseñado. El auditor
soluciones más idóneas deberá lógicamente
según los problemas abstenerse de recomendar
Fase I: Conocimientos del
detectados en el sistema actuaciones
Sistema
informático de esta última. innecesariamente
Fase II: Análisis de
En ningún caso está onerosas, dañinas o que
transacciones y recursos
justificado que realice su generen riesgos
Fase III: Análisis de
trabajo el prisma del injustificados para el
riesgos y amenazas
propio beneficio. auditado. Una de las
Fase IV: Análisis de
Cualquiera actitud que se cuestiones más
controles
anteponga intereses controvertidas, respecto
Fase V: Evaluación de
personales del auditor a de la aplicación de este
Controles
los del auditado deberá principio, es la referente a
Fase VI: El Informe de
considerarse como no facilitar el derecho de las
auditoria
ética. Para garantizar el organizaciones auditadas a
Fase VII: Seguimiento de las
beneficio del auditado la libre elección del
Recomendaciones
como la necesaria auditor. Si el auditado
independencia del auditor, decidiera encomendar
este último deberá evitar posteriores auditorías a 2.1.1 Planeación.
estar ligado en cualquier otros profesionales,
forma, a intereses de éstos deberías poder Para hacer una adecuada
determinadas marcas, tener acceso a los planeación de la auditoría
productos o equipos informes de los trabajos en informática, hay que
compatibles con los de su profesionales, éstos seguir una serie de pasos
cliente. La adaptación del deberían poder tener previos que permitirán
auditor al sistema del acceso a los informes de dimensionar el tamaño y
auditado debe implicar una los trabajos características de área
cierta simbiosis con el anteriormente realizados dentro del organismo a
mismo, a fin de adquirir un sobre el sistema del auditar, sus sistemas,
conocimiento auditado. organización y equipo. En
pormenorizado de sus el caso de la auditoría en
características del grado de cobertura informática, la planeación
intrínsecas. Únicamente en que dan las aplicaciones a es fundamental, pues habrá
los casos en el que el las necesidades que hacerla desde el punto
auditor dedujese la estratégicas y operativas de vista de los dos
imposibilidad de que el de información de la objetivos:
sistema pudiera empresa.
acomodarse a las • Evaluación de los
exigencias propias de su sistemas y procedimientos.
cometido, este podrá • Evaluación de los
proponer un cambio equipos de cómputo.
cualitativamente
significativo de 2.1.2 Revisión preliminar.
determinados elementos o
del propio sistema
Modulo 3 pag.4
5. 5 Eduardo Salas Gonzalez ofimatica
En esta fase el auditor auditor respecto a la
debe de armarse de un El auditor debe de decidir razonabilidad,
conocimiento amplio del se debe continuar determinando la extensión
área que va a auditar, los elaborando pruebas de de las pruebas y evaluando
objetivos que debe consentimiento, con la su resultado.
cumplir, tiempos (una esperanza de obtener
empresa no pude dejar sus mayor confianza por medio Cuando se utilicen bases
equipos y personal que lo del sistema de control subjetivas se deberá dejar
opera sin trabajar porque interno, o proceder constancia en los papeles
esto le genera pérdidas directamente a revisión con de trabajo de las razones
sustanciosas), los usuarios (pruebas que han conducido a tal
herramientas y compensatorias) o a las elección, justificando los
conocimientos previos, así pruebas sustantivas. criterios y bases de
como de crear su equipo selección.
de auditores expertos en 2.1.4 Examen y evaluación
la materia con el fin de de la información. Evaluación del control
evitar tiempos muertos a la interno
hora de iniciar la auditoria. Periodo en el que se
desarrollan las pruebas y Realizados los
Es de tomarse en cuenta su extensión cuestionarios y
que el propietario de dicha representado gráficamente
empresa, ordena una Los auditores el sistema de acuerdo con
auditoria cuando siente independientes podrán los procedimientos vistos,
que un área tiene una falla realizar las pruebas de hemos de conjugar ambos
o simplemente no trabaja cumplimiento durante el a fin de realizar un análisis
productivamente como se periodo preliminar. e identificar los puntos
sugiere, por esta razón fuertes y débiles del
habrá puntos claves que Cuando éste sea el caso, sistema.
se nos instruya sean la aplicación de tales
revisados, hay que pruebas a todo el periodo En esa labor de
recordar que las restante puede no ser identificación, influye
auditorias parten desde un necesaria, dependiendo primordialmente la
ámbito administrativo y no fundamentalmente del habilidad para entender el
solo desde la parte resultado de estas sistema y comprender los
tecnológica, porque al fin pruebas en el periodo puntos fuertes y débiles
de cuentas hablamos de preliminar así como de la de su control interno.
tiempo y costo de evidencia del cumplimiento,
producción, ejercicio de dentro del periodo La conjugación de ambas
ventas, etc. Es decir, todo restante, que puede nos dará el nivel de
aquello que representa un obtenerse de las pruebas confianza de los
gasto para la empresa. sustantivas realizadas por controles que operan en
el auditor independiente. la empresa, y será preciso
determinar si los errores
La determinación de la tienen una repercusión
2.1.3 Revisión detallada. extensión de las pruebas directa en los estados
de cumplimento se financieros, o si los
Los objetos de la fase realizará sobre bases puntos fuertes del
detallada son los de estadísticas o sobre bases control eliminarían el
obtener la información subjetivas. El muestreo error.
necesaria para que el estadístico es, en principio,
auditor tenga un profundo el medio idóneo para 2.1.5 Pruebas de
entendimiento de los expresar en términos controles de usuario.
controles usados dentro cuantitativos el juicio del
del área de informática.
Modulo 3 pag.5
6. 6 Eduardo Salas Gonzalez ofimatica
En una auditoria existen acerca de cuándo pueden Garantía o conjunto de
los siguientes módulos ocurrir pérdidas garantías que se da a
para ayudarle a planificar y materiales durante el alguien sobre el
ejecutar pruebas: proceso de la información. cumplimiento de algo.
Aéreas de Auditoria Se pueden identificar 8 Ejemplo: Seguridad Social
Registro de Riesgos y diferentes pruebas Conjunto de organismos,
Controles sustantivas: medios, medidas, etc., de la
Plan de Pruebas administración estatal para
Realizar pruebas 1 pruebas para identificar prevenir o remediar los
Permite especificar la errores en el posibles riesgos,
estructura bajo la cual se procesamiento o de falta problemas y necesidades
agruparan las pruebas. de seguridad o de los trabajadores,
Permite planificar y confidencialidad. como enfermedad,
ejecutar pruebas 2 prueba para asegurar la accidentes laborales,
relacionadas con los calidad de los datos. incapacidad, maternidad o
riesgos y controles 3 pruebas para identificar jubilación; se financia con
definidos para esta la inconsistencia de datos. aportaciones del Estado,
auditoría. 4 prueba para comparar trabajadores y
Permite agregar, editar y con los datos o empresarios.
borrar pruebas con contadores físicos.
independencia del Registro 5 confirmaciones de datos Se dice también de todos
de Riesgos y Controles. con fuentes externas aquellos objetos,
Permite registrar el 6 pruebas para confirmar dispositivos, medidas, etc.,
resultado y el status de la adecuada comunicación. que contribuyen a hacer
cada prueba (completadas, 7 prueba para determinar más seguro el
revisadas o aprobadas). falta de seguridad. funcionamiento o el uso de
8 pruebas para determinar una cosa: cierre de
Una Librería de Áreas y una problemas de legalidad. seguridad, cinturón de
Librería de Pruebas pueden seguridad.
también ser mantenida para 2.2 Evaluación de los
proveer Áreas y Pruebas 2.4 Personal
sistemas de acuerdo al
Standard para su participante.
riesgo.
selección en cada
auditoria. Una de las partes más
Riesgo
importantes en la
Las Áreas de Auditoria planeación de la auditoría
Proximidad o posibilidad de
estructuran sus pruebas en informática es el
un daño, peligro, etc.
en programas de trabajo personal que deberá
lógicos y pueden usarse participar, ya que se debe
Cada uno de los
para capturar información contar con un equipo
imprevistos, hechos
relacionada con los seleccionado y con ciertas
desafortunados, etc., que
objetivos de cada características que puedan
puede cubrir un seguro.
programa de trabajo. ayudar a llevar la
Sinónimos: amenaza, auditoria de manera
2.1.6 Pruebas correcta y en el tiempo
contingencia, emergencia,
sustantivas. urgencia, apuro. estimado.
El objetivo de las pruebas Seguridad Aquí no se verá el número
sustantivas es obtener de persona que deberán
evidencia suficiente que
Cualidad o estado de participar, ya que esto
permita al auditor emitir su seguro depende de las dimensiones
juicio en las conclusiones de la organización, de los
Modulo 3 pag.6
7. 7 Eduardo Salas Gonzalez ofimatica
sistemas y de los equipos, dependerá del objetivo
lo que
considerar
se deberá
son
UNIDAD que se busque
medios para llevar a cabo
y los
exactamente las esa recolección de datos
características que debe
cumplir cada uno del III Auditoria de la
en tiempo y forma para su
posterior análisis.
personal que habrá de función informática.
participar en la auditoria.
3.1 Recopilación de la
Uno de los esquemas información 3.2 Evaluación de los
generalmente aceptados organizacional. recursos humanos
para tener un adecuado
control es que el Para que un proceso de La auditoría de recursos
personal que intervenga D.O. tenga éxito debe humanos puede definirse
esté debidamente comenzar por obtener un como el análisis de las
capacitado, que tenga un diagnostico con políticas y prácticas de
alto sentido de moralidad, información verdadera y a personal de una empresa y
al cual se le exija la tiempo de lo que sucede en la evaluación de su
optimización de recursos la organización bajo funcionamiento actual,
(eficiencia) y se le análisis, esta obtención de seguida de sugerencias
retribuya o compense la información debe ser para mejorar. El propósito
justamente por su planeada en forma principal de la auditoria de
trabajo. estructurada para recursos humanos es
garantizar una generación mostrar cómo está
Con estas bases debemos de datos que ayuden funcionado el programa,
considerar los posteriormente su localizando prácticas y
conocimientos, la práctica análisis. Es un ciclo condiciones que son
profesional y la continuo en el cual se perjudiciales para la
capacitación que debe planea la recolección de empresa o que no están
tener el personal que datos, se analiza, se justificando su costo, o
intervendrá en la auditoria. retroalimentan y se da un prácticas y condiciones
seguimiento. que deben incrementarse.
También se deben contar
con personas asignadas La recolección de datos La auditoría es un sistema
por los usuarios para que puede darse de varias de revisión y control para
en el momento que se maneras: informar a la
solicite información, o bien administración sobre la
se efectúe alguna • Cuestionarios eficiencia y la eficacia del
entrevista de • Entrevistas programa que lleva a cabo.
comprobación de hipótesis, • Observación
nos proporcionen aquello • Información documental El sistema de
que se está solicitando, y (archivo) administración de recursos
complementen el grupo humanos necesita patrones
multidisciplinario, ya que
Toda la información tiene capaces de permitir una
debemos analizar no sólo continua evaluación y
un valor en sí misma, el
el punto de vista de la control sistemático de su
método de obtención de
dirección de informática, funcionamiento.
información está
sino también el del usuario
directamente ligado a la
del sistema. Patrón en in criterio o un
disponibilidad, dificultad y
costo. Existen ventajas y modelo que se establece
desventajas en el uso de previamente para permitir la
cada una de estas comparación con los
herramientas, su utilidad resultados o con los
Modulo 3 pag.7
8. 8 Eduardo Salas Gonzalez ofimatica
objetivos alcanzados. Por El entrevistador dirige la sé conciso e intenta
medio de la comparación conversación y hace las relacionar tus respuestas
con el patrón pueden preguntas al candidato y comentarios con las
evaluarse los resultados siguiendo un cuestionario exigencias del puesto al
obtenidos y verificar que o guión. El entrevistador que optas.
ajustes y correcciones formulará las mismas
deben realizarse en el preguntas a todos los 3.4 Situación
sistema, con el fin de que candidatos. presupuestal y
funcione mejor.
financiera.
Se recomienda contestar a
3.3 Entrevistas con el las preguntas aportando
El estudio y evaluación del
aquella información que
personal de control interno deberá
se pide, con claridad y
informática. efectuarse conforme a lo
brevedad.
dispuesto en el boletín
La entrevista es uno de los 3050 “Estudio y Evaluación
No estructurada (libre)
eslabones finales para del Control Interno”,
conseguir la posición emitido por la Comisión de
El entrevistador te dará la
deseada. Desde el otro Normas y Procedimientos
iniciativa a ti, y deberás
lado del mostrador y de Auditoría del Instituto
desenvolverte por tu
habiendo entrevistado a Mexicano de Contadores
cuenta. El entrevistador
5.000 profesionales en Públicos, A.C., éste servirá
podría empezar con la
sistemas entre nuestro de base para determinar el
pregunta: “Háblame de ti”, y
equipo de selectores, te grado de confianza que se
luego seguir con
dejamos valiosos depositará en él y le
preguntas generales, que
consejos en esta nota. permita determinar la
surgen en función del
naturaleza, alcance y
desarrollo de la
Es un diálogo directo oportunidad, que va a dar a
conversación.
entre el entrevistador y los procedimientos de
entrevistado. El auditoría, por lo que el
Lo más aconsejable es
entrevistador dirige la auditor para el
empezar siguiendo el guión
conversación e intenta cumplimiento de los
de tu historial
obtener la máxima objetivos deberá
profesional. También
información posible del considerar lo siguiente:
puedes preguntar si está
candidato.
interesado en conocer
- Existencia de factores
algo en particular.
Te preguntará por tu que aseguren un ambiente
Aprovecha para llevar la
currículum, experiencias, de control
conversación a los puntos
habilidades, aficiones e - Existencia de riesgo en la
fuertes que deseas
intentará ponerte en información financiera
destacar en relación con
situaciones reales para
el puesto ofertado.
estudiar tus reacciones. En Existencia de un sistema
ocasiones puede haber más presupuestal que permita
Semi-estructurada (mixta)
de un entrevistador, con el identificar, reunir, analizar,
fin de tener más de un clasificar, registrar y
Es una combinación de las
punto de vista a la hora de producir información
dos anteriores. El
elegir el candidato final. cuantitativa de las
entrevistador utilizará
operaciones basadas en
preguntas directas para
Modalidades de la flujos de efectivo y
conseguir informaciones
Entrevista Personal partidas devengadas
precisas sobre ti, y
preguntas indirectas para
Estructurada (dirigida) - Existencia de
sondearte respecto a tus
procedimientos relativos a
motivaciones. Intenta
autorización,
seguir un orden discursivo,
Modulo 3 pag.8
9. 9 Eduardo Salas Gonzalez ofimatica
procesamiento y Desconcentrados y copiar una cinta de la sala,
clasificación de Entidades Paraestatales de que intentar acceder vía
transacciones, la SFP, así como el flujo lógica a la misma.
salvaguarda física de de efectivo que detalle el
documentación soporte y origen y el destino de los Así, la Seguridad Física
de verificación y egresos (Art.103 de la Ley consiste en la “aplicación
evaluación, incluyendo los Federal de Presupuesto y de barreras físicas y
aplicables a la Responsabilidad procedimientos de
actualización de cifras y a Hacendaria) control, como medidas de
los controles relativos prevención y
al procesamiento contramedidas ante
electrónico de datos. - amenazas a los recursos e
Vigilancia sobre el
UNIDAD
información confidencial”
establecimiento y (1). Se refiere a los
mantenimiento de controles y mecanismos de
controles internos con seguridad dentro y
objeto de identificar si
están operando IV Evaluación de la
alrededor
Cómputo
del
así
Centro
como
de
los
efectivamente y si deben seguridad. medios de acceso remoto
ser modificados cuando al y desde el mismo;
existan cambios implementados para
Generalidades de la
importantes. proteger el hardware y
seguridad del área física.
medios de almacenamiento
Para efectos de estudio y de datos.
Es muy importante ser
evaluación del control
consciente que por más
interno en una revisión en
que nuestra empresa sea 4.2 Seguridad lógica y
una revisión de estados
la más segura desde el confidencial.
presupuestarios, el
punto de vista de ataques
auditor deberá considerar
externos, Hackers, virus, La seguridad lógica se
los siguientes aspectos:
etc. (conceptos luego encarga de los controles
tratados); la seguridad de de acceso que están
a. Existencia de un
la misma será nula si no se diseñados para
presupuesto anual
ha previsto como combatir salvaguardar la integridad
autorizado
un incendio. de la información
b. Existencia e políticas,
almacenada de una
bases y lineamientos
La seguridad física es uno computadora, así como de
presupuestarios
de los aspectos más controlar el mal uso de la
c. Existencia de un sistema
olvidados a la hora del información.
de registro presupuestario
diseño de un sistema
d. Existencia de un
Informático. Si bien La seguridad lógica se
procedimiento de
algunos de los aspectos encarga de controlar y
autorizaciones
tratados a continuación se salvaguardar la
e. Procedimientos de
prevén, otros, como la información generada por
registro, control y
detección de un atacante los sistemas, por el
reporte presupuestario
interno a la empresa que software de desarrollo y
intenta a acceder por los programas en
Obtener el estado
físicamente a una sala de aplicación.
analítico de recursos
operaciones de la misma,
presupuestarios y el
no. Identifica individualmente a
ejercicio presupuestario
cada usuario y sus
del gasto, tal como lo
Esto puede derivar en que actividades en el sistema, y
establecen los Términos
para un atacante sea más restringe el acceso a
de Referencia para
fácil lograr tomar y datos, a los programas de
auditorías a Órganos
Modulo 3 pag.9
10. 10 Eduardo Salas Gonzalez ofimatica
uso general, de uso los Sistemas de 4.4 Clasificación de los
específico, de las redes y Información de la empresa. controles de
terminales.
seguridad.
La Informática hoy, está
La falta de seguridad subsumida en la gestión
Clasificación general de
lógica o su violación puede integral de la empresa, y
los controles
traer las siguientes por eso las normas y
consecuencias a la estándares propiamente
Controles Preventivos
organización: informáticos deben estar,
por lo tanto, sometidos a
Son aquellos que reducen
Cambio de los datos antes los generales de la misma.
la frecuencia con que
o cuando se le da entrada En consecuencia, las
ocurren las causas del
a la computadora. organizaciones
riesgo, permitiendo cierto
Copias de programas y /o informáticas forman parte
margen de violaciones.
información. de lo que se ha
Código oculto en un denominado el
Ejemplos: Letrero "No
programa "management" o gestión de
fumar" para salvaguardar
Entrada de virus la empresa. Cabe aclarar
las instalaciones
que la Informática no
Un método eficaz para gestiona propiamente la
Sistemas de claves de
proteger sistemas de empresa, ayuda a la toma
acceso
computación es el de decisiones, pero no
software de control de decide por sí misma. Por
Controles detectives
acceso. Los paquetes de ende, debido a su
control de acceso importancia en el
Son aquellos que no
protegen contra el acceso funcionamiento de una
evitan que ocurran las
no autorizado, pues piden empresa, existe la Auditoría
causas del riesgo sino que
al usuario una contraseña Informática.
los detecta luego de
antes de permitirle el
ocurridos. Son los más
acceso a información El término de Auditoría se
importantes para el
confidencial. Sin embargo, ha empleado
auditor. En cierta forma
los paquetes de control incorrectamente con
sirven para evaluar la
de acceso basados en frecuencia ya que se ha
eficiencia de los controles
componentes pueden ser considerado como una
preventivos.
eludidos por delincuentes evaluación cuyo único fin
sofisticados en es detectar errores y
Ejemplo: Archivos y
computación, por lo que señalar fallas. A causa de
procesos que sirvan como
no es conveniente esto, se ha tomado la
pistas de auditoría
depender de esos paquetes frase "Tiene Auditoría"
por si solos para tener como sinónimo de que, en
Procedimientos de
una seguridad adecuada. dicha entidad, antes de
validación
realizarse la auditoría, ya
4.3 Seguridad personal. se habían detectado fallas.
Controles Correctivos
A finales del siglo XX, los El concepto de auditoría es
Ayudan a la investigación y
Sistemas Informáticos se mucho más que esto. Es un
corrección de las causas
han constituido en las examen crítico que se
del riesgo. La corrección
herramientas más realiza con el fin de
adecuada puede resultar
poderosas para evaluar la eficacia y
difícil e ineficiente, siendo
materializar uno de los eficiencia de una sección,
necesaria la implantación
conceptos más vitales y un organismo, una entidad,
de controles defectivos
necesarios para cualquier etc.
sobre los controles
organización empresarial, correctivos, debido a que
Modulo 3 pag.10
11. 11 Eduardo Salas Gonzalez ofimatica
la corrección de errores desarrollo interno de la de los Sistemas de Gestión
es en sí una actividad empresa o bien sean de Bases de Datos (SGBD)
altamente propensa a paquetes estándar que cumplan normas ANSI,
errores. adquiridos en el mercado. si bien muchos de ellos
pueden ser aplicables a
4.5 Seguridad en los Desarrollo de software. los archivos de datos
datos y software de convencionales.
. Metodología: existe, se
aplicación.
aplica, es satisfactoria. Diseño de bases de datos.
Documentación: existe, esta
Este apartado aborda los
actualizada, es accesible. Es importante la utilización
aspectos asociados al
. Estándares: se aplican, de metodologías de diseño
componente lógico del
como y quien lo controla. de datos. El equipo de
sistema: programas y
Involucración del usuario. analistas y diseñadores
datos. Para ello, se
. Participación de personal deben hacer uso de una
distingue entre las medidas
externo. misma metodología de
para restringir y
. Control de calidad. diseño, la cual debe estar
controlar el acceso a
. Entornos real y de en concordancia con la
dichos recursos, los
prueba. arquitectura de la Base de
procedimientos para
. Control de cambios. Datos elegida jerárquica,
asegurar la fiabilidad del
relacional, red, o bien
software (tanto operativo
Adquisición de software orientada a objetos.
como de gestión) y los
estándar.
criterios a considerar para
Debe realizarse una
garantizar la integridad de
Metodología, estimación previa del
la información.
pruebas, condiciones, volumen necesario para el
garantías, contratos, almacenamiento de datos
Control de acceso.
capacitación, licencias, basada en distintos
derechos, soporte técnico. aspectos tales como el
Sistemas de identificación,
número mínimo y máximo de
asignación y cambio de
Datos. registros de cada entidad
derechos de acceso,
del modelo de datos y las
control de accesos,
Los datos es decir, la predicciones de
restricción de terminales,
información que se crecimiento.
desconexión de la sesión,
procesa y se obtiene son
limitación de reintento.
la parte más importante de A partir de distintos
todo el sistema factores como el número
Software de base.
informático y su razón de de usuarios que accederá a
ser. Un sistema informático la información, la
Control de cambios y
existe como tal desde el necesidad de compartir
versiones, control de uso
momento en que es capaz información y las
de programas de utilidad,
de tratar y suministrar estimaciones de volumen se
control de uso de
información. Sin ésta, se deberá elegir el SGBD más
recursos y medición de
reduciría a un conjunto de adecuado a las
'performance'.
elementos lógicos sin necesidades de la empresa
ninguna utilidad. o proyecto en cuestión.
Software de aplicación.
En la actualidad la inmensa En la fase de diseño de
En este apartado se trata
mayoría de sistemas tienen datos, deben definirse los
todo lo concerniente al
la información organizada procedimientos de
software de aplicación, es
en sendas Bases de Datos. seguridad, confidencialidad
decir, todo lo relativo a
Los criterios que se citan e integridad que se
las aplicaciones de
a continuación hacen aplicarán a los datos:
gestión, sean producto de
referencia a la seguridad
Modulo 3 pag.11
12. 12 Eduardo Salas Gonzalez ofimatica
Procedimientos para personal de desarrollo Sistemas, el segundo
recuperar los datos en entre algunos otros objetivo de la auditoría es
casos de caída del sistema aspectos. la verificación de la
o de corrupción de los observancia de las normas
archivos. Creación de bases de teóricamente existentes en
datos. el departamento de
Procedimientos para Informática y su
prohibir el acceso no Debe crearse un entorno coherencia con las del
autorizado a los datos. de desarrollo con datos resto de la empresa. Para
Para ello deberán de prueba, de modo que las ello, habrán de revisarse
identificarlos. actividades del desarrollo sucesivamente y en este
no interfieran el entorno orden:
Procedimientos para de explotación. Los datos
restringir el acceso no de prueba deben estar 1. Las Normas Generales de
autorizado a los datos. dimensionados de manera la Instalación Informática.
Debiendo identificar los que permitan la realización Se realizará una revisión
distintos perfiles de de pruebas de integración inicial sin estudiar a fondo
usuario que accederán a con otras aplicaciones, de las contradicciones que
los archivos de la rendimiento con volúmenes pudieran existir, pero
aplicación y los altos. registrando las áreas que
subconjuntos de carezcan de normativa, y
información que podrán En la fase de creación, sobre todo verificando
modificar o consultar. deben desarrollarse los que esta Normativa General
procedimientos de .
Procedimientos para seguridad, confidencialidad Informática no está en
mantener la consistencia y e integridad definidos en la contradicción con alguna
corrección de la etapa de diseño: Norma General no
información en todo . Construcción de los informática de la empresa.
momento. procedimientos de copia y
restauración de datos. 2. Los Procedimientos
Básicamente existen dos . Construcción de los Generales Informáticos.
niveles de integridad: la de procedimientos de Se verificará su existencia,
datos, que se refiere al restricción y control de al menos en los sectores
tipo, longitud y rango acceso. Existen dos más importantes. Por
aceptable en cada caso, y enfoques para este tipo de ejemplo, la recepción
la lógica, que hace procedimientos: definitiva de las máquinas
referencia a las debería estar firmada por
relaciones que deben Confidencialidad basada en los responsables de
existir entre las tablas y roles, que consiste en la Explotación. Tampoco el
reglas del negocio. definición de los perfiles alta de una nueva
de usuario y las acciones Aplicación podría
Debe designarse un que les son permitidas producirse si no existieran
Administrador de Datos, ya (lectura, actualización, los Procedimientos de
que es importante alta, borrado, Backup y Recuperación
centralizar en personas creación/eliminación de correspondientes.
especializadas en el tema tablas, modificación de la
las tareas de redacción de estructura de las tablas). 3. Los Procedimientos
normas referentes al Específicos Informáticos.
gestor de datos utilizado, 4.6 Controles para Igualmente, se revisara su
definición de estándares y evaluar software de existencia en las áreas
nomenclatura, diseño de aplicación. fundamentales. Así,
procedimientos de Explotación no debería
arranque, recuperación de Una vez conseguida la explotar una Aplicación sin
datos, asesoramiento al Operatividad de los
Modulo 3 pag.12
13. 13 Eduardo Salas Gonzalez ofimatica
haber exigido a Desarrollo diversos como sus ya sea directamente o
la pertinente delitos; puede tratarse de mediante los llamados
documentación. Del mismo estudiantes, terroristas o "gusanos" o "virus", que
modo, deberá comprobarse figuras del crimen pueden paralizar
que los Procedimientos organizado. Estos completamente los
Específicos no se opongan delincuentes pueden pasar sistemas o borrar todos
a los Procedimientos desapercibidos a través de los datos del disco duro.
Generales. En todos los las fronteras, ocultarse Algunos virus dirigidos
casos anteriores, a su vez, tras incontables "enlaces" contra computadoras
deberá verificarse que no o simplemente elegidas al azar; que
existe contradicción desvanecerse sin dejar originalmente pasaron de
alguna con la Normativa y ningún documento de una computadora a otra
los Procedimientos rastro. Pueden despachar por medio de disquetes
Generales de la propia directamente las "infectados"; también se
empresa, a los que la comunicaciones o están propagando
Informática debe estar esconder pruebas últimamente por las redes,
sometida. delictivas en "paraísos con frecuencia camuflados
informáticos" - o sea, en en mensajes electrónicos
4.7 Controles para países que carecen de o en programas
prevenir crímenes y leyes o experiencia para "descargados" de la red.
fraudes informáticos. seguirles la pista -.
4.8 Plan de contingencia,
En los años recientes las Según datos recientes del seguros, procedimientos
redes de computadoras Servicio Secreto de los de recuperación de
han crecido de manera Estados Unidos, se calcula desastres.
asombrosa. Hoy en día, el que los consumidores
número de usuarios que se pierden unos 500 millones Medida que las empresas
comunican, hacen sus de dólares al año debido a se han vuelto cada vez más
compras, pagan sus los piratas que les roban dependientes de las
cuentas, realizan negocios de las cuentas online sus computadoras y las redes
y hasta consultan con sus números de tarjeta de para manejar sus
médicos online supera los crédito y de llamadas. actividades, la
200 millones, comparado Dichos números se pueden disponibilidad de los
con 26 millones en 1995. vender por jugosas sumas sistemas informáticos se
de dinero a falsificadores ha vuelto crucial.
A medida que se va que utilizan programas Actualmente, la mayoría de
ampliando la Internet, especiales para las empresas necesitan un
asimismo va aumentando el codificarlos en bandas nivel alto de disponibilidad
uso indebido de la misma. magnéticas de tarjetas y algunas requieren
Los denominados bancarias y de crédito, incluso un nivel continuo
delincuentes cibernéticos señala el Manual de la de disponibilidad, ya que
se pasean a su aire por el ONU. les resultaría
mundo virtual, incurriendo extremadamente difícil
en delitos tales como el Otros delincuentes de la funcionar sin los
acceso sin autorización o informática pueden recursos informáticos.
"piratería informática", el sabotear las
fraude, el sabotaje computadoras para Los procedimientos
informático, la trata de ganarle ventaja económica manuales, si es que
niños con fines a sus competidores o existen, sólo serían
pornográficos y el amenazar con daños a los prácticos por un corto
acecho. sistemas con el fin de periodo. En caso de un
cometer extorsión. Los desastre, la interrupción
Los delincuentes de la malhechores manipulan los prolongada de los
informática son tan datos o las operaciones, servicios de computación
Modulo 3 pag.13
14. 14 Eduardo Salas Gonzalez ofimatica
puede llevar a pérdidas hardware, periféricos, y expresados de la manera
financieras significativas, equipos asociados, las más simple posible, pero a
sobre todo si está instalaciones eléctricas, su vez siendo precisos.
implicada la las instalaciones de
responsabilidad de la comunicación y de datos. Comenzamos por
gerencia de informática. Lo introducir la historia y
más grave es que se puede Igualmente todo lo evolución de la
perder la credibilidad del relacionado con la teleinformática y de la
público o los clientes y, seguridad y salvaguarda manera en que fue
como consecuencia, la de las construcciones, el desarrollándose, y a su
empresa puede terminar en mobiliario y equipo de vez, proporcionando un
un fracaso total. oficina, así como la panorama general del
protección a los accesos tema. Luego mencionamos
En un estudio realizado al centro de de forma genérica los
por la Universidad de sistematización. elementos que integran un
Minnesota, se ha sistema teleinformática,
demostrado que más del En sí, es todo lo desde un simple terminal
60% de las empresas que relacionado con la hasta una red.
sufren un desastre y que seguridad, la prevención de
no tienen un plan de riesgos y protección de Continuamos explicando
recuperación ya en los recursos físicos las técnicas
funcionamiento, saldrán informáticos de la fundamentales de
del negocio en dos o tres empresa. transmisión de datos, para
años. Mientras vaya en comprender cómo viaja la
aumento la dependencia de
UNIDAD
información de un sistema
la disponibilidad de los a otro a través de los
recursos informáticos, circuitos de
este porcentaje
V
telecomunicación.
seguramente crecerá.
Auditoria de la
Las técnicas de
Por lo tanto, la capacidad seguridad en la comunicación se
para recuperarse estructuran en niveles:
teleinformática.
exitosamente de los físico, enlace de datos,
efectos de un desastre red, transporte, sesión,
5.1 Generalidades de la
dentro de un periodo
seguridad en el área de la presentación y aplicación.
predeterminado debe ser
teleinformática.
un elemento crucial en un
También, mencionamos las
plan estratégico de
En la actualidad tiene una redes de área local ya que
seguridad para una
gran trascendencia tanto son muy importantes en lo
organización.
técnica como social, lo que a la teleinformática
que se denomina respecta.
4.9 Técnicas y herramientas
teleinformática: la unión
relacionadas con la
de la informática y las Hicimos inca pié en la red
seguridad física y del
telecomunicaciones. Tanto Internet y su protocolo
personal.
en la vida profesional TCP/IP, y en los conceptos
como en las actividades básicos sobre
SEGURIDAD FISICA
cotidianas, es habitual el Programas de
uso de expresiones y Comunicación y Gestión de
Es todo lo relacionado
conceptos relacionados Red.
con la seguridad y
con la teleinformática.
salvaguarda de los bienes
Analizamos los servicios
tangibles de los sistemas
Este trabajo se basa en de valor añadido como el
computacionales de la
empresa, tales como el conceptos fundamentales
Modulo 3 pag.14
15. 15 Eduardo Salas Gonzalez ofimatica
Video tex, Ibercom o La Posteriormente, comenzó 5.2 Objetivos y criterios de
Telefonía Móvil. la comunicación hablada a la auditoria en el área de
través de un determinado la teleinformática.
Además, establecimos los lenguaje, en el cuál cada
últimos desarrollos y las palabra significaba algo y Así ante la continua
tendencias de la cada frase tenía un aparición de nuevas
teleinformática, desde las contenido informativo. herramientas de gestión, la
redes digitales hasta el auditoría interna se ve
proceso distribuido. Más tarde, el hombre tubo compelida a velar entre
necesidad de realizar otras cosas por la
Por último, manifestamos comunicaciones a distancia aplicación y buen uso de
la importancia de la como por ejemplo, entre las mismas. Ello
relación que existe entre personas de dos aldeas ciertamente implica un muy
la teleinformática y la situadas a cierta distancia fuerte compromiso.
sociedad, en lo que pero con visibilidad entre Dijimos antes que la
respecta a la educación, la ambas, o bien entre un auditoría debía velar no
sanidad y la empresa. barco y la costa. Es aquí sólo por los activos de la
donde aparecen las empresa sino además por
Explicaremos claramente señales de humo, su capacidad competitiva.
la importancia de la destellos con espejos Cuidar de esto último
teleinformática y su entre innumerables significa difundir, apoyar y
desarrollo a través de la métodos de comunicación. controlar las nuevas y
historia desde el comienzo buenas prácticas. Así,
ya que es uno de los Con el paso del tiempo y la haciendo uso del
factores que ha evolución tecnológica, la benchmarking puede
constituido y constituye un comunicación a distancia verificar y promover las
elemento fundamental comenzó a ser cada vez mejores prácticas para el
para la evolución de la más importante. mantenimiento de la más
humanidad: la alta competitividad. Ser
comunicación. La primera técnica utilizada competitivo es continuar en
surgió con la aparición del la lucha por la
En una comunicación se telégrafo y el código subsistencia o continuidad
transmite información morse que permitieron
de la empresa.
desde una persona a otra comunicaciones a través de
Como brillantemente lo
e intervienen tres cables a unas distancias
expresa Fernando Gaziano
elementos: el emisor, que considerables.
(Deloitte Chile), "los
da origen a la información, Posteriormente se
auditores y los
el medio, que permite la desarrolló la técnica que
astrónomos compartimos
transmisión, y el receptor, dio origen al teléfono
plenamente una idea: el
que recibe la información. para la comunicación
universo se expande. Así
directa de la voz a larga
como después del "big
La primera comunicación distancia. Más tarde la
bang" un universo de
que existió entre los radio y la transmisión de
planetas y estrellas
hombres fue a base de imágenes a través de la
comenzó y continúa
signos o gestos que televisión habilitaron un
expandiéndose, de la misma
expresaban intuitivamente gran número de técnicas y
forma el mundo del
determinadas métodos que luego fueron
Auditor Interno es cada
manifestaciones con muy importantes a lo que
vez más amplio. Como
sentido propio. Estos respecta a la
nunca, probablemente hoy
gestos iban acompañados comunicación.
se enfrenta a uno de los
de sonidos.
cambios más importantes
en su profesión, debiendo
abordar aspectos
Modulo 3 pag.15
16. 16 Eduardo Salas Gonzalez ofimatica
relacionados con el El desarrollo de las conversaciones de voz en
Gobierno Corporativo y políticas. Procedimientos, caso necesario,
los nuevos riesgos a los posibles estándares, protección de
que se enfrentan las normas y guías. transmisiones por fax para
organizaciones. Amenazas físicas externas. contenidos clasificados.
5.3 Síntomas de riesgo. Inundaciones, incendios, Internet e Intranet,
explosiones, corte de correo electrónico,
La Auditoría de la líneas o suministros, control sobre páginas
Seguridad terremotos, terrorismo, web, así como el comercio
huelgas, etc., se considera: electrónico.
Para muchos la seguridad la ubicación del centro de El entorno de producción.
sigue siendo el área procesos, de los Cumplimiento de contratos,
principal a auditar, hasta el servidores, PCs, outsourcing.
punto de que en algunas computadoras portátiles El desarrollo de
entidades se creó (incluso fuera de las aplicaciones en un entorno
inicialmente la función de oficinas); estructura, seguro, y que se
auditoría informática para diseño, construcción y incorporen controles en
revisar la seguridad, distribución de edificios; los productos
aunque después se hayan amenazas de fuego, desarrollados y que
ido ampliando los riesgos por agua, por éstos resulten auditables.
objetivos. Cada día es accidentes atmosféricos; Con el uso de licencias (de
mayor la importancia de la contenido en paquetes}, los programas utilizados).
información, especialmente bolsos o carteras que se La continuidad de las
relacionada con sistemas introducen o salen de los operaciones. Planes de
basados en el uso de edificios; visitas, clientes, contingencia o de
tecnología de información proveedores, contratados; Continuidad.
y comunicaciones, por lo protección de los
que el impacto de las soportes magnéticos en No se trata de áreas no
fallas, los accesos no cuanto a acceso, relacionadas, sino que
autorizados, la revelación almacenamiento y casi todas tienen puntos
de la información, entre transporte. de enlace comunes:
otros problemas, tienen un Control de accesos comunicaciones con
impacto mucho mayor que adecuado. Tanto físicos control de accesos,
hace algunos años. como lógicos, que se cifrado con
realicen sólo las comunicaciones, etc.
En la auditoría de otras operaciones permitidas al
áreas pueden también usuario: lectura, variación, Evaluación de riesgos
surgir revisiones ejecución, borrado y
solapadas con la copia, y quedando las Se trata de identificar
seguridad; así a la hora de pistas necesarias para el riesgos, cuantificar su
revisar el desarrollo se control y la auditoría. Uso probabilidad e impacto y
verá si se realiza en un de contraseñas, cifrado de analizar medidas que los
entorno seguro, etc. las mismas, situaciones de eliminen o que disminuyan
bloqueo. la probabilidad de que
Los controles directivos. Protección de datos. ocurran los hechos o
Son los fundamentos de la Origen del dato, proceso, mitiguen el impacto. Para
seguridad: políticas, salida de los datos. evaluarlos hay que
planes, funciones, Comunicaciones y redes. considerar el tipo de
objetivos de control, Topología y tipo de información almacenada,
presupuesto, así como si comunicaciones, posible procesada y transmitida, la
existen sistemas y métodos uso de cifrado, criticidad de las
de evaluación periódica de protecciones ante virus. operaciones, la tecnología
riesgos. Tipos de transacciones. usada, el marco legal
Protección de aplicable, el sector de la
Modulo 3 pag.16
17. 17 Eduardo Salas Gonzalez ofimatica
entidad, la entidad misma y información
el momento. Los riesgos
pueden disminuirse
UNIDAD confidencial”(1). Se refiere
a los controles y
(generalmente no pueden mecanismos de seguridad
eliminarse), transferirse o
asumirse. VI Informe de la
dentro
Centro
y
de
alrededor
Cómputo
del
así
auditoria informática. como los medios de
5.4 Técnicas y herramientas acceso remoto al y desde
de auditoría relacionadas 6.1 Generalidades de la el mismo; implementados
con la seguridad en la seguridad del área física. para proteger el hardware
teleinformática. y medios de
Es muy importante ser almacenamiento de datos.
Introducir al estudiante en consciente que por más
los aspectos técnicos, que nuestra empresa sea 6.2 Características del
funcionales y la más segura desde el informe.
organizacionales que punto de vista de ataques
componen la problemática externos, Hackers, virus, Objetivos, características
de seguridad en las redes etc. (conceptos luego y afirmaciones que
teleinformáticas, tratados); la seguridad de contiene el informe de
ilustrando las la misma será nula si no se auditoría
operaciones, técnicas y ha previsto como combatir
herramientas más usuales un incendio. El informe de auditoría
para garantizar privacidad,
financiera tiene como
autenticación y seguridad. La seguridad física es uno objetivo expresar una
de los aspectos más opinión técnica de las
Introducción General a la
olvidados a la hora del cuentas anuales en los
Seguridad en Redes
diseño de un sistema aspectos significativos o
informático. Si bien importantes, sobre si
. Definiciones
algunos de los aspectos éstas muestran la imagen
. Generalidades
tratados a continuación se fiel del patrimonio, de la
. Intrusos
prevén, otros, como la situación financiera y del
. Amenazas
detección de un atacante resultado de sus
. Ataques
interno a la empresa que operaciones, así como de
intenta a acceder los recursos obtenidos y
Planeación de la Seguridad
físicamente a una sala de aplicados durante el
operaciones de la misma, ejercicio.
. Análisis del sistema
no.
actual
Características del informe
. Análisis de riesgos
Esto puede derivar en que de auditoría:
. Definición de políticas de
para un atacante sea más
seguridad
fácil lograr tomar y 1. Es un documento
. Implantación de la
copiar una cinta de la sala, mercantil o público.
seguridad
que intentar acceder vía
lógica a la misma. 2. Muestra el alcance del
Servicios de Seguridad
trabajo.
Así, la Seguridad Física
. Modelo OSI para
consiste en la “aplicación 3. Contiene la opinión del
arquitecturas de Seguridad
de barreras físicas y auditor.
. Modelo TCP/IP
procedimientos de
control, como medidas de 4. Se realiza conforme a un
prevención y marco legal.
contramedidas ante
amenazas a los recursos e
Modulo 3 pag.17