SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
Unidad I
1. 1
ELEMENTOS DE LA AUDITORIA DE SISTEMAS
Delitos Informáticos
Concepto:
El delito informático implica actividades criminales que en un primer momento los países han tratado de
encuadrar en figurar típicas de carácter tradicional, tales como robos o hurto, fraudes, falsificaciones,
perjuicios, estafa, sabotaje, etcétera. Sin embargo, debe destacarse que el uso de las técnicas
informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado
a su vez la necesidad de regulación por parte del derecho.
Las personas que cometen los "Delitos Informáticos" son aquellas que poseen ciertas características que
no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades
para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en
lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de
los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales
que faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores
de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los
delitos cometidos. De esta forma, la persona que "ingresa" en un sistema informático sin intenciones
delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas
de sus clientes.
Características de los Delitos Informáticos:
1. Son conductas criminales de cuello blanco, en tanto que un determinado número de personas
con ciertos conocimientos (técnicos especializados) puede llegar a cometerlos.
2. Son acciones ocupacionales, ya que muchas veces se llevan a cabo cuando el sujeto está
trabajando.
3. Son acciones de oportunidad, ya que se aprovecha una acción creada o altamente intensificada
en el mundo de funciones y organizaciones del sistema tecnológico y económico.
4. Provocan serias pérdidas económicas, ya que casi siempre producen “beneficios” de más de
cinco cifras a aquellos que las realizan.
5. Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundos y sin una necesaria
presencia física pueden llegar a consumarse.
6. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación
por parte del Derecho.
7. Son muy sofisticados y relativamente frecuentes en el ámbito familiar.
8. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.
CLASIFICACION
TIPOS DE DELITOS INFORMATICOS RECONOCIDOS POR NACIONES UNIDAS.
CLASIFICACION SEGÚN LA ACTIVIDAD INFORMATICA******
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
2. 2
DELITO CARACTERISTICAS
Fraudes cometidos mediante manipulación de computadoras.
Este tipo de fraude informático conocido también como sustracción de datos,
Manipulación representa el delito informático más común ya que es fácil de cometer y difícil de
de los datos de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede
entrada realizarlo cualquier persona que tenga acceso a las funciones normales de
procesamiento de datos en la fase de adquisición de los mismos.
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente
debe tener conocimientos técnicos concretos de informática. Este delito consiste en
modificar los programas existentes en el sistema de computadoras o en insertar nuevos
La
programas o nuevas rutinas. Un método común utilizado por las personas que tienen
manipulación
conocimientos especializados en programación informática es el denominado Caballo
de programas
de Troya, que consiste en insertar instrucciones de computadora de forma encubierta
en un programa informático para que pueda realizar una función no autorizada al
mismo tiempo que su función normal.
Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo
más común es el fraude de que se hace objeto a los cajeros automáticos mediante la
Manipulación falsificación de instrucciones para la computadora en la fase de adquisición de datos.
de los datos de Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin
salida embargo, en la actualidad se usan ampliamente equipo y programas de computadora
especializados para codificar información electrónica falsificada en las bandas
magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
Fraude aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica
efectuado por especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas"
manipulación apenas perceptibles, de transacciones financieras, se van sacando repetidamente de
informática una cuenta y se transfieren a otra.
Falsificaciones informáticas.
Como objeto Cuando se alteran datos de los documentos almacenados en forma computarizada.
Las computadoras pueden utilizarse también para efectuar falsificaciones de
documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras
computarizadas en color a base de rayos láser surgió una nueva generación de
Como
falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias
instrumentos
de alta resolución, pueden modificar documentos e incluso pueden crear documentos
falsos sin tener que recurrir a un original, y los documentos que producen son de tal
calidad que sólo un experto puede diferenciarlos de los documentos auténticos.
Daños o modificaciones de programas o datos computarizados.
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de
Sabotaje
computadora con intención de obstaculizar el funcionamiento normal del sistema. Las
informático
técnicas que permiten cometer sabotajes informáticos son:
Es una serie de claves programáticas que pueden adherirse a los programas legítimos y
Virus propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por
conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
3. 3
utilizando el método del Caballo de Troya.
Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de
procesamiento de datos o para modificar o destruir los datos, pero es diferente del
virus porque no puede regenerarse. En términos médicos podría decirse que un gusano
es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las
Gusanos
consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de
un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede
dar instrucciones a un sistema informático de un banco para que transfiera
continuamente dinero a una cuenta ilícita.
Exige conocimientos especializados ya que requiere la programación de la destrucción o
modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus
o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por
eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que
Bomba lógica
poseen el máximo potencial de daño. Su detonación puede programarse para que
o cronológica
cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya
marchado el delincuente. La bomba lógica puede utilizarse también como instrumento
de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde
se halla la bomba.
Acceso no
autorizado a
Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas
servicios y
informáticos (hackers) hasta el sabotaje o espionaje informático.
sistemas
informáticos
El acceso se efectúa a menudo desde un lugar exterior, situado en la red de
telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a
continuación. El delincuente puede aprovechar la falta de rigor de las medidas de
Piratas
seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes
informáticos o
de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos
hackers
se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en
los sistemas en los que los usuarios pueden emplear contraseñas comunes o
contraseñas de mantenimiento que están en el propio sistema.
Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos.
Reproducción
Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han
no autorizada
sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales
de programas
con el tráfico de esas reproducciones no autorizadas a través de las redes de
informáticos
telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no
de protección
autorizada de programas informáticos no es undelito informático debido a que el bien
legal
jurídico a tutelar es la propiedad intelectual.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
4. 4
LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS
Gaceta Oficial Nº 37.313 del 30 de octubre de 2001
LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS
TITULO I
DISPOSICIONES GENERALES
Artículo 1 Objeto de la Ley La presente Ley tiene por objeto la protección integral de los sistemas que
utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra
tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas
tecnologías, en los términos previstos en esta Ley.
TITULO II DE LOS DELITOS
Capítulo I De los Delitos Contra los Sistemas que Utilizan Tecnologías de Información
Artículo 6 Acceso Indebido Toda persona que sin la debida autorización o excediendo la que hubiere
obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será
penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.
Artículo 7 Sabotaje o Daño a Sistemas Todo aquel que con intención destruya, dañe, modifique o realice
cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de información
o cualesquiera de los componentes que lo conforman, será penado con prisión de cuatro a ocho años y
multa de cuatrocientas a ochocientas unidades tributarias.
Incurrirá en la misma pena quien destruya, dañe, modifique o inutilice la data o la información contenida
en cualquier sistema que utilice tecnologías de información o en cualesquiera de sus componentes.
La pena será de cinco a diez años de prisión y multa de quinientas a mil unidades tributarias, si los
efectos indicados en el presente artículo se realizaren mediante la creación, introducción o transmisión,
por cualquier medio, de un virus o programa análogo.
Artículo 8 Favorecimiento Culposo del Sabotaje o Daño Si el delito previsto en el artículo anterior se
cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se
aplicará la pena correspondiente según el caso, con una reducción entre la mitad y dos tercios.
Artículo 9 Acceso Indebido o Sabotaje a Sistemas Protegidos Las penas previstas en los artículos
anteriores se aumentarán entre una tercera parte y la mitad, cuando los hechos allí previstos o sus
efectos recaigan sobre cualesquiera de los componentes de un sistema que utilice tecnologías de
información protegido por medidas de seguridad, que esté destinado a funciones públicas o que
contenga información personal o patrimonial de personas naturales o jurídicas.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
5. 5
Artículo 10 Posesión de Equipos o Prestación de Servicios de Sabotaje Quien importe, fabrique,
distribuya, venda o utilice equipos, dispositivos o programas; con el propósito de destinarlos a vulnerar o
eliminar la seguridad de cualquier sistema que utilice tecnologías de información; o el que ofrezca o
preste servicios destinados a cumplir los mismos fines, será penado con prisión de tres a seis años y
multa de trescientas a seiscientas unidades tributarias.
Artículo 11 Espionaje Informático Toda persona que indebidamente obtenga, revele o difunda la data o
información contenidas en un sistema que utilice tecnologías de información o en cualesquiera de sus
componentes, será penada con prisión de tres a seis años y multa de trescientas a seiscientas unidades
tributarias.
La pena se aumentará de un tercio a la mitad, si el delito previsto en el presente artículo se cometiere
con el fin de obtener algún tipo de beneficio para sí o para otro.
El aumento será de la mitad a dos tercios, si se pusiere en peligro la seguridad del Estado, la confiabilidad
de la operación de las instituciones afectadas o resultare algún daño para las personas naturales o
jurídicas, como consecuencia de la revelación de las informaciones de carácter reservado.
Artículo 12 Falsificación de Documentos Quien, a través de cualquier medio, cree, modifique o elimine
un documento que se encuentre incorporado a un sistema que utilice tecnologías de información; o
cree, modifique o elimine datos del mismo; o incorpore a dicho sistema un documento inexistente, será
penado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias.
Cuando el agente hubiere actuado con el fin de procurar para sí o para otro algún tipo de beneficio, la
pena se aumentará entre un tercio y la mitad.
El aumento será de la mitad a dos tercios si del hecho resultare un perjuicio para otro.
Capítulo II
De los Delitos Contra la Propiedad
Artículo 13 Hurto Quien a través del uso de tecnologías de información, acceda, intercepte, interfiera,
manipule o use de cualquier forma un sistema o medio de comunicación para apoderarse de bienes o
valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin de
procurarse un provecho económico para sí o para otro, será sancionado con prisión de dos a seis años y
multa de doscientas a seiscientas unidades tributarias.
Artículo 14 Fraude Todo aquel que, a través del uso indebido de tecnologías de información, valiéndose
de cualquier manipulación en sistemas o cualquiera de sus componentes, o en la data o información en
ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que
permita obtener un provecho injusto en perjuicio ajeno, será penado con prisión de tres a siete años y
multa de trescientas a setecientas unidades tributarias.
Artículo 15 Obtención Indebida de Bienes o Servicios Quien, sin autorización para portarlos, utilice una
tarjeta inteligente ajena o instrumento destinado a los mismos fines, o el que utilice indebidamente
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
6. 6
tecnologías de información para requerir la obtención de cualquier efecto, bien o servicio; o para
proveer su pago sin erogar o asumir el compromiso de pago de la contraprestación debida, será
castigado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.
Artículo 16 Manejo Fraudulento de Tarjetas Inteligentes o Instrumentos Análogos Toda persona que por
cualquier medio, cree, capture, grabe, copie, altere, duplique o elimine la data o información contenidas
en una tarjeta inteligente o en cualquier instrumento destinado a los mismos fines; o la persona que,
mediante cualquier uso indebido de tecnologías de información, cree, capture, duplique o altere la data
o información en un sistema, con el objeto de incorporar usuarios, cuentas, registros o consumos
inexistentes o modifique la cuantía de éstos, será penada con prisión de cinco a diez años y multa de
quinientas a mil unidades tributarias.
En la misma pena incurrirá quien, sin haber tomado parte en los hechos anteriores, adquiera,
comercialice, posea, distribuya, venda o realice cualquier tipo de intermediación de tarjetas inteligentes
o instrumentos destinados al mismo fin, o de la data o información contenidas en ellos o en un sistema.
Artículo 17 Apropiación de Tarjetas Inteligentes o Instrumentos Análogos Quien se apropie de una
tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que
haya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a una
persona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años y
multa de diez a cincuenta unidades tributarias.
La misma pena se impondrá a quien adquiera o reciba la tarjeta o instrumento a que se refiere el
presente artículo.
Artículo 18 Provisión Indebida de Bienes o Servicios Todo aquel que, a sabiendas de que una tarjeta
inteligente o instrumento destinado a los mismos fines, se encuentra vencido, revocado; se haya
indebidamente obtenido, retenido, falsificado, alterado; provea a quien los presente de dinero, efectos,
bienes o servicios, o cualquier otra cosa de valor económico será penado con prisión de dos a seis años y
multa de doscientas a seiscientas unidades tributarias.
Artículo 19 Posesión de Equipo para Falsificaciones Todo aquel que sin estar debidamente autorizado
para emitir, fabricar o distribuir tarjetas inteligentes o instrumentos análogos, reciba, adquiera, posea,
transfiera, comercialice, distribuya, venda, controle o custodie cualquier equipo de fabricación de
tarjetas inteligentes o de instrumentos destinados a los mismos fines, o cualquier equipo o componente
que capture, grabe, copie o transmita la data o información de dichas tarjetas o instrumentos, será
penado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias.
Capítulo III
De los Delitos Contra la Privacidad de las Personas y de las
Comunicaciones
Artículo 20 Violación de la Privacidad de la Data o Información de Carácter Personal Toda persona que
intencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
7. 7
su dueño, la data o información personales de otro o sobre las cuales tenga interés legítimo, que estén
incorporadas en un computador o sistema que utilice tecnologías de información, será penada con
prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.
La pena se incrementará de un tercio a la mitad si como consecuencia de los hechos anteriores resultare
un perjuicio para el titular de la data o información o para un tercero.
Artículo 21 Violación de la Privacidad de las Comunicaciones Toda persona que mediante el uso de
tecnologías de información, acceda, capture, intercepte, interfiera, reproduzca, modifique, desvíe o
elimine cualquier mensaje de datos o señal de transmisión o comunicación ajena, será sancionada con
prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.
Artículo 22 Revelación Indebida de Data o Información de Carácter Personal Quien revele, difunda o
ceda, en todo o en parte, los hechos descubiertos, las imágenes, el audio o, en general, la data o
información obtenidos por alguno de los medios indicados en los artículos 20 y 21, será sancionado con
prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.
Si la revelación, difusión o cesión se hubieren realizado con un fin de lucro, o si resultare algún perjuicio
para otro, la pena se aumentará de un tercio a la mitad.
Capítulo IV
De los Delitos Contra Niños, Niñas o Adolescentes
Artículo 23 Difusión o Exhibición de Material Pornográfico Todo aquel que, por cualquier medio que
involucre el uso de tecnologías de información, exhiba, difunda, transmita o venda material pornográfico
o reservado a personas adultas, sin realizar previamente las debidas advertencias para que el usuario
restrinja el acceso a niños, niñas y adolescentes, será sancionado con prisión de dos a seis años y multa
de doscientas a seiscientas unidades tributarias.
Artículo 24 Exhibición Pornográfica de Niños o Adolescentes Toda persona que por cualquier medio que
involucre el uso de tecnologías de información, utilice a la persona o imagen de un niño, niña o
adolescente con fines exhibicionistas o pornográficos, será penada con prisión de cuatro a ocho años y
multa de cuatrocientas a ochocientas unidades tributarias.
Capítulo V
De los Delitos Contra el Orden Económico
Artículo 25 Apropiación de Propiedad Intelectual Quien sin autorización de su propietario y con el fin de
obtener algún provecho económico, reproduzca, modifique, copie, distribuya o divulgue un software u
otra obra del intelecto que haya obtenido mediante el acceso a cualquier sistema que utilice tecnologías
de información, será sancionado con prisión de uno a cinco años y multa de cien a quinientas unidades
tributarias.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
8. 8
Artículo 26 Oferta Engañosa Toda persona que ofrezca, comercialice o provea de bienes o servicios,
mediante el uso de tecnologías de información, y haga alegaciones falsas o atribuya características
inciertas a cualquier elemento de dicha oferta, de modo que pueda resultar algún perjuicio para los
consumidores, será sancionada con prisión de uno a cinco años y multa de cien a quinientas unidades
tributarias, sin perjuicio de la comisión de un delito más grave.
TITULO III
DISPOSICIONES COMUNES
Artículo 27 Agravantes La pena correspondiente a los delitos previstos en la presente Ley se
incrementará entre un tercio y la mitad: 1. Si para la realización del hecho se hubiere hecho uso de
alguna contraseña ajena indebidamente obtenida, quitada, retenida o que se hubiere perdido.
2. Si el hecho hubiere sido cometido mediante el abuso de la posición de acceso a data o información
reservada, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función.
Artículo 28 Agravante Especial La sanción aplicable a las personas jurídicas por los delitos cometidos en
las condiciones señaladas en el artículo 5 de esta Ley, será únicamente de multa, pero por el doble del
monto establecido para el referido delito.
Artículo 29 Penas Accesorias Además de las penas principales previstas en los capítulos anteriores, se
impondrán, necesariamente sin perjuicio de las establecidas en el Código Penal, las penas accesorias
siguientes:
1. El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otro
objeto que hayan sido utilizados para la comisión de los delitos previstos en los artículos 10 y 19 de la
presente Ley.
2. El trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos en los
artículos 6 y 8 de esta Ley.
3. La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión,
arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres (3)
años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido con
abuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado de
contraseñas, en razón del ejercicio de un cargo o función públicas, del ejercicio privado de una profesión
u oficio, o del desempeño en una institución o empresa privada, respectivamente.
4. La suspensión del permiso, registro o autorización para operar o para el ejercicio de cargos directivos y
de representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por
el período de tres (3) años después de cumplida o conmutada la sanción principal, si para cometer el
delito el agente se hubiere valido o hubiere hecho figurar a una persona jurídica.
Artículo 30 Divulgación de la Sentencia Condenatoria El Tribunal podrá además, disponer la publicación
o difusión de la sentencia condenatoria por el medio que considere más idóneo.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
9. 9
Artículo 31 Indemnización Civil En los casos de condena por cualquiera de los delitos previstos en los
Capítulos II y V de esta Ley, el Juez impondrá en la sentencia una indemnización en favor de la víctima
por un monto equivalente al daño causado. Para la determinación del monto de la indemnización
acordada, el juez requerirá del auxilio de expertos.
TITULO IV
DISPOSICIONES FINALES
Artículo 32 Vigencia La presente Ley entrará en vigencia, treinta días después de su publicación en la
Gaceta Oficial de la República Bolivariana de Venezuela.
Artículo 33 Derogatoria Se deroga cualquier disposición que colida con la presente Ley.
Auditor de Sistemas:
El auditor informático como encargado de la verificación y certificación de la informática dentro de las
organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y
la efectividad esperada. Debe tener conocimiento de los siguientes elementos:
Conocimientos Generales:
Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las
plataformas existentes en la organización.
Normas estándares para la auditoría interna.
Políticas organizacionales sobre la información y las tecnologías de la información.
Características de la organización respecto a la ética, estructura organizacional, tipo de
supervisión existente, compensaciones monetarias a los empleados, extensión de la presión
laboral sobre los empleados, historia de la organización, cambios recientes en la administración,
operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la
organización.
Mantenerse permanentemente actualizado sobre legislación, normas, actividad de la empresa u
organismo.
Herramientas:
Herramientas de control y verificación de la seguridad
Herramientas de monitoreo de actividades
Técnicas:
Técnicas de evaluación de riesgos
Muestreo
Calculo pos operación
Monitoreo de actividades
Recopilación de grandes cantidades de información
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
10. 10
Verificación de desviaciones en el comportamiento de la data.
Análisis e interpretación de evidencia
Aspectos Personales:
Manejo global de cada situación.
No ajustarse a pautas rígidas.
Receptividad mental.
Capacidad de análisis lógico.
Creatividad.
Espíritu de observación
Sensatez de juicio.
Manejo de las relaciones con los auditados.
Sentido común.
Espíritu docente.
Lograr la aceptación del auditado.
Independencia de criterio.
Conceptos de Auditoría de Sistemas
La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y
revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y
eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la
forma de actuación.
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión,
evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el
ambiente computacional y los sistemas.
A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:
Auditoría de Sistemas es:
La verificación de controles en el procesamiento de la información, desarrollo de sistemas e
instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
La actividad dirigida a verificar y juzgar información.
El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de
la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y
recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
11. 11
Daños
Salvaguarda activos Destrucción
Uso no autorizado
Robo
Mantiene Integridad de Información Precisa,
los datos Completa
Oportuna
Confiable
Alcanza metas Contribución de la
organizacionales función informática
Consume recursos Utiliza los recursos adecuadamente
eficientemente en el procesamiento de la información
Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático
(normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos,
procedimientos e informes relacionados con los sistemas de información computarizados, con el
fin de emitir una opinión profesional (imparcial) con respecto a:
Eficiencia en el uso de los recursos informáticos
Validez de la información
Efectividad de los controles establecidos
Tipos de Auditoría
Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero
diferente y peculiar resaltando su enfoque a la función informática.
Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que
Auditoría Financiera.
Entre los principales enfoques de Auditoría tenemos los siguientes:
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
12. 12
Financiera Veracidad de estados financieros
Preparación de informes de acuerdo a principios contables
Evalúa la eficiencia,
Operacional Eficacia
Economía
de los métodos y procedimientos que rigen un proceso de una empresa
Sistemas Se preocupa de la función informática
Fiscal Se dedica a observar el cumplimiento de
las leyes fiscales
Administrativa Analiza:
Logros de los objetivos de la Administración
Desempeño de funciones administrativas
Evalúa:
Calidad Métodos
Mediciones
Controles
de los bienes y servicios
Revisa la contribución a la sociedad
Social así como la participación en actividades
socialmente orientadas
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
13. 13
Auditoría Interna y Auditoría Externa:
La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa
auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna
existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier
momento.
Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre
remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor
distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de
la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La
auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales,
como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan
a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su
trabajo.
En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades
técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo
más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta
necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de
aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y
permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional
informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta
existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con
implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no
sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y
con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas.
Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios
de auditoría externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no
están suficientemente capacitados.
Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión
interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la
misma empresa.
Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la
misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener
una visión desde afuera de la empresa.
La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier
contenido o matiz “político” ajeno a la propia estrategia y política general de la empresa. La función
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
14. 14
auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por
encargo de la dirección o cliente.
Síntomas de Necesidad de una Auditoría Informática:
Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad.
Estos síntomas pueden agruparse en clases:
Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos
habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna
área o en la modificación de alguna Norma importante]
Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los
terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse
diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario
percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los
resultados de Aplicaciones críticas y sensibles.
Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal
son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las
estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería
prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido
por el mínimo indicio.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
15. 15
*Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar?
Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea
doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas
paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es
decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este
caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir
operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que
estipule la empresa, y después se van reciclando.
Objetivos Generales de una Auditoría de Sistemas
Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados
e implantados por el PAD
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la
recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr
los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones
Apoyo de función informática a las metas y objetivos de la organización
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
Minimizar existencias de riesgos en el uso de Tecnología de información
Decisiones de inversión y gastos innecesarios
Capacitación y educación sobre controles en los Sistemas de Información
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
16. 16
Justificativos para efectuar una Auditoría de Sistemas
Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de
Datos)
Desconocimiento en el nivel directivo de la situación informática de la empresa
Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos
e información.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificación informática
Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología,
asignación de tareas y adecuada administración del Recurso Humano
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de
efectuar el mantenimiento de los sistemas en producción
Auditoria de Sistemas
Prof. Zoraivett Rodriguez