AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS Ing. Emilio Palomino OliveraCOMO SON LOS NEGOCIOS HOY EN DIA?El mundo en general est cambiando cada vez ms rpidamente, sometiendo a las empresas a la accin de muchas fuerzas externas tales como la creciente necesidad de acceder a los mercados mundiales, la consolidacin industrial, la intensificacin de competencia, y las nuevas tecnologas.La globalizacin.La diversificacin de actividades.La eliminacin de ramas de negocio no rentables o antiguas.La introduccin de nuevos productos como respuesta a la competencia.Las fusiones y formacin de alianzas estratgicas. QUE HACER??Ante la rapidez de los cambios, los directivos toman conciencia de que para evitar fallos de control significativos deben reevaluar y reestructurar sus sistemas de controles internos.Deben actuar de manera proactiva antes de que surjan los problemas, tomando medidas audaces para su propia tranquilidad, as como para garantizar a los consejos de administracin, accionistas, comits y publico que los controles internos de la empresa estn adecuadamente diseados para hacer frente a los retos del futuro y asegurar la integridad en el momento actual.Centros de computo, rea de informtica, direccin de informtica... tiene una importancia crucial por soportar los sistemas de informacin del negocio, por el volumen de recursos y presupuesto que maneja, etc. Por lo tanto, aumenta las necesidades de control y auditora, surgiendo en las organizaciones, como medidas organizativas, Control Interno y Auditora informticos. EL ROL DE LA AUDITORIA Y EL AUDITORLa auditora ha cambiado notablemente en los ltimos aos con el enorme impacto que han venido obrando las tcnicas informticas en la forma de procesar la informacin para la gerencia.La necesidad de adquirir y mantener conocimientos actualizados de los sistemas informticos se vuelve cada vez ms acuciante, si bien los aspectos bsicos de la profesin no han variado. Los auditores informticos aportan conocimientos especializados, as como su familiaridad con la tecnologa informtica. Adems los especialistas en auditoria informtica y de sistemas basados en computadoras prestan una ayuda valiosa a la Organizacin y a los auditores en todo lo relativo a los controles sobre dichos sistemas.Prefacio de AuditoraDesde los inicios de la humanidad las distintas culturas han dado una importancia enorme a los temas de contabilidad, y por tanto tambin han necesitado de medios que permitieran verificar sus registros, consolidado en lo que hoy conocemos como AUDITORIA.A finales de 1800 cuando la auditoria financiera se extendi por el Reino Unido y Norteamrica, y se sientan las bases de las prcticas que conocemos en la actualidad. A partir de 1950, la informtica se convierte en una herramienta muy importante en las labores de Auditoria financiera, ya que permite llevar a cabo la forma rpida y precisa, operaciones que manualmente consumiran demasiados recursos. Empieza la denominada Auditora con el computador, que no puede considerarse Auditora Informtica, sino que utiliza el computador como herramienta del auditor financiero.PrefacioSin embargo, al convertirse los sistemas de informacin de la empresa cada vez mas dependientes de los computadores, surge la necesidad de verificar que los sistemas informticos funcionen correctamente.Surge as la necesidad de una nueva especialidad dentro de la auditora, cuyo objetivo es precisamente verificar el funcionamiento CORRECTO, EFICAZ Y EFICIENTE de la informtica, en definitiva, la Auditora del computador PrefacioEn la actualidad la informacin se ha convertido en uno de los activos principales de las empresas, que representa su principal ventaja estratgica.Las empresas invierten enormes cantidades de dinero y tiempo en la creacin de sistemas de informacin que les ofrezcan la mayor productividad y calidad posibles. Es por eso que los temas relativos a la auditora informtica cobran cada vez mas relevancia tanto a nivel internacional como nacional. De esa importancia creciente de la informacin nace la necesidad de que ese bien jurdico sea protegido por el derecho y aparezca regulado en el ordenamiento jurdico. Auditoria . Concepto GenricoSi desmenuzamos el contenido de la Auditora y su evolucin, podemos observar que el concepto permanece inamovible y son su objeto y finalidad lo que puede variar.Conceptualmente toda Auditora, es una actividad que consiste en emitir una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. Elementos fundamentales de la AuditoraElementos fundamentalesDescripcinContenidoUna OpininCondicinProfesionalJustificacinSe sustenta en determinados Procedimientos que proporciona seguridad de lo que se afirma.ObjetoUna determinada informacin obtenida con un cierto soporte (Evidencias )FinalidadDeterminar si presenta adecuadamente la realidad o esta responde a las expectativas que le son atribuidas, es decir, su fiabilidadEl Objeto y Finalidad distinguen de que tipo o clase de auditora se trata. El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el estudio, definen el tipo de auditora de que se trata. (el objeto es el Sistema de Matriculas de la Universidad, la finalidad es si opera satisfactoriamente de acuerdo a las polticas y normas de la institucin)Clases de AuditoraCLASECONTENIDOOBJETOFINALIDADFinancieraOpininCuentas anualesPresenta realidadInformticaOpininSistemas de aplicacin, recursos informticos, planes de contingencias, etc. Operatividad eficiente y segn normas establecidasGestinOpininDireccinEficacia, Eficiencia, economicidadCumplimientoOpininNormas establecidasLas operaciones se adecuan a estas normas.Consultora . ConceptoLa consultora consiste en dar asesoramiento o consejo sobre lo que se ha de hacer o como llevar adecuadamente una determinada actividad para obtener los fines deseados.Elementos fundamentales de la ConsultoraElementos fundamentalesDescripcinContenidoDar asesoramiento o consejoCondicinDe carcter especializadoJustificacinEn base a un examen o anlisis. (experiencia)ObjetoLa actividad o cuestin sometida a consideracin.FinalidadEstablecer la manera de llevarla a cabo adecuadamente.Clases de ConsultoraCLASECONTENIDOOBJETOFINALIDADFinancieraAsesoramientoPlanes de cuentas. Procedimientos administrativosDiseo e implantacinInformticaAsesoramientoAplicaciones.Planes de contingencias.Desarrollo. Diseo e implementacinConsultora & AuditoraLa Consultora es una funcin a PRIORI con el fin de determinar como llevar a cabo una funcin o actividad de forma que obtenga los resultados pretendidos. La Auditora verifica a POSTERIORI si estas condiciones, una vez realizada esta funcin o actividad, se cumplen y los resultados pretendidos se obtienen realmente.Control Interno Informtico Control interno informtico. Controla diariamente que todas las actividades de los sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijadas por la direccin de la organizacin y/o la direccin de Informtica, as como los requerimientos legales.

La misin de CII es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas.

CII suele ser un rgano STAFF de la Direccin del Departamento de Informtica y esta dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

Objetivos Genricos de CIIControl del cumplimiento de procedimientos y normas fijadas (legales), evaluar su bondad.Asesorar sobre el cumplimiento de las normas.Colaborar y apoyar en el trabajo de AI.Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico.

Realizacin en los diferentes sistemas y entornos informticos el control de las diferentes actividades operativas Control de cambios y versiones del sw.Controles sobre la produccin diaria.Controles sobre la calidad y eficiencia de desarrollo y mto. del sw y del servicio informtico.Controles en las redes de comunicaciones.Controles sobre el Sw de base (sist. Op.)Seguridad: usuarios, responsables y perfiles de uso de archivos y bases de datos.Licencias y relaciones contractuales con terceros.Asesorar y transmitir cultura sobre el riesgo informtico.

Auditora InformticaEs el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficazmente los recursos.Objetivos tradicionales de la A.I.Objetivos de proteccin e integridad de activos.Objetivos de gestin que abarcan, no solamente los de proteccin de activos si no tambin los de eficacia y eficiencia.

Funciones Generales del A.I.El auditor evala y comprueba en determinados momentos del tiempo los controles y procedimientos informticos mas complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso de Sw. Por los que hoy en da ya no es posible verificar manualmente los procedimientos informatizados que resumen y calculan datos.El auditor es responsable de revisar e informar a la Direccin de la organizacin sobre el diseo y el funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada.

Organizacin de funciones del A.ISe puede establecer 3 grupos de funciones por un auditor informtico:Participar en las revisiones durante y despus del diseo, realizacin y explotacin de aplicaciones informticas, as como en las fases anlogas de realizacin de cambios importantes.Revisar y juzgar los controles implantados en los sistemas informticos para verificar su adecuacin a las ordenes e instrucciones de la direccin, requisitos legales, proteccin de confidenciabilidad y cobertura ante errores y fraude.Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacin. C.I.I. y A.I. campos anlogosAmbas funciones han evolucionado rpida y paralelamente.Para ser auditores se debi ser control interno alguna vez o viceversa.Formacin en seguridad informtica reciben tanto los de CII y AI.Existe similitud de los objetivos profesionales de Control y Auditoria, campos anlogos que propician una transicin natural.Aunque CII y AI tienen objetivos comunes existen diferencias.

Similitudes y Diferencias entre CII y AISistema de CII Definicin.Se define como: Una actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de una sistema.Los controles cuando se diseen, desarrollen e implanten han de ser: menos complejos, simples, fiables, revisables, adecuados y rentables (segn anlisis coste-beneficio)Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos mecanismos de control, la mayora de los cuales son automticos.

Mtodos de CIIControles preventivos.- para tratar de evitar el hecho o forma de cmo un sw. o hw. de seguridad impida accesos no autorizados.Controles detectivos.- si fallan los preventivos, stos controles tratan de conocer cuanto antes el evento, mdulo o informacin sujeto al ataque.Controles correctivos.- Facilitan la vuelta a la normalidad cuando se ha producido incidencias. Ej. La recuperacin de un file daado a partir de las copias de seguridad Relacin entre mtodos de control y objetivos de control. Objetivos de control de mantenimiento: Asegurar que las modificaciones de los procedimientos programados estn adecuadamente diseadas, probadas, aprobadas e implantadas. ISO 14764Objetivos de control de seguridad de programas: Garantizar que no se pueden efectuar cambios no autorizados en los procedimientos programados. NTP ISO/IEC 17799Implantacin de un Sistema de CII.Los controles puede implantarse a varios niveles diferentes. La evaluacin de los controles de la tecnologa de la informacin exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuracin del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber donde puede implantarse los controles, as como para identificar posibles riesgos.Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los niveles de control y otros elementos relacionados.Elementos a conocer para implantar un sistemas de control interno informatico Entorno de red.Configuracin de ordenadores.Entorno de aplicaciones.Productos y herramientas.Seguridad .

Gestin de sistemas de informacin.Gestin de cambio.Sistemas de Gestin de Seguridad Informtica.IMPLANTACION DE POLITICAS Y CULTURA SOBRE LA SEGURIDADROL DE LA DIRECCIONESDIRECCION DEL NEGOCIO O DIRECCION DE S.I.- Definen polticas y/o directrices para los sistemas en base a las exigencias del negocio, que podrn ser internas o externas.

DIRECCION DE INFORMATICA.- Definen normas de funcionamiento del entorno informtico y de cada una de las funciones de informtica mediante la creacin y publicacin de procedimientos, estndares, metodologa y normas, aplicables a todas las reas de informtica as como a los usuarios, que establezcan el marco de funcionamiento.

CONTROL INTERNO INFORMATICO.- Define los diferentes controles peridicos a realizar en cada una de las funciones informticas, de acuerdo al nivel de riesgo da cada una de ellas y ser diseados conforme a los objetivos de negocio y dentro del marco legal aplicable. Tambin realizara peridicamente la revisin de los controles establecidos de CII informando de las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios crea convenientes en los controles, as como transmitir constantemente a toda la organizacin de informtica la cultura y polticas del riesgo informtico. ROL DE LA DIRECCIONESAUDITOR INTERNO/EXTERNO INFORMATICO.- Revisa los diferentes controles internos definidos en cada una de las funciones informticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Direccin del Negocio y la Direccin de Informtica. Informara a la alta Direccin de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaran acciones que minimicen los riesgos que pueden originarse. ROL DE LA DIRECCIONESLA CREACION DE UN SISTEMA DE CONTROL INFORMATICO ES UNA RESPONSABILIDAD DE LA GERENCIA Y UN PUNTO DESTACABLE DE LA POLITICA EN EL ENTORNO INFORMATICO CII y AI verifican y determinan el cumplimiento y validez de los siguientes controles internos.Controles generales organizativos. 259,320, 019Controles de desarrollo, adquisicin y mantenimiento de sistemas de informacin. 179-2004, 14764, Controles de explotacin de sistemas de informacin. 179-2004,Controles de aplicaciones. 179-2004Controles especficos de ciertas tecnologas.

Controles generales organizativos.Polticas.- sirven de base para la planificacin, control y evaluacin por la direccin de las actividades del Departamento de Informtica. Planificacin:Plan Estratgico Institucional Plan Estrategico Informtico.- realizado por la alta direccin - Definen procesos corporativos y se considera TIC as como las amenazas oportunidades, Fortalezas - Debilidades de su uso o de sus ausencia.Plan Operativo Informtico.- realizado por el Dep. Informtica, define como cubrir las necesidades de la empresa con proyectos informticos.Plan general de seguridad (fsica y lgica).- que garantice la cofidenciabilidad, integridad y disponibilidad de la informacin.Plan de Control Interno Informtico.- sujeto a la normativa de la Resolucin de contralora de la Nacin N 320-2006-CGPlan de emergencia ante desastres.- que garantice la disponibilidad de eventos ante desastres.Controles generales organizativos.Estndares.- que regulen la adquisicin de recursos (reglamento de adquisiciones del estado), el diseo, desarrollo y modificacin y explotacin de sistemas. Procedimientos.- que describan la forma y las responsabilidades de ejecutoria para regular las relaciones entre el Dep. de Informtica y los Deptos Usuarios.Organizar el Dep. de informtica en un nivel suficientemente superior de estructura organizativa como para asegurar su independencia de los dems departamentos. Controles generales organizativos.Descripcin de la funciones y responsabilidades dentro del Departamento con una clara separacin de las mimas.Polticas de personal.- seleccin, plan de formacin, plan de vacaciones y evaluacin y promocin.Asegurar que la Direccin revise todos los informes de control y resuelva todas las observaciones.Asegurar que exista una poltica de clasificacin de la informacin para saber dentro de la Organizacin que personas estn autorizadas y a que tipo de informacin.Designar oficialmente la figura de CII y de AI.

Controles de desarrollo, adquisicin y mantenimiento de sistemas de informacionPara que permitan alcanzar la eficacia del sistema, economa, eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones.Metodologa del ciclo de vida del desarrollo de sistemas: Su empleo podr garantizar a la alta direccin que se alcanzaran los objetivos definidos para el sistema. Estos son algunos controles que deben existir en la metodologa:Explotacin y mantenimiento.38Controles de la MetodolgaLa alta direccin debe publicar una normativa sobre el uso de metodologa del ciclo de vida y desarrollo de sistemas y revisar sta peridicamente.La metodologa debe establecer los roles y responsabilidades de las distintas reas del departamento de Informtica y de los usuarios, as como la composicin y responsabilidades del equipo de proyecto.Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo.Debe establecerse un estudio tecnolgico de viabilidad en el cual se formulen alternativas de alcanzar los objetivos del proyecto acompaadas de una anlisis costo-beneficio --- de cada alternativa---.

Controles de la MetodolgaCuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deber existir una metodologa de control de costos.Procedimientos para la definicin y documentacin de especificaciones de: Diseo, Entrada, Salida, ficheros, procesos, programas, controles de seguridad, pistas de auditoria. Etc.Plan de validacin, verificacin y pruebas.Estndares de prueba de programas, de prueba de sistemas.Plan de conversin: prueba de aceptacin final.Los procedimientos de adquisicin de software debern seguir las polticas de adquisicin de la organizacin y dichos productos antes debern ser probados y revisados para luego pagar por ellos y ponerlos en uso.

Controles de la MetodolgaLa contratacin de programas de servicios de programacin a medida ha de estar justificada mediante una peticin escrita de un director de proyecto.Debern prepararse manuales de operacin y mantenimiento como parte de todo proyecto de desarrollo o modificacin de sistemas de informacin. As como manuales de usuario.

Explotacin y MantenimientoEl establecimiento de controles asegurara que los datos se tratan de forma congruente y exacta y que el contenido de sistemas solo ser modificado mediante autorizacin adecuada. Estos son algunos de los controles que se deben implantar:Procedimiento de control de explotacin.Sistema de contabilidad para asignar a usuarios los costos asociados con la explotacin de un sistema de informacin.Procedimientos para realizar un seguimiento y control de los cambios de un sistema de informacin. Controles de explotacin de sistemas de informacinPlanificacin y gestin de recursos.- Definir el presupuesto operativo del Departamento, plan de adquisicin de equipos y gestin de la capacidad de los equipos.Controles para usar de manera efectiva los recursos en ordenadores:Calendario de carga de trabajo.Programacin de personal.Mantenimiento preventivo - correctivoGestin de problemas y cambiosstock de materialesProcedimientos de facturacin a usuarios.Controles de explotacin de sistemas de informacinSeguridad Fsica y Lgica.Definir un grupo de seguridad de la informacin, siendo una de sus funciones la administracin y gestin del Software de seguridad, revisar peridicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes.Controles fsicos para asegurar que el acceso a las instalaciones del Departamento de Informtica queda restringido a las personas no autorizadas.Instalacin de medidas de proteccin contra fuego.Formacin y concientizacin en procedimientos de seguridad y evacuacin del edificio.Control de acceso a usuarios con cdigos intransferiblesNormas que regulen el acceso a los recursos informticos.Existencia de un plan de contingencias para el funcionamiento de equipos, Sistema y para la recuperacin de los servicios despus de una interrupcin imprevista.

Controles en AplicacionesCada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, validez y mantenimiento completos y exactos de los datos. Lo mas importante en estos controles consideramos:Control de entrada de datos: procedimientos de conversin y de entrada, validacin y correccin de datos.Controles de tratamiento de datos, asegurando que no se den de alta, modifiquen o borren datos no autorizados.Controles de salida de datos: procedimientos de distribucin de salidas, de gestin de errores en las salidas.

Controles en Aplicaciones

Controles en AplicacionesControles especficos de ciertas TecnologasControles en sistemas de gestin de bases de datos.Controles en informtica distribuida y redes.Controles sobre ordenadores personales y redes de rea local.

Controles en sistemas de gestin de bases de datos.El Sw de GBD debe instalarse y mantenerse asegurando la integridad del software, las BD y las instrucciones que definen el entorno.Definir las responsabilidades sobre la planificacin, organizacin, dotacin y control de los activos de datos (Administrador). Deben existir procedimientos para la descripcin y los cambios de datos as como para el mantenimiento del diccionario de datosControles sobre el acceso de datos y de concurrencia.Controles para minimizar fallos, recuperar el entorno de las BD hasta el punto de cada y minimizar el tiempo para la recuperacin.Controles para asegurar la integridad de los datos: como comprobar enlaces fsicos, registros de control para mantener los balances de transacciones.

I Controles en informtica distribuida y redesPlanes adecuados de implantacin, conversin y pruebas de aceptacin para la red.Existencia de un grupo de control de red.Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida.Procedimiento que definan las medidas y controles de seguridad a ser usados en la red entre los departamentos interconectados.Existencia de inventario de todos los activos de la red.Procedimientos de respaldo del Hw. y Sw. de la red.Existencia del mantenimiento preventivo de todos los activos.Controles que verifiquen que todos los mensajes de salida se validen de forma rutinaria para asegurar que contienen direcciones de destino validas.Controles de seguridad lgica: control de acceso a la red, establecimiento de perfiles de usuario.II Controles en informtica distribuida y redesProcedimientos de cifrado de la informacin critica que se transmite a travs de la redProcedimientos automticos para resolver cierres del sistema.Monitorizacin para medir la eficiencia de la red.Disear el trazado fsico y las medidas de seguridad de las lneas de comunicacin local dentro de la organizacin.Detectar la correcta o mala recepcin de mensajes.Identificar los mensajes por una clave individual de usuario, por terminal, y por el numero de secuencia del mensaje.Revisar los contratos de mantenimiento y el tiempo de servicio acordados con el proveedor, cumpliendo as con los cronogramas propuestos.Determinar si el equipo MUX/Concentrador/Procesador Frontal remoto tiene lgica redundante y poder de respaldo con realimentacin automtica en caso de fallas.

III Controles en informtica distribuida y redesAsegurarse de que haya procedimientos de recuperacin y reinicio.Asegurarse que existan pistas de auditoria que puedan usarse en la reconstruccin de archivos de datos y de las transacciones de las diversas terminales. Debe existir la capacidad de rastrear los datos entre el terminal y el usuario.Considerar circuitos de conmutacin que usen rutas alternativas para diferentes paquetes de informacin provenientes del mismo mensaje; esto ofrece una forma de seguridad en caso de que alguien intercepte los mensajes.

I Controles sobre ordenadores personales y redes de rea localPolticas de adquisicin y utilizacin.Normativas y procedimientos de desarrollo y adquisicin de Sw. De aplicaciones.Procedimiento de control de Sw. Contratado bajo licencia.Controles de acceso a redes, mediante palabras clave, a travs de ordenadores personales.Revisiones peridicas del uso de los ordenadores personales.Polticas que contemplen la seleccin, adquisicin e instalacin de redes.Procedimientos de seguridad fsica y lgica.Departamento que realice la gestin y soporte tcnico de la red.Controles para evitar modificar la configuracin de una red.

II Controles sobre ordenadores personales y redes de rea localInventario actualizado de todas las aplicaciones de la entidad.Implantar herramientas de gestin de la red con el fin de valorar su rendimiento, aplicacin y control.Polticas que obliguen a la desconexin de los equipos de las lneas de comunicacin cuando no se esta haciendo uso de ellas.Adoptar los procedimientos de control y gestin adecuados para la integridad, privacidad, confidencialidad y seguridad de la informacin contenida en las redes.Cuando exista conexin PC-Host, comprobar que opere bajo los controles necesarios para evitar la carga/extraccin de datos de forma no autorizada.Contratos de mantenimiento (preventivo y correctivo).

III Controles sobre ordenadores personales y redes de rea localMantener un registro documental de las acciones de mantenimiento realizadas, incluyendo la descripcin del problema y la solucin dada al mismo.Los ordenadores debern estar conectados a equipos de continuidad (UPS).Proteccin contra incendios, inundaciones o electricidad esttica.Control de acceso fsico a los recursos informticos: llaves de Pcs, reas restringidas. Ubicacin de impresoras. Prevencin de robos de dispositivos. Autorizacin para desplazamientos de equipos. Acceso fsico fuera de horario normal. IV Controles sobre ordenadores personales y redes de rea localAdecuada identificacin de usuarios en cuanto a las siguientes operaciones: altas, bajas, y modificaciones, cambios de password, explotacin del sistema.Controlar las conexiones remotas.Procedimientos para la instalacin o modificacin de software y establecer que la direccin sea consciente del riesgo de virus informtico y otros softwares maliciosos, as como de fraude por modificaciones no autorizadas de software y daos.Controles para evitar la introduccin de un sistema operativo a travs de disquete o CD/DVD que pudiera vulnerar el sistema de seguridad establecido.

INFORMEEs la comunicacin Formal del Auditor Informtico al cliente, sobre el alcance de la Auditoria; (Objetivos, periodo de cobertura, naturaleza y extensin del trabajo realizado) como de los resultados, conclusiones y recomendaciones. Se separa lo significativo de lo no significativo evaluados por su importancia y vinculacin con el factor riesgo. Informe de debilidades del control interno.Deber ser claro, adecuado, suficiente y comprensible.Puntos Esenciales, genricos y mnimos del InformeTitulo del Informe.Identificacin del cliente y los destinatarios.Identificacin de la entidad Auditada.Objetivos de la Auditoria InformticaNormativa aplicada.Alcance de la Auditoria. (rea organizativa, Periodo de Auditoria, sistemas de Informacin, sealando limitaciones al alcance y restricciones del auditado)

Conclusiones: informe corto de opinin.Opinin favorable.Opinin con salvedades.Opinin desfavorable.Opinin denegadaResultados: Informe largo y otros informesInforme previos. (El informe de Auditoria es, por principio, un informe de conjunto)Delito societario y responsabilidad civil del auditor informatico.Fecha del informe.Identificacin y firma del auditor.Distribucin del informeOpinin favorableSe manifiesta de forma clara y precisa.Es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre.Esta de acuerdo con la normativa legal y profesional.Carece de salvedades significativas, es limpia o favorable. Opinin con salvedadesSalvedades significativas en relacin con los objetivos de la auditoria, describindose con precisin la naturaleza y razones.Limitaciones al alcance del trabajo realizado. (restricciones por parte del auditado)Incertidumbre cuyo resultado no permita una previsin razonable.Irregularidades significativas.Incumplimiento de la normativa legal y profesional.

Opinin DesfavorableIdentificacin de irregularidades Incumplimiento de la normativa legal y profesional que afecten significativamente los objetivos de la Auditoria informtica estipulados, incluso con incertidumbre: todo ello en evaluacin en conjunto y reseando detalladamente las razones correspondientes.Opinin DenegadaLimitaciones al alcance de la AuditoriaIncertidumbre significativas de un modo tal que impidan al auditor formarse una opinin.Irregularidades Incumplimiento de la normativa legal y profesional que imposibiliten lograr los objetivos de la Auditoria informticaContratos informticosEs aquel cuyo objeto es un bien o servicio informtico - o ambos.Los contratos informticos van en crecimiento, lo que viene sucediendo en funcin de los avances tecnolgicos y de sus mayor utilizacin por la sociedad.Se clasifican en:Contratacin de hardware.Contratacin de Software.Contratacin de datos.Contratacin de servicios.Contratos complejos.

Contratacin de HardwareEl objeto en esta clase de contratos es el Hardware y equipos auxiliares.No presentan problemas especficosLos contratos mas usuales son:Compraventa.Arrendamiento.Mantenimiento.

Contratacin de SoftwareEl objeto en esta clase de contratos es el Software(desarrollo a medida), licencia de uso (autorizar a terceros derechos de explotacin conservando la propiedad del mismo ), adaptacin de un Software producto (contratacin de una licencia de uso de un producto que se adapte a las necesidades del usuario), mantenimiento (corregir errores en el software fuera del periodo de garanta correctivos, de adaptacin, perfectivo y preventivo), garanta de acceso al cdigo fuente (se da este contrato en caso de que la empresa titular de los derechos de propiedad intelectual desaparezca - el programa fuente queda bajo custodia del notario publico por si en el futuro amerita acceder a este cdigo).Contratacin de DatosEl valor de la informacin aumenta cada da mas, la comercializacin de Bases de Datos es el negocio de hoy y del futuro.Distribucin de la informacin.- consiste en la comercializacin de la BD durante un cierto periodo de tiempo a cambio de un precio.Suministro de la informacin.- el usuario accede siempre que lo precise a las BD del distribuidor.Compra.- se vende la BD con la posibilidad de que el adquiriente pueda no solo usarla si no mezclarla con otras propias para despus comercializar con ellas (previo acuerdo).Cesin.- parecido al anterior salvo que solo se permite el uso de la BD sin que realice transmisiones posteriores.Contratacin de ServiciosLos mas importantes son:Consultora informtica.Auditoria informtica. Formacin.Seguridad informtica.Contratacin de personal informtico.Instalacin.Comunicaciones.Seguros.Responsabilidad civil.

Contratos ComplejosContemplan los sistemas informticos como un todo incorporado al Hardware, al Software y algunos servicios determinados. Contratacin global o parcial de servicios informticos (outsourcing).- se integra en la estrategia de la empresa y disea soluciones.Contrato de respaldo (back up).-asegura el mantenimiento en circunstancias de mal funcionamiento del sistema.Contrato de llave en mano (turn-key-package).-Contrato de suministro de energa informtica.-