Antologia de Auditoria

8/17/2019 Antologia de Auditoria

1/77

Auditoría en

InformáticaEquipo No. 7


2/77


3/77

Auditoría en Informática

Equipo No. 7 Página 2

VI. INFORME DE LA AUDITORIA INFORMATICA ......................................................................................... 71

VI.I. GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA.. ........................................................................ 71 VI.II CARACTERISTICAS DEL INFORME .......................................................................................................... 72 VI.III. ESTRUCTURA DEL INFORME ............................................................................................................... 74 VI.IV. FORMATO PARA EL INFORME ............................................................................................................. 75


4/77



UNIDAD I


5/77


6/77



Eficacia Rentabilidad Seguridad

I.II TIPOS DE AUDITORIA

AUDITORIA INFORMATICA

o AUDITORIA INTERNAo AUDITORIA EXTERNA

La auditoría interna

Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Losempleados que realizan esta tarea son remunerados económicamente. La auditoría interna existepor expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier

momento.

La auditoría interna nace de la práctica sin unos principios generales o un cuerpo teórico general.Por ello se puedes distinguir tres etapas:

La primera de ellas comprende la necesidad de obtener precisión en las cuentas y laprevención del fraude.

La segunda etapa como consecuencia de la depresión (después de la segunda guerramundial) la comisión de valores y bolsa hizo responsable a los gerentes financieros de lafiabilidad de sus estados financieros, surgiendo la necesidad de implantar en las empresas

un control financiero y contable, así como a intervenir en cuestionar las tomas dedecisiones, la salvaguarda de activos y el profundizar en aspectos relativos a la gestiónempresarial.

La auditoría externa

Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone unamayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores yauditados.

Aplicando el concepto general, se puede decir que la auditoría Externa es el examen crítico,sistemático y detallado de un sistema de información de una unidad económica, realizado por unContador Público sin vínculos laborales con la misma, utilizando técnicas determinadas y con elobjeto de emitir una opinión independiente sobre la forma como opera el sistema, el controlinterno del mismo y formular sugerencias para su mejoramiento. El dictamen u opiniónindependiente tiene trascendencia a los terceros, pues da plena validez a la información generadapor el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos a tenerplena credibilidad en la información examinada.

http://www.monografias.com/trabajos10/teca/teca.shtmlhttp://www.monografias.com/trabajos14/auditoria/auditoria.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos14/matriz-control/matriz-control.shtmlhttp://www.monografias.com/trabajos14/matriz-control/matriz-control.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos14/matriz-control/matriz-control.shtmlhttp://www.monografias.com/trabajos14/matriz-control/matriz-control.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos14/auditoria/auditoria.shtmlhttp://www.monografias.com/trabajos10/teca/teca.shtml


7/77



La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de unaorganización y emite una opinión independiente sobre los mismos, pero las empresasgeneralmente requieren de la evaluación de su sistema de información financiero en formaindependiente para otorgarle validez ante los usuarios del productode este, por lo cualtradicionalmente se ha asociado el término Auditoría Externa a Auditoría de Estados Financieros,lo cual como se observa no es totalmente equivalente, pues puede existir Auditoría Externa delSistema de Información Tributario, Auditoría Externa del Sistema de Información Administrativo,Auditoría Externa del Sistema de Información Automático etc.La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad yautenticidad de los estados, expedientes y documentos y toda aquella información producida porlos sistemas de la organización.

Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto delsistema de información examinado con el fin de acompañar al mismo una opinión independienteque le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiandoen las declaraciones del Auditor.

La Auditoria Interna:

El auditor tiene relación con la empresa. La relación con la empresa puede influir en la emisión del juicio sobre la evaluación de las

áreas de la empresa. Informe para uso interno. Permite detectar problemas y desviaciones. Puede actuar periódicamente como parte de su Plan Anual. Los auditados conocen estos planes y se habitúan a las Auditorías. Las Recomendaciones habidas benefician su trabajo.

La Auditoria Externa

El auditor no tiene relación con la empresa Revisión independiente con total libertad de criterio sin ninguna influencia Realizadas por despachos de auditores Generalmente solicitado por instituciones gubernamentales

I.III CAMPO DE LA AUDITORIA INFORMÁTICA

Algunos campos de aplicación de la informática son las siguientes:

Investigación científica y humanística: Se usan las computadoras para la resolución de cálculosmatemáticos, recuentos numéricos, etc. Algunas de estas operaciones:

Resolución de ecuaciones. Análisis de datos de medidas experimentales, encuestas etc. Análisis automáticos de textos.

http://www.monografias.com/trabajos14/auditoria/auditoria.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos12/elproduc/elproduc.shtmlhttp://www.monografias.com/trabajos14/comer/comer.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos12/elproduc/elproduc.shtmlhttp://www.monografias.com/trabajos12/elproduc/elproduc.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos14/comer/comer.shtmlhttp://www.monografias.com/trabajos12/elproduc/elproduc.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos11/empre/empre.shtmlhttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/trabajos7/sisinf/sisinf.shtmlhttp://www.monografias.com/trabajos14/auditoria/auditoria.shtml


8/77


9/77



Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuantoantes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, elregistro de la actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producidoincidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copiasde seguridad.

Para la implantación de un sistema de controles internos informáticos habrá que definir:

Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de basepara el diseño y la implantación de los sistemas de información y de los controlescorrespondientes.

Administración de sistemas: Controles sobre la actividad de los centros de datos y otrasfunciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en el softwaredel sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestión del cambio: separación de las pruebas y la producción a nivel del software ycontroles de procedimientos para la migración de programas software aprobados yprobados.

I.V MODELOS DE CONTROLEn la actualidad existen una gran cantidad de modelos de control interno. Los modelos de controlinterno COSO y COBIT son los dos modelos más difundidos en la actualidad.COSO esta enfocado a toda la organización, contempla políticas, procedimientos y estructuras

organizativas además de procesos para definir el modelo de control interno.

Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos deControl para Tecnología de Información y Tecnologías relacionadas) se centra en el entorno IT,contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa queCOSO no hace. Además el modelo de control interno que presenta COBIT es más completo, dentrode su ámbito.

Existen otros tipos de modelos los cuales se mencionan a continuación:

OECD (Organization for Economic Cooperation and Development) GAPP (Generaly Accepted Principles and Practices). National Institute of Standards and

Technology (NIST) BS 7799 (British Standard Institute) SAC (Security Auditability and Control). The Inst. of Internal Audit. COSO (Internal Control Integrated Framework. Committee of Sponsoring Organizations) SSE CMM (Systems Security Engineering Capability Maturity Model) National Security Agency (NSA) Defense- Canada. CoCo (Criteria of Control Board of The Canadian Institute of Chartered Accountants.)


10/77



ITCG (Information Technology Control Guidelines). Canadian Institute of CharteredAccountants (CICA)

GASSP (Generaly Accepted System Security Principles). International Information SecurityFoundation (IISF)

Cobit (Control Objectives for Information and Related Technologies)

FISCAM (Federal Information Systems Controls Audit Manual). GAO

SysTrust (AICPA/CICA SysTrust Principles and Criteria for System Reliability) SSAG (System Self-Assessment Guide for Information Technology Systems). NIST

DEFINICION DE COBIT

Es un marco de control interno deTI.

Parte de la premisa de que la TIrequiere proporcionar informaciónpara lograr los objetivos de laorganización.

Promueve el enfoque y la propiedadde los procesos.

Apoya a la organización al proveer un marcoque asegura que:

La Tecnología de Información (TI)esté alineada con la misión y visión.

LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente

ESTRUCTURA DE COBIT

COBIT – REQUERIMIENTOS DE LAINFORMACIÓN DEL NEGOCIO

Requerimientos de Calidad Calidad.

Costo.

Oportunidad.Requerimientos Financieros (COSO)

Efectividad y eficiencia operacional.


11/77



Confiabilidad de los reportes financieros

Cumplimiento de leyes y regulaciones.Requerimientos de Seguridad

Confidencialidad.

Integridad.

Disponibilidad.Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta,consistente y utilizableEficiencia: Empleo óptimo de los recursos.Confidencialidad: Protección de la información sensitiva contra divulgación no autorizadaIntegridad: Información exacta y completa, así como válida de acuerdo con las expectativas de laorganización.Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades.Cumplimiento: Leyes, regulaciones y compromisos contractuales.Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativoCOBIT – PROCESOS DE TI – TRES NIVELES

I.VI PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS

PRINCIPIO DE BENEFICIO DE AUDITADO

En este principio el auditor debe conseguir la máxima eficacia y rentabilidad de los mediosinformáticos de la empresa auditada, no debe de ningún modo obtener beneficio propio.

PRINCIPIO DE CALIDAD

En el auditor deberán prestar sus servicios conforme las posibilidades de la ciencia y medios a su

alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condicionestécnicas adecuadas para el idóneo cumplimiento de su labor.

PRINCIPIO DE CONFIANZA

El auditor deberá facilitar e incrementar la confianza del auditora en base a una actuación detransparencia en su actividad profesional sin alardes científicos-técnicos.

PRINCIPIO DE CAPACIDAD El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada,maximice teniendo en cuenta que, a los auditados en algunos casos les puede serextremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión de lasmismas.PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en todomomento, actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y decorrección en el trato personal.PRINCIPIO DE CRITERIO PROPIO


12/77



El auditor durante la ejecución deberá actuar con criterio propio y no permitir que estésubordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con elmismo.PRINCIPIO DE CONCENTRACION EN EL TRABAJO El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración yprecisión en cada una de las tareas a él encomendadas, y a que la estructuración y dispersión detrabajos suele a menudo, si no está debidamente controlada, provocar la conclusión de losmismos sin las debidas garantías de seguridad.PRINCIPIO DE DISCRECIÓN El auditor deberá en todo momento mantener una cierta discreción en la divulgación de datos,aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecución de la auditoria.PRINCIPIO DE ECONOMÍA El auditor deberá proteger, en la medida de sus conocimientos, los derechos económicos delauditado evitando generar gastos innecesarios en el ejercicio de su actividad.PRINCIPIO DE FORMACIÓN CONTINUADA Este principio impone a los auditores el deber y la responsabilidad de mantener una permanenteactualización de sus conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda

y a las exigencias de la competencia de la oferta.PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LAPROFESIÓN La defensa de los auditados pasa por el fortalecimiento de la profesión de los auditoresinformáticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividaddesarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para elidóneo cumplimiento de la finalidad de las auditorias.PRINCIPIO DE INDEPENDENCIA Este relacionado con el principio de criterio propio, obliga al auditor, tanto si actúa comoprofesional externo o con dependencia laboral respecto a la empresa en la que deba realizar laauditoria informática, a exigir una total autonomía e independencia en su trabajo.

PRINCIPIO DE INFORMACIÓN SUFICIENTE Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e inteligible parael auditado, información de los puntos y conclusiones relacionados con la auditoria.PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto,leal y diligente en el desempeño de su misión, a ajustarse a las normas morales de justicia yprioridad.PRINCIPIO DE LEGALIDAD La primacía de esta obligación exige del auditor un comportamiento activo de oposición a todointento, por parte del auditado o de terceras personas, tendente a infringir cualquier preceptointegrado en el derecho positivo.PRINCIPIO DE LIBRE COMPETENCIA La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de lalibre competencia siendo rechazables, por tanto, las prácticas colusorias tendentes a impedir olimitar la legítima competencia de otros profesionales.PRINCIPIO DE NO DISCRIMINACIÓN El auditor en su actuación previa, durante y posterior a la auditoria deberá evitar cualquier tipo decondicionantes personalizados y actuar en todos los casos con similar diligencia.PRINCIPIO DE NO INJERENCIA


13/77



El auditor, deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor yeludir hacer comentarios que pudieran interpretarse como despreciativos de la misma, deberáigualmente evitar aprovechar los datos.

PRINCIPIO DE PRECISIÓN Este principio exige del auditor la no conclusión de su trabajo hasta estar convencido, en la medidade lo posible, de la viabilidad de sus propuestas.

PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promoción de los servicios de auditoria deberán en todo momento ajustarse a lascaracterísticas, condiciones y finalidad perseguidas.

PRINCIPIO DE RESPONSABILIDAD El auditor deberá, como elemento intrínseco de todo comportamiento profesional,responsabilizarse de lo que haga, diga o aconseje.

PRINCIPIO DE SECRETO PROFESIONAL

La confidencia y confianza entre el auditor y el auditado e imponen al primero la obligación deguardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividadprofesional.

PRINCIPIO DE SERVICIO PÚBLICO La aplicación de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuiciode los intereses de su cliente, para evitar daños sociales.

PRINCIPIO DE VERACIDAD El Auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación deasegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto,

corrección, y secreto profesional.

I.VII RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismotiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar lassiguientes actividades:

Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc. Análisis de la administración de Sistemas de Información, desde un punto de vista de

riesgo de seguridad, administración y efectividad de la administración. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de

aplicaciones. Auditoría del riesgo operativo de los circuitos de información Análisis de la administración de los riesgos de la información y de la seguridad implícita. Verificación del nivel de continuidad de las operaciones. Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias

empresariales que un desfase tecnológico puede acarrear. Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas

y operativas de información de la empresa.


14/77



RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Organización de la función de Auditoría Informática La función de la auditoría informática se ha convertido en una función que desarrolla un trabajomás acorde con la importancia que para las organizaciones tienen los SI, que son su objeto deestudio y análisis. El auditor informático pasa a ser auditor y consultor de empresas en materiasde:

Seguridad Control interno operativo Eficiencia y eficacia Tecnologías de Información Continuidad de operaciones Administración de riesgos

Su localización puede estar ligada a la auditoría interna operativa y financiera (aunque exista unacoordinación lógica entre ambos departamentos), con independencia de objetivos, planes de

formación y presupuestos.Debe ser un grupo independiente del de auditoría interna, con acceso total a los SI y demástecnología, que depende de la misma persona que la auditoría interna (Director General oConsejero).

La dependencia debe ser del máximo responsable de la organización, nunca del departamento desistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento derealizar el trabajo de auditoría y ofrecer conclusiones y recomendaciones.

Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibradade personas con formación en auditoría y organización y con perfil informático (especialidades).


15/77



UNIDAD II


16/77



II.

PLANEACIÓN DE LA AUDITORIA INFORMÁTICA

II.I Fases de la auditoria

La Planeación

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerladesde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos. Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobrela organización y sobre la función de informática a evaluar.Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base enesto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y

documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Con ello podremos determinar el número y características del personal de auditoría, lasherramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, encaso necesario, poder elaborar el contrato de servicios.¿Cómo actúa en la etapa de planeación?Análisis en los grados de preparación técnica, experiencia y capacidad profesional de los auditores.

Revisión del plan general del trabajo, definición de objetivos. Discusión del plan de trabajo.

Discusión y fijación del presupuesto del tiempo.

Revisión preliminar

El objetivo de esta fase es revisar la instalación para obtener información sobre como llevar a cabola auditoria. Al finalizarla, el auditor puede proceder de tres maneras:

No continuar con la auditoria. Pasar a la siguiente fase para realizar la revisión detallada de los controles internos,

esperando poder confiar en ellos, y reducir los Test de Apoyo. Pasa directamente a la fase de pruebas de sustantivas.

Revisión detallada El objetivo de esta fase es obtener información necesaria para tener un conocimiento detallado(profundo) de los controles utilizados en la instalación. Al finalizarla, el auditor puede tomar unade las siguientes decisiones:

No continuar con la auditoria. Pasar a la fase pruebas de controles de usuario, esperando poder confiar en los controles

internos.


17/77



Pasar directamente a la fase de pruebas sustantivas.

Examen y evaluación de la información.

Consiste en el examen y evaluación periódica de los recursos informativos.

Su objetivo es conocer la utilización que se hace de la información, las barreras que se le impone yel establecimiento de procesos de mejora.Mediante una revisión adecuada de los recursos informáticos, y el uso de formatos bien diseñadospara su captura, el auditor puede lograr un mejor conocimiento de los procedimientos paracontrol del cliente.

Pruebas sustantivas.

¿Qué es una prueba sustantiva?

Son aquellas pruebas que diseña el auditor como el objeto de conseguir evidencia que permitaopinar sobre la integridad, razonabilidad y validez de los datos producidos por el sistema contablede la empresa auditada.Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examenanalítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de lainformación

¿De que dependen las pruebas sustantivas?

Dependerán del tipo de volumen de errores que pudieran ocurrir en los procesos contables de laempresa que no fueron descubiertos por los procedimientos de control interno empleados.A menor cantidad de errores de importancia que pudieran ocurrir, mayor será la limitación del

alcance de las pruebas sustantivas.

II.II Evaluación de los sistemas de acuerdo al riesgo

Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son lasraíces de la incertidumbre y el riesgo que las organizaciones confrontan.

La administración de riesgos en un marco amplio implica que las estrategias, procesos, personas,tecnología y conocimiento están alineados para manejar toda la incertidumbre que unaorganización enfrenta.

Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar losbeneficios potenciales de estas sobre los riesgos.


18/77



Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de ControlInterno, en los cuales se asumen tres tipos de Riesgo:

Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de lasactividades de la empresa y puede generar deficiencias del Sistema de Control Interno.

Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisiónno detecten deficiencias en el Sistema de Control Interno.

Riesgo Inherente: Son aquellos que se presentan inherentes a las características delSistema de Control Interno.

Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado.Generalmente existen diversas formas de obtener un resultado determinado, y de esto se derivala existencia de varias metodologías para llevar a cabo una auditoria informática.

Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos demanera ordenada y eficaz.

Objetivos

Contar con una herramienta que le permita realizar el trabajo de forma eficiente. Contar con los formatos e indicadores, para las diferentes fases de los procesos. Ser lo suficientemente flexible para adaptarse a las necesidades y requerimientos de cada

revisión, de acuerdo a las condiciones concretas de cada dependencia.

¿Como deben de ser las metodologías?

La metodología usada por el auditor interno debe ser diseñada y desarrollada por el propio auditor

-Se basa en su grado de experiencia y habilidad

-Se deben crear las metodologías necesarias para auditar los distintos aspectos definidos en elplan auditor informático.

Partes que conforman el plan de auditoria:

Funciones. Procedimientos. Tipos de auditorías que realiza. Sistema de evaluación. Nivel de exposición. Lista de distribución de informes. Seguimiento de acciones correctoras. Plan de trabajo.

Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el controlinformático, se puede agrupar en dos grandes familias:

Cuantitativas


19/77



Metodologías de los auditores internos

Están formuladas por recomendaciones de plan de trabajo , números , historiales, indicadores.

Cualitativas Controles generales

El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador Dependen engran medida de la experiencia de los profesionales que las usan.

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo.

Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidadpor tener asignados unos valores numéricos. Estos valores son datos de probabilidad deocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número deincidencias tiende al infinito.

Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo,para seleccionar en base al experiencia acumulada. Basadas en métodos estadísticos y lógicaborrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.

Ventajas:

Enfoque lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificación de eventos.

Desventajas

Depende fuertemente de la habilidad y calidad del personal involucrado. Identificación de eventos reales más claros al no tener que aplicarles probabilidades

complejas de calcular. Dependencia profesional.

En la actualidad existen tres tipos de metodologías de auditoria informática:

R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestión de

base de Datos DB2; paquete de seguridad RACF, etc.).

CRMR son las siglas de “Computer resource management review”, s u traducción más adecuada,Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quieredestacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos pormedio del management.


20/77



Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoríainformática global, pero proporciona soluciones más rápidas a problemas concretos y notorios.

Supuestos de aplicación

En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficienciasorganizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de unCentro de Procesos de Datos.

El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el

momento oportuno.

Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a lascondiciones de aplicación señaladas en punto anteriores:

Gestión de Datos Control de Operaciones Control y utilización de recursos materiales y humanos Interfaces y relaciones con usuarios Planificación Organización y administración.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisición de nuevosequipos (Capacity Planning) o para revisar muy a fondo los caminos críticos o las holguras de unProyecto complejo.

OBJETIVOS

CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de losprocedimientos y métodos de gestión que se observan en un Centro de Proceso de Datos. LasRecomendaciones que se emitan como resultado de la aplicación del CRMR, tendrán comofinalidad algunas de las que se relacionan:

Identificar y fijar responsabilidades. Mejorar la flexibilidad de realización de actividades. Aumentar la productividad. Disminuir costes. Mejorar los métodos y procedimientos de Dirección.

Se fijarán los límites que abarcará el CRMR, antes de comenzar el trabajo.

Se establecen tres clases:

1. Reducido. El resultado consiste en señalar las áreas de actuación con potencialidadinmediata de obtención de beneficios.


21/77



2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como sehace en la auditoría informática ordinaria.

3. Amplio. El CRMR incluye Planes de Acción, aportando técnicas de implementación de lasRecomendaciones, a la par que desarrolla las conclusiones.

Supuestos de aplicación

En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficienciasorganizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de unCentro de Procesos de Datos.

El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el

momento oportuno

Se genera con alguna frecuencia información errónea por fallos de datos o proceso.

Existen sobrecargas frecuentes de capacidad de proceso. Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son éstas y no otras las situaciones que el auditor informático encuentra conmayor frecuencia. Aunque pueden existir factores técnicos que causen las debilidades descritas,hay que convenir en la mayor incidencia de fallos de gestión.

Áreas de Aplicación

Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a lascondiciones de aplicación señaladas en punto anteriores:

Gestión de Datos Control de Operaciones Control y utilización de recursos materiales y humanos Interfaces y relaciones con usuarios Planificación Organización y administración

Información necesaria para la evaluación del CRMR

Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditoría yconsultoría pueda llevarse a cabo con éxito.

1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructuradel Centro de Proceso de Datos del cliente, y con los recursos de éste.

2. Se deberá cumplir un detallado programa de trabajo por tareas.


22/77



3. El auditor-consultor recabará determinada información necesaria del cliente.

Se tratan a continuación los tres requisitos expuestos:

1.- Integración del auditor en el Centro de Procesos de Datos a revisar.

No debe olvidarse que se están evaluando actividades desde el punto de vista gerencial. Elcontacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permitea aquél determinar el tipo de esquema organizativo que se sigue.

2. - Programa de trabajo clasificado por tareas.

Todo trabajo habrá de ser descompuesto en tareas. Cada una de ellas se someterá a la siguientesistemática:

Identificación de la tarea

Descripción de la tarea Descripción de la función de dirección cuando la tarea se realiza incorrectamente. Test para la evaluación de la práctica directiva en relación con la tarea Posibilidades de agrupación de tareas Ajustes en función de las peculiaridades de un departamento concreto Registro de resultados, conclusiones y Recomendaciones.

El cliente es el que facilita la información que el auditor contrastará con su trabajo de campo.Se exhibe a continuación una Checklist completa de los datos necesarios para confeccionar elCRMR:

Datos de mantenimiento preventivo de Hardware Informes de anomalías de los sistemas Procedimientos estándar de actualización. Procedimientos de emergencia. Monitoreo de los Sistemas. Informes del rendimiento de los Sistemas. Mantenimiento de las Librerías de Programas. Gestión de Espacio en disco. Documentación de entrega de Aplicaciones a Explotación. Documentación de alta de cadenas en Explotación. Utilización de CPU, canales y discos. Datos de paginación de los Sistemas. Volumen total y libre de almacenamiento. Ocupación media de disco. Manuales de Procedimientos de Explotación.


23/77



II.III. INVESTIGACIÓN PRELIMINAR

Descripción general de los sistemas instalados y de los que estén por instalarse que contenganvolúmenes de información.

Manual de formas. Manual de procedimientos de los sistemas.

Descripción genérica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalación de los sistemas. Proyecto de instalación de nuevos sistemas.

Objetivos de una evaluación

Comparar alternativas, para encontrar la mejor. Determinar el impacto de una nueva característica, por ejemplo, añadir un disco duro

nuevo. Sintonizar el sistema, hacer que funcione mejor según algún punto de vista. Identificar prestaciones relativas entre diferentes sistemas. Depuración de prestaciones, identificar los fallos del sistema que hacen que vaya más

lento. Poner unas expectativas sobre el uso del sistema, por ejemplo, cuántas conexiones es

capaz de soportar una base de datos simultáneamente, o cuántas peticiones un sitio web.

Evaluación en un sistema informático es realizada en:

Diseñadores, usuarios y administradores de un sistema informático. Para obtener el mejor rendimiento con los menores costes.

Los sistemas deben ser evaluadas con mucho detalle, para lo cual se debe revisar si existenrealmente sistemas entrelazados como un todo o bien si existen programas aislados.

Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas osi se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.

El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridosestén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos(hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y latecnología, conque se cuenta actualmente.

En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos deinformación de la dependencia.

¿Qué estudios van a ser realizados al respecto?¿Qué metodología se utilizará para dichos estudios?¿Quién administrará y realizará dichos estudios?


24/77



En el momento de hacer la planeación de la auditoría, debemos evaluar que pueden presentarselas siguientes situaciones.Se solicita la información y se ve que:

No tiene y se necesita. No se tiene y no se necesita.

Se tiene la información pero:

No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, está actualizada, es la adecuada y está completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria.

En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdocon las necesidades y con el uso que se le va a dar.

En el caso de que se tenga la información pero no se utilice, se debe analizar por que no seusa.

En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es laadecuada y si está completa.

El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestandopreguntas como las siguientes:

¿Cuáles servicios se implementarán?

¿Cuándo se pondrán a disposición de los usuarios?¿Qué características tendrán?¿Cuántos recursos se requerirán?

La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura enque estarán fundamentados:

¿Qué aplicaciones serán desarrolladas y cuando?¿Qué tipo de archivos se utilizarán y cuando?¿Qué bases de datos serán utilizarán y cuando?¿Qué lenguajes se utilizarán y en que software?¿Qué tecnología será utilizada y cuando se implementará?¿Cuantos recursos se requerirán aproximadamente?¿Cuál es aproximadamente el monto de la inversión en hardware y software?

En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y loscontroles establecidos.

Por último, el plan estratégico determina la planeación de los recursos.


25/77



¿Contempla el plan estratégico las ventajas de la nueva tecnología?¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?

Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen:

1.=Requerimientos del usuario. 2.=Estudio de factibilidad.3.=Análisis de riesgo 4.=Diseño general.5.=Análisis 6.=Diseño lógico7.=Desarrollo físico 8. =Pruebas.9.=Implementación 10.=Evaluación.11.=Modificaciones 12.=Instalación13.=Mejoras.

Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.

1=Requerimientos del usuario 1). Investigación Preliminar: La solicitud para recibir ayuda de un sistema de información puede

originarse por varias razones: sin importar cuales sean estas, el proceso se inicia siempre con lapetición de una persona.

2). Determinación de los requerimientos del sistema: El aspecto fundamental del análisis desistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentrabajo estudio. Los analistas, al trabajar con los empleados y administradores, deben estudiar losprocesos de una empresa para dar respuesta a las siguientes preguntas clave:

¿Qué es lo que hace?¿Cómo se hace?¿Con que frecuencia se presenta?

¿Qué tan grande es el volumen de transacciones o decisiones?¿Cuál es el grado de eficiencia con el que se efectúan las tareas?¿Existe algún problema? ¿Qué tan serio es? ¿Cuál es la causa que lo origina?

2=Estudio de factibilidad

La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si elsistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendableelaborarlo.

Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren enoperación, así como los que estén en la fase de análisis para evaluar si se considera ladisponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, lanecesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios quereportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendránsobre el sistema y la congruencia de los diferentes sistemas.

En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio defactibilidad con los puntos señalados y compararse con la realidad con lo especificado en elestudio de factibilidad.


26/77



Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie debeneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real yevaluar si se satisficieron las necesidades indicadas como beneficios del sistema.

Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo delos programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo,personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos deoperación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, unamejoría en los procedimientos de control, mayor confiabilidad y seguridad.

3.Análisis riesgo

RIESGO Planificación insuficienteEJEMPLO Cuando los desarrolladores de software superan en tiempo establecido para laterminación del software.

CONTROL Debe analisarse minuciosamente la planeación del desarrollo del programa para undesarrollo rápido.

RIESGO Cambio de requerimientosEJEMPLO Este caso se presenta cuando no se definieron claramente los requerimientos delsoftware y al desarrollador, analista le toca rediseñaran y volver a programarCONTROL Realizar cuidadosamente el estudio antes de comenzar el desarrollo, aplicando losdiferentes métodos obtención de requerimientos

RIESGO Tiempo de desarrolloEJEMPLO Cuando los desarrolladores de software su pera en tiempo establecido para la

terminación del software.CONTROL Debe analizarse minuciosamente la planeación del desarrollo del programa

RIESGO Pérdida de manualesEJEMPLO En una empresa que se necesite la actualización de un sistemaCONTROL Proteger los manuales en lugares seguros en donde los operadores, analistas,desarrolladores tengan acceso; y no se dañen.

RIESGO Diseño inadecuadoEJEMPLO En el proceso de desarrollo los diseñadores no escatiman el tiempo necesario para lacreación del diseño por la rapidez de completar la planeación.CONTROL Determinar en la planeación el tempo justo para el desarrollo de diseño y darle suimportancia.

4. Diseño

El diseño de un sistema de información produce los detalles que establecen la forma en la que elsistema cumplirá con los requerimientos identificados durante la fase de análisis. Los especialistasen sistemas se refieren, con frecuencia, a esta etapa como diseño lógico en contraste con la deldesarrollo del software, a la que denominan diseño físico.


27/77



5. Análisis.

Hemos de estudiar las tareas realizadas por cada uno de estos elementos del sistema y determinarcuáles de estas funciones se pueden automatizar, por ejemplo, si deseamos realizar una aplicaciónpara gestionar una empresa, hemos de ver qué funciones realiza la empresa, cuáles de éstas serealizan manualmente por personas y cuáles están automatizadas, se realizan medianteordenador, se intentará automatizar el mayor número de funciones posible.Antes de comenzar a diseñar el software hemos de especificar ciertos aspectos del mismo, comoson, funciones que debe realizar, interacción con el resto de los elementos del sistema,rendimiento, fiabilidad, etc., en cada una de las dos fases mencionadas se genera unosdocumentos que nos permiten fijar la estructura funcional de la organización y todos losrequerimientos que se exigirán al software que se va a desarrollar, los documentos, tanto delanálisis del sistema como del software, se revisan con el cliente hasta que realmente reflejen larealidad de la organización y sus necesidades.

6. Diseño lógico.

Traduce los escenarios de uso creados en el diseño conceptual en un conjunto de objetos denegocio y sus servicios.

Se convierte en parte en la especificación funcional que se usa en el diseño físico. Es independiente de la tecnología. Refina, organiza y detalla la solución de negocios y define formalmente las reglas y políticas

específicas de negocios.

En el diseño lógico conceptualmente se divide en tres niveles de servicios con el fin de que laaplicación resulte flexible ante los cambios de requerimientos y/o de tecnología cambiandoúnicamente la capa o capas necesarias. Los tres niveles son: servicios de usuario, servicios de

negocio y servicios de datos.

7. Desarrollo físico

Plasmamos el diseño de la fase anterior en programas escritos en un lenguaje de programación adecuado, dependiendo del tipo de aplicación, si el diseño se ha hecho correctamente y de formadetallada, la codificación puede realizarse mecánicamente, es decir, sería un simple proceso detraducción, de cambio de representación.

El diseño físico traduce el diseño lógico en una solución implementable y costo-efectiva oeconómica.

El componente es la unidad de construcción elemental del diseño físico. Las características de uncomponente son:

Se define según cómo interactúa con otros. Encapsula sus funciones y sus datos. Es reusable a través de las aplicaciones. Puede verse como una caja negra. Puede contener otros componentes.


28/77



El diseño físico debe involucrar:

El diseño para distribución – debe minimizarse la cantidad de datos que pasan comoparámetros entre los componentes y éstos deben enviarse de manera segura por la red.

El diseño para multitarea – debe diseñarse en términos de la administración concurrente

de dos o más tareas distintas por una computadora y el multithreading o múltiples hilos deun mismo proceso)

El diseño para uso concurrente – el desempeño de un componente remoto depende de siestá corriendo mientras recibe una solicitud.

8. Pruebas

Consiste en comprobar si hemos construido el software que se deseaba, es decir, comprobar quelos programas se corresponden con el diseño, realizan correctamente sus funciones, y satisfacenlos requisitos indicados.

9. Implementación

La implantación es el proceso de verificar e instalar nuevo equipo, entrenar a los usuarios, instalarla aplicación y construir todos los archivos de datos necesarios para utilizarla. Una vez instaladas,las aplicaciones se emplean durante muchos años. Sin embargo, las organizaciones y los usuarioscambian con el paso del tiempo, incluso el ambiente es diferente con el paso de las semanas y losmeses.

10. Evaluación Ocurre a lo largo de cualquiera de las siguientes dimensiones:

*Evaluación operacional: Valoración de la forma en que funciona el sistema, incluyendo su

facilidad de uso, tiempo de respuesta, lo adecuado de los formatos de información, confiabilidadglobal y nivel de utilización.

Impacto organizacional: Identificación y medición de los beneficios para la organización en áreastales como finanzas, eficiencia operacional e impacto competitivo. También se incluye el impactosobre el flujo de información externo e interno.

Opinión de loa administradores: evaluación de las actividades de directivos yadministradores dentro de la organización así como de los usuarios finales.

Desempeño del desarrollo: La evaluación de proceso de desarrollo de acuerdo concriterios tales como tiempo y esfuerzo de desarrollo, concuerdan con presupuestos y estándares, yotros criterios de administración de proyectos. También se incluye la valoración de los métodos yherramientas utilizados en el desarrollo.

Las características que deben evaluarse en los sistemas son:

Dinámicos (susceptibles de modificarse). Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un

todo)


29/77



Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y noprogramas aislados.

Accesibles (que estén disponibles). Necesarios (que se pruebe su utilización). Comprensibles (que contengan todos los atributos).

Oportunos (que esté la información en el momento que se requiere).

Funcionales (que proporcionen la información adecuada a cada nivel). Estándar (que la información tenga la misma interpretación en los distintos niveles). Modulares (facilidad para ser expandidos o reducidos). Jerárquicos (por niveles funcionales). Seguros (que sólo las personas autorizadas tengan acceso). Únicos (que no duplique información).

11. Modificaciones

Es la última etapa del ciclo de vida de los sistemas, consiste en realizar todas las actividades

necesarias a fin de mantener el sistema trabajando adecuadamente, respetando los niveles decalidad establecidos.

12. Instalación

Es la actividad FINAL.Existen varias estrategias de INSTALACION: Gradual, distribuida, completa.Un aspecto importante de esta actividad es la CAPACITACION

13. Mejoras

El software sufrirá cambios después de que se entregue al cliente debidos fundamentalmente a laexistencia de errores, la necesidad de adaptar el software, nuevo Sistema Operativo, nuevamáquina específica, etc., nuevas necesidades del cliente que requiere aumentos funcionales o derendimiento del software.

II.IV PERSONAL PARTICIPANTE.

Una de las partes más importantes en la planeación de la auditoria en informática es el personalque deberá participar, ya que se debe contar con un equipo seleccionado y con ciertascaracterísticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempoestimado.

Número de persona que deberán participar

Esto depende de las dimensiones de la organización, de los sistemas y de los equipos, lo que sedeberá considerar son exactamente las características que debe cumplir cada uno del personalque habrá de participar en la auditoria.

Uno de los esquemas generalmente aceptados para tener un adecuado control es:


30/77



Que el personal que intervenga capacitado. Que tenga un alto sentido de moralidad. Exija la optimización de recursos (eficiencia). Se le retribuya o compense justamente por su trabajo.

Con estas bases debemos considerar los conocimientos, la práctica profesional y la capacitaciónque debe tener el personal que intervendrá en la auditoria.Primeramente, debemos pensar que hay personal asignado por la organización, que debe tener elsuficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda lainformación que se solicite y programar las reuniones y entrevistas requeridas.También se deben contar con personas asignadas por los usuarios para que en el momento que sesolicite información, o bien se efectúe alguna entrevista de comprobación de hipótesis, nosproporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya quedebemos analizar no sólo el punto de vista de la dirección de informática, sino también el delusuario del sistema.

Se deben tener personas con las siguientes características:

1. Técnico en informática.2. Conocimientos de Admón., contaduría y finanzas.3. Experiencia en el área de informática.4. Experiencia en operación y análisis de sistemas.5. Conocimientos y experiencias en psicología industrial.6. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones,

dependiendo del área y características a auditar.7. Conocimientos de los sistemas más importantes.

Se deben tener personas con las siguientes características:

Técnico en informática.Conocimientos de Admón., contaduría y finanzas.Experiencia en el área de informática.Experiencia en operación y análisis de sistemas.Conocimientos y experiencias en psicología industrial.Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendodel área y características a auditar.Conocimientos de los sistemas más importantes.En el caso de sistemas complejos se deberá contar con personal con conocimientos y experienciasen áreas específicas como base de datos, redes y comunicaciones, etcétera.

Lo anterior no significa que una sola persona deba tener los conocimientos y experienciasseñaladas, pero si que deben intervenir una o varias personas con las características apuntadas.

Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta lacarta (convenio de servicios profesionales – en el caso de auditores externos -) y el plan de trabajo.


31/77



UNIDAD III


32/77



III.

AUDITORIA DE LA FUNCIÓN INFORMÁTICA.

III.I. Introducción

Toda la información tiene un valor en sí misma, el método de obtención de información estádirectamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el usode cada una de estas herramientas, su utilidad dependerá del objetivo que se busque y los mediospara llevar acabo esa recolección de datos en tiempo y forma para su posterior análisis.Cualquier empresa, en algún momento, se encuentra inmersa en cierta fase de lo que he llamadociclo de crecimiento competitivo, dentro del cual la informática juega un papel protagónico ydefinitivo. Dependiendo de la fase por la cual la empresa este pasando, la informática se puedeaprovechar de manera preponderante, siempre y cuando se esté preparado para hacerlo.En este punto radica una gran deficiencia del área de informática, pues al encontrarse aislada yajena a los objetivos de negocio de la empresa, generalmente no puede actuar de manera

oportuna ni efectiva, y aunque apoya, en esencia esto no es solo lo que se quiere de ella.El área de informática debe estar activa durante todo ese ciclo, no solo cuando su apoyo seaurgente para resolver algún problema. Mientras la estructura organizacional interna del área deinformática se encuentre centralizada, vista como un simple apoyo (aunque ahora se acepte comoun apoyo fundamental) y no diseminada en toda la organización de manera descentralizada,contempla como una función vital, ésta deficiencia permanecerá irremediablemente de maneraindefinida.

III.II. Recopilación de información organizacional.

Información organizacional.

La información organizacional se refiere a la Información canalizada por la función deComunicación Externa, la Información de contenidos puramente Operativos, y la Informaciónprocedente en su mayor parte de la función de Recursos Humanos o Personal.

¿Cómo se divide?

Horacio Andrade hace un análisis de la Información en la organización encuadrándola en tresgrandes grupos que, en su conjunto, nos facilitan recopilar la información organizacional en unaauditoria informática:

La Información relacionada con la organización.

La Información acerca del trabajo. La Información sobre asuntos que afectan la vida personal.


33/77



Análisis de la información corporativa de las primeras empresas y estudio del aprovechamiento

de los portales corporativos en estrategias de imagen empresarial.

Personal involucrado en la recopilación de la información

En una auditoria informática se recopila la información organizacional para hacer una evaluaciónobjetiva de problemas que se presenten en la misma.


34/77



El desarrollo de nuevas tecnologías, principalmente a través de la implantación de Intranets en lasempresas, ha multiplicado exponencialmente los defectos típicos de nuestra Comunicaciónempresarial”.

Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico coninformación verdadera y a tiempo de lo que sucede en la organización bajo análisis, estaobtención de la información debe ser planeada en forma estructurada para garantizar unageneración de datos que ayuden posteriormente su análisis. Es un ciclo continuo en el cual seplanea la recolección de datos, se analiza, se retroalimentan y se da un seguimiento.La recolección de datos puede darse de varias maneras:

Cuestionarios Entrevistas Observación Información documental (archivo)

Toda la información tiene un valor en si misma, el método de obtención de información esta

directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el usode cada una de estas herramientas, su utilidad dependerá del objetivo que se busque y los mediospara llevar acabo esa recolección de datos en tiempo y forma para su posterior análisis.

III.III. Evaluación de recursos Humanos.

“La evaluación está presente en todo momento de la ejecutoria de un empleado dentro de unaorganización”. Desde la entrevista inicial, la valoración del desempeño, hasta la carta derecomendación cuando se desea mover a otro empleo, las personas están siendo evaluadas.Las organizaciones suelen realizar una valoración del rendimiento con fines administrativos y de

desarrollo.Proceso técnico a través del cual, en forma integral, sistemática y continua realizada por parte delos jefes inmediatos.Se valora el conjunto de actitudes, rendimientos y comportamiento laboral del colaborador en eldesempeño de su cargo y cumplimiento de sus funciones, en términos de oportunidad, cantidad ycalidad de los servicios producidos.La información obtenida de la evaluación de los colaboradores, sirve también para determinarlas necesidades de formación y desarrollo, tanto para el uso individual como de la organización.

Otro uso importante de la evaluación del personal, es el fomento de la mejora de resultados. Eneste aspecto, se utilizan para comunicar a los colaboradores como están desempeñando suspuestos y proponer los cambios necesarios del comportamiento, actitud, habilidades, o

conocimientos.

La evaluación se hace por una razón. La enciclopedia mediana y pequeña empresa enfatiza unaserie de objetivos sobre la evaluación, como:

1. Mejorar el desarrollo y comunicación de los trabajadores.2. Desarrollar y mejorar el conjunto de los sistemas de la organización.


35/77



3. Logra un mayor ajuste persona/puesto y en el conocimiento profesional del propioevaluado.

Los criterios de evaluación son de importancia consideración para ser aplicados en las diversasorganizaciones:

Se sugieren que se pueden establecer según dos modelos:

1. En función de los objetivos: Consiste en la identificación por parte del jefe y empleado de lasáreas de responsabilidad y los indicadores para medir resultados.

2. En función de los factores de valor: Se trata de evaluar el desempeño según el perfil socio-profesional (habilidades, capacidades, actitudes, organización, resolución de problemas, toma dedecisiones, etc.) de cada puesto de trabajo.

Existen varios métodos para evaluar, como:

1. Clasificación: Se trata de elaborar una lista de los evaluados en orden de sucesión según suámbito profesional.

2. Comparación: Una vez agrupados los empleados según puestos de trabajo o áreas, se efectúaun análisis comparativo entre los individuos del mismo grupo.

3. Curva de rendimiento: Se ubica a los empleados según su rendimiento en la partecorrespondiente de una curva.

4. Listados de características: Se confecciona una lista con las características y los objetivos decada puesto de trabajo y grado de ejecución de los empleados.

5. Evaluación abierta: Consiste dejar abierto el campo de los aspectos que se deben evaluar.

6. Evaluación del personal jerárquico: Puede hacerse de manera directa, a través de unprotocolo de preguntas que los empleados contestarán.

7. Autovaloración: Puede ser estructurada o abierta. En el primer caso se pasará un protocoloque el empleado deberá cumplimentar, mientras que en el segundo caso éste tendrá que exponercuáles son a su parecer sus logros y cuáles son sus puntos débiles.

8. Evaluación entre áreas: Cada miembro de los sectores dentro de una organización evaluará alos empleados del otro departamento.

Existen también varios obstáculos para medir eficazmente el rendimiento, entre estos:

1. Los errores y el sesgo de la persona que realiza la evaluación.2. La influencia de los gustos.3. La política de la organización.4. El enfoque hacia el individuo o hacia el grupo.5. Las cuestiones legales.


36/77



Existen varias claves para los directivos sobre como informar a los empleados de surendimiento, entre estas:

Documentar el rendimiento del empleado. Solicite la participación del empleado.

Céntrese en los comportamientos.

Sea específico y de tiempo. Dirija su información sólo a facetas de la situación de rendimiento que el empleado puede

cambiar. Informe a los trabajadores sobre cualquier deficiencia. Desarrolle un plan de acción y otro de seguimiento. Revise su propio rendimiento. (Como se ha relacionado con el empleado)

Presenta varias claves que el empleado puede utilizar para obtener información sobre su

rendimiento personal, entre estas:

En el momento oportuno pida a su director y a los demás que contribuyan a valorar surendimiento.

Mantenga un registro de sus logros y de sus fallos. Invite a su director/evaluador a ofrecer sus sugerencias para mejorar. Si recibe comentarios críticos no discuta ni se ponga sensible. Analice como puede

mejorar. Distinga entre acción e información. Escuche la información y aprenda todo lo que pueda

de ella. Distinga entre usted y su rendimiento. Recuerde que su valor como ser humano no está

puesto en duda. Gestión del rendimiento: Como punto final se puede mencionar la valoración de la gestión del rendimiento. El

objetivo de la evaluación radica en gestionar y mejorar el rendimiento de los empleados. Este hecho enfatiza el que los directivos tienen que analizar las causas de los problemas

relacionados al rendimiento, dirigir la atención a esas causas, desarrollar planes de accióny facilitar el que los empleados encuentren soluciones, así como utilizar una comunicacióncentrada en el rendimiento.

Para mejorar el rendimiento se recomienda:

Analizar las causas de los problemas de rendimiento. Atender directamente las causas de los problemas. Desarrollar un plan de acción para facilitar que los trabajadores alcancen una solución. Comunicación directamente sobre el rendimiento e información eficaz.


37/77



III.IV. Entrevistas con personal de informática.

Definición

¿Que es la entrevista en auditoria?

Método de recolección de información a través de un conjunto de preguntas y observaciones. Laentrevista es la base para la recolección e interpretación de información en la auditoría.

Entrevistas con el personal de informática

La entrevista es una de las actividades personales más importante del auditor; en ellas, ésterecoge más información, y mejor matizada, que la proporcionada por medios propios puramentetécnicos o por las respuestas escritas a cuestionarios.La entrevista entre auditor y auditado se basa fundamentalmente en el concepto deinterrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditorinformático experto entrevista al auditado siguiendo un cuidadoso sistema previamente

establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensaposible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas,también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir unapreparación muy elaborada y sistematizada, y que es diferente para cada caso particular.

PARA FORMULAR LAS PREGUNTASHAGA PREGUNTAS UTILIZANDO LOS 6 AMIGOS DE AUDITOR.

EN CUANTO A LAS PREGUNTAS

Deben dirigirse a la información relevante. No deben sugerir respuestas. No deben contener expresividad o implicaciones emocionales. Usar palabras coloquiales. Se incorporan en la conversación. Se debe evitar hacer un ejercicio de preguntas y respuestas.

¿QUÉ

¿POR

¿CUÁNDO¿DÓNDE

¿CÓMO

¿QUIÉN


38/77



Son útiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica lasrespuestas del auditado (no debe estar presente) y procede al levantamiento de la informacióncorrespondiente.

La evaluación de las Checklists, las pruebas realizadas, la información facilitada por el personal deinformática y el análisis de todos los datos disponibles, configuran todos los elementos necesariospara calcular y establecer los resultados de la auditoria, que se materializarán en el informe final.

III.V. Entrevistas con el personal usuario.

La entrevista se deberá llevar a cabo para comparar datos proporcionados y la situación de ladirección de informática desde el punto de vista de los usuarios.

OBJETIVO DE LA ENTREVISTA:Es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como ladifusión de las aplicaciones de la computadora y de los sistemas en operación.

Se deberán hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunosusuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso delequipo.

Desde el punto de vista del usuario los sistemas deben:1) Cumplir con los requerimientos totales del usuario.2) Cubrir todos los controles necesarios.3) Serán fácilmente modificables.4) Para que un sistema cumpla con los requerimientos del usuario se necesita:5) Una comunicación completa entre usuario y el responsable del desarrollo del sistema.6) Definir la calidad de la información que será procesada, estableciéndose los riesgos de la

misma y la forma de minimizarlos.7) Esta etapa habrá de ser cuidadosamente verificada por el auditor interno especialistaen sistemas y por el auditor en informática, para comprobar que se logró una adecuadacomprensión de los requerimientos del usuario y un control satisfactorio de información.

A continuación se presenta una guía de cuestionario para aplicarse durante la entrevista con elusuario.

1.¿Considera que la dirección de informática le da los resultados esperados?SI( ) NO( ) ¿Por qué?

2.¿Cómo considera usted, en general, el servicio proporcionado por la dirección de informática?1. Deficiente

2. Aceptable ( ) ¿Por qué?3. Satisfecho4. Excelente

3.¿Cubre sus necesidades de procesamiento?1. No las cubre2. Parcialmente ( ) ¿Porqué?3. La mayor parte4. Todas


39/77



4.¿Cómo considera la calidad del procesamiento que se le proporciona?1. Deficiente2. Aceptable ( ) ¿Porqué?3. Satisfecho4. Excelente

III.VI. Situación presupuestal y financiera en la auditoria informática.

Se deberá obtener información sobre la situación del personal del área, para lo cual se puedeutilizar la tabla de recursos humanos y la tabla de proyección de recursos humanos.Se presenta un ejemplo de cuestionario para obtener información sobre los siguientes aspectos:

DESEMPEÑO Y COMPORTAMIENTO

1) ¿Es suficiente el número de personal para el desarrollo de las funciones del área?

SI NO2) ¿Se deja de realizar alguna actividad por falta de personal?

SI NO3) Es adecuada la calidad del trabajo del personal?

SI NO, por qué

CAPACITACION

Uno de los puntos que se deben evaluar con mas detalle dentro del área de informática esla capacitación; esto se debe al proceso cambiante y al desarrollo de nuevas tecnologíasdel área.

1) Se desarrollan programas de capacitación para el personal del área?SI NO, Por qué

Recomendación:

Solicite el plan de capacitación para el presente año.

ORGANIZACIÓN EN EL TRABAJO

1 ¿Se prevén las necesidades del personal con anterioridad?

En calidad; SI NOEn cantidad; SI NO

¿Está prevista la sustitución del personal clave?SI NO


40/77



La administración de recursos financieros supone un control presupuestal y significa llevar a cabotoda la función de tesorería (ingresos y egresos). Es decir, todas las salidas o entradas de efectivodeben estar previamente controladas por el presupuesto. Para estar en condiciones de evitarfallas y de aplicar correcciones oportunamente, corresponde al área financiera realizar losregistros contables necesarios.

Estos registros contables deben corresponder al presupuesto efectuándose por unidadorganizacional.

La administración financiera consiste en:Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cadaunidad orgánica de la empresa que se trate, con el propósito de que se ejecuten las tareas, seeleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes oservicios:

Presupuestos Auditoria Informática

El estudio del presupuesto de seguridad evaluando los medios en función del sevicio que prestan yconforme a la probabilidad de fallo que pueden tener. También se examinará la seguridad delmaterial suplementario y los formularios que contienen talonarios y letras.La conservación se evalúa a partir de los contratos y de los informes de indisponibilidad. Puede serpreventiva (mantenimiento) o curativa (restauración).

Recursos Financieros y Materiales Auditoria Informática

Recursos FinancierosLa administración de recursos financieros supone un control presupuestal y significa llevar a cabo

toda la función de tesorería (ingresos y egresos). Es decir, todas las salidas o entradas de efectivodeben estar previamente controladas por el presupuesto.Para estar en condiciones de evitar fallas y de aplicar correcciones oportunamente, corresponde alárea financiera realizar los registros contables necesarios.Estos registros contables deben corresponder al presupuesto efectuándose por unidadorganizacional.La administración financiera consiste en:Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cadaunidad orgánica de la empresa que se trate, con el propósito de que se ejecuten las tareas, seeleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes oservicios.

Recursos MaterialesEstos resultan fundamentales para el éxito o fracaso de una gestión administrativa, lo básico en suadministración es lograr el equilibrio en su utilización. Tan negativo es para la empresa en suescasez como su abundancia. Cualquiera de las dos situaciones resulta antieconómica; de ahí quela administración de recursos materiales haya cobrado tanta importancia actualmente.La administración de recursos materiales consiste en:

http://www.mitecnologico.com/Main/PresupuestosAuditoriaInformaticahttp://www.mitecnologico.com/Main/RecursosFinancierosYMaterialesAuditoriaInformaticahttp://www.mitecnologico.com/Main/RecursosFinancierosYMaterialesAuditoriaInformaticahttp://www.mitecnologico.com/Main/PresupuestosAuditoriaInformatica


41/77



Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo, y en la cantidady calidad requerida, los bienes y servicios para cada unidad orgánica de la empresa de que setrate, con el propósito de que se ejecuten las tareas y de elevar la eficiencia en las operaciones.


42/77



UNIDAD IV


43/77



IV.

EVALUACIÓN DE LA SEGURIDAD

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser

confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada apersonas que hagan mal uso de esta.También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcialde la actividad computacional.Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puedeprovocar retrasos sumamente costosos.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica.La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a lade los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes,robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos,procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a lainformación.

El sistema integral de seguridad debe comprender:

Elementos técnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto

redes como terminales. Aplicación de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos

Planeación de programas de desastre y su prueba.

IV.I. GENERALIDADES DE SEGURIDAD AREA FÍSICA

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistemainformáticoConsiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial “-

Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputoasí como los medios de acceso remoto al y desde el mismo; implementados para proteger elhardware y medios de almacenamiento de datos.

Tipos de Desastres

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por elhombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son: Desastres naturales, incendios accidentales tormentas e inundaciones.


44/77



Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

Acciones Hostiles Robo

Las computadoras son posesiones valiosas de las empresas y están expuestas, de la mismaforma que lo están las piezas de stock e incluso el dinero.El software, es una propiedad muy fácilmente sustraíble y las cintas y discos sonfácilmente copiados sin dejar ningún rastro

Fraude Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, lascomputadoras han sido utilizadas como instrumento para dichos fines.

Sabotaje El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresasque han intentado implementar programas de seguridad de alto nivel, han encontradoque la protección contra el saboteador es uno de los retos más duros.

Control de Accesos Utilización de Guardias

Utilización de Detectores de Metales Utilización de Sistemas Biométricos

Verificación Automática de Firmas (VAF) Seguridad con Animales Protección Electrónica

IV.II SEGURIDAD LÓGICA Y CONFIDENCIAL

Seguridad lógica:La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar laintegridad de la información almacenada en una computadora, así como de controlar el mal uso

de la información.

Objetivos de la seguridad lógica.

Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan

modificar los programas ni los archivos que no correspondan. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el

procedimiento correcto. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada

y no a otro. Que la información recibida sea la misma que ha sido transmitida.

Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisión de información.


45/77



Estos controles reducen el riesgo de caer en situaciones adversas.La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a laOrganización:

Cambio de los datos antes o cuando se le da entrada a la computadora.

Copias de programas y / o información.

Código oculto en un programa. Entrada de virus.

El sistema integral de seguridad debe comprender:

Elementos administrativos. Definición de una política de seguridad. Organización y división de responsabilidades.

Uno de los puntos más importantes a considerar para poder definir la seguridad de un sistema esel grado de actuación que puede tener un usuario dentro de un sistema

Propietario Administrador Usuario principal Usuario de consulta Usuario de explotación Usuario de auditoria Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de

información se debe tomar en cuenta lo siguiente:

La integridad es responsabilidad de los individuos autorizados para modificar datos oprogramas o de los usuarios a los que se otorgan accesos a aplicaciones de sistema o

funciones fuera de sus responsabilidades normales de trabajo . La confidencialidad es responsabilidad de los individuos autorizados para consultar

para bajar archivos importantes para microcomputadoras.

La disponibilidad es responsabilidad de individuos autorizados para alterar losparámetros de control de acceso al sistema operativo, al sistema manejador de basede datos, al monitoreo de teleproceso o al software de telecomunicaciones.

Claves de acceso.Se implementan en el SO sobre los sistemas de aplicación en BD, en un paquete especifico deseguridad o cualquier otro utilitario. Protegen al NOS, al sistema de aplicación y otros software dela utilización o modificación no autorizada, mantienen la integridad de la información y laresguardan de accesos no autorizados.El National Institute for Standars and Techn ha resumido los siguientes estándares de seguridadmínimos en cualquier sistema:

Identificación y Autentificación Se denomina Identificación al momento en que el usuario se da a conocer en elsistema; y Autenticación a la verificación que realiza el sistema sobre estaidentificación.


46/77



Existen cuatro tipos de técnicas que permiten la autenticación de la identidad delusuario, pueden ser utilizadas individualmente o combinadas.

Algo que solamente el individuo conoce: por ejemplo una clave secreta de accesoo password, una clave criptográfica, un número de identificación personal o PIN,etc.Algo que la persona posee: por ejemplo una tarjeta magnética.Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellasdigitales o la voz.Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.Teniendo en cuenta que las claves son frecuentemente olvidadas las tarjetas sepierdan o dañen, por ello es conveniente que sean identificados y autenticadosuna vez, esto se denomina single login o sincronización de passwords.

Roles El acceso a la información también puede controlarse a través de la función o roldel usuario que requiere dicho acceso. (Porgramador, loder del proyecto, gerentede un area usuaria, administrador, etc.)

Transacciones También pueden implementarse controles a través de las transacciones, porejemplo solicitando una clave al requerir el procesamiento de una transaccióndeterminada.

Limitaciones a los Servicios Estos controles se refieren a las restricciones que dependen de parámetrospropios de la utilización de la aplicación o preestablecidos por el administrador delsistema. Ej. (En la organización se disponga de licencias para la utilizaciónsimultánea de un determinado producto de software para cinco personas, endonde exista un control a nivel sistema que no permita la utilización del productoa un sexto usuario. )

Modalidad de Acceso Se refiere al modo de acceso que se permite al usuario sobre los recursos y a lainformación. Esta modalidad puede ser:

Lectura (Puede leer o ver la informacion sin alterar, puede ser copiada) Escritura(Permite agregar datos, modificar o borrar informacion) Ejecución(Permite ejecutar programas) Borrado(Permite eliminar recursos del sistemas) Todas las anteriores modalidades de acceso especiales Creación(Permite crear nuevos archivos , registros, campos) Búsqueda(Permite listar os archivos de un directorio determinado)

Ubicación y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicaciónfísica o lógica de los datos o personas. En cuanto a los horarios, este tipo decontroles permite limitar el acceso de los usuarios a determinadas horas de día o adeterminados días de la semana. De esta forma se mantiene un control másrestringido de los usuarios y zonas de ingreso. Siempre deben ir acompañados dealguno de los controles anteriormente mencionados.

Control de Acceso Interno o Palabras Claves (Passwords)


47/77



o Encriptacióno

Antologia de Auditoria

Documents

Transcript of Antologia de Auditoria