of 172 /172
INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS “IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA EN LAS PyMEs” T E S I N A QUE PARA OBTENER EL TÍTULO DE: INGENIERO EN INFORMÁTICA P R E S E N T A N : EVA BERENICE BARAJAS SANTOS JULIO CÉSAR DÍAZ JIMÉNEZ QUE PARA OBTENER EL TÍTULO DE: LICENCIADO EN CIENCIAS DE LA INFORMÁTICA P R E S E N T A N : GENY ADRIANA MACEDO PRADO LILIANA MARISCAL ALFARO ANA PAULA VAZQUEZ TORRES MÉXICO. DF 2010

TESINA - Instituto Politécnico Nacional

  • Author
    others

  • View
    1

  • Download
    0

Embed Size (px)

Text of TESINA - Instituto Politécnico Nacional

Microsoft Word - FORMATO CD.docADMINISTRATIVAS
“IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA EN LAS PyMEs”
T E S I N A
Q U E P A R A O B T E N E R E L T Í T U L O D E :
I N G E N I E R O E N I N F O R M Á T I C A
P R E S E N T A N :
E V A B E R E N I C E B A R A J A S S A N T O S J U L I O C É S A R D Í A Z J I M É N E Z
Q U E P A R A O B T E N E R E L T Í T U L O D E :
LIC ENCIADO EN C IENCIA S DE LA INFORMÁTICA
P R E S E N T A N : G E N Y A D R I A N A M A C E D O P R A D O
L I L I A N A M A R I S C A L A L F A R O
A N A P A U L A V A Z Q U E Z T O R R E S
MÉXICO. DF 2010
CAPITULO II PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN (TI), AUDITORÍA EN INFORMÁTICA Y LAS PYMES EN MÉXICO............................................................8
2.1 PEQUEÑA Y MEDIANA EMPRESA............................................................................................................. 8 2.1.1 Concepto de PyMEs .................................................................................................................. 8 2.1.2 Estratificación de las PyMEs ................................................................................................. 9 2.1.3 Características de las PyMEs ................................................................................................. 9
2.2 PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN .......................................................... 11 2.2.1 Conceptos de TI y características ....................................................................................... 12 2.2.2 La importancia de las TI en la actualidad .......................................................................... 14 2.2.3 La Gestión de las TI................................................................................................................. 15 2.2.4 Seguridad de las TI .................................................................................................................. 16
2.2.4.1 Definición de Seguridad ..................................................................................................................... 16 2.2.4.2 La Seguridad en informática .............................................................................................................. 17
2.2.5 Definición y Clasificación de Riesgos en el uso de las TI............................................. 18 2.2.5.1 Definición de riesgo............................................................................................................................. 19 2.2.5.2 Clasificación de riesgos de TI............................................................................................................ 19 2.2.5.3 Tipos de riesgos de TI ........................................................................................................................ 22
2.3 AUDITORÍA EN INFORMÁTICA................................................................................................................. 23 2.3.1 Concepto de Auditoria............................................................................................................ 23
2.3.4 Funciones de la Auditoría en Informática.......................................................................... 27 2.3.4.1 Estructura del área de Auditoría en Informática ............................................................................. 27 2.3.4.2 Funciones del área de Auditoría en Informática ............................................................................. 30
2.3.5 Metodologías de Auditoría en Informática ........................................................................ 34 2.3.5.1 Conceptos de metodología ................................................................................................................ 34 2.3.5.2 Metodologías de Auditorías en Informática ..................................................................................... 34
CAPÍTULO III PROBLEMÁTICA DE LA AUDITORÍA EN INFORMÁTICA LAS TI Y SU IMPORTANCIA DENTRO DE LAS PYMES........................................................................................37
3.1 ENTORNO DE LAS PYMES ................................................................................................................... 37 3.1.1 Entorno global .......................................................................................................................... 37 3.1.2 Situación actual en México.................................................................................................... 41
3.2 AUDITORÍA EN INFORMÁTICA EN MÉXICO ............................................................................................. 42 3.2.1 Problemática actual de la Auditoria en México ................................................................ 42
3.3 PRINCIPALES RIESGOS INFORMÁTICOS. ............................................................................................... 48 3.3.1 Principales riesgos informáticos para ser auditados. ................................................... 48
CAPÍTULO IV LEGISLACIÓN, MEJORES PRÁCTICAS Y HERRAMIENTAS DE AUDITORÍA EN INFORMÁTICA .....................................................................................................................................52
4.1 LEGISLACIÓN ACTUAL DE LA AUDITORÍA .............................................................................................. 52 4.1.1 Legislación Internacional...................................................................................................... 53 4.1.1.1 Ley SOX................................................................................................................................... 53
4.1.1.2 Basilea II ............................................................................................................................................... 55 4.1.1.3 PCI......................................................................................................................................................... 58
4.1.2 Legislación nacional .............................................................................................................. 59 4.2 COMITÉS Y ORGANISMOS REGULADORES DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA .............. 61
4.2.1 Comités Internacionales Reguladores de la Función de Auditoría en Informática 61 4.2.2 Organismos Nacionales que regulan la función de Auditoría en Informática ......... 62
4.3 MEJORES PRÁCTICAS............................................................................................................................ 65 4.3.1 COBIT........................................................................................................................................... 65 4.3.2 ISO 27000 .................................................................................................................................... 67 4.3.3 ISO 19011 .................................................................................................................................... 70 4.3.4 ISO / IEC 20000......................................................................................................................... 71 4.3.5 ITIL............................................................................................................................................... 76
4.3.5.1 ITIL para PyMEs .................................................................................................................................. 77 4.4 HERRAMIENTAS TECNOLÓGICAS PARA LA AUDITORÍA EN INFORMÁTICA .............................................. 79
4.4.1 Tecnologías de apoyo a la planeación y seguridad de Auditorías en Informática ...... 80 4.4.2 Herramientas tecnológicas para realizar Auditorías en Informática. ............................ 81
4.4.2.1 Herramientas tecnológicas para auditorias a bases de datos................................................... 81 4.4.2.2 Herramientas tecnológicas para auditorias a Redes................................................................... 81 4.4.2.3 Herramientas tecnológicas para auditorias a equipos................................................................ 85 4.4.2.4 Herramientas tecnológicas para auditorias de sistemas............................................................ 85
CAPÍTULO V IMPORTANCIA Y PROPUESTA DE CREACIÓN Y DESARROLLO DEL ÁREA DE AUDITORÍA EN INFORMÁTICA BASADA EN PYMES ....................................................................86
5.1 IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA............................................................ 86 5.2 CONFORMACIÓN DEL ÁREA DE AUDITORÍA EN INFORMÁTICA ............................................................... 88
5.2.1 Estructura Organizacional del área de auditoría en informática ................................. 89 5.2.2 Funciones del área de auditoría en informática............................................................... 89 5.2.3 Metodologías y herramientas de trabajo ........................................................................... 92 5.2.4 Perfil del auditor ..................................................................................................................... 109
CAPÍTULO VI CASO PRÁCTICO .....................................................................................................111
CONCLUSIONES ...............................................................................................................................123
BIBLIOGRAFIA ..................................................................................................................................125
GLOSARIO .........................................................................................................................................126
ANEXOS
I
Resumen
El tema de la presente tesina se eligió debido a que es un asunto en el cuál no se han desarrollado
investigaciones y el cual está sobresaliendo en estas épocas. A lo largo del desarrollo de esta
tesina se habla de que las empresas PyMEs constituyen el mayor porcentaje de la economía de
México, debido a esto se tiene la necesidad de darles una mayor importancia. También se hace
referencia a las tendencias de la tecnología y como se usan en las PyMEs, que en la mayoría de
los casos no aprovechan eficientemente los recursos de TI que tienen a su alcance y tampoco se
dan cuenta de las ventajas y/o beneficios que pueden obtener al implementar controles o mejorar
los que ya tienen implementados para el manejo de sus recursos informáticos.
Para llevar a cabo éste trabajo de investigación se abordan temas desde conceptos generales:
PyMEs, su estratificación y entorno global; panorama general de las TI, riesgos; seguridad en
informática, auditoría en informática, funciones, metodologías. También se habla acerca de la
problemática de la auditoría en informática en las PyMEs, la legislación a nivel nacional e
internacional de la misma, mejores prácticas y las tecnologías actuales.
El objetivo de esta investigación es determinar cuál es la importancia de la función de auditoría en
informática dentro de las PyMEs y proponer un modelo que sirva de guía para la definición e
implementación de dicha función, si se cumplió el objetivo, con mucha dedicación al desarrollo del
presente trabajo y un esfuerzo hecho por cada integrante del equipo para llevar a cabo el caso
práctico aplicando el resultado de ésta tesina y determinar así si se logró el objetivo, que en
nuestro caso en particular es satisfactorio y también se queda la experiencia y la práctica.
De igual manera se tratan temas de cómo debe de estar conformada la función de auditoría en
informática y que es lo que necesita una auditoría en Informática básica, conforme a las
necesidades de las PyMEs, así como conformar el área, su estructura organizacional, las funciones
que desempeña ésta área, las metodologías y herramientas de trabajo y para finalizar se menciona
el perfil del auditor. Profundizando en el tema de metodologías y herramientas se menciona que el
proceso empieza con la descripción del proceso de auditoría en informática la cuál inicia con la
revisión preliminar, evaluación de diagramas, establecer objetivo y alcance, apego a la legislación
informática, análisis de políticas de seguridad, análisis del control interno, identificación de riesgos
y amenazas, pruebas de cumplimiento, propuestas de corrección y presentación del informe final.
II
Para comprobar la consecución de los objetivos planteados anteriormente, se realiza un caso
práctico en el cuál se aplica el modelo propuesto de la presente tesina, en este caso se
demuestran los resultados obtenidos de la aplicación del modelo dejando ver cuál es la importancia
de la función de la auditoría en informática y definir e implementar ésta función, llegando a
determinar si el resultado es satisfactorio o si no lo es llegando a una conclusión del tema.
Para finalizar el tema se concluye que se logró el objetivo propuesto en el cual en el caso práctico
se demuestra que la importancia de la auditoría en informática es básica para las PyMEs, también
se muestran las mejoras al implementar la función de auditoría en informática y con ello se
identifican los problemas con respecto a las TI y también los riesgos del negocio, así mismo
también se sugiere la estructuración del área de auditoría en informática, continuando con
auditorías constantes para llegar a implementar el área de auditoría en informática de forma
definitiva.
III
Introducción
En la actualidad las estadísticas del Instituto Nacional de Estadística Geografía e Informática
(INEGI) concluyen que la economía de México está formada en su mayoría por Pequeñas y
Medianas Empresas (PyMEs), por lo que surge la necesidad de invertir en tecnologías de
información (TI), sin embargo la mayoría de estas empresas carecen de controles eficientes o de
una adecuada gestión de los mismos; aunado a esto, los marcos reguladores existentes para la
gestión y administración de controles están desarrollados pensando en las grandes empresas y
corporativos, por lo que el hecho de promover realizar una auditoría en informática basada en
dichos marcos resulta una inversión no sustentable de capital para las PyMEs.
Así mismo el universo PyME muestran lo importante que son para el país este tipo de empresas,
ya que constituyen el rubro más importante económicamente hablando, pese a que existen apoyos
por parte del gobierno, comités y demás, se ha dejado de lado o se le ha restado la importancia
que la función de auditoría en informática debe tener, esto en cuanto al rubro de tecnologías de
información se refiere. Por otra parte la inexistente legislación en México que contemple y que
obligue la existencia de la función de auditoría en informática como un órgano de control interno ha
dado lugar a que las PyMEs omitan la función, delegando la responsabilidad a otras áreas.1
Es por ello que el objetivo de esta investigación es determinar cuál es la importancia de la función
de auditoría en informática y promoverla, basándose en la necesidad de las PyMEs, con lo cual se
logrará tener una visión objetiva y más amplia que les permitirá a este rubro de empresas tener un
punto de referencia para la implementación de controles o mejoramiento de los ya implementados,
para lograr un mejor aprovechamiento de las TI.
Para objeto de esta investigación se desarrollaron seis capítulos, los cuales incluyen el marco
metodológico, conceptos de la auditoría en informática y características de las PyMEs, la
problemática de la auditoría en informática y su importancia dentro de las PyMEs, además de los
temas relacionados a legislación, mejores prácticas y tecnologías de auditoría en informática, para
poder así desarrollar la presente tesina de la importancia y propuesta de creación y desarrollo del
área de auditoría en informática basada en PyMEs, así como el relato del caso práctico donde se
aplicaron los temas ya previamente mencionados.
1 www.universopyme.com.mx Universo PyME
IV
En el capítulo I Marco Metodológico, se encuentra la descripción del marco metodológico, además
se pretende explicar la problemática que existe el sector de las PYMES a nivel organizacional, así
como los objetivos que se quieren lograr con la propuesta de esta tesina, y la justificación del
porque se escogió este tema, utilizando diferentes herramientas para su comprobación.
El capítulo II Panorama General de las Tecnologías de Información (TI), Auditoría en Informática y
las PyMEs en México, se definen los conceptos generales de las PyMEs, en su estratificación y
entorno global, así como el panorama general de las TI y los riesgos que conlleva el uso de las
mismas, de la seguridad, enfocándose a la seguridad en informática, el rol que juega dentro de las
organizaciones y el significado de la auditoría en informática conforme a sus funciones y
metodologías.
En este capítulo III Problemática de la Auditoría en Informática y su importancia dentro de las
PyMEs, se describe la situación de las PyMEs en México, entorno a la globalización de las
Tecnologías de Información, así como la problemática que presenta en la actualidad la función del
área de auditoría en informática a nivel nacional e internacional; con respecto a la realización de
auditorías, acorde a al a situación actual y las necesidades de las PyMEs.
En el capítulo IV Legislación, Mejores prácticas y tecnologías de Auditoría en informática define las
principales leyes nacionales e internacionales que contempla la función de auditoría en informática,
así como los procesos de la función, desde la planeación estratégica de las auditorías hasta el
establecimiento de comités, con la utilización de regulaciones y estándares acordes a las mejores
prácticas internacionales (COBIT, ISO, etc.), referentes a la función de auditoría en informática,
además de algunos ejemplos de herramientas de apoyo a esta función.
El capítulo V Importancia y propuesta de creación y desarrollo del área de Auditoría en informática
para PyMEs, determina la importancia de la función de la auditoría en informática para las PyMEs,
en este capítulo por medio del análisis de la necesidad de las PyMEs de implementar controles en
cuanto a la adquisición y explotación de sus TI y mediante el uso del marco regulador de mejores
prácticas existentes para llevar acabo auditorías en informática, se propone un modelo para
PyMEs que ayude a la gestión de controles y evaluación de posibles riesgos, adecuado a la
infraestructura de estas empresas.
El capítulo VI tiene como objetivo exponer los resultados obtenidos de la implementación del
modelo de auditoría en informática propuesto y aplicado a una empresa para demostrar la
V
importancia de la función de auditoría en informática así como los beneficios que esto genera y
ayuda en la toma de decisiones de la empresa con respecto a las TI.
Se concluye la tesina con el propósito de concientizar a las PyMEs con respecto a la
determinación de la importancia de la función de auditoría en informática y beneficios que aporta
la inversión en tecnología como una oportunidad de crecimiento y competitividad; evidenciando
estos beneficios mediante los resultados arrojados de la implementación del modelo propuesto
para auditorías en informática.
Capítulo I Marco Metodológico
Dentro de este capítulo, se encuentra la descripción del marco metodológico, además se pretende
explicar la problemática que existe el sector de las PYMES a nivel organizacional, así como los
objetivos que se quieren lograr con la propuesta de esta tesina, y la justificación del porque se
escogió este tema, utilizando diferentes herramientas para su comprobación. Se sustenta la
problemática por medio de estadísticas, las cuales se muestras en el universo y delimitadas en la
muestra que compone esta tesina.
A continuación se lista el contenido temático de este capítulo: 1.1 PLANTEAMIENTO DEL PROBLEMA 1.2 OBJETIVOS 1.3 TÉCNICAS E INSTRUMENTOS DE MEDICIÓN 1.4 UNIVERSO Y/O MUESTRA 1.5 JUSTIFICACIÓN
1
Capítulo I Marco Metodológico 1.1 Planteamiento del Problema La economía del México está regida por dos grandes rubros o tipos de empresas entre las que
destacan las empresas propiamente dichas, es decir aquellas en las que puede distinguir
claramente la organización y la estructura de la misma, las cuales se desarrollan dentro del sector
formal de la economía y por otro lado aquellas cuyo origen es predominantemente familiar y en
cuyos casos se caracteriza una gestión enfocada a la supervivencia, sin prestar demasiada
atención al costo de oportunidad de capital o a la inversión que les permitirá el crecimiento.
Podemos por lo antes mencionado considerar empresa a la unidad económico-social en la que el
capital, el trabajo y la dirección se coordinan para realizar una producción socialmente útil de
acuerdo con la exigencia del bien común. Es decir, una unidad productiva o de servicios,
establecida con ciertos fines relacionados con la satisfacción de necesidades, integradas por
recursos humanos, financieros y materiales.
A pesar de la heterogeneidad mundial para definir las Pequeñas y Medianas Empresas (PyMEs),
existen criterios que permiten identificarlas; con el propósito para distinguir este tipo de unidades
económicas, organismos como la Unión Europea y la OCDE reconocen dos grandes vertientes que
determinan los criterios de estratificación para definir a las PyMEs a nivel mundial tienen que ver
finalmente con características políticas y económicas de cada nación; la evidencia expone
divergencias insalvables para buscar una definición universal que clasifique a las PyMEs.2 Como
se muestra en la Figura 1.1 a continuación:
Criterios recomendados por la Unión Europea y la OCDE para fines legales y administrativos
Tamaño Personal ocupado total
Ventas Anuales (Euros)
Balance Anual (Euros)
Micro Empresa 1 a 9 Menor a 2 millones Menor a 2 millones
Pequeña Empresa 10 a 49 Menor a 10 millones Menor a 10 millones
Mediana Empresa 50 a 249 Menor a 50 millones Menor a 43 millones
Grande Empresa Más de 250 Mayor a 50 millones Mayor a 43 millones
Fig. 1.1 OCDE 2004
2
En México se determina PyME a las siglas o abreviatura de pequeña y mediana empresa, este tipo
de empresas tienen algún límite de facturación o empleados o una combinación de ambas, así
mismo se ha realizado una división o clasificación de acuerdo a varios factores o rubros,
destacando como primordiales el tamaño y el tipo de sector como se muestra en la Figura 1.2.
Estratificación de empresas publicada en el Diario Oficial de la Federación 30 de Diciembre 2002
Sector Clasificación según el número de empleados Tamaño
Industria Comercio Servicios
Micro Empresa De 0 a 10 De 0 a 10 De 0 a 10 Pequeña Empresa De 11 a 50 De 11 a 30 De 11 a 50
Mediana Empresa De 51 a 250 De 31 a 100 De 51 a 100
Fig. 1.2 OCDE 2004
Sin embargo estas últimas empresas (PyMEs) representan un aporte muy importante al desarrollo
económico del país, por lo que debe de prestarse un notable interés en el desarrollo y
competitividad de las mismas.
Debido al mercado que es cada vez más abierto y global este tipo de empresas (PyMEs) han
tenido que buscar maneras de mantenerse a flote. Una de estas, es mediante el uso de TI, pero
debido a que no existe un marco de referencia como tal adecuado a sus necesidades y debido
también a factores primordiales como la falta de información, desconfianza, inercia o carencia de
recursos los cuales impiden a las micro, pequeñas y medianas empresas (PyMEs) dar el paso para
adquirir tecnología e inclusive no contar con las herramientas necesarias para sacar un mejor
provecho de las mismas como parte del servicio o producto que ofrece su negocio.
Actualmente las condiciones del mercado permiten a las PyMEs ver la inversión en tecnología
como una oportunidad de crecimiento y competitividad, no obstante existe el factor de cómo medir
y evaluar las Tecnologías de Información con las que cuentan actualmente; por este motivo en
particular se realiza esta investigación cuyo objetivo es determinar la función de auditoría en
informática y promover un modelo de auditoría en informática orientado PyMEs y/o la
implementación del área de auditoría en informática.
4 seguridad.internet2.ulsa.mx.
3
La función de auditoría en informática implica la verificación de lo que “es” contra lo que “debe ser”,
desde un enfoque fiscalizador. Es decir, como ejemplo, en el caso de una auditoría contable se
verifica que lo plasmado en los controles contables (libros, balances, etc.) manifieste la situación
real financiera de la institución que debe ser dada a conocer a la autoridad hacendaria, es decir
que se tiene un esquema jurídico fiscal, criterios de contabilidad, políticas internas, catálogos de
cuentas, procedimientos, etc. con los cuales el contador debe cumplir, de lo contrario se derivan
observaciones a dicha función que pueden ser no graves o incluso que deriven en posibles
defraudaciones y que finalmente recae en un incumplimiento a la ley o normatividad4.
Pero en el caso de la auditoría informática, aunque en teoría es una práctica que se debe apegar a
principios de auditoría en general (independencia de juicio, evidencia, etc.), se carece de un marco
jurídico que satisfaga el respaldo de observaciones o inconsistencia que pueden afectar la
continuidad en la función informática, y en el peor de los casos, la evidencia documental que se
llega a recopilar, en muchos de los casos es descalificada como “suficiente y competente” por las
autoridades en procesos de posibles faltas a la ley.
Si bien es cierto que la auditoría, cualquiera que sea el campo de acción (administrativa, contable,
informática), debe tener como propósito principal ser una función principalmente “de detección” no
tanto “correctiva”, en caso de detectarse por ejemplo mal uso o abusos de equipos de cómputo,
esquemas de seguridad informático débiles, fraudes, sabotaje, espionaje, robo o daño a la
información de la institución, etc.
1.2 Objetivos
Los objetivos son una parte crucial para determinar la importancia de la tesina, es decir, comprobar
la razón de ser del proyecto, los cuales a partir del objetivo principal se desglosan los demás
objetivos específicos. Los objetivos de la investigación presente, se exponen de manera clara y
precisa, para dar a entender el logro que se desea obtener con la realización de ésta tesina.
Objetivo General
Determinar la importancia de la auditoría en Informática dentro de las PyMEs y proponer un
modelo que sirva de guía para la definición e implementación de dicha función, compuesto de un
conjunto de buenas prácticas, controles y checklists, basado en los marcos y los estándares de
metodologías para auditoría en informática ya existentes.
4
Objetivos Específicos
• Identificar y dar a conocer los principales problemas de la administración de la operación
de TI en las PyMEs, debido a la falta de una función de auditoría en informática. • Determinar la importancia de la auditoría en informática y los beneficios de dicha área
dentro de las PyMEs.
• Generar sugerencias de la estructuración e implementación de la función de la auditoría en
informática dentro de las PyMEs.
• Generar guías de revisión sobre los controles principales para el aprovechamiento de las
TI en las PyMEs. dependiendo de los niveles de riesgo que se tiene en la empresa.
• Proporcionar ejemplos de guías y metodologías de revisión del cumplimiento de
procedimientos, normas y controles establecidos en la visión de las PyMEs.
1.3 Técnicas e instrumentos de medición
Para sustentar el desarrollo de esta tesina se recurrió a las técnicas e instrumentación que a
continuación se listan:
La investigación exploratoria se define como la recolección de información mediante mecanismos
informales y no estructurados. Se propone obtener datos y hacer observaciones básicas que
permitan delimitar un problema. Esta investigación está diseñada para obtener un análisis
preliminar de la situación con un mínimo de costo y de tiempo. El diseño se caracteriza por la
flexibilidad para ser sensible a lo inesperado y descubrir otros puntos de vista no identificados
previamente. Se emplean enfoques amplios y versátiles. Estos incluyen las fuentes secundarias de
información, observación, entrevistas con expertos, entrevistas de grupos con especialistas e
historias de casos.
Esta investigación tiene por objeto ayudar a que el investigador se familiarice con la situación del
problema, identifique las variables más importantes, reconozca otros cursos de acción, proponga
pistas idóneas para trabajos posteriores y puntualice cuál de esas posibilidades tiene la máxima
prioridad en la asignación de los escasos recursos presupuestarios de la empresa, la finalidad de
5
los estudios exploratorios es ayudar a obtener, con relativa rapidez, ideas y conocimientos en una
situación.
La investigación exploratoria es adecuada en situaciones de reconocimiento y definición del
problema. Una vez que el problema se ha definido claramente, la investigación exploratoria puede
ser útil para la identificación de cursos alternativos de acción.5
• Recolectar la información necesaria de fuentes de información confiables
• Analizar y clasificar la información obtenida
• Filtrar y estructurar dicha información
• Adecuar la información para el desarrollo de la investigación
• Determinar la importancia de la auditoría en informática en las PyMEs
• Desarrollar un modelo de auditoría en informática en base a la información recabada
Documentales
La técnica documental permite la recopilación de información para enunciar las teorías que
sustentan el estudio de los fenómenos y procesos. Incluye el uso de instrumentos definidos según
la fuente documental a que hacen referencia. Consiste primordialmente en la presentación
selectiva de lo que expertos ya han dicho o escrito sobre un tema determinado. Además, puede
presentar la posible conexión de ideas entre varios autores y las ideas del investigador.6
1.4 Universo y/o muestra
De acuerdo a los resultados de los Censos Económicos 2004, en 2003 había en México 3 millones
5 mil 157 unidades económicas que realizaron alguna actividad económica objeto del censo, en las
cuales laboraron 16 millones 239 mil 536 personas. De estos totales, el 97.3% de las unidades
económicas y el 88.7% del personal ocupado corresponden en conjunto a la industria
manufacturera, al comercio y a los servicios.7
Las cifras de los Censos Económicos 2004 muestran que el uso de la tecnología informática es
mayor entre más grandes son las empresas: el uso de Internet en la relación con clientes y
proveedores registró que el 60.3% de las empresas pequeñas lo utilizó, en tanto en las medianas
5 www.mitecnologico.com 6 www.gestiopolis.com 7 www.inegi.gob.mx 9 www.cipi.gob.mx
6
fue 74.3% y en las grandes 79.8 por ciento. El mayor uso de la tecnología informática se presentó
en los procesos administrativos, donde las empresas medianas que lo utilizaron fueron 92.5% y las
grandes 94.6 %.
Las cifras de los Censos Económicos 2004 también permiten conocer algunos temas generales
sobre el uso de la tecnología (innovación e investigación) en los negocios. Las unidades
económicas con más de 101 personas, que están en el rango de empresas grandes 66 de cada
100 utilizaron equipo informático en el desarrollo de programas para mejorar procesos. En la figura
1.3 se muestra la grafica relacionada a las unidades económicas que usaron equipo informático e
Internet en algunos de sus procesos al año 2003:
Micro (0 a 10) Pequeña (11 a30) Mediana (31 a 100)
Grande (101 y mas personas)
4.1%
60.3%
Unidades Economicas Internet en su relacion con clientes y proveedores
En procesos administrativos
En desarrollo de programas para mejorar procesos
Fig. 1.3 Comisión Intersecretarial de Política Industrial. 20099
Para efectos de este trabajo de investigación se tomo como muestra las empresas PyMEs de
México que hacen uso de las tecnologías de información para la realización de los procesos de
cada empresa.
1.5 Justificación
En las PyMEs, la informática no gestiona la empresa sino que ayuda a la toma de decisiones y que
además participa en base a la función de la auditoría en informática en las PyMEs, la cual no sólo
es una evaluación cuyo fin es detectar errores y señalar fallos, sino que se convierte en un examen
crítico que se realiza con el fin de evaluar la eficacia y eficiencia de la empresa.
Actualmente no hay estudios que comprueben que la práctica de auditoría se está desarrollando o
llevando a cabo en las PyMEs, es por esto que hemos decidido realizar esta investigación con el
propósito de determinar cuál es la importancia de la función de la auditoría en informática y
promover ésta función dentro de dichas empresas.
Es importante subrayar que un modelo de auditoría en informática, es independiente de que la
empresa siga o no funcionando de la misma forma, es decir no tiene carácter ejecutivo, ni son
vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes.
Aunque actualmente ya existen marcos de mejores prácticas a este respecto, dichos marcos
fueron desarrollados basados en grandes economías; es decir, basados en empresas cuyas
características les permiten realizar grandes inversiones en cuanto a la adquisición de
infraestructura y tecnologías de información se refiere y por ende estos marcos no pueden ser
aplicados de la misma forma para la realización de auditorías en informática en las PyMEs.
Debido al desconocimiento de las tendencias en las TI así como las metodologías de auditoría en
Informática, surge en las PyMEs la necesidad de contar con modelo (actualmente inexistente) que
sirva de guía de auditoría en informática y recomiende una mejor gestión de la administración de
los controles, procesos, en el manejo de la Información su confidencialidad, integridad y
disponibilidad basada en las necesidades y objetivos de las organización que contenga elementos
de análisis, de verificación y de exposición de debilidades y disfunciones, y que por ende les
permita alcanzar sus objetivos y competir en esta nueva era llamada globalización. Al desarrollar
un modelo que sirva de guía de AI basada en PyMEs, permitirá emitir sugerencias y planes de
acción para eliminar las disfunciones y debilidades antedichas (recomendaciones).
CAPITULO II Panorama general de las tecnologías de información
(TI), Auditoría en informática y las PyMEs en México.
En este capítulo se definen los conceptos generales de las PyMEs, en su estratificación y entorno
global, así como el panorama general de las TI y los riesgos que conlleva el uso de las mismas, de
la seguridad, enfocándose a la seguridad en informática, el rol que juega dentro de las
organizaciones y el significado de la auditoría en informática conforme a sus funciones y
metodologías.
A continuación se lista el contenido temático de este capítulo:
2.1 PEQUEÑA Y MEDIANA EMPRESA
Concepto de PyMEs
2.2 PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN
Conceptos de TI y características, La importancia de las TI en la actualidad, La gestión de
las TI, Seguridad de las TI y Definición y Clasificación de Riesgos en el uso de las TI.
2.3 AUDITORÍA EN INFORMÁTICA
Concepto de Auditoría, Tipos de Auditoría en informática, Normas de Auditoría, Funciones
de Auditoría en Informática y Metodologías de Auditoría en Informática.
8
CAPITULO II Panorama general de las tecnologías de información (TI), Auditoría en informática y las PyMEs en México.
2.1 Pequeña y Mediana Empresa
Debido a que las PyMEs en la historia han funcionado como grandes generadores económicos de
países, donde México no es la excepción; ya que desde hace mucho tiempo estas empresas han
constituido los ingresos principales de muchas familias mexicanas, además de que significan un
apoyo para las siguientes generaciones y el crecimiento de las mismas, es por ello la importancia
de tener en claro los conceptos que engloban la temática en este caso, para entender y tener una
visión más amplia sobre lo que se quiere dar a conocer, por lo tanto los siguientes puntos nos
apoyan a entender el panorama general de las PyMEs.
2.1.1 Concepto de PyMEs
Pequeña y mediana empresa (conocida también por su acrónimo PyME), es una empresa con
características distintivas, tienen dimensiones con ciertos límites ocupacionales y financieros
prefijados por los Estados o Regiones. Son agentes con lógicas, culturas, intereses y espíritu
emprendedor específico10.
PyME es la abreviatura de pequeña y mediana empresa. Las PyMEs son empresas que llegan a
tener problemas por mala administración o planeación, están limitadas en sus recursos por ser
pequeñas y medianas empresas. Sin embargo, tienen un potencial muy grande por la gran
flexibilidad que tienen y la lealtad de sus colaboradores11.
Por lo tanto definiremos PyME, para efectos de esta investigación: A la abreviatura de pequeña y
mediana empresa. En lo general las empresas tienen algún límite de facturación o empleados o
una combinación de ambas, así mismo se dividen o clasifican por medio de diferentes rubros.
10 es.wikipedia.org 11 www.pyme.com.mx
2.1.2 Estratificación de las PyMEs
Estratificación de empresas por tamaño. Se define con base al número de empleados y al sector
económico en el cuál se desempeña (Fig. 2.1). En México, la estratificación de empresas por
tamaño se establece con base en el sector económico y el número de empleados. La clasificación
vigente se presenta a continuación12:
Tamaño Sector Manufacturero Sector Comercial Sector Servicios
Micro Empresa 0 – 10 empleados 0 – 10 empleados 0 – 10 empleados Pequeña Empresa 11 – 50 empleados 11 – 30 empleados 11 – 50 empleados
Mediana Empresa 51 – 250 empleados 31 – 100 empleados 51 – 100 empleados Grande Empresa 251 – en adelante 101 – en adelante 101 – en adelante
Fig. 2.1 Diario Oficial de la Federación, 30 de Diciembre de 2002
La estratificación se desprende de la Ley para el Desarrollo de la Competitividad de la Micro,
Pequeña y Mediana Empresa, aprobada por el Congreso de la Unión en 2002. Según Nacional
Financiera las Pequeñas y Medianas Empresas se clasifican de acuerdo a la siguiente tabla (Fig.
2.2):
de trabajadores
(mdp) Tope máximo combinado*
Micro Todas Hasta 10 Hasta $4 4.6 Comercio Desde 11 hasta 30 Desde $4.01 hasta $100 93 Pequeña Industria y servicios Desde 11 hasta 50 Desde $4.01 hasta $100 95 Comercio Desde 31 hasta 100 Servicios Desde 51 hasta 100 Desde $100.1 hasta $250 235 Mediana Industria Desde 51 hasta 250 Desde $100.1 hasta $250 250
Fig. 2.2 www.nafin.com. Nacional Financiera Banca de Desarrollo. 2009
2.1.3 Características de las PyMEs
De manera habitual, no todas las PyMEs comparten casi siempre las mismas cualidades; por lo
tanto, se podría decir que las características generales con las que cuentan son:
12 www.cipi.gob.mx
10
• Un gran porcentaje de las PyMEs en México tiene una estructura de empresa familiar, por
lo que sus necesidades en cuestiones de dirección y administración de la empresa son
diferentes a las de un negocio tradicional.13
• Su número de trabajadores empleados en el negocio crece y va desde uno hasta 250.
• Utilizan poca maquinaria y equipo, se siguen basando más en el trabajo que en el capital.
• Dominan y abastecen un mercado local o regional.
• Cerca del 90 por ciento de las empresas de este estrato no cuenta con algún tipo de
certificación de calidad (ISO), lo cual conlleva efectos negativos sobre su integración a
cadenas productivas y su posibilidad de exportar. Lo mismo aplica para metodologías de
mejora de calidad y productividad.14
• Obtienen algunas ventajas fiscales por parte del Estado, que algunas veces las considera
en el régimen de pequeños contribuyentes, dependiendo de sus ventas y utilidades.15
• La tasa de aprobación de créditos por parte de la banca comercial es relativamente alta en
las PyMEs, cercana al 75 por ciento en promedio. Aquellos empresarios que no recibieron
el crédito, aducen que una de las razones principales es la falta de garantías, y16
• Apenas el 9 por ciento de las PyMEs está involucrado en la actividad exportadora (la
distribución entre sectores es variable, ya que para el sector manufacturero, el 21 por
ciento de las empresas si exporta). Sin embargo, al cuestionar los motivos (ajenos a la
empresa) por los que no se exporta, los empresarios señalan la lentitud y el exceso de
trámites aduaneros, así como la lentitud en el reembolso de impuestos. 17
Además, para tener un concepto más claro, a manera de resumen se mencionan algunos de los
elementos más importantes y la manera en que afectan a estas empresas, como se muestra en la
siguiente Fig. 2.3:
Elemento Descripción
Estructura Los criterios para establecer el tamaño de una empresa no son
importantes. Su estructura orgánica es familiar.
Tecnología La mayor parte de las empresas utilizan sistemas de producción tradicional,
aún no están aplicando procesos automatizados.
Dirigente El típico director es un hombre de edad con 14 años de escolaridad y es
empresario por herencia. En su actitud de dueño-administrador, la
13 www.Observatorio PyME México. CIPI. Primer Reporte de Resultados 2002 14 www.Observatorio PyME México. CIPI. Primer Reporte de Resultados 2002 15 Ángeles, Xavier. PYMES Pequeñas y Medianas Empresas, pág. 21 16 Ibídem 17 Ibídem
11
Medio Ambiente Sostiene relaciones con: proveedores, clientes, competencia, asociaciones,
bancos, gobierno y algunos despachos profesionales de consultoría.
Problemática a la
que se enfrentan
Los problemas más difíciles a los que actualmente se enfrentan son:
recursos humanos, deficiencias impositivas del gobierno, falta de seriedad
de los proveedores, escasez de materias primas de calidad, mercados
reducidos, falta de financiamiento, alta competencia y deficiente
organización.
Valores y Objetivos Para la mayoría de los directores, el objetivo principal es maximizar
utilidades. Los procedimientos administrativos son sumamente
personalizados, consisten en la vigilancia estrecha sobre las operaciones.
La toma de decisiones es centralizada y la ejecución la realizan jefes de
área, a quienes se les responsabiliza por los resultados obtenidos.
Crecimiento y
Planeación
No quieren crecer, la razón principal, se les escapa el control de su
empresa. Por lo que se refiere a la planeación (estratégica), es casi
inexistente.
Personal
Ésta área es un gran problema, la realidad es que existe una actitud muy
pasiva en el manejo del personal. Para realizar el reclutamiento, selección,
contratación y capacitación se aplican soluciones informales.
Procesos
Informativos
Lo importante no es estar al día acerca de productos y tecnología. Los
datos los pueden obtener mediante: revistas especializadas, información de
sus clientes, las técnicas administrativas las pueden adquirir por cursos, los
aspectos financieros con otros industriales y banqueros. Fig. 2.3 Ángeles, Xavier. PYMES Pequeñas y Medianas Empresas
Podemos concluir que las PyMEs en México, son un factor de suma importancia para el país, ya
que sustentan la economía nacional, sin embargo, se enfrentan a un futuro incierto, son muchos
obstáculos a vencer y no tan fáciles de superar, es por ello el interés de entender su entorno y la
importancia de su funcionamiento interno.
2.2 Panorama General de las Tecnologías de Información
Las PyMEs que tienen el capital suficiente para invertir en nueva tecnología les es muy fácil
adaptarse a ésta, ya que no se encuentran arraigadas a algún proceso o técnica para la
elaboración de sus productos o servicios, pero la mayoría de estas empresas no cuentan con
mucho presupuesto para las tecnologías, por tanto todas las empresas aunque no lo vean así,
12
tienen la necesidad de contar con la automatización de alguno de sus procesos en cualquiera de
sus áreas, independientemente del sector al que pertenezcan, por lo cual deben de recurrir a las
Tecnologías de Información, y para esto, los siguientes puntos explican algunos conceptos básicos
de las TI.
2.2.1 Conceptos de TI y características
Actualmente, se define a las tecnologías de información TI, según el autor Daniel Cohen, como:
“todas aquellas tecnologías que permiten y dan soporte al diseño, desarrollo, implementación y
operación de los sistemas de información que conforman la infraestructura de la empresa, que
provee una plataforma en la cual se construye y operan los sistemas de información”.18
La tecnología de información, según lo definido por la asociación de la tecnología de información
de América (ITAA) es: "el estudio, diseño, desarrollo, implementación, soporte o dirección de los
sistemas de información computarizados, en particular de software de aplicación y hardware de
computadoras." Se ocupa del uso de las computadoras y su software para convertir, almacenar,
proteger, procesar, transmitir y recuperar la información.19
Así que hablar de las TI es un tema muy amplio, en donde muchas áreas se relacionan dentro de
una organización, y son todo un conjunto, pero de una manera general podemos clasificar a las TI
de la siguiente forma:
• Hardware.- Sistema que forma el equipo computacional, las partes físicas de la
computadora llamadas comúnmente “fierros”. Incluye dispositivos de entrada, dispositivos
de salida, dispositivos de almacenamiento, la unidad central de procesamiento (CPU,
central processing unit), la memoria, los dispositivos de telecomunicación y los dispositivos
de conectividad.20
• Software.- Conjunto de programas que ejecuta una computadora. Estos programas
contienen instrucciones u órdenes, las cuales se encuentran codificadas en un lenguaje
que la computadora comprende. Se clasifica en: software de aplicación y software de
sistema, que a su vez se divide en software de sistema operativo y software de utilerías.21
Adicionalmente las TI cuentan con recursos que son importantes describir, desde el punto de vista
de la Metodología de COBIT, estos recursos son los que se muestran a continuación (Fig. 2.4)
18 Cohen Daniel, Asín Enrique. Tecnologías de información en los negocios. Pág. 85 19 www.itaa.org 20 Cohen Daniel, Asín Enrique. Op Cit. Pág. 85 21 Ibídem
13
Fig. 2.4
Los recursos de TI son administrados por procesos de TI, los cuales permiten al área de
informática la entrega de servicios para que la organización pueda cumplir con sus objetivos. La
norma UNIT-ISO/IEC 20000 impulsa el uso de un enfoque integral de gestión de procesos para
brindar servicios que satisfagan las necesidades de los clientes y requerimientos del negocio.
Al hablar de las TI debemos considerar un entorno en donde se interrelacionan los recursos de TI.
Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los
requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT, el marco
conceptual se puede abordar desde tres puntos de vista: los criterios de información, los recursos
de TI y los procesos de TI. Estos tres puntos de vista se muestran en el Cubo de COBIT como se
muestra a continuación (Fig. 2.5):
Datos Aplicaciones Infraestructura Personal
amplio
amplio
procesos de TI
elementos de comunicaciones que junto con las
aplicaciones conforman los servicios de TI
14
Fig. 2.5 COBIT 3rd Edition Framework IT Governance Institute
2.2.2 La importancia de las TI en la actualidad
En la actualidad, los negocios se vuelven más competitivos por varios aspectos, entre los que
destacan: el incremento de su eficiencia productiva, la mejora en la calidad de sus productos y
servicios y cualquier respuesta positiva inmediata que se tenga ante las necesidades del cliente.
Para poder lograr estos objetivos, muchos de los negocios que han tenido éxito en su estrategia ha
sido mediante el uso de tecnologías de información, las cuales han tenido un impacto positivo en el
desempeño de las funciones de estas compañías. Existen formas de medir el impacto que la
inversión en TI está teniendo para los negocios en cuestión y si es o no conveniente invertir lo que
se está pagando por automatizar sus procesos.22 Lo anterior hace necesario que tanto el personal
de la empresa como los administradores comprendan la sinergia que las TI producen. De esta
manera los administradores de empresas impulsaran soluciones con base en las TI.23
Hoy por hoy, los negocios buscan soluciones de información que les permitan competir en el
mercado global; el reto es encontrar métodos eficientes para que las tecnologías de información
reúnan las características que el negocio requiere, es decir, el nivel de asociación de la tecnología
con un planteamiento de cambio en el modelo del negocio.24
22 www.gestiopolis.com 23 Cohen Daniel, Asín Enrique. Op Cit. Pág. 123 24 www.gestiopolis.com
15
El rol de las tecnologías de información en las organizaciones ha cambiado radicalmente de ser un
simple soporte de oficina hasta llegar a formar parte de la estrategia competitiva de la compañía y
de esta manera incrementar la eficiencia operacional, así como mejorar los productos y la calidad
de los servicios que ofrecen. Al implementar nuevas TI, los negocios tendrán una adopción rápida
de tecnología que les permitirá bajar costos y tener un buen control de sus bases de datos de
clientes, proveedores y distribuidores.
En la actualidad, la necesidad de una mejor administración de los recursos de la compañía,
específicamente de los tecnológicos, debido a su gran importancia, requiere de la medición de su
contribución al desempeño de la organización.25
2.2.3 La Gestión de las TI
Ante la necesidad de una gestión de la TI, la Asociación de Auditoría y Control de Sistemas de
Información (ISACA), ha propuesto los Objetivos de Control para la Información y la Tecnología
Relacionada (COBIT) como un modelo de referencia desde un enfoque de control. La misión de
COBIT es investigar, desarrollar, publicar y promover un conjunto de objetivos de control para TI,
con autoridad, actualizados, de carácter internacional. COBIT es el resultado del análisis de
diversos estándares internacionales existentes en el área de control de TI, de los cuales abstrajo
y/o propuso sus definiciones más importantes. 26
La gestión de TI debe estar alineada con la estrategia del negocio, ser su soporte operativo. Así
que mencionaremos 2 puntos muy importantes para dicha actividad:
• La gestión de los procesos de TI tiene como función identificar los procesos claves de la
empresa, para que trabajen de una manera adecuada y funcione como un todo que
gestione la información de forma eficaz y eficiente para la empresa. Un ejemplo claro de
dicha gestión la hace COBIT en sus 4 dominios. Lo importante es que la gestión de los
procesos de TI sea global como un todo en donde todos son procesos claves.
• La gestión de los servicios de TI se refiere a alinear los servicios soportados o entregados
por las TI conforme a las necesidades del usuario, esto surge debido a la necesidad de
calidad de la gestión de los servicios de TI. Tanto ITIL, COBIT y ISO/IEC 20000 hacen
aportaciones muy importantes a esta gestión.
25 www.gestiopolis.com 26 www.itgi.org
16
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que
requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de:
planear, construir, ejecutar y monitorear. Dentro del marco de COBIT, estos dominios, se muestran
en la Fig. 2.6.
Fig. 2.6 COBIT 3rd Edition Framework IT Governance Institute
Podemos concluir que la relación y dependencia de las TI en su entorno requiere de cubrir nuevas
necesidades que surgen de esta dependencia, y ofrecer un servicio de calidad. En la actualidad es
muy difícil contar con marcos de referencia que ayuden a mejorar la gestión de las TI, sobre todo
implementarlas. No olvidemos que estos marcos enfocados hacia la gestión de las TI son: COBIT.
ITIL, ISO/IEC 2000 solo por mencionar los más importantes entre otros.
2.2.4 Seguridad de las TI
El Plan Nacional de Desarrollo 2007-2012 menciona el papel de las TI como estratégico para el
desarrollo e implementación de sistemas de información y comunicación basados en el estado del
arte de la tecnología para enfrentar al crimen que salvaguarde la seguridad nacional.
2.2.4.1 Definición de Seguridad
La seguridad está definida en el diccionario como el conjunto de medidas tomadas para protegerse
contra robos, ataques, crímenes y espionajes o sabotajes. La seguridad implica la cualidad o
Planear y Organizar
Monitorear y Evaluar
Adquirir e Implementa
17
estado de estar seguro, es decir, la evitación de exposiciones a situaciones de peligro y la
actuación para quedar cubierto frente a contingencias adversas.27
Mangold señala que la seguridad "significa cosas distintas para actores y momentos diferentes
dependiendo de lo que la gente percibe que debe proteger y de la naturaleza de la amenaza
específica".28 En términos generales, según el INEGI, la seguridad puede entenderse como
aquellas reglas, técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es
considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o
empresarial.29
2.2.4.2 La Seguridad en informática
La seguridad en informática es la administración y protección de los recursos de cómputo que tiene
la empresa y a la cual tienen acceso los usuarios. El objetivo es proteger el patrimonio informático
de la Institución, entendiendo por tal, instalaciones, equipos e información, ésta última en todas sus
formas (en cualquier dispositivo de almacenamiento magnético como son los disquetes, discos
duros, cintas, cartuchos, etc.). La seguridad en informática debe de establecer los controles
suficientes para disminuir los riesgos que se generan en el ámbito informático.30
Otra definición de seguridad informática, es una disciplina que se encarga de proteger la integridad
y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe
ninguna técnica que permita asegurar la inviolabilidad de un sistema.31
En este caso en particular, la información es el elemento principal a proteger, resguardar y
recuperar dentro de las redes empresariales. Lo importante es proteger la información. La
seguridad informática se dedica principalmente a proteger la confidencialidad, la integridad y la
disponibilidad de la información.32
• Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos
autorizados.
27 www.mitecnologico.com 28 Aguayo, S. Las seguridades de México y Estados Unidos en un momento de transición, pág. 105 29 www.inegi.gob.mx 30 Álvarez Solís, Francisco Javier. Apuntes seguridad y auditoría 31 definicion.de/seguridad-informática/ 32 www.inegi.gob.mx
18
• Integridad: Ésta se refiere a la seguridad de que la información no ha sido alterada,
borrada, reordenada, copiada, etc., durante el proceso de transmisión o en su propio
equipo de origen.
• Disponibilidad: Se refiere a la seguridad de que la información pueda ser recuperada en el
momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque
doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.
La norma ISO/IEC 27001:2005 nos define los siguientes conceptos:
• Confidencialidad: La propiedad de que la información no esté disponible para personas,
entidades o procesos no autorizados.
• Integridad: La propiedad de salvaguardar la precisión y los activos de forma completa.
• Disponibilidad: La propiedad de ser accesible y usable cuando sea solicitada por una
entidad autorizada.33
Podemos concluir que la seguridad es de suma importancia, se deben cuidar los activos
importantes para la empresa, como bien nos dimos cuenta la información es el activo más delicado
e importante que hay que proteger de daños y ataques por factores externos como personas,
entidades o procesos. Para efectos de esta investigación definiremos la seguridad en informática
como el proceso de administrar, proteger y garantizar que los recursos informáticos de la compañía
sean confiables, íntegros y disponibles, así como también establecer controles suficientes para
disminuir los riesgos, se tiene presente que los riesgos no desaparecerán nunca, pero podemos
minimizarlos.
2.2.5 Definición y Clasificación de Riesgos en el uso de las TI
Compañías como Cisco Systems, Sun Microsystems, Microsoft, Hewlett-Packard, IBM, Intel,
Google, y otras ofrecen financiamiento u oportunidades de investigación así como donación de
equipo/software y capacitación para mitigar los riesgos y promover a las TI como principales
actores del desarrollo en México.
33 www.isaca.org
2.2.5.1 Definición de riesgo
Comencemos por definir el concepto de riesgo, el cual proviene de la palabra del latín “risicare” que
significa “atreverse”. En finanzas, el concepto de riesgo está relacionado con la posibilidad de que
ocurra un evento que se traduzca en pérdidas para los participantes en los mercados financieros,
como pueden ser inversionistas, deudores o entidades financieras. El riesgo es producto de la
incertidumbre que existe sobre el valor de los activos financieros, ante movimientos adversos de
los factores que determinan su precio; a mayor incertidumbre mayor riesgo34.
Por otro lado de acuerdo con (COVENIN 2270:1995).el riesgo es “una medida potencial de pérdida
económica o lesión en términos de la probabilidad de ocurrencia de un evento no deseado junto
con la magnitud de las consecuencias”35. Así mismo el riesgo es la amenaza concreta de daño que
yace sobre la gente en cada momento y segundos de sus vidas, pero que puede materializarse en
algún momento o no36.
Para efectos de esta investigación entenderemos por riesgo a la probabilidad de que suceda un
evento, impacto o consecuencia negativos. Así mismo lo entenderemos también como la medida
de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y está
en relación con la frecuencia con que se presente el evento.
Por otro lado riesgo en informática, según la norma ISO 27002:2005, un “riesgo” se entiende como
la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o
daño en un activo de información.37 Así que para los fines de esta tesina, podemos concluir que un
riesgo de TI es cualquier suceso que ponga en peligro los procesos críticos que son soportados por
las TI y afecten de manera significativa a la PyME. Para comprender el entorno de las PyMEs,
debemos abordar su problemática interna: su propio funcionamiento; y dentro del mismo, analizar
el funcionamiento de las TI que contribuyen a ser más competitivos.
2.2.5.2 Clasificación de riesgos de TI
Es importante aclarar que para efectos de esta investigación y al estudio que nos atañe se usa la
siguiente clasificación de riesgos, esto con el fin de dar al lector un panorama general de los
34 www.banxico.org.mx 35 es.wikipedia.org 36 www.definicionabc.com 37 es.wikipedia.org
20
riesgos que afectan a la pequeña y mediana empresa, por lo que usamos la siguiente clasificación
(véase Fig. 2.7):
Fig. 2.7 Clasificación de Riesgos en TI
1) Riesgos en la continuidad del proceso.- Cuando se refiere a riesgos en la continuidad del
proceso, se involucran situaciones que pudieran afectar a la realización del trabajo informático o
incluso que pudieran llegar a paralizarlo, y por consecuencia llegar a perjudicar gravemente a la
empresa o incluso también a paralizarla. Ante los riesgos informáticos las PyMEs necesitan tomar
precauciones con el fin de impedirlos, ninguna compañía está exenta de sufrir un percance que la
afecte negativamente, ya sea un desastre natural o provocado por uno de los empleados.
2) Riesgos de la seguridad lógica.- Son todos aquellos accesos no autorizados a la información
mecanizada mediante técnicas informáticas o de otros tipos. En cuanto a los riesgos de la
seguridad lógica se mencionan los siguientes38:
• Seguridad en el uso de software y los sistemas.
• La protección de los datos, procesos y programas.
• Acceso ordenado y autorizado de los usuarios a la información.
• Así como la administración de usuarios y administradores de recursos de tecnología de
información.
38 Piattini G. Mario y Del Peso Emilio. Op Cit. Pág. 572
En la eficacia del servicio
En la seguridad
Económicos directos
Riesgos de
factor humano
RIESGOS TI
21
Se tienen en cuenta las siguientes consideraciones, basados en la en la norma Nº 305-03 del
Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información
Computadorizados emitido por la Contraloría General de la República, la cual establece las
acciones a considerar en cuanto a la seguridad lógica se refieren a39:
• Restringir el acceso a programas y archivos mediante claves y/o encriptación
• Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto
significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para
realizar su trabajo.
• Asegurarse que los archivos y programas que se emplean son los correctos y se usan
correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la
seguridad de un sistema informático.
• Control de los flujos de entrada/salida de la información. Esto incluye que una determinada
información llegue solamente al destino que se espera que llegue, y que la información
llegue tal cual se envió.
3) Riesgos de la seguridad física.- Se refiere a los controles y mecanismos de seguridad dentro y
alrededor de las TI así como los medios de acceso remoto; implementado para proteger el
hardware y medios de almacenamiento de datos. En general, en cuanto a la seguridad física, se
debe tener en cuenta los riesgos asociados a:
• Acceso no autorizado a servidores y equipos
• Acceso no autorizado a edificios y salas
• Incendio: detección de humos y/o elevada temperatura
• Agua: escapes, goteras, inundación, etc.
• Interrupciones del suministro eléctrico
• Acondicionamiento de temperatura y humedad.40
4) Riesgos de factor humano.- Se refiere a aquellas posibilidades de usos inadecuados de la
información por los empleados. Se puede decir que el factor humano puede ser el eslabón más
débil en toda la cadena de seguridad y se encuentra presente en todos los procesos relacionados
con la seguridad. En todos los procesos informáticos y empresariales existe la implicación de
factores humanos ya sea en la toma de decisiones como en los procesos mismos. Sin embargo, se
presta una atención especial a los ataques externos que provocan daños más o menos
39 www.funcionpublica.org.mx. 40 www.cert.inteco.es
22
cuantificables, cuando la mayoría de los incidentes ocurren dentro de la propia organización por un
error humano, una errónea utilización de los medios de trabajo o por un ataque premeditado, falta
de capacitación o la ausencia de una cultura de seguridad.
5) Riesgos en la eficacia del servicio informático.- Son aquellos que alteren dicha realización o que
afecten a la exactitud de los resultados ofrecidos por el servicio informático. 41
6) Riesgos en la eficiencia del servicio informático.- Son los riesgos que se refieren a la mejor
forma de realizar los procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con el
análisis de estos riesgos mejorar la calidad del servicio. 42
7) Riesgos económicos directos.- Se refiere a aquellas posibilidades de desembolsos directos
inadecuados.
Por lo tanto basados en lo anterior y para efectos que nos ocupan consideraremos que todas las
PyMEs necesitan proteger su información, por motivos intrínsecos del negocio (información sobre
productos, precios, métodos de fabricación, etc.), bien por imperativo legal (LOPD, Nº 305-03, etc.).
2.2.5.3 Tipos de riesgos de TI
Para efectos de esta investigación y se tiene como base el área que nos concierne referente a la
seguridad en informática, empezamos de una manera sintética, puntualizando que el propósito de
la seguridad en informática se puede resumir en asegurar la confidencialidad, la integridad y la
disponibilidad de la información, y que la confidencialidad implica garantizar que la información sea
accesible sólo a aquellas personas autorizadas a tener acceso a la misma, integridad consiste en
salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento, y por
disponibilidad se entiende garantizar que los usuarios autorizados tengan acceso a la información y
a los recursos toda vez que se requiera43.
Esta previsión debe ser pensada en función de dos tipos de riesgos: internos y externos. Los
primeros son aquellos que provienen de la organización o el lugar de trabajo, en oposición a los
que surgen del acceso a Internet (externos). Entre los ejemplos de riesgos internos se pueden
mencionar a las personas del exterior que pudieran tener acceso a las máquinas, o la instalación 41 Piattini G. Mario y Del Peso Emilio, Auditoría Op Cit. pág. 572 42 Ibídem 43 www.siu.edu.ar
23
de programas por parte de los propios empleados que pongan en riesgo, sin intención, sus propias
computadoras y las de la red44.
En cuanto a los riesgos externos el M. en C. Francisco Álvarez Solís comenta “Los riesgos
externos son aquellos que se presentan en el ambiente físico y social que rodea a la empresa y en
el caso a tratar, son aquellos que rodean al área de informática”.45
Por lo anterior se puede decir que los riesgos externos son aquellos comúnmente relacionados con
spyware (aplicaciones que recopilan información sobre una persona u organización sin su
conocimiento), con los virus que llegan a través del correo electrónico, o con el accionar de
crackers. A través de diversos mecanismos es posible tanto ingresar en un sistema y leer
información como dañar un sistema operativo46.
2.3 Auditoría en Informática
La sociedad actual se dirige a vivir en lo que se denomina aldea global, suceso que evoluciona al
género humano en múltiples direcciones, en especial lo referente a las TI. Por lo tanto, la auditoría
debe ser consecuente con tales transformaciones para integrarlas en su campo de acción y
transmutarse, adaptándose a los diferentes cambios económicos y de mercado, para convertirse
en motor de innovación y cambio en pro del mejoramiento continuo en las organizaciones,
respondiendo así a las necesidades de la futura aldea global.
2.3.1 Concepto de Auditoria
La auditoría es la investigación, consulta, revisión, verificación, comprobación y evidencia aplicada
a la empresa. Es el examen realizado por el personal cualificado e independiente de acuerdo con
Normas de Contabilidad; con el fin de esperar una opinión que muestre lo acontecido en el
negocio; requisito fundamental es la independencia.
También se define como la actividad para determinar, por medio de la investigación, la adecuación
de los procedimientos establecidos, instrucciones, especificaciones, codificaciones, estándares, y
otros requisitos, la adhesión a los mismos y la eficacia de su instrumentación.47
44 www.emagister.com.mx 45 Alvares Solís, Francisco Javier. Apuntes de seguridad y auditoría 46 www.siu.edu.ar. 47 De Pablos, C. Dirección y gestión de los sistemas de información en la empresa, pág. 68
24
Otra definición proporcionada por Mario Piattini dice que auditoría es la emisión de una opinión
profesional sobre el objeto sometido a análisis, presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritas.48
2.3.1.1 Concepto de Auditoría en Informática
La auditoría en informática es una extensión del auditor tradicional, puede definirse como la
revisión analítica a la suficiencia de controles establecidos en el ámbito informático, con la finalidad
de disminuir los riesgos y garantizar la seguridad, confiabilidad y exactitud de la información.49
Por otra parte, auditoría en informática también se define como el conjunto de técnicas, actividades
y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la
planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, por
lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a
mejorar en: rentabilidad, seguridad y eficacia.50
Para efecto de la presente tesina se toma el concepto de auditoría en informática como el proceso
de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda
los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos. De este modo la auditoría en informática
sustenta y confirma la consecución de los objetivos tradicionales de la auditoría:
• Objetivos de protección de activos e integridad de datos
• Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también
los de eficacia y eficiencia.51
48 Piattini Mario, Del Peso Emilio. Op Cit. pág. 25 49 Francisco Javier Álvarez Solís. Apuntes seguridad y auditoría 50 www.emagister.com.mx 51 Piattini Mario, Del Peso Emilio. Op Cit. Pág. 26
25
Dentro de la auditoría en informática destacan los siguientes tipos:52
• Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de
los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas
de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección
de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de
los diagramas de flujo.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
• Auditoría de la seguridad: En relación a los datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Con respecto a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.
También está referida a las protecciones externas (arcos de seguridad, vigilantes, etc.) y
protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas
de información.
• Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación
en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Diferentes acepciones de auditoría en informática:53
• Auditoría en informática como soporte a la auditoría tradicional, financiera, etc.
• Auditoría en informática con el concepto anterior, pero añadiendo la función de auditoría de
la función de gestión del entorno informático.
• Auditoría en informática como función independiente, enfocada hacia la obtención de la
situación actual de un entorno de información e informático en aspectos de seguridad y
riesgo, eficiencia y veracidad e integridad.
• Las acepciones anteriores desde un punto de vista interno y externo.
• Auditoría como función de control dentro de un departamento de sistemas.
52 es.wikipedia.org. 53 Piattini Mario, Del Peso Emilio. Op Cit. pág. 32
26
2.3.3 Normas de auditoría
Entenderemos por normas de auditoría a los requisitos mínimos de calidad relativos a la
personalidad del auditor, al trabajo que desempeña y a la información que rinde como resultado de
dicho trabajo, para el presente trabajo clasificaremos en tres rubros a las normas de auditoría
conforme lo define El Consejo Mexicano para la Investigación y Desarrollo de Normas de
Información Financiera (CINIF) y La Federación Internacional de Contadores (IFAC), dichas
normas se clasifican en54:
1) Normas Personales, estas normas son referentes a lo relacionado con la formación del
auditor y se dividen en tres grandes grupos:
Entrenamiento técnico y la capacidad profesional
Cuidado y diligencia profesionales
Independencia
2) Normas de Ejecución del Trabajo, esta división es referente a la ejecución de la función y a
las actividades realizadas.
Planeación y supervisión.
3) Normas de Información, esta división contiene todos los lineamientos referentes a los
papeles de trabajo o legajos, así como los del resumen del resultado final, por lo que se
debe contemplar lo siguiente55:
Se debe de emitir un reporte escrito y firmado cada vez que se concluya con un
examen de auditoría.
Los auditores deberán discutir sus conclusiones y recomendaciones a un nivel
adecuado de la administración antes de emitir su reporte escrito final.
Los reportes deberán ser objetivos, claros, concisos, constructivos y oportunos, así
mismo contendrán el propósito, alcance y resultados de la auditoria y en lo
54 The ACEF’s Report to the Nation on Occupational Fraud & and Abuse. 55 Ibídem
27
aplicable, la opinión del auditor, y además pueden incluir recomendaciones para
mejorar así como el reconocimiento de la ejecución de acciones correctivas.
Pueden ser incluidos en el reporte de auditoría los puntos de vista de los
responsables de las áreas auditadas, respecto de las conclusiones o
recomendaciones del auditor.
El responsable de la función de auditoría deberá revisar y aprobar el reporte final
de la auditoria antes de su emisión y decidirá a quien o quienes les será
distribuido el reporte.
2.3.4 Funciones de la Auditoría en Informática
Hoy en día, con la evolución del uso y creación de las telecomunicaciones y de la informática, ha
propiciado que las comunicaciones, líneas y redes de las instalaciones informáticas, así como el
Software y el Hardware, los procesos de sistema operativo y la seguridad de los sistemas, se
auditen por separado, aunque formen parte del entorno general de sistemas. Dentro de la Auditoria
Informática, existen puntos críticos e indispensables a realizar, lo cual se describen en los
siguientes apartados, la estructura, las funciones y características importantes que contiene ésta.
2.3.4.1 Estructura del área de Auditoría en Informática
La ubicación de la función de auditoría en informática deberá estar englobada con la función de
auditoría interna de dicha organización. En la actualidad existen normativas nacionales e
internacionales, así como buenas prácticas de gobierno corporativo, que establecen o recomiendan
la posición y el rol que debe de tener la función de la auditoría interna en una organización (ver Fig.
2.8)56.
56 Piattini Mario, Del Peso Emilio. Op Cit. pág. 342.
28
Por lo antes mencionado la organización tipo de la auditoría en informática, debe contemplar los
siguientes principios:
1. La localización la cual debe de estar ligada a la localización de la auditoría interna
operativa y financiera, pero debe de tener independencia de objetivos, de planes de
formación y de presupuestos.
2. La organización operativa tipo debe de ser la de un equipo independiente del de auditoría
interna, con la accesibilidad total a los sistemas de información e informáticos, y
dependerán de la misma persona en la empresa, que en cuyo caso deberá ser el director
general o consejero.57
Es importante mencionar que en caso de que exista una dependencia ésta será del máximo
responsable ope