Upload
rafael-cazarez-moran
View
144
Download
0
Embed Size (px)
Citation preview
SECRETARA DE EDUCACIN PBLICA SUBSECRETARA DE EDUCACIN SUPERIOR DIRECCIN GENERAL DE EDUCACIN SUPERIOR TECNOLGICA INSTITUTO TECNOLGICO DE TORREN
ANTOLOGA DE LA ASIGNATURA
AUDITORA INFORMTICA
LICENCIATURA EN INFORMTICA
RECOPILADO POR: RAFAEL CAZAREZ MORAN
Torren, Coah. Marzo de 2010
CONTENIDO INTRODUCCIN DEFINICION DEL PROBLEMA: LA REVOLUCION CIBERNETICA...UNA REALIDAD 1. La computadora, una herramienta privilegiada 2 Utilidad de la informacin y las tecnologas de procesamiento de datos 3. La supercarretera de la informacin: Internet LOS PELIGROS COMPUTACIONALES Y SUS CONSECUENCIAS 1. Surgimiento de una nueva forma de delincuencia PROGRAMAS DE SEGURIDAD COMPUTACIONAL... UNA NECESIDAD 1. Necesidad de aplicar un programa de seguridad computacional 2. Definicin de un programa de seguridad computacional Antecedentes "Un poco de historia y un poco de actualidad... La importancia de la auditora informtica Terminologa de la auditora informtica Informtica Auditora Auditora informtica LA AUDITORA INFORMTICA Y SU ENTORNO El entorno en la informtica Objetivos del auditor en informtica al estudiar el entorno y su impacto en el negocio Auditora Interna y Auditora Externa UN ENFOQUE NUEVO SOBRE LA SEGURIDAD EN COMPUTACIN CONCEPTO DE SEGURIDAD TOTAL
1. Exigencias para incrementar la seguridad en computacin 2. Enfoques tradicionales sobre la seguridad en computacin 3. Concepto de seguridad total en computacin EL PAPEL DEL GERENTE Y DEL AUDITOR EN EL DESARROLLO Y LO REVISIN DE CONTROLES EN UN AMBIENTE DE CMPUTO SEGURIDAD FSICA Y DEL PERSONAL Seguridad fsica 1. Ubicacin y construccin del centro de cmputo 2. Aire acondicionado 3. Suministro de energa 4. Riesgo de inundacin 5. Acceso 6. Deteccin de incendios 7. Proteccin contra incendios 8. Extincin de incendios 9. Mantenimiento SEGURIDAD DEL PERSONAL Polticas hacia el personal 1. Polticas de contratacin 2. Procedimientos para evaluar el desempeo 3. Poltica sobre permisos 4. Rotacin de puestos 5. Evaluacin de las actitudes del personal Proteccin contra el personal
1. Perfil del personal de computacin 2. Estructura del subprograma SEGURIDAD DE LOS DATOS Y DEL SOFTWARE DE APLICACIN Introduccin 1. Medios de acceso y manipulacin ilegal de datos y programas 2. Gua de clasificacin de los datos 3. Controles de la biblioteca de soporte 4. Proteccin contra el acceso no autorizado 5. Controles de la biblioteca de soporte 6. Enfoque sistemtico de la seguridad de datos y programas SEGURIDAD DE LAS APLICACIONES 1. Alcance 2. El defecto comn: la relacin entre la computadora y el usuario 3. Controles de procesamiento de la computadora y seguridad de los archivos 4. Revisin regular de los controles de aplicacin AUDITORIA DE LA SEGURIDAD EN SISTEMAS DE SOFTWARE Objetivos de esta revisin Principales actividades para auditar esta rea Requerimientos para el xito de la revisin Tcnicas para obtener y evaluar la informacin 1. Administracin 2. Legalizacin e instalacin 3. Operacin y seguridad
SEGURIDAD EN LAS TELECOMUNICACIONES Introduccin 1. Identificacin de los peligros y las tcnicas criminales 2. Medidas y controles recomendados 3. La seguridad en las redes 4. Uso restringido del mdem 5. La seguridad en Internet LA SEGURIDAD DEL MEDIO Introduccin 1. Proteccin contra desastres naturales 2. Proteccin contra agresores 3. Proteccin contra fallas del sistema 4. Administracin de la seguridad AUDITORA DE LA SEGURIDAD EN MICRO Y MINICOMPUTADORAS 1. Peligros computacionales 2. Medidas para solucionar los problemas identificados 3. Tareas de la direccin en cuanto al uso de la tecnologa computacional 4. Auditora relacionada con la retencin de archivos confidenciales y trascendentes. 5. Seguros. 6. Planeacin de contingencias. 7. Crimen y fraude computacional 8. Delito Informtico TIPOS DE DELITOS
OTRAS ACTIVIDADES GRAVES QUE REGULARMENTE NO SON DELITOS A TRAVS DE LA RED PERO SE COMETEN A TRAVS DE ELLA CONCLUSIONES BIBLIOGRAFIA
INTRODUCCIN El apoyo a los procesos de enseanza aprendizaje de cualquier asignatura por parte del alumno y la induccin para que ste participe de manera activa en los mismos genera la necesidad de recopilar de diversos autores los contenidos que contemplen los aspectos programticos oficiales Indiscutiblemente que en computacin, como en muchos ms campos del aprendizaje humano, no habr un punto final que se llegue a alcanzar para satisfacer los requerimientos de los programas oficiales ni mucho menos para atender las demandas del campo laboral; sin embargo cualquier esfuerzo solo debe tomarse como un referente bsico, a partir del cual se encuentre el punto de partida y se emprenda la bsqueda de todo lo necesario segn el inters y necesidad particular de cada lector Este material es una recopilacin de diversos autores, que se caracterizan por tratar los temas concernientes a la Materia Auditora Informtica de una manera sencilla; cada apartado contiene los extractos elementales para entender y poner en prctica los contenidos temticos de las unidades y por tal motivo pareciera que no hay orden y/o congruencia; sin embargo, la capacidad innovadora y creativa del lector permitir establecer dicho orden segn su particular y propia situaciones, no solo en el aprendizaje sino en la prctica misma Deseo que esta pequea aportacin te sirva en lo general y particular para alcanzar los objetivos educacionales indicados en el Programa de esta materia
DEFINICION DEL PROBLEMA: LA REVOLUCION CIBERNETICA...UNA REALIDAD 1. La computadora, una herramienta privilegiada En la opinin de muchos economistas y socilogos, el auge de las actividades computarizadas de hoy ha sido tan importante como lo fue la Revolucin Industrial en el siglo pasado, pues la computacin, por s misma, constituye toda una revolucin tecnolgica. Las computadoras, por su parte, son herramientas de procesamiento de datos que han permitido al hombre desarrollar su capacidad mental, de la misma manera como las mquinas multiplicaron su capacidad fsica desde su invencin. As, no es de sorprenderse que cada vez haya ms personas interesadas en aprender lo relativo a la computacin y a su herramienta privilegiada, es decir, la computadora, por las grandes ventajas que ello representa. En los primeros aos de la computacin, las mquinas eran tan grandes como complejas y slo las empresas importantes podan costear su operacin con ayuda de personal especializado. Por tanto, dada su complejidad, tamao excesivo y costo exorbitante, las primeras computadoras eran de uso exclusivo para organizaciones militares, multinacionales o de finanzas y administracin pblica. Actualmente, gracias al avance tecnolgico de miniaturizacin, los componentes de las computadoras han pasado de ser tan grandes como una bombilla elctrica a tan pequeos como la cabeza de un alfiler, lo cual ha repercutido en forma positiva sobre el precio de las computadoras. Ahora, aprender a utilizar una computadora es una tarea mucho ms sencilla; de hecho, la tecnologa actual ha logrado que incluso personas sin muchos conocimientos en la materia puedan emplear una computadora de manera eficaz. 1.1 reas de uso de la computadora. Sin duda, los "monstruos cibernticos" se han integrado con rapidez a muchas de las actividades humanas e incluso han transformado nuestro modo de vida. Las computadoras actuales se especializan en el clculo de procesos matemticos, pero tambin dejan volar la imaginacin del usuario a la vez que dan impulso a la labor informativa y de adiestramiento. Ms an, estas mquinas inteligentes permitieron la llegada del hombre a la Luna y tambin el dominio de la superficie terrestre gracias a su intervencin en el diseo de edificios, aeroplanos o importantes sistemas de toma de decisiones que afectan la integracin de la sociedad moderna. Pero eso no es todo! La microelectrnica, la fabricacin de componentes de silicio, ha permitido crear computadoras muy poderosas a precios econmicos. Las computadoras actuales son, para muchos usuarios, un desafo intelectual, pero tambin una herramienta de impresionante funcionalidad que simplifica en gran medida el manejo de informacin. Por otra parte, gracias a la sinergia de la computacin as como las redes de telecomunicacin y televisin ha surgido una enorme variedad de servicios nuevos: edicin remota, teleconferencias, trasmisin de mensajes, correo electrnico, envos de fax, bancos bibliogrficos y documentales, todos manejados desde una computadora remota.
1.2 Realidad econmica de la computacin. En la dcada de los ochenta se estimaba que el 50% del producto interno bruto estadounidense provena de las actividades relacionadas con el uso de computadoras y las telecomunicaciones. A ltimas fechas, segn inform la revista Business Week, se tiene previsto un crecimiento del 10% anual en la industria de la computacin (software, hardware y servicios relacionados) a nivel internacional. Ello significa que para el ao 2000 se produjeron dividendos por ms de 1238 billones de dlares. En el trabajo 40% de los empleados utilizan una computadora para llevar a cabo sus actividades diarias; mientras, el uso de las computadoras en el hogar representa casi un 30% en Canad y alrededor de un 25 % en Quebec. En 1995, la tasa de adquisicin de computadoras en las empresas de Quebec se elev a un 88.1% en comparacin con el 40% registrado durante 1992. El constante advenimiento de nuevos modelos de dispositivos computacionales implica la mayora de las veces un desuso casi inmediato a su comercializacin. Adems, los gastos generados por las investigaciones realizadas en el campo de la computacin son los ms elevados en toda la industria. La guerra de precios y la produccin en masa son muestras claras del dinmico avance de la computacin. As, gradualmente, la computadora se ha convertido en una valiosa herramienta de administracin empresarial. 1.3 Perspectivas. La computacin an est lejos de llegar a la cumbre, pues ya se empieza a perfilar la llegada de la quinta generacin de computadoras. Se tiene planeado asignar a estas mquinas una capacidad de memoria 10000 veces superior a las computadoras actuales y una velocidad de procesamiento 1000 veces mayor, adems de funciones para comprender varios idiomas y conversar en forma interactiva con el usuario, lo cual no resulta idealista dada la omnipresencia de las computadoras. As, las computadoras personales han adquirido tanta capacidad que en ocasiones llegan a competir con los grandes sistemas de cmputo industriales y comerciales. Con todo, el verdadero motor de la revolucin tecnolgica computacional ha sido la llegada de los servicios multimedia, los cuales funcionan por medio de conjuntar varios dispositivos domsticos (telfono, televisin, computadora, etc.), cuya interaccin permite consultar una gran cantidad de bancos de datos (textos, imgenes, sonidos y otros), creados por diversos organismos pblicos o privados de todo tipo. Los sistemas multimedia permiten a los usuarios consultar, desde la comodidad de su hogar, bases de datos para obtener respuestas a sus preguntas o conocer los servicios ofrecidos. Ms an, adquirir diferentes artculos y bienes de consumo por medio de una computadora es hoy da una realidad. El usuario tan slo debe ordenar a partir de una lista desplegada en la pantalla. Asimismo, existen algunas revistas y peridicos elaborados e impresos en medios electrnicos personales. Por otro lado, las transacciones bancarias va telefnica realizadas desde el hogar constituyen una extensin de los sistemas electrnicos de pago o cajeros automticos. Este medio favorece la interaccin electrnica entre negociantes, ya que ordenar pedidos, elaborar facturas y hacer pagos pueden realizarse en forma simultnea. Adems, la integracin de las computadoras con los diferentes tipos de trasmisin de datos, permiten distinguir la manera como estn constituidas las redes complejas que repercutirn de manera significativa sobre la sociedad del futuro. Es innegable que las computadoras estn presentes en todas las actividades cotidianas, pero tambin se observa cmo el manejo de la informacin en los sistemas de cmputo presentar an ms ventajas en el futuro.
2. Utilidad de la informacin y las tecnologas de procesamiento de datos. Durante la ltima dcada, la computacin ha permitido el desarrollo de la capacidad humana en el uso de la informacin al grado de iniciar una verdadera revolucin en el trabajo intelectual. En realidad, su influencia ha superado por mucho a la que tuvo la Revolucin industrial sobre el trabajo manual. As, mientras la industrializacin transform la economa de supervivencia en economa de consumo; el trabajo artesanal en produccin en serie y la cultura de las altas esferas en cultura de las masas, la revolucin computacional modific no slo las tcnicas de trabajo sino tambin las estructuras empresariales e incluso nuestro modo de vida. 2.1 Funcin estratgica de los datos en la administracin. La informacin es un factor indispensable en todos los campos de razonamiento y actividad humanos. Por ejemplo, si hiciramos una comparacin entre una persona experimentada y de amplios conocimientos con una que no los tiene, sera fcil constatar que la primera tendra mayores posibilidades de xito y estara mejor preparada para tomar decisiones importantes. Adems de ser bastante til para quienes la utilizan con fines personales, la informacin es muy valiosa para la gente que participa en la toma de decisiones a nivel empresarial. En una compaa, un administrador debe realizar tareas bsicas para satisfacer los objetivos propuestos. Aun cuando dichos objetivos varan de un lugar a otro, las aptitudes deben ser siempre las mismas. En otras palabras, el administrador debe saber planear, organizar, dirigir, capacitar y controlar. El xito de la empresa obedece a la capacidad de los administradores para cumplir con sus funciones, las cuales estarn mejor desempeadas si stos cuentan con la informacin apropiada. Ello porque cada tarea implica decidir con base en informacin precisa, sensata, completa y oportuna y proporcionar informacin adecuada a quienes saben utilizarla facilita la toma de decisiones. Ahora bien, una decisin correcta permite lograr los objetivos propuestos por la empresa. Por su parte, la informacin es el medio de enlace que mantiene la unidad del conjunto. 2.2 Cmo mejorar la calidad de la administracin con ayuda de la computadora. Los sistemas de informacin tradicionales no han tenido el xito esperado porque la mayora no rene las cualidades requeridas: bajo costo, confiabilidad, capacidad de integracin y un formato aceptable. As, para remediar este tipo de dificultades se crearon nuevos conceptos de sistemas de informacin, orientados al uso de computadoras. Dichos conceptos son fruto del esfuerzo de muchos administradores por implantar las computadoras como herramienta auxiliar. Entre los puntos favorecidos se encuentran los siguientes: 2.2.1 Aumento del volumen de documentos de trabajo. La capacidad de procesamiento de la informacin en muchas empresas se ha visto incrementada por: * El crecimiento y la diversidad de la empresa. * El aumento en la solicitud externa de datos. * Las necesidades informativas de los administradores: cuanto mayor es el volumen de informacin por tratar, menor es el procesamiento por computadora en comparacin con otros procedimientos. * El bajo costo de operar con base en un sistema computacional. 2.2.2 Precisin del procesamiento. Si un sistema de procesamiento rebasa la capacidad para la cual est diseado, surgen imprecisiones y el control de las actividades empresariales se ve afectado. En cambio,
el procesamiento basado en computadora es bastante preciso cuando las tareas que deben llevarse a cabo reciben una preparacin cuidadosa. 2.2.3 Rapidez de procesamiento. El aumento en el volumen de la informacin por procesar, constituye un retraso en la elaboracin de informes as como en el acceso a los datos. Por tal motivo, muchas empresas han vuelto la mirada hacia la computadora para acelerar el procesamiento de la informacin. 2.2.4 Aumento en los costos El aumento en los costos de la mano de obra y el hardware ha llevado a los administradores a considerar, en un plan econmico, el uso de la tecnologa computacional. 2.3 El papel de la tecnologa computacional en la administracin Como se ha mencionado con anterioridad, para responder a los objetivos de la empresa, los administradores deben realizar tareas de planeacin y control, as como de organizacin del personal y toma de decisiones. La informacin proporcionada por los sistemas de cmputo suele tener una influencia importante en la administracin de una empresa porque: - Permite identificar con rapidez los problemas y posibles soluciones. - Permite analizar los problemas y elegir la mejor solucin. - Seala la solucin ms viable. Las computadoras tambin pueden utilizarse en las tcnicas de toma de decisiones como PERT/CPM, la programacin de lneas y la simulacin de problemas. Adems de su influencia en la planeacin y el control de actividades, las computadoras soportan muchas otras labores importantes para una empresa. Los aos venideros sern escenario de una transformacin significativa en el campo de la tecnologa computacional. Sin duda, los sistemas de informacin del futuro presentarn un tiempo de respuesta mucho mayor, una enorme capacidad de almacenamiento y una disponibilidad de acceso a nivel mundial. Esta tecnologa permitir a los administradores tener un acceso inmediato a la informacin til para la toma de decisiones estratgicas, en especial dentro del medio empresarial. 3. La supercarretera de la informacin: Internet La integracin de la tecnologa computacional y las telecomunicaciones, as como la posibilidad de navegar entre los miles de servidores instalados a lo largo y ancho del planeta, cuyo objetivo es brindar acceso a una infinidad de recursos computacionales, constituyen la supercarretera de la informacin. En la actualidad, Internet es la red de computacin ms grande del orbe porque agrupa numerosas redes locales. De hecho, su expansin se estima en 1000 redes nuevas por mes. Es as como hasta hoy, con ms de 40 millones de usuarios y un crecimiento aproximado de 150 000 suscriptores por mes, Internet es sin duda la supercarretera ms popular y recorrida a nivel mundial. El recurso ms importante de Internet es la informacin que distribuye entre sus millones de usuarios. Ya sea en forma de textos o imgenes, esta red agrupa una infinidad de temas como economa, mercado de valores, proveedores, productos, servicios, finanzas, leyes, organismos gubernamentales, etc. As, gracias a la supercarretera de la informacin, las empresas virtuales son una realidad en nuestros das; cada vez son ms las empresas que utilizan Internet como un escaparate donde los usuarios pueden adquirir o solicitar, desde la comodidad de su hogar, cualquier tipo de producto o servicio y liquidar el saldo mediante una transaccin electrnica de pago inmediato basada en dispositivos electrnicos bancarios enlazados a Internet.
La supercarretera de la informacin tambin ofrece a los navegantes la posibilidad de comunicarse con otros usuarios localizados en algn lugar del planeta. Sin importar la distancia, ste es uno de los medios ms efectivos para comunicarse con los clientes, proveedores, empleados, etctera. Aun cuando las posibilidades ofrecidas por la supercarretera de la informacin son ilimitadas, garantizar la seguridad de su uso es una de las mayores preocupaciones. Por ejemplo, al escribir y trasmitir datos confidenciales como el nmero de su tarjeta de crdito para adquirir artculos o solicitar reservaciones en algn servicio, siempre existe la posibilidad de que alguien intercepte la trasmisin y haga mal uso de los datos.
LOS PELIGROS COMPUTACIONALES Y SUS CONSECUENCIAS La proliferacin de computadoras y aplicaciones, adems del aumento del volumen, calidad y valor de la informacin guardada en los sistemas computacionales, han engendrado una gran cantidad de riesgos que amenazan tanto la integridad de los datos confidenciales como la seguridad de acceso a la informacin almacenada. En las prximas secciones analizaremos la evolucin de la delincuencia computacional, as como la importancia de los avances obtenidos en comparacin con los mtodos tradicionales de procesamiento. Asimismo, describiremos los principales peligros que desafan la seguridad de los sistemas de cmputo, con un enfoque especial en los elementos que amenazan la confidencialidad de la informacin y la inmunidad del funcionamiento de los sistemas. 1. Surgimiento de una nueva forma de delincuencia La delincuencia ha adoptado una nueva modalidad en el campo de las telecomunicaciones y la computacin. Ahora, en lugar de helarse las manos con el fro acero de las cajas de seguridad bancarias, atacar los camiones blindados que transportan dinero en efectivo o atormentar a las personas con el robo a mano armada, los delincuentes actuales han evolucionado y detectan el dinero en las computadoras y las redes de comunicacin. La conexin de las redes locales con las redes internacionales ha favorecido el aumento de la delincuencia en un medio que antes pareca seguro: la computadora. Podra aseverarse como una exageracin decir que los sistemas computacionales son ms vulnerables que los bancos y camiones blindados. Sin embargo, hoy da tener algunos conocimientos y el equipo bsico para establecer una comunicacin por computadora son elementos suficientes para atacar, desde la comodidad del hogar, casi cualquier organizacin comercial, industrial, gubernamental o de investigacin, incluso a miles de kilmetros de distancia. En pocos segundos, dos sitios ubicados en cualquier parte del planeta pueden intercambiar informacin de todo tipo. El duro oficio de asaltabancos se ha transformado y los delincuentes computacionales ahora utilizan los medios internacionales de comunicacin para lograr sus propsitos ilcitos. Por otra parte, la tecnologa computacional y las telecomunicaciones tambin han favorecido la consumacin de delitos ya conocidos3. Por ejemplo, el intercambio de informacin entre aficionados a la pornografa y la pederastia. Ms an, el espacio Internet tambin es aprovechado por todo tipo de traficantes (armas, drogas, prostitucin, etc.) para anunciar los productos y servicios que ofrecen. El espacio ciberntico est lleno de individuos sin escrpulos que distribuyen en forma electrnica literatura inmoral y documentos ilegales. En los ltimos aos, los delitos computacionales se han incrementado de tal manera que es comn observar artculos de denuncia en casi todos los peridicos y revistas. Esta modalidad del crimen organizado se ha convertido en el sello distintivo de los noventa. 1.1 Magnitud de este nuevo tipo de delincuencia: Con la llegada de las computadoras surgi un nuevo tipo de delitos, ms sofisticado, rentable y donde no se corre el riesgo de ser aprehendido en el acto.
Las estadsticas muestran que en Estados Unidos la delincuencia computacional es una de las actividades ms productivas, si se tiene en cuenta que los robos de bancos producen un promedio de 10000 dlares a sus autores, las defraudaciones 19000 dlares y los crmenes computacionales 450000 dlares. Segn datos del F.B.I. slo el 1% de las actividades computacionales ilcitas se detectan a tiempo, mientras slo el 7% son denunciadas a las autoridades. Aunque el Stanford Research Institute estima en ms de tres mil millones de dlares las ganancias anuales de los delitos computacionales, es difcil obtener cifras confiables, pues la mayora de las vctimas prefiere guardar tanta discrecin como sus atacantes. En muchas ocasiones, las vctimas de fraude optan por resignarse a las prdidas para evitar la posibilidad de represalias an mayores en contra suya. En Canad, pocos casos han recibido atencin por parte de las autoridades especializadas. En apariencia, los crmenes computacionales en este pas superan en cantidad a los delitos cometidos en Estados Unidos. No obstante, recordemos que slo se trata de los casos denunciados, pues la cifra real permanece como una incgnita. 1.2 Perfil de los defraudadores: Hasta el momento, los delitos computacionales no parecen ser obra de grupos bien organizados. Los pocos estudios que han podido definir el perfil de los defraudadores computacionales parecen ms bien una descripcin fsica y no un anlisis psicolgico. Estos estudios indican que la edad de estos individuos oscila entre 18 y 35 aos de edad y muestran una pasin desmedida por la computacin. Otro aspecto importante es determinar si la persona comete el delito con la firme intencin de provocar estragos, o si se trata de una persona en dificultades econmicas que busca un medio rpido para salir de sus problemas financieros. Por otra parte, se sabe que muchos defraudadores son empleados conscientes de la situacin de su empresa. Un estudio del Stanford Research Institute revel que 87% de las alteraciones sufridas por los sistemas computacionales se haba originado dentro de la misma compaa; y de stas, 46% se haban realizado en el departamento de cmputo. Ahora bien, los autores de estos crmenes no son como el resto de los delincuentes. En caso de ser capturados, casi todos ellos se sienten orgullosos de sus logros y no niegan su delito. Otra categora en este campo incluye a expertos en programacin conocidos como "hackers", para quienes eliminar los mecanismos de seguridad representa un reto. 1.3 Definicin de los peligros computacionales: Los peligros de un sistema de cmputo son imprevisibles dada la variedad de elementos relacionados con el ambiente y las personas. Por tanto, es de vital importancia proteger todos los recursos computacionales contra eventualidades que pudieran ocasionar daos considerables a una empresa. 1.3.1 Daos, destruccin y desactivacin: Los daos, la destruccin as como la desactivacin pueden ocasionar que el acceso al sistema se vea afectado total o parcialmente para la conversin y el procesamiento de los datos. Por otro lado, la magnitud de las consecuencias obedece a los medios operativos y puede adquirir proporciones incalculables. Las compaas sin posibilidades de producir o utilizar sistemas de informacin, pueden sufrir prdidas importantes e incluso fatales. Por este motivo, es recomendable contar con medidas de prevencin que
limiten los peligros potenciales y mtodos para hacer frente a las consecuencias. Dichos riesgos renen diversos aspectos que van desde catstrofes naturales (incendios, inundaciones, etc.) hasta fallas de hardware o software, adems de la destruccin accidental o intencionada de la informacin (descompostura de una mquina, destruccin de archivos y bibliotecas, sabotaje, etc.) La prdida de informacin puede ser ocasionada por una causa muy simple: un sencillo imn, por ejemplo, puede destruir los datos contenidos en los respaldos electromagnticos de almacenamiento y ello no ser perceptible sino hasta el momento de utilizarlos. Sin duda, la mayor amenaza para los usuarios y administradores de la red son los virus de computadora, pues su propagacin destruye los datos e infecta los disquetes o incluso la red misma. 1.3.2 Errores de sistema: Los errores de sistema, ya sean humanos o relativos a los medios empleados, tienen diversos grados de importancia. Los errores de manipulacin, introduccin, operacin y trasmisin son los ms frecuentes, pero sus consecuencias no suelen ser graves cuando se tienen controles y pruebas adecuados. Sin embargo, otros errores pueden significar consecuencias fatales si no se detectan a tiempo. Ahora bien, el volumen y severidad de los errores pueden tener consecuencias directas (disminucin en la cantidad de produccin, prdidas econmicas, etc.) e indirectas (problemas con el personal o los clientes). As, ofrecer un servicio de mala calidad puede ser motivo para desconfiar del sistema y recurrir a un sistema anlogo de archivos, contabilidad, almacenamiento, cotejo, etc. En otras palabras, la falta de calidad puede despertar en el usuario cierta inseguridad en cuanto a los resultados y la utilizacin de los mismos. 1.3.3 Robo: Dada su condicin de herramienta bsica, un sistema de cmputo requiere de atencin especial, pues el hecho de contener informacin los convierte en blancos fciles de consultas furtivas y plagio. En realidad, las posibilidades de robo son mayores cuando el sistema contiene archivos integrados o la informacin est disponible para muchos usuarios. Con todo, el plagio de datos no representa una desaparicin fsica, por consiguiente, los actos de esta naturaleza son difciles de descubrir. Por otra parte, el robo de bienes a una empresa tambin constituye grandes prdidas. La miniaturizacin de las computadoras adems de sus componentes facilita el robo y la reventa de los mismos por parte de individuos sin escrpulos. De hecho, se considera que hay tantos robos de equipo de cmputo como de televisores o aparatos de sonido. El plagio y la destruccin de archivos (de respaldo) tan slo expone a la vista el problema de almacenamiento y recuperacin de los datos. Extraviar informacin valiosa para una empresa significa perder toda oportunidad de actuar o tomar alguna decisin. Aun cuando es posible reducir este tipo de peligros por medio de un almacenamiento metdico, el riesgo de divulgacin es lo suficientemente grande como para tomar medidas especiales. Hoy da, el plagio de informacin es mucho ms difcil de detectar porque es un proceso que no deja rastros. Los datos estn guardados en medios que no son de acceso directo, pero aun as, con el uso de dispositivos adecuados, es posible copiar los o modificar los sin dejar ningn rastro de infiltracin. Por otra parte, el plagio de recursos constituye un abuso en la utilizacin de las herramientas computacionales pertenecientes a una empresa y suele realizarse mediante el procesamiento o transferencia de programas no autorizados (ejecucin de tareas no previstas). 1.3.4 Fraude: Como lo demuestran las estadsticas al principio de esta seccin, el fraude tambin constituye un peligro de extrema importancia. As, entre otras cosas, los actos fraudulentos consisten en la desviacin de fondos, manipulacin de informacin y uso de la computadora para fines personales.
Son muchas las tcnicas usadas por los defraudadores5 para lograr sus propsitos en varios lugares y en diferentes momentos: - Manipulacin de datos al recopilar o programar (mediante la entrada de instrucciones falsas o modificaciones). - Robo de archivos de una empresa. - Plagio de informacin con fines de espionaje industrial durante la salida de los datos. - Intercepcin de los datos en las redes de telecomunicacin. La principal amenaza para el sistema computacional de una empresa casi siempre es el personal activo de la misma, rara vez se trata de personas ajenas que tienen acceso al sistema. Este problema destaca la necesidad de implantar medidas de seguridad especiales, sobre todo para proteger la informacin confidencial. 1.3.5 Copiado: El copiado ilegal de software constituye otro acto ilegal de proporciones alarmantes dada la relativa facilidad para copiar miles de instrucciones en cuestin de segundos. Este es un problema que enfrentan de manera cotidiana todos los desarrolladores de software, pues las mejores barreras de seguridad y los ms complejos dispositivos de codificacin son un reto para los hackers, quienes siempre buscan la manera de superar tales obstculos. As, la casi imposible tarea de proteger el software significa una gran amenaza para la industria de la computacin, pues el producto de varios meses de intensa labor puede ser plagiado en cuestin de segundos. Con todo, cabe destacar que no slo el software puede sufrir el copiado ilegal sino tambin el hardware. Un ejemplo claro surgi con la presentacin de las populares computadoras APPLE, cuyo copiado ilegal a gran escala ha ido en aumento a pesar de las objeciones legales de la compaa que fabrica el hardware original. Algunos fabricantes ilegales incluso tienen la desfachatez de copiar con exactitud la apariencia exterior de las mquinas y el logotipo original.
PROGRAMAS DE SEGURIDAD COMPUTACIONAL... UNA NECESIDAD 1. Necesidad de aplicar un programa de seguridad computacional La seguridad de los sistemas de cmputo constituye un problema general en la mayora de las empresas. De ah que la proteccin de los datos se considere un asunto de gran importancia. ORGANIZACIN 1.1 Desarrollo de la tecnologa del procesamiento de datos: La expansin computacional en las organizaciones donde ya se utilizan servicios de cmputo, la produccin masiva de computadoras enfocadas al uso empresarial, el enorme desarrollo de redes mundiales de comunicacin y la necesidad de utilizar servicios exteriores, han sido las caractersticas principales en la evolucin de la tecnologa del procesamiento de datos durante la ltima dcada. 1.2 Agrupacin de datos: La informacin se ha convertido en un elemento fundamental dentro de muchas empresas, pues su uso aumenta la capacidad de adaptacin y subsistencia de las mismas en un ambiente de constantes cambios. En otras palabras, la informacin representa el contexto, la historia y el porvenir de las empresas. No obstante, agrupar la informacin en archivos computacionales almacenados en sitios especficos aumenta la vulnerabilidad de los datos y la posibilidad de destrucciones, accesos o modificaciones no autorizadas. 1.3 Disponibilidad de la informacin: La prdida de un archivo o un banco de datos o bien la dificultad para tener acceso a los recursos computacionales, ocasionada por un error de programacin, un acto de sabotaje o un desastre natural, pueden significar la destruccin de una empresa. Imagine la situacin de una empresa donde se han destruido los archivos de las cuentas de los clientes. En un caso as, la empresa se vera afectada por dicha prdida y de seguro desaparecera. 1.4 Fidelidad de la informacin: La fidelidad de la informacin suele ser de vital importancia para una empresa. Tomemos como ejemplo a un administrador cuyo trabajo requiere de usar una computadora para manipular la informacin que le ayudar a tomar decisiones estratgicas para la compaa. 1.5 Aumento de la delincuencia computacional: Como ya hemos mencionado, con la proliferacin de computadoras y sistemas de cmputo surgi una nueva forma de delincuencia ms sofisticada y rentable. Desde luego, las consecuencias de estas acciones ilcitas suelen ser desastrosas para las empresas afectadas. 1.6 Seguridad de la informacin: El crecimiento de los bancos de datos donde est contenida la informacin estratgica ha multiplicado los riesgos de violacin al carcter confidencial. As, es importante en el caso de las empresas instalar dispositivos de seguridad para proteger la informacin almacenada en las computadoras. 1.7 Valor de las inversiones (desarrollo, mantenimiento y operacin del sistema computacional): A pesar de la crisis econmica que viven muchas empresas en la actualidad, las inversiones en la automatizacin de sistemas han tenido un aumento considerable. Mantenerse al da respecto a los avances tecnolgicos significa para los administradores invertir en la adquisicin de hardware y software computacional. Con
todo, los costos de recuperacin de los sistemas y programas, as como de los inconvenientes que resultaran de una prdida de informacin, no muestran relacin alguna con el precio de instalar dispositivos para garantizar un almacenamiento adecuado. Aunque en algunos casos es posible recuperar la totalidad de la informacin perdida, el costo y tiempo requeridos por esta labor suelen ser muy superiores al costo que representa la instalacin de un sistema de seguridad. 1.8 Complejidad de la tecnologa computacional: Incluso los sistemas de cmputo ms sencillos muestran cierta complejidad porque entender el funcionamiento exacto de todos los programas que lo integran requiere de tener ciertos conocimientos en la materia. Por desgracia, y en vista de tal complejidad, los responsables de administrar el sistema suelen pasar por alto los procesos de verificacin de integridad de los datos y el contenido de los programas instalados. Esta situacin es mucho ms frecuente en los sistemas de cmputo donde la intervencin humana es mnima. 1.9 Administracin de sistemas de cmputo por parte de los programadores: A causa de los conocimientos y la experiencia que demanda el desarrollo y operacin de un sistema de cmputo, esta labor suele ser realizada por expertos en la materia. As, por regla general y en razn de la complejidad de la tecnologa, se proporciona toda facultad a estas personas para supervisar el desarrollo y la administracin de los sistemas computacionales. De esta manera, los responsables tienen importantes privilegios para decidir si necesitan hacer controles o verificaciones reales. 2. Definicin de un programa de seguridad computacional Un programa de seguridad computacional se define como un proceso integrado por los siguientes elementos: - Polticas administrativas - Reglas de administracin. - Medidas de control y verificacin - Mtodos de anlisis. - Dispositivos tcnicos para garantizar la seguridad de las personas y sus bienes materiales. La implantacin de un medio de proteccin para un sistema de procesamiento de datos se basa por lo general en los siguientes postulados: 1. Debe evitarse a toda costa la prdida irremediable de los datos (CONSERVACIN). 2. El procesamiento de la informacin no debe permitir ningn tipo de error (INTEGRIDAD). 3. La informacin no debe sufrir ninguna alteracin si no est autorizada (CONFIDENCIALIDAD). Antecedentes Desde que la informtica se enfoc hacia el apoyo de la sistematizacin en las reas del negocio, se empezaron a implantar aplicaciones administrativas como contabilidad, nmina, etc., lo cual origin lo que se conoce como auditora a sistemas de informacin. Posteriormente, el uso de la informtica cubri las reas de negocio en todos los niveles con productos y servicios muy variados; proliferaron las minicomputadoras o equipos departamentales; despus llegaron
las microcomputadoras o computadoras personales y entraron de lleno las redes locales, la integracin empresarial a travs de las telecomunicaciones y un gran nmero de componentes de tecnologa. Tal tecnificacin del medio imposibilit al responsable de informtica y a los auditores de sistemas tradicionales seguir evaluando este campo con mtodos y procedimientos anticuados. Se hizo necesario un replanteamiento del fondo y forma de la auditora informtica. Este trabajo busca, entre otras cosas, dar una" dimensin ms realista y adecuada a la auditora informtica. El ejercicio prctico y formal de la auditora informtica brindar a sus ejecutantes y a los negocios un sentimiento de satisfaccin justificado por el entendimiento y compromiso que implica asegurar el uso correcto de los recursos de informtica para e1 logro de las estrategias de negocios para obtener los resultados esperados de dicha tecnologa en los tiempos, costos, beneficios y calidad esperados. Todo lo que se planea ha de ejecutarse con formalidad y oportunidad, lo cual se relaciona con el hecho de que toda organizacin quiere tener sus activos en las mejores condiciones posibles y salvaguardar su integridad. La funcin del auditor en informtica no es ser un capataz o polica del negocio, como tantas veces se ha planteado de manera sarcstica o costumbrista en las organizaciones. Este profesionista se orienta a que sea un punto de control y confianza para la alta direccin, adems de que busque ser un facilitador de soluciones. Por analoga, el auditor es como el doctor que evala al paciente y le recomienda el tratamiento idneo para estar en ptimas condiciones de salud. Segn la situacin del enfermo, recomendar tratamientos ligeros o fuertes y estrictos. Lo importante es lograr que el paciente sepa que puede mejorar su salud. Esa es la orientacin del auditor en informtica: conducir a la empresa a la bsqueda permanente de la salud ptima de los recursos de informtica y de todos aquellos elementos que se relacionan con ella. No hay que pensar que este proceso cambiar de la noche a la maana la cultura organizacional, los mtodos de trabajo, la mala calidad ni la improductividad en las reas relacionadas con la informtica; es un elemento estratgico directo que apoya la eliminacin de cada una de las debilidades mencionadas; sin embargo, ha de coexistir con personal responsable y profesional, as como con directores y accionistas comprometidos con la productividad, calidad y otros factores recomendados para ser empresas de clase mundial. Se espera que cada auditor sea un profesional, un experto; pero sobre todo, que sea un ser flexible, humano, que entienda el contexto real del negocio. Su principal objetivo es dar la dimensin justa a cada problemtica, convirtindola en rea de oportunidad y orientndola a una solucin de negocio. Conviene recordar que en las empresas existen objetivos comunes a todas las reas respecto de los recursos de informtica; por ejemplo, el mximo uso y aprovechamiento de la tecnologa mediante polticas, procedimientos y mtodos apropiados. En este sentido, la funcin de la auditora informtica es uno de los medios ms importantes y especializados para lograr dicho fin.
"Un poco de historia y un poco de actualidad... En los aos cuarenta empezaron a darse resultados relevantes en el campo de la computacin, con sistemas de apoyo para estrategias militares; posteriormente se increment el uso de las computadoras y sus aplicaciones y se diversific el apoyo a otros sectores de la sociedad: educacin, salud, industria, poltica, banca, aeronutica, comercio, etc. En aquellos aos la seguridad y control de ese medio se limitaba a dar custodia fsica a los equipos y a permitir el uso de los mismos a personal altamente calificado (no haba un gran nmero de usuarios, ya fueran tcnicos o administrativos). En el presente, la informtica se ha extendido a todas las ramas de la sociedad; es decir, resulta factible controlar un vuelo espacial por medio de una computadora as como seleccionar las compras del hogar en una microcomputadora. Esta rapidez en el crecimiento de la informtica permite deducir que los beneficios se han incrementado con la misma velocidad, algunos con mediciones tangibles como reduccin de costos e incremento porcentual en ventas y otros con aspectos intangibles como mejora en la imagen o satisfaccin del cliente, pero ambos con la misma importancia para seguir impulsando la investigacin y actualizacin constante de la tecnologa. Tambin conocida por muchos como auditora de sistemas; empero, este trmino se refiere a la revisin de los sistemas de informacin en desarrollo, operacin y mantenimiento; por lo tanto, el concepto es inadecuado porque los elementos de informtica susceptibles de revisin y control son muchos y de diversas complejidades. La definicin correcta para quienes evalan y verifican polticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la informacin es AUDITORA INFORMTICA. La idea de que se obtienen mayores beneficios que antes no est muy lejos de la realidad; sin embargo, tambin es vlido afirmar que los costos han sido altos y en muchas ocasiones han rebasado los lmites esperados, ocasionando grandes prdidas y decepciones en los negocios. Las empresas y organismos interesados en que la informtica siga creciendo para beneficio de la humanidad (educacin, productividad, calidad, ecologa, etc.) desean que este crecimiento sea controlado y orientado de manera profesional; esto es, se debe obtener el resultado planeado y esperado de cada inversin en esta rama. Asegurar que todas las inversiones y proyectos inherentes a la funcin de informtica sean justificados y brinden los resultados esperados es una responsabilidad de todo aquel que administre dicha funcin y, de igual manera, es responsabilidad de la direccin no aprobar proyectos que no aseguren la rentabilidad de la inversin. Con el paso de los aos la informtica y todos los elementos tecnolgicos que la rodean han ido creando necesidades en cada sector social y se han vuelto un requerimiento permanente para el logro de soluciones. A continuacin se mencionan algunas consideraciones que corresponden a una necesidad real y no a una tendencia: - Todas las actividades de la sociedad buscan apoyarse de alguna forma en la tecnologa de informtica. - Tanto los equipos de cmputo de diferentes marcas y capacidades como las bases de datos y los sistemas de informacin deben ser una solucin integrada.
- La capacitacin tiene que ser permanente en el uso de la tecnologa de informtica debido a su constante crecimiento y actualizacin. - Hardware, software, telecomunicaciones y otros medios electrnicos han de estar interrelacionados para explotar al mximo sus capacidades y dar soluciones a todos los sectores de la sociedad. - Integrar a la comunidad de manera permanente al campo de la informtica. - La gran penetracin de la informtica en todos los niveles del sector educativo, as como en los sectores social y cultural. - El control y seguridad sobre todos los recursos de informtica es una necesidad. - Se debe evaluar de manera formal y peridica la funcin de informtica. - El proceso de planeacin de los negocios ha de integrar de manera permanente la funcin de informtica. El incremento permanente de las expectativas y necesidades relacionadas con la informtica, al igual que la actualizacin continua de los elementos que componen la tecnologa de este campo, obligan a las entidades que la aplican a contar con controles, polticas y procedimientos que aseguren a la alta direccin que los recursos humanos, materiales y financieros involucrados son protegidos adecuadamente y que se orientan a la rentabilidad y competitividad del negocio. Por qu preocuparse de cuidar esa caja etiquetada con el nombre de informtica? Si la respuesta que brinde a cualquiera de las siguientes preguntas es negativa, le convendra reafirmar o considerar la necesidad de asumir la responsabilidad de controlar y brindar seguridad permanente a los recursos de informtica: . Los usuarios y la alta direccin conocen la situacin actual de la funcin de informtica en la empresa (organizacin, polticas, servicios, etc.)? . Se aprueba formal y oportunamente el costo/beneficio de cada proyecto relacionado en forma directa con la informtica? . La informtica apoya las reas crticas del negocio? . El responsable de la informtica conoce los requerimientos actuales y futuros del negocio que necesitan apoyo de los servicios y productos de su rea? . Todos los elementos del negocio conocen las polticas y procedimientos inherentes al control y seguridad de la tecnologa de informtica? . Existen dichas polticas y procedimientos de manera formal? . Hay un plan de seguridad en la informtica? . Se ha calculado el alcance e impacto de la informtica en la empresa? . Hay un plan estratgico de informtica alineado al negocio? . Existen responsables que evalen formal e imparcialmente la funcin de la informtica? . Se cuenta con un control formal de cada proyecto relativo al rea? . Es importante para usted la informtica? . Evala peridica y formalmente dicha funcin de la informtica? . Auditan slo sistemas de informacin y no otras reas de la informtica? Cada una de estas preguntas encierra una importancia especfica para el buen funcionamiento informtico en cualquier negocio; todas estn interrelacionadas y la negacin de alguna es una pequea fuga de gas que con el tiempo y un pequeo chispazo puede ocasionar graves daos a los negocios, sean estos traducidos en fraudes, proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de los servicios de informtica por los usuarios clave del negocio, improductividad y baja calidad de los
recursos de informtica, planes de informtica no orientados a las metas y estrategias de negocio, piratera de software, fuga de informacin a la competencia o proveedores, entre otros daos. La improductividad, el mal servicio y la carencia de soluciones totales de la funcin de informtica fueron, son y pueden seguir siendo mal de muchas organizaciones. El problema real radica en que todos los proyectos prioritarios hacen gala de sentirse apoyados por la informtica; entonces, por qu no cuidarla? En seminarios, plticas de comedor o pasillo en empresas (as como en instituciones de gobierno y escuelas universitarias) y aun en las mismas reas o departamentos de informtica se relatan los problemas ms comunes de los usuarios y del personal. Sin embargo, parece ser que un gran porcentaje de tales interlocutores no se percata o no desea reconocer que esta problemtica se ha venido planteando desde hace muchos aos por las mismas causas y con los mismos efectos negativos para la organizacin. La diferencia puede ser que ahora los individuos que cometen estas fallas o debilidades funcionales estn dispersos por toda la organizacin utilizando tecnologa supuestamente ms eficiente y, por supuesto, ms cara. Algunos problemas de esta ndole son: . Debilidades en la planeacin del negocio al no involucrar la informtica. . Resultados negativos (improductividad, duplicidad de funciones, etc.) en el desarrollo, operacin y mantenimiento de sistemas de informacin. . Falta de actualizacin del personal de informtica y tcnico donde se encuentran instalados los sistemas y las soluciones del negocio. . Mnimo o nulo involucramiento de los usuarios en el desarrollo e implantacin de soluciones de informtica. . Capacitacin deficiente en el uso de los sistemas de informacin, el software (procesadores de palabras, hojas de clculo, graficadores, etc.) y el hardware (impresoras y otros perifricos, teclado, etc.) . Administracin dbil o informal de proyectos. . Carencia de un proceso de anlisis costo / beneficio formal previo al arranque de cada proyecto de informtica. . Metodologas de planeacin y desarrollo de sistemas informales no estandarizadas y en muchos casos inexistentes. . Uso y entendimiento mnimo o inexistente de tcnicas formales para el desempeo de funciones en las reas de informtica: . Anlisis. . Entrevistas. . Cuestionarios. . Modelacin de datos. . Costo / beneficio, etc. . Falta de un proceso formal de planeacin de informtica. . Involucramiento mnimo o informal de la alta direccin en los proyectos de informtica. . Proyectos de auditora o evaluacin de informtica, espordicos e informales. La importancia de la auditora informtica La tecnologa de informtica, traducida en hardware, software, sistemas de informacin, investigacin tecnolgica, redes locales, bases de datos, ingeniera de software, EDI, telecomunicaciones, servicios y organizacin de informtica es una herramienta estratgica que brinda rentabilidad y ventaja competitiva
a los negocios frente a sus similares en el mercado; pero puede originar costos y desventajas competitivas si no es bien administrada y dirigida por el personal encargado. Dados los extremos sealados, surgen de inmediato un par de preguntas: Cmo saber si estoy administrando y dirigiendo de manera correcta la funcin de la informtica? La respuesta siempre ha existido: mediante evaluaciones oportunas y completas de dicha funcin por personal calificado (o sea consultores externos, auditores en informtica), o evaluaciones peridicas realizadas por el mismo personal de informtica, entre otras estrategias. Es necesario auditar o evaluar la funcin de informtica y quines lo haran? Aqu la respuesta depende de cada organizacin y de sus necesidades por conocer el estado real de su tecnologa en informtica. Lo que resulta innegable es que la informtica se convierte cada da en una herramienta permanente de los procesos principales de los negocios, en una fuerza estratgica, en un aliado confiable y oportuno. Todo lo anterior es posible tenerlo en la empresa si se implantan los controles y esquemas de seguridad requeridos para su aprovechamiento ptimo. Hay personal especializado en informtica y auditora que se encuentra profesional y moralmente preparado para auditar en este campo. Lo primero que tienen que hacer las organizaciones es reconocer la necesidad de contar con una funcin que evale de manera satisfactoria los recursos de informtica, as como todos los elementos inherentes a ellos. Una vez que la alta direccin tome conciencia de lo saludable y productivo que es contar con un rea independiente que asegure y promueva el buen uso y aprovechamiento de la tecnologa de informtica, el siguiente paso es delegar la responsabilidad en personal altamente capacitado para ejercer la auditora informtica dentro de la organizacin de manera formal y permanente. Terminologa de la auditora informtica Las definiciones y conceptos mencionados a continuacin corresponden a las experiencias y conocimientos adquiridos a travs del tiempo en el desarrollo de actividades profesionales, estudiantiles, seminarios y cursos. Las actividades profesionales o estudiantiles que dieron la pauta para definir de manera personal los aspectos relevantes de cada uno de los puntos tratados en este captulo fueron principalmente las siguientes: . Estudios de licenciatura y posgrado. . Cursos y seminarios nacionales e internacionales. . Reuniones y juntas con responsables de reas de negocio. . Consultoras a empresas en proyectos de informtica y auditora informtica. . Imparticin de cursos en universidades e institutos tecnolgicos. . Imparticin de conferencias de auditora informtica e informtica. Informtica La informtica se desarrolla con base en normas, procedimientos y tcnicas definidas por institutos establecidos a nivel nacional e internacional. De acuerdo con lo anterior, slo se mencionarn algunos
aspectos de informtica necesarios para su entendimiento (supuestamente asimilado por los usuarios de este libro); sin embargo, se recomienda leer los textos sugeridos en la bibliografa, as como las participaciones ms directas y activas en los institutos o asociaciones relacionados con el campo de la informtica. Con base en lo expuesto, la informtica es el campo que se encarga del estudio y aplicacin prctica de la tecnologa, mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo de la informacin por medios electrnicos, el cual comprende las reas de la tecnologa de informacin orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la informacin de las organizaciones fluya (entidades internas y externas de los negocios) de manera oportuna, veraz y confiable; adems, es el proceso metodolgico que se desarrolla de manera permanente en las organizaciones para el anlisis, evaluacin, seleccin, implantacin y actualizacin de los recursos humanos (conocimientos, habilidades, normas, etc.), tecnolgicos (hardware, software, etc.), materiales (escritorios, edificios, accesorios, etc.) y financieros (inversiones) encaminados al manejo de la informacin, buscando que no se pierdan los propsitos de calidad, confiabilidad, oportunidad, integridad y veracidad, entre otros propsitos. Auditora La auditora se desarrolla con base en normas, procedimientos y tcnicas definidas formalmente por institutos establecidos a nivel nacional e internacional; por lo tanto, slo se expondrn algunos aspectos necesarios para su entendimiento; no obstante, se sugiere leer los libros listados en la bibliografa, as como la participacin directa y activa en los institutos o asociaciones relacionados con el campo de la especialidad. Auditora es un proceso formal y necesario para las empresas con el fin de asegurar que todos sus activos sean protegidos en forma adecuada. Asimismo, la alta direccin espera que de los proyectos de auditora surjan las recomendaciones necesarias para que se lleven a cabo de manera oportuna y satisfactoria las polticas, controles y procedimientos definidos formalmente, con objeto de que cada individuo o funcin de la organizacin opere de modo productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptadas. Por otra parte, es el conjunto de tareas realizadas por un especialista para la evaluacin o revisin de polticas y procedimientos relacionados con las siguientes reas: . Administrativas. . Financieras. . Operativas. . Informtica. . Crdito. . Fiscales (efectuadas por disposicin gubernamental). Por todo lo expresado, se concluye que es un proceso formal que se efecta por requerimientos de las empresas o del gobierno en periodos establecidos con anterioridad por los interesados, con objeto de verificar el cumplimiento oportuno de las polticas y procedimientos relacionados con cada una de las actividades de la organizacin. Tareas principales de la auditora: . Estudiar y actualizar permanentemente las reas susceptibles de revisin.
. Apegarse a las tareas que desempeen las normas, polticas, procedimientos y tcnicas de auditora establecidas por los organismos generalmente aceptados a nivel nacional e internacional. . Evaluacin y verificacin de las reas requeridas por la alta direccin o responsables directos del negocio. . Elaboracin del informe de auditora (debilidades y recomendaciones). Auditora informtica La auditora informtica se desarrolla en funcin de normas, procedimientos y tcnicas definidas por institutos' establecidos a nivel nacional e internacional; por lo tanto, nada ms se sealarn algunos aspectos bsicos para su entendimiento; sin embargo, conviene leer los libros sugeridos en la bibliografa, as como la participacin ms directa y activa en los institutos o asociaciones relacionados con el campo de la auditora informtica. As, la auditora informtica es: a) Un proceso formal ejecutado por especialistas del rea de auditora y de informtica; se orienta a la verificacin y aseguramiento de que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informtica en la organizacin se lleven a cabo de una manera oportuna y eficiente. b) Las actividades ejecutadas por los profesionales del rea de informtica y de auditora encaminadas a evaluar el grado de cumplimiento de polticas, controles y procedimientos correspondientes al uso de los recursos de informtica por el personal de la empresa (usuarios, informtica, alta direccin, etc.). Dicha evaluacin deber ser la pauta para la entrega del informe de auditora informtica, el cual ha de contener las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y optimizacin permanente de la tecnologa de informtica en el negocio. c) El conjunto de acciones que realiza el personal especializado en las reas de auditora y de informtica para el aseguramiento continuo de que todos los recursos de informtica operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta direccin o niveles ejecutivos la certeza de que la informacin que pasa por el rea se maneja con los conceptos bsicos de integridad, totalidad, exactitud, confiabilidad, etc.) d) Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos (humanos, materiales, financieros, tecnolgicos, etc.) relacionados con la funcin de informtica para garantizar al negocio que dicho conjunto opera con un criterio de integracin y desempeo de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.
LA AUDITORA INFORMTICA Y SU ENTORNO Las actividades de un negocio u organizacin tienen un efecto directo sobre sectores especficos de la sociedad; de igual manera, los hechos y actividades externos al negocio tienen un grado de impacto en el mismo. No han sido pocos los negocios que han fracasado al mantenerse estticos ante los movimientos que se presentan a su alrededor; asimismo, una gran cantidad de ellos se han adaptado a los cambios sufridos por los elementos externos y obtenido ventajas competitivas de dichas variaciones que les permiten liderar o al menos mantenerse en el mercado. El medio suele marcar las pautas y caminos estratgicos en los diferentes aspectos que contempla un negocio y los factores que lo afectan pueden ser: . Econmicos . Polticos . Culturales . Tecnolgicos . Ecolgicos . Sociales . Organizacionales Para los negocios es importante evaluar en forma constante cada factor externo que predomine o los afecte de manera trascendente, con la finalidad de instituir las acciones necesarias para minimizar su impacto negativo o sacar ventaja estratgica del mismo. Las estrategias de los negocios son definidas formalmente en un proceso de planeacin mediante un proceso en que se involucran accionistas, alta direccin y, en algunas ocasiones, consejeros o consultores expertos en esta relevante actividad para cualquier ente organizacional. Una de las tareas bsicas de este proceso es determinar los factores internos y externos que puedan afectar, de manera directa o indirecta, las estrategias emanadas de dicho plan. Dado que la auditora informtica es un proceso bsico de evaluacin y control en el uso de los recursos tecnolgicos para el logro de las estrategias, debe contemplar el entendimiento del entorno del negocio como parte de sus actividades primarias. En ocasiones, la funcin de auditora informtica se ve relacionada de modo directo o indirecto con las acciones definidas por la alta direccin, ya sea porque ser la responsable de llevarlas a cabo o porque dar seguimiento formal a su cumplimiento. La forma en que se difunden estas tendencias es variada, aunque por lo general es mediante estndares internacionales o nacionales (asociaciones profesionales nacionales o internacionales), leyes gubernamentales, tratados comerciales entre pases, estrategias sugeridas por lderes mundiales de mercado, entre otras instancias. Es importante sealar que la mayora de las organizaciones carecen de la funcin de auditora en informtica y tampoco contratan auditores externos, lo que causa un alto porcentaje de las irregularidades y omisiones que se presentan con relacin a las estrategias y polticas definidas por la alta direccin para la funcin de informtica o reas usuarias.
Los negocios, que se encuentran seguros de adaptarse u obtener ventajas de los factores externos, cuentan con personal especializado en los diferentes aspectos del medio ya mencionado, as como un proceso de planeacin formal y actualizado que les permite ser lderes en el ramo especfico de su negocio. Existen funciones como planeacin, auditora, contralora y auditora informtica que verifican y aseguran el cumplimiento formal de las estrategias definidas por el negocio. No contar con estas reas de aseguramiento y verificacin orilla a las empresas a vivir en una constante incertidumbre, ya que los problemas o deficiencias pueden aparecer en cualquier momento. En conclusin, el medio externo puede ser un factor determinante en el progreso o debilitamiento de un negocio, por lo que es primordial no perderlo de vista. El entorno en la informtica Son las caractersticas dominantes del mercado en cada una de las ramas o criterios relacionados con la tecnologa de informtica, que definen el rumbo de la misma en gran parte de los negocios. La funcin informtica ha de estructurar sus servicios y proyectos con base en los requerimientos especficos del negocio, apoyndose en la tecnologa de vanguardia que domina el mercado, as como en las tendencias de la misma. El grado de apoyo que se buscar en el medio tecnolgico depende en gran medida de la orientacin y justificacin que se le asigne al enfocado a cada estrategia del negocio. No todo lo que ofrece el mercado como estndares y soluciones tecnolgicas garantiza el desempeo eficiente de la funcin de informtica en una organizacin; el auditor en informtica deber verificar la existencia de un anlisis costo/beneficio en cada proyecto de inversin orientado a la adquisicin de nueva tecnologa o estndares (normas) para el uso y manejo de la misma. Adems, la auditora informtica mantendr un proceso de seguimiento de los recursos de tecnologa, metodologas, tcnicas, procedimientos y polticas de informtica que aseguren calidad y productividad en esta rea. El medio informtico sufre cambios continuos en algunos de sus elementos, ya sea en hardware, software, telecomunicaciones, etc., debido a la bsqueda constante de soluciones ms eficientes en aspectos relativos a desempeo y costos, entre otros. En consecuencia, cualquier rea que tenga como objetivo operar o evaluar (que es el caso en estudio), estar dispuesta a ejecutar las acciones pertinentes que aseguren su entendimiento y aprovechamiento para brindar a la organizacin resultados de alta calidad y la confianza de que la informacin seguir cumpliendo los requisitos de control esperados: exactitud, totalidad, autorizacin, actualizacin, etc. En las ltimas dcadas, el entorno de la informtica ha sido uno de los campos con mayor ritmo de crecimiento en todas sus reas de accin, por lo cual existen: a) Mejores equipos de cmputo, ya que cuentan con caractersticas nunca antes proporcionadas, como conectividad, escalabilidad, etc. b) Lenguajes de programacin y paquetes de software ms flexibles y dinmicos, que permiten a los desarrolladores de aplicaciones ser ms productivos; adems de ofrecer un alto grado de participacin a los usuarios en el proceso de desarrollo e implantacin de soluciones de negocio. c) Innovaciones tecnolgicas en telecomunicaciones, ya que se pueden transmitir voz, datos e imgenes. Con ello, se ha logrado enlazar diferentes empresas con clientes y proveedores a travs de redes locales
(LAN), redes metropolitanas (MAN) y redes abiertas (WAN) (siglas en ingls). Se ha obtenido la capacidad de manejar grandes volmenes de informacin, velocidad de transmisin y proteccin de los datos con la aparicin del cable coaxial y la tecnologa de redes digitales integradas, por ejemplo. d) Metodologas, tcnicas y herramientas para la administracin de la funcin de informtica y la planeacin y desarrollo de sistemas que han venido formalizndose y apegndose a los estndares aceptados a nivel nacional e internacional, lo que ha sido un factor de suma utilidad para el desempeo eficiente de las tareas y servicios \inherentes a la informtica y a la misma auditora informtica. e) La integracin de especialidades profesionales (ingeniera, auditora, informtica, etc.) en asociaciones profesionales reconocidas formalmente a nivel nacional, como la Asociacin Mexicana de Auditores en Informtica (AMAI) e internacional, como la Auditors Association, Inc. (EDP) entre otras. Dichas asociaciones proporcionan la oportunidad a las instituciones y organizaciones privadas y de gobierno de tener un contacto directo y oportuno con los conocedores o impulsadores de las tendencias dominantes del medio en sus reas econmica, social y tecnolgica, por mencionar slo algunas. As como el negocio se ve afectado por el entorno tecnolgico, lo est tambin por la poltica, la economa, la cultura, la ecologa, etc., de tal modo que se hace imprescindible que la funcin de auditora informtica tome conciencia de la importancia de mantenerse actualizada y enterada del entorno que rodea a los negocios. Para lo anterior se sugiere documentarse mediante: . Acceso a bases de datos nacionales e internacionales . Conferencias . Lecturas de boletines, peridicos o revistas especializadas . Incorporacin a asociaciones o colegios especializados . Contacto permanente con proveedores lderes de productos y servicios de la tecnologa de informtica . Anlisis permanente de los procesos bsicos de negocio y de sus competidores clave Objetivos del auditor en informtica al estudiar el entorno y su impacto en el negocio 1. La finalidad principal del auditor es evaluar y dar seguimiento oportuno al conjunto de proyectos de auditora informtica que sern ejecutados en un plazo determinado con el fin de apoyar directa o indirectamente las estrategias del negocio, considerando los diversos factores internos y externos que se relacionan con la organizacin. Es conveniente sealar que cada uno de estos proyectos deber estar enmarcado en los lmites definidos para la funcin, esto es, debe enfocarse al control, seguridad y auditora de los diferentes elementos que tengan contacto directo o indirecto con la tecnologa informtica. 2. Garantizar el apoyo directo a las estrategias del negocio; la auditora informtica se enfoca en evitar la interrupcin de las operaciones del negocio y, al mismo tiempo, busca salvaguardar los activos relacionados de manera natural con el campo de accin de la informtica. 3. Los auditores en informtica dirigirn la participacin directa y entusiasta del personal de informtica y de los usuarios involucrados durante la auditora. Cada proyecto de la auditora se orienta al cumplimiento de normas, procedimientos y estndares, tanto de auditora como de informtica, comnmente aceptados. 4. El responsable de la funcin de auditora informtica (externo o interno) que revise las diferentes reas de informtica se ha de coordinar con el responsable de la auditora tradicional (operativa, administrativa, financiera, etc.), la alta direccin (director o gerente general, por ejemplo) y con el responsable de informtica mediante reuniones formales y peridicas con objeto de lograr objetivos comunes para el bien del negocio.
Tabla Caractersticas e impacto de la tecnologa informtica en el campo de la auditora Concepto Caractersticas Hardware . Mainframes . Minicomputadoras . Microcomputadoras . Porttiles . Impresoras . Dispositivos de almacenamiento - Telecomunicaciones - Voz - Datos - Imagen - Video Software . Procesadores de palabras . Hojas de clculo . Graficadores . Diagramadores . Presentadores . Especializado - Auditora - Seguridad - Desempeo . CASE - Mtodo - Tcnica - Herramienta Impacto en el proceso de auditora informtica Elementos fsicos y tangibles de la tecnologa informtica. . . Por ellos es posible alimentar, procesar, generar, transmitir y almacenar los datos de los sistemas de informacin (estratgicos, tcticos operativos del negocio). . . El hardware sufre cambios de manera dinmica; hoy en da su tamao ha disminuido y sus caractersticas de desempeo y portabilidad han mejorado de manera sorprendente: - Almacenamiento - Procesamiento - Portabilidad - Escalabilidad - Conectividad .. Son los elementos lgicos de la computadora. .. Por medio de este elemento se ha logrado la sistematizacin computacional de los procesos de negocio (tareas operativas, tcticas y estratgicas). .. En un nivel ms especializado, con la ingeniera de software se ha logrado la sistematizacin de las actividades del desarrollo de sistemas a travs de las computadoras y en gran medida la planeacin de sistemas mediante CASE (ingeniera de software asistida por computadora). .. Cuando empezaron a surgir las primeras computadoras y se implantaron los sistemas financieros y contables, el auditor utiliz los equipos de cmputo para consulta, captura, proceso y generacin de reportes a fin de evaluar y diagnosticar la situacin que guardaban dichos sistemas. .. Actualmente los equipos de cmputo brindan ms facilidades al auditor en informtica, ya que se pueden evaluar sistemas de informacin y otros aspectos de inters a travs de accesos remotos y en lnea. .. Se pueden utilizar equipos porttiles que permiten auditar cada tarea en el lugar de los hechos. .. Las facilidades que brindan las comunicaciones y los equipos de cmputo permiten al auditor registrar y monitorear gran cantidad de actividades inherentes al uso de las computadoras y equipos de telecomunicaciones. .. Al surgir la necesidad de evaluar sistemas computacionales que guardaban datos de los estados financieros y contables de la empresa, el auditor se apoy en personal con especializacin en informtica, ya que la programacin (en lenguajes como COBOL) y el manejo de los equipos de cmputo requera conocimientos especficos. .. El apoyo que se brind al auditor fue programar rutinas de control y evaluacin de procesos en los sistemas
computacionales, o para generar reprocesos y respaldos de la informacin por auditar. .. Al aparecer el auditor en informtica, ste se perfila como el individuo que domina ambos campos, la auditora y la informtica. Es el enlace ideal para la evaluacin, no slo de sistemas de informacin, sino tambin del uso eficiente de todos los recursos, servicios y productos de informtica en el negocio. Auditora Interna y Auditora Externa La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costos de tal Sistema. Con voz, pero a menudo sin voto, la Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos Procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico. En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy ya existen varias organizaciones Informticas dentro de la misma empresa y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas. Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser: . Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. . Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa.
. Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa. . Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa. La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.
UN ENFOQUE NUEVO SOBRE LA SEGURIDAD EN COMPUTACIN CONCEPTO DE SEGURIDAD TOTAL 1. Exigencias para incrementar la seguridad en computacin Durante algunos aos, la computadora ha sido un buen pretexto para realizar publicidad sensacionalista acerca de las experiencias divertidas o escalofriantes respecto al .uso de las computadoras; una consecuencia inmediata es la existencia de gran cantidad de artculos y bibliografa sobre el tema. La investigacin patrocinada por el gobierno se increment en Estados Unidos y en Europa, lo cual propici la publicacin de muchos libros y artculos acerca del abuso y la seguridad sobre las computadoras. Las empresas especializadas en servicios de asesora para la seguridad en computacin han proliferado. En ms de un caso, tales empresas son dirigidas en la actualidad por individuos que poseen antecedentes delictivos y han cometido robo o fraude en grandes instalaciones de computacin. Si se analiza el asunto con atencin, resulta claro que se ha desarrollado un rea nueva de preocupacin gerencial el abuso en el manejo de las computadoras o el desastre a causa de robo, fraude, sabotaje o interrupcin en las actividades de cmputo. La seguridad de las computadoras no es todava un tema que se considere en forma apropiada. Muy pocos de los libros que se han escrito proporcionan un marco general lo suficientemente amplio para abordar este complejo problema. Por tanto, se destacan de manera especfica las reas tradicionales como la seguridad fsica y contra incendios. Entonces, muchas instituciones que han cubierto estas reas viven en una situacin ficticia de seguridad, mientras en realidad el nivel de seguridad de las computadoras se encuentra por debajo del estndar aceptable y el nivel de compromiso de la gerencia con la efectividad real es bajo. La conciencia sobre el problema puede surgir temporalmente en caso de desastre o de abuso en los recursos de computacin, pero la efectividad como rutina es, cuando mucho, espordica. Las actitudes ms frecuentes son: "estamos satisfechos con la seguridad en nuestra computadora" y "no es probable que eso suceda aqu. Los elementos que aqu se mencionan propiciaron la redaccin de esta monografa, la cual es un esfuerzo metdico que ofrece un marco amplio y efectivo para abordar la seguridad en las computadoras, as como algunas orientaciones para los usuarios de stas. Algunos aspectos, como la auditora y los seguros en computacin, se tratan como elementos constitutivos de un mtodo equilibrado para la seguridad en computacin. En estos casos slo se revisan los aspectos ms importantes, ya que la obra no pretende ser un tratado sobre estos temas especializados. En contraste con los antecedentes sobre la seguridad en computacin, que generalmente es superficial, existen ciertos factores que han modificado el contexto dentro del cual se usan las computadoras y han aumentado el nivel de seguridad que se requiere: 1.1. Concentracin del procesamiento de aplicaciones ms grandes y de mayor complejidad: La principal causa del incremento en los riesgos de computacin probablemente sea el aumento en la cantidad de aplicaciones que se da a las computadoras y la consecuente concentracin de informacin y procesamiento. Adems, la tendencia creciente hacia la incorporacin de sistemas mayores y ms complejos que incluyen procesamiento en lnea y en tiempo real, as como el uso frecuente de bases de datos o archivos sofisticados constituye un problema adicional. El uso de los sistemas de bases de datos
est cada vez ms difundido y gran cantidad de informacin confidencial se almacena de este modo, por ejemplo, en oficinas de crdito y dependencias gubernamentales. En contraste con una organizacin que usa un archivo manual donde la informacin se diversifica a travs de toda la institucin, otra, que usa ampliamente la computacin, cuenta con la informacin y los programas concentrados en tas manos de pocas personas. Como consecuencia de ello, la institucin computarizada corre el riesgo de sufrir "amnesia corporativa" debido a algn desastre en las computadoras y de que sobrevenga una suspensin prolongada del procesamiento. La mayor conciencia de este riesgo y algunos desastres publicitados ampliamente generan mayor preocupacin por la seguridad en las computadoras. 1.2. Dependencia en el personal clave: Adems del peligro de algn desastre, existen otras situaciones potencialmente riesgosas de las cuales la ms importante es, quiz, depender de individuos clave. Si bien es cierto que la situacin existe en todas las funciones de una institucin, la relativa novedad de la experiencia con computadoras y la brecha respecto a la comunicacin entre los tcnicos expertos y la gerencia, crea problemas especficos. La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de desempeo tcnico, con frecuencia pone a la institucin en manos de relativamente pocas personas. Los programas de computadora, en especial, se vuelven cada vez ms complejos, por lo que una persona provista del conocimiento tcnico de la programacin y/o del equipo y de "contactos" o debilidades, se encuentra invariablemente en una posicin de control nica. Este tipo de conocimiento ha conducido a situaciones donde las empresas se han visto expuestas al chantaje o la extorsin. La amenaza no slo se restringe al abuso del tipo descrito aqu. Este personal especializado con frecuencia posee el conocimiento nico y no registrado de las modificaciones o el funcionamiento de los programas: La supervisin y el control de su trabajo resulta difcil como loes el 'conocimiento de lo que s funcionara sin contar con las habilidades del especialista 1.3. Desaparicin de los controles tradicionales: La importancia de las habilidades tcnicas se fortalece la desaparicin de los controles tradicionales y de las auditaras en muchas instalaciones. La brecha en la comunicacin entre el personal tcnico, los gerentes de lneas el personal externo como los auditores antes mencionados suelen causar dificultades para formular las implicaciones prcticas de este desarrollo en los trminos comerciales convencionales. Un ejemplo clsico ampliamente difundido fue el caso de la Equity Funding (Fondo Equitativo), donde se crearon gran nmero de plizas de seguro ficticias y as se "inflaron" los logros y el rendimiento de la institucin, La brecha en la comunicacin no se extiende a otros expertos como el personal de seguridad. Los gerentes de seguridad rara vez son expertos en computacin, por lo que afrontan dificultades al aplicar sus evaluaciones ya establecidas sobre seguridad y riesgo a la actividad las computadoras. Muchas de las nuevas y extensas aplicaciones omiten las auditoras tradicionales y los controles impresos por razones de volumen. Las aplicaciones contienen verificadores automticos que aseguran la integridad de la informacin que se procesa. Este gran cambio en el criterio sobre el control de los empleados y las brechas respecto a la comunicacin, crean situaciones de seguridad totalmente diferentes.
1.4 Huelgas, terrorismo urbano e inestabilidad social: El nivel actual de riesgo en computacin se debe revisar tambin dentro del contexto de inestabilidad y terrorismo urbano en muchas partes del mundo. Ha habido ataques fsicos a instalaciones en Estados Unidos y en Europa. Sin embargo, algunas veces se trata de la incursin de personal interno y no de agitadores. Este tipo insidioso de riesgo es en potencia la fuente de ms alto perjuicio para la institucin. Este riesgo solo genera una amplia posibilidad de nuevas amenazas ante las cuales hay que responder. Los ataques internos por parte del personal de una institucin pueden tomar la forma de una huelga; sta, aunque no sea violenta, puede ser tan perjudicial corno el ataque fsico Las huelgas han sucedido en grandes instalaciones, que operan en Escandinavia y en Gran Bretaa. 1.5. Mayor conciencia de los proveedores: Por ltimo la investigacin y el apoyo por parte de los proveedores se han incrementado en el rea de la seguridad. Hasta hace pocos aos este tema no constitua motivo de gran preocupacin, para los proveedores, pero la conciencia acerca de la exposicin a los riesgos los ha obligado a destinar presupuestos considerables para la investigacin sobre la seguridad en computacin, Como resultado, se dispone de un mayor nmero de publicaciones de alta calidad para los usuarios, lo que permite mejorar la estructura y el enfoque para la seguridad de las computadoras; as mismo ha intensificado el inters por reducir en forma progresiva el riesgo causado por un desastre en las computadoras. 2. Enfoques tradicionales sobre la seguridad en computacin Los progresos descritos anteriormente han dado como resultado una preocupacin creciente y una accin destinada a reducir la vulnerabilidad. De manera tradicional, se ha presentado atencin a las reas donde los resultados se pueden ver. De este modo, las principales reas en que se ha destacado la seguridad, como se menciona anteriormente, han sido: 1. La seguridad fsica, que incluye la seguridad de acceso y contra incendios. 2. La seguridad de los datos y los archivos. En consecuencia, actualmente existen muy pocas instituciones donde no se requiera el uso de procedimientos completos de control de acceso, los cuales incluyen personal de seguridad y sistemas de control de tarjetas de acceso. La labor de copiar informacin de los archivos y ubicarlos en un lugar distante para su almacenamiento se realiza cuidadosamente. Aunque, en efecto, estos aspectos son elementos de un enfoque general de la seguridad en computacin, no crean por s solos un ambiente adecuado. Muchas instituciones confan ciegamente la seguridad de sus computadoras a estos elementos. Otra caracterstica de esta perspectiva limitada es que resulta raro encontrar un lugar donde se haya llevado a cabo una revisin completa y exhaustiva de la seguridad. Por lo general, la toma de conciencia acerca de la seguridad comienza con la preocupacin de la alta gerencia a causa de alguna falla de seguridad publicitada o de algn incidente menor ocurrido dentro de la institucin, o de la visita de algn asesor en seguridad o vendedor de cajas fuertes a prueba de fuego, equipo de extincin de incendios, etctera. La consecuencia es un enfoque de la seguridad muy del tipo "sabor del mes": este mes le toca a las cajas de seguridad, el siguiente al nuevo sistema de acceso, luego al equipo de extincin, y as sucesivamente.
3. Concepto de seguridad total en computacin En estos trminos, se requiere un enfoque amplio que abarque cierto nmero de aspectos relacionados entre s de manera metdica. Hay dos grandes reas que se deben incorporar a tal enfoque: 1. Aspectos administrativos. 2. Aspectos tcnicos y de procedimiento. Los aspectos clave se pueden resumir de la manera siguiente: Elementos administrativos: - Poltica definida sobre seguridad en computacin. - Organizacin y divisin de las responsabilidades. - Seguridad fsica y contra incendios. - Polticas hacia el personal. - Seguros. Elementos tcnicos y de procedimiento: - Seguridad de los sistemas (equipo y programacin, redes y sistemas terminales). - Seguridad de las aplicaciones, incluyendo la seguridad de los datos y los archivos. - Estndares de programacin y operacin de los sistemas. - Funcin de la auditora interna y la externa. - Plan y simulacro para desastres. El escrutinio cuidadoso de estas reas revelar que ninguna de ellas es, por s sola, de importancia exclusiva: en una instalacin especfica una puede tener mayor relevancia y, por eso, requerir mayor atencin; sin embargo, si se excluye una de estas reas se dejarn vacos en el manejo y control de la seguridad. El enfoque desarrollado que abarca en forma metdica todas estas reas se remite al "Concepto de seguridad total en computacin" (CST).
EL PAPEL DEL GERENTE Y DEL AUDITOR EN EL DESARROLLO Y LA REVISIN DE CONTROLES EN UN AMBIENTE DE CMPUTO Los avances en la tecnologa computacional de la ltima dcada han cambiado la situacin que enfrenta la gerencia, de pensar si introducir, o no hacerlo, el procesamiento electrnico de datos en la operacin de la organizacin, y cmo implantar las computadoras y cmo usarlas eficientemente. En una investigacin financiada por la FERF (Financial Executive Research Foundation), en 1980, se hizo la siguiente pregunta a los altos ejecutivos: "Desde un punto de vista interno, cul departamento le preocupa ms?". De 780 personas, 412 (53%) contestaron: "el de procesamiento electrnico de datos". Lo mismo respondieron ejecutivos de las reas de agricultura, minera, fabricacin, mayoreo y menudeo, finanzas y empresas de servicios. Era evidente que los aspectos de control relacionados con los sistemas de informacin (SI) constituan las principales preocupaciones de estos altos ejecutivos. Por qu sucede esto? Una razn puede ser que en pases como Estados Unidos, el gobierno ha decretado que el diseo de un sistema de control interno efectivo debe ser responsabilidad de la gerencia. Otra razn puede ser que, en las organizaciones que estn incrementando el uso de computadoras para procesar y almacenar informacin, cualquier interrupcin imprevista en los servicios de cmputo puede afectar la continuidad de esas organizaciones. Una interrupcin prolongada de los servicios de cmputo puede hacer que una organizacin se vuelva menos competitiva, e incluso, llevarla a la quiebra. Otra razn puede ser que en caso de que falten los controles internos de un ambiente de cmputo, los errores o inexactitudes sean muy notorios y significativos, y ocasionen una atencin considerable de los medios masivos, as como prdidas financieras. Muchos altos ejecutivos an no asimilan el uso de las computadoras, debido a que ellos empezaron a ocupar sus puestos antes de que el procesamiento de datos estuviera de moda. Las preocupaciones mencionadas anteriormente reflejan esta situacin. La posicin de muchos auditores con respecto a las computadoras es la misma. Sin embargo, como cada vez son ms los estudiantes de administracin y contabilidad que llevan asignaturas relacionadas con computacin y obtienen experiencia prctica durante sus estudios, al continuar practicando en su trabajo, empiezan a tener ms confianza ya afrontar con solvencia los problemas difciles. La experiencia permite a los estudiantes de ambas carreras, administracin y contabilidad, empezar a apreciar la importancia de los controles en un ambiente de cmputo. La confianza hace que planteen sin temor preguntas como las siguientes: cundo y dnde se requieren los controles? Cunto y qu deben abarcar? En esta obra se considera que la preocupacin sobre los controles en un ambiente de c
