Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
“IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA EN LAS PyMEs”
T E S I N A
Q U E P A R A O B T E N E R E L T Í T U L O D E :
I N G E N I E R O E N I N F O R M Á T I C A
P R E S E N T A N :
E V A B E R E N I C E B A R A J A S S A N T O SJ U L I O C É S A R D Í A Z J I M É N E Z
Q U E P A R A O B T E N E R E L T Í T U L O D E :
LIC ENCIADO EN C IENCIA S DE LA INFORMÁTICA
P R E S E N T A N :G E N Y A D R I A N A M A C E D O P R A D O
L I L I A N A M A R I S C A L A L F A R O
A N A P A U L A V A Z Q U E Z T O R R E S
MÉXICO. DF 2010
Índice
RESUMEN ...............................................................................................................................................I
INTRODUCCIÓN ...................................................................................................................................III
CAPÍTULO I MARCO METODOLÓGICO ............................................................................................1
1.1 PLANTEAMIENTO DEL PROBLEMA ........................................................................................................... 1 1.2 OBJETIVOS .............................................................................................................................................. 3 1.3 TÉCNICAS E INSTRUMENTOS DE MEDICIÓN ............................................................................................ 4 1.4 UNIVERSO Y/O MUESTRA........................................................................................................................ 5 1.5 JUSTIFICACIÓN ....................................................................................................................................... 7
CAPITULO II PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN (TI), AUDITORÍA EN INFORMÁTICA Y LAS PYMES EN MÉXICO............................................................8
2.1 PEQUEÑA Y MEDIANA EMPRESA............................................................................................................. 8 2.1.1 Concepto de PyMEs .................................................................................................................. 8 2.1.2 Estratificación de las PyMEs ................................................................................................. 9 2.1.3 Características de las PyMEs ................................................................................................. 9
2.2 PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN .......................................................... 11 2.2.1 Conceptos de TI y características ....................................................................................... 12 2.2.2 La importancia de las TI en la actualidad .......................................................................... 14 2.2.3 La Gestión de las TI................................................................................................................. 15 2.2.4 Seguridad de las TI .................................................................................................................. 16
2.2.4.1 Definición de Seguridad ..................................................................................................................... 16 2.2.4.2 La Seguridad en informática .............................................................................................................. 17
2.2.5 Definición y Clasificación de Riesgos en el uso de las TI............................................. 18 2.2.5.1 Definición de riesgo............................................................................................................................. 19 2.2.5.2 Clasificación de riesgos de TI............................................................................................................ 19 2.2.5.3 Tipos de riesgos de TI ........................................................................................................................ 22
2.3 AUDITORÍA EN INFORMÁTICA................................................................................................................. 23 2.3.1 Concepto de Auditoria............................................................................................................ 23
2.3.1.1 Concepto de Auditoría en Informática .............................................................................................. 24 2.3.2 Tipos de Auditoría en Informática ........................................................................................................ 25 2.3.3 Normas de auditoría............................................................................................................................... 26
2.3.4 Funciones de la Auditoría en Informática.......................................................................... 27 2.3.4.1 Estructura del área de Auditoría en Informática ............................................................................. 27 2.3.4.2 Funciones del área de Auditoría en Informática ............................................................................. 30
2.3.5 Metodologías de Auditoría en Informática ........................................................................ 34 2.3.5.1 Conceptos de metodología ................................................................................................................ 34 2.3.5.2 Metodologías de Auditorías en Informática ..................................................................................... 34
CAPÍTULO III PROBLEMÁTICA DE LA AUDITORÍA EN INFORMÁTICA LAS TI Y SU IMPORTANCIA DENTRO DE LAS PYMES........................................................................................37
3.1 ENTORNO DE LAS PYMES ................................................................................................................... 37 3.1.1 Entorno global .......................................................................................................................... 37 3.1.2 Situación actual en México.................................................................................................... 41
3.2 AUDITORÍA EN INFORMÁTICA EN MÉXICO ............................................................................................. 42 3.2.1 Problemática actual de la Auditoria en México ................................................................ 42
3.3 PRINCIPALES RIESGOS INFORMÁTICOS. ............................................................................................... 48 3.3.1 Principales riesgos informáticos para ser auditados. ................................................... 48
CAPÍTULO IV LEGISLACIÓN, MEJORES PRÁCTICAS Y HERRAMIENTAS DE AUDITORÍA EN INFORMÁTICA .....................................................................................................................................52
4.1 LEGISLACIÓN ACTUAL DE LA AUDITORÍA .............................................................................................. 52 4.1.1 Legislación Internacional...................................................................................................... 53 4.1.1.1 Ley SOX................................................................................................................................... 53
4.1.1.2 Basilea II ............................................................................................................................................... 55 4.1.1.3 PCI......................................................................................................................................................... 58
4.1.2 Legislación nacional .............................................................................................................. 59 4.2 COMITÉS Y ORGANISMOS REGULADORES DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA .............. 61
4.2.1 Comités Internacionales Reguladores de la Función de Auditoría en Informática 61 4.2.2 Organismos Nacionales que regulan la función de Auditoría en Informática ......... 62
4.3 MEJORES PRÁCTICAS............................................................................................................................ 65 4.3.1 COBIT........................................................................................................................................... 65 4.3.2 ISO 27000 .................................................................................................................................... 67 4.3.3 ISO 19011 .................................................................................................................................... 70 4.3.4 ISO / IEC 20000......................................................................................................................... 71 4.3.5 ITIL............................................................................................................................................... 76
4.3.5.1 ITIL para PyMEs .................................................................................................................................. 77 4.4 HERRAMIENTAS TECNOLÓGICAS PARA LA AUDITORÍA EN INFORMÁTICA .............................................. 79
4.4.1 Tecnologías de apoyo a la planeación y seguridad de Auditorías en Informática ...... 80 4.4.2 Herramientas tecnológicas para realizar Auditorías en Informática. ............................ 81
4.4.2.1 Herramientas tecnológicas para auditorias a bases de datos................................................... 81 4.4.2.2 Herramientas tecnológicas para auditorias a Redes................................................................... 81 4.4.2.3 Herramientas tecnológicas para auditorias a equipos................................................................ 85 4.4.2.4 Herramientas tecnológicas para auditorias de sistemas............................................................ 85
CAPÍTULO V IMPORTANCIA Y PROPUESTA DE CREACIÓN Y DESARROLLO DEL ÁREA DE AUDITORÍA EN INFORMÁTICA BASADA EN PYMES ....................................................................86
5.1 IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA............................................................ 86 5.2 CONFORMACIÓN DEL ÁREA DE AUDITORÍA EN INFORMÁTICA ............................................................... 88
5.2.1 Estructura Organizacional del área de auditoría en informática ................................. 89 5.2.2 Funciones del área de auditoría en informática............................................................... 89 5.2.3 Metodologías y herramientas de trabajo ........................................................................... 92 5.2.4 Perfil del auditor ..................................................................................................................... 109
CAPÍTULO VI CASO PRÁCTICO .....................................................................................................111
6.1 GENERALIDADES DE LA PYME ........................................................................................................... 111 6.2 APLICACIÓN DE LA PROPUESTA .......................................................................................................... 113 6.3 RESULTADOS DE LA PROPUESTA A GCD ........................................................................................... 118 6.4 VENTAJAS/DESVENTAJAS DEL MODELO PROPUESTO......................................................................... 120 6.5 BENEFICIOS ......................................................................................................................................... 121
CONCLUSIONES ...............................................................................................................................123
BIBLIOGRAFIA ..................................................................................................................................125
GLOSARIO .........................................................................................................................................126
ANEXOS
I
Resumen
El tema de la presente tesina se eligió debido a que es un asunto en el cuál no se han desarrollado
investigaciones y el cual está sobresaliendo en estas épocas. A lo largo del desarrollo de esta
tesina se habla de que las empresas PyMEs constituyen el mayor porcentaje de la economía de
México, debido a esto se tiene la necesidad de darles una mayor importancia. También se hace
referencia a las tendencias de la tecnología y como se usan en las PyMEs, que en la mayoría de
los casos no aprovechan eficientemente los recursos de TI que tienen a su alcance y tampoco se
dan cuenta de las ventajas y/o beneficios que pueden obtener al implementar controles o mejorar
los que ya tienen implementados para el manejo de sus recursos informáticos.
Para llevar a cabo éste trabajo de investigación se abordan temas desde conceptos generales:
PyMEs, su estratificación y entorno global; panorama general de las TI, riesgos; seguridad en
informática, auditoría en informática, funciones, metodologías. También se habla acerca de la
problemática de la auditoría en informática en las PyMEs, la legislación a nivel nacional e
internacional de la misma, mejores prácticas y las tecnologías actuales.
El objetivo de esta investigación es determinar cuál es la importancia de la función de auditoría en
informática dentro de las PyMEs y proponer un modelo que sirva de guía para la definición e
implementación de dicha función, si se cumplió el objetivo, con mucha dedicación al desarrollo del
presente trabajo y un esfuerzo hecho por cada integrante del equipo para llevar a cabo el caso
práctico aplicando el resultado de ésta tesina y determinar así si se logró el objetivo, que en
nuestro caso en particular es satisfactorio y también se queda la experiencia y la práctica.
De igual manera se tratan temas de cómo debe de estar conformada la función de auditoría en
informática y que es lo que necesita una auditoría en Informática básica, conforme a las
necesidades de las PyMEs, así como conformar el área, su estructura organizacional, las funciones
que desempeña ésta área, las metodologías y herramientas de trabajo y para finalizar se menciona
el perfil del auditor. Profundizando en el tema de metodologías y herramientas se menciona que el
proceso empieza con la descripción del proceso de auditoría en informática la cuál inicia con la
revisión preliminar, evaluación de diagramas, establecer objetivo y alcance, apego a la legislación
informática, análisis de políticas de seguridad, análisis del control interno, identificación de riesgos
y amenazas, pruebas de cumplimiento, propuestas de corrección y presentación del informe final.
II
Para comprobar la consecución de los objetivos planteados anteriormente, se realiza un caso
práctico en el cuál se aplica el modelo propuesto de la presente tesina, en este caso se
demuestran los resultados obtenidos de la aplicación del modelo dejando ver cuál es la importancia
de la función de la auditoría en informática y definir e implementar ésta función, llegando a
determinar si el resultado es satisfactorio o si no lo es llegando a una conclusión del tema.
Para finalizar el tema se concluye que se logró el objetivo propuesto en el cual en el caso práctico
se demuestra que la importancia de la auditoría en informática es básica para las PyMEs, también
se muestran las mejoras al implementar la función de auditoría en informática y con ello se
identifican los problemas con respecto a las TI y también los riesgos del negocio, así mismo
también se sugiere la estructuración del área de auditoría en informática, continuando con
auditorías constantes para llegar a implementar el área de auditoría en informática de forma
definitiva.
III
Introducción
En la actualidad las estadísticas del Instituto Nacional de Estadística Geografía e Informática
(INEGI) concluyen que la economía de México está formada en su mayoría por Pequeñas y
Medianas Empresas (PyMEs), por lo que surge la necesidad de invertir en tecnologías de
información (TI), sin embargo la mayoría de estas empresas carecen de controles eficientes o de
una adecuada gestión de los mismos; aunado a esto, los marcos reguladores existentes para la
gestión y administración de controles están desarrollados pensando en las grandes empresas y
corporativos, por lo que el hecho de promover realizar una auditoría en informática basada en
dichos marcos resulta una inversión no sustentable de capital para las PyMEs.
Así mismo el universo PyME muestran lo importante que son para el país este tipo de empresas,
ya que constituyen el rubro más importante económicamente hablando, pese a que existen apoyos
por parte del gobierno, comités y demás, se ha dejado de lado o se le ha restado la importancia
que la función de auditoría en informática debe tener, esto en cuanto al rubro de tecnologías de
información se refiere. Por otra parte la inexistente legislación en México que contemple y que
obligue la existencia de la función de auditoría en informática como un órgano de control interno ha
dado lugar a que las PyMEs omitan la función, delegando la responsabilidad a otras áreas.1
Es por ello que el objetivo de esta investigación es determinar cuál es la importancia de la función
de auditoría en informática y promoverla, basándose en la necesidad de las PyMEs, con lo cual se
logrará tener una visión objetiva y más amplia que les permitirá a este rubro de empresas tener un
punto de referencia para la implementación de controles o mejoramiento de los ya implementados,
para lograr un mejor aprovechamiento de las TI.
Para objeto de esta investigación se desarrollaron seis capítulos, los cuales incluyen el marco
metodológico, conceptos de la auditoría en informática y características de las PyMEs, la
problemática de la auditoría en informática y su importancia dentro de las PyMEs, además de los
temas relacionados a legislación, mejores prácticas y tecnologías de auditoría en informática, para
poder así desarrollar la presente tesina de la importancia y propuesta de creación y desarrollo del
área de auditoría en informática basada en PyMEs, así como el relato del caso práctico donde se
aplicaron los temas ya previamente mencionados.
1 www.universopyme.com.mx Universo PyME
IV
En el capítulo I Marco Metodológico, se encuentra la descripción del marco metodológico, además
se pretende explicar la problemática que existe el sector de las PYMES a nivel organizacional, así
como los objetivos que se quieren lograr con la propuesta de esta tesina, y la justificación del
porque se escogió este tema, utilizando diferentes herramientas para su comprobación.
El capítulo II Panorama General de las Tecnologías de Información (TI), Auditoría en Informática y
las PyMEs en México, se definen los conceptos generales de las PyMEs, en su estratificación y
entorno global, así como el panorama general de las TI y los riesgos que conlleva el uso de las
mismas, de la seguridad, enfocándose a la seguridad en informática, el rol que juega dentro de las
organizaciones y el significado de la auditoría en informática conforme a sus funciones y
metodologías.
En este capítulo III Problemática de la Auditoría en Informática y su importancia dentro de las
PyMEs, se describe la situación de las PyMEs en México, entorno a la globalización de las
Tecnologías de Información, así como la problemática que presenta en la actualidad la función del
área de auditoría en informática a nivel nacional e internacional; con respecto a la realización de
auditorías, acorde a al a situación actual y las necesidades de las PyMEs.
En el capítulo IV Legislación, Mejores prácticas y tecnologías de Auditoría en informática define las
principales leyes nacionales e internacionales que contempla la función de auditoría en informática,
así como los procesos de la función, desde la planeación estratégica de las auditorías hasta el
establecimiento de comités, con la utilización de regulaciones y estándares acordes a las mejores
prácticas internacionales (COBIT, ISO, etc.), referentes a la función de auditoría en informática,
además de algunos ejemplos de herramientas de apoyo a esta función.
El capítulo V Importancia y propuesta de creación y desarrollo del área de Auditoría en informática
para PyMEs, determina la importancia de la función de la auditoría en informática para las PyMEs,
en este capítulo por medio del análisis de la necesidad de las PyMEs de implementar controles en
cuanto a la adquisición y explotación de sus TI y mediante el uso del marco regulador de mejores
prácticas existentes para llevar acabo auditorías en informática, se propone un modelo para
PyMEs que ayude a la gestión de controles y evaluación de posibles riesgos, adecuado a la
infraestructura de estas empresas.
El capítulo VI tiene como objetivo exponer los resultados obtenidos de la implementación del
modelo de auditoría en informática propuesto y aplicado a una empresa para demostrar la
V
importancia de la función de auditoría en informática así como los beneficios que esto genera y
ayuda en la toma de decisiones de la empresa con respecto a las TI.
Se concluye la tesina con el propósito de concientizar a las PyMEs con respecto a la
determinación de la importancia de la función de auditoría en informática y beneficios que aporta
la inversión en tecnología como una oportunidad de crecimiento y competitividad; evidenciando
estos beneficios mediante los resultados arrojados de la implementación del modelo propuesto
para auditorías en informática.
Capítulo I Marco Metodológico
Dentro de este capítulo, se encuentra la descripción del marco metodológico, además se pretende
explicar la problemática que existe el sector de las PYMES a nivel organizacional, así como los
objetivos que se quieren lograr con la propuesta de esta tesina, y la justificación del porque se
escogió este tema, utilizando diferentes herramientas para su comprobación. Se sustenta la
problemática por medio de estadísticas, las cuales se muestras en el universo y delimitadas en la
muestra que compone esta tesina.
A continuación se lista el contenido temático de este capítulo: 1.1 PLANTEAMIENTO DEL PROBLEMA 1.2 OBJETIVOS 1.3 TÉCNICAS E INSTRUMENTOS DE MEDICIÓN 1.4 UNIVERSO Y/O MUESTRA 1.5 JUSTIFICACIÓN
1
Capítulo I Marco Metodológico 1.1 Planteamiento del Problema La economía del México está regida por dos grandes rubros o tipos de empresas entre las que
destacan las empresas propiamente dichas, es decir aquellas en las que puede distinguir
claramente la organización y la estructura de la misma, las cuales se desarrollan dentro del sector
formal de la economía y por otro lado aquellas cuyo origen es predominantemente familiar y en
cuyos casos se caracteriza una gestión enfocada a la supervivencia, sin prestar demasiada
atención al costo de oportunidad de capital o a la inversión que les permitirá el crecimiento.
Podemos por lo antes mencionado considerar empresa a la unidad económico-social en la que el
capital, el trabajo y la dirección se coordinan para realizar una producción socialmente útil de
acuerdo con la exigencia del bien común. Es decir, una unidad productiva o de servicios,
establecida con ciertos fines relacionados con la satisfacción de necesidades, integradas por
recursos humanos, financieros y materiales.
A pesar de la heterogeneidad mundial para definir las Pequeñas y Medianas Empresas (PyMEs),
existen criterios que permiten identificarlas; con el propósito para distinguir este tipo de unidades
económicas, organismos como la Unión Europea y la OCDE reconocen dos grandes vertientes que
determinan los criterios de estratificación para definir a las PyMEs a nivel mundial tienen que ver
finalmente con características políticas y económicas de cada nación; la evidencia expone
divergencias insalvables para buscar una definición universal que clasifique a las PyMEs.2 Como
se muestra en la Figura 1.1 a continuación:
Criterios recomendados por la Unión Europea y la OCDE para fines legales y administrativos
Tamaño Personal ocupado total
Ventas Anuales (Euros)
Balance Anual (Euros)
Micro Empresa 1 a 9 Menor a 2 millones Menor a 2 millones
Pequeña Empresa 10 a 49 Menor a 10 millones Menor a 10 millones
Mediana Empresa 50 a 249 Menor a 50 millones Menor a 43 millones
Grande Empresa Más de 250 Mayor a 50 millones Mayor a 43 millones
Fig. 1.1 OCDE 2004
2 www.gestiopolis.com
2
En México se determina PyME a las siglas o abreviatura de pequeña y mediana empresa, este tipo
de empresas tienen algún límite de facturación o empleados o una combinación de ambas, así
mismo se ha realizado una división o clasificación de acuerdo a varios factores o rubros,
destacando como primordiales el tamaño y el tipo de sector como se muestra en la Figura 1.2.
Estratificación de empresas publicada en el Diario Oficial de la Federación 30 de Diciembre 2002
Sector Clasificación según el número de empleados Tamaño
Industria Comercio Servicios
Micro Empresa De 0 a 10 De 0 a 10 De 0 a 10 Pequeña Empresa De 11 a 50 De 11 a 30 De 11 a 50
Mediana Empresa De 51 a 250 De 31 a 100 De 51 a 100
Fig. 1.2 OCDE 2004
Sin embargo estas últimas empresas (PyMEs) representan un aporte muy importante al desarrollo
económico del país, por lo que debe de prestarse un notable interés en el desarrollo y
competitividad de las mismas.
Debido al mercado que es cada vez más abierto y global este tipo de empresas (PyMEs) han
tenido que buscar maneras de mantenerse a flote. Una de estas, es mediante el uso de TI, pero
debido a que no existe un marco de referencia como tal adecuado a sus necesidades y debido
también a factores primordiales como la falta de información, desconfianza, inercia o carencia de
recursos los cuales impiden a las micro, pequeñas y medianas empresas (PyMEs) dar el paso para
adquirir tecnología e inclusive no contar con las herramientas necesarias para sacar un mejor
provecho de las mismas como parte del servicio o producto que ofrece su negocio.
Actualmente las condiciones del mercado permiten a las PyMEs ver la inversión en tecnología
como una oportunidad de crecimiento y competitividad, no obstante existe el factor de cómo medir
y evaluar las Tecnologías de Información con las que cuentan actualmente; por este motivo en
particular se realiza esta investigación cuyo objetivo es determinar la función de auditoría en
informática y promover un modelo de auditoría en informática orientado PyMEs y/o la
implementación del área de auditoría en informática.
4 seguridad.internet2.ulsa.mx.
3
La función de auditoría en informática implica la verificación de lo que “es” contra lo que “debe ser”,
desde un enfoque fiscalizador. Es decir, como ejemplo, en el caso de una auditoría contable se
verifica que lo plasmado en los controles contables (libros, balances, etc.) manifieste la situación
real financiera de la institución que debe ser dada a conocer a la autoridad hacendaria, es decir
que se tiene un esquema jurídico fiscal, criterios de contabilidad, políticas internas, catálogos de
cuentas, procedimientos, etc. con los cuales el contador debe cumplir, de lo contrario se derivan
observaciones a dicha función que pueden ser no graves o incluso que deriven en posibles
defraudaciones y que finalmente recae en un incumplimiento a la ley o normatividad4.
Pero en el caso de la auditoría informática, aunque en teoría es una práctica que se debe apegar a
principios de auditoría en general (independencia de juicio, evidencia, etc.), se carece de un marco
jurídico que satisfaga el respaldo de observaciones o inconsistencia que pueden afectar la
continuidad en la función informática, y en el peor de los casos, la evidencia documental que se
llega a recopilar, en muchos de los casos es descalificada como “suficiente y competente” por las
autoridades en procesos de posibles faltas a la ley.
Si bien es cierto que la auditoría, cualquiera que sea el campo de acción (administrativa, contable,
informática), debe tener como propósito principal ser una función principalmente “de detección” no
tanto “correctiva”, en caso de detectarse por ejemplo mal uso o abusos de equipos de cómputo,
esquemas de seguridad informático débiles, fraudes, sabotaje, espionaje, robo o daño a la
información de la institución, etc.
1.2 Objetivos
Los objetivos son una parte crucial para determinar la importancia de la tesina, es decir, comprobar
la razón de ser del proyecto, los cuales a partir del objetivo principal se desglosan los demás
objetivos específicos. Los objetivos de la investigación presente, se exponen de manera clara y
precisa, para dar a entender el logro que se desea obtener con la realización de ésta tesina.
Objetivo General
Determinar la importancia de la auditoría en Informática dentro de las PyMEs y proponer un
modelo que sirva de guía para la definición e implementación de dicha función, compuesto de un
conjunto de buenas prácticas, controles y checklists, basado en los marcos y los estándares de
metodologías para auditoría en informática ya existentes.
4
Objetivos Específicos
• Identificar y dar a conocer los principales problemas de la administración de la operación
de TI en las PyMEs, debido a la falta de una función de auditoría en informática. • Determinar la importancia de la auditoría en informática y los beneficios de dicha área
dentro de las PyMEs.
• Generar sugerencias de la estructuración e implementación de la función de la auditoría en
informática dentro de las PyMEs.
• Generar guías de revisión sobre los controles principales para el aprovechamiento de las
TI en las PyMEs. dependiendo de los niveles de riesgo que se tiene en la empresa.
• Proporcionar ejemplos de guías y metodologías de revisión del cumplimiento de
procedimientos, normas y controles establecidos en la visión de las PyMEs.
1.3 Técnicas e instrumentos de medición
Para sustentar el desarrollo de esta tesina se recurrió a las técnicas e instrumentación que a
continuación se listan:
Exploratoria
La investigación exploratoria se define como la recolección de información mediante mecanismos
informales y no estructurados. Se propone obtener datos y hacer observaciones básicas que
permitan delimitar un problema. Esta investigación está diseñada para obtener un análisis
preliminar de la situación con un mínimo de costo y de tiempo. El diseño se caracteriza por la
flexibilidad para ser sensible a lo inesperado y descubrir otros puntos de vista no identificados
previamente. Se emplean enfoques amplios y versátiles. Estos incluyen las fuentes secundarias de
información, observación, entrevistas con expertos, entrevistas de grupos con especialistas e
historias de casos.
Esta investigación tiene por objeto ayudar a que el investigador se familiarice con la situación del
problema, identifique las variables más importantes, reconozca otros cursos de acción, proponga
pistas idóneas para trabajos posteriores y puntualice cuál de esas posibilidades tiene la máxima
prioridad en la asignación de los escasos recursos presupuestarios de la empresa, la finalidad de
5
los estudios exploratorios es ayudar a obtener, con relativa rapidez, ideas y conocimientos en una
situación.
La investigación exploratoria es adecuada en situaciones de reconocimiento y definición del
problema. Una vez que el problema se ha definido claramente, la investigación exploratoria puede
ser útil para la identificación de cursos alternativos de acción.5
• Recolectar la información necesaria de fuentes de información confiables
• Analizar y clasificar la información obtenida
• Filtrar y estructurar dicha información
• Adecuar la información para el desarrollo de la investigación
• Determinar la importancia de la auditoría en informática en las PyMEs
• Desarrollar un modelo de auditoría en informática en base a la información recabada
Documentales
La técnica documental permite la recopilación de información para enunciar las teorías que
sustentan el estudio de los fenómenos y procesos. Incluye el uso de instrumentos definidos según
la fuente documental a que hacen referencia. Consiste primordialmente en la presentación
selectiva de lo que expertos ya han dicho o escrito sobre un tema determinado. Además, puede
presentar la posible conexión de ideas entre varios autores y las ideas del investigador.6
1.4 Universo y/o muestra
De acuerdo a los resultados de los Censos Económicos 2004, en 2003 había en México 3 millones
5 mil 157 unidades económicas que realizaron alguna actividad económica objeto del censo, en las
cuales laboraron 16 millones 239 mil 536 personas. De estos totales, el 97.3% de las unidades
económicas y el 88.7% del personal ocupado corresponden en conjunto a la industria
manufacturera, al comercio y a los servicios.7
Las cifras de los Censos Económicos 2004 muestran que el uso de la tecnología informática es
mayor entre más grandes son las empresas: el uso de Internet en la relación con clientes y
proveedores registró que el 60.3% de las empresas pequeñas lo utilizó, en tanto en las medianas
5 www.mitecnologico.com 6 www.gestiopolis.com 7 www.inegi.gob.mx 9 www.cipi.gob.mx
6
fue 74.3% y en las grandes 79.8 por ciento. El mayor uso de la tecnología informática se presentó
en los procesos administrativos, donde las empresas medianas que lo utilizaron fueron 92.5% y las
grandes 94.6 %.
Las cifras de los Censos Económicos 2004 también permiten conocer algunos temas generales
sobre el uso de la tecnología (innovación e investigación) en los negocios. Las unidades
económicas con más de 101 personas, que están en el rango de empresas grandes 66 de cada
100 utilizaron equipo informático en el desarrollo de programas para mejorar procesos. En la figura
1.3 se muestra la grafica relacionada a las unidades económicas que usaron equipo informático e
Internet en algunos de sus procesos al año 2003:
Micro (0 a 10) Pequeña (11 a30) Mediana (31 a 100)
Grande (101 y mas personas)
4.1%
60.3%
74.3%79.8%
6.9%
83.9%92.5% 94.8%
2.5%
34.7%
47.3%55.8%
2.2%
34.5%
48.1%
66.3%
Unidades EconomicasInternet en su relacion con clientes y proveedores
En procesos administrativos
En procesos tecnicos o de diseño
En desarrollo de programas para mejorar procesos
Fig. 1.3 Comisión Intersecretarial de Política Industrial. 20099
Para efectos de este trabajo de investigación se tomo como muestra las empresas PyMEs de
México que hacen uso de las tecnologías de información para la realización de los procesos de
cada empresa.
7
1.5 Justificación
En las PyMEs, la informática no gestiona la empresa sino que ayuda a la toma de decisiones y que
además participa en base a la función de la auditoría en informática en las PyMEs, la cual no sólo
es una evaluación cuyo fin es detectar errores y señalar fallos, sino que se convierte en un examen
crítico que se realiza con el fin de evaluar la eficacia y eficiencia de la empresa.
Actualmente no hay estudios que comprueben que la práctica de auditoría se está desarrollando o
llevando a cabo en las PyMEs, es por esto que hemos decidido realizar esta investigación con el
propósito de determinar cuál es la importancia de la función de la auditoría en informática y
promover ésta función dentro de dichas empresas.
Es importante subrayar que un modelo de auditoría en informática, es independiente de que la
empresa siga o no funcionando de la misma forma, es decir no tiene carácter ejecutivo, ni son
vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes.
Aunque actualmente ya existen marcos de mejores prácticas a este respecto, dichos marcos
fueron desarrollados basados en grandes economías; es decir, basados en empresas cuyas
características les permiten realizar grandes inversiones en cuanto a la adquisición de
infraestructura y tecnologías de información se refiere y por ende estos marcos no pueden ser
aplicados de la misma forma para la realización de auditorías en informática en las PyMEs.
Debido al desconocimiento de las tendencias en las TI así como las metodologías de auditoría en
Informática, surge en las PyMEs la necesidad de contar con modelo (actualmente inexistente) que
sirva de guía de auditoría en informática y recomiende una mejor gestión de la administración de
los controles, procesos, en el manejo de la Información su confidencialidad, integridad y
disponibilidad basada en las necesidades y objetivos de las organización que contenga elementos
de análisis, de verificación y de exposición de debilidades y disfunciones, y que por ende les
permita alcanzar sus objetivos y competir en esta nueva era llamada globalización. Al desarrollar
un modelo que sirva de guía de AI basada en PyMEs, permitirá emitir sugerencias y planes de
acción para eliminar las disfunciones y debilidades antedichas (recomendaciones).
CAPITULO II Panorama general de las tecnologías de información
(TI), Auditoría en informática y las PyMEs en México.
En este capítulo se definen los conceptos generales de las PyMEs, en su estratificación y entorno
global, así como el panorama general de las TI y los riesgos que conlleva el uso de las mismas, de
la seguridad, enfocándose a la seguridad en informática, el rol que juega dentro de las
organizaciones y el significado de la auditoría en informática conforme a sus funciones y
metodologías.
A continuación se lista el contenido temático de este capítulo:
2.1 PEQUEÑA Y MEDIANA EMPRESA
Concepto de PyMEs
2.2 PANORAMA GENERAL DE LAS TECNOLOGÍAS DE INFORMACIÓN
Conceptos de TI y características, La importancia de las TI en la actualidad, La gestión de
las TI, Seguridad de las TI y Definición y Clasificación de Riesgos en el uso de las TI.
2.3 AUDITORÍA EN INFORMÁTICA
Concepto de Auditoría, Tipos de Auditoría en informática, Normas de Auditoría, Funciones
de Auditoría en Informática y Metodologías de Auditoría en Informática.
8
CAPITULO II Panorama general de las tecnologías de información (TI), Auditoría en informática y las PyMEs en México.
2.1 Pequeña y Mediana Empresa
Debido a que las PyMEs en la historia han funcionado como grandes generadores económicos de
países, donde México no es la excepción; ya que desde hace mucho tiempo estas empresas han
constituido los ingresos principales de muchas familias mexicanas, además de que significan un
apoyo para las siguientes generaciones y el crecimiento de las mismas, es por ello la importancia
de tener en claro los conceptos que engloban la temática en este caso, para entender y tener una
visión más amplia sobre lo que se quiere dar a conocer, por lo tanto los siguientes puntos nos
apoyan a entender el panorama general de las PyMEs.
2.1.1 Concepto de PyMEs
Pequeña y mediana empresa (conocida también por su acrónimo PyME), es una empresa con
características distintivas, tienen dimensiones con ciertos límites ocupacionales y financieros
prefijados por los Estados o Regiones. Son agentes con lógicas, culturas, intereses y espíritu
emprendedor específico10.
PyME es la abreviatura de pequeña y mediana empresa. Las PyMEs son empresas que llegan a
tener problemas por mala administración o planeación, están limitadas en sus recursos por ser
pequeñas y medianas empresas. Sin embargo, tienen un potencial muy grande por la gran
flexibilidad que tienen y la lealtad de sus colaboradores11.
Por lo tanto definiremos PyME, para efectos de esta investigación: A la abreviatura de pequeña y
mediana empresa. En lo general las empresas tienen algún límite de facturación o empleados o
una combinación de ambas, así mismo se dividen o clasifican por medio de diferentes rubros.
10 es.wikipedia.org 11 www.pyme.com.mx
9
2.1.2 Estratificación de las PyMEs
Estratificación de empresas por tamaño. Se define con base al número de empleados y al sector
económico en el cuál se desempeña (Fig. 2.1). En México, la estratificación de empresas por
tamaño se establece con base en el sector económico y el número de empleados. La clasificación
vigente se presenta a continuación12:
Tamaño Sector Manufacturero Sector Comercial Sector Servicios
Micro Empresa 0 – 10 empleados 0 – 10 empleados 0 – 10 empleados Pequeña Empresa 11 – 50 empleados 11 – 30 empleados 11 – 50 empleados
Mediana Empresa 51 – 250 empleados 31 – 100 empleados 51 – 100 empleadosGrande Empresa 251 – en adelante 101 – en adelante 101 – en adelante
Fig. 2.1 Diario Oficial de la Federación, 30 de Diciembre de 2002
La estratificación se desprende de la Ley para el Desarrollo de la Competitividad de la Micro,
Pequeña y Mediana Empresa, aprobada por el Congreso de la Unión en 2002. Según Nacional
Financiera las Pequeñas y Medianas Empresas se clasifican de acuerdo a la siguiente tabla (Fig.
2.2):
Tamaño SectorRango de número
de trabajadores
Rango de monto de ventas anuales
(mdp)Tope máximocombinado*
Micro Todas Hasta 10 Hasta $4 4.6 Comercio Desde 11 hasta 30 Desde $4.01 hasta $100 93 Pequeña Industria y servicios Desde 11 hasta 50 Desde $4.01 hasta $100 95 Comercio Desde 31 hasta 100Servicios Desde 51 hasta 100 Desde $100.1 hasta $250 235 Mediana Industria Desde 51 hasta 250 Desde $100.1 hasta $250 250
Fig. 2.2 www.nafin.com. Nacional Financiera Banca de Desarrollo. 2009
2.1.3 Características de las PyMEs
De manera habitual, no todas las PyMEs comparten casi siempre las mismas cualidades; por lo
tanto, se podría decir que las características generales con las que cuentan son:
12 www.cipi.gob.mx
10
• Un gran porcentaje de las PyMEs en México tiene una estructura de empresa familiar, por
lo que sus necesidades en cuestiones de dirección y administración de la empresa son
diferentes a las de un negocio tradicional.13
• Su número de trabajadores empleados en el negocio crece y va desde uno hasta 250.
• Utilizan poca maquinaria y equipo, se siguen basando más en el trabajo que en el capital.
• Dominan y abastecen un mercado local o regional.
• Cerca del 90 por ciento de las empresas de este estrato no cuenta con algún tipo de
certificación de calidad (ISO), lo cual conlleva efectos negativos sobre su integración a
cadenas productivas y su posibilidad de exportar. Lo mismo aplica para metodologías de
mejora de calidad y productividad.14
• Obtienen algunas ventajas fiscales por parte del Estado, que algunas veces las considera
en el régimen de pequeños contribuyentes, dependiendo de sus ventas y utilidades.15
• La tasa de aprobación de créditos por parte de la banca comercial es relativamente alta en
las PyMEs, cercana al 75 por ciento en promedio. Aquellos empresarios que no recibieron
el crédito, aducen que una de las razones principales es la falta de garantías, y16
• Apenas el 9 por ciento de las PyMEs está involucrado en la actividad exportadora (la
distribución entre sectores es variable, ya que para el sector manufacturero, el 21 por
ciento de las empresas si exporta). Sin embargo, al cuestionar los motivos (ajenos a la
empresa) por los que no se exporta, los empresarios señalan la lentitud y el exceso de
trámites aduaneros, así como la lentitud en el reembolso de impuestos. 17
Además, para tener un concepto más claro, a manera de resumen se mencionan algunos de los
elementos más importantes y la manera en que afectan a estas empresas, como se muestra en la
siguiente Fig. 2.3:
Elemento Descripción
Estructura Los criterios para establecer el tamaño de una empresa no son
importantes. Su estructura orgánica es familiar.
Tecnología La mayor parte de las empresas utilizan sistemas de producción tradicional,
aún no están aplicando procesos automatizados.
Dirigente El típico director es un hombre de edad con 14 años de escolaridad y es
empresario por herencia. En su actitud de dueño-administrador, la
13 www.Observatorio PyME México. CIPI. Primer Reporte de Resultados 2002 14 www.Observatorio PyME México. CIPI. Primer Reporte de Resultados 2002 15 Ángeles, Xavier. PYMES Pequeñas y Medianas Empresas, pág. 21 16 Ibídem 17 Ibídem
11
simplificación de las operaciones es negativa para la empresa.
Medio Ambiente Sostiene relaciones con: proveedores, clientes, competencia, asociaciones,
bancos, gobierno y algunos despachos profesionales de consultoría.
Problemática a la
que se enfrentan
Los problemas más difíciles a los que actualmente se enfrentan son:
recursos humanos, deficiencias impositivas del gobierno, falta de seriedad
de los proveedores, escasez de materias primas de calidad, mercados
reducidos, falta de financiamiento, alta competencia y deficiente
organización.
Valores y Objetivos Para la mayoría de los directores, el objetivo principal es maximizar
utilidades. Los procedimientos administrativos son sumamente
personalizados, consisten en la vigilancia estrecha sobre las operaciones.
La toma de decisiones es centralizada y la ejecución la realizan jefes de
área, a quienes se les responsabiliza por los resultados obtenidos.
Crecimiento y
Planeación
No quieren crecer, la razón principal, se les escapa el control de su
empresa. Por lo que se refiere a la planeación (estratégica), es casi
inexistente.
Administración de
Personal
Ésta área es un gran problema, la realidad es que existe una actitud muy
pasiva en el manejo del personal. Para realizar el reclutamiento, selección,
contratación y capacitación se aplican soluciones informales.
Procesos
Informativos
Lo importante no es estar al día acerca de productos y tecnología. Los
datos los pueden obtener mediante: revistas especializadas, información de
sus clientes, las técnicas administrativas las pueden adquirir por cursos, los
aspectos financieros con otros industriales y banqueros. Fig. 2.3 Ángeles, Xavier. PYMES Pequeñas y Medianas Empresas
Podemos concluir que las PyMEs en México, son un factor de suma importancia para el país, ya
que sustentan la economía nacional, sin embargo, se enfrentan a un futuro incierto, son muchos
obstáculos a vencer y no tan fáciles de superar, es por ello el interés de entender su entorno y la
importancia de su funcionamiento interno.
2.2 Panorama General de las Tecnologías de Información
Las PyMEs que tienen el capital suficiente para invertir en nueva tecnología les es muy fácil
adaptarse a ésta, ya que no se encuentran arraigadas a algún proceso o técnica para la
elaboración de sus productos o servicios, pero la mayoría de estas empresas no cuentan con
mucho presupuesto para las tecnologías, por tanto todas las empresas aunque no lo vean así,
12
tienen la necesidad de contar con la automatización de alguno de sus procesos en cualquiera de
sus áreas, independientemente del sector al que pertenezcan, por lo cual deben de recurrir a las
Tecnologías de Información, y para esto, los siguientes puntos explican algunos conceptos básicos
de las TI.
2.2.1 Conceptos de TI y características
Actualmente, se define a las tecnologías de información TI, según el autor Daniel Cohen, como:
“todas aquellas tecnologías que permiten y dan soporte al diseño, desarrollo, implementación y
operación de los sistemas de información que conforman la infraestructura de la empresa, que
provee una plataforma en la cual se construye y operan los sistemas de información”.18
La tecnología de información, según lo definido por la asociación de la tecnología de información
de América (ITAA) es: "el estudio, diseño, desarrollo, implementación, soporte o dirección de los
sistemas de información computarizados, en particular de software de aplicación y hardware de
computadoras." Se ocupa del uso de las computadoras y su software para convertir, almacenar,
proteger, procesar, transmitir y recuperar la información.19
Así que hablar de las TI es un tema muy amplio, en donde muchas áreas se relacionan dentro de
una organización, y son todo un conjunto, pero de una manera general podemos clasificar a las TI
de la siguiente forma:
• Hardware.- Sistema que forma el equipo computacional, las partes físicas de la
computadora llamadas comúnmente “fierros”. Incluye dispositivos de entrada, dispositivos
de salida, dispositivos de almacenamiento, la unidad central de procesamiento (CPU,
central processing unit), la memoria, los dispositivos de telecomunicación y los dispositivos
de conectividad.20
• Software.- Conjunto de programas que ejecuta una computadora. Estos programas
contienen instrucciones u órdenes, las cuales se encuentran codificadas en un lenguaje
que la computadora comprende. Se clasifica en: software de aplicación y software de
sistema, que a su vez se divide en software de sistema operativo y software de utilerías.21
Adicionalmente las TI cuentan con recursos que son importantes describir, desde el punto de vista
de la Metodología de COBIT, estos recursos son los que se muestran a continuación (Fig. 2.4)
18 Cohen Daniel, Asín Enrique. Tecnologías de información en los negocios. Pág. 85 19 www.itaa.org 20 Cohen Daniel, Asín Enrique. Op Cit. Pág. 85 21 Ibídem
13
Fig. 2.4
Los recursos de TI son administrados por procesos de TI, los cuales permiten al área de
informática la entrega de servicios para que la organización pueda cumplir con sus objetivos. La
norma UNIT-ISO/IEC 20000 impulsa el uso de un enfoque integral de gestión de procesos para
brindar servicios que satisfagan las necesidades de los clientes y requerimientos del negocio.
Al hablar de las TI debemos considerar un entorno en donde se interrelacionan los recursos de TI.
Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los
requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT, el marco
conceptual se puede abordar desde tres puntos de vista: los criterios de información, los recursos
de TI y los procesos de TI. Estos tres puntos de vista se muestran en el Cubo de COBIT como se
muestra a continuación (Fig. 2.5):
Datos Aplicaciones Infraestructura Personal
Sistemas informáticos
para procesar la información datos en su sentido más
amplio
Procedimientos y
Manuales
Todos los objetos de datos en su sentido más
amplio
Habilidades, conocimiento y
productividad del personal para ejecutar los
procesos de TI
Hardware y Software de base y
elementos de comunicaciones que junto con las
aplicaciones conforman los servicios de TI
14
Fig. 2.5 COBIT 3rd Edition Framework IT Governance Institute
2.2.2 La importancia de las TI en la actualidad
En la actualidad, los negocios se vuelven más competitivos por varios aspectos, entre los que
destacan: el incremento de su eficiencia productiva, la mejora en la calidad de sus productos y
servicios y cualquier respuesta positiva inmediata que se tenga ante las necesidades del cliente.
Para poder lograr estos objetivos, muchos de los negocios que han tenido éxito en su estrategia ha
sido mediante el uso de tecnologías de información, las cuales han tenido un impacto positivo en el
desempeño de las funciones de estas compañías. Existen formas de medir el impacto que la
inversión en TI está teniendo para los negocios en cuestión y si es o no conveniente invertir lo que
se está pagando por automatizar sus procesos.22 Lo anterior hace necesario que tanto el personal
de la empresa como los administradores comprendan la sinergia que las TI producen. De esta
manera los administradores de empresas impulsaran soluciones con base en las TI.23
Hoy por hoy, los negocios buscan soluciones de información que les permitan competir en el
mercado global; el reto es encontrar métodos eficientes para que las tecnologías de información
reúnan las características que el negocio requiere, es decir, el nivel de asociación de la tecnología
con un planteamiento de cambio en el modelo del negocio.24
22 www.gestiopolis.com 23 Cohen Daniel, Asín Enrique. Op Cit. Pág. 123 24 www.gestiopolis.com
15
El rol de las tecnologías de información en las organizaciones ha cambiado radicalmente de ser un
simple soporte de oficina hasta llegar a formar parte de la estrategia competitiva de la compañía y
de esta manera incrementar la eficiencia operacional, así como mejorar los productos y la calidad
de los servicios que ofrecen. Al implementar nuevas TI, los negocios tendrán una adopción rápida
de tecnología que les permitirá bajar costos y tener un buen control de sus bases de datos de
clientes, proveedores y distribuidores.
En la actualidad, la necesidad de una mejor administración de los recursos de la compañía,
específicamente de los tecnológicos, debido a su gran importancia, requiere de la medición de su
contribución al desempeño de la organización.25
2.2.3 La Gestión de las TI
Ante la necesidad de una gestión de la TI, la Asociación de Auditoría y Control de Sistemas de
Información (ISACA), ha propuesto los Objetivos de Control para la Información y la Tecnología
Relacionada (COBIT) como un modelo de referencia desde un enfoque de control. La misión de
COBIT es investigar, desarrollar, publicar y promover un conjunto de objetivos de control para TI,
con autoridad, actualizados, de carácter internacional. COBIT es el resultado del análisis de
diversos estándares internacionales existentes en el área de control de TI, de los cuales abstrajo
y/o propuso sus definiciones más importantes. 26
La gestión de TI debe estar alineada con la estrategia del negocio, ser su soporte operativo. Así
que mencionaremos 2 puntos muy importantes para dicha actividad:
• La gestión de los procesos de TI tiene como función identificar los procesos claves de la
empresa, para que trabajen de una manera adecuada y funcione como un todo que
gestione la información de forma eficaz y eficiente para la empresa. Un ejemplo claro de
dicha gestión la hace COBIT en sus 4 dominios. Lo importante es que la gestión de los
procesos de TI sea global como un todo en donde todos son procesos claves.
• La gestión de los servicios de TI se refiere a alinear los servicios soportados o entregados
por las TI conforme a las necesidades del usuario, esto surge debido a la necesidad de
calidad de la gestión de los servicios de TI. Tanto ITIL, COBIT y ISO/IEC 20000 hacen
aportaciones muy importantes a esta gestión.
25 www.gestiopolis.com 26 www.itgi.org
16
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que
requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de:
planear, construir, ejecutar y monitorear. Dentro del marco de COBIT, estos dominios, se muestran
en la Fig. 2.6.
Fig. 2.6 COBIT 3rd Edition Framework IT Governance Institute
Podemos concluir que la relación y dependencia de las TI en su entorno requiere de cubrir nuevas
necesidades que surgen de esta dependencia, y ofrecer un servicio de calidad. En la actualidad es
muy difícil contar con marcos de referencia que ayuden a mejorar la gestión de las TI, sobre todo
implementarlas. No olvidemos que estos marcos enfocados hacia la gestión de las TI son: COBIT.
ITIL, ISO/IEC 2000 solo por mencionar los más importantes entre otros.
2.2.4 Seguridad de las TI
El Plan Nacional de Desarrollo 2007-2012 menciona el papel de las TI como estratégico para el
desarrollo e implementación de sistemas de información y comunicación basados en el estado del
arte de la tecnología para enfrentar al crimen que salvaguarde la seguridad nacional.
2.2.4.1 Definición de Seguridad
La seguridad está definida en el diccionario como el conjunto de medidas tomadas para protegerse
contra robos, ataques, crímenes y espionajes o sabotajes. La seguridad implica la cualidad o
Planear y Organizar
Monitorear y Evaluar
Adquirir e Implementa
Entregar y Dar Soporte
17
estado de estar seguro, es decir, la evitación de exposiciones a situaciones de peligro y la
actuación para quedar cubierto frente a contingencias adversas.27
Mangold señala que la seguridad "significa cosas distintas para actores y momentos diferentes
dependiendo de lo que la gente percibe que debe proteger y de la naturaleza de la amenaza
específica".28 En términos generales, según el INEGI, la seguridad puede entenderse como
aquellas reglas, técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es
considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o
empresarial.29
2.2.4.2 La Seguridad en informática
La seguridad en informática es la administración y protección de los recursos de cómputo que tiene
la empresa y a la cual tienen acceso los usuarios. El objetivo es proteger el patrimonio informático
de la Institución, entendiendo por tal, instalaciones, equipos e información, ésta última en todas sus
formas (en cualquier dispositivo de almacenamiento magnético como son los disquetes, discos
duros, cintas, cartuchos, etc.). La seguridad en informática debe de establecer los controles
suficientes para disminuir los riesgos que se generan en el ámbito informático.30
Otra definición de seguridad informática, es una disciplina que se encarga de proteger la integridad
y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe
ninguna técnica que permita asegurar la inviolabilidad de un sistema.31
En este caso en particular, la información es el elemento principal a proteger, resguardar y
recuperar dentro de las redes empresariales. Lo importante es proteger la información. La
seguridad informática se dedica principalmente a proteger la confidencialidad, la integridad y la
disponibilidad de la información.32
• Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos
autorizados.
27 www.mitecnologico.com 28 Aguayo, S. Las seguridades de México y Estados Unidos en un momento de transición, pág. 105 29 www.inegi.gob.mx 30 Álvarez Solís, Francisco Javier. Apuntes seguridad y auditoría 31 definicion.de/seguridad-informática/ 32 www.inegi.gob.mx
18
• Integridad: Ésta se refiere a la seguridad de que la información no ha sido alterada,
borrada, reordenada, copiada, etc., durante el proceso de transmisión o en su propio
equipo de origen.
• Disponibilidad: Se refiere a la seguridad de que la información pueda ser recuperada en el
momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque
doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.
La norma ISO/IEC 27001:2005 nos define los siguientes conceptos:
• Confidencialidad: La propiedad de que la información no esté disponible para personas,
entidades o procesos no autorizados.
• Integridad: La propiedad de salvaguardar la precisión y los activos de forma completa.
• Disponibilidad: La propiedad de ser accesible y usable cuando sea solicitada por una
entidad autorizada.33
Podemos concluir que la seguridad es de suma importancia, se deben cuidar los activos
importantes para la empresa, como bien nos dimos cuenta la información es el activo más delicado
e importante que hay que proteger de daños y ataques por factores externos como personas,
entidades o procesos. Para efectos de esta investigación definiremos la seguridad en informática
como el proceso de administrar, proteger y garantizar que los recursos informáticos de la compañía
sean confiables, íntegros y disponibles, así como también establecer controles suficientes para
disminuir los riesgos, se tiene presente que los riesgos no desaparecerán nunca, pero podemos
minimizarlos.
2.2.5 Definición y Clasificación de Riesgos en el uso de las TI
Compañías como Cisco Systems, Sun Microsystems, Microsoft, Hewlett-Packard, IBM, Intel,
Google, y otras ofrecen financiamiento u oportunidades de investigación así como donación de
equipo/software y capacitación para mitigar los riesgos y promover a las TI como principales
actores del desarrollo en México.
33 www.isaca.org
19
2.2.5.1 Definición de riesgo
Comencemos por definir el concepto de riesgo, el cual proviene de la palabra del latín “risicare” que
significa “atreverse”. En finanzas, el concepto de riesgo está relacionado con la posibilidad de que
ocurra un evento que se traduzca en pérdidas para los participantes en los mercados financieros,
como pueden ser inversionistas, deudores o entidades financieras. El riesgo es producto de la
incertidumbre que existe sobre el valor de los activos financieros, ante movimientos adversos de
los factores que determinan su precio; a mayor incertidumbre mayor riesgo34.
Por otro lado de acuerdo con (COVENIN 2270:1995).el riesgo es “una medida potencial de pérdida
económica o lesión en términos de la probabilidad de ocurrencia de un evento no deseado junto
con la magnitud de las consecuencias”35. Así mismo el riesgo es la amenaza concreta de daño que
yace sobre la gente en cada momento y segundos de sus vidas, pero que puede materializarse en
algún momento o no36.
Para efectos de esta investigación entenderemos por riesgo a la probabilidad de que suceda un
evento, impacto o consecuencia negativos. Así mismo lo entenderemos también como la medida
de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y está
en relación con la frecuencia con que se presente el evento.
Por otro lado riesgo en informática, según la norma ISO 27002:2005, un “riesgo” se entiende como
la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o
daño en un activo de información.37 Así que para los fines de esta tesina, podemos concluir que un
riesgo de TI es cualquier suceso que ponga en peligro los procesos críticos que son soportados por
las TI y afecten de manera significativa a la PyME. Para comprender el entorno de las PyMEs,
debemos abordar su problemática interna: su propio funcionamiento; y dentro del mismo, analizar
el funcionamiento de las TI que contribuyen a ser más competitivos.
2.2.5.2 Clasificación de riesgos de TI
Es importante aclarar que para efectos de esta investigación y al estudio que nos atañe se usa la
siguiente clasificación de riesgos, esto con el fin de dar al lector un panorama general de los
34 www.banxico.org.mx 35 es.wikipedia.org 36 www.definicionabc.com 37 es.wikipedia.org
20
riesgos que afectan a la pequeña y mediana empresa, por lo que usamos la siguiente clasificación
(véase Fig. 2.7):
Fig. 2.7 Clasificación de Riesgos en TI
1) Riesgos en la continuidad del proceso.- Cuando se refiere a riesgos en la continuidad del
proceso, se involucran situaciones que pudieran afectar a la realización del trabajo informático o
incluso que pudieran llegar a paralizarlo, y por consecuencia llegar a perjudicar gravemente a la
empresa o incluso también a paralizarla. Ante los riesgos informáticos las PyMEs necesitan tomar
precauciones con el fin de impedirlos, ninguna compañía está exenta de sufrir un percance que la
afecte negativamente, ya sea un desastre natural o provocado por uno de los empleados.
2) Riesgos de la seguridad lógica.- Son todos aquellos accesos no autorizados a la información
mecanizada mediante técnicas informáticas o de otros tipos. En cuanto a los riesgos de la
seguridad lógica se mencionan los siguientes38:
• Seguridad en el uso de software y los sistemas.
• La protección de los datos, procesos y programas.
• Acceso ordenado y autorizado de los usuarios a la información.
• Así como la administración de usuarios y administradores de recursos de tecnología de
información.
38 Piattini G. Mario y Del Peso Emilio. Op Cit. Pág. 572
En la eficacia del servicio
En la seguridad
física
En la seguridad
lógica
En la continuidad del proceso
En la eficiencia del servicio
Económicos directos
Riesgos de
factor humano
RIESGOS TI
21
Se tienen en cuenta las siguientes consideraciones, basados en la en la norma Nº 305-03 del
Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información
Computadorizados emitido por la Contraloría General de la República, la cual establece las
acciones a considerar en cuanto a la seguridad lógica se refieren a39:
• Restringir el acceso a programas y archivos mediante claves y/o encriptación
• Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto
significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para
realizar su trabajo.
• Asegurarse que los archivos y programas que se emplean son los correctos y se usan
correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la
seguridad de un sistema informático.
• Control de los flujos de entrada/salida de la información. Esto incluye que una determinada
información llegue solamente al destino que se espera que llegue, y que la información
llegue tal cual se envió.
3) Riesgos de la seguridad física.- Se refiere a los controles y mecanismos de seguridad dentro y
alrededor de las TI así como los medios de acceso remoto; implementado para proteger el
hardware y medios de almacenamiento de datos. En general, en cuanto a la seguridad física, se
debe tener en cuenta los riesgos asociados a:
• Acceso no autorizado a servidores y equipos
• Acceso no autorizado a edificios y salas
• Incendio: detección de humos y/o elevada temperatura
• Agua: escapes, goteras, inundación, etc.
• Interrupciones del suministro eléctrico
• Acondicionamiento de temperatura y humedad.40
4) Riesgos de factor humano.- Se refiere a aquellas posibilidades de usos inadecuados de la
información por los empleados. Se puede decir que el factor humano puede ser el eslabón más
débil en toda la cadena de seguridad y se encuentra presente en todos los procesos relacionados
con la seguridad. En todos los procesos informáticos y empresariales existe la implicación de
factores humanos ya sea en la toma de decisiones como en los procesos mismos. Sin embargo, se
presta una atención especial a los ataques externos que provocan daños más o menos
39 www.funcionpublica.org.mx. 40 www.cert.inteco.es
22
cuantificables, cuando la mayoría de los incidentes ocurren dentro de la propia organización por un
error humano, una errónea utilización de los medios de trabajo o por un ataque premeditado, falta
de capacitación o la ausencia de una cultura de seguridad.
5) Riesgos en la eficacia del servicio informático.- Son aquellos que alteren dicha realización o que
afecten a la exactitud de los resultados ofrecidos por el servicio informático. 41
6) Riesgos en la eficiencia del servicio informático.- Son los riesgos que se refieren a la mejor
forma de realizar los procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con el
análisis de estos riesgos mejorar la calidad del servicio. 42
7) Riesgos económicos directos.- Se refiere a aquellas posibilidades de desembolsos directos
inadecuados.
Por lo tanto basados en lo anterior y para efectos que nos ocupan consideraremos que todas las
PyMEs necesitan proteger su información, por motivos intrínsecos del negocio (información sobre
productos, precios, métodos de fabricación, etc.), bien por imperativo legal (LOPD, Nº 305-03, etc.).
2.2.5.3 Tipos de riesgos de TI
Para efectos de esta investigación y se tiene como base el área que nos concierne referente a la
seguridad en informática, empezamos de una manera sintética, puntualizando que el propósito de
la seguridad en informática se puede resumir en asegurar la confidencialidad, la integridad y la
disponibilidad de la información, y que la confidencialidad implica garantizar que la información sea
accesible sólo a aquellas personas autorizadas a tener acceso a la misma, integridad consiste en
salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento, y por
disponibilidad se entiende garantizar que los usuarios autorizados tengan acceso a la información y
a los recursos toda vez que se requiera43.
Esta previsión debe ser pensada en función de dos tipos de riesgos: internos y externos. Los
primeros son aquellos que provienen de la organización o el lugar de trabajo, en oposición a los
que surgen del acceso a Internet (externos). Entre los ejemplos de riesgos internos se pueden
mencionar a las personas del exterior que pudieran tener acceso a las máquinas, o la instalación 41 Piattini G. Mario y Del Peso Emilio, Auditoría Op Cit. pág. 572 42 Ibídem 43 www.siu.edu.ar
23
de programas por parte de los propios empleados que pongan en riesgo, sin intención, sus propias
computadoras y las de la red44.
En cuanto a los riesgos externos el M. en C. Francisco Álvarez Solís comenta “Los riesgos
externos son aquellos que se presentan en el ambiente físico y social que rodea a la empresa y en
el caso a tratar, son aquellos que rodean al área de informática”.45
Por lo anterior se puede decir que los riesgos externos son aquellos comúnmente relacionados con
spyware (aplicaciones que recopilan información sobre una persona u organización sin su
conocimiento), con los virus que llegan a través del correo electrónico, o con el accionar de
crackers. A través de diversos mecanismos es posible tanto ingresar en un sistema y leer
información como dañar un sistema operativo46.
2.3 Auditoría en Informática
La sociedad actual se dirige a vivir en lo que se denomina aldea global, suceso que evoluciona al
género humano en múltiples direcciones, en especial lo referente a las TI. Por lo tanto, la auditoría
debe ser consecuente con tales transformaciones para integrarlas en su campo de acción y
transmutarse, adaptándose a los diferentes cambios económicos y de mercado, para convertirse
en motor de innovación y cambio en pro del mejoramiento continuo en las organizaciones,
respondiendo así a las necesidades de la futura aldea global.
2.3.1 Concepto de Auditoria
La auditoría es la investigación, consulta, revisión, verificación, comprobación y evidencia aplicada
a la empresa. Es el examen realizado por el personal cualificado e independiente de acuerdo con
Normas de Contabilidad; con el fin de esperar una opinión que muestre lo acontecido en el
negocio; requisito fundamental es la independencia.
También se define como la actividad para determinar, por medio de la investigación, la adecuación
de los procedimientos establecidos, instrucciones, especificaciones, codificaciones, estándares, y
otros requisitos, la adhesión a los mismos y la eficacia de su instrumentación.47
44 www.emagister.com.mx 45 Alvares Solís, Francisco Javier. Apuntes de seguridad y auditoría 46 www.siu.edu.ar. 47 De Pablos, C. Dirección y gestión de los sistemas de información en la empresa, pág. 68
24
Otra definición proporcionada por Mario Piattini dice que auditoría es la emisión de una opinión
profesional sobre el objeto sometido a análisis, presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritas.48
2.3.1.1 Concepto de Auditoría en Informática
La auditoría en informática es una extensión del auditor tradicional, puede definirse como la
revisión analítica a la suficiencia de controles establecidos en el ámbito informático, con la finalidad
de disminuir los riesgos y garantizar la seguridad, confiabilidad y exactitud de la información.49
Por otra parte, auditoría en informática también se define como el conjunto de técnicas, actividades
y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la
planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, por
lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a
mejorar en: rentabilidad, seguridad y eficacia.50
Para efecto de la presente tesina se toma el concepto de auditoría en informática como el proceso
de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda
los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos. De este modo la auditoría en informática
sustenta y confirma la consecución de los objetivos tradicionales de la auditoría:
• Objetivos de protección de activos e integridad de datos
• Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también
los de eficacia y eficiencia.51
48 Piattini Mario, Del Peso Emilio. Op Cit. pág. 25 49 Francisco Javier Álvarez Solís. Apuntes seguridad y auditoría 50 www.emagister.com.mx 51 Piattini Mario, Del Peso Emilio. Op Cit. Pág. 26
25
2.3.2 Tipos de Auditoría en Informática
Dentro de la auditoría en informática destacan los siguientes tipos:52
• Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de
los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas
de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección
de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de
los diagramas de flujo.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
• Auditoría de la seguridad: En relación a los datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Con respecto a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.
También está referida a las protecciones externas (arcos de seguridad, vigilantes, etc.) y
protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas
de información.
• Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación
en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Diferentes acepciones de auditoría en informática:53
• Auditoría en informática como soporte a la auditoría tradicional, financiera, etc.
• Auditoría en informática con el concepto anterior, pero añadiendo la función de auditoría de
la función de gestión del entorno informático.
• Auditoría en informática como función independiente, enfocada hacia la obtención de la
situación actual de un entorno de información e informático en aspectos de seguridad y
riesgo, eficiencia y veracidad e integridad.
• Las acepciones anteriores desde un punto de vista interno y externo.
• Auditoría como función de control dentro de un departamento de sistemas.
52 es.wikipedia.org. 53 Piattini Mario, Del Peso Emilio. Op Cit. pág. 32
26
2.3.3 Normas de auditoría
Entenderemos por normas de auditoría a los requisitos mínimos de calidad relativos a la
personalidad del auditor, al trabajo que desempeña y a la información que rinde como resultado de
dicho trabajo, para el presente trabajo clasificaremos en tres rubros a las normas de auditoría
conforme lo define El Consejo Mexicano para la Investigación y Desarrollo de Normas de
Información Financiera (CINIF) y La Federación Internacional de Contadores (IFAC), dichas
normas se clasifican en54:
1) Normas Personales, estas normas son referentes a lo relacionado con la formación del
auditor y se dividen en tres grandes grupos:
Entrenamiento técnico y la capacidad profesional
Cuidado y diligencia profesionales
Independencia
2) Normas de Ejecución del Trabajo, esta división es referente a la ejecución de la función y a
las actividades realizadas.
Planeación y supervisión.
Estudio y evaluación del control interno.
Obtención de evidencia suficiente y competente.
3) Normas de Información, esta división contiene todos los lineamientos referentes a los
papeles de trabajo o legajos, así como los del resumen del resultado final, por lo que se
debe contemplar lo siguiente55:
Se debe de emitir un reporte escrito y firmado cada vez que se concluya con un
examen de auditoría.
Los auditores deberán discutir sus conclusiones y recomendaciones a un nivel
adecuado de la administración antes de emitir su reporte escrito final.
Los reportes deberán ser objetivos, claros, concisos, constructivos y oportunos, así
mismo contendrán el propósito, alcance y resultados de la auditoria y en lo
54 The ACEF’s Report to the Nation on Occupational Fraud & and Abuse. 55 Ibídem
27
aplicable, la opinión del auditor, y además pueden incluir recomendaciones para
mejorar así como el reconocimiento de la ejecución de acciones correctivas.
Pueden ser incluidos en el reporte de auditoría los puntos de vista de los
responsables de las áreas auditadas, respecto de las conclusiones o
recomendaciones del auditor.
El responsable de la función de auditoría deberá revisar y aprobar el reporte final
de la auditoria antes de su emisión y decidirá a quien o quienes les será
distribuido el reporte.
2.3.4 Funciones de la Auditoría en Informática
Hoy en día, con la evolución del uso y creación de las telecomunicaciones y de la informática, ha
propiciado que las comunicaciones, líneas y redes de las instalaciones informáticas, así como el
Software y el Hardware, los procesos de sistema operativo y la seguridad de los sistemas, se
auditen por separado, aunque formen parte del entorno general de sistemas. Dentro de la Auditoria
Informática, existen puntos críticos e indispensables a realizar, lo cual se describen en los
siguientes apartados, la estructura, las funciones y características importantes que contiene ésta.
2.3.4.1 Estructura del área de Auditoría en Informática
La ubicación de la función de auditoría en informática deberá estar englobada con la función de
auditoría interna de dicha organización. En la actualidad existen normativas nacionales e
internacionales, así como buenas prácticas de gobierno corporativo, que establecen o recomiendan
la posición y el rol que debe de tener la función de la auditoría interna en una organización (ver Fig.
2.8)56.
56 Piattini Mario, Del Peso Emilio. Op Cit. pág. 342.
28
Por lo antes mencionado la organización tipo de la auditoría en informática, debe contemplar los
siguientes principios:
1. La localización la cual debe de estar ligada a la localización de la auditoría interna
operativa y financiera, pero debe de tener independencia de objetivos, de planes de
formación y de presupuestos.
2. La organización operativa tipo debe de ser la de un equipo independiente del de auditoría
interna, con la accesibilidad total a los sistemas de información e informáticos, y
dependerán de la misma persona en la empresa, que en cuyo caso deberá ser el director
general o consejero.57
Es importante mencionar que en caso de que exista una dependencia ésta será del máximo
responsable operativo de la organización, nunca del departamento de organización o del sistema,
ni del departamento financiero y/o administrativo. El departamento por otro lado deberá contemplar
una mezcla equilibrada entre sus personas con formación en auditoría y gestión de la organización
y personas con perfil informático, sin embargo este perfil debe ser tratado con un amplio programa
de formación en el cual se debe explicar no solo los objetivos de la función, sino también de la
persona. Este personal debe contemplar entre su titilación la de CISA58 como un elemento básico.
La organización tipo de la función de auditoría en informática deberá cubrir los principales roles que
a continuación se describen:
57 Piattini Mario, Del Peso Emilio. Op Cit. pág. 343. 58 “Certified Information Systems”, certificado otorgado por ISACA.
Órgano de Gobierno
Comité de Auditoría
• Asegura un adecuado control interno • Supervisa a la auditoría interna y externa • Contrata al auditor externo • Supervisa el cumplimiento de las recomendaciones
Auditoría de S. I. • Análisis de Riesgos • Planificación • Evaluación • Recomendación y cumplimiento
Organización
Consejo de Administración
Fig. 2.8 Auditoria de tecnologías y Sistemas de Información
29
• Jefe del Departamento: Desarrolla el plan operativo del departamento, las descripciones de
los puestos de trabajo del personal del cargo, las planificaciones de actuación a corto y
largo plazo, los métodos de gestión del cambio en su función y los programas de formación
individualizados, así como gestionar los programas de trabajo y los trabajos en sí.
• Gerente o supervisor de auditoría en informática: Se encargara de evaluar los riesgos de
cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente
a las personas en cada una de las tareas delegadas.
• Auditor informático: son responsables de la ejecución directa del trabajo, deben tener una
especialización genérica, así como una específica, su trabajo consiste en la obtención de
información, realización de pruebas, documentación del trabajo y diagnostico de
resultados.
Basados en lo anterior, los objetivos que deben cumplir el área o departamento de auditoría en
informática son los siguientes:
• Revisar la existencia y suficiencia de los recursos de información que soportan los
procesos de negocio.
• Validar que los recursos de información apoyen los objetivos del negocio y cumplan con los
requerimientos establecidos.
• Analizar los nuevos riesgos derivados de las nuevas tecnologías y de los negocios.
• Formar y divulgar respecto de los riesgos y amenazas que se derivan de una inadecuada
utilización de los recursos de información. 59
Con base en estos objetivos se trazan dos vertientes que debe ejecutar la función de auditoría en
informática:
• Revisar, evaluar y validar que el control interno de los recursos de información es
adecuado y apoya los objetivos del negocio.
• Identificar nuevos riesgos relativos a las tecnologías de la información difundiendo y
sensibilizando a la organización para que los mitigue de forma adecuada. 60
Por lo tanto la ubicación del área de auditoría en informática deberá estar en un punto del
organigrama de la organización que la dote de total independencia del resto de las demás
59 Piattini Mario, Del Peso Emilio. Op Cit. pág. 343.
30
unidades y además de suficiente autoridad para poder ejercer su labor, por lo que no debe de estar
incluida en el departamento de sistemas de información de una organización, puesto que esto
limitaría claramente su independencia en la ejecución de su labor de auditoría al tener que evaluar
procesos que están bajo su responsabilidad.
En cuanto a la dimensión y restructuración del departamento de auditoría en informática, se deben
de tomar como parámetros el tamaño de la organización, la dependencia, la topología de los
sistemas de información y la ubicación geográfica de los centros productivos o de gestión de la
entidad, la siguiente figura (Fig. 2.9) muestra la posición de la unidad interna de auditoría en la
organización.61
Es importante recalcar que el tamaño del área de auditoría dependerá del tamaño de la
organización, es decir, el número de elementos que conformen dicha área será estipulado por el
comité de dirección.
2.3.4.2 Funciones del área de Auditoría en Informática
Para poder hablar de las funciones de la auditoría en informática, primero debemos señalar la
misión de la misma, el papel que desempeña el personal que la realiza y en base a esto
comprender su finalidad y definir la función de la misma.
61 Ibidem
Fig. 2.9 Auditoría informática un enfoque práctico, 2ª. Edición.
31
La misión de la función de auditoría en informática62 “es proveer a los órganos de gobierno y a los
de gestión de una organización”, es decir, debe de proveer a los órganos de gobierno y a los de
gestión de una organización, de una seguridad razonable que los sistemas de control interno de los
recursos de información de dicha organización estén bien definidos y efectivamente administrados,
para apoyar y ayudar a la creación del valor de una organización.
Por lo anterior es importante que se tome en cuenta la definición del control interno, el cual es
definido por informe COSO63 (Committee Of Sponsoring Organizations) en su primera versión
como: “Un proceso ejercido por el consejo de administración de la entidad, los gestores y otro
personal de la organización, diseñado para proporcionar seguridad razonable respecto a la
consecuencia de los objetivos y dividido en las siguientes categorías”:
• Efectividad y eficiencia de las operaciones
• Confiabilidad de la información financiera
• Cumplimiento con leyes y regulaciones
Se tiene en cuenta que los órganos de gobierno de las organizaciones son los responsables de la
gestión o dirección de la organización de las diferentes unidades de negocio o soporte que existen
dentro de la organización y que estos mismos son responsables de plasmar las metas, objetivos y
las políticas, delimitaremos la responsabilidad de plasmar dichas actividades al comité de dirección
bajo la responsabilidad de un director general.
Dichas actividades se enumeran a continuación64:
1. Verificación del control interno, tanto de las aplicaciones como de los sistemas
informáticos, centrales y periféricos.
2. Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo de
seguridad de gestión y de efectividad de la misma.
3. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las
aplicaciones.
4. Auditoría del riesgo operativo de los circuitos de información.
5. Análisis de la gestión de los riesgos de la información y de la seguridad implícita.
6. Verificación del nivel de continuidad de las operaciones.
62 Piattini Mario, Del Peso Emilio. Auditoría de tecnologías y Sistemas de Información, pág. 350. 63 www.isaca.org. ISACA. 2009 64 Piattini Mario, Del Peso Emilio. Op Cit. Pág. 350.
32
7. Análisis del estado tecnológico de la instalación revisada y de las consecuencias
empresariales que pudiesen darse dentro de la organización.
8. Diagnostico sobre el grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la organización.
A este respecto definiremos como auditor al individuo o persona encargado de evaluar la eficiencia
y eficacia de los sistemas de información dentro de una organización. El auditor tiene la virtud de
oír y revisar, pero debe estar encaminado a un objetivo especifico que es el de evaluar la eficiencia
y la eficacia con que está operando para que, por medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir los errores, en caso de que existan. El auditor
informático es: encargado de la verificación y certificación de la informática dentro de las
organizaciones.65
Es necesario que el personal que desempeña la función de auditoría en informática dentro de la
organización deba cumplir con ciertos requisitos, tanto técnicos como administrativos; por lo que el
auditor debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar
integrado en las corrientes organizativas empresariales que imperan hoy en día, por ende se deben
contemplar las siguientes características dentro de su formación, se tiene en cuenta que debe ser
una mezcla de conocimientos básicos de auditoría financiera y de auditoría general, contemplando
los siguientes aspectos 66:
• “Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de
desarrollo.
• Gestión del departamento de sistemas
• Análisis de riesgo de un entorno informático.
• Sistema operativo (dependiendo de varios factores, pero como factor principal si se va a
trabajar como auditor interno o si se desarrollara como auditor externo).
• Telecomunicaciones.
• Gestión de bases de datos.
• Redes locales.
• Seguridad física.
• Operaciones y planificaron informática; efectividad de las operaciones y del rendimiento de
los sistemas.
65 es.wikipedia.org. 66 Piattini Mario, Del Peso Emilio. Auditoría informática un enfoque práctico. pág. 323.
33
• Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes
de contingencia de la información.
• Gestión de problemas y de cambios en entornos informáticos.
• Administración de datos.
• Ofimática.
• Comercio electrónico.
• Encriptación de datos.
• Conocimientos generales
• Conocimiento de Herramientas
• Conocimiento de Técnicas.
Por lo que de acuerdo con el manual CISA (Certified Information Systems Auditor de 2008)67 “, los
temas o puntos que un auditor debe revisar en la ejecución de su auditoría son:
• Auditoría a la administración del área de tecnología de información.
• Auditoría en Informática a Sistemas en desarrollo, adquisición y mantenimiento.
• Auditoría en Informática a la infraestructura y operaciones: tocante a puntos de Entrega y
Soporte.
• Auditoría en Informática de Seguridad. Buscando proteger las computadoras, los Centros
de Proceso de Datos, la información de los clientes y de la organización.
• Auditoría en Informática a los Activos de Información: Tocante a la revisión al marco de
seguridad de información.
• Auditoría en Informática a la Continuidad del Negocio y Recuperación en caso de
Desastres.68
Por todo lo anterior podemos concluir en que la función de la auditoría en informática debe
mantener en la medida de lo posible los objetivos de revisión que le demande la organización, por
lo que uno de los aspectos más importantes que debe revisar el auditor informático es la seguridad,
el control interno, la efectividad, la gestión del cambio y la integridad de la información, abarcando
así campos de revisión mas allá de los que tradicionalmente se han mantenido; esto es, la revisión
del control interno informático de los servicios centrales y de las aplicaciones.
La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son
vinculantes sus conclusiones, queda a cargo de la empresa tomar las decisiones pertinentes, 67 ISACA, Manual CISA: Certified Information Systems Auditor de 2008 68 ISACA, Manual CISA: Certified Information Systems Auditor de 2008
34
debido a que la auditoría contiene elementos de análisis, de verificación y de exposición de
debilidades y disfunciones, pueden aparecer sugerencias y planes de acción para eliminar las
disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el
nombre de recomendaciones.
2.3.5 Metodologías de Auditoría en Informática
Las metodologías de auditoría en informática están basadas y realizadas por profesionales con un
nivel alto de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y
jurídicas. Los siguientes puntos explican los diferentes tipos de metodologías que existen y se
utilizan en el entorno empresarial, todo esto tiene el objeto de poder entender el contexto de la
propuesta metodológica, es decir, los puntos que se pretenden utilizar en las PyMEs, con el fin de
que el usuario final, pueda aplicarlo en su propia empresa sin necesidad de contratar personal de
auditoría.
2.3.5.1 Conceptos de metodología
El diccionario de la lengua69 define “Método es el modelo de cómo decir o hacer con orden una
cosa”, así mismo define la palabra metodología como: “el conjunto de métodos que se deben
seguir en un trabajo científico o en una exposición doctrinal, que permite abordar esté de forma
organizada y congruente”.
Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado.
Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la
existencia de varias metodologías para llevar a cabo una auditoria informática70.
2.3.5.2 Metodologías de Auditorías en Informática
Las metodologías que normalmente utilizan los profesionales de esta rama dicen mucho de la
manera de entender su trabajo y de la experiencia de los mismos. No obstante es necesario que
para que se alcancen resultados homogéneos es importante que el personal más experto en este
69 Diccionario de la Lengua Española 70 es.wikipedia.org
35
tema adecue o tome en cuenta los puntos de la auditoría para así lograr el resultado homogéneo
esperado. Por otro lado la proliferación de metodologías en todo el mundo y en el control
informático, han coadyuvado a la creación de diversas herramientas metodológicas; como es el
caso del software especializado en las auditorías.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático,
se puede agrupar en dos grandes familias.
• Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del
trabajo, están diseñadas para producir una lista de riesgos que pueden compararse entre
sí con facilidad por tener asignados unos valores numéricos. Estos valores son datos de
probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias
donde el número de incidencias tiende al infinito.
• Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de
trabajo, para seleccionar con base en la experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar el
checklist/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos
recursos humanos y menos tiempo que las metodologías cuantitativas.
Se tiene en cuenta que todas éstas metodologías deben estar con base en un patrón o conjunto de
directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para
auditorias de informática:
• COBIT (Control Objectives for Information and related Technology) es el marco aceptado
internacionalmente como una buena práctica para el control de la información, TI y los
riesgos que conllevan. COBIT se utiliza para implementar el gobierno de TI y mejorar los
controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de
desempeño y resultados, factores críticos de éxito y modelos de madurez.
• ISO 27002, el cual se conforma como un código internacional de buenas prácticas de
seguridad de la información, este puede constituirse como una directriz de auditoría
apoyándose de otros estándares de seguridad de la información que definen los requisitos
de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
• ITIL: “IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores
prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y
adaptadas según necesidades, circunstancias y experiencia de cada proveedor de
servicios.
36
• NIST Serie 800, El NIST (National Institute of Standards and Technology), fundado en
1901, es un organismo federal no regulador que forma parte de la Administración de
Tecnología (Technology Administration) del Departamento de Comercio (Department of
Commerce) de los EE.UU. La misión del NIST consiste en elaborar y promover patrones
de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el
comercio y mejorar la calidad de vida.
• UNE 71502:2004: Norma española certificable, desarrollada en base a BS7799-2:2002,
que establece las especificaciones para los sistemas de gestión de seguridad de la
información. Guarda relación con UNE-ISO/IEC17799:2002 mediante su Anexo A.
Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información,
especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro
del contexto de los riesgos identificados por la organización. 71
71http://www.bsigroup.es
Capítulo III Problemática de la Auditoría en Informática las TI y su importancia dentro de las PyMEs
Dentro del capítulo tres, se describe la situación de las PyMEs en México, entorno a la
globalización de las Tecnologías de Información, así como la problemática que presenta en la
actualidad la función del área de auditoría en informática a nivel nacional e internacional; con
respecto a la realización de auditorías, acorde a la situación actual y las necesidades de las
PyMEs.
A continuación se lista el contenido temático de este capitulo:
3.1 ENTORNO DE LAS PYMES
3.1.1 Entorno global
3.1.2 Situación actual en México
3.2 AUDITORÍA EN INFORMÁTICA EN MÉXICO
3.2.1 Problemática actual de la Auditoria en México
3.3 PRINCIPALES RIESGOS INFORMÁTICOS.
3.3.1 Principales riesgos informáticos para ser auditados.
37
Capítulo III Problemática de la Auditoría en Informática las TI y su importancia dentro de las PyMEs
3.1 Entorno de las PYMES
“En la actualidad la empresa mexicana está compuesta en su mayoría por micros y pequeñas
empresas que conforman más del 95 por ciento del total de la industria, esto demuestra la
importancia que reviste este tipo de empresas, que conforman una parte fundamental en los
procesos de recuperación y de reordenación de la economía nacional y en el cambio estructural del
aparato productivo que el país requiere”. Alan F. Carrasco Dávila (Empresario Mexicano).
3.1.1 Entorno global
Actualmente, los países desarrollados reconocen la importancia de las PyMEs en su propia
estructura productiva, así como su contribución al empleo y el ingreso nacional, su importancia en
el mercado interno y el desarrollo regional.72
A nivel mundial la revalorización del sector PYMES y de las PYMES como unidades productivas de
pequeña escala se dan a partir de los años 70 debido principalmente a cambios estructurales como
el crecimiento de los servicios, es decir, que el antiguo paradigma de que solo son empresas
aquellas unidades de producción que producen bienes o tangibles cambia rotundamente desde
que las facturaciones por servicios de consultorías empresariales, tratamientos clínicos, respaldo o
soporte técnico y la valorización del conocimiento como factor de producción de riqueza; empiezan
a generar riqueza y valor agregado a los intangibles que con el tiempo se comienzan a valorizar
como un activo tanto como las infraestructuras o maquinarias en las principales economías;
paralelamente el crecimiento de los productos informáticos en un contexto en que los cambios se
dan día a día y que la obsolescencia se cuenta por segundos, las empresas se ven en la necesidad
de reducir su tamaño para contar con mayor eficiencia, es decir se hacen pequeños los productos y
se hacen pequeñas las empresas.
Para contar con un mayor panorama estadístico podríamos mencionar que en EEUU el 40% de las
PYMES muere antes de los 5 años, las 2/3 partes pasa a la segunda generación y tan solo el 12% 72 www.consultoriapymes.com
38
sobrevive a la tercera generación. Además existen en los EEUU 22,1 millones de negocios que
generan 129 millones de puestos de empleo y ocupa 5.8 personas por empresa. En otros países
del mundo, considerando a los miembros del G – 7 como es el caso de Japón existen un promedio
de 9.1 millones de pequeñas empresas que generan 67.2 millones empleos, el promedio de
ocupación por empresa es de 7.4 personas. Mientras que en Italia trabajan 5.2 personas por
empresa.73
Alemania cuenta con características interesantes, es donde se realiza más comercio en Europa y
es el mayor inversionista europeo en nuestro país. En aquél país se consideran empresas
pequeñas las que albergan 500 empleados y facturan hasta medio millón de Marcos. 3.3 millones
de empresas cuentan con tales características, representan 69% de la población laboral y el 80%
de los empresarios están educados en esa área empresarial. Otras características son la
renegociación de salarios cada 2 o 3 años, y la similitud de los mismos. 560 mil artesanos, 70 mil
empresas, 670 mil empresas. En 1990 existió la limitación de Alemania oriental.
En Francia son consideradas PyMEs empresas con 10 a 499 asalariados, con ventas hasta por 40
millones de ECUS o 48 millones de dólares. Las pequeñas son de hasta 50 personas y ventas
hasta de 10 millones de dólares. En éste país hay 2.1 millones de empresas. Las secretarías
evidentemente dan apoyo a las PyMEs con programas de apoyo, preparación, facilidades
económicas, estímulos fiscales y fomento a la empresa.
Para España su economía está sustentada en las PyMEs, 95% de las empresas pertenecen a tal
denominación. Albergan el 69% de los empleados y 64% de ventas. El sector servicios ocupa el
49%, 41% de asalariados totales. El sector industrial ocupa el 9.4% y el 17% de los asalariados.
Las cantidades que manejan los canadienses para determinar un negocio pequeño de uno grande
son distintas. Negocio pequeño: 3 millones de dólares al año o hasta 100 empleados; negocio
mediano $16 USD o 500 empleados. El 97% de las empresas encajan en esta categoría, es decir
unos 2.6 millones de asociaciones. Alojan al 60% de la población económicamente activa y 43% de
crecimiento del sector privado.
Hablando de Latinoamérica, No solo en el Perú el sector de la pequeña y microempresa es
revalorizado y tomado en cuenta dentro del escenario económico y el panorama de las nuevas
sociedades. En Chile las pequeñas empresas van de 5 a 44 personas, con un escenario
económico de 750 mil USD en ventas y si una empresa tiene hasta 250 empleados y vende 1.5
millones de dólares es mediana, con un país con 13 millones de habitantes y con un área 73 www.geocities.com.mx
39
aproximada de 800 mil kilómetros cuadrados. La agricultura, turismo y manufacturas son las joyas
de la economía chilena; se localizan en pequeñas regiones y un poco más aisladas del centro del
país. Aquél país ha crecido en comercio y servicios, prueba de ello es que las PyMEs representa el
99% de la producción.74
Las PyMEs en México son la base de la economía mexicana, constituyen el 97% del total de las
empresas, generan el 79% de empleos y generan ingresos del 23% del PIB (Producto Interno
Bruto).75
Como se muestra en la gráfica de la figura 3.1, el 65 por ciento de las PyMEs en México son de
carácter familiar.
Fig. 3.1 Distribución de las PyMEs en México76
Capacitación. La capacitación de los empleados y directivos de las PyMEs resulta ser una práctica importante, como se muestra en la figura 3.2:77
74 www.geocities.com.mx 75 www.gestiopolis.com 76www.cipi.gob.mx 77www.geocities.com.mx
40
Fig. 3.2 Empresas que capacitan al personal78
En la figura 3.3 muestra la escasez en el uso de licencias y patentes. Tan sólo el 24 por ciento de
las PyMEs maneja algún tipo de licencia o patente. La gráfica muestra esta tendencia por sector de
actividad:
Fig. 3.3 Empresas que no tienen licencias79
78www.geocities.com.mx. 79www.geocities.com.mx.
41
La parte de falta de información y apoyos para la exportación, podemos decir que las PyMEs
mexicanas establecen que factores tales como, la escasez y alto costo de fletes, la lentitud en las
operaciones debido a los excesivos trámites aduaneros; así como los altos aranceles en los
mercados de destino han limitado sus exportaciones; ya que únicamente el 9 por ciento de estas
empresas ha logrado consumar esta actividad en los últimos dos años.
3.1.2 Situación actual en México
En la figura 3.4 muestra que el 83 por ciento de las empresas no realiza actividad alguna para
consolidar su presencia en el exterior. Lo anterior se puede apreciar en la gráfica siguiente por
sector de actividad:80
0%10%20%30%40%50%60%70%80%90%
100%
Empresas que no realizan actividad para el exterior
Manufactura
Comercio
Servicios
Fig. 3.4 Empresas que no realizan actividad para el exterior81
80www.geocities.com.mx. 81www.geocities.com.mx
42
Actualmente las PyMEs en México en comparación con las PyMEs en el mundo tienen diferencias,
entre las cuales podemos mencionar:
La estratificación de las PyMEs en otros países del mundo es diversa, pero se toman factores
similares para su clasificación, estos factores son el personal que ocupan y la cantidad de ventas o
ingresos que perciben.
El financiamiento en las PyMEs en otros países del mundo lo tienen contemplado dentro de sus
actividades financieras a diferencia de México que no hay un financiamiento formal y sustentable
para estas empresas. Para la mayoría de los países las PyMEs son su principal base económica
debido a que emplean gran personal para laborar considerando también la cantidad de ingresos
que generan.
3.2 Auditoría en informática en México
La auditoría ha sido tomada y apropiada por diferentes profesiones técnicas y científicas ampliando
su campo de acción, se puede considerar que cualquier asunto de interés es posible de auditar,
razón por la que existe un sinnúmero de diferentes auditorías y de distintos profesionales que la
realizan. La auditoría debe reconocer no sólo el interior de la organización sino su entorno y tomar
acciones para insertar y arraigar la organización en la globalidad, entendiendo que los procesos de
internacionalización y globalización obligan al auditor a ver a la organización como unidad
perteneciente a la sociedad global, por lo tanto la auditoría debe ser el motor que dinamice la
evolución de las organizaciones para su participación globalizada.
3.2.1 Problemática actual de la Auditoria en México
Siempre ha existido la preocupación por parte de las organizaciones por optimizar todos los
recursos con que cuenta la entidad, sin embargo, por lo que respecta a la tecnología informática,
es decir, software, hardware, sistemas de información, investigación tecnológica, redes locales,
bases de datos, ingeniería de software, telecomunicaciones, etc., ésta incorpora una herramienta
estratégica que representa rentabilidad y ventaja competitiva frente a sus competidores en el
mercado, en el ámbito de los sistemas de información y tecnología un alto porcentaje de las
empresas tiene problemas en el manejo y control, tanto de los datos como de los elementos que
almacena, procesa y distribuye.
43
El propósito de la revisión de la auditoría informática es el verificar que los recursos, es decir,
información, energía, dinero, equipo, personal, programas de cómputo y materiales son
adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen.82
Dado el creciente uso de medios electrónicos informáticos como lo es Internet y redes de
comunicaciones, es importante conocer el panorama jurídico actual y el desarrollo en otros países
con realidades tecnológicas o tendencias a las que se acerca México, incluyendo los delitos a
través de estos medios. El proceso de auditoría es clave en la detección (o corrección) de
situaciones inherente a los riesgos de la función informática.
La función de auditoría implica la verificación de lo que “es” contra lo que “debe ser”:
• Se basa en un esquema normativo (Leyes, reglamentos, políticas, estándares,
principios, procedimientos, códigos deontológicos, etc.)
• Las posibles desviaciones en el cumplimiento del esquema normativo por parte del
área auditada deben sustentarse a través de evidencia “suficiente y competente”.83
Entre los aspectos verificados por auditoría en informática se encuentra el software institucional,
cuyo objetivo principal es comprobar que no exista software “ilegal” o copias no autorizadas para la
institución, en este caso se cuenta con especificaciones en la Ley Federal del Derecho de Autor.
Existen aspectos informáticos que no son regulados actualmente por ninguna ley. Cuando se
encuentran irregularidades o inconsistencias dentro de un proceso de auditoría, existen casos en
los que la evidencia documental no es considerada suficiente ni competente, e incluso no se
considera como irregularidad o incluso como delito, tal es el caso del uso de información personal
que se encuentra en bases de datos públicas o privadas.84
La situación Internacional y aspectos legislados:85
• Abuso fraudulento en el procesamiento de información (Austria, Japón)
• Daño de equipo de cómputo y uso ilegal de equipo de cómputo (Japón)
• Lucrar utilizando inadecuadamente bases de datos (Japón, Nueva Zelanda)
• Sabotear negocios ajenos (Japón)
82 www.fcaenlinea.unam.mx 83 www.seguridad.internet2.ulsa.mx 84 www.criptored.upm.es 85www.geocities.com.mx
44
• Piratería y adquisición ilegal de programas (Francia, Alemania, Japón, Escocia, Gran
Bretaña, El Salvador).
• Fraude o robo de información confidencial y programas (Francia, Gran Bretaña,
Austria, Suiza, Japón, Estados Unidos).
• Alteración de programas (Japón, Gran Bretaña).
• Regulación de delitos informáticos (Chile LEY-19223, y como proyecto en El Salvador).
• Proyecto de legislación para proteger la intimidad, dignidad y autodeterminación de los
• ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos
personales (Costa Rica).
Proyectos de legislación:
• Regulación de delitos informáticos (Chile LEY-19223, y como proyecto en El Salvador).
• Proyecto de legislación para proteger la intimidad, dignidad y autodeterminación de los
ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos
personales (Costa Rica).
La situación en México, las leyes relacionadas con la informática:
• Ley Federal del Derecho de Autor
• Ley de la Propiedad Industrial
• Ley Federal de Telecomunicaciones
• Ley de Información Estadística y Geográfica
Instituciones de la Administración Pública Federal con atribuciones vinculadas con la informática:
• Secretaría de Gobernación
• Secretaría de Relaciones Exteriores
• Secretaría de Hacienda y Crédito Público
• Secretaría de Economía
• Secretaría de Comunicaciones y Transportes
• Secretaría de Contraloría y Desarrollo Administrativo
• Secretaría de Educación Pública
• Comisión Federal de Telecomunicaciones
• Consejo Nacional de Ciencia y Tecnología
45
Iniciativas jurídicas en materia informática:86
• 22 de marzo de 2000 en materia de delitos informáticos.
En materia de correo electrónico:
• 28 de abril de 1999
• 15 de diciembre de 1999
• 22 de marzo de 2000
• Proyecto de Norma Oficial Mexicana PROY-NOM-151-SCFI-2001.
Iniciativas jurídicas en materia informática:
• Protección de Datos Personales
• “Ley Federal de Protección de Datos Personales” 14 de Febrero de 2001
• Reformas al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos.
En las diversas actividades que se llevan a cabo en México se han integrado medios tecnológicos
como forma de conseguir los objetivos particulares, la herramienta que sin duda destaca por su uso
es la comunicación remota a través de redes informáticas, en primer plano Internet, este medio ha
sido adoptado por instituciones gubernamentales, educativas, de salud, culturales, políticas,
industriales y principalmente comerciales para desempeñar funciones sustantivas y no sustantivas.
Con relación a la protección que se ofrece a los usuarios por daño o perjuicio en el uso de
tecnología informática, entre los aspectos que se tienen contemplados en la legislación Mexicana
se encuentran los siguientes:
• Piratería de software y su documentación cuyos derechos de autor estén reconocidos.
• Marcas, nombres comerciales, patentes y secretos industriales.
• Regulación de las comunicaciones.
Sin embargo, es importante señalar aquellos aspectos que no son contemplados de manera
expresa en la actual legislación nacional y que por la naturaleza de la actividad informática es
imperioso que sean integradas, entre ellos:
86 www.geocities.com.mx
46
• Tipificación de delitos informáticos.
• Derechos a la confidencialidad de información personal que se encuentra almacenada
en bases de datos públicas o privadas.
• Protección de datos catalogados como confidencial o estratégico.
• Valor de documentos electrónicos en procesos administrativos y judiciales.87
Delitos informáticos: son todas aquellas conductas ilícitas susceptibles de ser sancionadas por el
Derecho Penal, que hacen referencia al uso indebido de cualquier medio informático.
Clasificación de los delitos:88
• Como instrumento o medio:
o Falsificación de documentos
o Alteración de contabilidad
o Planeación o simulación de delitos convencionales (robo, homicidio, secuestro,
fraude, etc.).
o Lectura, robo, copia o alteración de información confidencial.
o Daño de información.
o Acceso y uso no autorizado de recursos de cómputo.
o Sabotaje.
• Como fin u objetivo:
o Bloqueo de sistemas de información
o Destrucción de programas.
o Daño o bloqueo de recursos del sistema (memoria, periféricos, etc.).
o Daño físico a equipo de cómputo.
o Sabotaje político o terrorismo.
o Robo o “secuestro” de soportes de información en medio magnético.
• Otra clasificación de delitos informáticos es la siguiente:
o Delitos contra la intimidad (espionaje y uso de información)
o Delitos contra el patrimonio
o Fraude
o Daño informático
o Violación a la propiedad intelectual e industrial
o Falsedad
87 www.seguridad.internet2.ulsa.mx 88 www.geocities.com.mx
47
Las siguientes gráficas muestran los diferentes delitos que se cometen más frecuentemente debido
a que no hay una importancia en la auditoría en informática:89
8%8%
7%
14%
5%
1%
5%6%11%
7%
11%
17%
Principales Delitos Informáticos
Robo de Propiedad Intelectual
Perdida o robo de dispositivos moviles con datos coorporativos
Negación de servicios u otros ataques a la red
Acceso no autorizado a datos por parte de empleados
Phising/Pharming
Intrusión en la VoIP
Ataques contra sistemas inalambricos o de radiofrecuencia
Redes bot que toman control remoto de recursos IT
Robo de datos de cliente por parte de personas externas
Spam
Spyware/malware (software malicioso)
Virus o Gusanos
Fig. 3.5 Principales delitos Informáticos90
Como se muestra en la Fig. 3.6, una investigación de nivel internacional, patrocinada por McAfee y
realizada por Data monitor, que contó con la participación de más de 1,400 profesionales de IT de
empresas (con al menos 250 empleados) de Estados Unidos, Reino Unido, Francia, Alemania y
Australia, revela lo siguiente:
89www.geocities.com.mx 90www.geocities.com.mx
48
40%
15%
30%
15%
Encuesta Realizada por DataMonitor La Fuga de Informacion es responsabilidad de la personas que trabajan en la Organización
Fugas de Información que se consideran maliciosas
Admitieron no pedir cuentas ni supervisar a los empleados luego de recibir la noticia de que deben de abandonar la empresa
La cifra estimada sobre el costo total anual por la fuga de datos fue de $1.82 millones de dolares
Fig. 3.6 Seguridad de la información91
Por tanto los encuestados calificaron la pérdida intelectual y de información financiera como las dos
clases de bajas más valiosas, con un costo promedio estimado para la segunda de $1.68 millones
de dólares.
3.3 Principales riesgos Informáticos.
En los apartados siguientes, se mencionan los conceptos principales que tienen que ver con el
ambiente de riesgos, así como los principales riesgos informáticos que se auditan en el entorno
empresarial, ayudar a identificar los riesgos oportunamente y poder entender las consecuencias
que pueden tener si no se prevén las amenazas.
3.3.1 Principales riesgos informáticos para ser auditados.
Comencemos por definir el concepto de riesgo en informática ->negocio<- según la norma ISO
27002:2005, un “riesgo” se entiende como la posibilidad de que una amenaza concreta pueda
explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.92 Así que
para los fines de esta tesina, podemos decir que un riesgo de TI, es cualquier suceso que ponga
en peligro los procesos críticos que son soportados por las TI y afecten de manera significativa a la
PyME. Para comprender el entorno de las PyMEs, debemos abordar su problemática interna: su
91McAfee y realizada por Data monitor 92 www.es.wikipedia.org.
49
propio funcionamiento; y dentro del mismo, analizar el funcionamiento de las TI que contribuyen a
ser más competitivos.
Existe una variedad de amenazas y riesgos informáticos y no informáticos, pero los cuales afectan
de igual manera a las empresas, de los cuales las empresas deben tomar las debidas
precauciones, en la Fig. 3.7 se muestran las principales amenazas que hay que considerar para
cualquier empresa por pequeña que sea.
0%10%20%30%40%50%60%70%80%
La Amenaza Considera de Mayor Riesgo
Informaticos
No Informaticos
Fig. 3.7 Principales amenazas informáticas93
Ante los riesgos informáticos las PyMEs necesitan tomar precauciones con el fin de saber cómo
reaccionar ante un ataque, ninguna compañía está exenta de sufrir un percance que la afecte
negativamente, ya sea un desastre natural o provocado por uno de los empleados. Los riesgos se
presentan de formas muy variadas: virus informáticos, fallos de electricidad, errores de hardware y
software, caídas de red, piratas informáticos, errores humanos, incendios, inundaciones, sabotajes
intencionados, etc. Aunque no se pueda prevenir cada una de estos riesgos, el tiempo que tarde en
reaccionar una empresa dependerá la gravedad de sus consecuencias, un ejemplo de esto es
como se visualiza en la figura 3.8.94
93IBM estudio Banca y Finanzas 2009 94 www.google.com.mx/ IBM estudio Banca y Finanzas.
50
Fig.3.8 Interrupciones no programadas en las empresas.95
En la Fig.3.9 muestra un estudio realizado por IBM, a nivel internacional sobre los sectores que
sufren más interrupciones en las actividades de negocio debido a desastres como se muestra
a continuación.
Fig. 3.9 Interrupciones por sector.96
Como información adicional se dice que:
95www.es.wikipedia.org 96I www.es.wikipedia.org
51
• Un informe de la firma de analistas Enterprise Strategy Group indicaba que el mercado
contaba con un promedio del 30 por ciento de fallos en copias de seguridad y de un 50
por ciento en restauración de archivos.97
• Una encuesta realizada por Freedom Dynamics entre más de 700 directivos de TI
europeos, establecía que la pérdida de datos críticos para el negocio y el tiempo de
actividad de los sistemas clave TI son dos de los mayores riesgos a los que se
enfrentan los responsables de Tecnologías de la Información a la hora de planificar. 98
Pensemos seriamente cuánto tiempo podría resistir una PyME en el mercado sin sus
datos, equipos y sistemas TI, y personal; es decir, en cuánto tiempo y de qué forma
podría recuperar su actividad normal.
Dicho lo anterior las PyMEs no están exentas a sufrir este tipo de riesgos, por lo general disponen
de plantillas más reducidas, presupuestos más bajos y entornos informáticos menos complejos que
grandes empresas, pero se ven sometidas a las mismas demandas, por lo que deben optimizar sus
niveles de servicio para apoyar los objetivos comerciales, y adaptar las actividades de sus
departamentos de TI a sus necesidades. Se deben considerar aspectos de la seguridad y verificar
que los riesgos que se asumen no sean muy altos. En caso de ser así, se deberían tomar las
medidas adecuadas para reducir estos riesgos.99
De acuerdo a una encuesta realizada entre 417 personas de distintos ramos empresariales PyMEs,
aplicada por RSA, una división de la compañía EMC, reveló que los empleados ponen en riesgo
información privilegiada de las organizaciones mediante el uso de tecnologías de la información
(TI).100 Por lo que podemos deducir que el factor humano es el eslabón más débil en toda la
cadena de seguridad y se encuentra presente en todos los procesos relacionados con la seguridad,
en todos los procesos informáticos y empresariales.
En consecuencia podemos decir que la relación que tiene la auditoria informática con los riesgos,
es principalmente en la revisión de la existencia de controles y políticas, y en caso de la
inexistencia de estos mismos, recomendarlos; para disminuir los riesgos de que las amenazas
afecten las vulnerabilidades.
97 www.techweek.es 98 www.es.wikipedia.org 99www.cert.inteco.es 100www.mexico.emc.com
Capítulo IV Legislación, Mejores prácticas y herramientas de Auditoría en Informática
El contenido del capítulo define las principales leyes nacionales e internacionales que contempla la
función de auditoría en informática, así como los procesos de la función, desde la planeación
estratégica de las auditorías hasta el establecimiento de comités, con la utilización de regulaciones
y estándares acordes a las mejores prácticas internacionales (COBIT, ISO, etc.), referentes a la
función de auditoría en informática, Así mismo se impulsa una comprensión referente a las
herramientas existentes en el mercado como apoyo a las auditorías en informática, en cuanto al
análisis de riesgos y clasificación de los controles, aplicación de pruebas de cumplimiento y de
pruebas sustantivas, seguimiento y documentación de la auditoría.
A continuación se lista el contenido temático de este capitulo:
4.1 LEGISLACIÓN ACTUAL DE LA AUDITORÍA Legislación Internacional, Ley SOX, Basilea II, PCI y Legislación nacional
4.2 COMITÉS Y ORGANISMOS REGULADORES DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA
Comités Internacionales Reguladores de la Función de Auditoría en Informática, Organismos
Nacionales que regulan la función de Auditoría en Informática,
4.3 MEJORES PRÁCTICAS COBIT, ISO 27000, ISO 19011, ISO / IEC 20000, ITIL e ITIL para PyMEs
4.4 HERRAMIENTAS TECNOLÓGICAS PARA LA AUDITORÍA EN INFORMÁTICA Tecnologías de apoyo a la planeación y seguridad de Auditorías en Informática y Herramientas
tecnológicas para realizar Auditorías en Informática.
52
Capítulo IV Legislación, Mejores prácticas y herramientas de Auditoría en Informática 4.1 Legislación actual de la Auditoría
Debido al creciente uso de medios electrónicos informáticos como lo es el uso de Internet y redes
de comunicaciones, es importante conocer el panorama jurídico actual y el desarrollo en otros
países con realidades tecnológicas o tendencias a las que se acerca México. Por lo que este
apartado presentara algunas definiciones, que describen ciertas leyes mexicanas que regulan
aspectos relativos a la función informática; se citan algunas instituciones gubernamentales con
atribuciones en materia informática y finalmente se presenta la situación actual del derecho
informático en México y la situación en algunos países, destacando la importancia que el marco
jurídico representa para desempañar esa función.
Es importante resaltar que la auditoría en informática a través de la evaluación y control que
realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia de los
sistemas automatizados de manejo de información. Esta función es de vital importancia para el
buen desempeño de los sistemas de información, ya que ayuda a que las tecnologías de
Información cuenten con los controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad.
Así mismo una de las actividades de la auditoría en informática es verificar el software institucional,
con la finalidad de comprobar que no exista software “ilegal” o copias no autorizadas para la
institución, para esta actividad se cuenta con especificaciones en la Ley Federal del Derecho de
Autor. Pero existen aspectos informáticos que no son regulados actualmente por ninguna ley y
que en caso de detectarse inconsistencias o irregularidades en un proceso de auditoría, existen
casos en los que la evidencia documental no es considerada suficiente ni competente, e incluso no
se considera como irregularidad o incluso como delito, tal es el caso del uso de información
personal que se encuentra en bases de datos públicas o privadas. Por lo que es importante
conocer la legislación y regulación de esta función para poder comprender las actividades y la
importancia de la misma, bajo este objetivo se precisan los siguientes apartados con el fin de
esclarecer que organismos y leyes regulan esta función.
53
4.1.1 Legislación Internacional
La creciente demanda de todos los segmentos clave de las TI ha hecho posible un fuerte desarrollo
de las TIC, las compañías europeas están empezando a trasladar su interés en las inversiones que
persiguen una reducción de costes, para concentrarse en inversiones cuyo objetivo es ser más
competitivas gracias a la innovación. La reactivación de los ciclos de ventas hace posible la
expansión del segmento del hardware informático.
Sin embargo, el proceso de integración está teniendo repercusiones en el desarrollo del mercado
de las TIC. La implementación de los Planes de Desarrollo Nacionales repercutirá de igual manera
en estos mercados y alentará el gasto sobre todo por parte de los gobiernos el estamento
educativo y el sector de las PyMEs. El proceso de privatización de las compañías estatales está
prácticamente terminado. No obstante, debido a la emergencia de nuevas zonas industriales y a
las inversiones de compañías extranjeras que ya están implantadas en la zona, las Inversiones
Extranjeras Directas siguen siendo elevadas.
Las nuevas infraestructuras de software superan el crecimiento medio del mercado del software.
Conformidad reglamentaria (por ejemplo, Basilea II, Ley COSO-SOX, PCI y la Normativa
Internacional de Contabilidad [IAS]) contribuye al mantenimiento de esta tendencia. En los servicios
de las TIC, la subcontratación sigue siendo el segmento que crece a mayor velocidad.
Concluyendo en uno de los objetivos recogidos en la edición de 2005 del Observatorio Europeo de
Tecnología e Información (EITO), afirmó Bruno Lamborghini, Presidente del EITO. El EITO destaca
el nuevo papel del escenario multimedia digital y el potencial de desarrollo de las TIC en Europa.101
4.1.1.1 Ley SOX
ISACA ha publicado la segunda edición de la guía IT Control Objectives for Sarbanes-Oxley. Está
especialmente orientado a la Gerencia, gestores de TI, así como profesionales de la auditoría en
general, que tengan que tratar con procesos de validación y conformidad de la Ley Sarbanes-Oxley
(SOX).102
Esta edición contiene la actualización necesaria a raíz de los cambios importantes introducidos por
SEC (U.S. Securities and Exchange Commission) y la PCAOB (The Public Company Accounting
Oversight Board), al emitir dictámenes que complementan aspectos con implicación, entre otros, en
la gestión de riesgo, los controles de aplicación y la evaluación de deficiencias. La Ley Sarbanes-
101 www.infonos.com. 102 www.deltaasesores.com,
54
Oxley está vigente en Estados Unidos desde el año 2002 y su propósito es fortalecer los gobiernos
Corporativos (de las Sociedades Anónimas) y restituir la confianza de los inversionistas. Es ley fue
promovida por el Senador, Paul Sarbanes y el Representante, Michael Oxley.
Se compone por 11 títulos, donde se obliga a cumplir requisitos rígidos para la contabilidad de las
empresas. Los diversos títulos y secciones de SOX definen las responsabilidades de
administración en los reportes anuales y semestrales, el ambiente del control, gestión de riesgo, el
monitoreo y la medición de las actividades de control. La organización encargada de implementar
esta ley y verificar su cumplimiento es la SEC. La ley también obliga a las compañías extranjeras
que cotizan en las bolsas de Estados Unidos y añade nuevas obligaciones para la administración y
las empresas de auditoría. Dentro de esta ley, existen 3 secciones que involucran directamente a
los departamentos de TI, la 302, 404 y 409:
• Sección 302: Responsabilidad Corporativa por los estados financieros: Primera fase de
SOX entró en rigor desde otoño 2003. Esta sección exige que los gerentes financieros y los
gerentes generales certifiquen personalmente y avalen la exactitud de los estados
financieros de la empresa.
• Sección 404: Evaluación de la administración del control interno: Es el requerimiento más
urgente y demandante de SOX para TI y exige que los auditores certifiquen los controles y
procesos de TI requeridos para garantizar los resultados financieros. Esta sección le exige
a los auditores, internos y externos, que certifiquen los controles internos y los procesos
por los cuales los ejecutivos obtienen la información.
• Sección 409: Liberación en tiempo real de la información requerida: Es el requerimiento
más exigente de SOX y está planeado para el futuro. Exige el reporte en tiempo real de
eventos materiales que podrían afectar el desempeño financiero de una compañía. El
aspecto de tiempo en este requerimiento ejercerá presión significativa sobre la
infraestructura actual de TI y las actividades de su administración.103
Para alguna de las empresas PyMEs que por la globalización tengan que cotizar en la bolsa, es un
requisito estar bajo el régimen de esta ley, que por parte de la CNBV se exige su implementación y
regula el cumplimiento de la misma.
103 www.deltaasesores.com.
55
4.1.1.2 Basilea II
El denominado acuerdo de Capital, más conocido como Basilea II, pretende que las entidades
financieras aprovisionen las pérdidas por impago en función de la calidad crediticia de su cartera
de clientes de activo (hipotecas, préstamos personales, etcétera). Para ello, estas compañías
deberán disponer de modelos automáticos de decisión que anticipen el comportamiento de los
clientes y cuantifiquen esa posible pérdida, permitiendo a las entidades medir la rentabilidad de su
cartera de clientes de forma más adecuada. De esta manera podrán ofrecer un tratamiento más
individualizado y aplicar una política de precios que asegure la cobertura de pérdidas y posibilite la
discriminación, premiando a los buenos clientes y penalizando a los malos.104
Basilea establece que estos modelos desarrollados deberán ser implementados por sistemas
software de inteligencia de negocio que ayuden en la mejora de dicha administración del riesgo.
Uno de los puntos críticos para cumplir con la normativa Basilea II tiene que ver con la forma de
administrar la información. Para optimizar los procesos de control del riesgo y elaborar modelos
altamente predictivos no sólo es importante contar con un volumen de datos histórico- significativo,
sino poder integrar todo el proceso de gestión de dicha información.
Una adecuada integración tecnológica supone incorporar a los procesos y sistemas de gestión del
riesgo toda la información disponible que interviene, influye o condiciona, de alguna forma, la toma
de decisión más acertada para resolver las operaciones de crédito. Pero además, para optimizar
los procesos, los distintos accesos deben realizarse de forma automática, siguiendo los workflows
previamente definidos por la dirección de riesgos de la entidad, según su modelo predictivo.105
En definitiva, sin una adecuada integración tecnológica, el objetivo de Basilea II no se verá
cumplido. Los sistemas de gestión del riesgo deben resolver la integración y automatización no
sólo con las agencias de información externas (positivas y negativas), sino con otros sistemas de la
compañía (sistemas de fraude, cobros, clientes, etcétera), de forma que toda la información relativa
a las operaciones crediticias esté bien comunicada y sincronizada. Así, el modelo de decisión de la
compañía se enriquecerá y la toma de decisiones será homogénea, objetiva y precisa.
La principal limitación del acuerdo de Basilea I es que es insensible a las variaciones de riesgo y
que ignora una dimensión esencial: la de la calidad crediticia y, por lo tanto, la diversa probabilidad
de incumplimiento de los distintos prestatarios. Es decir, consideraba que todos los créditos tenían
104 es.wikipedia.org. 105 www.deltaasesores.com.
56
la misma probabilidad de incumplir. Para superarla, el Comité de Basilea propuso en 2004 un
nuevo conjunto de recomendaciones. Éstas se apoyan en los siguientes tres pilares.
1. Pilar I: el cálculo de los requisitos mínimos de capital
Constituye el núcleo del acuerdo e incluye una serie de novedades con respecto al anterior: tiene
en cuenta la calidad crediticia de los prestatarios (utilizando ratings externos o internos) y añade
requisitos de capital por el riesgo operacional. La norma de Basilea I, que exige fondos propios >
8% de activos de riesgo, considerando: (Riesgo de crédito + riesgo de negociación+ riesgo de tipo
de cambio) mientras que ahora considera: (riesgo de crédito + riesgo de negociación+ riesgo de
tipo de cambio + riesgo operacional).106
El riesgo de crédito se calcula a través de tres componentes fundamentales:
• PD, o probabilidad de incumplimiento.
• LGD, o pérdida en el momento de incumplimiento (también se conoce como "severidad").
• EAD, o exposición en el momento del incumplimiento.
El riesgo de crédito se cuantifica entonces como la suma de los RWA correspondientes a cada una
de las exposiciones que conforman el activo de la entidad. Dentro del riesgo de crédito se otorga
un tratamiento especial a los procesos titulares, para las cuales se debe analizar si existe una
transferencia efectiva y significativa del riesgo, y si son operaciones originadas por la entidad o
generados por otras. El riesgo de negociación y el riesgo de tipo de cambio se siguen calculando
conforme a Basilea I.
2. Pilar II: el proceso de supervisión de la gestión de los fondos propios
Los organismos supervisores nacionales están capacitados para incrementar el nivel de prudencia
exigido a los bancos bajo su jurisdicción. Además, deben validar tanto los métodos estadísticos
empleados para calcular los parámetros exigidos en el primer pilar como la suficiencia de los
niveles de fondos propios para hacer frente a una crisis económica, pudiendo obligar a las
entidades a incrementarlos en función de los resultados.
106 es.wikipedia.org.
57
Para poder validar los métodos estadísticos, los bancos estarán obligados a almacenar datos de
información crediticia durante periodos largos, de 5 a 7 años, a garantizar su adecuada auditoría y
a superar pruebas de "stress testing". Además se exige que la alta dirección del banco se involucre
activamente en el control de riesgos y en la planificación futura de las necesidades de capital. Esta
autoevaluación de las necesidades de capital debe ser discutida entre la alta dirección y el
supervisor bancario. Como el banco es libre para elegir la metodología para su autoevaluación, se
pueden considerar otros riesgos que no se contemplan en el cálculo regulatorio, tales como el
riesgo de concretar y/o diversificación, el riesgo de liquidez, el riesgo de liquidez, el riesgo de
pensiones, etc. Para grupos financieros multinacionales se establecen Colegios Supervisores que,
bajo la coordinación del supervisor de la entidad matriz, se encargan de la coordinación
internacional de la supervisión del grupo financiero.
3. Pilar III: La disciplina de mercado
El acuerdo establece normas de transparencia y define la publicación periódica de información
acerca de su exposición a los diferentes riesgos y la suficiencia de sus fondos propios. El objetivo
es:107
• La generalización de las buenas prácticas bancarias y su homogeneización internacional.
• La reconciliación de los puntos de vista financiero, contable y de la gestión del riesgo sobre
la base de la información acumulada por las entidades.
• La transparencia financiera a través de la homogeneización de los informes de riesgo
publicados por los bancos.
Inicialmente la información incluirá:
• Descripción de la gestión de riesgos: objetivos, políticas, estructura. organización, alcance,
políticas de cobertura y mitigación de riesgos.
• Aspectos técnicos del cálculo del capital: diferencias en la consolidación financiera y
regulatoria.
• Descripción de la gestión de capital.
• Composición detallada de los elementos del capital regulatorio disponible.
• Requerimientos de capital por cada tipo de riesgo, indicando el método de cálculo utilizado.
107 es.wikipedia.org.
58
El requisito inicial es que se publique al menos anualmente, aunque es previsible que la frecuencia
será mayor (al menos resumida) y a sus contenidos mínimos se irá añadiendo la información que el
mercado exija en cada momento.
4.1.1.3 PCI
La especificación de normalización de seguridad de datos Payment Card Industry (PCI) Data
Security Standard se ha creado por las principales marcas de tarjetas de crédito con la reciente
incorporación de todas las tarjetas internacionales para proteger la información de los usuarios y
luchar contra la suplantación y otros fraudes que se producen en Internet. Por lo que Visa,
MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de
obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que
operan por Internet, las entidades financieras y las empresas que gestionan medios de pago.108
Toda empresa y/o organización (Por ejemplo: Centros Comerciales, empresas de comercio
electrónico, etc.) que almacenen, procese o transmitan datos de tarjetas de crédito deben cumplir
con la norma de seguridad PCI. Dentro de los requisitos se encuentra compuesto del estándar que
tiene 6 grupos, en los que se definen 12 requisitos para construir una infraestructura confiable para
el procesado de transacciones mediante tarjetas de pago (Fig. 4.1).
Grupos Requisitos
Construir y mantener una
infraestructura segura
Requisito 1: Instalar y mantener una configuración de firewall para
proteger los datos de titulares de tarjetas.
Requisito 2: No emplear configuraciones por defecto en los elementos
de protección
Proteger los datos de los
titulares
Requisito 3: Proteger los datos de titulares de tarjeta almacenados.
Requisito 4: Cifrar las transmisiones de datos de titulares de tarjeta en
redes abiertas y públicas.
Mantener un programa de
gestión de las vulnerabilidades
Requisito 5: Emplear y actualizar periódicamente el software antivirus.
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
108 www.pcisecuritystandards.org.
59
Implementar medidas fuertes
de control de acceso
Requisito 7: Restringir el acceso a los datos de titulares al ámbito de lo
estrictamente necesario para ofrecer el servicio.
Requisito 8: Asignar un identificador único a cada persona con acceso
a equipos de proceso.
Requisito 9: Restringir la seguridad física para acceder a los datos de
titulares
Monitorizar y someter a
pruebas regulares las redes.
Requisito 10: Monitorizar y hacer seguimiento a todos los recursos de
red y a los datos de titulares.
Requisito 11: Probar regularmente la seguridad de los sistemas y
procesos
Mantener una Política de
Seguridad de la Información
Requisito 12: Mantener una política que cubra la seguridad de la
información.
Fig. 4.1 División del estándar PCI.
Los requisitos que exige la Norma de seguridad PCI pueden ser de alguna manera simples, pero
ayudan a formalizar las buenas prácticas o intenciones que las organizaciones ya vienen
realizando, por ejemplo: “Mantener una política de seguridad de la información” es muy vago, pero
va a ser efectivo si es que la política existe, se revisar, actualiza y se vigila su cumplimiento.
Finalmente, con el cumplimiento total de estar norma de seguridad no se pretende decir que la
organización está totalmente “segura” de amenazas o robos de información sensible, pero si se
puede decir que es un marco bien objetivo de poder tener una visión global de los requisitos
mínimos que ayudarían a una empresa a mitigar los riesgos de TI.109
4.1.2 Legislación nacional
Por otro lado México como en muchos países en los que hoy en día la tecnología de información
constituye un medio indispensable para el desempeño de muchas de sus actividades, tales como
la comercial, económica, científica, cultural, etc., se hace presente el término “Derecho informático”
a la actividad legislativa, la cual para efectos de esta tesina se usa la definición propuesta por Julio
Téllez, la cual dice que “es el conjunto de leyes, normas y principios aplicables a los hechos y actos
derivados de la informática”110. Es importante diferenciar el derecho informático del concepto
“Jurídica informática”, la cual ha sido definida por el Dr. Héctor Fix Fierro como “El conjunto de
109 www.pcisecuritystandards.org. 110 Téllez Valdés Julio; Derecho informático, Pág. 175.
60
estudios e instrumentos derivados de la aplicación de la Informática al Derecho, o más
precisamente, a los procesos de creación, aplicación y conocimiento del Derecho”.111
A este respecto México cuenta con las siguientes leyes mexicanas para la regulación de la función
de auditoría en informática:
• La Ley Federal de Telecomunicaciones: Esta tiene por objeto regular el uso,
aprovechamiento y explotación del espectro radioeléctrico, de las redes de
telecomunicaciones, y de la comunicación vía satélite.
• La ley de Propiedad Industrial: En esta se establece la regulación y el otorgamiento de las
patentes de inversión, registros de modelos de unidad, diseños industriales, marcas y
avisos comerciales, declaración de protección de denominaciones de origen, regulación de
secretos industriales y publicación de nombres comerciales, protegiendo así la propiedad
industrial.
• La ley Federal del Derecho de Autor: esta contempla todos los derechos sobre un
programa de computación y su documentación, copias autorizadas y protección de las
bases de datos, así mismo contempla la protección del acceso a la información privada.
• Ley de Información Estadística y Geográfica: Su objetivo es normar el funcionamiento de
los Servicios Nacionales de Estadística y de Información Geográfica y regular el desarrollo
y la utilización permanente de la informática en los servicios nacionales referentes a los
servicios citados.
Así mismo El Código Penal hace aportaciones al respecto, tipifica y sanciona esta conducta en sus
artículos 424 al 429 y la pena va desde 6 meses hasta 10 años de prisión y desde 300 a 20,000
días multa. Y en cuanto a la intervención de correo electrónico, el artículo 167 fracción. VI del
Código Penal Federal sanciona con1 a 5 años de prisión y 100 a 10000 días de multa al que
dolosamente o con fines de lucro, interrumpa o interfiera comunicaciones alambicas, inalámbricas
o de fibra óptica, sean telegráficas, telefónicas o satelitales, por medio de las cuales se transmitan
señales de audio, de video o de datos. Aquí tipificaría el interceptar un correo antes de que llegue a
su destinatario, pero no el abrir el buzón o los correos una vez recibidos.112
111 Rodríguez, Hernández Víctor; La informática jurídica y su papel en el Derecho Mexicano”; Revista electrónica de Derecho informático, www.vlex.com. 112 Código Penal..
61
4.2 Comités y organismos reguladores de la función de Auditoría en Informática
Toda actividad realizada ya sea por hombres o maquinas necesita ser supervisada, con el fin de
que esta logre el objetivo para la cual fue diseñada o establecida y por ende coadyuve al
crecimiento tanto personal, profesional como de cualquier organización. Basados en lo anterior se
han generado o creado comités nacionales e internacionales con el fin de regular la función de
auditoría en informática.
4.2.1 Comités Internacionales Reguladores de la Función de Auditoría en Informática
Se tiene en cuenta que la función de auditoría en informática es “evaluar la función de tecnología
de información y su aportación al cumplimiento de los objetivos organizacionales, con la finalidad
de garantizar la integridad de la información y la continuidad de la organización”113 y por ende es
necesario que alguien regule dicha función existen organismos internacionales reguladores de la
función informática.114
• Business Software Alliance- BSA. Asociación de Negocios en Software.
• Global Information Infraestructure Comision-GIIC. Comisión de la Infraestructura Global de
Información.
• Conferencia de Autoridades Iberoamericanas de Informática (CAIBI).
• Federación Latinoamericana de Informática y Comunicaciones (FLAI).
• European Software Institute – ESI.
• International Council for Information Technology in Government Administration (ICA).
• Organización para la Cooperación y el Desarrollo Económicos (OCDE).
• Pacific Telecommunications Council (PTC).
• Global Inventory Project (GIP): La meta global de este proyecto es la creación de un
inventario multimedia, basado en Internet, de los proyectos nacionales e internacionales,
estudios y otras iniciativas que estén relacionadas directamente con la sociedad de la
información.
• Organización de las Naciones Unidas.
• Programa Sociedad de la Información para Todos (ISAP-UNESCO).
• Organización de las Naciones Unidas para el Desarrollo Industrial (ONUDI).
• Comisión de las Naciones Unidas para el Derecho Mercantil internacional.
• Centro Internacional de Cómputo (ICC).
• Unión Europea. 113 Piattini Mario, Del Peso Emilio. Auditoría de tecnologías y Sistemas de Información, Pág.129. 114 Arellano, Arroyo, Bermejo, López; Tesina “Aseguramiento de la calidad a las auditorías en tecnología de información”, IPN UPIICSA, México 1999.
62
• Information Society Project Office (ISPO).
• Information Society Directorate-General: Sección de la Dirección General para la Sociedad
de Información de la Comisión Europea.
• CORDIS: Centro de información de los programas de investigación y desarrollo
promovidos y financiados por la Comisión Europea.
4.2.2 Organismos Nacionales que regulan la función de Auditoría en Informática
Existen algunos organismos a nivel nacional que regulan dicha función, los mismos que a
continuación se enuncian:
• (CNBV): La Comisión Nacional Bancaria y de Valores, es un órgano desconcentrado de la
Secretaría de Hacienda y Crédito Público (SHCP) con autonomía técnica y facultades
ejecutivas en los términos de la Ley de la Comisión Nacional Bancaria y de Valores, dentro
de sus funciones se incluye que será “su objeto supervisar y regular a las personas físicas
y demás personas morales, cuando realicen actividades previstas en las leyes relativas al
citado sistema financiero (Artículo 2º Ley de la Comisión Nacional Bancaria y de
Valores).115
• AMITI (Asociación Mexicana de la Industria de Tecnologías de Información, A.C.),tiene
como objetivo promover el crecimiento de la industria en beneficio del país, la industria y
los miembros, representar los intereses de la industria buscando un marco legal y
regulatorio que facilite el desarrollo de los negocios, y proporcionar servicios de valor
agregado a la membresía, su misión consiste en "Posicionar a las Tecnologías de
Información (TI) como un claro habilitador de la Competitividad en México".116
• CONDUSEF: La Comisión Nacional para la Protección y Defensa de los Usuarios de
Servicios Financieros es la encargada de las operaciones pasivas en las instituciones de
crédito las cuáles, las podemos definir como todas aquellas obligaciones que contrae la
banca con el público, con otras instituciones, con el fisco (reservas de impuestos), entre
otras.117
A continuación se señalan dichas instituciones y algunas atribuciones que inciden en la
informática:118
115 www.cnbv.gob.mx. 116 www.amiti.org.mx. 117 www.condusef.gob.mx. 118 www.inegi.gob.mx.
63
• Comisión Federal de Telecomunicaciones: Expide las disposiciones administrativas y las
normas oficiales mexicanas en materia de telecomunicaciones, así como elabora y
administra los planes técnicos fundamentales. Por otro lado, es la responsable de
administrar el espectro radioeléctrico y promover su uso eficiente, así como elaborar y
mantener actualizado el Cuadro Nacional de Atribución de Frecuencias. Así como, se
encarga de aprobar los convenios de interconexión entre redes públicas de
telecomunicaciones con redes extranjeras y, en su caso, establece las modalidades a que
deberán sujetarse, así como autorizar la instalación de equipos de telecomunicaciones y
medios de transmisión que crucen las fronteras del país.
• Consejo Nacional de Ciencia y Tecnología: Funge como asesor del Ejecutivo Federal en la
planeación, programación, coordinación, orientación, sistematización, promoción y
encauzamiento de las actividades relacionadas con la ciencia y la tecnología; su
vinculación al desarrollo nacional y sus relaciones con el exterior, así como, fomentar y
fortalecer las investigaciones básicas, tecnológicas y aplicadas que se necesiten y
promover las acciones concertadas que se requieran con los institutos del sector público,
instituciones académicas, centros de investigación y usuarios de las mismas, incluyendo al
sector privado.
• Secretaría de Comunicaciones y Transportes: Otorga concesiones y permisos previa
opinión de la Secretaría de Gobernación para establecer y explotar sistemas de servicios
telegráficos, telefónicos, sistemas y servicios de comunicación inalámbrica por
telecomunicaciones y satélites, de servicio público de procesamiento remoto de datos,
estaciones de radio experimentales, culturales y de aficionados y estaciones de
radiodifusión comerciales y culturales; así como vigilar el aspecto técnico del
funcionamiento de tales sistemas, servicios y estaciones.
• Secretaría de Contraloría y Desarrollo Administrativo: Vigila el cumplimiento, por parte de
las dependencias y entidades de la Administración Pública Federal, de las disposiciones
en materia de planeación, presupuestos, ingresos, financiamiento, inversión, deuda,
patrimonio, fondos y valores.
• Secretaría de Educación Pública: Promueve la creación de institutos de investigación
científica y técnica, y el establecimiento de laboratorios, observatorios, planetarios y demás
centros que requiera el desarrollo de la educación primaria, secundaria, normal, técnica y
superior; asimismo orienta, en coordinación con las dependencias competentes del
Gobierno Federal y con las entidades públicas y privadas el desarrollo de la investigación
científica y tecnológica. Adicionalmente tiene como función organizar, controlar y mantener
64
al corriente el registro de la propiedad literaria y artística. Así mismo vigila con auxilio de
las asociaciones de profesionistas, el correcto ejercicio de las profesiones119.
• Secretaría de Economía: Formula y conduce las políticas generales de industria, comercio
exterior, interior, abasto y precios del país, a excepción de los precios de bienes.
• Secretaría de Gobernación: Entre sus funciones se encuentra la de vigilar el cumplimiento
de los preceptos constitucionales por parte de las autoridades del país, especialmente en
lo que se refiere a las garantías individuales, y dictar las medidas administrativas que
requiere ese cumplimiento.
• Secretaría de Hacienda y Crédito Público: Se encarga de evaluar y autorizar los programas
de inversión pública de las dependencias y entidades de la Administración Pública Federal.
De igual forma coordina y desarrolla los servicios nacionales de estadística y de
información geográfica; establece las normas y procedimientos para la organización,
funcionamiento y coordinación de los sistemas nacionales estadísticos de información
geográfica, así como normar y coordinar los servicios de informática de las dependencias y
entidades de la Administración Pública Federal.
• Secretaría de Relaciones Exteriores: Es la Secretaría de Estado que se encarga de
promover, propiciar y asegurar la coordinación de acciones en el exterior de las
dependencias y entidades de la Administración Pública Federal. Así mismo conduce la
política exterior interviniendo en toda clase de tratados, acuerdos y convenciones en los
que el país sea parte y servicios de la Administración Pública Federal. Así mismo, norma y
registra la propiedad industrial y mercantil, así como regula y orienta la inversión extranjera
y la transferencia de tecnología120.
Con base en todo lo anterior se recalca que la función de auditoría en informática, aunque en teoría
es una práctica que se debe apegar a principios de auditoría en general (independencia de juicio,
evidencia, etc.), deberá siempre ser realizada de manera objetiva e imparcial. Por otro lado si bien
es cierto que la auditoría, cualquiera que sea el campo de acción (administrativa, contable,
informática), debe tener como propósito principal ser una función principalmente de “detección” no
tanto “correctiva”, en caso de detectarse por ejemplo mal uso o abusos de equipos de cómputo,
esquemas de seguridad informático débiles, fraudes, sabotaje, espionaje, robo o daño a la
información de la institución, etc., deberíamos en el mejor de los casos tener elementos para
proteger violaciones a los derechos de autor. Aunque en la actualidad existen aun aéreas de
oportunidad en cuanto a legislación, por lo que es importante mencionar las que actualmente
existen y para ello los apartados siguientes aclararan esta situación.
119 www.inegi.gob.mx. 120 www.inegi.gob.mx.
65
4.3 Mejores prácticas
En este apartado se pretende mostrar el contenido de las principales mejores prácticas existentes
en el mercado al día de hoy y sobre las que nos basaremos como herramientas de apoyo para el
objetivo de este proyecto.
4.3.1 COBIT
COBIT es una de las herramientas del auditor por ser el modelo más utilizado en el mundo para
determinar, con el respaldo de las principales normas y técnicas internacionales, un conjunto de
mejores prácticas para la seguridad, la auditoría, la calidad, la eficacia y la eficiencia en TI.
COBIT121 está basado en los objetivos de control existentes de la Information Systems Audit and
Control Foundation (ISACF) mejorados con los estándares internacionales existentes y emergentes
técnicos, profesionales, regulatorios y específicos de la industria. COBIT fue desarrollado en 1992,
posteriormente en el 2000 se publicó la tercera versión, y por último a fines del 2005 se publica
COBIT 4.0.122, el cual define un objetivo de control como, “una declaración del resultado deseado
o propósito a lograr al implementar procedimientos específicos de control dentro de una actividad
de tecnología informática”.123
El control, que incluye políticas, estructuras organizacionales, prácticas y procedimientos es
responsabilidad de la dirección. Así mismo COBIT 4.1 continúa con un conjunto de 34 objetivos de
control de alto nivel, uno por cada uno de los procesos de tecnología informática, agrupados en
cuatro dominios: planeamiento y organización, adquisición e implementación, entrega y soporte y
monitoreo. Esta estructura cubre todos los aspectos de la información y de la tecnología que la
soporta, al encarar estos 34 objetivos de control de alto nivel y con referencia a las políticas y
estándares de la empresa, el propietario del proceso del negocio puede asegurar que se provee un
sistema de control adecuado para el ambiente de tecnología informática. Al más alto nivel, los
procesos son agrupados naturalmente juntos en dominios. Su agrupamiento natural es a menudo
confirmado como dominios de responsabilidad en una estructura organizacional y está en línea con
el ciclo de administración o ciclo de vida aplicable a los procesos de tecnología informática. 124
Los dominios son definidos de la siguiente forma:
121 www.isacamty.org.mx. 122 www.isacamty.org.mx. 123 www.isacamty.org.mx. 124 www.cpcipc.org.
66
1) Planeamiento y Organización: Este dominio cubre la estrategia y las tácticas y le concierne
la identificación de la forma en que la tecnología informática puede contribuir mejor al logro
de los objetivos del negocio; más aún, la realización de la visión estratégica necesita
planearse, comunicarse y administrarse desde diferentes perspectivas. Finalmente, debe
instalarse una organización apropiada así como una infraestructura tecnológica.
2) Adquisición e Implementación: Para comprender la estrategia de Tecnología Informática,
las soluciones de Tecnología Informática necesitan ser identificadas, desarrolladas o
adquiridas así como implementadas e integradas en el proceso del negocio. Además, se
cubren en este dominio los cambios en y el mantenimiento de los sistemas existentes.
3) Entrega y Soporte: A este dominio le concierne la entrega real de los servicios requeridos,
que cubre desde las operaciones tradicionales sobre aspectos de seguridad y continuidad
hasta el entrenamiento. Para brindar servicios deben instalarse los procesos de soporte
necesarios. Este dominio incluye el procesamiento real de los datos por los sistemas de
aplicación, a menudo clasificados como controles de las aplicaciones.
4) Monitoreo: Todos los procesos de Tecnología Informática necesitan ser evaluados
regularmente en el tiempo en su calidad y cumplimiento con los requerimientos de
control.125
Un objetivo de control, es una definición del resultado o propósito que se desea alcanzar
implementando procedimientos de control específicos dentro de una actividad de tecnología
informática y sistemas de información. A continuación se enuncian los objetivos de control de alto
nivel, que se recomienda a las organizaciones implantar para asegurarse de que se proporciona un
sistema de control adecuado para el ambiente de tecnología de información.126, las tres
dimensiones conceptuales de COBIT son las que se muestran en la siguiente tabla (Fig. 4.2):
DOMINIO PROCESO P001 Definir el Plan Estratégico de IT. P002 Definir la Arquitectura de Información. P003 Determinar la Dirección Tecnológica. P004 Definir la Organización y las relaciones de IT. P005 Administrar la inversión de IT. P006 Comunicar los Objetivos y la Orientación de la Administración. P007 Administrar Recursos Humanos. P008 Asegurar el Cumplimiento con los Requerimientos Externos. P009 Determinar los Riesgos. P010 Administrar proyectos.
Planificar Y
Organizar
P011 Administrar Calidad.
125 www.isaca.org. 126 www.unap.cl.
67
AI1 Identificar Soluciones Automatizadas. AI2 Adquirir y Mantener Software de Aplicación. AI3 Adquirir y Mantener Infraestructura Tecnológica. AI4 Desarrollar y Mantener procedimientos. AI5 Instalar y Acreditar Sistemas.
Adquirir e
Implementar
AI6 Manejar Cambios.
DS1 Definir y Administrar Niveles de Servicio. DS2 Manejar Servicios de Terceros. DS3 Manejar el Desempeño y la Capacidad. DS4 Asegurar Servicio Continúo. DS5 Asegurar Seguridad de Sistemas. DS6 Identificar y Asignar Costos. DS7 Educar y Capacitar Usuarios. DS8 Asistir y Asesorar a los Clientes. DS9 Manejar la Configuración. DS10 Manejar y Problemas e Incidentes. SD11 Manejar Datos. DS12 Manejar Facilidades.
Manejar y dar
Soporte
DS13 Manejar Operaciones. M1 Monitorear el Proceso.
M2 Determinar la Adecuación de Controles Internos. M3 Obtener Garantía Independiente. Monitorear y
Evaluar M4 Proveer Auditoría Independiente. Fig. 4.2 Las tres dimensiones conceptuales de COBIT127
Por lo tanto COBIT es muestra de diversos beneficios como son:
• Incrementar los niveles de confianza.
• Beneficiarse de recomendaciones basadas en mejores prácticas a través de auditorías
independientes desarrolladas en intervalos regulares.
• Alinear a las TI con el negocio.
• Identificar riesgos.
• Administración correcta de los recursos.
• Medir el desempeño.
• Llegar al cumplimiento de metas.
• Incrementar el nivel de madurez de los procesos de la organización.
4.3.2 ISO 27000
La ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization
for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco
de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o
privada, grande o pequeña .Para la adecuada gestión de la seguridad de la información, es
necesario implantar un sistema que aborde esta tarea de forma metódica, documentada y basada
127 www.isaca.org.
68
en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la
información de la organización. Seguidamente se resumen las distintas normas que componen la
serie ISO 27000.128
• ISO/IEC 27000 proporcionará una visión general del marco normativo y un vocabulario
común utilizado por todas las normas de la serie.
• ISO/IEC 27001:2005. Especificaciones para la creación de un sistema de gestión de la
seguridad de la información (SGSI). Publicada en 2005.
• ISO/IEC 27002:2005. Código de buenas prácticas para la gestión de la seguridad de la
información describe el conjunto de objetivos de control y controles a utilizar en la
construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el
2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007.
• ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.
• ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua
y la eficacia de los SGSI.
• ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión
de riesgos en materia de seguridad. Se espera su publicación en breve.
• ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de
certificación de los SGSI. Publicada en 2007.
• ISO/IEC 27007 será una guía para auditar SGSI.
• ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la
norma ISO 27002:2005.
• ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y
sistemas de interconexión de redes de industrias y Administraciones, a través de un
conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.
• ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones
(conocida también como X.1051).
• ISO/IEC 27031 estará centrada en la continuidad de negocio.
• ISO/IEC 27032 será una guía para la cyber-seguridad.
• ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de
comunicaciones.
• ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.
• ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque
proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.129
128 www.iso27000.es 129 www.iso27000.es.
69
La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva
para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC
27001 le ayuda a gestionar y proteger sus valiosos activos de información, es por eso que a
continuación ampliaremos la información relacionada a esta última norma.
ISO/IEC 27001 es la única norma internacional de Auditoría que define los requisitos para un sistema
de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la
selección de controles de seguridad adecuados y proporcionales; ello ayuda a proteger los activos de
información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La
norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar,
mantener y mejorar un SGS I. ISO/IEC 27001 es una norma adecuada para cualquier organización,
grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si
la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la
información (TI). 130
ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo
de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los
clientes que su información está protegida. El hecho de certificar un SGSI según la norma ISO/IEC
27001 puede aportar las siguientes ventajas a la organización:
• Demuestra la garantía independiente de los controles internos y cumple los requisitos de
gestión corporativa y de continuidad de la actividad comercial.
• Demuestra independientemente que se respetan las leyes y normativas que sean de
aplicación.
• Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los
clientes que la seguridad de su información es primordial.
• Verifica independientemente que los riesgos de la organización estén correctamente
identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y
documentación de protección de la información.
• Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la
información.
• El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la
mejora.
130 www.gestiopolis.com.
70
4.3.3 ISO 19011
La compatibilidad de los sistemas de gestión de la calidad, ambiente, de seguridad y salud
ocupacional, permiten aprovechar en forma más eficiente los recursos y mejorar los resultados al
interior de las organizaciones. Donde el éxito de los sistemas integrados de gestión radica en el
incremento de la eficacia, eficiencia y productividad, la reducción de los costos de operación y el
mejoramiento competitivo de las organizaciones.
La norma ISO 19011, plantea un nuevo enfoque para el desarrollo de auditorías en sistemas de
gestión de la calidad, ambiente, seguridad y salud ocupacional. Integra en un solo documento las
guías para auditoría de sistemas de gestión de calidad y ambiente, específicamente la serie ISO
10011 y las guías ISO 14010, ISO 14011, ISO 14012. La guía ISO 19011 requerirá de las
entidades de acreditación y empresas de certificación revisar su protocolo de evaluación y
calificación de auditores (registrados, auditorías de tercera parte).131
El efecto de la ISO 19011 dentro de Internamente las empresas es principalmente reconocer que
las auditorías de tercera parte (proveedor de servicio de certificación) obtiene la potestad de
integrar auditorías ISO 14001 e ISO 9001. También propicia la base para la empresa internamente,
si ha implantado la norma, desarrollar auditores competentes en ambos esquemas de normativa.
No es imperativo para empresas tener auditores calificados exclusivamente en ambas normativas.
Como parte de esta norma se define "hallazgo" como el resultado de una evaluación, luego de la
obtención de evidencia contra un criterio (a auditado). Implica que puede ser conformidad, no
conformidad u oportunidad de mejora - es una decisión a tomar por el equipo auditor. Por lo tanto
"hallazgo" puede tener implicación desfavorable o favorable. Dependerá del esquema aplicado por
el certificador (auditoría de tercera parte) o su empresa al realizar auditorías internas al sistema.
Igualmente puede aplicar favorablemente o desfavorablemente - (ISO 10011 define observación
como un hecho evidenciado durante una auditoría). ISO 19011 ha abandonado el uso del término
"observación" y aplica "evidencia (de auditoría)" la cual se define como registro, dicho, hecho u otra
información la cual es relevante a la auditoría y verificable.132
En resumen, un equipo auditor colecta información (evidencia) para concluir en conformidad o no
conformidad. La opción en vez de aplicar el término observación es "oportunidad de mejora",
específicamente aplicable a auditorías de tercera parte (certificador y otros). La norma ISO 19011, 131 www.iso.org.es. 132 www.iso.org.es.
71
está organizada en 7 capítulos, donde proporciona orientación sobre los principios generales y la
dirección de auditorías de sistemas de gestión de la calidad y medioambientales, así como de la
gestión de los programas y de la cualificación de los auditores. Llaman poderosamente la atención
las disposiciones relativas a los conocimientos y cualidades personales que deberán reunir estos
últimos y, sobre todo, la estructura propuesta para la evaluación de los auditores internos, cuya
implantación en las organizaciones representará un salto cualitativo de excepcional importancia.
La nueva norma ISO 19011 proporciona una guía para que las organizaciones y los auditores
entiendan el enfoque de las auditorías de sistemas de gestión, elaboren y gestionen el programa
de auditorías y busquen la mejora en el desempeño de los auditores a través del desarrollo de su
competencia. Esto implica nuevos retos y cambiar enfoques y criterios con objeto de obtener el
máximo valor agregado de una auditoría para la organización. En resumen la ISO 19011 busca que
las organizaciones perciban el "valor agregado" de las auditorías, es decir, una buena percepción
del valor agregado de las auditorías se logra cuando se tiene cuidado en los siguientes
aspectos:133
• El objetivo y alcance de la auditoría se definen correctamente.
• La planeación corresponde a la complejidad de la organización auditada.
• Los auditores son consistentes y competentes en función de los objetivos, alcance y plan
definido para la auditoría.
• Los auditores no auditan con mayor profundidad "lo que más conocen" y generan un
ambiente positivo.
• No se pierde la objetividad ni la profundidad requerida.
• Se entienden y son claras las no conformidades.
• La comunicación es efectiva y el informe claro y oportuno.
• Los resultados promueven la mejora en cuestiones relevantes para la organización.134
4.3.4 ISO / IEC 20000
Publicada en diciembre de 2005, la norma ISO/IEC 20000 es la primera norma en el mundo
específicamente dirigida a la gestión de los servicios de TI (tecnología de la información). Fue
desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar
los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las
organizaciones. La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el
133 www.gestiopolis.com. 134 www.bsigroup.es.
72
planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de
infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC),
la siguiente figura (Fig. 4.3) muestra cronológicamente la historia de la norma ISO/IEC 20000135.
Fig. 4.3 Cronología de la norma ISO / IEC 20000.
Esta norma describe un conjunto integrado de procesos de gestión para la prestación en forma
eficaz de servicios a los negocios y a sus clientes. La norma ISO/IEC 20000 está alineada y se
complementa con el enfoque por procesos definido dentro de la biblioteca de infraestructura de TI
del Office of Government Commerce, esta se concentra en la gestión de problemas de tecnología
de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se
clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera
también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la
asignación de presupuestos financieros y el control y distribución del software, al respecto la
siguiente figura (Fig. 4.4) muestra el ámbito de actuación de la norma136.
135 Pérez Sánchez, Alejandro M, Gerente Dirección de Tecnología y Sistemas de Telefónica Gestión de Servicios Compartidos Secretario WG25-AENOR-ISO/EC “Gestión y Buen Gobierno de TI, 2009 136 www.segu-info.com.ar.
73
Fig. 4.4 Ámbito de actuación de la norma ISO/IEC 20000
La norma ISO 20000 está basada en un conjunto de documentos, BS 15000-1/2, los que fueron
publicados por el BSI en 2002 y 2003 respectivamente. La norma BS 15000-1 es el resultado de
una versión previa con otras normas internacionales que habían adoptado el enfoque PDCA (plan,
do, check, act). La norma ISO 20000-1 también hace uso del ciclo PDCA y de un enfoque por
procesos para pone énfasis en la importancia de137:
• Comprender y cumplir los requisitos.
• La necesidad de considerar los procesos en términos de su valor agregado.
• Obtener resultados del desempeño y eficacia de los procesos.
• La mejora continua basada en mediciones objetivas.
En cuanto a la gestión de los servicios de tecnología informática (GSTI) es un enfoque integrado
basado en procesos que alinea la prestación de servicios de TI con las necesidades de la
organización que los presta. El enfoque tiene como objetivo poner énfasis en los beneficios para el
usuario final. La GSTI es un gran salto adelante, mejorando intentos previos de gestionar los
servicios de TI como un conjunto de actividades individuales y separadas del resto de las
actividades de una organización.138
El nuevo enfoque se focaliza en la prestación de servicios usando modelos de procesos basados
en las mejores prácticas disponibles, por lo que la norma ISO 20000:2005 describe este conjunto
integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y
a sus clientes. Los procesos en lo que se divide la norma ISO/IEC 20000-2:2005 dan cobertura a 137 Pérez Sánchez, Alejandro M, Gerente Dirección de Tecnología y Sistemas de Telefónica Gestión de Servicios Compartidos Secretario WG25-AENOR-ISO/EC “Gestión y Buen Gobierno de TI, 2009. 138 ISO/IEC 20000-1, Information technology - Service management - Part 1: Specification. 2005.
74
las necesidades del ciclo de vida de los servicios, contemplando muchos de los procesos incluidos
en la versión 2 de ITIL y otros adicionales, algunos de los cuales fueron posteriormente adoptados
por ITIL en su nueva versión 3 publicada dos años más tarde. Es interesante destacar que la
norma no enumera sus requisitos de control, por lo que las cifras pueden variar de acuerdo al
autor.139
La estructura de la norma ISO/IEC 20000-1 usada para la certificación, es la siguiente:
• Alcance.
• Términos y definiciones.
• Requisitos de un sistema de gestión.
• Planificación e implementación de la gestión de los servicios.
• Planificación e implementación de servicios nuevos o modificados.
• Procesos de prestación de los servicios (seis sub-procesos).
• Procesos de comunicación entre los clientes y el prestador del servicio (dos sub-procesos).
• Procesos de resolución de temas presentados por los clientes (dos sub-procesos).
• Procesos de control (dos sub-procesos).
• Procesos de liberación (un sub-proceso).
Así mismo el estándar se organiza en dos partes:140
• Parte 1: ISO/IEC 20000-1:2005 - Especificación. Preparada por BSI como BS 15000-1
• Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas. Preparada por BSI como BS 15000.
La primera parte (Especificación - ISO/IEC 20000-1:2005): Define los requerimientos necesarios
para realizar una entrega de servicios TI alineados con las necesidades del negocio, con calidad y
valor añadido para los clientes, asegurando una optimización de los costes, garantizando la
seguridad de la entrega en todo momento y que se está realizando un ciclo de mejora continuo en
la Gestión de Servicios TI. La especificación supone un completo sistema de gestión (organizado
según ISO 9001) basado en procesos de gestión de servicio, políticas, objetivos y controles. El
marco de procesos diseñado se organiza en base a los siguientes bloques:
• Grupo de procesos de Provisión del Servicio.
139 Pérez Sánchez, Alejandro M, Gerente Dirección de Tecnología y Sistemas de Telefónica Gestión de Servicios Compartidos Secretario WG25-AENOR-ISO/EC “Gestión y Buen Gobierno de TI, 2009. 140 ISO/IEC 20000-1, Information technology - Service management - Part 1: Specification. 2005.
75
• Grupo de procesos de Control.
• Grupo de procesos de Entrega.
• Grupo de procesos de Resolución.
• Grupo de procesos de Relaciones.
Y su alcance incluye141:
• Requisitos para un sistema de gestión.
• Planificación e implantación de la gestión del servicio.
• Planificación e implantación de servicios nuevos o cambiados.
• Proceso de prestación de servicios.
• Procesos de relaciones.
• Procesos de resolución.
• Procesos de control y liberación.
La segunda parte (Código de Prácticas - ISO/IEC 20000-2:2005) representa el conjunto de mejores
prácticas adoptadas y aceptadas por la industria en materia de Gestión de Servicio TI, o código de
prácticas para la gestión de servicios (“Code of Practice for Service Management”), basada en las
mejores prácticas descritas en ITIL y sirve como guía y soporte en el establecimiento de acciones
de mejora en el servicio o preparación de auditorías contra el estándar ISO/IEC 20000-1:2005,
mediante un análisis de la parte 1 y aclarando su contenido.
En síntesis este documento pretende ayudar a las organizaciones a establecer los procesos de
forma que cumplan con los objetivos de la parte 1142. Ante todo, la certificación ISO/IEC 20000
demuestra que una organización dispone de controles y procedimientos adecuados para prestar
coherentemente un servicio de TI de calidad y rentable. A continuación, se enumeran algunas de
las ventajas clave:143
• Los proveedores de servicios de TI responden mejor a los servicios regidos por aspectos
comerciales que a los impulsados por la tecnología.
141 Pérez Sánchez, Alejandro M, Gerente Dirección de Tecnología y Sistemas de Telefónica Gestión de Servicios Compartidos Secretario WG25-AENOR-ISO/EC “Gestión y Buen Gobierno de TI, 2009. 142 ISO/IEC 20000-2, Information technology - Service management - Part 2: Code of practice. 2005. 143 Pérez Sánchez, Alejandro M, Gerente Dirección de Tecnología y Sistemas de Telefónica Gestión de Servicios Compartidos Secretario WG25-AENOR-ISO/EC “Gestión y Buen Gobierno de TI, 2009.
76
• Los proveedores de servicios externos pueden utilizar la certificación como elemento
diferencial y ampliar el negocio, ya que ésta se está convirtiendo cada vez más en un
requisito contractual.
• Ofrece la posibilidad de seleccionar y gestionar a los proveedores de servicios externos
con mayor eficacia.
• Más oportunidades de mejorar la eficacia, fiabilidad y coherencia de los servicios de TI que
repercuten en los costos y el servicio.
• Las auditorías de certificación permiten la evaluación periódica de los procesos de gestión
de servicios, lo que ayuda a mantener y mejorar la eficacia.
• El proceso de certificación puede reducir la cantidad de auditorías a proveedores y
disminuir así los costos.
• ISO/IEC 20000 es completamente compatible con la metodología ITIL (del inglés, IT
Infrastructure Library, biblioteca de infraestructura de TI) de orientación sobre las mejores
prácticas para procesos de gestión de servicios de TI.
4.3.5 ITIL
ITIL son las siglas de una metodología desarrollada a finales de los años 80’s por iniciativa del
gobierno del Reino Unido, específicamente por la OGC u Oficina Gubernativa de Comercio
Británica (Office of Goverment Comerce). Las siglas de ITIL significan (Information Technology
Infrastructure Library) o Librería de Infraestructura de Tecnologías de Información144.
Esta metodología es la aproximación más globalmente aceptada para la gestión de servicios de
Tecnologías de Información en todo el mundo, ya que es una recopilación de las mejores prácticas
tanto del sector público como del sector privado. Estas mejores prácticas se dan en base a toda la
experiencia adquirida con el tiempo en determinada actividad, y son soportadas bajo esquemas
organizacionales complejos, pero a su vez bien definidos, y que se apoyan en herramientas de
evaluación e implementación.
ITIL como metodología propone el establecimiento de estándares que nos ayuden en el control,
operación y administración de los recursos (ya sean propios o de los clientes). Plantea hacer una
revisión y reestructuración de los procesos existentes en caso de que estos lo necesiten (si el nivel
de eficiencia es bajo o que haya una forma más eficiente de hacer las cosas), lo que nos lleva a
una mejora continua.
144 www.librosintinta.com.
77
Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la
documentación pertinente, ya que esta puede ser de gran utilidad para otros miembros del área,
además de que quedan asentados todos los movimientos realizados, permitiendo que toda la gente
esté al tanto de los cambios y no se tome a nadie por sorpresa. En la documentación se pone la
fecha en la que se hace el cambio, una breve descripción de los cambios que se hicieron, quien fue
la persona que hizo el cambio, así como quien es el que autorizo el cambio, para que así se lleve
todo un seguimiento de lo que pasa en el entorno. Esto es más que nada como método con el que
se puede establecer cierto control en el sistema de cambios, y así siempre va a haber un
responsable y se van a decir los procedimientos y cambios efectuados.145
Aparentemente tenemos segmentos del negocio aislados, pero en realidad todos tienen algo que
ver para la obtención de las soluciones. Por ejemplo la prestación de servicios muchas veces no
sería posible sin la gestión de infraestructura, así mismo las perspectivas del negocio no se darían
sin la prestación de servicio y los servicios no serían posibles sin un soporte al servicio. Y el punto
de interacción que se da entre estos segmentos del negocio es la búsqueda de soluciones, donde
lo que se busca es que las perspectivas del negocio estén soportadas en base a la prestación de
servicios; la prestación de servicios requiere que se le dé un soporte al servicio para que este
siempre disponible, la disponibilidad la podemos lograr mediante una gestión de la infraestructura y
en lugar de tener al centro las soluciones vamos a tener a los clientes satisfechos.
ITIL postula que el servicio de soporte, la administración y la operación se realiza a través de cinco
procesos:146
1. Manejo de Incidentes.
2. Manejo de problemas.
3. Manejo de configuraciones.
4. Manejo de cambios y.
5. Manejo de entregas.
4.3.5.1 ITIL para PyMEs
Considerando que ITIL es un marco flexible, y no una doctrina, y que su implementación resulta
complicada incluso para las grandes organizaciones, Normalmente, los recursos de las PyMEs son
utilizados más plenamente que los de las organizaciones mayores, por eso podrán aprovechar ITIL
145 www.librosintinta.com. 146 es.wikipedia.org.
78
para mejorar la productividad. Por ejemplo, en una PyME las funciones de gerente del centro de
servicios y responsable de cambios suelen estar unificadas en una misma persona.
En las grandes organizaciones, estas responsabilidades individuales suelen ser puestos a tiempo
completo a cargo de personas distintas. Normalmente, las PyMEs disponen de menos tiempo y
menos recursos para analizar los procesos empresariales e implementar mejoras de servicio.147
Por consiguiente, para las PyMEs es mucho más fundamental centrar la implementación de ITIL en
las áreas que supongan el máximo de beneficio para la organización. Las mejoras que una
empresa puede realizar en las áreas de gestión de incidentes, problemas, cambios y configuración
son las que suponen mayores mejoras. Son las áreas en las que típicamente es mayor la brecha
entre las prácticas actuales y las buenas prácticas. En ITIL existen otros seis procesos, además del
centro de servicios, pero para las PyMEs una adopción de ITIL a nivel empresarial generalmente
suele ser demasiado complejo, como lo muestra el siguiente diagrama (Fig. 4.5).
Fig. 4.5 Procesos de ITIL
147 documents.bmc.com.
79
Centrándose en estas competencias básicas, las organizaciones pueden optimizar la utilización de
los recursos existentes y eliminar los problemas autogenerados. En un reciente estudio de
prácticas del Help Desk Institute (HDI), el 78% de las organizaciones de asistencia encuestadas
eran responsables total o parcialmente del control de cambio, centrada en las responsabilidades de
disponibilidad y buen funcionamiento de los sistemas.
En la misma encuesta, el 45% de las organizaciones de asistencia manifestaron proporcionar a sus
clientes las herramientas necesarias para resolver sus propios incidentes, haciendo hincapié en el
objetivo de mejorar la utilización de los recursos de soporte. Este porcentaje de clientes que
resuelven sus propios incidentes se ha incrementado desde sólo el 29% de hace dos años atrás.148
Además, mediante la implementación de los procesos básicos de ITIL, las PyMEs también pueden
disponer de estadísticas de gestión mensurables y prestar el concepto de servicio preventivo que
sus actividades requieren. Incluso con solamente los cuatro procesos básicos de ITIL, las PyMEs
suelen implementarlo gradualmente, dado que analizar y mejorar los procesos empresariales en
cuatro áreas diferentes sigue siendo una tarea ímproba; por consiguiente, se recomienda adoptar
este método gradual de adopción de estos principios básicos. Aunque se tardará más en
implementar las mejoras de servicios en los procesos básicos de ITIL, los resultados por lo general
serán una prestación de gestión de servicios de mejor calidad.
4.4 Herramientas Tecnológicas para la Auditoría en Informática
Las técnicas de auditoría asistidas por computadora son de suma importancia para el auditor de TI
cuando realiza una auditoría. CAAT (Computer Audit Assisted Techniques) incluyen distintos tipos
de herramientas y de técnicas, las que más se utilizan son los software de auditoría generalizado,
software utilitario, los datos de prueba y sistemas expertos de auditoría.149
A continuación se enuncian algunas de las normas que el auditor de sistemas de información debe
conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de información
debe estar preparado para justificar cualquier incumplimiento a éstas.
• Normas Internacionales de Auditoría.
• Norma ISA 401, sobre Sistemas de Información por Computadora.
148 documents.bmc.com. 149 www.wikilearning.com.
80
• SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal
Control in a Financial Statement audit).
• La Norma SAP 1009 (Statement of Auditing Practice). 150
4.4.1 Tecnologías de apoyo a la planeación y seguridad de Auditorías en Informática
A continuación se mencionan algunos ejemplos de dicho software:
Planning Advisor151: Este programa ayuda a automatizar el proceso de planeación de la auditoria.
Utilizando este programa se puede identificar y clasificar las áreas de mayor exposición mediante
criterios de evaluación basados en riesgos. Esta herramienta se puede utilizar en combinación con
el Pro audit Advisor como herramienta de ejecución de la planeación. El progreso de toda la
planificación de auditoría puede ser monitorizado en forma centralizada por Planning Advisor.
CobiT Advisor152: Es un programa que automatiza el marco de referencia COBIT. Permite la
definición del personal de trabajo en una auditoria, así como elegir el dominio en el cual se
trabajará es decir Planificación y Organización, Adquisición y Mantenimiento, Desarrollo y Soporte
y Monitoreo, así como los subdominios o procesos por cada dominio. También se pueden definir
los criterios y recursos de información que se evaluarán. Por cada proceso evaluado se tienen los
objetivos de control y las guías de auditoría, así como su respectiva evaluación. Tiene la opción
para adjuntar archivos como papeles de trabajo, muestra las evaluaciones en formato gráfico y
permite generar reportes exportables a Word.
Pro Audit Advisor153: Es una herramienta de papeles de trabajo electrónicos (digitales). Con esta
herramienta se puede:
• Definir el modelo del negocio en múltiples niveles; Determinar evaluación de procesos,
riesgos y control; Identificar y definir riesgos así como el mantenimiento de los controles;
• Detallar los programas de trabajo en procedimientos individuales y desarrollar los papeles
de trabajo apropiados; Analizar los resultados y generar reportes digitales sofisticados en
formatos Word o HTML. 154
150 www.wikilearning.com. 151 www.methodware.com. 152 www.methodware.com. 153 www.methodware.com. 154 www.methodware.com.
81
4.4.2 Herramientas tecnológicas para realizar Auditorías en Informática.
Existen un gran número de herramientas tecnológicas, para realizar auditorías en informática, en
distintos aéreas o ramas a auditar, a continuación se listan algunos ejemplos:
4.4.2.1 Herramientas tecnológicas para auditorias a bases de datos.
SQL Secure: fabricado por BrainTree Security Software, es un conjunto de cuatro herramientas de
software que administran todos los aspectos de seguridad y auditoría de la base de datos en
ambientes cliente/servidor. Está compuesto de cuatro módulos.
a) Password Manager, permite definir los estándares para la asignación de passwords.
b) Audit Manager, para la administración completa de pistas y rastros de auditoría audit trail).
c) Policy Manager, permite evaluar frecuentemente las reglas predefinidas para identificar
debilidades de control, y
d) Database Security Manager, permite la administración de la seguridad de la base de datos.
4.4.2.2 Herramientas tecnológicas para auditorias a Redes.
NETPRO (NMS)155 están diseñados para facilitar la implementación de metodologías ITIL en
Directorio Activo (AD). Proporcionan una herramienta excepcional para que las organizaciones
incorporen controles y buenas prácticas en profundidad de la infraestructura de directorio. En la
estructura ITIL (Information Technology Infraestructure Library), los productos de Netpro permiten a la
organización implementar la automatización y el control en los siguientes ámbitos de gestión:
• Gestión de Configuraciones.
• Gestión de Cambios.
• Gestión de Versiones.
• Gestión de Incidencias, Gestión de Problemas.
• Gestión de Disponibilidad.
• Gestión de Servicios de Tecnología de Información (IT).
155 www.telnetsa.es.
82
Por otro lado las herramientas para redes de Microsoft, o mejor conocidas como de software para
Auditoria de AD, monitorización en tiempo real, así como diagnóstico e investigación de posibles
problemas o degradación de rendimiento del Directorio Activo de Microsoft; se listan a continuación.
ChangeAuditor156 para Directorio Activo: Auditoría y control de seguridad del Directorio Activo.
• Permite auditar e investigar los cambios en la configuración del DA, con una cobertura y
detalle muy superiores a cualquier otro sistema -modificaciones de GPOs, Esquema, Grupo
de administradores, Sites, DCs, Registry setting de DCs, DNS, UOs, etc-.
• Proporciona los valores previos y posteriores a cada cambio.
• Almacena, informa y alerta sobre modificaciones, en tiempo real.
• Proporciona una inteligente consolidación y correlación de eventos del DA.
• Da respuesta a las preguntas asociadas con cada modificación de la configuración del
Directorio Activo, incluyendo: Quién, Qué, Donde, Cuando, Porqué.
• Establecimiento automático de SACLS. Puede configurarse para inmunidad a intentos de
desactivación.
• Diseñado para minimizar el tráfico en la red.
• Facilita el cumplimiento de normativas HIPAA y Sarbanes-Oxley.
• Incluye módulos para integración en MS/MOM, HP/OpenView y soporte de SNMP
Directory Analyzer157: Monitorización y diagnóstico del Directorio Activo.
• Producto especializado en la monitorización y diagnóstico inteligente del Directorio Activo.
• Monitoriza y diagnostica todas las condiciones críticas del DA 7x24.
• Proporciona información sobre las posibles implicaciones de los distintos componentes del DA
en cada incidente.
• Alerta vía SNMP, consola centralizada, log de eventos
DirectoryTroubleshooter158: Investigación, diagnostico y resolución de incidencias en Directorio Activo.
• Añade más de 15 utilidades diseñadas para la investigación de incidencias en el Directorio
Activo.
156 www.telnetsa.es. 157 www.telnetsa.es. 158 www.telnetsa.es.
83
• Proporciona más de 80 test específicos para la localizar el origen de posibles incidentes.
• Lleva a cabo la investigación de posibles problemas examinando los controladores de dominio
y los servidores DNS desde un único cliente, sin agentes servidores, ni servicios, ni programas
adicionales.
• Analiza funciones críticas del directorio, tales como la consistencia de los controladores de
dominio, la consistencia del Operations Master Role, del DNS, etc.
• Presenta los resultados (en XML) en un único interfaz gráfico basado en web, eliminando la
ineficiente y tediosa interpretación manual de la codificación de incidentes.
• Proporciona información en fichero de ayuda, que resulta de gran utilidad en incidentes
complejos.
• Guarda, almacena e imprime los resultados de la investigación de incidentes efectuada.
• Producto especializado en la monitorización y diagnóstico inteligente del Directorio Activo.
DNSAnalyzer159: Diagnostico y monitorización proactivos de DNS.
• Alerta sobre unos 200 posibles problemas diferentes del DNS, incluyendo la validación de los
registros SVR y MX.
• Investiga posibles riesgos para la seguridad del DNS.
• Proporciona test a medida.
• Aconseja soluciones para las incidencias más peligrosas.
• Incluye links inteligentes a la base de conocimientos de Microsoft.
• Proporciona informes detallados sobre los estados críticos del DNS.
• Realiza investigaciones periódicas sobre el entorno del Directorio Activo y del DNS.
RestoreADmin: Creación y planificación de Backups centralizados de objetos de Active Directory. Esta
herramienta le permite restaurar y crear fácilmente backups de AD planificados y online, sin paradas
es los DC de su sistema. De esta forma se conseguirá reducir las paradas en el sistema al mínimo.
Todo esto desde un snap-in dentro de la consola de usuarios y computadoras, tan familiar para los
administradores.
DirectoryLockdown160: Monitorización de seguridad y detección de intrusos en el Directorio Activo.
• Detecta modificaciones no autorizadas en las partes críticas del DA.
159 www.telnetsa.es. 160 www.telnetsa.es.
84
• Paraliza la replicación desde y hacia el DC afectado.
• Recuperación eficiente del DC donde se produjo la intrusión no autorizada.
• Alerta sobre intentos de desactivar o subvertir el propio sistema.
Herramientas para redes NOVELL161: Las herramientas de software para monitorización en tiempo
real y diagnostico e investigación de posibles problemas o degradación de rendimiento del NDS
eDirectory.
DS/Expert162: Monitoriza 7x24 NDS eDirectory de Novell y proporciona alertas en tiempo real.
• Asegura la monitorización permanente y proporciona las alertas detalladas a través de
navegador web o a través de sistemas globales de control.
• Proporciona información detallada para más de 30 condiciones de error.
• Visualiza en tiempo real el árbol completo del eDirectory, incluso a través de conexiones
WAN.
• Proporciona una visualización completa a nivel de sub-tree Señala las tendencias de los tipos
de tráfico.
• Utiliza una arquitectura muy eficiente basada en eventos para enviar las alarmas sin SAPs.
• Muestra mensajes DSTRACER de múltiples servidores.
• Incluye una lista completa de los códigos de error de eDirectory con sus definiciones.
• Permite a los administradores establecer, a medida, los umbrales de las alarmas para
condiciones críticas del eDirectory y retrasar las alarmas de baja prioridad.
• Escalable para redes Netware , Solaris y Windows de cualquier tamaño.
• Puede integrarse con MS MOM y HP OpenView.
DS/Analyzer163: Analiza e investiga posibles incidentes y optimiza NDS eDirector.
• Captura el tráfico de eDirectory y señala las anomalías del mismo.
• Proporciona una excelente base de conocimiento, basados en experiencia práctica, para la
resolución eficiente de los problemas.
• Proporciona estadísticas y gráficos que muestran el tráfico de eDirectory a todos los niveles.
• Señala las tendencias de los tipos de tráfico.
161 www.telnetsa.es. 162 www.telnetsa.es. 163 www.telnetsa.es.
85
4.4.2.3 Herramientas tecnológicas para auditorias a equipos.
PCProfile:164 ofrece consejos prácticos tecnológico de referencia adecuado para las pequeñas y
medianas empresas (PYME / SMB) y Small Office Home Office (SOHO).
PC Express Auditoría Tool 1.0:165 Es un producto de Mantenimiento del Sistema de
expressmetrix.com, consiste en un programa de auditoría desarrollado por PC Express Metrix, con el
fin de detallar de manera completa la gestión de activos de TI, permitiendo realizar fácilmente un
seguimiento del inventario y el uso de los activos de escritorio y herramientas para controlar el acceso
a no autorizados o al mismo tiempo aplicaciones de la licencia. Precisa, informes significativos,
proporciona la información que necesita para tomar buenas decisiones, así como responder de forma
rápida y con confianza a cualquier pregunta, algunas de las funciones de este software son:
• Realiza pruebas de diagnóstico para problemas de rendimiento de la computadora al
visualizar las aplicaciones y servicios en ejecución.
• Identifica la presencia (o ausencia) de actualizaciones de seguridad críticas o revisiones
(hotfixes).
• Determina, si se necesitan actualizaciones para el hardware o el software, y si se cumple con
los requerimientos mínimos.
• Localiza el modelo del dispositivo y/o el número serial cuando se necesiten reemplazos.
4.4.2.4 Herramientas tecnológicas para auditorias de sistemas.
ACL: (Audit Command/Control Language): ACL (Lenguaje de Comandos de Auditoria) es un
software para análisis y extracción de datos más usado en la actualidad. Con ACL los auditores y
profesionales de los negocios pueden transformar grandes cantidades de datos electrónicos en un
conocimiento comercial de valor. Es un software, poderoso y fácil de usar, le permite convertir
datos en información significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar
valor a su organización. Con ACL se podrá realizar la revisión de datos con una cobertura del
100% de los datos, esto significa que se pueden hacer auditorías para toda una población entera,
y no para pequeñas muestras166.
164 www.pcprofile.com 165 www.articlesbase.com. 166 www.acl.com.
Capítulo V Importancia y propuesta de creación y desarrollo del área de Auditoría en Informática basada en PyMEs El presente capitulo determina la importancia de la función de la auditoría en informática para las
PyMEs, en este capítulo por medio del análisis de la necesidad de las PyMEs de implementar
controles en cuanto a la adquisición y explotación de sus TI y mediante el uso del marco regulador
de mejores prácticas existentes para llevar acabo auditorías en informática, se propone un modelo
para PyMEs que ayude a la gestión de controles y evaluación de posibles riesgos, adecuado a la
infraestructura de estas empresas.
A continuación se lista el contenido temático de este capítulo:
5.1 IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA
5.2 CONFORMACIÓN DEL ÁREA DE AUDITORÍA EN INFORMÁTICA
5.2.1 Estructura Organizacional del área de auditoría en informática
5.2.2 Funciones del área de auditoría en informática
5.2.3 Metodologías y herramientas de trabajo
5.2.4 Perfil del auditor
86
Capítulo V Importancia y propuesta de creación y desarrollo del
área de Auditoría en Informática basada en PyMEs
5.1 Importancia de la función de auditoría en informática
Hoy en día, las PyMEs al igual que otras organizaciones utilizan la tecnología de la información
como una herramienta de apoyo para el logro eficaz de los procesos, actividades y tareas
realizadas dentro de la empresa. Donde, gracias a la globalización, la evolución de los sistemas de
información ha sido un aporte para la mejora de los procesos del negocio. Aunque estos procesos
dentro de las PyMEs, no pueden ser comparados con el tamaño y organización de las grandes
empresas, es muy importante crear los controles, si es que no existen, pero sobre todo es
necesario medirlos con el propósito de que puedan ser mejorados y sirvan a la toma de decisiones.
Partiendo de lo anterior, en la mayoría de las PyMEs los procesos dentro de la misma aun no son
automatizados, pero debido a la introducción de la tecnología informática, factor que ha sido
importante y ha generado cambios sustanciales en los negocios, las PyMEs han llegado a tal punto
que los sistemas de información que lo soportan son considerados activos importantes y valiosos
dentro de estas empresas.
De igual manera, la relación que existe entre los procesos de negocio y las tecnologías de
información es evidente, por ello es significativo evaluar la labor realizada por el área de sistemas.
De ahí radica la importancia de la función de auditoría en informática a las TI, con el fin de evaluar
y mejorar la eficacia y eficiencia de las actividades realizadas dentro del área como soporte a la
mejora de los procesos del negocio.
Actualmente, la función de auditoría en informática se considera como el conjunto de técnicas,
actividades y procedimientos destinados a analizar, evaluar, verificar y recomendar en asuntos
relativos a la planificación, control y adecuación del servicio informático en las empresas.
En la PyME, la función de auditoría en informática debe jugar el rol de realizar evaluaciones
periódicas a las TI para conocer el grado de cumplimiento de la labor realizada por el área de
sistemas como un aporte eficaz al logro de los objetivos y metas de la organización. Si no existen
estas evaluaciones no conocemos si realmente las actividades realizadas por éste departamento
87
está contribuyendo de manera efectiva al negocio. Además de conocer si las soluciones
tecnológicas están alineadas con la estrategia de la PyME.
Con base en lo anterior las PyMEs, deben considerar las funciones de la auditoría en informática
como herramientas valiosas para cualquier empresa ya que constituyen un factor importante en la
gestión integral de las organizaciones, generando un alto grado de filiación, así como una elevada
inversión en ellas. Por otra parte, debido al auge de las TI, muchas de las PyMEs cuentan con
sistemas de TI mal diseñados, los cuales pueden convertirse en una herramienta muy peligrosa
para la gestión y la coordinación de las organizaciones. En donde la mayoría de las PyMEs
encuentra difícil contestar preguntas referentes al desempeño del área de sistemas debido al poco
o nulo conocimiento de este nuevo concepto de auditoría.
Es por eso que el desarrollo de una evaluación o auditoría, ayuda a la identificación de las
debilidades de la gestión de sistemas y tecnología informática. En esta tesina, la auditoría en
informática nos muestra algunos indicadores que deben implementarse dentro del área de
sistemas en todas las PyMEs.
El trabajo que se realiza en la auditoría en informática debe contar con un marco de referencia
metodológico, así como con personal altamente capacitado con conocimiento de gestión de
proceso y de informática. Una auditoría mal elaborada puede acarrear consecuencias drásticas
económicamente para la PyME auditada.
Esta tesina demuestra la importancia de la auditoría en informática, especialmente para las PyMEs
quienes con este nuevo concepto de auditoría que se está introduciendo debido al avance
tecnológico, puedan desarrollar un perfil profesional conforme la era digital actual.
Con base a lo anterior a continuación se muestra la conformación del área de auditoría en
informática y debido a la gran importancia se hace una serie de recomendaciones para desarrollar
y establecer el área de auditoría en informática en las PyMEs.
88
5.2 Conformación del área de auditoría en informática
Fig. 5.1 Conformación del área de Auditoría
El área de auditoría en informática dentro de las empresas medianas y pequeñas, juega un papel
muy importante ya que es el área que nos permite tener el control, administración, publicación y
seguimiento de la implementación de los procesos y políticas según la empresa. Retomando lo
antes mencionado, para las PyMEs se contempla a continuación la importancia de la misión y
visión así como las principales funciones que se desempeñan dentro de esta área.
Misión. Brindar a través de la auditoría en informática, la agrupación y evaluación de evidencias
para determinar si los recursos informáticos salvaguardan los activos, mantiene la integridad de los
datos de forma eficaz para cumplir los fines de la PyME y utiliza eficientemente los recursos de TI.
Visión. Consolidar el área de auditoría en Informática, como un área que pueda prever apoyo y
asesoría a las PyMEs, para el cumplimiento de sus objetivos.
89
5.2.1 Estructura Organizacional del área de auditoría en informática
Fig. 5.2 Estructura organizacional
De acuerdo a la investigación realizada en capítulos anteriores, el gerente del área de auditoría
en informática se encarga de las siguientes actividades:
• Desarrolla el plan operativo del área
• Describe las actividades de los puestos de trabajo del personal a su cargo
• Desarrolla los planes de gestión de cambios
• Gestiona los programas de trabajo
• Evalúa la capacidad de las personas a su cargo
El auditor 1 y auditor 2 realizan las siguientes actividades:
• Son responsables para la ejecución del trabajo
• Tienen una especialización genérica y una específica
• Obtener la información, realizar las pruebas, documentar el trabajo, evaluarlo y
diagnosticar los resultados.
Como nota relevante el total del personal que integre el área dependerá de la infraestructura
tecnológica de la PyME.
5.2.2 Funciones del área de auditoría en informática
El área de auditoría en informática, conforme a la investigación realizada durante esta tesina,
deberá realizar las actividades correspondientes a la verificación de los controles internos
establecidos así como seguridad física y lógica; análisis de los riesgos a que está expuesta la
90
información y los equipos y la elaboración de documentación correspondiente al sistema de gestión
de calidad así como procedimientos, planes y políticas que las auditorías solicitan.
Además deberá promover y fomentar la cultura de la seguridad de las TI en las PyMEs, constatar
que se sigan procedimientos que aseguren la confidencialidad, integridad y disponibilidad de los
datos, que prevean las posibles contingencias en cuanto a la seguridad de la información que
administra el área de auditoría, misma que por definición es muy delicada, asimismo que regule la
gestión de la infraestructura y que en general se dedique a guiar el desarrollo y correcto
funcionamiento de los procesos TI de las PyMEs mediante los informes emitidos por las auditorías
correspondientes. A continuación, se listan las funciones principales que esta área deberá llevar a
cabo:
Funciones del Negocio (Negocio, políticas, objetivos, normas, etc.);
• Evaluar la problemática de las PyMEs a través de un pre-análisis de la situación, para la
determinación de los principales riesgos de éstas.
• Evaluar la existencia de políticas, objetivos, normas, metodologías, así como la asignación
de tareas y la adecuada administración de los recursos, humanos e informáticos.
• Comprobar el cumplimiento de mandatos constitucionales, legales y reglamentarios,
políticas, planes y acuerdos normativos que rigen a la entidad.
Planeación de Auditorías:
• Elaborar planes de trabajo para ejecutar auditorías en informática y el desarrollo de
actividades apropiadas que permitan maximizar la eficacia de los procesos.
• Elaborar cuestionarios, encuestas, matrices y herramientas que ayuden al levantamiento
de la información para el debido desarrollo de las auditorías.
• Implementación de los planes de trabajo llevando un control de las actividades a realizar
en tiempos estimados reales.
• Realizar auditorías periódicas y estudios especiales de acuerdo a programas debidamente
respaldados por las normas para el ejercicio profesional de la auditoría interna.
Trabajo de Campo (Ejecución de la Auditoría):
• Evaluar los riesgos y controles establecidos para la búsqueda e identificación de
debilidades, así como de las áreas de oportunidad.
91
• Evaluar sistemas, procedimientos y equipos de cómputo.
• Verificar que los activos, estén debidamente controlados y salvaguardados contra pérdida
y mal uso.
• Evaluar los resultados de los procesos operativos que se realicen para conocer eficiencia y
efectividad con que se han utilizado los recursos.
• Evaluar los controles de seguridad lógica y física que garanticen la integridad,
confidencialidad y disponibilidad de los datos de esta entidad.
• Constatar que el área de sistemas se rija por los procedimientos adecuados para
garantizar el funcionamiento óptimo de la red de trabajo.
Presentación de Resultados:
• Comunicar a dirección los resultados y recomendaciones que resulten de las evaluaciones,
mediante los informes de auditoría.
• Comprobar que se han tomado las medidas correctivas de los informes de la auditoría así
como de las omisiones que al respecto se verifiquen en el seguimiento de los mismos.
• Generar el Archivo de Papeles de Trabajo con la documentación de la auditoría realizada.
A continuación se mencionan las áreas que comprende la ejecución de la auditoría en informática:
• Auditoría a Sistemas de Información,
• Auditoría a las Comunicaciones,
• Auditoría a la Red Física.
• Auditoría a la Red Lógica.
92
5.2.3 Metodologías y herramientas de trabajo
Para el desarrollo de una auditoría en informática, se contemplan las siguientes etapas o pasos a
seguir:
Fig. 5.3 Proceso de Auditoría en Informática
1. Revisión preliminar y conceptos generales de la entidad a auditar
Esta etapa se refiere a la recopilación de información general que se debe obtener sobre la
empresa y sobre el área a auditar, es decir, conocer el negocio y el funcionamiento de forma
general como las funciones desempeñadas dentro del área a auditar. Este conocimiento se
adquiere por medio de algunas herramientas, como cuestionarios, entrevistas, visitas, entre otras,
con el objetivo de obtener la mayor información posible (Nombre de la empresa, giro comercial de
93
la empresa, dirección, misión, visión, organigramas, políticas, procedimientos, actividades y
funciones realizadas dentro de la empresa en general), y de ahí armar diagramas de flujo (si no los
tiene el área), para poder entender mejor su funcionamiento. La explicación de políticas y
procedimientos existentes, deben ser de forma clara y precisa, todos los archivos se deben
entregar en algún formato protegido, para evitar la alteración de la información.
2. Estudio y Evaluación de la Organización
El fin de esta fase, es que el auditor conozca a la organización y por ende pueda realizar su función
conociendo los conceptos o fundamentos de la empresa y esto lleve a una comprensión de la
entidad auditada y/o en dado caso de que no existan estos el auditor deberá de desarrollarlos para
lograr su propósito. Para poder realizar esta actividad, se deben de tomar en cuenta las siguientes
características:
• Saber si cuentan con procedimientos y políticas.
• Si cuentan con un área de Sistemas.
• Si hay algún responsable para el área
• Con que equipo cuenta, cuantos y que es lo que tienen tanto de hardware, Software.
• Tiempo de respuesta del sistema
• Integridad de datos.
• La seguridad que tienen para sus equipos tanto físico como lógico
• Que actividades realizan dentro del área.
• Cuál es su flujo de procesos de comunicación y actividades diarias.
El auditor con el objetivo de determinar la contribución en el resultado de las operaciones que se
han realizado, es necesario enfatizar en la identificación, análisis y estudio de los factores que
deben realizarse, se tiene en cuenta la actividad y el giro de la entidad, así como el propósito de la
misma; cuantificando así la contribución de cada factor en el resultado de las operaciones de la
entidad.
Con respecto a lo anterior y la investigación previamente ejecutada, los siguientes puntos ayudan a
comprender de una manera más simple la información para poder hacer nuestra evaluación sobre
los procedimientos y sistemas:
94
• Estudio del estado actual del área a auditar
• Racionalización de trámites con base al flujo de trabajo
• Formación profesional del personal y funciones que desempeñan
• Adquisición del material de trabajo informático
• La carga de información que manejan
• Funcionamiento y resguardo de la información
• Presupuesto y mantenimiento
2.1 Estudio y evaluación de diagramas de flujo
Esta fase se realiza con la finalidad de poder representar gráficamente los procedimientos de la
operación de la entidad auditada, se tiene en cuenta que las descripciones dentro de los diagramas
deberán de ser mínimas anotaciones que el mismo auditor deberá indicar en otra hoja aparte el
significado de las mismas. La fase de estudio y evaluación de diagramas se realiza, con el fin de
que el auditor conozca a la organización y por ende pueda realizar su función conociendo los
conceptos o fundamentos de la empresa y esto lleve a una comprensión de la entidad auditada y/o
en dado caso de que no existan estos, el auditor deberá de desarrollarlos para lograr su propósito.
Para efectos de la propuesta metodológica para las PyMEs, este material es de gran ayuda ya que
los diagramas de flujo servirán para analizar de una manera más resumida los procesos,
procedimientos y riesgos que existen dentro de la PyME a auditar.
3. Establecer Objetivo / Alcance
Esta fase consiste en definir el objetivo general de la auditoria que se vaya a realizar en cada área
de la PyME, para que al final de esa auditoría, en el informe final se pueda definir si se cumplió con
el mismo. El Objetivo General es el enunciado en que se expresa la acción general (total) que se
llevará a cabo para realizar la auditoria, además se debe indicar para qué se quiere investigar, es
decir, su finalidad; seguido del objeto de auditoría, es el fenómeno o las partes en relación que
serán investigados, se incluye finalmente para qué se realiza esta acción.
En la etapa de la planeación de la auditoría, es donde se define el alcance, en el cual se plasma la
definición y control de lo que está y no está incluido en el proyecto. Algunos puntos importantes a
tomar en cuenta para la definición del alcance son:
• Desarrollar un escrito o documento formal. (Carta de presentación)
95
• Detallar claramente qué actividades y procesos son parte del proyecto, es decir, el trabajo
que debe ser realizado con el fin de entregar un producto o servicio con las características
y especificaciones solicitadas. (Programa de trabajo)
• De ser necesario, dividir el proyecto o entregable principal en fases más pequeñas, esto
facilitará la administración.
• Definir los criterios que se utilizarán para determinar si el proyecto o fase ha finalizado
exitosamente.
• Tomar como base la propuesta comercial, así como otros documentos relativos al proyecto
definidos previamente.
• Al definir el alcance, se debe tener en mente que lo que no esté en el alcance, está fuera
del proyecto.
• Formalizar la aceptación del alcance con el cliente.
4. Estudio y Análisis de la Legislación Informática aplicable al país
Es necesario conocer la legislación para saber cuáles son los puntos o cláusulas especiales que se
refieren a las PyMEs, este proyecto específico considera la reglamentación que aplica solo en la
República Mexicana. Los cuestionarios, controles, análisis y detección del uso adecuado de la
tecnología, permiten identificar los parámetros sobre los que se fundamentan las compras de
equipo y software, con respecto a la legislación de derecho informático en México, el cual está
citado, entre otros por los siguientes apartados:
• Comercio Electrónico a) Reformas al Código de Comercio - 29/04/00
b) Reformas al Código Civil - 29/04/00
c) Reformas a la Ley Federal de Protección al Consumidor - 29/04/00
d) Reformas al Código Federal de Procedimientos Civiles - 29/04/00
e) Acuerdo que establece los lineamientos para la operación del Registro Público de
Comercio - Sistema Integral de Gestión Registral
• Protección de Datos Personales
En cuanto al uso adecuado de la información contenida en las bases de datos, se puede
considerar que las limitaciones existentes para la utilización de la informática cuando se
trata de garantizar los derechos y libertades fundamentales, se refieren a la organización
interna de la empresa, ésta puede crear un comité de protección de datos que conceda
autorización para la interconexión y utilización de archivos, sean éstos públicos o privados,
96
porque en primer lugar está la salvaguarda de la información de la empresa, misma que
debería armonizarse con la normativa de la compañía.
a) Propuesta de iniciativa de Ley Federal de Protección de Datos Personales -
14/02/01
b) Propuesta de reformas al Art. 16 constitucional en materia de protección de datos
personales - 21/02/01
• Derecho a la Información a) Art. 6 Constitucional
• Derechos de Autor
El Derecho de Autor, no está suficientemente desarrollado y difícilmente puede amparar
aspectos directamente relacionados con la propia tecnología informática que, en realidad
plantea nuevos problemas y cada vez más complejos.
a) Del Derecho de autor
b) De la protección al derecho de autor
c) De los programas de computación y las bases de datos
d) Infracciones en materia de derecho de autor
e) Código Penal Art. 424 al 429
• Acceso ilícito a sistemas y equipos de informática a) Art. 211 bis 1 al 211, bis 7 del Código Penal
• Ley de Propiedad Industrial a) De los secretos industriales
b) De las marcas
c) De los esquemas de trazado de circuitos integrados
d) De las sanciones y delitos
• Ley del Mercado de Valores a) Automatización de contabilidad y Registro de Operaciones
b) Contratación Bursátil
97
• Valor probatorio de documentos electrónicos en legislación diversa
a) Código Civil del Estado de Veracruz
b) Ley de Instituciones de Crédito
Al inicio del proceso de auditoria principalmente se deben aplicar las leyes y políticas concernientes
a México, sin embargo, tratándose de la tecnología de información cabe considerar los aspectos
legales dictados internacionalmente o de aplicación en otros países, ya que todas las personas
involucradas en dicha área están interesadas en la protección de la información y las nuevas
tecnologías.
5. Estudio y análisis de las políticas de seguridad
Una vez conocidas las leyes que aplican al país y los reglamentos, normas y políticas de la
empresa en cuanto al uso adecuado de los recursos informáticos, deberá asegurarse mediante el
estudio del control interno y la formulación de cuestionarios, si se cumplen los fines establecidos
por legislación vigente, con el objetivo de preservar la seguridad en el sistema, entendiendo así,
por políticas de seguridad aquel conjunto de reglas y principios que gobiernan una identidad u
organismo, especificando las condiciones, derechos, y obligaciones sobre el uso de las tecnologías
de información, con la finalidad de:
• Prevenir la pérdida de la información.
• Tener uso adecuado y eficiente de los sistemas de cómputo y de las telecomunicaciones.
• Prevenir riesgos de accidentes y daños al equipo e instalaciones.
• Tener actualización tecnológica: Adquisición óptima de Software y Hardware.
• Organización procedimental, misma que favorecería llevar a cabo una auditoría.
• Proveer procedimientos para controlar el acceso de personal y control de los recursos
tecnológicos necesarios para la operación de la empresa.
• Adecuar los criterios organizacionales a la legislación vigente.
• Cooperar al desarrollo de nueva legislación informática.
5.1 Responsabilidades de uso
A. Como consecuencia de la importancia de la seguridad, se establecen responsabilidades de
uso, que se refieren a que el uso de la tecnología en todos sus ámbitos: hardware y
software, equipo de oficina (scanner, copiadora, impresora multifuncional, fax,
conmutadores, cámaras, pizarrones digitales, etc.) es riesgo del usuario, la PyME no
asume responsabilidad alguna por:
98
a. El contenido de cualquier recomendación o información recibida por un usuario
proveniente de una fuente externa a la empresa, o cualquier costo incurrido como
consecuencia de aceptar tales recomendaciones;
b. Cualquier consecuencia debida a interrupciones, fallas o cambios en el servicio,
aun si estas fallas provinieren de circunstancias bajo el control de la Red de la
PyME.
c. Cualquier desperfecto no informado con oportunidad al área competente para su
compostura, negligencia en la forma de uso.
5.2 Responsabilidad de la empresa
A través de personal autorizado, la PyME se responsabiliza de:
a) Monitorear las acciones de los usuarios en la Red, para asegurar el uso apropiado de
los recursos. Además, definir sanciones para el caso en que no se cumplan las políticas
de seguridad.
b) Borrar archivos si, después de las advertencias apropiadas, no se mantienen al margen
de la normatividad. Si se detecta que el software radicado en la computadora personal
no está licenciado, eliminarlo de dicha máquina mediante un mecanismo interno.
c) Reparar o alterar equipamiento, tanto hardware como software y a tal efecto los
usuarios deberán informar sobre cualquier problema a los especialistas o al personal
apropiado a la brevedad posible.
d) Definir y supervisar la metodología para el mejor aprovechamiento de los recursos
(como por ejemplo uso de proxys, espacio en el servidor destinado a carpetas
personales, límite de uso de disco, tiempo de acceso dial up, navegación por Internet).
e) Fomentar en el personal una actitud positiva hacia la seguridad.
f) Motivar al personal para reportar los accidentes ocurridos o desperfectos en el equipo.
5.3. Responsabilidades del Usuario
a) Acceder sólo por vía legal a los recursos de la Red interna u otras redes.
b) Respetar la privacidad de toda la información en la red y en las computadoras (en
particular en la lectura, borrado o modificación de archivos de otros usuarios).
c) Usar el sistema del modo más eficiente.
99
d) Atenerse a las disposiciones fijadas y obligarse a no introducir ningún tipo de virus en el
sistema.
e) No generar programas que pudieren dañar al sistema, a un usuario o a un tercero.
f) No autorizar a terceros para usar sus cuentas ni privilegios de la red.
g) No divulgar las claves personales ni tratar de descubrir las de otros usuarios.
h) No usar el sistema, para insultar o molestar a ningún usuario, y mantener un lenguaje
apropiado y respetuoso en las comunicaciones.
i) Utilizar la información estrictamente para fines laborales, por tanto no, con fines
comerciales o financieros.
j) Se responsabiliza sobre equipos personales como la computadora o el teléfono, de la
misma manera que el acceso restringido a las copiadoras, fax, scanner, impresora, etc.,
se deberá hacer bajo la firma del formato de resguardo, cuando éste cambie, así
quedará documentado.
5.4 Aspectos de las políticas de seguridad
La seguridad de las TI dentro de los equipos de cómputo tanto en las áreas de administración,
personal, de la información y de la documentación, es fundamental para asegurar el uso adecuado
de la tecnología. Así mismo, el establecimiento de procedimientos y medidas de seguridad de cada
uno de los aspectos que se muestran a continuación, sirven para salvaguardarlos contra cualquier
evento natural o humano que de forma intencional o por accidente puedan afectarlos.
Cuentas, perfiles y autorizaciones:
• Establecer el procedimiento para que los accesos a los sistemas estén relacionados con las
funciones que realizan.
• Diseñar formatos de alta temporal de grupos de actividad, especificando el motivo del
otorgamiento y duración, de la misma forma, que las cuentas ordinarias deben contar con
una vigencia autorizada. Estos formatos de alta, baja o modificación deben contar con los
datos del usuario.
• La contraseña que utilice para protección de su clave será de 8 caracteres alfanumérica y de
preferencia no permitir duplicidad de caracteres.
Control de acceso:
• Utilizar cuentas de acceso personal, puede ser de huella digital, mano, iris o voz.
100
• Verificar que las puertas de emergencia estén cerradas y con la seguridad de apertura
debida.
• Controlar la no admisión de equipo ajeno a la empresa, así como que no sean sacados de la
instalación sin la autoridad respectiva.
• Supervisar que todas las personas cumplan los procedimientos de seguridad, como requisito
para tener acceso a las instalaciones.
• Controlar los duplicados de llaves y revisión periódica sobre las cuentas.
• Jefes administrativos y encargados del centro de cómputo autorizarán el acceso a
empleados, proveedores y/o visitantes.
• Autoridades responsables de avisar al personal de turno nocturno, fin de semana y días
festivos los permisos.
• Por lo general, cumplir con el horario de trabajo que se le ha indicado al personal y no
permitir acceso a horas en las que no labora.
Uso adecuado de software:
• Contar con un programa que elimine de las máquinas aquellas copias ilegales o no
autorizadas.
• Evitar la transferencia de archivos ajenos a la empresa.
• Supervisar la utilización de los medios de comunicación como son el fax, teléfono, correo
electrónico.
Uso adecuado de recursos materiales y hardware:
• Asegurar que los bienes del centro (equipo de computación y sus accesorios, equipo de
comunicación, paquetes de documentos, listas impresas, documentación oficial, suministros,
impresoras, faxes, cañones, cartuchos, disquetes, cd, etc.) sean guardados, que estén
disponibles para las operaciones, y que no sean desperdiciados, mal usados o
reemplazados.
• Equipo de computación y de comunicaciones, repuestos y herramientas serán guardadas y
controladas por el personal de operación.
• Proveer de drenaje adecuado y otros materiales para remover derrames de líquidos en las
áreas de trabajo.
• Asegurar que haya suficientes circuitos y estén instalados de manera distribuida para evitar
sobrecargas.
101
Respaldos:
• Almacenamiento en cintas.
• Equipo adecuado de respaldo.
• Documentación de las diversas versiones de desarrollos.
• Activación de bitácoras que sean evidencia del historial de modificaciones.
• Análisis estadística de la información de las bitácoras, aquellas sin mucha importancia puede
ser relevada en un plazo de un mes.
6. Estudio y Análisis del Sistema de Control Interno
La finalidad del control interno en la PyME, es revisar los procedimientos empleados, políticas y la
eficiencia del sistema de control interno existente, para determinar en base a este análisis el
alcance del examen a realizar, dado que el estudio de la evaluación del control interno, tienen
como objeto primario la formulación de un programa de auditoría, el cual al ejecutarse permite al
auditor emitir un dictamen sobre la eficiencia del sistema de control interno, mediante el apoyo en
diversos métodos de los cuales se mencionan algunos continuación.
6.1 Método Descriptivo
Donde es recomendable que el auditor prepare notas relativas al estudio de la PyME, con el fin de
que estas cubran los aspectos del objetivo y alcance de la auditoria a realizar. Estas notas deben
de contener únicamente observaciones al respecto de las deficiencias del control interno
encontradas, y estas mismas deben de ser mencionadas en los papeles o legajos de trabajo, así
como si es o no adecuado el control existente en otras aéreas no cubiertas.
6.2 Método Gráfico
Este método consiste en señalar por medio de cuadros y graficas, el flujo de las operaciones a
través de los puestos o lugares en donde se encuentran establecidas las medidas de control para
el ejercicio de las operaciones, detectando así los puntos donde se encuentran las debilidades del
control, esto mediante cuadros sintéticos que indiquen los aspectos más importantes de una
estructura organizacional, los cuales deben de incluir las principales funciones y la relación de
estas, así como los canales de supervisión y la autoridad relativa de cada empleado encargado de
dicha función, mediante el uso de símbolos convencionales
102
6.3 Método de Cuestionarios
Por medio de cuestionarios previamente diseñados por el auditor, aprobados por el auditor líder, y
con preguntas relacionadas al manejo de las operaciones, en cuanto a quien tiene a cargo dichas
funciones; se tiene en cuenta que las preguntas afirmativas indican la existencia de una adecuada
medida de control, mientras que las negativas indicaran una deficiencia o fallo de los controles. Es
necesario que los cuestionarios cuenten con identificadores, en cuanto la función clave, los
nombre de los ejecutantes, el nombre de la persona que realiza la función clave, quien autoriza
dicho cuestionario y la firma de los encuestados.
7. Identificar Riesgos, amenazas y controles
Para poder realizar una identificación de riesgos es necesario primero delimitar que es un riesgo y
que es una amenaza para poder establecer los controles necesarios para mitigar dicho riesgo o
dicha amenaza, dichos conceptos fueron definidos con anterioridad en el capitulo dos.
7.1 Identificar riesgos y amenazas
Es de vital importancia, como actividad previa a la auditoría, realizar un análisis de identificación de
riesgos y amenazas, el cual debe valorar si se trata de una amenaza o vulnerabilidad, así como la
posibilidad de que ocurra el impacto, y la restauración del mismo. Con base en esta premisa a
continuación se listan los pasos a seguir:
• Se debe de establecer y comprender a la organización, así como sus objetivos y la
estrategia para lograr los mismos.
• Identificar las posibles áreas generadoras de riesgo.
• Establecer la relación entre la organización y su entorno, identificando sus fortalezas,
debilidades, oportunidades y amenazas (FODA).
• Se debe de identificar cualquier riesgo significativo en todos los activos de información, y
dentro del contexto de uso.
• Realizar un análisis por procesos, con el fin de establecer los activos.
• Realización de un mapa de riesgos, el cual deber incluir:
a) Identificación de procesos de la entidad.
b) Identificación de causas de riesgo
c) Estimación de la vulnerabilidad de los procesos, productos o servicios a los riesgos
típicos.
103
d) Identificación y evaluación de los riesgos críticos.
e) Diseño e identificación de controles para minimizar los riesgos.
f) Diseño e identificación de controles para amenazas.
g) Las guías de evaluación de autocontrol
• Determinar el alcance y los parámetros de las actividades de la organización, en base a la
creación del proceso de gestión de riesgos.
Es necesario considerar las causas y el origen de los riesgos, así como su consecuencia (impacto)
y la probabilidad de que ocurran estas, una vez identificado el riesgo la PyME deberá de realizar lo
siguiente:
• Comprender la importancia y la incidencia que tiene el identificar y controlar los factores de
riesgo que se pueden presentar en cada área de trabajo.
• Diseñar, estructurar e implementar un Sistema de Administración de Riesgos, utilizando los
recursos tanto físicos como humanos disponibles de la organización.
• Establecer el sistema de controles internos apropiados para reducir la probabilidad de
ocurrencia de los riesgos.
Una vez realizado el análisis de riesgos, el siguiente paso consiste en separar los riesgos menores
de los mayores, así mismo, la organización debe de establecer el resultado del incidente sobre un
proceso de activos, en términos de confidencialidad, integridad o disponibilidad, es conveniente
tomar en cuenta el punto de vista de diferentes personas de la PyME ya que puede variar a la hora
de establecer el impacto de la perdida de activos, se debe de establecer un criterio para la
aceptación del riesgo e identificar el nivel de riesgo aceptable. Para poder proporcionar un nivel de
riesgo deben de tomarse tres factores importantes y son el valor, el impacto y la probabilidad de
ocurrencia. En cuanto al factor de impacto debe de valorarse si es de tipo operativo o económico,
en cuanto a la probabilidad de ocurrencia esta dependerá de si es o no factible y por ultimo cuando
se tiene plenamente identificados y valorados se procederá a dar tratamiento a los riesgos o lo que
se llama administración del riesgo, el cual deberá de hacerse de tres maneras: asumir el riesgo,
minimizar el riesgo o transferir el riesgo.
A continuación se muestra un listado de riesgos y amenazas con el objeto de que sean tomados en
cuanta al momento de realizar el análisis de riesgos y amenazas:
104
Riesgos:
• Pérdidas económicas por uso indebido de la aplicación.
• Interrupciones prolongadas en las operaciones del negocio.
• Pérdida de información.
• Daño en los recursos de una aplicación (hardware, software, datos y comunicaciones).
• Multas o sanciones.
Amenazas:
• Falta de segregación de funciones.
• Mantenimiento deficiente de la aplicación.
• Accesos inadecuados a los datos y programas.
• Falta de capacitación a los usuarios.
• Cálculos incorrectos.
• Ausencia o des actualización del plan de contingencias.
7.2 Identificar controles requeridos en cuanto a los riesgos y amenazas
Se tiene que planear y organizar cuales son los requerimientos tecnológicos o informáticos que la
organización requiere para lograr sus objetivos, por lo que es necesario que se verifique con que
cuenta la organización con relación a la infraestructura tecnológica, por lo que es necesario que se
identifiquen los siguientes puntos:
• Copias internas y externas de datos y programas.
• Acceso restringido a los datos y programas.
• Procedimiento para otorgar y eliminar los accesos a los datos y programas.
• Bitácoras de auditoría (logs) y la revisión periódica de éstas.
• Pólizas de seguro para los equipos.
• Manuales de la aplicación completos y actualizados.
• Estándares para el desarrollo y mantenimiento de la aplicación.
Así mismo la organización debe de seleccionar objetivos de control y controles para gestionar los
riesgos identificados, se propone que las organizaciones cumplan con los siguientes rubros:
105
A. Planear y Organizar: Es necesario identificar la manera en que TI pueda contribuir de la
mejor manera al logro de los objetivos del negocio. Debe de tomarse en cuenta que la
realización de la visión estratégica requiere ser planeada, comunicada y administrada
desde diferentes perspectivas, una vez realizada esta actividad, se debe implementar una
estructura organizacional y una estructura tecnológica apropiada. Para poder cubrir con
este dominio será necesario lo siguiente; A nivel gerencial debe de considerarse lo
siguiente:
1. Alinear las estrategias de TI y del negocio.
2. Determinar si la empresa alcanzando un uso óptimo de sus recursos.
3. Definir claramente roles y quién rinde cuentas a nivel estratégico, táctico y
operacional.
4. Entendimiento del personal de la organización en cuanto a los objetivos de TI.
5. Administrar los riesgos de TI.
6. Validar y verificar la calidad de los sistemas de TI en cuanto a las necesidades del
negocio.
A nivel de planeación operativa:
• Definición de un Plan Estratégico de Tecnología de Información de acuerdo a sus
necesidades.
• Definición de la Arquitectura de Información.
• Determinación de la dirección tecnológica.
• Definición de la Organización y de las Relaciones de TI.
• Manejo de la Inversión en Tecnología de Información.
• Comunicación de la dirección y aspiraciones de la gerencia.
• Administración de Recursos Humanos.
• Aseguramiento del Cumplimiento de Requerimientos Externos.
• Evaluación de Riesgos.
• Administración de proyectos.
La organización debe buscar la manera de administrar e implementar los recursos con los que
cuenta.
B. Adquirir e implementar: Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e
integración en los procesos del negocio. Así mismo, el cambio y el mantenimiento de los
106
sistemas existentes para garantizar que las soluciones sigan satisfaciendo los objetivos del
negocio.
Considerando lo siguiente a nivel gerencial:
1. Determinar si los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio.
2. Determinar si los nuevos proyectos son entregados a tiempo y dentro del presupuesto.
3. Determinar si están trabajando adecuadamente los nuevos sistemas una vez sean
implementados.
4. Determinar si los cambios afectarán las operaciones actuales del negocio.
Realizar las siguientes actividades indispensables en adquisición e implementación:
• Identificación de Soluciones.
• Adquisición y Mantenimiento de Software de Aplicación.
• Adquisición y Mantenimiento de Arquitectura de Tecnología.
• Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de
Información.
• Instalación y Acreditación de Sistemas.
• Administración de Cambios.
En cuanto a los procesos que se automatizan se entregan, se les da soporte pero también se
tienen que monitorear, para evaluar su desempeño y saber si están dando resultados esperados o
no.
C. Entregar y dar Soporte: Se debe de cubrir la entrega, en cuanto a los servicios requeridos,
lo que incluye la prestación del servicio, la administración de la seguridad y de la
continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las
instalaciones operacionales. Por lo general aclara las siguientes preguntas de la gerencia:
A nivel gerencial debe de considerarse lo siguiente:
1. Determinar si se están entregando los servicios de TI de acuerdo con las prioridades
del negocio.
2. Optimizar los costos de TI.
3. Capacitación del personal en cuanto a la utilización los sistemas de TI, de manera
productiva y segura.
107
4. Implantar la confidencialidad, la integridad y la disponibilidad de forma adecuada.
Para cubrir esos temas se debe de efectuar lo siguiente:
• Administración de la Configuración.
• Administración de Problemas e Incidentes.
• Administración de Datos.
• Administración de Instalaciones.
• Administración de Operaciones.
• Administración de Servicios prestados por Terceros.
• Administración de Desempeño y Capacidad.
• Aseguramiento de Servicio Continuo.
• Apoyo y Asistencia a los Clientes de Tecnología de Información.
• Definición de Niveles de Servicio.
• Educación y Entrenamiento de Usuarios.
• Garantizar la Seguridad de Sistemas.
• Identificación y Asignación de Costos.
En cuanto a la medición de resultados del departamento TI, así como la optimización del trabajo
automatizado, la calidad y el desempeño de los sistemas implementados se tiene que poner
énfasis en la etapa siguiente:
D. Monitorear y evaluar: Es necesario que todos los procesos de TI se evalúen de forma
regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de
control. La administración del desempeño, el monitoreo del control interno, el cumplimiento
regulatorio y la aplicación del departamento TI. A este respecto la gerencia debe de
considerar:
1. Medir el desempeño de TI para detectar los problemas antes de que sea demasiado
tarde.
2. Garantizar que los controles internos son efectivos y eficientes.
3. Vincular el desempeño de lo que TI ha realizado con las metas del negocio.
4. Medir y reportar los riesgos, el control, el cumplimiento y el desempeño.
Además para realizar el monitoreo es necesario realizar las siguientes actividades:
• Auto-evaluación de control Evaluar la completitud y efectividad de los controles
internos.
108
• Aseguramiento del control interno.
• Excepciones de control Registrar la información.
• Monitorear el marco de trabajo de control interno.
• Revisiones de Auditoria Monitorear y reportar la efectividad.
• Acciones correctivas Identificar e iniciar medidas correctivas basadas en las
evaluaciones y en los reportes de control.
8. Pruebas de cumplimiento
Las pruebas de cumplimiento deberán medir la eficiencia con la que los controles cumplen en
mayor o menor grado el objetivo para lo cual fueron diseñados, mediante el uso de herramientas
de apoyo ya sean cuestionario, herramientas computarizadas, observaciones del auditor, etc., es
necesario que el auditor documente de manera suficiente y completa dichas pruebas. Por lo que se
debe realizar una matriz de pruebas en la que se especifique, el objetivo que pretende lograr la
prueba, el procedimiento mediante el cual se logrará dicho objetivo, y la observación encontrada
por el auditor interno, dicha prueba de cumplimiento tiene que ser acorde a la matriz de riesgos,
con la finalidad de corroborar la prueba de cumplimiento.
9. Informe Final
El informe final debe de contener a manera de resumen los hallazgos, las observaciones,
conclusiones y recomendaciones del auditor, es decir que debe de contener juicios fundamentados
en las evidencias obtenidas con anterioridad, presentando así las fortalezas y debilidades
encontradas, en el proceso, sistema, controles, deficiencias operativas o cualquier otro asunto
observado durante la ejecución de la auditoría, por lo que el informe final debe de contener:
• Un resumen ejecutivo con las conclusiones generales y recomendaciones claves a manera
de listado priorizado las recomendaciones.
• Recomendaciones conectadas con sus correspondientes riesgos o problemas
operacionales.
• Acciones acordadas con la gerencia, incluyendo fechas de término y responsables, para
implementar las recomendaciones.
• Observaciones materiales donde no ha habido acuerdo, junto a la respuesta de la gerencia
correspondiente.
109
Es necesario que las recomendaciones sean marcadas para fines de seguimiento, con fecha
correspondiente a la solución acordada, así mismo este reporte debe de ser aprobado y emitido
por la alta dirección de la entidad auditada.
5.2.4 Perfil del auditor
Como parte de la importancia de la auditoría en Informática dentro de una PyME, así como el
proceso de implementar una auditoría básica en una PyME, debe existir una persona que cumpla
ciertos requisitos y cualidades que enseguida se mencionan:
• Tener mente abierta, es decir, no llevar predisposición de nada.
• Ser imparcial
• No debe pertenecer a la empresa o en su defecto no debe trabajar en el área a auditar.
• Tener formación informática y experiencia en el sector, tener conocimiento de lo que va a
auditar.
• Independencia y objetividad
• Madurez
• Capacidad de síntesis y análisis
• Seguridad en sí mismo
• Capacidad para comprender los procesos y flujos de información
• Debe conocer técnicas de administración de empresas y de cambio, ya que las
recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la
empresa y a los recursos que se poseen.
• Tener el conocimiento del manejo básico de alguna de las herramientas para el análisis y
extracción de la información que apoyan a las conclusiones de las auditorias.
Algunos conocimientos básicos que debe de tener el auditor informático son:
• Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.
• Gestión del Dpto. de Sistemas.
• Análisis de riesgos en un entorno informático.
• Sistemas operativos
• Telecomunicaciones
• Gestión de bases de datos
110
• Redes locales
• Seguridad física
• Operación y planificación informática
• Gestión de la seguridad de los sistemas y de la continuidad empresarial
• Gestión de problemas y de cambios en entornos informáticos
• Administración de datos
• Ofimática
• Comercio electrónico
• Encriptación de datos.
Algunas de sus responsabilidades y funciones importantes que debe ser capaz de realizar son:
• Establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de
control interno.
• Revisar los controles y evaluar los resultados de su revisión para determinar las áreas que
requieran correcciones o mejoras. (Verificación del control interno)
• Puede dar ideas de cómo establecer procedimientos de seguridad, control interno,
efectividad y eficacia, medición del riesgo empresarial, entre otros.
• Verificar los procesos y procedimientos y políticas de las aplicaciones como de los
Sistemas de Información, periféricos, etc.
• Análisis de la gestión de los sistemas de información
• Análisis de la integridad, fiabilidad y certeza de la información
• Auditoria de riesgos operativos de los circuitos de información
• Análisis de la gestión de los riesgos de la información
• Verificación del nivel de continuidad
• Análisis del estado del arte tecnológico de la instalación revisada.
• Diagnóstico sobre el grado de cobertura
Capítulo VI Caso Práctico
El capítulo VI tiene como objetivo exponer los resultados obtenidos de la implementación del
modelo de auditoría en informática propuesto y aplicado a una empresa para demostrar la
importancia de la función de auditoría en informática así como los beneficios que esto genera y
ayuda en la toma de decisiones de la empresa con respecto a las TI.
A continuación se lista el contenido temático de este capítulo:
6.1 GENERALIDADES DE LA PYME
6.2 APLICACIÓN DE LA PROPUESTA
6.3 RESULTADOS DE LA PROPUESTA A GCD
6.4 VENTAJAS/DESVENTAJAS DEL MODELO PROPUESTO
6.5 BENEFICIOS
111
Capítulo VI Caso Práctico
6.1 Generalidades de la PyME
Para efectos de la presente tesina, se decidió tomar a la siguiente empresa PyME, la cual cuenta
con las características necesarias expuestas durante el documento y que permite la aplicación del
modelo propuesto para cumplir con el objetivo de promover la importancia de la auditoría en
informática en las PyMEs.
Grupo Corporativo Diamante (GCD), es una PyME que se dedica a ofrecer servicios de seguridad
como alarmas, CCTV, GPS, seguridad intramuros (guardias), custodia de mercancía, certificación
de personal, sistema de monitoreo satelital, capacitación, sistema Ópalo, GCD la revista de la
Seguridad y Publiseguridad. Por medio de estos servicios ha permitido que se realicen más de
40,000 operaciones anuales con una incidencia delictiva menor al .01%, demostrando así, la
confiabilidad y alta eficiencia de sus servicios.
La misión de GCD es satisfacer las necesidades de nuestros clientes, con la implantación de
métodos, sistemas y dispositivos de alta tecnología, que permita proteger todo aquello que está
sujeto a riesgo, resolviendo su problemática en forma eficiente y eficaz.
Y su visión es la de aplicar los recursos de los clientes en forma específica, bajando los costos de
la seguridad y evitando que se utilicen sistemas o dispositivos en forma innecesaria.
Los principios que maneja la PyME son:
• El cliente es el centro de nuestras actividades.
• Trabajamos en equipo.
• Garantizamos seguridad.
• La actualización es un reto.
• La protección es nuestro objetivo.
• La prevención nuestra meta.
• El servicio nuestra principal garantía.
112
El organigrama general de los departamentos que conforman el Grupo Corporativo Diamante es el
siguiente:
Fig. 6.1
El Presidente y accionista mayoritario del Grupo Corporativo Diamante, es una persona muy
preparada y con una visión clara de lo que se quiere lograr dentro y fuera de la empresa. Es
especialista en: Neurolingüística, Motivación y Superación, Servicio en grado de excelencia,
Kinésica, Psicología aplicada al ámbito criminal, Identificación de perfiles delictivos, Poligrafía,
Sistemas de identificación de la verdad por medio del "estrés de voz", identificación de la verdad a
través de la gramática, Oratoria y expresión, Redacción, Ética.
Las asociaciones a las que pertenece son:
• FEPASEP
• ASIS
• IFPO
• CNSP
113
Y cuenta con diversas certificaciones como:
• Certificado como Profesional en Protección.
• (ASIS Certified Protection Professional-CPP).
• Certificado como Oficial en Protección.
• (IFPO Certified Protection Officer-CPO).
Alguno de los clientes principales del corporativo son:
• DU PONT
• REEBOK
• EMYCO
• SAMSUNG
6.2 Aplicación de la propuesta
Justificación: Debido al gran auge que han tenido las TI dentro de las organizaciones y a la
globalización existente, es de vital importancia que la economía mexicana, la cual se rige en su
mayoría por pequeñas y medianas empresas (PyMEs) llegue a un punto de plusvalía, en cuanto a
la mejora de procesos y servicios por medio de un mejor control o el establecimiento del mismo.
Por lo que Grupo Corporativo Diamante pensando en la gran globalización y con el fin de ser
competitivo como Institución ah decidido incluir en su proceso el de la función de auditoría en
informática con el fin de mejorar el control en la eficacia y eficiencia de sus procesos.
Con base en lo anterior, se desarrollo el área de auditoría en informática de Grupo Corporativo
Diamante (Anexo 6.1 y Anexo 6.2), quedando establecida dentro de la organización de acuerdo
con el siguiente figura:
114
Fig. 6.2
El organigrama del departamento de auditoría en informática se muestra a continuación (Figura
6.2):
Fig. 6.3
El departamento de auditoría en informática de Grupo Corporativo Diamante, contempla la
siguiente misión y visión (Anexo 6.3 y Anexo 6.4):
Misión. Brindar a través de la auditoría en informática, la información suficiente y competente, que
permita la implementación de controles para una mejora continua que ayude a la prevención de
delitos informáticos dentro de Grupo Corporativo Diamante.
Dirección del Área de Auditoria en Informática (Auditor Líder)
Auditor Interno 1 Auditor Interno 2
115
Visión. Proporcionar apoyo y asesoría a Grupo Corporativo Diamante, para el cumplimiento de
sus objetivos mediante la mejora continua de procesos referentes a las TI y por ende lograr un
posicionamiento nacional e internacional, mediante su competitividad.
Funciones del área de auditoría en informática de Grupo Corporativo Diamante:
El área de auditoría en informática de Grupo Corporativo Diamante se compromete a realizar las
siguientes funciones de manera ética y profesional:
1) Evaluar la problemática de Grupo Corporativo Diamante a través de un pre-análisis de la
situación, para la determinación de las principales necesidades de la organización y la
trazabilidad del negocio.
2) Evaluar la existencia de políticas, objetivos, normas, metodologías, así como la asignación
de tareas y la adecuada administración de los recursos, humanos e informáticos.
3) Evaluar los riegos y controles establecidos para la búsqueda e identificación de
debilidades, así como de las áreas de oportunidad. Así mismo evaluar sistemas,
procedimientos y equipos de cómputo.
4) Verificar que los activos, estén debidamente controlados y salvaguardados contra pérdida
y mal uso.
5) Evaluar los controles de seguridad lógica y física que garanticen la integridad,
confidencialidad y disponibilidad de los datos de esta entidad.
6) Comprobar el cumplimiento de mandatos constitucionales, legales y reglamentarios,
políticas, planes y acuerdos normativos que rigen a la entidad.
7) Elaborar planes de trabajo para ejecutar auditorías en informática internas cada 6 meses y
desarrollara actividades apropiadas que permitan maximizar la eficacia de los procesos.
8) Evaluar los resultados de los procesos operativos que se realicen para conocer eficiencia y
efectividad con que se han utilizado los recursos.
9) Constatar que el área de sistemas se rija por los procedimientos adecuados para
garantizar el funcionamiento óptimo de la red de trabajo.
10) Comunicar a dirección los resultados y recomendaciones que resulten de las evaluaciones,
mediante los informes de auditoría.
Así mismo el área de auditoría en informática de Grupo Corporativo Diamante contempla la
realización de los siguientes tipos de auditoría:
1) Auditoría a Sistemas de Información,
2) Auditoría a las Comunicaciones,
116
3) Auditoría a la Red Física, y
4) Auditoría a la Red Lógica.
El personal que realice la función de auditoría en Grupo Corporativo diamante debe de cubrir el
siguiente perfil, en cuanto a habilidades y conocimientos técnicos de administración e informática
(Anexo 6.5).
117
A continuación se muestran los resultados conforme al cruce de información:
N° OBJETIVO PROCEDIMIENTO DOCUMENTO / REFERENCIA
1 Definición dentro de la
organización del área de
auditoría en informática.
Integrar dentro de la estructura
orgánica, el área de auditoría en
informática
Anexo 6.1 Proceso de
planificación del área de
auditoría.
2 Establecimiento de la Misión
y visión del área de auditoría
en informática.
Analizar el Figura de la estructura
orgánica y revisar las jerarquías,
funciones objetivos.
Figura 6.1
Figura 6.2
3 Establecimiento de las
responsabilidades del área
de auditoría en informática.
Crear documento en donde
establezca las responsabilidades
del área de auditoría en
informática.
Anexo 6.3 Estatuto de
auditoría interna.
Anexo 6.4 Reglamento
del comité de auditoría.
4
Perfiles del auditor del área
de auditoría en informática.
Especificar la responsabilidad para
establecer los objetivos de control.
Anexo 6.5 Perfil del
auditor.
5
Creación de Planes de
trabajo del área de auditoría.
Elaborar manual de
especificaciones. Para evaluar los
riesgos establecidos en dicho
documento.
Anexo 6.6 Modelo de
madurez.
Anexo 6.7 Cronograma
de conformación del
área.
Anexo 6.8 Fases del
desarrollo de la
conformación del área.
6 Aplicación de la metodología
para la elaboración del
trabajo
Establecer los procedimientos que
definen la forma de realizar la
actividad del área de auditoría en
informática.
Anexo 6.9 Documentos
de trabajo de la primer
auditoría realizada.
118
6.3 Resultados de la propuesta a GCD
Como parte de la tesina se considero de manera fundamental la creación del área de auditoría en
informática. Para registrar los resultados de la aplicación de la propuesta se creó una matriz de
cumplimiento que involucra la capacidad de la PyME de implementar cada uno de los puntos
anteriormente señalados.
Como objetivo se evaluó el desempeño de las TI dentro de Grupo Corporativo Diamante, la
seguridad, confidencialidad, confiabilidad y disponibilidad de la información y tener los controles
necesarios que permitan el cumplimiento de los objetivos de la empresa, y los beneficios que
ofrece el uso de las mismas.
A continuación se muestra la matriz de cumplimiento para el desarrollo del área de auditoría en
informática para Grupo corporativo Diamante:
Actividad Impacto Causa Resultado
Actividad 1. Se integra el área de auditoría en informática en GCD. Y se da a conocer las responsabilidades del área.
Ventaja Competitiva
Permite conocer las
dependencias e indica al
personal actual y nuevo la
forma como se integra a
la organización.
Cumplido
Actividad 2. Se analizo la situación actual de la empresa, para definir la Misión y visión del área de auditoría en informática, conforme a los objetivos generales de GCD.
Ventaja Competitiva
Se reconoce la misión del
área de auditoría en
informática en GCD, y la
visión que nos permite
establecer las metas y
objetivos del área.
Cumplido
Actividad 3. Se definió las responsabilidades del área, se agrega anexo 6.9,
Planeación
Estratégica
Muestra las
responsabilidades del
área, y la división del
Cumplido
119
conforme a lo definido en la misión y visión del área.
trabajo para el área de
auditoría en informática
de GCD.
Actividad 4. Se especifico el perfil necesario del auditor que conformara como parte del área de auditoría en informática.
Planeación
Estratégica
Se identifica de manera
muy general, los
conocimientos generales
que debe poseer el
auditor en GCD. Se
agrega anexo 6.9
Cumplido
Actividad 4. Creación de Planes de trabajo del área de auditoría.
Planeación
Estratégica
Se planifican las
auditorias
correspondientes,
conforme al objetivo de
cada una de ellas.
Cumplido
Actividad 6. Aplicación de la metodología para la elaboración del trabajo.
Planeación
Estratégica
Se implemento
metodología propuesta
para esta tesina, de
manera general se
cumplen los objetivos
establecidos por el área
de auditoría en
informática.
Cumplido
Conclusiones generales del caso práctico:
De acuerdo con los resultados obtenidos y partiendo del objetivo de la auditoría el cual se centra
en la revisión de la eficacia y mejora del SGC y el cumplimiento y desempeño de los procesos, se
considera que se obtuvo un resultado satisfactorio en auditoría interna, de acuerdo con lo
siguiente:
Se considera que se tuvo un incremento importante de la importancia de la implementación de los
planes de la calidad, lo cual impacta directamente en una mejora del desempeño de los procesos.
120
En su mayoría las observaciones corresponden a oportunidades de mejora detectadas a los planes
de la calidad y por la incorrecta aplicación del procedimiento de Control de Documentos y
Registros.
Se aprecia la disposición en cuanto al número de observaciones que se detectaron a mejorar, lo
cual indica que cada vez más personal que participa en el SGC conoce, aplica y domina los
conceptos y estructura del SGC, así como sus procesos, situación que favorece la estandarización
de los procesos y facilita la evaluación institucional.
El grupo de auditores indico que manteniéndose los correspondientes controles a la falta de
atención en tiempo y forma de los hallazgos de auditoría, así como de la realización de las
acciones correctivas y preventivas, se esperan mejoras para la segunda auditoría a realizar.
De acuerdo a lo anterior se considera que los resultados han sido favorables, se tiene un avance
en cuanto a la eficacia y mejora del SGC y en cuanto al desempeño de los procesos, sin embargo
como parte de la naturaleza del SGC se deberá seguir trabajando intensamente en la mejora
continua del mismo.
6.4 Ventajas/Desventajas del modelo propuesto
A continuación se detallan las ventajas de aplicar el modelo propuesto planteado y aplicado
anteriormente:
• Ayuda a mejorar los procesos y servicios de la organización de GCD estableciendo
controles o mejorando los ya existentes.
• Mejora su competitividad ante el mercado frente a otras empresas de la misma rama de la
PyME (GCD).
• Proporciona una mejor eficacia y eficiencia en los procesos y servicios que ofrece GCD.
• Permite implementar controles que ayuden a mantener una mejora continua en la PyME.
• El establecimiento de la función de auditoría en informática ayuda a prevenir los delitos
informáticos que le ocasionen problemas a la empresa.
• Brinda soluciones a las necesidades que vayan surgiendo en GCD.
• Proporciona una mejor de visión al establecer políticas y normas en la organización de la
PyME.
121
• Permite una segregación de funciones adecuadas y la asignación de tareas a las personas
indicadas dentro de la compañía.
• Permite gestionar adecuadamente los recursos humanos e informáticos de GCD.
• Ayuda a identificar los riesgos más fácilmente y apoya en la identificación de debilidades y
busca atacar las áreas de oportunidad.
• Permite evaluar sistemas, procedimientos, equipos de cómputo y más, de forma periódica.
• Ayuda a elaborar la documentación y/o manuales correspondientes a cada proceso y
servicio que ofrece GCD.
En seguida se describen las desventajas del desarrollo y aplicación del modelo propuesto en
capítulos anteriores:
• No existe personal capacitado con el perfil de auditor necesario para la PyME
• La inversión inicial de la PyME
6.5 Beneficios
Después de emitir los resultados de la práctica de la auditoría en informática en las Pymes, en este
caso la PyME Grupo Corporativo Diamante emitió los siguientes beneficios:
• La mejora de la imagen pública, esto debido a que GCD se dedica a proporcionar el
servicio de seguridad a otras empresas para salvaguardar sus activos, por lo que mantener
un control de las TI ha proporcionado un nivel más alto de confianza en los clientes ya que
minimizo el riesgo de interrumpir el servicio.
• Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI,
además de promover la cultura de la auditoría en informática en los empleados de GCD, la
cual respalda el esfuerzo de sus funciones.
• Al existir la función de auditoría en informática, la cual emite resultados imparciales a la
dirección, optimiza las relaciones internas y del clima de trabajo, ya que se evalúa el rol de
la persona, más no a la persona en sí.
• Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros),
contemplando inversión económica en otros procesos de negocio o en su defecto en una
inversión de TI a largo plazo.
122
• Genera un balance de los riesgos en TI, provocando un ciclo de evaluación permanente
incrementando la calidad en el proceso de negocio el cual emite mejores resultados tanto a
la empresa como a los clientes al respaldar la seguridad de sus servicios.
Para la gran mayoría de las PyMEs se audita la relación de la empresa con las nuevas tecnologías
en cuatro grandes áreas de actuación: explotación, sistemas, comunicaciones y seguridad.
Algunos de los puntos más sobresalientes resaltan que además de mirar las aplicaciones que
procesan los datos debemos mirar a los trabajadores que realizan las tareas.
Podemos analizar la responsabilidad de cada trabajador sobre las distintas operaciones que
realiza, la verificación de que estas operaciones se llevan a la práctica y las relaciones con los
otros trabajadores. Si hay labores automatizadas, se pueden revisar los manuales que las
describen y comprobar que se utilizan. Cada operación informática comporta determinadas rutinas
que si se encuentran definidas suponen mejoras en la eficiencia del trabajo.
Debemos prestar atención a las actualizaciones si presentan mejoras o sirven para tapar agujeros
de seguridad existentes. El análisis de las versiones de los sistemas operativos permite descubrir
las posibles incompatibilidades que pueda haber entre distintos programas utilizados. Conviene
realizar revisiones periódicas para comprobar que su funcionamiento está siendo el adecuado, si
no se ha detectado durante el período de trabajo alguna anomalía.
Se debe tener un amplio y preciso conocimiento del uso de las comunicaciones en la empresa,
saber si la topología de la red de comunicaciones es eficiente, número de líneas de voz, etc. En
este punto cobra especial importancia un hecho muy característico de la pyme y la microempresa,
y es que suele ocurrir que la red o cualquiera de los servicios que empleamos, como la web, hayan
sido realizados por personas de la propia empresa sin experiencia, o por algún conocido. Esto
puede provocar el efecto dómino, haciendo que el dinero que nos ahorramos a corto plazo se vaya
a compensar con el dinero que no generamos por un deficiente estado de nuestras
comunicaciones. En cualquier caso conviene no tomar esta decisión por ahorrarnos un dinero, sino
por el convencimiento de que vamos a hacer lo mejor.
123
Conclusiones Si se observa con detenimiento todo lo descrito anteriormente acerca de la importancia de la
auditoría en Informática dentro de las PyMEs y proponer un modelo que sirva de guía para la
definición e implementación de dicha función, compuesto de un conjunto de buenas prácticas,
controles y checklists, basado en los marcos y los estándares de metodologías para auditoría en
informática ya existentes, se llegó a la conclusión de que mas allá de la inversión económica que
conlleva invertir en TI en las PyMEs, el costo de no darles un seguimiento por medio de controles
ocasiona que muchas de estas empresas desista en su decisión de invertir en las TI y muchos
menos en tomarlas en cuenta como parte de su proceso de negocio.
Por otra parte, se tuvo acceso a un panorama general de las PyMEs, siendo el ámbito económico
más productivo del país, donde la mayoría de los directivos de dichas empresas ven con mucho
entusiasmo el beneficio de aplicar la función de auditoría en informática, la cual también incluye
controles para las TI que se encuentran en sus empresas, esto ya que permite identificar y dar a
conocer los principales problemas de la administración de la operación de TI en las PyMEs, en
tanto se asigne a una persona como auditor de dicha área.
Entre tanto, lo que se refiere a determinar la importancia de la auditoría en informática y los
beneficios de dicha área dentro de las PyMEs, se observó durante el caso práctico las
innumerables mejoras al tomar en cuenta los controles hacia la gerencia al momento de tomar
decisiones con respecto a las TI, personal y área física que la compone. Además de visualizar los
posibles riesgos del negocio al no tomar en cuenta las funciones que ejecuta la auditoria, pues esta
emite un reporte con datos que permiten prevenir perdidas en el proceso del negocio en un futuro a
corto y largo plazo dentro de la empresa.
Este trabajo demuestra la sugerencia de la estructuración e implementación de la función de la
auditoría en informática dentro de las PyMEs, en el caso particular de GCD, se dio de manera más
natural ya que la empresa cuenta con varios proceso de negocio que trabajan en conjunto con las
TI, es por eso que la alta gerencia le da un alto nivel de ponderación, ya no puede permitir que su
proceso de negocio se detenga a causa de alguna falla de las TI. Considerando fuertemente la
inclusión del área de auditoría en informática, además de conservar su área de sistemas, con un
profesional que tenga el conocimiento técnico, pero sobre todo que emita un fuerte sentido de
confianza.
En aclaraciones, debido a la limitante del tiempo de entregar este trabajo, se omitió la tarea de
generar guías de revisión sobre los controles principales para el aprovechamiento de las TI en las
124
PyMEs, a consecuencia de que el área de auditoría no existía previamente en la PyME del caso de
estudio, así como las diversas debilidades que presento en su área de TI, sin embargo, quedo
como precedente una lista de sugerencias emitida por el grupo auditor responsable del trabajo
presente, el cual dependiendo de los niveles de riesgo que se tiene en la empresa, son aplicables a
las PyMEs en nuestro país.
Y por ende, tampoco se emitió más que un ejemplo de metodologías de revisión del cumplimiento
de procedimientos, normas y controles establecidos en la visión de las PyMEs, pero al igual que el
punto anterior y con base a la opinión del director general de la PyME donde se realizó el caso de
estudio, la metodología presentada cumplió su objetivo dado que permitió incluir a un conjunto de
profesionales dentro de la PyME que entendió la importancia de la auditoría en informática en las
TI. Por lo que tomarán como base la metodología presentada para continuar el proceso de
auditorías continúas y en corto plazo llegar a implementar el área de manera formal y refleje una
cultura de inclusión en el resto del equipo de trabajo de la PyME.
125
BIBLIOGRAFIA
• ANZOLA ROJAS, SÉRVULO. Administración de Pequeñas Empresas (2ª Edición),
McGraw-Hill Interamericana, México, 2002. 361 págs.
• COHEN KAREN, DANIEL Y ASIN LARES ENRIQUE. Tecnologías de Información en los
Negocios (5ª Edición), McGraw-Hill, México, 2009. 334 págs.
• MILLS, DAVID. Manual de Auditoría de la Calidad, Gestión 2000, Barcelona. 1997. 242
págs.
• PIATTINI VELTHUIS, MARIO Y EMILIO DEL PESO NAVARRO Y MAR DEL PESO RUIZ.
Auditoría de Tecnologías y Sistemas de Información. Alfa-omega Ra-Ma, México, 2008.
732 págs.
• PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO EMILIO (Editores). Auditoría
Informática: Un enfoque práctico (2ª Edición).Ra-ma, Madrid, 2001. 660 págs.
• PLANS, JOSÉ. La práctica de la Auditoría Informática. Instituto de Censores Jurados de
Cuentas de España, Madrid, 1986.159 págs.
• RIVAS JUAN, ANTONIO DE y PÉREZ PASCUAL, AURORA. La Auditoría en el desarrollo
de Proyectos Informáticos. Díaz de Santos. Madrid 1998. 178 págs.
• ALEXANDER G., ALBERTO. Diseño de un Sistema de Gestión de Seguridad de
Información. Alfa omega Colombiana S.A, Bogotá, 2007. 176 págs.
PAGINAS EN INTERNET
A. Universo PyME, www.universopyme.com.mx, septiembre/2009.
B. Instituto Nacional de Estadística Geografía e Informática, www.inegi.gob.mx,
septiembre/2009.
C. Comisión Intersecretarial de Política Industrial, www.cipi.gob.mx, septiembre/2009.
D. Asociación de la tecnología de información de América, www.itaa.org.mx, septiembre/2009.
E. Information Systems Audit and Control Association, www.isaca.org, octubre/2009.
F. Riesgos y seguridad, www.telnetsa.es, octubre/2009.
G. Auditoría y normatividad, www.bsigroup.es, octubre/2009.
H. La informática jurídica y su papel en el Derecho Mexicano, www.vlex.com,
noviembre/2009.
I. Comisión Nacional Bancaria y de Valores, www.cnbv.gob.mx, noviembre/2009.
J. International Organization for Standardization 27000, www.iso27000.es, noviembre/2009.
K. International Organization for Standardization, www.iso.org.es, noviembre/2009.
126
L. Asociación Mexicana de la Industria de Tecnologías de Información, www.amiti.org.mx,
noviembre/2009.
M. Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros,
www.condusef.gob.mx, noviembre/2009.
Glosario
- A - Auditar
Es una actividad informática que requiere un determinado desempeño profesional
para cumplir unos objetivos precisos.
Auditoría
Es un control selectivo, efectuado por un grupo independiente del sistema a
auditar, con el objetivo de obtener información suficiente para evaluar el
funcionamiento del sistema bajo análisis.
Auditoría Contable
Está diseñada para evaluar la exactitud de los estados o registros contables.
Auditoría Externa
Es aquella que es realizada por personas ajenas a la empresa auditada.
Auditoría Informática
Es un proceso formal ejecutado por los especialistas del área de auditoría y de
informática, el cual se orienta a la verificación y aseguramiento de que las políticas
y procedimientos establecidos para el manejo y uso adecuado de la TI en la
organización se lleven a cabo de una manera oportuna y eficiente.
Auditoría Interna
Es aquella que es realizada con recursos materiales y personas que pertenecen a
la Empresa auditada.
AI
Acrônimo de Auditoria Informática
127
- C - Calidad
Es la propiedad o conjunto de propiedades inherentes a una cosa que permiten
apreciarla como igual, mejor o peor que las restantes de su especie.
Censo
m. Padrón o lista de la población o riqueza de una nación o pueblo.
CINIF
Consejo Mexicano para la investigación y Desarrollo de Normas de Información
Financiera.
Coadyuvar
tr. Contribuir, asistir o ayudar a la consecución de algo.
Competitividad
Rivalidad para la consecución de un fin.
Confidencialidad
Es aquello que se cumple cuando sólo las personas autorizadas pueden conocer
los datos o la información correspondiente.
Control de Calidad
Es aquello que asegura que las prestaciones son exactas y apropiadas sobre el
servicio o producto.
Controles Correctivos
Son aquellos que corrigen errores, omisiones o actos maliciosos una vez
detectados (pe. Verificación de la fechas de las facturas)
Controles de Detección
Son aquellos que detectan que se ha producido un error, omisión o acto malicioso
e informan de su aparición (pe. Impresión del registro histórico (log))
Controles Generales
Son controles interdependientes válidos para todas las áreas de la organización.
Controles Preventivos
Son aquellos controles diseñados para evitar que se produzca un error, omisión o
acto malicioso. (pe. Software de control de acceso)
128
- D - Disponibilidad
Es aquello que se alcanza si las personas autorizadas pueden acceder a tiempo a
la información a la que estén autorizadas.
Documentación de Auditoría de SI
Es el registro del trabajo de auditoría realizado y la evidencia que respalda los
hallazgos y conclusiones del auditor.
Distribuidores
adj. Que distribuye. U. t. c. s.
- E - Eficacia
Es aquello que permite que una cosa sea eficaz.
Eficiencia
Conjunto de atributos que se refieren a las relaciones entre el nivel de rendimiento
y la cantidad de recursos utilizados bajo unas condiciones predefinidas.
Estándar
Es toda regla aprobada o práctica requerida para el control de la performance
técnica y de los métodos utilizados por el personal involucrado en el Planeamiento
y Análisis de los Sistemas de Información.
Estratificación
tr. Disponer en estratos. U. m. c. prnl.
Evaluación
Es el proceso de recolección y análisis de información, y a partir de ella presentar
las recomendaciones que facilitarán la toma de decisiones.
Evaluación de Riesgo
Es el proceso utilizado para identificar y evaluar riesgos y su impacto potencial.
Evidencia
Es toda información que utiliza el AI para determinar si el ente o los datos
auditados siguen los criterios u objetivos de la auditoría.
129
- F - Fiabilidad
Es el conjunto de atributos que se refieren a la capacidad del software de mantener
su nivel de rendimiento bajo unas condiciones especificadas durante un período
definido.
Funcionalidad
Es el conjunto de atributos que se refieren a la existencia de un conjunto de
funciones y sus propiedades específicas.
- G- Globalización
f. Tendencia de los mercados y de las empresas a extenderse, alcanzando una
dimensión mundial que sobrepasa las fronteras nacionales.
- H - Herramienta
Es el conjunto de elementos físicos utilizados para llevar a cabo las acciones y
pasos definidos en la técnica.
Herramienta de Control
Son elementos de software que permiten definir uno o varios procedimientos de
control para cumplir una normativa y un objetivo de control.
Herramientas de Software de Auditoría
Son programas computarizados que pueden utilizarse para brindar información
para uso de auditoría.
Heterogeneidad
Mezcla de partes de diversa naturaleza en un todo.
- I - IFAC
FEDERACIÓN INTERNACIONAL DE CONTADORES PÚBLICOS
IFAI
130
El Instituto Federal de Acceso a la Información Pública (IFAI) es un organismo del
poder ejecutivo federal de México, con autonomía presupuestaria y de decisión. Es
encargado de:
INEGI
Instituto Nacional de Estadística Geografía e Informática
Informe de Auditoría
Es el producto final del Auditor de SI y un medio formal de comunicar los objetivos
de la auditoría, el cuerpo de las normas de auditoría que se utilizan, el alcance de
auditoría, y los hallazgos y conclusiones.
Integridad
La habilidad de determinar que la información recibida es la misma que la
información enviada.
Internet
Interconexión de redes informáticas que permite a las computadoras conectadas
comunicarse directamente.
I.I.A.
Institute of Internal Auditors
I.M.A.I.
Instituto Mexicano de Auditores Internos, A.C.
Irregularidades
Son las violaciones intencionales a una política gerencial establecida declaraciones
falsas deliberadas u omisión de información del área auditada o la organización
ISO
Organización Internacional para la Normalización) Organización de carácter
voluntario fundada en 1946 que es responsable de la creación de estándares
internacionales en muchas arreas, incluyendo la informática y las comunicaciones.
Esta formada por las organizaciones de normalización de sus 89 países miembro
ISACA
Information Systems Audit and Control Association. Asociación de Auditoría y
Control de Sistemas de Información
IMCP
Acrónimo del Instituto Mexicano de Contadores Públicos.
ITAA
Asociación de la tecnología de información de América.
- L - Legajos
131
Conjunto de papeles, generalmente atados, por estar relacionados entre sí y tratar
sobre un mismo asunto
Legalidad
Es la calidad legal de la información existente.
- M - Metodología
Es un conjunto de etapas formalmente estructuradas, de manera que brinden a los
interesados los siguientes parámetros de acción en el desarrollo de sus proyectos:
plan general y detallado, tareas y acciones, tiempos, aseguramiento de la calidad,
involucrados, etapas, revisiones de avance, responsables, recursos requeridos,
etc.
Modelo
Representación que se sigue como pauta en la realización de algo: toma a su
padre como modelo y le copia en todo lo que puede
- N - Normativa
Es aquello que debe definir de forma clara y precisa todo lo que debe existir y ser
cumplido, tanto desde el punto de vista conceptual, como práctico, desde lo
general a lo particular.
- O - Objetivo de Control:
Son declaraciones sobre el resultado final deseado o propósito a ser alcanzado
mediante las protecciones y los procedimientos de control. Son los objetivos a
cumplir en el control de procesos.
- P - Password
Conocida también como 'clave de acceso'. Palabra o clave privada utilizada para
confirmar una identidad en un sistema remoto que se utiliza para que una persona
no pueda usurpar la identidad de otra.
Procedimiento
Método o sistema estructurado para la ejecución de actividades. En computación,
una subrutina o subprograma, como idea general, se presenta como un algoritmo
separado del algoritmo principal, el cual permite resolver una tarea específica
132
Proceso
Conjunto de operaciones lógicas y aritméticas ordenadas, cuyo fin es la obtención de resultados.
PyMEs
Pequeñas y Medianas Empresas
Pruebas de Cumplimiento
Son aquellas que proporcionan evidencia de que los controles claves existen y que
son aplicables efectiva y unifórmenle.
- R - Restricciones
Son los hechos o circunstancias que están ocurriendo o que pueden ocurrir en el
transcurso de la Auditoría y que van a afectar directa o indirectamente al proyecto.
Resumen Ejecutivo
Es un informe de fácil lectura, gramaticalmente correcto y breve que presenta los
hallazgos a la gerencia en forma comprensible.
Riesgo
Es la posibilidad de que ocurra un hecho o suceso que pueda tener efecto adverso
sobre la organización y sus sistemas de información.
Rol
Función que una persona desempeña en un lugar o situación determinados
Rubro
Título, rótulo.
- S - Sinergia
f. Acción de dos o más causas cuyo efecto es superior a la suma de los efectos
individuales
Software de Auditoría
Son paquetes que pueden emplearse para facilitar la labor del auditor.
Stress testing Es una forma de las pruebas, que es usada para determinar la estabilidad de un
sistema dado o la entidad. Esto implica pruebas más allá de la capacidad normal
operacional, a menudo a un límite, para observar los resultados. La prueba de
133
estrés puede tener un significado más específico en ciertas industrias, como
pruebas de fatiga para materiales.
- T - Técnica
Son el conjunto de pasos ordenados lógicamente para apoyarse en la terminación
(cómo hacerlo) de todas las acciones o tareas estimadas en el proyecto emanado
de la metodología.
Técnica de Sistemas
Es la actividad a desempeñar para instalar y mantener en adecuado orden de
utilización la infraestructura informática.
TI
Tecnologías de información
- V - Versátiles
Que se vuelve o se puede volver fácilmente.
Vertientes
Aspecto, punto de vista.
Vulnerabilidad
Es la situación creada, por falta de uno o varios controles, con lo que la amenaza
pudiera acaecer y así afectar al entorno informático.
134
ANEXOS
135
Anexo 6.1 Proceso de planificación del área de auditoría
El siguiente diagrama muestra el proceso que debe de seguirse para la planificación del desarrollo
de un área de auditoría en informática (Fig. 6.1).
136
Anexo 6.2 Matriz de Cumplimiento
N° OBJETIVO PROCEDIMIENTO DOCUMENTO / REFERENCIA
1
Definición dentro de
la organización del
área de auditoría en
informática.
Integrar dentro de la estructura
orgánica, el área de auditoría en
informática
Anexo 6.1 Proceso de
planificación del área de
auditoría.
2
Establecimiento de la
Misión y visión del
área de auditoría en
informática.
Analizar el diagrama de la estructura
orgánica y revisar las jerarquías,
funciones objetivos.
Diagrama 6.1
Diagrama 6.2
3
Establecimiento de
las responsabilidades
del área de auditoría
en informática.
Crear documento en donde establezca
las responsabilidades del área de
auditoría en informática.
Anexo 6.3 Estatuto de
auditoría interna.
Anexo 6.4 Reglamento
del comité de auditoría.
4
Perfiles del auditor
del área de auditoría
en informática
Especificar la responsabilidad para
establecer los objetivos de control.
Anexo 6.5 Perfil del
auditor
5
Creación de Planes
de trabajo del área
de auditoría.
Elaborar manual de especificaciones.
Para evaluar los riesgos establecidos
en dicho documento.
Anexo 6.6 Modelo de
madurez.
Anexo 6.7 Cronograma
de conformación del
área.
Anexo 6.8 Fases del
desarrollo de la
conformación del área.
6
Aplicación de la
metodología para la
elaboración del
trabajo
Establecer los procedimientos que
definen la forma de realizar la
actividad del área de auditoría en
informática.
Anexo 6.9 Documentos
de trabajo de la primer
auditoría realizada.
137
Anexo 6.3 Estatuto de auditoría interna
México DF a de Fines: El Departamento de auditoría interna de Grupo Corporativo Diamante, tiene la responsabilidad de
aconsejar a todos los escalones de dirección y al consejo, a través de su comité de auditoría, sobre
la calidad de las operaciones del Grupo, principalmente sobre sus sistemas de control, es decir es
una línea de revisión que no exime a la dirección de su responsabilidad de control efectivo.
Estas operaciones se realizan evaluaciones independientes que se traduzcan en informes sobre
hallazgos y recomendaciones, remitidos, según convenga a:
a) Los niveles de la dirección que deben conocer su funcionamiento y por ende puedan
acordar las acciones apropiadas preventivas
b) El comité de auditoría del consejo
Autoridad:
El consejo se compromete a fungir de acuerdo con el Code of Ethics, Standars y Guidelines del
Instituto de Auditores Internos y en los cuerpos profesionales correspondientes, cumpliendo así los
requerimientos de las autoridades correspondientes, en cuanto a los sectores que son
responsabilidad de la auditoría interna.
Con esta premisa como consigna, el grupo de auditoría interna recibe su autoridad de la dirección
general y del consejo, a cuyo comité de auditoría tiene libre acceso.
La entidad también concede a este órgano, a los fines de su trabajo de auditoría, libre acceso en
cualquier momento a todos los registros, personal, propiedad y operaciones de la entidad, con la
responsabilidad estricta de seguridad y confidencialidad.
El comité de auditoría del consejo revisará el alcance y naturaleza del trabajo de la auditoría
interna, para confirmación de su independencia, recibe y revisa sus informes al comité.
Bajo ninguna circunstancia el grupo de auditoria intervendrá en operaciones comerciales directas,
ni tiene responsabilidad directa, ni autoridad en las actividades que revisa.
138
Responsabilidades: El jefe del área de auditoría en informática es responsable de la determinación del programa de
trabajo de la auditoría interna del grupo, de modo que la dirección y el consejo pueden estar
seguros de la objetividad de los informes de auditoría.
Para ofrecer esta seguridad a la dirección y al Consejo, el alcance del trabajo de auditoría interna
incluye la confirmación, en el país y en extranjero y en todos los niveles de la entidad de que:
Los activos del Grupo están salvaguardados, las operaciones se realizan con efectividad, en
ciencia y economía, de acuerdo con la política y procedimientos del grupo, así como las leyes y
reglamentos, y los registro del grupo de auditoría son exactos y fidedignos.
Es responsabilidad de la función de auditoría realizar la revisión de los sistemas, y por ende está
facultado para realizar revisiones especiales a petición de la dirección o del consejo.
La función de auditoría no está exenta de responsabilidad en los sectores del negocio de Grupo
Corporativo Diamante, que se hallan sujetos a revisión por terceros, pero determinando hasta que
punto se puede confiar en el trabajo de aquellos y coordinar su plan de auditorías con el de otras
agencias revisoras.
Director del área de auditoría Director General en Informática
139
Anexo 6.4 Reglamento del Comité de auditoría. El comité de auditoría es un comité principal del consejo de grupo, sin poderes ejecutivos, que
comprende al menos tres directores no ejecutivos y que elige su presidente entre los miembros del
comité. Estos miembros son designados por el consejo de grupo, siendo directores no ejecutivos
libres de cualquier relación que según el consejo de administración pudiese interferir en el ejercicio
de su juicio independiente como miembros del comité.
A petición del presidente, el director financiero y otros directores ejecutivos asistirán a las
reuniones del comité o la discusión de puntos específicos del orden del día, también si así se
considera apropiado puede invitarse a representantes de los auditores externos.
El comité se reunirá al menos tres veces al año (durante la preparación de los informes provisional
y definitivo y, en la tercera reunión, para ocuparse sobre todo en el control de dirección y auditoría
interna, informando por escrito al consejo de grupo de los mismo, extendiendo así su jurisdicción a
todas las operaciones del grupo. Así mismo el secretario del consejo del grupo fungirá como
secretario del comité.
Por lo que las responsabilidades del comité son:
• Examinar la manera como la dirección asegura y comprueba la adecuación de la
naturaleza, extensión y efectividad de los sistemas de control interno.
• En general, revisar las cuentas estatutarias y otros estados financieros e información.
• Regular las relaciones con auditores externos, para asegurarse, de que no existen
restricciones en el alcance de la auditoria estatutaria
• Hacer recomendaciones sobre el nombramiento, remuneración y despido de auditores, y
revisar las actividades, hallazgos conclusiones y recomendaciones de los auditores
externos.
• Revisar las medidas tomadas por la dirección para el cumplimiento de los requisitos de
regulación e información financiera.
• Aprobar el nombramiento y cese del jefe de auditoría interna que tendrá derecho de
acceso directo en cualquier momento al presidente del comité.
140
• Revisar el alcance y naturaleza del trabajo del departamento de auditoría interna, designar
a quien este departamento debe informar, recibir y revisar informes y, en caso conveniente,
determinar que encargos de auditoría se efectúan en nombre del comité.
Los miembros actuales del comité son167:
FECHA:
Aprobado por el Consejo de
Grupo Corporativo Diamante.
167 *por motivos de seguridad no se proporcionan los nombres del personal
141
Anexo 6.5 Perfil del auditor. El personal que ejerza la función de auditoría debe de cumplir con el siguiente perfil tanto en
conocimientos tecnológicos, como administrativos.
Habilidades:
• Tener mente abierta, es decir, no llevar predisposición de nada.
• Ser imparcial
• No debe pertenecer a la empresa o en su defecto no debe trabajar en el área a auditar.
• Tener formación informática y experiencia en el sector, tener conocimiento de lo que va a
auditar.
• Independencia y objetividad
• Madurez
• Capacidad de síntesis y análisis
• Capacidad para comprender los procesos y flujos de información
Conocimientos Tecnológicos:
• Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de
desarrollo.
• Debe conocer técnicas de administración de empresas y de cambio, ya que las
recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la
empresa y a los recursos que se poseen.
• Tener el conocimiento del manejo básico de alguna de las herramientas para el análisis y
extracción de la información que apoyan a las conclusiones de las auditorias.
• Análisis de riesgos en un entorno informático.
• Sistemas operativos
• Telecomunicaciones
• Gestión de bases de datos
• Redes locales
• Seguridad física
• Operación y planificación informática
• Gestión de la seguridad de los sistemas y de la continuidad empresarial
• Gestión de problemas y de cambios en entornos informáticos
• Administración de datos
• Ofimática
• Comercio electrónico
• Encriptación de datos.
142
Anexo 6.6 Modelo de madurez
143
Anexo 6.7 Cronograma de conformación del área
144
Anexo 6.8 Fases del desarrollo de la conformación del área 6.8.1 Fase de Análisis y Diagnóstico
1. Preparación y recopilación de
datos
• Entender la misión y funciones de las Áreas de TI y SI y que es lo
que se espera de ellas a lo largo del proyecto.
• Asegurar que las tareas resultantes del proyecto estén alineadas
con el rumbo de la organización.
2. Evaluación de la situación
actual
• Identificar todos los procesos de gestión de TI y SI alcanzados.
• Evaluar el grado de madurez de cada proceso relevado.
• Priorizar los aspectos que requieren adecuación, identificando los
que son de rápida implementación con escasos ajustes y costos
asociados
3. Análisis GAP
• Definir el nivel de madurez de todos los procesos de TI y SI
alcanzados.
• Identificar las áreas de mejora para cumplir con las normas y
reglamentaciones vigentes y mejores prácticas.
• Dimensionar el impacto y los esfuerzos para cumplir con las
normas y los esfuerzos asociados a cada acción identificada.
• Establecer los parámetros para elaborar el Plan Estratégico de
adecuación.
4. Análisis de Riesgos
• Definición de un proceso formal y metodología de identificación
para la evaluación y análisis de riesgos relacionados con sistemas
de información, tecnología informática, seguridad de la información
y recursos asociados.
5. Mejoras
• Mostrar resultados concretos en un plazo breve y contribuir a la
motivación de todos los involucrados en el proyecto, además de
cumplir con las normativas.
• Monitorear la adaptación al cambio de todos los componentes de la
organización.
• Evaluar la necesidad de incorporar ajustes a la evaluación inicial.
145
6.8.2 Plan Estratégico y Plan Táctico
Plan Estratégico
• Establecer el estado objetivo.
• Definir la forma de abordaje del estado objetivo.
• Establecer los lineamientos para elaborar el Plan Táctico de
Adecuación.
Plan Táctico
• Establecer los recursos afectados en cada área, tiempos y esfuerzo
requeridos.
• Evaluar alternativas de cada acción con un racional de Riesgo/Costo
de Implementación – Costo de Oportunidad.
146
Anexo 6.9 Documentos de trabajo de la primer auditoría realizada. Análisis de auditoría:
Área auditada: Área de Sistemas
Dentro de las funciones del área de sistemas están las siguientes:
• El departamento de sistemas se encarga de encontrar las variables que nos permitan
identificar y medir los puntos fuertes, los puntos débiles, las oportunidades y las
amenazas de nuestra organización (GCD) Las fortalezas y debilidades internas son
muy importantes ya que nos ayudan a entender la posición de cada departamento
mediante planes de contingencia.
• Estos planes implican analizar posibles riesgos a los que puede estar expuesto el
equipamiento informático y la información que poseemos (en cualquier medio de
almacenamiento). Con esto lo que hacemos es reducir la posibilidad de que pueda
ocurrir algún percance y, por otra, si ocurre, prever con acciones). Debido al riesgo de
que a pesar de todas las medidas que se tomen pueda ocurrir un percance este plan
también incluye un plan de recuperación de daños, que tiene como objetivo restaurar el
servicio informático cuanto antes y minimizar el coste y las pérdidas en la medida que
se pueda.
• Se detectan necesidades mediante peticiones, lo importante al evaluar una necesidad
es valorar si se puede resolver o no, Desde cualquier lugar de la organización que
requiere algo, sin saber si es posible o no técnicamente. Desde el mismo departamento
de informática para mejorar el servicio y el rendimiento.
• Se efectúan ACTUALIZACIONES de software y de hardware ( Este punto es en base a
presupuestos previamente analizados por la PRESIDENCIA de la organización y el
departamento de FINANZAS).
• Se efectúan respaldos diarios de la información, con esto se evitan perdidas de
información.
• A través del departamento de sistemas se lleva un control de inventario de los equipos
de cómputo y asesoría en la compra de los consumibles.
147
• Se encarga de diagnosticar las necesidades de cada usuario dentro de GCD así como
mantener los equipos en óptimas condiciones, planea y analiza nuevos proyectos de
tecnología que permitan a GCD estar a la vanguardia.
• Provee mantenimiento preventivo y correctivo a los equipos que se tienen en uso.
• Estructura la red para optimizar recursos, planea y busca los mejores proveedores de
servicios.
• Propone los sistemas de manejo de información y programas que se le requieran para
el buen funcionamiento de los servicios de la empresa, tales como acreditación del
personal, administración, facturación y demás que dentro de su ámbito de competencia
se requieran.
• Asiste a los diferentes departamentos y áreas de la empresa en el mantenimiento de
los equipos de cómputo y en las asesorías que éstas requieran sobre información y
sistemas operativos.
• Maneja los equipos especiales como proyectores, computadoras portátiles,
componentes de computación, programas y licencias de operatividad que se requieran
para el desempeño de las funciones de manejo de información en la empresa.
• Responsable del acceso a sistemas de información restringida por personal
previamente autorizado para su empleo,
Recursos Tecnológicos:
El área de sistemas de GCD está compuesta por el siguiente Hardware:
• 73 Equipos PC’s con Windows XP Professional
• 1 Equipo Windows 7
• 2 Servidores Windows Server 2003
• 1 Servidor Windows NT
• 1 Servidor Exchange
• 1 Firewall
• 1 Router
• 1 Switch
148
• 1 Conmutador
• 6 UP’s
• 1 Fuente de Poder Externa.
• 2 líneas telefónicas analógicas y digitales
• 1 red LAN con cableado estructurado.
Actividades del Estudio y Evaluación de la Organización:
• Se reviso el organigrama del área de sistemas
• Se realizo carta de presentación de la primer auditoria
• Se estableció el objetivo y el alcance de la misma, los cuales se relatan a continuación:
OBJETIVO: Verificar la seguridad física de la red, protección y tendido adecuado de cables y líneas de
comunicación para minimizar accesos físicos y un control de las líneas telefónicas, con el objeto
de mantener la seguridad física y el correcto funcionamiento del equipo de comunicación que
permite el control de acceso a la red local física.
ALCANCE: Revisión, evaluación y seguridad al 100% de la administración de la red física y telefónica del
Grupo Corporativo Diamante.
149
Con base en lo anterior se determino el siguiente plan de actividades:
150
A continuación se muestra la matriz de cumplimiento de la primera auditoría realizada.
N° OBJETIVO PROCEDIMIENTO
1
Verificar el equipo de comunicaciones
si se encuentra en habitaciones
cerradas con acceso limitado a
personal autorizado.
Se observara el lugar donde se encuentran
los Equipos de Comunicación y se tomara
evidencia.
2
Verificar el tendido o cableado de las
líneas de comunicación y telefónicas se
encuentren etiquetadas con un código
y validar que estén fuera de la vista.
Se observa dicha prueba de cumplimiento y
se tomara evidencia de la situación.
3 Verificar la existencia de políticas para
la protección de cables e impedir la
conexión a personas no autorizadas.
Solicitar documento en donde especifique
claramente sobre la protección de cables de
comunicación
4
Validar que exista un plan de
recuperación de desastres para todos
aquellos servicios que soportan los
sistemas de comunicación de datos.
Solicitar documento en donde nos explique
el plan de recuperación y solicitar una copia.
5
Verificar que existan planes de
contingencia que solo afecten a las
comunicaciones, como el fallo total de
los equipos.
Solicitar documento y plan en donde se
realicen dichos planes de continencia.
6 Verificar si existen alternativas de
respaldo de comunicaciones, como por
ejemplo equipo físico.
Observar el Equipo que se encuentra de
respaldo de comunicaciones.
7
Validar que las líneas telefónicas
analógicas cuentas con algún
dispositivo o procedimiento de
seguridad.
Observar que las líneas telefónicas
analógicas cuenten con algún dispositivo de
seguridad y pedir documento en donde se
hable de la seguridad de las líneas.
151
Se aplicaron cuestionarios y se realizaron los ejercicios pertinentes a para lograr el desarrollo de
las actividades de la matriz de cumplimento, logrando identificar los riesgos, impactos y causas
conformadas en la siguiente matriz de riesgos:
MATRIZ DE RIESGOS
OBSERVACION IMPACTO CAUSA
Observación 1 Todos los
equipos de comunicación
se encuentren físicamente
en 2 lugares diferentes, en
el site no trabajan en la
temperatura y humedad
correcta, en el otro lugar
cualquiera tiene acceso a
los equipos.
• Calentamiento de los
equipos y por ende
reducción de vida útil.
• Robo de los equipos.
• Deterioro mal
intencionado por parte
del personal.
• Falta de acondicionamiento del
lugar físico donde se encuentra
el site.
Observación 2 Se detecto
que en la empresa GDC,
existe un hueco donde es
visible parte del cableado
de la red para cualquier
personal.
• Deterioro en el
cableado de la red.
• Fallas en la red.
•
• Falta de acondicionamiento del
lugar físico donde se encuentra
el site.
Observación 3 No existe
ninguna política que haga
referencia al acceso
indebido a la red, existe
una carta responsiva sobre
el uso de Hardware y
Software de manera
general pero no existe la
especificación del acceso
indebido a la red de GDC.
• Mala utilización de
recursos de red.
• Proliferación de virus y
SPAMS.
• Intrusión de la red.
• Inexistencia de una política de
acceso a la red.
• Inexistencia de manuales y
procedimientos de uso de la
red.
Observación 4 Existe el
riesgo de sufrir un
desastre, y no existe un
Plan de continuidad del
Negocio.
• Cese de actividades
productivas.
• Pérdida económica.
• Pérdida de Clientes
• Falta de inversión en
infraestructura.
• Inexistencia de un plan de
continuidad del negocio.
152
Observación 5 Los equipos
críticos que soportan el
negocio de GDC no
cuentan con infraestructura
que soporte.
• Perdida de información.
• Inoperatividad del
negocio.
• Falta de inversión en
infraestructura.
Observación 6 Aunque se
tiene respaldo del equipo
de telefonía, el site donde
se encuentra dicho equipo
no cuenta con aire
acondicionado lo que el
riesgo es inminente en el
fallo de los equipos.
• Disminución de la vida
útil de los equipos.
• Perdida de los equipos
debido al deterioro.
•
• Falta de acondicionamiento del
lugar físico donde se encuentra
el site.
153
Con base a las pruebas de cumplimiento se recopilo la información a manera de concentrado en la siguiente matriz de pruebas de cumplimento
MATRIZ DE CUMPLIMIENTO
OBSERVACION IMPACTO CAUSA SUGERENCIA
Observación 1 Todos
los equipos de
comunicación se
encuentren físicamente
en 2 lugares diferentes,
en el site no trabajan
en la temperatura y
humedad correcta, en
el otro lugar cualquiera
tiene acceso a los
equipos.
• Calentamiento de
los equipos y por
ende reducción de
vida útil.
• Robo de los
equipos.
• Deterioro mal
intencionado por
parte del personal.
• Falta de
acondicionamie
nto del lugar
físico donde se
encuentra el
site.
• Adecuación del
lugar en donde
deberán de
encontrarse
físicamente el Site,
bajo condiciones
correctas de
temperatura y
humedad.
Observación 2 Se
detecto que en la
empresa GDC, existe
un hueco donde es
visible parte del
cableado de la red para
cualquier personal.
• Deterioro en el
cableado de la red.
• Fallas en la red.
• Falta de
acondicionamie
nto del lugar
físico donde se
encuentra el
site.
• Mantenimiento de
físico de la
instalaciones de
GCD.
Observación 3 No
existe ninguna política
que haga referencia al
acceso indebido a la
red, existe una carta
responsiva sobre el
uso de Hardware y
Software de manera
general pero no existe
la especificación del
acceso indebido a la
red de GDC.
• Mala utilización de
recursos de red.
• Proliferación de
virus y SPAMS.
• Intrusión de la red.
• Inexistencia de
una política de
acceso a la red.
• Inexistencia de
manuales y
procedimientos
de uso de la
red.
• Creación de las
políticas de
accesibilidad de la
res.
• Creación de
manuales y
procedimientos de
uso de la red.
154
Observación 4 Existe
el riesgo de sufrir un
desastre, y no existe
un Plan de continuidad
del Negocio.
• Cese de
actividades
productivas.
• Pérdida
económica.
• Pérdida de
Clientes
• Falta de
inversión en
infraestructura.
• Inexistencia de
un plan de
continuidad del
negocio.
• Creación del plan
de continuidad del
negocio.
• Inyección de
inversiones a la
infraestructura.
Observación 5 Los
equipos críticos que
soportan el negocio de
GDC no cuentan con
infraestructura que
soporte.
• Perdida de
información.
• Inoperatividad del
negocio.
• Falta de
inversión en
infraestructura.
• Inversión en
infraestructura.
Observación 6 Aunque
se tiene respaldo del
equipo de telefonía, el
site donde se
encuentra dicho equipo
no cuenta con aire
acondicionado lo que el
riesgo es inminente en
el fallo de los equipos.
• Disminución de la
vida útil de los
equipos.
• Perdida de los
equipos debido al
deterioro.
• Falta de
acondicionamie
nto del lugar
físico donde se
encuentra el
site.
• Adecuación del
lugar en donde
deberán de
encontrarse
físicamente todos
los equipos de
comunicación, bajo
condiciones
correctas de
temperatura y
humedad
155
Quedando la consolidación de los riesgos de la siguiente forma, para dar pie al resumen final y
conclusiones generales:
Observación Riesgo Sugerencia Observación 1 Todos los equipos de comunicación se encuentren físicamente en 2 lugares diferentes, en el site no trabajan en la temperatura y humedad correcta, en el otro lugar cualquiera tiene acceso a los equipos.
Alto
Todos los equipos de comunicación se encuentren físicamente en el mismo lugar y trabajen bajo las condiciones correctas de temperatura y humedad.
Observación 7 Aunque se tiene respaldo del equipo de telefonía, el site donde se encuentra dicho equipo no cuenta con aire acondicionado lo que el riesgo es inminente en el fallo de los equipos.
Alto
Que se tenga aire acondicionado en el site.
Observación 6 Los equipos críticos que soportan el negocio de GDC no cuentan con infraestructura que soporte.
Alto
Crear un Plan de continuidad del negocio
Observación 3 No existe ninguna política que haga referencia al acceso indebido a la red, existe una carta responsiva sobre el uso de Hardware y Software de manera general pero no existe la especificación del acceso indebido a la red de GDC.
Medio
Crear una Política que haga referencia al uso de la red.
Observación 4 Existe el riesgo de sufrir un desastre, y no existe un Plan de continuidad del Negocio.
Medio
Crear un Plan de Continuidad del Negocio.
Observación 5 No existe ningún plan de contingencia en caso de fallo de la infraestructura tecnológica
Medio
Crear un nivel de servicio de los equipos de TI.
Observación 2 Se detecto que en la empresa GCD, existe un hueco donde es visible parte del cableado de la red para cualquier personal.
Medio
Tapar un hoyo que visualiza el cableado de la red.
156
CONCLUSIONES GENERALES: De acuerdo con los resultados obtenidos y partiendo del objetivo de la auditoría el cual se centra
en la revisión de la eficacia y mejora del SGC y el cumplimiento y desempeño de los procesos, se
considera que se obtuvo un resultado satisfactorio en auditoría interna, de acuerdo con lo
siguiente:
Se considera que se tuvo un incremento importante de la importancia de la implementación de los
planes de la calidad, lo cual impacta directamente en una mejora del desempeño de los procesos.
En su mayoría las observaciones corresponden a oportunidades de mejora detectadas a los planes
de la calidad y por la incorrecta aplicación del procedimiento de Control de Documentos y
Registros.
Se aprecia la disposición en cuanto al número de observaciones que se detectaron a mejorar, lo
cual indica que cada vez más personal que participa en el SGC conoce, aplica y domina los
conceptos y estructura del SGC, así como sus procesos, situación que favorece la estandarización
de los procesos y facilita la evaluación institucional.
El grupo de auditores indico que manteniéndose los correspondientes controles a la falta de
atención en tiempo y forma de los hallazgos de auditoría, así como de la realización de las
acciones correctivas y preventivas, se esperan mejoras para la segunda auditoría a realizar.
De acuerdo a lo anterior se considera que los resultados han sido favorables, se tiene un avance
en cuanto a la eficacia y mejora del SGC y en cuanto al desempeño de los procesos, sin embargo
como parte de la naturaleza del SGC se deberá seguir trabajando intensamente en la mejora
continua del mismo.
157
Diagrama 6.1
158
Diagrama 6.2
Dirección del Área de Auditoría en Informática
(Auditor Líder)
Auditor Interno 1 Auditor interno 2
Diagrama 6.2