ADITORIA INFORMATICA ING.

CARLOS BARRERA

TEMA 7

INTERPRETACION DE LA INFORMACION

Los métodos modernos referidos a la búsqueda de información en publicaciones

científicas y en bases de datos especializadas y disponibles. A partir de allí, se
ejercitará la selección de material relevante, su análisis e interpretación; para finalizar
con la discusión de la importancia de los registros de datos en la generación de
información propia.

a. Interpretación Lineal, atendiendo al reconocimiento y representación analítica del

significado de los contenidos siguiendo la secuencia de aparición de los mismos y
hasta interpretar un conjunto mayor.

b. Interpretación Esquemática, atendiendo al reconocimiento y representación analítica

del esquema de organización del conjunto de la información.

c. Interpretación Mixta, el reconocimiento y la representación analítica simultánea de

ambos planos, cotejando la coherencia de los contenidos en relación a la forma de
organizarlos en un determinado esquema; hasta hallar la interpretación más
adecuada.
Técnicas para la interpretación de la información

Interpretación de la información

Técnicas para la interpretación de la información

Para interpretar la información se puede utilizar desde técnicas muy sencillas hasta
técnicas complejas de auditoría.

Análisis crítico de los hechos

Una de las primeras técnicas es el análisis crítico de los hechos. Esta técnica sirve
para discriminar y evaluar la información; es una herramienta muy valiosa para la
evaluación y se basa en la aplicación de las siguientes preguntas.
Pregunta Finalidad que determina

Qué El propósito

Dónde El lugar

Cuándo El orden y el momento, sucesión

Quién La persona

Cómo Los medios

Cuánto La cantidad

La pregunta más importante es qué, pues la respuesta permitirá saber si puede ser:
Eliminada
Modificada o cambiada
Simplificada
 ADITORIA INFORMATICA ING. CARLOS BARRERA

Las respuestas que se obtengan deben ser sometidas a una nueva pregunta: “Por
qué”, la cual planteará un nuevo examen que habrá de justificar la información
obtenida. Cada interrogante se debe descomponer de la siguiente manera:

1. Propósito:
Qué se hace
Por qué se hace
Que otra cosa podría hacerse
Qué debería hacerse

Lugar:
Dónde se hace
Por qué se hace ahí
En que otro lugar podría hacerse.
Donde debería hacerse.

Sucesión
Cuándo se hace
Por qué se hace entonces
Cuando podría hacerse
Cuando deberá hacerse

Persona
Quien lo hace
Por qué lo hace esa persona
Qué otro persona podría hacerlo
Quién debería hacerlo

Medios:
Cómo se hace
Por qué se hace de ese modo
De que otro modo podría hacerse
Cómo debería hacerse
Cantidad:
Cuánto se hace
Por qué se hace esa cantidad (volumen)
Cuanto podría hacerse
Cuanto debería hacerse

Metodología para obtener el grado de madurez del sistema

Para poder interpretar la información de los sistemas se debe evaluar el grado de
madurez en los mismos:
Verificar si el sistema está definido
Verificar si el sistema está estructurado
Verificar si el sistema es relativamente estable.
Verificar si los resultados son utilizados o no.

Características Maduro Inmaduro

Definido Completamente Incompleto

Estructurado Alta Baja

Estable No cambia Muchos cambios

ADITORIA INFORMATICA ING. CARLOS BARRERA

Resultados Utilizados No utilizado

Dependiendo del grado de madurez y de su grado de estructuración, se determina si

debe estar automatizado y la posible madurez que repercutirá en una mejor utilización
y en disminución de cambios.

Si el sistema está estructurado y maduro se debió usar la técnica de sistema de

información; si está estructurado pero no está maduro se debió seguir haciendo
manualmente; si está semiestructurado y maduro se podrá usar la técnica de soporte
en la toma de decisiones.
Si el sistema está semiestructurado pero no está maduro debió seguirse haciendo en
forma manual; si no está estructurado y maduro, es un sistema guiado por la intuición
y deberá seguirse haciendo en forma manual. Si no está estructurado ni maduro el
sistema no tiene razón de existir.

Uso de diagramas

Otra forma de analizar los hechos es seguir la ruta de la información desde su origen
hasta su destino, y disponer de este camino en una secuencia cronológica, con el fin
de clarificar dónde aparece, cómo avanza a lo largo del sistema y cómo llega a su
destino. Esta técnica ayuda a hacer un estudio objetivo de todos los pasos por los
cuales deberá pasar la información.

Evaluación de los Sistemas

Los progresos realizados en un sistema deben ser medidos o evaluados para conocer
las deficiencias y problemas que éste presenta. Aunque una evaluación cualitativa
puede resultar útil en las etapas iniciales del desarrollo del sistema, medidas
cuantitativas bajo unas mismas condiciones resultan de vital importancia para ver el
progreso real del sistema y compararlo consigo mismo o con otros. Los números no
aportan información si se desconoce de dónde proceden, es decir, qué representan.
La evaluación de cualquier tecnología debe ir acompañada de un conjunto de medidas
estándar propuestas para tal fin. La disponibilidad de bases de datos y de protocolos o
procedimientos para la evaluación de estos sistemas ha sido un componente muy
importante, casi fundamental, en el progreso alcanzado en este campo y ha permitido
compartir nuevas ideas, e incluso compararlas con otras ya consolidadas. Los
progresos en la evaluación de sistemas de comprensión del lenguaje hablado están
comenzando. Así vamos a mencionar a continuación diferentes acuerdos alcanzados
en la evaluación de sistemas

Evaluación de los Sistemas de Información

La evaluación que se practica se debe entender en un marco de trabajo concreto: un

proyecto concreto de investigación. En primer lugar, la evaluación tiene como función
primordial orientar el desarrollo del sistema general y como función secundaria
establecer la validez y la efectividad del mismo, al compararlo con otros servicios
existentes; en segundo lugar, la evaluación de los sistemas colaterales tiene que ser
tanto cualitativa como cuantitativa. El estudio cualitativo se lleva a cabo a partir de la
descripción y valoración realizada por el grupo de los evaluadores. Por su parte, el
análisis cuantitativo se elabora a partir de los resultados procedentes de la aplicación
de una plantilla de trabajo.
ADITORIA INFORMATICA ING. CARLOS BARRERA

Por su parte, la evaluación cuantitativa, centrada en el usuario y en su visión del

sistema, intenta recoger los resultados de cuestiones como el tiempo de respuesta, el
grado de dificultad, la eficacia, la forma de presentación conceptual y física, etc. Este
apartado se realiza a partir de una plantilla de trabajo que en realidad es un
cuestionario cerrado en forma de preguntas, que exige responder a los usuarios en
cuatros niveles de respuesta (25%, 50%, 75%, 100%) o la dualidad Sí/No. A modo de
resumen, las preguntas se organizaban de la siguiente manera:

Interfaz General
Arquitectura de acceso: uso y mantenimiento del sistema así como su capacidad
para discriminar de diferentes formas el acceso al sistema;

Interfaz General: grado de satisfacción con los distintos elementos de la interfaz, tales
como los componentes gráficos, etc;

Adaptación al usuario: capacidad que tiene el usuario de personalizar el sistema, ya

sea en el apartado de disposición estética como en el de la recuperación;

Gestión de contenidos: capacidad del sistema en lo que se refiere a las categorías, a

la capacidad del usuario para acceder a la información y a la capacidad de decisión en
la recuperación de información;

Esquemas de búsqueda: se analiza si el sistema es competente a la hora de la

búsqueda de información, (interesan cuestiones la posibilidad de realizar varias
búsquedas simultáneamente o la inclusión de instrumentos de ayuda a la
recuperación, etc);

Esquemas de recuperación y consulta: se estudian, entre otros aspectos, la

capacidad para ordenar los resultados, la localización de la categoría, las formas de
visualización, etc;

Sistemas de ayuda al usuario: hay que precisar si el sistema incorpora elementos de

ayuda;

Integración en el entorno del usuario: permite analizar la forma en que se integra en

el entorno informático que tiene el usuario.

Valoración sobre la categorización y sobre las secciones

Fidelidad expresiva: que detecta fallos en la categorización, por ejemplo la falta de
correspondencia con la categoría/sección, o el solapamiento de varias
categorías/secciones, etc.
Objetividad: que permite analizar si el sistema proporciona información clara sobre el
sistema de categorías/secciones.
Pertinencia: si el modelo de categorización es el más adecuado o si, por el contrario,
falta alguna, etc.

Valoración sobre los resúmenes

Contenido del resumen: si representa en mayor o menor medida el contenido,
adecuándose al contexto y al perfil del usuario. Estructuras del resumen: se analiza si
cumple con los formatos de resumen más idóneos.

Medida de la relevancia de los documentos obtenidos

ADITORIA INFORMATICA ING. CARLOS BARRERA

La obtención de datos sobre la relevancia, se realiza en torno a preguntas

relacionadas con la calidad del contenido, a su previsión, al estilo del documento, a la
cercanía, al conocimiento que le aporta al usuario, etc.

Controles

Ayudan a la investigación y corrección de las causas del riesgo. La corrección

adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de
controles detectivos sobre los controles correctivos, debido a que la corrección de
errores es en si una actividad altamente propensa a errores, y es lo más caro para la
organización.
Ejemplo: La recuperación de un archivo dañado a partir de respaldos

Principales Controles Físicos y Lógicos

Autenticidad.- Permiten verificar la identidad.
Passwords
Firmas digitales

Exactitud.- Aseguran la coherencia de los datos

Validación de campos
Validación de excesos o casos de borde

Totalidad.- Evitan la omisión de registros así como garantizan la conclusión de un

proceso de envío
Conteo de registros
Cifras de control.

Redundancia.- Evitan la duplicidad de datos.

Cancelación de lotes o proceso batch
Verificación de secuencias.

Privacidad.- Aseguran la protección de los datos.

Compactación
Encriptación.

Protección de Activos.- Destrucción o corrupción de información o del hardware.

Extintores
Passwords.

Efectividad.- Aseguran el logro de los objetivos.

Encuestas de satisfacción
Medición de niveles de servicio.

Eficiencia.- Aseguran el uso óptimo de los recursos.

Análisis costo-beneficio

Controles automáticos o lógicos.

Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los programas se deben realizar
periódicamente. Normalmente los usuarios se acostumbran a conservar la misma
clave que le asignaron inicialmente.

El no cambiar las claves periódicamente aumenta la posibilidad de que personas no

autorizadas conozcan y utilicen claves de usuarios del sistema computacional.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
ADITORIA INFORMATICA ING. CARLOS BARRERA

Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave esté compuesta por códigos de empleados, ya que
una persona no autorizada a través de pruebas simples o de deducciones puede dar
con dicha clave.

Controles de Sistema en Desarrollo y Producción

Controles de Desarrollo de Aplicaciones

Los usuarios deben participar en el diseño e implantación de los sistemas pues

aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de
cambio

El personal de auditoría interna/control debe formar parte del grupo de diseño para
sugerir y solicitar la implantación de rutinas de control
El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos,
metodologías estándares, procedimientos y en general a normatividad escrita y
aprobada.

Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante
actas u otros mecanismos a fin de evitar reclamos posteriores.
Los programas antes de pasar a Producción deben ser probados con datos que
agoten todas las excepciones posibles.

Todos los sistemas deben estar debidamente documentados y actualizados

Implantar procedimientos de solicitud, aprobación y ejecución de cambios a
programas, formatos de los sistemas en desarrollo.

El sistema concluido será entregado al usuario previo entrenamiento y elaboración de

los manuales de operación respectivos

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde la

entrada hasta la salida de la información, lo que conlleva al establecimiento de una
serie de medidas de seguridad para:

Asegurar que todos los datos sean procesados

Garantizar la exactitud de los datos procesados
Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en
las mejores condiciones.

Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y

dispositivos de almacenamiento, la administración de discos y/o cartridges y la
operación de terminales y equipos de comunicación por parte de los usuarios de
sistemas on line.

Los controles tienen como fin:

Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo
durante un proceso
ADITORIA INFORMATICA ING. CARLOS BARRERA

Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios
del Centro de Procesamiento

Garantizar la integridad de los recursos informáticos.

Asegurar la utilización adecuada de equipos acorde a planes y objetivos

Seguridad de la Información.

Son todas las actividades orientadas a preservar la integridad, confidencialidad

y disponibilidad de la información y los activos asociados a su tratamiento,
independientemente de la forma en que ésta se presente.
Integridad; Salvaguardar la exactitud y completitud de la información y de sus
métodos de procesamiento.

Confidencialidad; Asegurar que la información es accesible sólo para quienes tengan

acceso autorizado.

Disponibilidad; asegurar que los usuarios autorizados tengan acceso a la información

y sus activos asociados cuando lo requieran

Algunas Consideraciones de Seguridad de la Información

La Seguridad de la Información y de los bienes asociados, es responsabilidad de todas

las personas que trabajan en o para la organización, y que por motivos de sus
funciones los utilizan en cualquier grado.
La información debe ser clasificada y protegida, de acuerdo a la importancia que
posee para el negocio, considerando sus atributos de confidencialidad, integridad y
disponibilidad.

Todo personal interno o externo, que preste sus servicios a la organización, ya sea en
forma directa o a través de proveedores, debe acceder exclusivamente a la
información estrictamente necesaria para el cumplimiento de sus funciones.

Pruebas

Pruebas sustantivas. El objetivo de las pruebas sustantivas es obtener evidencia

suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo
pueden ocurrir pérdidas materiales durante el proceso de la información. Se pueden
identificar 8 diferentes pruebas sustantivas:

Evaluación de los sistemas de acuerdo al riesgo. Riesgo Proximidad o posibilidad de

un daño, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que
puede cubrir un seguro. Sinónimos: amenaza, contingencia, emergencia, urgencia,
apuro. Seguridad Cualidad o estado de seguro Garantía o conjunto de garantías que
se da a alguien sobre el cumplimiento de algo. Se dice también de todos aquellos
objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el
funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de seguridad.

Consideraciones Inmediatas para la Auditoría de la Seguridad

Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio) Este
estudio se realiza considerando el costo que se presenta cuando se pierde la
información vs el costo de un sistema de seguridad. Para realizar este estudio se debe
considerar lo siguiente: - Clasificar la instalación en términos de riesgo (alto, mediano,
pequeño). - Identificar las aplicaciones que tengan alto riesgo. Costo x perdida Costo
del de información sistema de seguridad Cada uno de estos puntos es de mucha
ADITORIA INFORMATICA ING. CARLOS BARRERA

importancia por lo que se sugiere clasificar estos elementos en áreas de riesgo que
pueden ser: Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia
del sistema de información.

Consideración y Cuantificación del Riesgo a Nivel Institucional (importante) - Clasificar

la información y los programas de soporte en cuanto a su disponibilidad y
recuperación. - Identificar la información que tenga un alto costo financiero en caso de
perdida o pueda tener impacto a nivel ejecutivo o gerencial. - Determinar la
información que tenga un papel de prioridad en la organización a tal punto que no
pueda sobrevivir sin ella. Una vez determinada esta información se la debe
CUANTIFICAR. Disposiciones que Acompañan la Seguridad Contar con un conjunto
de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse
situaciones de riesgo. Higiene Debe observarse con mucho cuidado en las áreas
involucradas de la organización (centro de cómputo y demás dependencias). Cultura
Personal Cuando hablamos de información, su riesgo y su seguridad, siempre se debe
considerar al talento humano, ya que podría definir la existencia o no de los más altos
grados de riesgo. :