FUNCIONES Y PERFIL DEL AUDITOR DE SISTEMAS

En varias oportunidades ( semininarios, foros, reuniones, de profesionales) se ha manifestado la inquietud

por definir el perfil y las funciones del auditor de sistemas. Siempre que se desea dar una definicin se
corre el riesgo de sealar un permetro tan grande que, contrariando el obetivo, se queda en el terreno
de la indefinicin o resulta tan pequeo, tan subetivo y tan pobre que son necesarias definiciones
adicionales para obtener el propsito buscado.
!or lo dicho, este artculo solo pretende el equivalente de coloca un mueble en un saln vacio" busca
presentar una solucin a un problema. #espu$s recibir% la avalancha de cometarios para meorar la
solucin" nos dir%n que el mueble es muy vieo" otros que es muy nuevo. &lguien opinara que el color
verde es muy chilln, y su visin que el chilln es adecuado pero no en verde, y un tercero mostrara un
argumento muy slido seg'n el cual el color que meor complementa la ambientacin es el amarillo
pollito. (o importa. )astante satisfactorio ser% si lo que se afirme se cambia de tal modo que alg'n da se
llegue a un consenso 'til para todos. !ara ganar no se necesitan perdedores.
!artir de los obetivos de la auditoria de sistemas, nos ayudara a lograr una meor apro*imacin"
necesariamente, el obetivo o propsito general mas importante es el de dar recomendaciones orientadas
al fortalecimiento de los controles identificados como d$biles y que por esa ra+n, constituyen factores
de riesgo para la organi+acin.
Esta definicin, que en principio debe reconocerse muy vaga y casi imprecisa con seguridad va a dar pie a
la primera pol$mica. E*isten opiniones seg'n la cuales el auditor de sistemas palabras mas palabras
menos debes ser el responsable del establecimiento de los controles relacionados con el !E#
(!rocesamiento Electrnico de #atos).&s opinan muchos entre ellos uno que otro conferencista de
reconocida trayectoria con mas af%n de buscar obetividad que de tomar una posicin sobre el asunto me
permitira dear algunas preguntas sobre la mesa.
,puede responsabili+arse sobre la eficacia de los controles a alguien que o tiene autoridad sobre
los responsables de su eecucin-.
,Seria otra alternativa que un director gerente o efe de sistemas permitiera que sus subordinados
reciban instrucciones del auditor-
,Seria sano, administrativa y organi+acional mente, delegar el desarrollo y procesamiento de datos
en un individuo que a su ve+ delegara la responsabilidad del control en un auditor- En otras
palabras, ,garanti+amos los aplausos para uno y las rechiflas para otro-
Ello entrara en franca oposicin con el principio administrativo de delegar autoridad y responsabilidad,
b%sico para la unidad de criterio y el desempeo ordenado y funcional.
/ndudablemente, no se trata de evadirla que si es responsabilidad del auditor de efectuar un trabao
profesional con la calidad que e*igen los principios y orientaciones de su oficio.
#e aqu, ya podemos asimilar algunas caractersticas del perfil que buscamos"
El auditor debe tener un criterio muy claro y obetivo acerca de sus funciones y de su participacin
como componente de la organi+acin.
#ebe caracteri+arlo su independencia mental y organi+acional de modo que su trabao no este
influenciado por caractersticas de respetabilidad o intereses particulares provocados por su nivel
de educacin y de e*periencia o por un esquema organi+ativo defectuoso.
#ebe tener el soporte humano necesario (en calidad y cantidad) de modo que su trabao no se vea
ilimitado por la carencia de recursos suficientes.
Este ultimo punto y la ubicacin en la organi+acin no podran calificarse como componentes del perfil
del individuo, pero se destacan como complementos necesarios del mismo.
El propsito general del que nos ocupamos al principio (dar recomendaciones para fortalecer los
controles) debe descomponerse seg'n las circunstancias propias que rodean el area de
sistemati+acin de datos as"
El auditor debe evaluar los planes y proyecciones de la sistemati+acin de datos, de acuerdo
con los proyectos de la entidad.
Esta obligacin supone que el auditor conoce la organi+acin y sus planes a mediano y largo pla+o. 0e
obliga a tener claridad sobre los obetivos de la empresa., la conformacin de su estructura y las
funciones de cada una de las %reas que la componen. En consecuencia, debe tener un conocimiento
detallado de la organi+acin y recursos de la sistemati+acin ya que en su evaluacin no debe considerar
solo lo que se debe hacer sino que debe incluir an%lisis de los recursos necesarios para lograrlo.
El auditor debe evaluar la organi+acin del area de sistemas, la distribucin de funciones y los
procedimientos e trabao y supervisin.
1no de los pilares mas importantes del control es la adecuada distribucin de tareas con el fin de que cada
funcionario tenga a su cargo una responsabilidad precisa. El auditor no puede definir una estructura de
organi+acin que proporcione esta condicin .pero si puede, de acuerdo con las circunstancias plantear
esquemas de organi+acin apropiada2 sin embargo, frente a estructuras m%s pequeas que impiden
cumplir con este requisito, debe evaluar m$todos alternativos de control que disminuyan los riesgos
inherentes a las incompatibilidades identificadas.
Esta tarea requiere de un estudio detallado sobre la pr%ctica de trabao del departamento de sistemas y
sus diferentes secciones. 3on $nfasis en los procedimientos utili+ados y la supervisin de niveles de
autori+acin incorporados a ellos
El auditor debe evaluar los m$todos de trabao y documentacin utili+ados por el grupo de
desarrollo de sistemas y los controles implantados para supervisar sus labores.
(aturalmente no e*iste una formula acerca de cmo se debe desarrollar e implantar una aplicacin. En la
pr%ctica cada centro de procesamiento tiene su propio estilo, y en su mayora, aplican dosis e*cesivas de
confian+a en los grupos de desarrollo. (o le corresponde al auditor dar la formula4 que no e*iste4 ni
sentar c%tedra sobre los procedimientos de control.
Su papel con relacin a este punto, consiste en anali+ar los m$todos y procedimientos utili+ados unto con
la distribucin de funciones establecidas y con los recursos computacionales utili+ados. Elio cubre por
supuesto un estudio cuidadoso de las costumbres aceptadas y de las facilidades suministradas por el
sistema operativo. Es muy com'n la informalidad que e*iste en el desarrollo e implantacin de
aplicaciones por lo que tambi$n es com'n el desconocimientos o falta d m$todos de control apropiados.
!or consiguiente, la labor del auditor en estos aspectos debe ser mas cuidadosa y detallada2 debe buscar
caminos proactivos y ra+onables tanto para formular sus recomendaciones como apara lograr su
aceptacin por taparte del area de !E#.
Su funcin, en este caso, requiere del dominio claro sobre los temas de diseo y desarrollo y grandes
dosis de persuasin y comunicacin, que le faciliten orientar sus recomendaciones sobre bases obetivas y
pr%cticas. Su conocimiento obviamente supone las caractersticas y facilidades que el sistema operacional
ofrece en t$cnicas para ensamblar, pruebas, deteccin de errores y compilacin de programas y una
identificacin clara los riesgos que tales facilidades incorpora.
El auditor de be tener capacidad para evaluar las aplicaciones desde su utili+acin practica y
obetiva por parte de los usuarios hasta los detalles relativos a la composicin de los programa
y los procedimientos utili+ados.
El buen funcionamiento de cualquier aplicacin depende tanto de sus componentes t$cnicos (equipos y
programas) como de la participacin de los funcionarios que intervienen desde el origen de la informacin
hasta la utili+acin de sus resultados. 1na buena evaluacin debe considerar su funcionamiento integral2
la respuesta obetiva que dan los programas y equipos disponibles y la utili+acin practica de estos
resultados. &dem%s, deben utili+ar un enfoque obetivo hacia la organi+acin2 es decir, tener en cuenta
que cada aplicacin es un componente que puede tener incidencia en sectores que no son sus usuarios
directos o que podra estar afectada por ellos.
El auditor debe evaluar la seguridad lgica prevista par ala operacin de las diferente
aplicaciones y sistemas.
0as empresas que no utili+an recursos computari+ados o los usan en baa escala, apoyan el control de sus
operaciones en los niveles de autoridad delegados a sus funcionarios. !or contraposicin, el mayor
avance en la sistemati+acin despla+a esos niveles de autoridad a los empleados de sistemas y a los
usuarios directos de las aplicaciones, mediante la asignacin de claves de acceso.
#ado que la mayor cobertura de sistemati+acion implica un aumento directo en la concentracin de
informacin de la compaa, genera un aumento en los riesgos inherentes al uso de la informacin, que
se facilita o impide con el uso de claves.
El auditor debe estudiar el sistema de seguridad y evaluar los m$todos de acceso permitidos para"
5aneo del sistema de seguridad
1tili+acin de programas que permiten modificaciones a archivos o facilitan su duplicacin.
1so de compiladores
&cceso a la utili+acin de programas e informaciones, incluidas aquellas organi+adas en bases
de datos
Su propsito especifico es el de determinar si todo tipo de acceso esta debidamente controlado y dea
registros que puedan consultarse con posterioridad para efectos de seguimiento.
!or otra parte es tambi$n de principal importancia el an%lisis de duplicaciones de informaciones,
programas y sistema operacional, en conunto con los procedimientos establecidos para su custodia y
planes de emergencia previstos par atender fallas de equipo o p$rdidas de informacin.
El auditor debe evaluar los sistemas de seguridad fsica del centro de procesamiento.
&un cuando la seguridad fsica debe propiciarse a todos y cada uno de los sectores. Es el area de
procesamiento de datos la que por su naturale+a y su riesgo e*ige un mayor cuidado sobre este aspecto.
Este incluye el medio ambiente de la construccin2 la ubicacin con relacin a la edificacin y otras %reas
los mecanismos o ayudas con que se cuenta para controlar la ocurrencia de riesgos, y la preparacin de
los empleados para utili+arlos adecuadamente.
!ara el auditor una evaluacin sobre la seguridad fsica incluye un estudio de ubicacin, recursos y
preparacin del personal unto con el an%lisis de riesgos probables y recursos del mercado, con el fin de
que sus recomendaciones se austen a alternativas satisfactorias y ra+onables con relacin a la
cuantificacin de los riesgos.
El auditor de sistemas debe hacer usos adecuados de la informacin sistemati+ada, y otros archivos para
satisfacer varios propsitos.
6erificar el cumplimiento de normas y procedimientos y evaluar las desviaciones encontradas.
!roporcionar informaciones 'tiles a otros sectores de la auditoria (financiera)
6erificar la e*actitud de la informacin cuando los programas de trabao as se lo e*ian.
Efectuar comprobaciones sobre los archivos de programas o de informacin con el fin de
satisfacerse acera de cambios reali+ados.
En general surgen m'ltiples probabilidades de utili+acin que en algunas oportunidades
corresponden a pruebas de comprobacin del auditor de sistemas y, en otros casos 7 la mayora4
a trabao de apoyo hacia otras %reas. 0a revisora fiscal, la auditoria e*terna y otras dependencias
de la auditoria interna.
3orresponde entonces al auditor el desarrollo o adquisicin y uso de paquetes especficos que est%n
orientados al cumplimiento de tales funciones.
En resumen el auditor de sistemas 7 o el grupo de auditoria de sistemas en conunto4 debe reunir una
serie de caractersticas basicas para eercer sus tareas con propiedad, tales como"
o 1n criterio claro acerca de la organi+acin a que le permita enfocar su trabao con obetiva.
3laridad sobre m$todos y procedimiento de trabao, asignacin de funciones y determinacin y
alcance de !oliticas
o 3onocimiento detallado sobre la sistemati+acin, su organi+acin, m$todos de planeacion y de
trabao, facilidades que ofrece y riesgos que genera.
o 3onocimiento sobre computadores, caractersticas de hard8are y soft8are y facilidades y riesgos
inherentes a ellos.
o 3onocimiento de lenguaes de programacin
o 3onocimiento de los obetivos de otros grupos de auditoria
o 3laridad de conceptos acerca de procedimientos no sistemati+ados
&dem%s, requiere complementos b%sicos que le permitan lograr sus obetivos
o 9acilidades en la e*presin oral y escrita, fundamental par la presentacin obetiva y clara de
sus informes y opiniones.
o 9acilidad para relacionarse con distintos grupos de trabao, de los diferentes niveles de la
organi+acin tanto desde el punto de vista er%rquico como multidisciplinario
o 3apacidad y criterio que le permitan discutir con propiedad sus puntos de vista. &ceptando los
de los dem%s, sin ceder ante presiones o conveniencias.
o 3lara independencia de criterio y respaldo gerencial que apoyen efica+mente los resultados de
su trabao.
!or :lvaro )erm'de+
&uditor /nterno
)anco &nglo 3olombiano

SEGURIDAD Y AUDITORIA EN AMBIENTE COMPUTARIZADO
CONTENIDO
/. /(;<=#133/=(
//. 3=(3E!;=S > 3=5!=(E(E;E #E 0& SE?1</#&# E( 0=S S/S;E5&S #E /(9=<5&3/=(
///. !</(/3!/=S )&S/3=S, !<=!/E#&#ES > 91(3/=(ES #E 0& SE?1</#&#
/6. (/6E0S #E 3=(;<=0 #E 0& SE?1</#&# E( 0=S S/;E5&S #E /(9=<5&3/=(
6. 3=S;=@ )E(E9/3/= #E 0& SE?1</#&#
6/. S/?(=S #E !E0/?<= !&<& 0& SE?1</#&# E( 0=S S/S;E5&S 3=5!1;&</A&#=S
6//. #/S;</)13/=( #E 0&S <ES!=(S&)/0/#&#ES E( E0 3=(;<=0 > 0& SE?1</#&# #E 0=S
S/S;E5&S #E /(9=<5&3/=(
6///. )/)0/=?<&9/&
I. INTRODUCCION
0a seguridad de los sistemas computari+ados involucra cuatro aspectos que deben tratarse
integradamente en sus soluciones t$cnicas y administrativas y deben ser entendidos claramente por la
alta direccin, los auditores y los administradores y analistas de sistemas. Estos son" SE?1</#&#,
EB&3;/;1#, 3=(9/#E(3/&0/#&# > !</6&3/#&# E( 0& /(9=<5&3/=(.
0a administracin superior necesita esta familiari+ada con los problemas para alcan+ar la seguridad y con
los tipos de soluciones. 0os auditores, en sus diferentes especialidades, deben entender las t$cnicas
necesarias para lograrla. 0os efes y analistas de sistemas necesitan conocer t$cnicas, herramientas y
metodologas para disearlas e implantarlas. El trabao mancomunado de ellos afecta todos los aspectos
de diseo y operacin de los sistemas de informacin computari+ados, incluyendo personas, archivos de
datos, soft8are, hard8are, procedimientos de operacin y la planeacion de las instalaciones fsicas.
II. CONCEPTOS Y COMPONENTES DE LA SEGURIDAD EN LOS SISTEMAS
COMPUTARIZADOS DE INFORMACION
;omando como base los conceptos emitidos por autores de reconocido prestigio en materia de seguridad
de los sistemas de informacin, como Cames 5artn, royal !. 9isher y <obert DuErall, 0a SE?1E</#&# E(
0=S S/S;E5&S #E /(9=<5&3/=( puede definirse como la resultante de cuatro vectores componentes.
CONTROLES DE SEGURIDAD FISICA Y FUNCIONAL.
Esta dada por los controles que protegen a los equipos de computacin y los datos contra robo y tres (F)
e*posiciones basicas que pueden ocurrir en forma INTENCIONADA O ACCIDENTAL.
#ivulgacin no autori+ada de la informacin
5odificacin no autori+ada de la informacin
#estruccin no autori+ada de la informacin
CONTROLES DE EXACTITUD
0a e*actitud esta dada por los controles para evitar errores en los datos de entrada (imput) y minimi+ar la
posibilidad de errores adicionales durante el procesamiento de los datos.
CONTROLES DE CONFIDENCIALIDAD
Se refiere a los mecanismos necesarios para asegurar que la informacin se reciba y utilice 'nicamente
por las personas autori+adas para ello.
CONTROLES DE PRIVACIDAD
Se refiere a los mecanismos para proteger el derecho que tienen los individuos para determinar por si
mismos que informacin privada de ellos puede proporcionarse a otros.
III. PRINCIPIOS BASICOS, PROPIEDADES Y FUNCIONES DE LA SEGURIDAD EN LOS
SISTEMAS DE INFORMACION
Es importante entender los fundamentos de la seguridad de los datos antes de planear, disear o revisar
la seguridad de los sistemas de informacin.
PRINCIPIOS BASICOS
El principio fundamental para la seguridad en los sistemas de informacin esta dado por lo que la
profesin de la contaduria publica denomina &#E31&#& SE!&<&3/=( #E 91(3/=(ES >
<ES!=(S&)/0/#&#ES.
En procesamiento de #atos cualquier control orientado a os errores y conductas deshonestas de los
empleados necesita de la aplicacin de este principio mediante las cuatro (G) alternativas que se tratan
enseguida"
1. SEGREGACION DE FUNCIONES ENTRE MULTIPLES PERSONAS
H Segregacin de funcionesI significa separar las actividades de un proceso entre varias personas.
0os principios de control interno e*presados en la H #eclaracin de (ormas de &uditoria de aceptacin
?eneralI, elaborados por las asociaciones de &uditores, denominan H incompatiblesI a las funciones que
deben desagregarse y las definen en los siguientes t$rminos.
H#os o mas funciones son incompatibles si al ser eercidas por una misma persona, permiten que los
errores y las irregularidades pasen inadvertidasI.
EJEMPLOS:
a. El operador de entrada de datos no debera tener tambi$n la responsabilidad de verificar los
datos capturados por el.
b. 1n programador no debera tener la responsabilidad de custodiar y modificar los programas
desarrollados por el.
c. &l diseador del sistema no debera permitrsele accesar los mdulos de aplicacin
diseados por el.
0a aplicacin de este principio a los eemplos mencionados, fortalece el sistema de control
porque"
- 0os errores de transposicin se detectaran f%cilmente antes de afectar el sistema con los
datos.
- 1n usuario puede descubrir el intento del diseador para controlar el acceso sobre su
sistema.
- Se requiere colusin para que ocurran violaciones de la seguridad. Esto es, se necesita mas
de un persona para violar la seguridad.
- Se meora la capacidad del sistema para evitar errores y violaciones de seguridad.
- El ?rupo de Juality &ssurance mediante la revisin de los cambios efectuados a los
programas, tiene la posibilidad de descubrir una rutina no autori+ada, programada con
intenciones dolosas, tales como las denominadas bombas lgicas y caballos de ;roya.
3uando por ra+ones de insuficiencia de personal sea imposible separar funciones que se sabe son
incompatibles deben establecerse 3=(;<=0ES 3=5!E(S&;=</=S para sustituir la violacin de este
principio. 3omo eemplo de esta situacin, en el ambiente de microprocesadores un mismo funcionario
desarrolla las funciones de an%lisis, programacin y operacin.
2. NO PERMITIR EL ACCESO DE UNA MISMA PERSONA A COMBINACIONES SENSITIVAS DE
RECURSOS.
INFORMACION SENSITIVA. Es aquella que si se e*pone a ser conocida por personas no autori+adas
para hacerlo, podra influenciar la ocurrencia de una situacin de negocios dada. 1na informacin
determinada en si misma puede carecer de significancia, pero su combinacin con otras informacin puede
volverla sensitiva.
!or eemplo, un programador puede no estar autori+ado para conocer los salarios de los empleados. Sin
embargo, puede llegar a conocerlos si tiene acceso a la informacin sobre las direcciones de los
empleados y los datos estadsticos de nomina.
0as combinaciones sensitivas mas frecuentes incluyen datos y sus activos asociados. !or eemplo, los
individuos que tiene acceso al activo fsico y a los datos de control del mismo, tales como el inventario y
los datos de control del inventario, presentan un riesgo definitivo para la seguridad.
3. EVITAR QUE UNA MISMA PERSONA ESTE EN POSICION DE OCULTAR ACTIVOS Y
CONVERTIRLOS EN DINERO.
& los empleados no debera asign%rseles funciones que les permitan ocultar y convertir activos para su
beneficio personal. 1na violacin com'n de este principio es la asignacin de un solo operador de un
computador para el tercer turno. 0as corridas de produccin prolongadas con pocos procedimientos de
operacin pueden ustificar un solo operador. Sin embargo, despu$s de alg'n tiempo, el operador, por
aburrimiento o necesidad, podra empe+ar a producir y vender copias de los listados secretamente podra
montar un negocio de servcie bureau.
!ero las mayores oportunidades para ocultar los datos y convertirlos en dinero, sin embargo, podran
ocurrir fuera del centro de procesamiento y no dentro de el. 3uando es posible la 3omunicacion de
entradas@salidas con la base de datos.
0os sistemas de informacin que se disean con inapropiada separacin de funciones y responsabilidades
yKo permiten el acceso a combinaciones de recursos sensitivos, son propicios para permitir violaciones de
conversin y ocultamiento de activos en beneficio de los empleados. (o es el uso del computador o de la
base de datos computari+ada el que crea esta oportunidad es el inadecuado uno de las capacidades de
control disponibles.
En efecto un computador y su base de dato pueden ofrecer un meor control sobre el negocio que el
sistema manual al que reempla+an. El control se alcan+a mediante apropiada planeacion, diseo, prueba,
utili+acin y administracin de las diversas caractersticas de control disponibles actualmente en los
compatadres.
4. UN MISMO INDIVIDUO NO DEBE ORIGINAR Y APROBAR TRANSACCIONES.
3on el propsito de meorar la eficiencia y velocidad de las operaciones puede parecer ra+onable asignar
los procesos de dar origen y aprobar transacciones a un mismo individuo.
Sin embargo, aunque esta responsabilidad se confie a empleados honestos con una impecable hoa de
vida laboral, se esta violando la sana practica de segregar dos funciones incompatibles desde el punto de
vista de control.
&lgunas organi+aciones e*igen que la operacin de transacciones sensitivas este sueta a una aprobacin
independiente. Si embrago, fallan al permitir que el mismo individuo que las origina sea el que las
aprueba.
;odos los negocios necesitan un sistema de verificaciones y balances. Si alguien pudiera aprobar su
propia cuenta de gastos, podra e*tralimitarse.
PROPIEDADES DE UN SISTEMA SEGURO.
!ara que las organi+aciones funcionen con un nivel de riesgo aceptable, sus sistemas de informacin
deberan satisfacer las siguientes propiedades"
1. INTEGRIDAD
1n sistema debera hacer solamente lo que esta previsto que haga y nada mas. Este sistema debe
funcionar de acuerdo con un grupo de especificaciones planeadas. Estas poseen la esencia de totalidad o
de la completitud. 0os sistemas tienen /(;E?</#&# si satisfacen esas especificaciones y nada mas.
EJEMPLOS
- 1n tempori+ador en la puerta de una bveda de un banco activara la cerradura en el tiempo
programado y no en otro.
- 1n archivo de datos de Hsolo lecturaI debera recha+ar todos los intentos de modificaciones
desde cualquier fuente.
- 1n cheque debera pagarse solamente al individuo apropiado, en la fecha correcta y por la
cantidad correcta.
0a verificacin de la integridad es predecible. Si para cada estimulo que reciba el sistema, la respuesta es
predecible ya sea que esta funcionando bien o mal, e*iste INTEGRIDAD.
0a propiedad de la INTEGRIDAD proporciona la capacidad de responder con acciones correctivas cuando
recibe estmulos anormales.
2. AUDITABILIDAD
1n sistema AUDITABLE permite a un revisor independiente verificar sus actividades en cualquier tiempo.
0a auditabilidad permite al sistema #E5=S;<&< que esta funcionando de acuerdo con especificaciones,
cumpliendo con requisitos de control, que se esta utili+ando como se pens y de acuerdo con est%ndares y
practicas aceptadas en procesamiento de datos.
!ara satisfacer esta propiedad, los sistemas deben construirse enteramente con componentes auditables.
!ara esto se requiere que sea modular en su diseo y que cada modulo sea capa+ de comunicarse con los
otros solamente a trav$s de un numero limitado de interfases formalmente definidas. ;ale sistemas, por
consiguiente, deben tener la capacidad de registrar todas las transacciones ( consultas, eventos,
contenidos, estmulos, respuestas) en las interfases permitidas
1na prueba de auditabilidad es la <ES!=(S&)/0/#&#. 1n sistema debera tener al habilidad para fiar la
responsabilidad por cada evento significativo en un solo individuo. #ebe tener la capacidad de apuntar a
alguien o alguna !&<;E como responsable de cualquier actividad del sistema. El sistema debera ser
capa+ de registrar a cualquier persona, determinando completamente la responsabilidad por sus
actividades.
0os sistemas auditables tambi$n deben tener 6/S/)/0/#&#. Esto es, que las varian+as de comportamiento
esperado, uso o contenido se indiquen y se den a conocer a la administracin de tal manera que permitan
iniciar acciones correctivas en forma apropiada y oportuna.
3. CONTROLABILIDAD
1n sistema que posee 3=(;<=0&)/0/#&# permite a la &dministracion eercer una #ireccion o influencia
restrictiva sobre su uso, comportamiento o contenido .Esta propiedad limita la capacidad de un sistema
para pasar los recursos previstos entre %reas de trabao o de influencias suetas a control. !or Eemplo.
1d. !uede estar habilitado para procesar gastos legtimos del negocio, pero no para aprobar, producir o
enviar el pago de los fondos correspondientes. &dem%s 1d. !uede permitrsele procesar solamente para
tipos particulares de cargos asociados con su departamento.
!ara alcan+ar esta postura de control, cada modulo auditable debe ser individualmente controlable. Esto
implica que cada modulo de control transfiere a otros mdulos S=0&5E(;E aquellas actividades previstas.
1na prueba de controlabilidad es la ?<&(10&</#&#. Esta requiere que el tamao del modulo a ser
controlado sea suficientemente pequeo para construir un aceptable nivel de riesgo. !or Eemplo, si un
modulo de nomina incluye las funciones de solicitud, autori+acin y eecucin del pago, este falla en su
granularidad.
(ing'n modulo debera controlar su recurso de tal tamao que pueda afectar significativamente la
continuidad del negocio. Es responsabilidad de la administracin definir el nivel de riesgo aceptable en
cada interfase.
FUNCIONES DE LA SEGURIDAD DEL SISTEMA
1na estrategia para alcan+ar las propiedades de integridad, auditabilidad y controlabilidad es colocar
controles funcionales en los dominios de cada interfase. Esos controles protegen el transito de informacin
en el sistema y representan la gran contribucin del diseador del sistema para alcan+ar el m%*imo nivel
de seguridad de los datos.
1. IDENTIFICACION
Esta funcin permite establecer identificadores (nombres o cdigos) para cada usuario y recursos del
sistema. Su propsito es proporcionar evidencia la realidad. Esta funcin identifica por algunos medios
aceptables a las personas, el hard8are, el soft8are y otros recursos disponibles en el sistema.
0a identificacin implica que un registro de datos e*istente en el sistema asocia un identificador con un
usuario o recurso definidos. 0a confirmacin de alguna identidad se establece e ese punto. !or eemplo,
empleado C&/5E <=#</?1EA, data record, E3#/5&2 terminal li.
2 . AUTENTICACION
Es el acto de seleccionar con un nivel aceptable de riesgo, de la valide+ de la identidad declarada. Es la
validacin aceptable de la identidad. !roporciona la capacidad del sistema para verificar el usuario o
recurso identificado.
Se reali+a comparando algo que el individuo conoce, tiene, es o puede hacer para una referencia
registrada. !or eemplo"
- &lgo que sabe o conoce" pas8ord
- &lguna cosa que tiene" tareta con fotografa
- &lgo que el es" &pariencia fsica
- &lgo que puede hacer" la firma
&dicionalmente, la autenticacin de la 91E(;E en los sistemas de informacin es clave para seguridad de
los datos. Esta ayuda a determinar cuanta confian+a puede darse a la e*actitud, confiabilidad y a lo
completa que es la informacin presentada por el sistema.
3. AUTORIZACION.
El propsito de una funcin de autori+acin es establecer lo que esta permitido hacer a alguien a un
recurso dado. ?eneralmente relaciona a un usuario con un recurso a trav$s de reglas de autori+acin
definidas. 0a autori+acin establece reglas que restringen a los usuarios de los sistemas para eecutar
solamente actividades predefinidas a los recursos de datos.
4. DELEGACION
0a funcin de #E0E?&3/=( es necesaria para aplicar y dar mantenimiento a la funcin de actuali+acin.
Suministra la generacin, registro y mantenimiento, de las reglas de acceso. #etermina quien y bao que
circunstancias, puede habilitar o cambiar reglas de autori+acin.
En sistemas pequeos esta funcin la desempea el administrador de seguridad. En grandes sistemas, con
una estructura complea de usuarios, recursos, locali+aciones, y actividades, se requieren mecanismos de
delegacin sofisticados, que implican el uso de paquetes de soft8are de control de acceso, tales como el
<&39 (<esource &llocation and 3ontrol 9acility) y el &39L proporcionados para equipos /)5.
. REGISTRO DE PISTAS DE LAS TRANSACCIONES !JOURNALING)
#espu$s de la identificacin, autenticacin, autori+acin y delegacin, el siguiente paso es el C=1<(&0/(?
de todas las actividades significativas que ocurran. 0os ournals proporcionan evidencias escritas del uso
de los registros del sistema. =frecen tres beneficios destacables.
a. !roporcionan lo necesario para reconstruccin, bacEup@ recovery.
b. 9ian responsabilidades4 rastrea e identifica
c. 3ana visibilidad permite ver que esta ocurriendo
0os sistemas nunca deberan disearse sin capacidades de ournaling, es decir, para capturar informacin
sobre quien hi+o que, donde porque, cuando y como. 0os ournaling son el medio mas efica+ de
monitorear la adherencia a las !oliticas de la compaa, obetivos reglas y standares de rendimiento
generalmente. 3ualquier punto donde un recurso o responsabilidad importante para del control de una
persona a otra, es un area clave para consideraciones de PISTAS DE LAS TRANSACCIONES.
". VIGILANCIA
0as pistas de las transacciones (Cournals y 0ogs), sin importar lo completas que sean. Son inefectivas sin
la funcin de 6/?/0&(3/&. &lguien debe revisar los ournals. &lguien debe e*aminar las actividades
registradas y establecer las variaciones con respecto al rendimiento esperado, uso y contenido. Esta es la
funcin de vigilancia.
ESTAS SEIS FUNCIONES SON PROBABLEMENTE LAS CONSIDERACIONES MAS IMPORTANTES EN
EL DISE#O DE ADECUADOS CONTROLES DE SEGURIDAD DE LA INFORMACION.
/6. NIVELES DE CONTROL DE LA SEGURIDAD EN LOS SISTEMAS COMPUTARIZADOS DE
INFORMACION .
Cames 5artn en su libro H Security &ccuracy and !rivacy in 3omputer SystemsI, propone cuatro (G)
niveles de controles para proteger la seguridad de los sistemas computari+ados.
M. CONTROLES TECNICOS CONSTRUIDOS DENTRO DEL SOFT$ARE APLICATIVO Y DEL SISTEMA.
Es el sistema o nivel mas interno de la metodologa de control. Sin fuertes controles en el soft8are del
sistema y de las aplicaciones, ninguna otra precaucin puede hacer el sistema seguro. 0os controles
dentro del soft8are del sistema proporcionan la SEGURIDAD LOGICA. 0os controles establecidos dentro
de soft8are aplicativo proporcionan la SEGURIDAD FUNCIONAL.
2. CONTROLES DE SEGURIDAD FISICA
0os controles de seguridad lgica y funcional no son suficientes por si solos, deben refor+arse con niveles
de control e*ternos al diseo del sistema. El nivel de controles t$cnicos es circundado por el de
SEGURIDAD FISICA, estos se refieren a las cerraduras en las puertas, guardias, alarmas y otros medios
para prevenir el acceso no autori+ado, precauciones contra incendios, proteccin de datos almacenados
en archivos magn$ticos y otros.
3. CONTROLES ADMINISTRATIVOS
El siguiente nivel es el de controles administrativos para asegurar que el sistema se utilice correctamente.
Estos controles se e*tienden mas all% del departamento de procesamiento de datos" incluyen a los
departamentos usuarios de los sistemas, los auditores y la &dministracion superior.
4. CONTROLES DEL AMBIENTE SOCIAL Y JURIDICO
Es el nivel mas e*terno y problem%tico tiene que ver con privacidad e*actitud y confiabilidad de los datos
en el ambiente social y urdico en que operan los sistemas.
Estos niveles de proteccin no est%n completamente separados. 0os controles que se estable+can en cada
uno, depender%n de la importancia de la informacin y la tecnologa de procesamiento de datos utili+ada.
V. COSTO BENEFICIO DE LA SEGURIDAD
LA SEGURIDAD ABSOLUTA ES INALCAZABLE. 0a ra+n mas poderosa para esta afirmacin es que los
errores y las irregularidades son propias de la intervencin humana y esta no puede eliminarse
completamente. En este punto es importante resaltar que H la seguridad de la empresa empie+a por sus
polticas de administracin de personalI
(unca podemos hablar de seguridad absoluta pero si de minimi+ar las oportunidades de quebrantarla los
altos niveles seguridad son prohibitivamente costosos sin embargo la medidas de seguridad basicas
cuestan muy poco. Es recomendable asignar un presupuesto de seguridad de proporciones ra+onables,
que no e*ceda del NO del presupuesto total de procesamiento de datos, seg'n aconsea el autor antes
citado.
(o todos los sistemas necesitan del mismo grado de seguridad. Este depende fundamentalmente de la
importancia de la informacin.
VI SIGNOS DE PELIGRO PARA LA SEGURIDAD DE LOS SISTEMAS DE INFORMACION.
E*iste una gama de aspectos que permiten determinar r%pidamente el grado de seguridad e*istente en os
sistemas de informacin. Si alguno de estos no se utili+a esta descuidado, representa un punto vulnerable
en el sistema de seguridad.
0a administracin superior, la gerencia de sistemas y la auditoria deberan revisar los siguientes signos de
peligro.
M. 3arencia de un programa de seguridad que cubra todas las actividades de procesamiento de datos.
L. 3arencia de balance en los esfuer+os de seguridad
F. #eficiente control de acceso a las instalaciones de procesamiento de datos.
G. 9alta de orden y pulcritud en as instalaciones de procesamiento de datos.
N. #eficiente documentacin de las aplicaciones y falta de pulcritud en la programacin
P. 3arencias o deficiencias en los planes y programas de recuperacin de desastres.
K. #eficientes !oliticas de &dministracion del personal de procesamiento de datos.
Q. /nadecuada distribucin de funciones y responsabilidades
R. /nadecuada locali+acin fsica de las instalaciones de procesamiento de datos
MS. 3arencia o deficiente enfoque de la auditoria a los aspectos de seguridad en los sistemas de
procesamiento de datos.
VII DISTRIBUCION DE RESPONSABILIDADES EN EL CONTROL Y LA SEGURIDAD DE LOS
SISTEMAS COMPUTARIZADOS DE INFORMACION.
0a seguridad de la informacin en los sistemas computari+ados depende de todos los individuos
involucrados en su maneo por consiguiente es necesario establecer un mnimo de cultura de control en
todos los funcionarios de la empresa. 3omo base para crear conciencia de las responsabilidades que al
respecto les corresponden, de acuerdo con las funciones que desempeen.
1n modelo de distribucin de estas responsabilidades entre la alta #ireccion, la ?erencia de sistemas las
%reas, las %reas operativas o usuarias de los sistemas y los auditores se describe a continuacin.
RESPONSABILIDADES DE LA ALTA DIRECCION.
9rente al control y la seguridad de la informacin su responsabilidad hace parte de las cuatro funciones
basicas que corresponden en la empresa" PLANEAR, ORGANIZAR, DIRIGIR Y CONTROLAR.
Su papel consiste en proporcionar los recursos y el apoyo necesario para que los sistemas de informacin
basados en computadores tenga un apropiado sistema de controles. 0a administracin superior debe
&!<=)&< > &!=>&< las actividades de desarrollo e implantacin de controles que sean promovidas por el
personal de sistemas las %reas de los sistemas y los auditores.
RESPONABILIDAD DEL PERSONAL DE SISTEMAS
0os diseadores de los controles seleccionados por ellos uegan un papel importantsimo en la vida de los
sistemas de informacin basados en computadores, de manera an%loga a la trascendencia que tienen
para la vida de un edificio y los estudios previos que reali+an los arquitectos e ingenieros constructores y
los materiales de construccin empleados. En ambos casos los constructores y arquitectos se preocupan
no solamente por los aspectos t$cnicos de su profesin, sino tambi$n por el obetivo y la funcin que
cumplir% la obra construida.
El personal de sistemas involucrado en el desarrollo y mantenimiento de los sistemas de informacin es
responsable de #/SET&<, /5!0&(;&< > #&< 5&(;E(/5/E(;= al sistema de controles que proteger% a la
organi+acin, contra los riesgos que podran afectar su estabilidad financiera u operativa a trav$s de los
sistemas computari+ados.
El cumplimiento de estas responsabilidades implica la eecucin de las siguientes actividades.
EN LA FASE DE DESARROLLO DELSISTEMA
M. /dentificar las amena+as o situaciones de riesgo que podran afectar las actividades del procesamiento
electrnico de datos y el buen maneo del negocio en las %reas de operacin sistemati+adas.
L. #efinir obetivos de control especficos. Estos siempre deben apuntar a /(3<E5E(;&< la probabilidad
de que el sistema funcione correctamente y a <E#13/< la probabilidad de ocurrencia de errores e
irregularidades.
F. Seleccionar los controles requeridos para 5/(/5/A&< la probabilidad de ocurrencia de las amena+as o
situaciones de riesgo.
G. #efinir la ubicacin de los controles seleccionados
N. Estimar costos@ beneficio de los controles seleccionados
P. /nstalar los controles seleccionados
K. #ocumentar los controles
Q. !robar la efectividad y eficiencia de los controles instalados
R. Educar a los usuarios del control (entrenamiento para el control)
MS. #ar a conocer (promulgar) los controles que corresponde eecutar a cada una de las %reas
involucradas en el maneo del sistema
EN LA FASE DE OPERACI%N DEL SISTEMA
M. Eecutar los controles en actividades manuales y automati+adas que corresponda desarrollar al personal
de sistemas.
L. #ar mantenimiento al sistema de controles establecido, es decir, efectuar austes y correcciones que
suran como resultado de cambios en el maneo de las operaciones sistemati+adas de errores e
irregularidades no previstas en la fase de desarrollo del sistema o de recomendaciones de los usuarios y
auditores.
- &dicionar controles
- Suprimir controles
- 5odificar procesamiento de control
- &ctuali+ar la documentacin de los controles
- #ar a conocer (promulgar) cambios en el sistema de controles
F. !revenir omisiones" incumplimiento de controles en su departamento
G. #etectar omisiones incumplimiento de controles en su departamento
N. 3orregir efecto de omisiones incumplimiento de controles en su departamento
P. <ecomendar meoramiento o implantacin de nuevos controles en otros departamentos involucrados
en el maneo del sistema.
RESPONABILIDADES DE LAS AREAS OPERATIVAS USUARIAS DE LOS SISTEMAS.
El papel de esta area frente al control de la seguridad de la informacin que procesan los sistemas
computari+ados, es similar al que un propietario eerce sobre su vehculo cotidianamente y cuando utili+a
los servicios de un diagnosticentro.
El vehculo (el sistema de informacin) dispone de unos controles suministrados por el fabricante (el
personal de sistemas), los que a trav$s de un tablero de control alertan al conductor (usuarios del
sistema) sobre la inminente ocurrencia de amena+as criticas que podran ocasionar daos graves al
vehculo. El propietario es libre de tomar accin o no cuando se activan los indicadores del tablero de
control. Si toma una accin, evitara daos mayores" si no lo mas probable es que su vehculo sufra daos
muy graves, que sea necesario adquirir otro o que durante alg'n tiempo no pueda utili+arlo.
El servicio de un diagnosticentro es comparable al soporte tecnico que los usuarios de los sistemas reciben
de los analistas y programadores del departamento de sistemas. !or eemplo cuando el usuario solicita la
inclusin de un nuevo control o la impresin de un dato adicional en uno de los listados que normalmente
se producen.
#e la misma manera que el propietario del vehculo se preocupa por la calidad, el costo y la eficiencia del
servicio especifico que contrata, el usuario de los sistemas debe preocuparse por los servicios que solicita
y recibe !&<& S1 /(9=<5&3/=( por parte del personal de sistemas.
En el control y la seguridad de los sistemas de informacin computari+ados, los usuarios de las %reas
operativas de los sistemas deben asumir el papel de !<=!/E;&</=S de la informacin que se procesa con
soft8are, hard8are y personal administrativo por el departamento de sistemas. 3omo propietario de la
informacin sistemati+ada, es responsable de las siguientes actividades de control"
EN LA FASE DE DESARROLLO DEL SISTEMA
M. /dentificar y definir las amena+as o situaciones de riesgo, que podran afectar al negocio en las %reas
operativas maneadas por ellos.
L .<ecomendar (proponer) los controles requeridos en su urisdiccin para el maneo de la informacin
que se genere para su procesamiento en el computador o se reciba de el.
F. &probar los controles seleccionados por los fabricantes del sistema para ser eecutados en su
urisdiccin.
G. !articipar en la definicin de los obetivos especficos de los controles establecidos para su urisdiccin.
EN LA FASE DEL OPERACI%N DEL SISTEMA
M. Eecutar los controles establecidos par operar en su urisdiccin
L. 3omprobar que los controles establecidos para su urisdiccin est$n activos y se utilicen
F. <ecomendar meoramiento de los controles o el establecimiento de nuevos controles en su urisdiccin.
G. !revenir omisiones @ incumplimiento de controles en su urisdiccin.
N..#etectar omisiones @ incumplimiento de controles en su urisdiccin
P. 3orregir efecto de las omisiones @ incumplimiento de controles en su urisdiccin
K. /nformar a sistemas las deficiencias de control que detecte en la porcin automati+ada de los sistemas.
RESPONSABILIDAD DE LA AUDITORIA
0a auditoria como parte del sistema de control interno de la empresa debe asumir responsabilidades
frente al control y la seguridad de los sistemas de informacin basados en computadores. #urante el
desarrollo de los sistemas cumple una funcin &SES=<&. &portando sus conocimientos y e*periencias
para ayudar a construir.
& continuacin se presenta un modelo de las responsabilidades de la auditoria frente al control y la
seguridad de los sistemas de informacin.
EN LA FASE DE DESARROLLO DE LOS SISTEMAS
M. /dentificar las situaciones de riesgos de mas probable ocurrencia en las operaciones sistemati+adas
obeto de la auditoria (&n%lisis de riesgos).
L. Evaluar la capacidad de los controles establecidos para"
- Evaluar errores e irregularidades
- #etectar oportunamente la ocurrencia de situaciones que pueden ocasionar errores o
irregularidades.
- /nformar oportunamente la ocurrencia de situaciones que puedan conducir a errores e
irregularidades
F. 6erificar que est$n activos y operando los controles establecidos
G. Evaluar efectividad y suficiencia de los controles establecidos
N. Sealar situaciones de riesgo desprotegidas o d$bilmente protegidas
P. <ecomendar nuevos controles o meoras a los controles e*istentes.
K. 6erificar que los responsables de establecer, eecutar y dar mantenimiento a los controles entienden los
obetivos, la conveniencia y la necesidad de los controles.
6///. )/)0/=?<&9/&
4 )urch. Chon ?. Cr Sardinas Coseph 0. Cr. 3=5!1;E< 3=(;<=0 &(# &1#/;" ;=;&0 S>S;E5S &!<=&3U.
Ed. Cohn Viley W Sons. /nc. MRKQ.
4 &uditoria de sistemas e /nformatica 0tda 7 &1#/S/S 7 !<=?<&5& #E E(;<E(&5/E(;= E( 3=(;<=0 >
&1#/;=</& #E S/S;E5&S #E /(9=<5&3/=(. 5=#10=S / > //. MRQR.
4 E.#.! &uditors 9oundation. /nc. 3=(;<=0 =)CE;/6ES 3=(;<=0S /( & 3=5!1;E< E6/<=(5E(;"
=)CE;/6ES ?1/#E0/(ES. &(# &1#/; !<=3E#1<ES. )y #avid U. 0i. !h. #. 3!&. MRQF.
4 5artin. Cames. SE31</;>, &331<&3> &(# !</6&3> /( 3=5!1;E< S>S;E5S. !rentice Uall /nc.. MRKF.
4 9isher, <oyal !. /(9=<5&;/=( S>S;E5 SE31</;>. !rentice Uall /nc. MRQG.
4 9it+?erald Cerry and 9it+?erald &rdra 9. #ES/?(/(? 3=(;<=0S /(;= 3=5!1;E</AE# S>S;E5S. Second
Edition. Cerry 9it+?erald W &ssociates. MRRS.