Unidad I

782 views

Published on

Información correspondiente a delitos informático, perfil del auditor y auditoria de sistemas.

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
782
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Unidad I

  1. 1. 1ELEMENTOS DE LA AUDITORIA DE SISTEMASDelitos InformáticosConcepto:El delito informático implica actividades criminales que en un primer momento los países han tratado deencuadrar en figurar típicas de carácter tradicional, tales como robos o hurto, fraudes, falsificaciones,perjuicios, estafa, sabotaje, etcétera. Sin embargo, debe destacarse que el uso de las técnicasinformáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciadoa su vez la necesidad de regulación por parte del derecho.Las personas que cometen los "Delitos Informáticos" son aquellas que poseen ciertas características queno presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidadespara el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran enlugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso delos sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laboralesque faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autoresde los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de losdelitos cometidos. De esta forma, la persona que "ingresa" en un sistema informático sin intencionesdelictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentasde sus clientes.Características de los Delitos Informáticos: 1. Son conductas criminales de cuello blanco, en tanto que un determinado número de personas con ciertos conocimientos (técnicos especializados) puede llegar a cometerlos. 2. Son acciones ocupacionales, ya que muchas veces se llevan a cabo cuando el sujeto está trabajando. 3. Son acciones de oportunidad, ya que se aprovecha una acción creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico. 4. Provocan serias pérdidas económicas, ya que casi siempre producen “beneficios” de más de cinco cifras a aquellos que las realizan. 5. Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundos y sin una necesaria presencia física pueden llegar a consumarse. 6. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. 7. Son muy sofisticados y relativamente frecuentes en el ámbito familiar. 8. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.CLASIFICACIONTIPOS DE DELITOS INFORMATICOS RECONOCIDOS POR NACIONES UNIDAS.CLASIFICACION SEGÚN LA ACTIVIDAD INFORMATICA****** Auditoria de Sistemas Prof. Zoraivett Rodriguez
  2. 2. 2DELITO CARACTERISTICASFraudes cometidos mediante manipulación de computadoras. Este tipo de fraude informático conocido también como sustracción de datos,Manipulación representa el delito informático más común ya que es fácil de cometer y difícil dede los datos de descubrir. Este delito no requiere de conocimientos técnicos de informática y puedeentrada realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevosLa programas o nuevas rutinas. Un método común utilizado por las personas que tienenmanipulación conocimientos especializados en programación informática es el denominado Caballode programas de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante laManipulación falsificación de instrucciones para la computadora en la fase de adquisición de datos.de los datos de Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sinsalida embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.Fraude aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnicaefectuado por especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas"manipulación apenas perceptibles, de transacciones financieras, se van sacando repetidamente deinformática una cuenta y se transfieren a otra.Falsificaciones informáticas.Como objeto Cuando se alteran datos de los documentos almacenados en forma computarizada. Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación deComo falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copiasinstrumentos de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.Daños o modificaciones de programas o datos computarizados. Es el acto de borrar, suprimir o modificar sin autorización funciones o datos deSabotaje computadora con intención de obstaculizar el funcionamiento normal del sistema. Lasinformático técnicas que permiten cometer sabotajes informáticos son: Es una serie de claves programáticas que pueden adherirse a los programas legítimos yVirus propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como Auditoria de Sistemas Prof. Zoraivett Rodriguez
  3. 3. 3 utilizando el método del Caballo de Troya. Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, lasGusanos consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las queBomba lógica poseen el máximo potencial de daño. Su detonación puede programarse para queo cronológica cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba.Acceso noautorizado a Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratasservicios y informáticos (hackers) hasta el sabotaje o espionaje informático.sistemasinformáticos El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas dePiratas seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentesinformáticos o de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticoshackers se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos.Reproducción Algunas jurisdicciones han tipificado como delito esta clase de actividad y la hanno autorizada sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionalesde programas con el tráfico de esas reproducciones no autorizadas a través de las redes deinformáticos telecomunicaciones modernas. Al respecto, consideramos, que la reproducción node protección autorizada de programas informáticos no es undelito informático debido a que el bienlegal jurídico a tutelar es la propiedad intelectual. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  4. 4. 4LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOSGaceta Oficial Nº 37.313 del 30 de octubre de 2001LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOSTITULO IDISPOSICIONES GENERALESArtículo 1 Objeto de la Ley La presente Ley tiene por objeto la protección integral de los sistemas queutilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contratales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichastecnologías, en los términos previstos en esta Ley.TITULO II DE LOS DELITOSCapítulo I De los Delitos Contra los Sistemas que Utilizan Tecnologías de InformaciónArtículo 6 Acceso Indebido Toda persona que sin la debida autorización o excediendo la que hubiereobtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, serápenado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.Artículo 7 Sabotaje o Daño a Sistemas Todo aquel que con intención destruya, dañe, modifique o realicecualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de informacióno cualesquiera de los componentes que lo conforman, será penado con prisión de cuatro a ocho años ymulta de cuatrocientas a ochocientas unidades tributarias.Incurrirá en la misma pena quien destruya, dañe, modifique o inutilice la data o la información contenidaen cualquier sistema que utilice tecnologías de información o en cualesquiera de sus componentes.La pena será de cinco a diez años de prisión y multa de quinientas a mil unidades tributarias, si losefectos indicados en el presente artículo se realizaren mediante la creación, introducción o transmisión,por cualquier medio, de un virus o programa análogo.Artículo 8 Favorecimiento Culposo del Sabotaje o Daño Si el delito previsto en el artículo anterior secometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, seaplicará la pena correspondiente según el caso, con una reducción entre la mitad y dos tercios.Artículo 9 Acceso Indebido o Sabotaje a Sistemas Protegidos Las penas previstas en los artículosanteriores se aumentarán entre una tercera parte y la mitad, cuando los hechos allí previstos o susefectos recaigan sobre cualesquiera de los componentes de un sistema que utilice tecnologías deinformación protegido por medidas de seguridad, que esté destinado a funciones públicas o quecontenga información personal o patrimonial de personas naturales o jurídicas. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  5. 5. 5Artículo 10 Posesión de Equipos o Prestación de Servicios de Sabotaje Quien importe, fabrique,distribuya, venda o utilice equipos, dispositivos o programas; con el propósito de destinarlos a vulnerar oeliminar la seguridad de cualquier sistema que utilice tecnologías de información; o el que ofrezca opreste servicios destinados a cumplir los mismos fines, será penado con prisión de tres a seis años ymulta de trescientas a seiscientas unidades tributarias.Artículo 11 Espionaje Informático Toda persona que indebidamente obtenga, revele o difunda la data oinformación contenidas en un sistema que utilice tecnologías de información o en cualesquiera de suscomponentes, será penada con prisión de tres a seis años y multa de trescientas a seiscientas unidadestributarias.La pena se aumentará de un tercio a la mitad, si el delito previsto en el presente artículo se cometierecon el fin de obtener algún tipo de beneficio para sí o para otro.El aumento será de la mitad a dos tercios, si se pusiere en peligro la seguridad del Estado, la confiabilidadde la operación de las instituciones afectadas o resultare algún daño para las personas naturales ojurídicas, como consecuencia de la revelación de las informaciones de carácter reservado.Artículo 12 Falsificación de Documentos Quien, a través de cualquier medio, cree, modifique o elimineun documento que se encuentre incorporado a un sistema que utilice tecnologías de información; ocree, modifique o elimine datos del mismo; o incorpore a dicho sistema un documento inexistente, serápenado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias.Cuando el agente hubiere actuado con el fin de procurar para sí o para otro algún tipo de beneficio, lapena se aumentará entre un tercio y la mitad.El aumento será de la mitad a dos tercios si del hecho resultare un perjuicio para otro.Capítulo IIDe los Delitos Contra la PropiedadArtículo 13 Hurto Quien a través del uso de tecnologías de información, acceda, intercepte, interfiera,manipule o use de cualquier forma un sistema o medio de comunicación para apoderarse de bienes ovalores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin deprocurarse un provecho económico para sí o para otro, será sancionado con prisión de dos a seis años ymulta de doscientas a seiscientas unidades tributarias.Artículo 14 Fraude Todo aquel que, a través del uso indebido de tecnologías de información, valiéndosede cualquier manipulación en sistemas o cualquiera de sus componentes, o en la data o información enellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado quepermita obtener un provecho injusto en perjuicio ajeno, será penado con prisión de tres a siete años ymulta de trescientas a setecientas unidades tributarias.Artículo 15 Obtención Indebida de Bienes o Servicios Quien, sin autorización para portarlos, utilice unatarjeta inteligente ajena o instrumento destinado a los mismos fines, o el que utilice indebidamente Auditoria de Sistemas Prof. Zoraivett Rodriguez
  6. 6. 6tecnologías de información para requerir la obtención de cualquier efecto, bien o servicio; o paraproveer su pago sin erogar o asumir el compromiso de pago de la contraprestación debida, serácastigado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.Artículo 16 Manejo Fraudulento de Tarjetas Inteligentes o Instrumentos Análogos Toda persona que porcualquier medio, cree, capture, grabe, copie, altere, duplique o elimine la data o información contenidasen una tarjeta inteligente o en cualquier instrumento destinado a los mismos fines; o la persona que,mediante cualquier uso indebido de tecnologías de información, cree, capture, duplique o altere la datao información en un sistema, con el objeto de incorporar usuarios, cuentas, registros o consumosinexistentes o modifique la cuantía de éstos, será penada con prisión de cinco a diez años y multa dequinientas a mil unidades tributarias.En la misma pena incurrirá quien, sin haber tomado parte en los hechos anteriores, adquiera,comercialice, posea, distribuya, venda o realice cualquier tipo de intermediación de tarjetas inteligenteso instrumentos destinados al mismo fin, o de la data o información contenidas en ellos o en un sistema.Artículo 17 Apropiación de Tarjetas Inteligentes o Instrumentos Análogos Quien se apropie de unatarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o quehaya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a unapersona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años ymulta de diez a cincuenta unidades tributarias.La misma pena se impondrá a quien adquiera o reciba la tarjeta o instrumento a que se refiere elpresente artículo.Artículo 18 Provisión Indebida de Bienes o Servicios Todo aquel que, a sabiendas de que una tarjetainteligente o instrumento destinado a los mismos fines, se encuentra vencido, revocado; se hayaindebidamente obtenido, retenido, falsificado, alterado; provea a quien los presente de dinero, efectos,bienes o servicios, o cualquier otra cosa de valor económico será penado con prisión de dos a seis años ymulta de doscientas a seiscientas unidades tributarias.Artículo 19 Posesión de Equipo para Falsificaciones Todo aquel que sin estar debidamente autorizadopara emitir, fabricar o distribuir tarjetas inteligentes o instrumentos análogos, reciba, adquiera, posea,transfiera, comercialice, distribuya, venda, controle o custodie cualquier equipo de fabricación detarjetas inteligentes o de instrumentos destinados a los mismos fines, o cualquier equipo o componenteque capture, grabe, copie o transmita la data o información de dichas tarjetas o instrumentos, serápenado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias.Capítulo IIIDe los Delitos Contra la Privacidad de las Personas y de lasComunicacionesArtículo 20 Violación de la Privacidad de la Data o Información de Carácter Personal Toda persona queintencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de Auditoria de Sistemas Prof. Zoraivett Rodriguez
  7. 7. 7su dueño, la data o información personales de otro o sobre las cuales tenga interés legítimo, que esténincorporadas en un computador o sistema que utilice tecnologías de información, será penada conprisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.La pena se incrementará de un tercio a la mitad si como consecuencia de los hechos anteriores resultareun perjuicio para el titular de la data o información o para un tercero.Artículo 21 Violación de la Privacidad de las Comunicaciones Toda persona que mediante el uso detecnologías de información, acceda, capture, intercepte, interfiera, reproduzca, modifique, desvíe oelimine cualquier mensaje de datos o señal de transmisión o comunicación ajena, será sancionada conprisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.Artículo 22 Revelación Indebida de Data o Información de Carácter Personal Quien revele, difunda oceda, en todo o en parte, los hechos descubiertos, las imágenes, el audio o, en general, la data oinformación obtenidos por alguno de los medios indicados en los artículos 20 y 21, será sancionado conprisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.Si la revelación, difusión o cesión se hubieren realizado con un fin de lucro, o si resultare algún perjuiciopara otro, la pena se aumentará de un tercio a la mitad.Capítulo IVDe los Delitos Contra Niños, Niñas o AdolescentesArtículo 23 Difusión o Exhibición de Material Pornográfico Todo aquel que, por cualquier medio queinvolucre el uso de tecnologías de información, exhiba, difunda, transmita o venda material pornográficoo reservado a personas adultas, sin realizar previamente las debidas advertencias para que el usuariorestrinja el acceso a niños, niñas y adolescentes, será sancionado con prisión de dos a seis años y multade doscientas a seiscientas unidades tributarias.Artículo 24 Exhibición Pornográfica de Niños o Adolescentes Toda persona que por cualquier medio queinvolucre el uso de tecnologías de información, utilice a la persona o imagen de un niño, niña oadolescente con fines exhibicionistas o pornográficos, será penada con prisión de cuatro a ocho años ymulta de cuatrocientas a ochocientas unidades tributarias.Capítulo VDe los Delitos Contra el Orden EconómicoArtículo 25 Apropiación de Propiedad Intelectual Quien sin autorización de su propietario y con el fin deobtener algún provecho económico, reproduzca, modifique, copie, distribuya o divulgue un software uotra obra del intelecto que haya obtenido mediante el acceso a cualquier sistema que utilice tecnologíasde información, será sancionado con prisión de uno a cinco años y multa de cien a quinientas unidadestributarias. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  8. 8. 8Artículo 26 Oferta Engañosa Toda persona que ofrezca, comercialice o provea de bienes o servicios,mediante el uso de tecnologías de información, y haga alegaciones falsas o atribuya característicasinciertas a cualquier elemento de dicha oferta, de modo que pueda resultar algún perjuicio para losconsumidores, será sancionada con prisión de uno a cinco años y multa de cien a quinientas unidadestributarias, sin perjuicio de la comisión de un delito más grave.TITULO IIIDISPOSICIONES COMUNESArtículo 27 Agravantes La pena correspondiente a los delitos previstos en la presente Ley seincrementará entre un tercio y la mitad: 1. Si para la realización del hecho se hubiere hecho uso dealguna contraseña ajena indebidamente obtenida, quitada, retenida o que se hubiere perdido.2. Si el hecho hubiere sido cometido mediante el abuso de la posición de acceso a data o informaciónreservada, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función.Artículo 28 Agravante Especial La sanción aplicable a las personas jurídicas por los delitos cometidos enlas condiciones señaladas en el artículo 5 de esta Ley, será únicamente de multa, pero por el doble delmonto establecido para el referido delito.Artículo 29 Penas Accesorias Además de las penas principales previstas en los capítulos anteriores, seimpondrán, necesariamente sin perjuicio de las establecidas en el Código Penal, las penas accesoriassiguientes:1. El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otroobjeto que hayan sido utilizados para la comisión de los delitos previstos en los artículos 10 y 19 de lapresente Ley.2. El trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos en losartículos 6 y 8 de esta Ley.3. La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión,arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres (3)años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido conabuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado decontraseñas, en razón del ejercicio de un cargo o función públicas, del ejercicio privado de una profesiónu oficio, o del desempeño en una institución o empresa privada, respectivamente.4. La suspensión del permiso, registro o autorización para operar o para el ejercicio de cargos directivos yde representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta porel período de tres (3) años después de cumplida o conmutada la sanción principal, si para cometer eldelito el agente se hubiere valido o hubiere hecho figurar a una persona jurídica.Artículo 30 Divulgación de la Sentencia Condenatoria El Tribunal podrá además, disponer la publicacióno difusión de la sentencia condenatoria por el medio que considere más idóneo. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  9. 9. 9Artículo 31 Indemnización Civil En los casos de condena por cualquiera de los delitos previstos en losCapítulos II y V de esta Ley, el Juez impondrá en la sentencia una indemnización en favor de la víctimapor un monto equivalente al daño causado. Para la determinación del monto de la indemnizaciónacordada, el juez requerirá del auxilio de expertos.TITULO IVDISPOSICIONES FINALESArtículo 32 Vigencia La presente Ley entrará en vigencia, treinta días después de su publicación en laGaceta Oficial de la República Bolivariana de Venezuela.Artículo 33 Derogatoria Se deroga cualquier disposición que colida con la presente Ley.Auditor de Sistemas:El auditor informático como encargado de la verificación y certificación de la informática dentro de lasorganizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad yla efectividad esperada. Debe tener conocimiento de los siguientes elementos:Conocimientos Generales:  Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización.  Normas estándares para la auditoría interna.  Políticas organizacionales sobre la información y las tecnologías de la información.  Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización.  Mantenerse permanentemente actualizado sobre legislación, normas, actividad de la empresa u organismo.Herramientas:  Herramientas de control y verificación de la seguridad  Herramientas de monitoreo de actividadesTécnicas:  Técnicas de evaluación de riesgos  Muestreo  Calculo pos operación  Monitoreo de actividades  Recopilación de grandes cantidades de información Auditoria de Sistemas Prof. Zoraivett Rodriguez
  10. 10. 10  Verificación de desviaciones en el comportamiento de la data.  Análisis e interpretación de evidenciaAspectos Personales:  Manejo global de cada situación.  No ajustarse a pautas rígidas.  Receptividad mental.  Capacidad de análisis lógico.  Creatividad.  Espíritu de observación  Sensatez de juicio.  Manejo de las relaciones con los auditados.  Sentido común.  Espíritu docente.  Lograr la aceptación del auditado.  Independencia de criterio.Conceptos de Auditoría de SistemasLa palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir yrevisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia yeficacia con que se está operando para que, por medio del señalamiento de cursos alternativos deacción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar laforma de actuación.Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión,evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en elambiente computacional y los sistemas.A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:Auditoría de Sistemas es: La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar información. El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  11. 11. 11 DañosSalvaguarda activos Destrucción Uso no autorizado RoboMantiene Integridad de Información Precisa,los datos Completa Oportuna ConfiableAlcanza metas Contribución de laorganizacionales función informáticaConsume recursos Utiliza los recursos adecuadamenteeficientemente en el procesamiento de la información Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:  Eficiencia en el uso de los recursos informáticos  Validez de la información  Efectividad de los controles establecidosTipos de AuditoríaExisten algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo perodiferente y peculiar resaltando su enfoque a la función informática.Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo queAuditoría Financiera.Entre los principales enfoques de Auditoría tenemos los siguientes: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  12. 12. 12Financiera Veracidad de estados financieros Preparación de informes de acuerdo a principios contables Evalúa la eficiencia,Operacional Eficacia Economía de los métodos y procedimientos que rigen un proceso de una empresaSistemas Se preocupa de la función informáticaFiscal Se dedica a observar el cumplimiento de las leyes fiscalesAdministrativa Analiza: Logros de los objetivos de la Administración Desempeño de funciones administrativas Evalúa:Calidad Métodos Mediciones Controles de los bienes y servicios Revisa la contribución a la sociedadSocial así como la participación en actividades socialmente orientadas Auditoria de Sistemas Prof. Zoraivett Rodriguez
  13. 13. 13Auditoría Interna y Auditoría Externa: La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresaauditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría internaexiste por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquiermomento. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempreremunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayordistanciamiento entre auditores y auditados. La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto dela auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. Laauditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales,como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúana las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician sutrabajo. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidadestécnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lomás adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y éstanecesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto deaquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático. En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia ypermanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesionalinformático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando éstaexiste. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, conimplantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya nosería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, ycon diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas deInformación de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar serviciosde auditoría externa. Las razones para hacerlo suelen ser:  Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.  Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.  Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.  Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa. La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquiercontenido o matiz “político” ajeno a la propia estrategia y política general de la empresa. La función Auditoria de Sistemas Prof. Zoraivett Rodriguez
  14. 14. 14auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, porencargo de la dirección o cliente.Síntomas de Necesidad de una Auditoría Informática: Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad.Estos síntomas pueden agruparse en clases: Síntomas de descoordinación y desorganización: - No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía. - Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante] Síntomas de mala imagen e insatisfacción de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en losterminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponersediariamente a su disposición, etc. - No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financiero: - Incremento desmesurado de costes. - Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). - Desviaciones Presupuestarias significativas. - Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo deProyectos y al órgano que realizó la petición). Síntomas de Inseguridad: Evaluación de nivel de riesgos - Seguridad Lógica - Seguridad Física - Confidencialidad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personalson especialmente confidenciales] - Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece lasestrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales. - Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, seríaprácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituidopor el mínimo indicio. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  15. 15. 15*Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar?Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, seadoble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinasparalelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, esdecir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En estecaso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguiroperando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo queestipule la empresa, y después se van reciclando.Objetivos Generales de una Auditoría de Sistemas Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de función informática a las metas y objetivos de la organización Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático Minimizar existencias de riesgos en el uso de Tecnología de información Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los Sistemas de Información Auditoria de Sistemas Prof. Zoraivett Rodriguez
  16. 16. 16Justificativos para efectuar una Auditoría de Sistemas Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situación informática de la empresa Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información. Descubrimiento de fraudes efectuados con el computador Falta de una planificación informática Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción Auditoria de Sistemas Prof. Zoraivett Rodriguez

×