Sunteți pe pagina 1din 16

1 ELEMENTOS DE LA AUDITORIA DE SISTEMAS Delitos Informticos Concepto: El delito informtico implica actividades criminales que en un primer momento los

pases han tratado de encuadrar en figurar tpicas de carcter tradicional, tales como robos o hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etctera. Sin embargo, debe destacarse que el uso de las tcnicas informticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado a su vez la necesidad de regulacin por parte del derecho. Las personas que cometen los "Delitos Informticos" son aquellas que poseen ciertas caractersticas que no presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informticos y generalmente por su situacin laboral se encuentran en lugares estratgicos donde se maneja informacin de carcter sensible, o bien son hbiles en el uso de los sistemas informatizados, an cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisin de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores de los delitos informticos son muy diversos y que lo que los diferencia entre s es la naturaleza de los delitos cometidos. De esta forma, la persona que "ingresa" en un sistema informtico sin intenciones delictivas es muy diferente del empleado de una institucin financiera que desva fondos de las cuentas de sus clientes. Caractersticas de los Delitos Informticos: 1. Son conductas criminales de cuello blanco, en tanto que un determinado nmero de personas con ciertos conocimientos (tcnicos especializados) puede llegar a cometerlos. 2. Son acciones ocupacionales, ya que muchas veces se llevan a cabo cuando el sujeto est trabajando. 3. Son acciones de oportunidad, ya que se aprovecha una accin creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnolgico y econmico. 4. Provocan serias prdidas econmicas, ya que casi siempre producen beneficios de ms de cinco cifras a aquellos que las realizan. 5. Ofrecen posibilidades de tiempo y espacio, ya que en milsimas de segundos y sin una necesaria presencia fsica pueden llegar a consumarse. 6. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulacin por parte del Derecho. 7. Son muy sofisticados y relativamente frecuentes en el mbito familiar. 8. Presentan grandes dificultades para su comprobacin, esto por su mismo carcter tcnico.

CLASIFICACION TIPOS DE DELITOS INFORMATICOS RECONOCIDOS POR NACIONES UNIDAS. CLASIFICACION SEGN LA ACTIVIDAD INFORMATICA****** Auditoria de Sistemas

Prof. Zoraivett Rodriguez

2 DELITO CARACTERISTICAS

Fraudes cometidos mediante manipulacin de computadoras. Este tipo de fraude informtico conocido tambin como sustraccin de datos, Manipulacin representa el delito informtico ms comn ya que es fcil de cometer y difcil de de los datos de descubrir. Este delito no requiere de conocimientos tcnicos de informtica y puede entrada realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisicin de los mismos. Es muy difcil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos tcnicos concretos de informtica. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos La programas o nuevas rutinas. Un mtodo comn utilizado por las personas que tienen manipulacin conocimientos especializados en programacin informtica es el denominado Caballo de programas de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informtico para que pueda realizar una funcin no autorizada al mismo tiempo que su funcin normal. Se efecta fijando un objetivo al funcionamiento del sistema informtico. El ejemplo ms comn es el fraude de que se hace objeto a los cajeros automticos mediante la Manipulacin falsificacin de instrucciones para la computadora en la fase de adquisicin de datos. de los datos de Tradicionalmente esos fraudes se hacan a base de tarjetas bancarias robadas, sin salida embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar informacin electrnica falsificada en las bandas magnticas de las tarjetas bancarias y de las tarjetas de crdito. Fraude efectuado por manipulacin informtica Como objeto aprovecha las repeticiones automticas de los procesos de cmputo. Es una tcnica especializada que se denomina "tcnica del salchichn" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Cuando se alteran datos de los documentos almacenados en forma computarizada. Las computadoras pueden utilizarse tambin para efectuar falsificaciones de documentos de uso comercial. Cuando empez a disponerse de fotocopiadoras computarizadas en color a base de rayos lser surgi una nueva generacin de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolucin, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que slo un experto puede diferenciarlos de los documentos autnticos. Es el acto de borrar, suprimir o modificar sin autorizacin funciones o datos de computadora con intencin de obstaculizar el funcionamiento normal del sistema. Las tcnicas que permiten cometer sabotajes informticos son: Es una serie de claves programticas que pueden adherirse a los programas legtimos y propagarse a otros programas informticos. Un virus puede ingresar en un sistema por conducto de una pieza legtima de soporte lgico que ha quedado infectada, as como Auditoria de Sistemas

Falsificaciones informticas.

Como instrumentos

Daos o modificaciones de programas o datos computarizados. Sabotaje informtico Virus

Prof. Zoraivett Rodriguez

3 utilizando el mtodo del Caballo de Troya. Se fabrica de forma anloga al virus con miras a infiltrarlo en programas legtimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En trminos mdicos podra decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruir puede dar instrucciones a un sistema informtico de un banco para que transfiera continuamente dinero a una cuenta ilcita.

Gusanos

Exige conocimientos especializados ya que requiere la programacin de la destruccin o modificacin de datos en un momento dado del futuro. Ahora bien, al revs de los virus o los gusanos, las bombas lgicas son difciles de detectar antes de que exploten; por eso, de todos los dispositivos informticos criminales, las bombas lgicas son las que Bomba lgica poseen el mximo potencial de dao. Su detonacin puede programarse para que o cronolgica cause el mximo de dao y para que tenga lugar mucho tiempo despus de que se haya marchado el delincuente. La bomba lgica puede utilizarse tambin como instrumento de extorsin y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba. Acceso no autorizado a servicios y sistemas informticos Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informticos (hackers) hasta el sabotaje o espionaje informtico.

El acceso se efecta a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuacin. El delincuente puede aprovechar la falta de rigor de las medidas de Piratas seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes informticos o de seguridad o en los procedimientos del sistema. A menudo, los piratas informticos hackers se hacen pasar por usuarios legtimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseas comunes o contraseas de mantenimiento que estn en el propio sistema. Reproduccin no autorizada de programas informticos de proteccin legal Esta puede entraar una prdida econmica sustancial para los propietarios legtimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el trfico de esas reproducciones no autorizadas a travs de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproduccin no autorizada de programas informticos no es undelito informtico debido a que el bien jurdico a tutelar es la propiedad intelectual.

Auditoria de Sistemas

Prof. Zoraivett Rodriguez

4 LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS Gaceta Oficial N 37.313 del 30 de octubre de 2001 LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS TITULO I DISPOSICIONES GENERALES Artculo 1 Objeto de la Ley La presente Ley tiene por objeto la proteccin integral de los sistemas que utilicen tecnologas de informacin, as como la prevencin y sancin de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologas, en los trminos previstos en esta Ley. TITULO II DE LOS DELITOS Captulo I De los Delitos Contra los Sistemas que Utilizan Tecnologas de Informacin Artculo 6 Acceso Indebido Toda persona que sin la debida autorizacin o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologas de informacin, ser penado con prisin de uno a cinco aos y multa de diez a cincuenta unidades tributarias. Artculo 7 Sabotaje o Dao a Sistemas Todo aquel que con intencin destruya, dae, modifique o realice cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologas de informacin o cualesquiera de los componentes que lo conforman, ser penado con prisin de cuatro a ocho aos y multa de cuatrocientas a ochocientas unidades tributarias. Incurrir en la misma pena quien destruya, dae, modifique o inutilice la data o la informacin contenida en cualquier sistema que utilice tecnologas de informacin o en cualesquiera de sus componentes. La pena ser de cinco a diez aos de prisin y multa de quinientas a mil unidades tributarias, si los efectos indicados en el presente artculo se realizaren mediante la creacin, introduccin o transmisin, por cualquier medio, de un virus o programa anlogo. Artculo 8 Favorecimiento Culposo del Sabotaje o Dao Si el delito previsto en el artculo anterior se cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicar la pena correspondiente segn el caso, con una reduccin entre la mitad y dos tercios. Artculo 9 Acceso Indebido o Sabotaje a Sistemas Protegidos Las penas previstas en los artculos anteriores se aumentarn entre una tercera parte y la mitad, cuando los hechos all previstos o sus efectos recaigan sobre cualesquiera de los componentes de un sistema que utilice tecnologas de informacin protegido por medidas de seguridad, que est destinado a funciones pblicas o que contenga informacin personal o patrimonial de personas naturales o jurdicas.

Auditoria de Sistemas

Prof. Zoraivett Rodriguez

5 Artculo 10 Posesin de Equipos o Prestacin de Servicios de Sabotaje Quien importe, fabrique, distribuya, venda o utilice equipos, dispositivos o programas; con el propsito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema que utilice tecnologas de informacin; o el que ofrezca o preste servicios destinados a cumplir los mismos fines, ser penado con prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. Artculo 11 Espionaje Informtico Toda persona que indebidamente obtenga, revele o difunda la data o informacin contenidas en un sistema que utilice tecnologas de informacin o en cualesquiera de sus componentes, ser penada con prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. La pena se aumentar de un tercio a la mitad, si el delito previsto en el presente artculo se cometiere con el fin de obtener algn tipo de beneficio para s o para otro. El aumento ser de la mitad a dos tercios, si se pusiere en peligro la seguridad del Estado, la confiabilidad de la operacin de las instituciones afectadas o resultare algn dao para las personas naturales o jurdicas, como consecuencia de la revelacin de las informaciones de carcter reservado. Artculo 12 Falsificacin de Documentos Quien, a travs de cualquier medio, cree, modifique o elimine un documento que se encuentre incorporado a un sistema que utilice tecnologas de informacin; o cree, modifique o elimine datos del mismo; o incorpore a dicho sistema un documento inexistente, ser penado con prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. Cuando el agente hubiere actuado con el fin de procurar para s o para otro algn tipo de beneficio, la pena se aumentar entre un tercio y la mitad. El aumento ser de la mitad a dos tercios si del hecho resultare un perjuicio para otro. Captulo II De los Delitos Contra la Propiedad Artculo 13 Hurto Quien a travs del uso de tecnologas de informacin, acceda, intercepte, interfiera, manipule o use de cualquier forma un sistema o medio de comunicacin para apoderarse de bienes o valores tangibles o intangibles de carcter patrimonial sustrayndolos a su tenedor, con el fin de procurarse un provecho econmico para s o para otro, ser sancionado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 14 Fraude Todo aquel que, a travs del uso indebido de tecnologas de informacin, valindose de cualquier manipulacin en sistemas o cualquiera de sus componentes, o en la data o informacin en ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno, ser penado con prisin de tres a siete aos y multa de trescientas a setecientas unidades tributarias. Artculo 15 Obtencin Indebida de Bienes o Servicios Quien, sin autorizacin para portarlos, utilice una tarjeta inteligente ajena o instrumento destinado a los mismos fines, o el que utilice indebidamente Auditoria de Sistemas

Prof. Zoraivett Rodriguez

6 tecnologas de informacin para requerir la obtencin de cualquier efecto, bien o servicio; o para proveer su pago sin erogar o asumir el compromiso de pago de la contraprestacin debida, ser castigado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 16 Manejo Fraudulento de Tarjetas Inteligentes o Instrumentos Anlogos Toda persona que por cualquier medio, cree, capture, grabe, copie, altere, duplique o elimine la data o informacin contenidas en una tarjeta inteligente o en cualquier instrumento destinado a los mismos fines; o la persona que, mediante cualquier uso indebido de tecnologas de informacin, cree, capture, duplique o altere la data o informacin en un sistema, con el objeto de incorporar usuarios, cuentas, registros o consumos inexistentes o modifique la cuanta de stos, ser penada con prisin de cinco a diez aos y multa de quinientas a mil unidades tributarias. En la misma pena incurrir quien, sin haber tomado parte en los hechos anteriores, adquiera, comercialice, posea, distribuya, venda o realice cualquier tipo de intermediacin de tarjetas inteligentes o instrumentos destinados al mismo fin, o de la data o informacin contenidas en ellos o en un sistema. Artculo 17 Apropiacin de Tarjetas Inteligentes o Instrumentos Anlogos Quien se apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que haya sido entregado por equivocacin, con el fin de retenerlo, usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, ser penado con prisin de uno a cinco aos y multa de diez a cincuenta unidades tributarias. La misma pena se impondr a quien adquiera o reciba la tarjeta o instrumento a que se refiere el presente artculo. Artculo 18 Provisin Indebida de Bienes o Servicios Todo aquel que, a sabiendas de que una tarjeta inteligente o instrumento destinado a los mismos fines, se encuentra vencido, revocado; se haya indebidamente obtenido, retenido, falsificado, alterado; provea a quien los presente de dinero, efectos, bienes o servicios, o cualquier otra cosa de valor econmico ser penado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 19 Posesin de Equipo para Falsificaciones Todo aquel que sin estar debidamente autorizado para emitir, fabricar o distribuir tarjetas inteligentes o instrumentos anlogos, reciba, adquiera, posea, transfiera, comercialice, distribuya, venda, controle o custodie cualquier equipo de fabricacin de tarjetas inteligentes o de instrumentos destinados a los mismos fines, o cualquier equipo o componente que capture, grabe, copie o transmita la data o informacin de dichas tarjetas o instrumentos, ser penado con prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. Captulo III De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones Artculo 20 Violacin de la Privacidad de la Data o Informacin de Carcter Personal Toda persona que intencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de Auditoria de Sistemas

Prof. Zoraivett Rodriguez

7 su dueo, la data o informacin personales de otro o sobre las cuales tenga inters legtimo, que estn incorporadas en un computador o sistema que utilice tecnologas de informacin, ser penada con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. La pena se incrementar de un tercio a la mitad si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o informacin o para un tercero. Artculo 21 Violacin de la Privacidad de las Comunicaciones Toda persona que mediante el uso de tecnologas de informacin, acceda, capture, intercepte, interfiera, reproduzca, modifique, desve o elimine cualquier mensaje de datos o seal de transmisin o comunicacin ajena, ser sancionada con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 22 Revelacin Indebida de Data o Informacin de Carcter Personal Quien revele, difunda o ceda, en todo o en parte, los hechos descubiertos, las imgenes, el audio o, en general, la data o informacin obtenidos por alguno de los medios indicados en los artculos 20 y 21, ser sancionado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Si la revelacin, difusin o cesin se hubieren realizado con un fin de lucro, o si resultare algn perjuicio para otro, la pena se aumentar de un tercio a la mitad. Captulo IV De los Delitos Contra Nios, Nias o Adolescentes Artculo 23 Difusin o Exhibicin de Material Pornogrfico Todo aquel que, por cualquier medio que involucre el uso de tecnologas de informacin, exhiba, difunda, transmita o venda material pornogrfico o reservado a personas adultas, sin realizar previamente las debidas advertencias para que el usuario restrinja el acceso a nios, nias y adolescentes, ser sancionado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 24 Exhibicin Pornogrfica de Nios o Adolescentes Toda persona que por cualquier medio que involucre el uso de tecnologas de informacin, utilice a la persona o imagen de un nio, nia o adolescente con fines exhibicionistas o pornogrficos, ser penada con prisin de cuatro a ocho aos y multa de cuatrocientas a ochocientas unidades tributarias. Captulo V De los Delitos Contra el Orden Econmico Artculo 25 Apropiacin de Propiedad Intelectual Quien sin autorizacin de su propietario y con el fin de obtener algn provecho econmico, reproduzca, modifique, copie, distribuya o divulgue un software u otra obra del intelecto que haya obtenido mediante el acceso a cualquier sistema que utilice tecnologas de informacin, ser sancionado con prisin de uno a cinco aos y multa de cien a quinientas unidades tributarias.

Auditoria de Sistemas

Prof. Zoraivett Rodriguez

8 Artculo 26 Oferta Engaosa Toda persona que ofrezca, comercialice o provea de bienes o servicios, mediante el uso de tecnologas de informacin, y haga alegaciones falsas o atribuya caractersticas inciertas a cualquier elemento de dicha oferta, de modo que pueda resultar algn perjuicio para los consumidores, ser sancionada con prisin de uno a cinco aos y multa de cien a quinientas unidades tributarias, sin perjuicio de la comisin de un delito ms grave. TITULO III DISPOSICIONES COMUNES Artculo 27 Agravantes La pena correspondiente a los delitos previstos en la presente Ley se incrementar entre un tercio y la mitad: 1. Si para la realizacin del hecho se hubiere hecho uso de alguna contrasea ajena indebidamente obtenida, quitada, retenida o que se hubiere perdido. 2. Si el hecho hubiere sido cometido mediante el abuso de la posicin de acceso a data o informacin reservada, o al conocimiento privilegiado de contraseas, en razn del ejercicio de un cargo o funcin. Artculo 28 Agravante Especial La sancin aplicable a las personas jurdicas por los delitos cometidos en las condiciones sealadas en el artculo 5 de esta Ley, ser nicamente de multa, pero por el doble del monto establecido para el referido delito. Artculo 29 Penas Accesorias Adems de las penas principales previstas en los captulos anteriores, se impondrn, necesariamente sin perjuicio de las establecidas en el Cdigo Penal, las penas accesorias siguientes: 1. El comiso de equipos, dispositivos, instrumentos, materiales, tiles, herramientas y cualquier otro objeto que hayan sido utilizados para la comisin de los delitos previstos en los artculos 10 y 19 de la presente Ley. 2. El trabajo comunitario por el trmino de hasta tres aos en los casos de los delitos previstos en los artculos 6 y 8 de esta Ley. 3. La inhabilitacin para el ejercicio de funciones o empleos pblicos; para el ejercicio de la profesin, arte o industria; o para laborar en instituciones o empresas del ramo por un perodo de hasta tres (3) aos despus de cumplida o conmutada la sancin principal, cuando el delito se haya cometido con abuso de la posicin de acceso a data o informacin reservadas, o al conocimiento privilegiado de contraseas, en razn del ejercicio de un cargo o funcin pblicas, del ejercicio privado de una profesin u oficio, o del desempeo en una institucin o empresa privada, respectivamente. 4. La suspensin del permiso, registro o autorizacin para operar o para el ejercicio de cargos directivos y de representacin de personas jurdicas vinculadas con el uso de tecnologas de informacin, hasta por el perodo de tres (3) aos despus de cumplida o conmutada la sancin principal, si para cometer el delito el agente se hubiere valido o hubiere hecho figurar a una persona jurdica. Artculo 30 Divulgacin de la Sentencia Condenatoria El Tribunal podr adems, disponer la publicacin o difusin de la sentencia condenatoria por el medio que considere ms idneo. Auditoria de Sistemas

Prof. Zoraivett Rodriguez

9 Artculo 31 Indemnizacin Civil En los casos de condena por cualquiera de los delitos previstos en los Captulos II y V de esta Ley, el Juez impondr en la sentencia una indemnizacin en favor de la vctima por un monto equivalente al dao causado. Para la determinacin del monto de la indemnizacin acordada, el juez requerir del auxilio de expertos. TITULO IV DISPOSICIONES FINALES Artculo 32 Vigencia La presente Ley entrar en vigencia, treinta das despus de su publicacin en la Gaceta Oficial de la Repblica Bolivariana de Venezuela. Artculo 33 Derogatoria Se deroga cualquier disposicin que colida con la presente Ley. Auditor de Sistemas: El auditor informtico como encargado de la verificacin y certificacin de la informtica dentro de las organizaciones, deber contar con un perfil que le permita poder desempear su trabajo con la calidad y la efectividad esperada. Debe tener conocimiento de los siguientes elementos: Conocimientos Generales: Todo tipo de conocimientos tecnolgicos, de forma actualizada y especializada respecto a las plataformas existentes en la organizacin. Normas estndares para la auditora interna. Polticas organizacionales sobre la informacin y las tecnologas de la informacin. Caractersticas de la organizacin respecto a la tica, estructura organizacional, tipo de supervisin existente, compensaciones monetarias a los empleados, extensin de la presin laboral sobre los empleados, historia de la organizacin, cambios recientes en la administracin, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempea la organizacin. Mantenerse permanentemente actualizado sobre legislacin, normas, actividad de la empresa u organismo. Herramientas: Herramientas de control y verificacin de la seguridad Herramientas de monitoreo de actividades Tcnicas: Tcnicas de evaluacin de riesgos Muestreo Calculo pos operacin Monitoreo de actividades Recopilacin de grandes cantidades de informacin Auditoria de Sistemas

Prof. Zoraivett Rodriguez

10 Verificacin de desviaciones en el comportamiento de la data. Anlisis e interpretacin de evidencia Aspectos Personales: Manejo global de cada situacin. No ajustarse a pautas rgidas. Receptividad mental. Capacidad de anlisis lgico. Creatividad. Espritu de observacin Sensatez de juicio. Manejo de las relaciones con los auditados. Sentido comn. Espritu docente. Lograr la aceptacin del auditado. Independencia de criterio.

Conceptos de Auditora de Sistemas La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas. A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditora de Sistemas es: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del Area de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado:

Auditoria de Sistemas

Prof. Zoraivett Rodriguez

11 Daos Salvaguarda activos Destruccin Uso no autorizado Robo

Mantiene Integridad de los datos

Informacin Precisa, Completa Oportuna Confiable

Alcanza metas organizacionales

Contribucin de la funcin informtica

Consume recursos eficientemente

Utiliza los recursos adecuadamente en el procesamiento de la informacin

Es el examen o revisin de carcter objetivo (independiente), crtico(evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a:

Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos

Tipos de Auditora Existen algunos tipos de auditora entre las que la Auditora de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la funcin informtica. Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo mismo que Auditora Financiera. Entre los principales enfoques de Auditora tenemos los siguientes: Auditoria de Sistemas

Prof. Zoraivett Rodriguez

12

Financiera

Veracidad de estados financieros Preparacin de informes de acuerdo a principios contables

Evala la eficiencia, Operacional Eficacia Economa de los mtodos y procedimientos que rigen un proceso de una empresa

Sistemas

Se preocupa de la funcin informtica

Fiscal

Se dedica a observar el cumplimiento de las leyes fiscales

Administrativa

Analiza: Logros de los objetivos de la Administracin Desempeo de funciones administrativas

Evala: Calidad Mtodos Mediciones Controles de los bienes y servicios

Revisa la contribucin a la sociedad Social as como la participacin en actividades socialmente orientadas Auditoria de Sistemas

Prof. Zoraivett Rodriguez

13 Auditora Interna y Auditora Externa: La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos Procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico. En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas. Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa. Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa.

La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz poltico ajeno a la propia estrategia y poltica general de la empresa. La funcin Auditoria de Sistemas

Prof. Zoraivett Rodriguez

14 auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente. Sntomas de Necesidad de una Auditora Informtica: Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases: Sntomas de descoordinacin y desorganizacin: - No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa. - Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante] Sntomas de mala imagen e insatisfaccin de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. - No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles. Sntomas de debilidades econmico-financiero: - Incremento desmesurado de costes. - Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). - Desviaciones Presupuestarias significativas. - Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin). Sntomas de Inseguridad: Evaluacin de nivel de riesgos - Seguridad Lgica - Seguridad Fsica - Confidencialidad [Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales] - Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales. - Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio. Auditoria de Sistemas

Prof. Zoraivett Rodriguez

15 *Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando. Objetivos Generales de una Auditora de Sistemas

Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD

Incrementar la satisfaccin de los usuarios de los sistemas computarizados

Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles.

Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones

Apoyo de funcin informtica a las metas y objetivos de la organizacin

Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico

Minimizar existencias de riesgos en el uso de Tecnologa de informacin

Decisiones de inversin y gastos innecesarios

Capacitacin y educacin sobre controles en los Sistemas de Informacin

Auditoria de Sistemas

Prof. Zoraivett Rodriguez

16

Justificativos para efectuar una Auditora de Sistemas

Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)

Desconocimiento en el nivel directivo de la situacin informtica de la empresa

Falta total o parcial de seguridades lgicas y fisicas que garanticen la integridad del personal, equipos e informacin.

Descubrimiento de fraudes efectuados con el computador

Falta de una planificacin informtica

Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados

Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin

Auditoria de Sistemas

Prof. Zoraivett Rodriguez

S-ar putea să vă placă și