• Author / Uploaded
• Cesar Antonio Sandoval

Citation preview

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

LIC. Redes Informáticas Proyecto Final

Doctora: Laila Fuentes

Asignatura: Auditoria Informática

Integrantes: Cesar Sandoval Jhonny Cortes

Cedula: 8-898-1301 8-889-689 Grupo:

Fecha: 29 de Enero de 2018

Resumen Las empresas el día de hoy se enfrentan a un sin fin de amenazas que crece cada día más, como desastres naturales, fraudes o espionaje industrial. Sin embargo las amenazas informáticas hoy por hoy son las que aumentan a mayor ritmo. El espionaje corporativo puede causar tantos daños a una empresa como un terremoto. Pero las amenazas más acuciantes a las que se enfrentan las empresas son las que afectan a sus sistemas informáticos, como el hacking El proyecto consiste en la realización de una auditoria informática a una reconocida empresa del sector financiero. Tanto el nombre de la empresa como los datos técnicos y los nombres de los sistemas serán ficticios por cuestiones de confidencialidad. Dentro de la auditoría, se abordará tanto la parte teórica sobre lo que consiste en realizar una auditoría, hasta la realización de un estudio a profundidad en lo que se refiere a la seguridad física, la seguridad a mantener sobre procedimientos sistemas para así detectar vulnerabilidades y brindar recomendaciones que ayuden a salvaguardar los datos para evitar la divulgación de la información. Una vez culminado el proceso de auditoría, se realizara un informe sobre posibles deficiencias encontradas así como las recomendaciones más apropiadas para solucionarlas. El proyecto no busca errores ni personas a la que culpabilizar sino que pretende ser una guía para la mejora de la seguridad en todos los sentidos.

Antecedentes Historia y desarrollo de la compañía La historia de Ractek S.A. se remonta a primer trading del istmo S.A y subsidiarias la cual fue constituida en 1984. A través de los años, primer trading del istmo S.A expandió sus operaciones para prestar todo tipo de servicios. Co este crecimiento despertó el interés de HTBS. El 20 de Junio de 2006 HTBS compró el 100% de las acciones comunes emitidas y en circulación de la empresa subsidiaria. El 19 de febrero de 2013, HTBS anuncio un acuerdo para vender su subsidiaria HTBS panamá a la empresa Racteck S.A. empresa Colombiana, líder en Colombia y Centroamérica. Mediante la resolución S.B.P No.0156-2013 de 30 de septiembre de 2013. La compañía regulatoria de las entidades en panamá autorizo el traspaso del 100% de las acciones de HTBS S.A y sus subsidiarias conforme a los términos establecidos en la transacción propuesta, a favor de Ractek S.A. Dicho traspaso se hizo efectivo el 28 de octubre de 2013. Ractek S.A. brinda directamente y a través de sus subsidiarias, una gran variedad de servicios financieros a personas naturales, empresas e instituciones.

Objetivo de la Auditoria Realizar una auditoría a la empresa ractek S.A. que permita elaborar una propuesta para fomentar una cultura de seguridad informática, que minimice los riesgos en la continuidad del proceso y la eficacia del servicio de informática lo que se conseguirá en función de que se identifiquen estas amenazas, y la atención se enfoque en problemas relacionados a la seguridad y al tratamiento de la información dentro de la organización.

Objetivos específicos    

Evaluar evidencia para determinar si se salvaguardan la integridad de los datos. Identificar las vulnerabilidades en los ataques para los riesgos en la seguridad informática de la organización. Describir los controles internos aplicados al acceso a las instalaciones. Elaborar los lineamientos necesarios que ayuden a tener los controles de seguridad informática en la organización.

Documentos a Solicitar • • • • • • • • • • • •

Misión Visión Objetivos de la empresa Organigrama Descripción general de la empresa Conocimiento general del área de sistemas Organigrama del área de sistemas Objetivos del departamento Distribución física de equipos Inventario de software Inventario de hardware Contratos de mantenimiento

Descripción de la empresa Ractek, S. A. brinda directamente y a través de sus subsidiarias, una gran variedad de servicios financieros mayormente a personas naturales, empresas e instituciones. Los servicios que se brindan, adicionales a los productos corporativos y de banca de consumo, son de arrendamiento financiero, administración fiduciaria de activos, agencias de pago, registro y traspaso, corretaje, negociadores de valores y el negocio de seguros y reaseguros. Misión Ractek S.A. nace con la misión de ser el principal aliado de su clientela, brindando innovadores productos y soluciones financieras de muy alta calidad, con un capital humano de excelencia y una nueva forma de hacer banca, con el fin de establecer relaciones duraderas, creando prosperidad a sus clientes, empleados y accionistas.

Visión Ser reconocidos como un banco comercial universal, de prestigio nacional y proyección regional. Con un sólido posicionamiento competitivo. Líder en el apoyo, financiamiento y promoción de la pequeña y mediana empresa, caracterizado por un servicio de alta calidad y de clara orientación al logro y con una gestión basada en principios y valores para el bienestar y prosperidad de clientes, empleados y accionistas. Misión y Visión de los servicios TI Ser reconocidos por la impecabilidad de los servicios tecnológicos, generando así confianza y relaciones perdurables con nuestros clientes. Visión   

Ofrecer a nuestros clientes internos y externos soluciones tecnológicas de calidad, basadas en las mejores prácticas del sector financiero. Garantizar la estabilidad, disponibilidad y continuidad de los servicios tecnológicos. Apoyar activamente al crecimiento, rentabilidad y éxito continuo de ractek S.A. con un alto grado de compromiso.

Estructura Jerárquica de servicios TI producción. Ractek S.A es dirigido por la Asamblea de Accionistas, la Junta Directiva y la Presidencia, la cual se apoya en Vicepresidencias corporativas entre ellas la Vicepresidencia de Auditoría Interna (VAI).

Gerente de servicios Infraestructura

Gerente de soporte a aplicaciones Gerente de servicios TI Vicepresidente Corporativo

Gerente Adiministracion a plataformas

Gerente de Servicio a Usuarios

Gerente de Monitoreo y procesos

Estándares a utilizar para implementar nuestra Auditoria La norma ISO 19011 ofrece las herramientas necesarias para realizar la auditoría interna de tu Sistema de Gestión de la Calidad. Ante el inicio de nuestra primera auditoría interna, se debe tener en cuenta que tipo de documentos se deben preparar porque el auditor interno revisa todo el Sistema de Gestión de la Calidad de la empresa. Esta Norma Internacional no establece requisitos, sino que provee una guía sobre el manejo de un programa de auditoría, sobre la planeación y realización de una auditoría a un sistema de gestión, así como sobre la competencia y evaluación de un auditor que pertenezca al equipo auditor. Las organizaciones pueden tener y operar más de un sistema de gestión formal. Para simplificar la lectura de esta Norma Internacional, se preferirá la forma singular de “Sistema de Gestión”, pero el lector puede adaptar la implementación de la guía a su propia situación particular. Esto también aplica para el uso de “persona” y “personas”, “auditor” y “auditores”. Se busca que esta Norma Internacional sea aplicable a un amplio rango de usuarios potenciales, incluyendo auditores, organizaciones que están implementando sistemas de gestión, y organizaciones que necesitan realizar auditorías a sus sistemas de gestión por razones contractuales o regulatorias. Los usuarios de esta Norma Internacional pueden sin embargo, aplicar esta guía durante el desarrollo de sus propios requisitos de auditoría. La guía contenida en esta Norma Internacional también puede ser usada con el propósito de auto-declaración y puede resultar útil a organizaciones involucradas en entrenamiento de auditores o certificación de personal. Se busca que la guía contenida en esta Norma Internacional sea flexible. Tal como se indica en varios puntos de este texto, el uso de esta guía puede diferir dependiendo del tamaño y nivel de madurez del sistema de gestión de una organización y de la naturaleza y complejidad de la organización a ser auditada, así como de los objetivos y alcance de las auditorías a realizar. Esta Norma Internacional introduce el concepto de riesgo a la auditoría de sistemas de gestión. El enfoque adoptado relaciona tanto el riesgo de que el proceso de auditoría no alcance sus objetivos como el potencial de que la auditoría interfiera con las actividades y procesos de los auditados. Esta no provee lineamientos específicos sobre el proceso de gestión de riesgo de la organización, pero reconoce que las organizaciones pueden enfocar los esfuerzos de auditoría en temas que sean significativos a los sistemas de gestión. Esta Norma Internacional adopta el término “auditoría combinada” para aquellos casos en que se auditan dos o más sistemas de gestión de diferentes disciplinas. Cuando estos sistemas están integrados a un único sistema de gestión, los procesos de auditoría son los mismos que para una auditoría combinada

Capítulo 1 Marco Teórico 1. Historia de la auditoría Interna La importancia de la auditoría es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria. La Auditoría proviene del verbo latino audire, que significa oír. Los romanos utilizaron este término para controlar en nombre del emperador, sobre la gestión de las provincias. El hecho de que los soberanos exigieran el mantenimiento de las cuentas de su residencia por dos escribanos independientes, pone de manifiesto que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. A medida que se desarrolló el comercio, surgió la necesidad de las revisiones independientes para asegurarse de la adecuación y finalidad de los registros mantenidos en varias empresas comerciales. La auditoría como profesión fue reconocida por primera vez bajo la Ley Británica de Sociedades Anónimas de 1862 y el reconocimiento general tuvo lugar durante el período de mandato de la Ley “Un sistema metódico y normalizado de contabilidad era deseable para una adecuada información y para la prevención del fraude”. También reconocía “Una aceptación general de la necesidad de efectuar una versión independiente de las cuentas de las pequeñas y grandes empresas”. Desde 1862 hasta 1905, la profesión de la auditoría creció y floreció en Inglaterra, y se introdujo en los Estados Unidos hacia 1900. En Inglaterra se siguió haciendo hincapié en cuanto a la detección del fraude como objetivo primordial de la auditoría. En 1912 Montgomery dijo: “En los que podría llamarse los días en los que se formó la auditoría, a los estudiantes se les enseñaban que los objetivos primordiales de ésta eran: La detección y prevención de fraude”. Este cambio en el objetivo de la auditoría continuó desarrollándose, no sin oposición, hasta aproximadamente 1940. En este tiempo “Existía un cierto grado de acuerdo en que el auditor podía y debería no ocuparse primordialmente de la detección de fraude”. El objetivo primordial de una auditoría independiente debe ser la revisión de la posición financiera y de los resultados de operación como se indica en los estados financieros de los clientes, de manera que pueda ofrecerse una opinión sobre la adecuación de estas presentaciones a las partes interesadas. Paralelamente al crecimiento de la auditoría independiente en los Estados Unidos, se desarrollaba la auditoría interna y del Gobierno, lo que entró a formar parte del campo de la auditoría. A medida que los auditores independientes se apercibieron de la importancia de un buen sistema de control interno y su relación con el alcance de las pruebas a efectuar en una auditoría independiente, se mostraron partidarios del

crecimiento de los departamentos de auditoría dentro de las organizaciones de los clientes, que se encargaría del desarrollo y mantenimiento de unos buenos procedimientos del control interno, independientemente del departamento de contabilidad general. La auditoría gubernamental fue oficialmente reconocida en 1921 cuando el Congreso de los Estados Unidos estableció la Oficina General de contabilidad. La crisis de Wall Street de Estados Unidos en 1929 y la creación de la Securities and Exchange Commission (SEC), órgano regulador y controlador de la Bolsa, han sido factores determinantes para conseguir las cotas de desarrollo que los profesionales de la auditoría han alcanzado en aquel país. En el caso de España la introducción de la profesión de la auditoría ha sido muy lenta, en 1943 nace el Instituto de Censores Jurados de Cuentas de España (ICJCE) y, más recientemente, el Registro de Economistas Auditores (REA) en 1982 y el Registro General de Auditores (REGA) en 1985. La armonización contable internacional consiste en que la información financiera proporcionada por las empresas que actúan en un mismo mercado sea útil para sus destinatarios, sin necesidad de una “traducción”, por lo que es necesario un acercamiento de las legislaciones contables. El International Accounting Standards Board (IASB), acometió la tarea de elaborar un cuerpo de normas contables que pudieran ser aceptadas en los mercados financieros internacionales, las Normas Internacionales de Contabilidad (NIC) y las Normas Internacionales de Información Financiera (NIIF). Así progresivamente, las compañías adoptaron la expansión de las actividades del departamento de auditoría interna hacia áreas que están más allá del alcance de los sistemas contables. En nuestros días, los departamentos de auditoría interna se dedican a las revisiones de todas las fases de las corporaciones, de las que las operaciones financieras forman parte. (Cashin, Neuwirth y Levy, 1985).

1.2 Definición de auditoria interna Al consultar material bibliográfico relacionado con el tema, encontramos que los especialistas tienen diferentes puntos de vista en cuanto al tema, tal es así que (Arens, Alvin y Loebbecke, 2010); la auditoría interna es un proceso cuya responsabilidad parte de los directivos y la gerencia de las cooperativas de servicios múltiples, y se encuentra diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de las entidades cooperativas. La auditoría interna, ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar los procesos de gestión de riesgos, control y gobierno. (Juan Ramon Sanchez, 2013) En su libro Auditoría define a la auditoría como: “Auditoría interna es una función independiente de evaluación establecida dentro de una organización, para examinar y evaluar sus actividades como un servicio a la misma organización. Es un control cuyas funciones consisten en examinar y evaluar la adecuación y eficiencia de otros controles”.

(Ramiro Andrade Puga, 1998)(Abogado-Auditor), en su libro Auditoría Teórica basica, define como: “El examen posterior y sistemático que realiza un profesional auditor, de todas o parte de las operaciones o actividades de una entidad con el propósito de opinar sobre ellas, o de dictaminar cuando se trate de estados financieros” (gustavo cepeda alonso , 1997) En su libro auditoría de control interno define auditoria como La recopilación y evaluación de datos sobre información de una entidad para determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos. La auditoría debe ser realizada por una persona competente e independiente. (kell zeigler, 1998) En su libro auditoria moderna la define como el objetivo, sistemático y profesional de las operaciones ejecutadas con la finalida dde evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones (El Instituto de Auditores Internos del panamá , 2018) Señala que “la auditoría interna, es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización”. La auditoría interna, ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar los procesos de gestión de riesgos, control y gobierno.

(Walter G. Kell; William C. Boynton y Richard E. Ziegler, 1995), “la auditoría interna es un proceso sistemático, practicado por los auditores de conformidad con normas y procedimientos técnicos establecidos, consistente en obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los actos jurídicos o eventos de carácter técnico, económico, administrativo y otros de las cooperativas de servicios múltiples, con el fin de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos por dichas entidades cooperativas”. Para (Ruben Oscar Rusenas, 1999), El trabajo del departamento de auditoría interna está orientado a: 1. Determinar la adhesión o cumplimiento de las políticas, metas y objetivos. Evaluar las normas que realmente se aplican en la empresa para optimizar la obtención de los objetivos políticos fijados. 2. Determinar la confiabilidad o seguridad de la información que es fuente para la toma de decisiones. 3. Asesorar a la dirección Superior. Cubrir las necesidades de asesoramiento técnico en función de sus conocimientos. 4. Salvaguardar el patrimonio de la empresa, ya fueren tanto los bienes materiales, como el medio humano que actúa en la misma. 5. Estudiar las posibilidades de fraude o robo, del patrimonio de la empresa y establecer las medidas que minimicen el riesgo. 6. Tratar de descubrir e informar de inmediato cuando detecte irregularidades, desviaciones o maniobras ilícitas. 7. Examinar, evaluar e informar sobre el sistema de control interno, el rendimiento de la organización y el estado en que ésta trata de lograr eficiencia y efectividad. 8. Sugerir y recomendar mejoras en cuanto al sistema de control interno, los sistemas administrativos y contables y todos los procedimientos en general reduciendo los problemas de las auditorías anuales. 9. Colaborar con la auditoría externa realizando tareas de coordinación con la misma, para asegurar un adecuado control y revisión de la empresa. Objetivos de la auditoria interna La auditoría interna, funciona como un medidor de la efectividad de los controles establecidos por la administración. El objetivo principal, es ayudar a la entidad a alcanzar sus metas y proporcionar los informes necesarios que contienen los análisis, apreciaciones y recomendaciones necesarias, en función de asesoría, también forma parte del Control Interno con el objetivo de perfeccionar y brindarle seguridad a dicho control interno.

Del mismo modo, (Gómez, 2010), El objetivo de la auditoría interna es el asistir a los miembros de la organización en el efectivo descargo de sus responsabilidades. Hasta este punto, la auditoría interna les proporciona análisis, valoraciones, recomendaciones, consejo e información de las actividades revisadas. Los objetivos de la auditoría interna deberían ser: mantener un eficaz control interno; conseguir un buen funcionamiento de la organización, de sus sistemas operativos y de la adecuada utilización de sus recursos; asegurar el cumplimiento de las políticas, normas e instrucciones de la dirección; mejorar constantemente la gestión de la empresa; mantener a la dirección informada de cuantas excepciones se detecten, proponiendo las acciones correspondientes para subsanarlas; asegurar el cumplimiento por los distintos órganos y centros de la empresa de sus recomendaciones y sugerencias; promover los cambios que sean necesarios, mentalizando a sus empleados para la adaptación de los nuevos sistemas; supresión de fraudes e irregularidades y salvaguardar los activos de la compañía. Lo importante es que la auditoría interna debería actuar como una linterna para proteger y guiar a los directivos a través de la evaluación de controles y actividades y la recomendación de mejoras. El nuevo objetivo de la auditoría interna debe ser construir relaciones sólidas, con un enfoque de atención a las causas, efectos y soluciones, un enfoque de auditorías constructivas, de ayuda al gerente a corregir problemas costosos que atentan contra el cumplimiento de los objetivos. Alcance de la Auditoria El alcance de una auditoría interna debe abarcar el estudio y evaluación del grado de efectividad y adecuación del sistema de control interno de una organización, y evaluara que tan bien se están cumpliendo con las responsabilidades asignadas. El departamento de auditoría interna es parte integral de la organización y funciona de acuerdo a las políticas establecidas tanto por la administración de la empresa como por su junta directiva y consejo de administración. En cuanto a su ejecución al llevar a cabo las responsabilidades asignadas se incluye las siguientes: 

  



Revisar los sistemas establecidos para asegurar el cumplimiento con aquellas políticas, planes, procedimientos, leyes y regulaciones, que pueden tener un impacto significativo en las operaciones e informes, y determinar si la organización los cumple. Revisar las medidas de salvaguarda de activos y, cuando sea apropiado, verificar la existencia de los mismos. Valorar la economía y eficacia con que se emplean los recursos. Revisar las operaciones o programas para asegurar que los resultados son coherentes con los objetivos y las metas establecidas, y que las operaciones y programas han sido llevados a cabo como estaba previsto. Revisión de la fiabilidad e integridad de la información financiera y operativa y de los juicios utilizados para identificar, medir, clasificar e informar sobre la misma.

Función de la Auditoría Interna La función de auditoría interna ha cambiado notablemente en los últimos años, pasando de una auditoría tradicional orientada a la protección de la empresa (activos) hacia una auditoría enfocada al control de los riesgos, a fin de aumentar el valor de la organización para los accionistas. Del mismo modo (Vizcarraga J., 2007); señala que las funciones de la auditoría interna incluyen: (1) revisión de operaciones para verificar la autenticidad, exactitud y concordancia con las políticas y procedimientos establecidos; (2) control de los activos a través de los registros de contabilidad y toma física; (3) revisión de las políticas establecidas y procedimientos para evaluar su efectividad; (4) revisión de si los procedimientos contables fueron aplicados en forma consistente con los Principios de Contabilidad Generalmente Aceptados; (5) auditoría de otras organizaciones con las que existan relaciones contractuales para el cumplimiento de lo previsto en los contratos; (6) evaluación del cumplimiento de las estrategias de la organización.

Ética de los auditores internos Los auditores internos deben conocer que en su desempeño tienen la obligación de regirse por el código de ética profesional que al efecto de la profesión se dicte por la sociedad. La experiencia ha demostrado que la adherencia a las normas más elevadas que se puedan establecer no es suficiente por sí misma. El público debe asociar la imagen del auditor con la de una “moral más alta de lo normal,” por esa razón el auditor nunca debe permitir que sus intereses personales entren en conflicto con los de sus clientes, por otro lado, el auditor no debe realizar actos inmorales o ilegales que puedan dañar el prestigio de la profesión. La ética general, comprende las normas mediante las cuales un individuo decide su conducta. Por lo general se consideran exigencias impuestas por la sociedad, los deberes morales y los efectos de las propias acciones. El conocimiento y cumplimiento del código de ética por el auditor es fundamental y representa mucho más que una declaración de responsabilidad, constituye una

herramienta de trabajo. A través de su cumplimiento el auditor declara al público que su profesión está interesada en proteger sus intereses y beneficiar a la sociedad ya que en esta profesión se necesita la confianza no sólo en la habilidad técnica del auditor sino también en su integridad. Elementos de trabajo del auditor interno y actitudes. Los elementos de la Auditoría interna, pueden clasificarse en:  Cumplimiento.  Verificación.  Evaluación Actitudes        

Interés y aptitud por la investigación. Capacidad de análisis estadístico. Conocimientos específicos (técnicos) en materia de auditoría interna, control interno y en lo concerniente al sector. Comportamiento organizacional y programación neuro-lingüística. Capacidad de análisis. Aptitud para trabajar en equipo. Actitud proactiva. Alto nivel ético.

Beneficios de la Auditoria interna   

     

Permiten obtener una comparación de los procedimientos de gestión de calidad que la organización tiene documentados con las prácticas observadas. Identifica los fallos existentes en los diferentes procesos de la organización. Logra una mejora de la comunicación interna, pues a través de las reuniones informativas para transmitir los hallazgos de las auditorías internas, fomenta que el personal esté informado tanto de sus actividades como de las del resto, con el fin de evitar que se realicen acciones incorrectas por la falta de información. Detecta temas de motivos de debates que pueden llegar a ser graves, dando incluso lugar a sanciones en caso de incurrir en incumplimiento. Identifica deficiencias en la forma en que los diferentes procesos de la organización han sido definidos. Plantea las acciones correctivas y preventivas a aplicar a fin de poner solución a las no conformidades detectadas. Controla que la aplicación de tales acciones correctivas y preventivas se ha realizado de manera efectiva y en el tiempo pronosticado. Propone recomendaciones para optimizar las prácticas logrando reducir costos. Promueve la mejora continua de los procesos de la organización, pues mediante las acciones correctivas y eliminación de problemas en conjunto con las acciones preventivas, es posible obtener importantes beneficios.

Diferencia entre Auditoría Interna y Externa La credibilidad en los estados financieros por medio de la independencia que existe entre el Contador Público y Auditor, y la entidad, es la base para establecer la diferencia existente entre la Auditoría Interna y la Auditoría Externa. La Auditoría Interna se desarrolla dentro de una organización con el objetivo de efectuar revisiones en las operaciones contables, el campo financiero, la relación administrativa empresarial y otras áreas más, para poder servir a la administración, medir y evaluar la eficacia de otros controles y dar cumplimiento a las políticas y procedimientos establecidos. Por el contrario, la auditoría externa se desarrolla en un espacio privado, independientemente de la administración de una entidad, su objetivo es efectuar un examen a las operaciones realizadas por la administración, con el propósito de emitir opinión sobre la razonabilidad de las operaciones examinadas. La auditoría externa por su carácter independiente permanece dentro de la entidad por corto tiempo, situación que no le permite el conocimiento completo de una operación compleja, motivo por el cual concreta su atención en lo que considera mayor relevancia y significado en los estados financieros, ya que en su carácter independiente, la responsabilidad para con su cliente es practicar un examen y emitir una opinión. La auditoría interna en su carácter permanente dentro de la entidad, profundiza en la operatoria contable y administrativa con pleno conocimiento y con el suficiente tiempo para investigar donde lo considere conveniente, su responsabilidad para con la entidad no se circunscribe únicamente a informar, tiene que buscar una o más soluciones y plantearlas a la administración para ser puestas en práctica.

Finalidad de la Auditoria interna Prestar un servicio de consultoría y veracidad a la administración dentro de las empresas con la finalidad de obtener un mayor rendimiento económico, eficacia de sus objetivos institucionales. La labor del auditor interno es puramente constructiva y no de actuación con poder. Los informes, análisis y recomendaciones, van dirigidos directamente a la administración, para que sea ésta la que los ponga en práctica y tome las acciones correctivas sugeridas. Para que la auditoría interna pueda actuar con eficacia, es necesario que reciba de parte de la administración el máximo de autonomía e independencia, así como el respaldo y apoyo suficiente. Para que el auditor se desempeñe de manera correcta en sus obligaciones debe considerar los siguientes aspectos:  Los planes o políticas generales de la organización.

 Los métodos de trabajo eficaces  Los bienes patrimoniales que estén debidamente contabilizados  Los roles individuales se cumplan con eficiencia y honestidad. Auditoria interna como función preventiva Se analizan los procedimientos empleados, los hechos ocurridos y el marco interno y externo en que se desenvuelve la empresa con la finalidad de proponer mejoras. Se orienta a prevenir y, en segundo término, a aumentar la eficiencia y eficacia de la administración y operación. La prevención se obtiene a través del mejoramiento del ambiente de control interno, proponiendo nuevas herramientas o mejorando las existentes. Es decir, se intenta que los procesos dificulten al máximo la precisión de ilícitos o errores a través del establecimiento de un control previo a que se haga efectivo el daño patrimonial. Se colabora en la mejora de la eficiencia y eficacia con que ejecuta la organización a través de la realización de estudios y análisis de los procesos. La auditoría interna tiene y cumple una función preventiva dentro de las empresas, en algunas empresas pequeñas, la administración otorga a miembros del departamento financiero, o deja bajo responsabilidad de los jefes de departamento las funciones propias a la auditoría interna. Las empresas grandes o con mayor volumen de operaciones, prefieren crear un departamento específico que cumpla esas funciones. Una auditoría interna completa ayudará a la administración en la toma de decisiones de forma precisa, ya que le podrá brindar evaluaciones constantes sobre la precisión y eficacia con que se está cumpliendo los objetivos organizacionales. La labor de la auditoría interna como función preventiva es desarrollada por personal de la propia empresa, debiendo funcionar en el ámbito de staff (personal que forma parte la organización) y no en forma de dependencia. Para que la auditoría interna pueda mantener su independencia y su función de prevención debe mantener su independencia y emitir opinión en forma libre. Planeación de la auditoria

La primera norma de auditoría generalmente aceptada del trabajo de campo requiere de una planificación adecuada. La auditoría se debe planificar de forma adecuada y los ayudantes, si es que se tienen, se deben supervisar en forma correcta. Existen tres razones por las cuales el auditor planea adecuadamente sus compromisos: para permitir que el auditor obtenga las evidencias suficientes y competentes y suficientes para las circunstancias; ayudar a mantener los costos a un nivel razonable; y, evitar malos entendidos con el cliente. Hay 7 partes importantes de la planificación de la auditoría:       

Plan previo. Obtención de antecedentes del cliente. Obtener información sobre las obligaciones legales del cliente. Realización de procedimientos analíticos preliminares. Evaluación de la importancia y el riesgo. Conocimiento de la estructura del control interno. Evaluación del riesgo de control.

2 Espionaje Corporativo

Introducción Su competidor publica antes que Ud. una solución novedosa (que dentro de seis meses iba a lanzar su compañía). Sus principales ejecutivos claman al cielo intentando averiguar cómo obtuvieron la información y diseñan frenéticamente nuevas estrategias para recuperar los posibles ingresos perdidos. El espionaje corporativo no es en absoluto un peligro reciente. En la actualidad se estima que el 70 por ciento del valor medio de una corporación reside en la información que posee (fuente: Trends in Proprietary Information Loss - Tendencias en la pérdida de información confidencial, American Society forIndustrial Security and PricewaterhouseCoopers, 1999). Muchas de las corporaciones con más éxito actualmente, han sufrido incidentes de espionaje corporativo y el número de estos casos aumenta constantemente. En 2001, “las compañías del Ranking Fortune 1000 reportaron un total de 45 billones de dólares en pérdidas debidas al espionaje corporativo”8. En la actualidad se observa que en las tecnologías de Internet, algunos usuarios propician el cultivo de robos corporativos para el hurto de información confidencial o protegida por lo que se considera conveniente que los directores de sistemas de las empresas dediquen tiempo a proteger a la compañía, aplicando medidas de seguridad adecuadas para su red y estableciendo normas eficaces. La información más valiosa actualmente está almacenada de forma electrónica y, dado que las computadoras están conectadas a redes y en línea, o accesibles por otros medios físicos, el director de sistemas juega un papel fundamental en la defensa de la corporación frente a las actividades de espionaje y en la detención de esas actividades cuando se descubren. A pesar de que “lo más probable es que los incidentes de espionaje corporativo no puedan erradicarse completamente”9 debido a que siempre van a depender del factor humano y puede existir la posibilidad del robo de la información cuando depende de éste, pero las corporaciones pueden modificar sus estrategias de seguridad para reducir al mínimo los incidentes y las pérdidas que provocan. Antes de modificar su estrategia de seguridad, resulta útil comprender la diferencia entre los incidentes de espionaje y cómo las distintas tecnologías hacen más fáciles estos delitos. El espionaje corporativo presenta algunos sinónimos como son espionaje industrial, sabotaje corporativo, espías industriales, espionaje empresarial, robos corporativos y espionaje comercial. Según Marc Martínez socio de la prestigios empresa que provee servicios profesionales de Auditoria, Impuestos Asesoría, quien afirma que “Los hackers están muy organizados, y la realidad es que el 90% de las empresas no toma las medidas necesarias para protegerse”. Porque las debilidades, en ocasiones, no se encuentran dentro de la propia compañía sino con las empresas con las que se mantiene relación, como los clientes o proveedores. Por tanto, añade Martínez, se recomienda a las organizaciones que exijan un control en la seguridad de los sistemas informáticos externos, así como no escatimar e invertir en el este capítulo. “Antes el gasto en seguridad lógica se medía dentro del gasto en tecnologías de la información, y se destinaba entre un 1% y un 5% de esa inversión. Esto se está incrementado, aunque hay dos perfiles de empresas, aquellas que reciben ataques y lo

saben, y aquellas que no son conscientes del peligro que tienen. El gasto es diferente”, añade Fernando Picatoste, de Deloitte. Según datos del Instituto Nacional de Ciberseguridad (Incibe), la inversión este año en seguridad tecnológica alcanzará los 500 millones de euros, con un crecimiento anual a partir de 2016 del 15%. Y señala que la ciberseguridad es un mercado emergente global que mueve, en la actualidad, más de 75.000 millones de dólares (66.000 millones de euros) anuales y con una previsión de crecimiento en torno al 8%. En este sentido, Accenture ha puesto en marcha una plataforma, Ciber-Inteligencia, que hace uso de los avances en tecnología de procesadores chip con una combinación de inteligencia artificial, aprendizaje automático y análisis de datos constante que permite a las organizaciones identificar ciberamenazas en tiempo real. Un estudio realizado por la citada consultora, titulado Confianza digital en la era del internet de las cosas, en el que han participado 24.000 consumidores de 24 países, pone de manifiesto que el 60% de los consultados encuentra molesto el uso de nombres de usuario y contraseñas, mientras que el 77% está interesado en métodos alternativos para proteger su seguridad en internet.

Definición de Espionaje Corporativo Según él (Grupoparadell, 2016) define el espionaje informático en su página web, como una investigación, muchas veces ilegal, de los competidores para obtener una ventaja comercial. El objetivo de la investigación podría ser hacerse con un secreto comercial como los pasos de fabricación de un producto- o simplemente conseguir información que pueda resultar valiosa. Los espías industriales pueden ser personas infiltradas en la organización a la que espían o alguien con contactos dentro. Aunque también cada vez más a menudo son hackers que consiguen introducirse en los sistemas informáticos de la empresa y robar información. (Patricia Herrero García-Ramal) Define el espionaje informático de la siguiente manera podría definirse como la obtención ilícita de información confidencial, ya sean planos, fórmulas, procedimientos secretos, experiencias industriales, comerciales o científicas. Cierto es que el espionaje industrial no es un concepto jurídico definido como tal en nuestra legislación aunque nuestro ordenamiento jurídico sí prevé ciertos mecanismos para proteger la información confidencial. El espionaje corporativo, es por definición, “la obtención de información de un competidor haciendo a tal fin uso de medios ilícitos” según la empresa Cybsec. (Empresa dedicada a las Soluciones de Seguridad Informática) Con las siguientes definiciones podemos entender que el espionaje corporativo está conformado por los esfuerzos de una compañía para robar los secretos comerciales de otra ya se procedimientos, formulas, planos etc. Como también obtener información sobre ejecutivos clave de esa empresa.

Inicios del Espionaje Corporativo 









En la segunda mitad del siglo XVIII y principios del siglo XIX, nace la Revolución Industrial en Gran Bretaña y luego en Europa. Con ella comienza también la competencia entre industriales y la avaricia del poder. Buscando alternativas de como permanecer en la cima de la industria, a expensas de la competencia. A través del sabotaje a facilidades físicas de otras industrias. En el 1800, Gran Bretaña tenía una necesidad de té, pero esta área de la industria estaba controlada por China. Es por esta razón, que la empresa East India Co., con base en Londres, contrató a un botánico escosés, Robert Fortune para que este pasara de contrabando plantas, semillas y secretos del té de China a India, que para esa época era una colonia británica. Logró su objetivo difrazándose de comerciante chino, y durante su vida la producción de té en la India superó la de China, gracias a esta acción de espionaje industrial de la empresa East India Co. Ya entrando a tiempos más recientes, durante el siglo XX, fue que se conoció realmente lo que era el espionaje. Comenzando con el espionaje político durante la Primera Guerra Mundial (1914-1918). Donde Matajari, una mujer holandesa, bailarina exótica de danzas del vientre, se obliga vivir una doble vida, compartiendo información entre dos bandos, Francia y Alemania. Compartió información secreta de parte y parte, pero el 17 de febrero de 1917, fue descubierta por Francia, y fue acusada por alta traición y condenada a muerte. Fue fusilada por un pelotón del ejército francés, el 15 de octubre de 1917. Todo lo hizo por ánimo de lucro, el llamada soborno, donde recibes dinero a cambio de información. Ya luego de la Segunda Guerra Mundial (1939-1945), llega la época de la llamada guerra fría, donde Estados Unidos y la desaparecida Unión Soviética, comienzan una competencia por la supremacia mundial del poder. Estos crean dos agencias, la Agencia Central de Inteligencia, CIA por sus siglas en inglés, por parte de Estados Unidos, y el Comité para la Seguridad del Estado, KGB por sus siglas en ruso, por parte de la Unión Soviética. Estas dos agencias se encargaban de reclutar, entrenar y utilizar espias para la obtención de información entre ambos bandos. En 1945, se puede decir que nace la informática, con la gigantesca computadora llamada ENIAC, y su lenguaje dígital. Sigue la evolución de las computadoras y llega el Internet en los años 80, y luego en los años 90 el World Wide Web (www). Ya la información no se encontraba en archivos y papeles en este momento, y comienza el espionaje industrial cibernético, que es el fraude, falsificación, sabotaje, y acceso no autorizado a la información. A partir de este momento, tanto la empresa privada como el gobierno, han tenido que redefinir sus estrategias para la protección de su información, evitando así este tipo de espionaje moderno.

Tipos de Espionaje Corporativo A continuación mencionaremos algunos de los tipos de espionaje corporativo Espionaje Tecnológico: Esta forma de robo tiene por objetivo de hacerse con las ventajas técnicas que otra empresa atesora. Así, mientras que una empresa invierte millones en I+D+i, otra simplemente nivela su curva de desarrollo tecnológico gastando una fracción de ese dinero en espionaje. 2. Espionaje Estratégico: El espionaje estratégico afecta a toma de decisiones de unas compañías sobre la base del conocimiento de datos de la competencia, permitiendo adelantarse en aspectos estratégicos, mercadológicos, etc. Suponga por ejemplo que dos empresas tienen que licitar por un contrato multimillonario “a sobre cerrado” para conseguir electrificar un país, construir una autopista o explotar una gran mina. Si una empresa conociera la cantidad que ofertarán sus rivales en la licitación de un macro proyecto, esta podría simplemente pujar por uno o dos millones de dólares menos, asegurando que ganarían el contrato al menor coste posible. También se puede considerar espionaje estratégico el lanzamiento de determinadas líneas de producto o ideas ajenas al mercado, en las que la competencia se puede adelantar si tiene una información privilegiada. 3. Espionaje Comercial: Este posiblemente sea el espionaje de tipo menos vistoso, si bien es el que más afecta a las PYMEs y cada año hace que muchas tengan que echar el cierre. Podría citar innumerables ejemplos, pero ¿cuantas veces nos encontramos con que un jefe de ventas sale de una compañía con la base de datos en un pendrive, funda su propia empresa y a los dos años quiebra su anterior compañía? Una empresa de servicios normalmente vale lo que su cartera comercial, y a menudo las empresas no se preocupan de blindarla por contrato, o en algunos casos no tienen medios técnicos o legales para defenderse.

Clases de Espionaje Corporativo Algunas clases de espionajes que podemos mencionar es el espionaje interno, el externo, cibernético, el sabotaje, el hacking, el producido por los hackers y el ciberdelito. Son amenazas constantes, con las que las empresas y otras entidades deben luchar. Estas pueden manifestarse a través de una persona, organización, mecanismo, o evento que pueden ocasionar daño intencional, a través del robo, destrucción y modificación de la información.   

Interno: Cuando se utiliza a un empleado de la misma empresa para que ofrezca información y/o datos confidenciales de la empresa para la cual trabaja. Externo: Cuando se introduce una persona entre los empleados de otra empresa para que adquiera información confidencial para otra empresa. Cibernético: Es la tecnología implementada de un modo que deteriora el control de los usuarios sobre su privacidad o sistemas de seguridad, el uso de los recursos del sistemas, la recolección y distribución de información personal y/o confidencial.





Sabotaje: Es una acción deliberada, dirigida a debilitar a un gran enemigo mediante la subversión, la obstrucción, la interrupción o la destrucción de información, material y equipo. Hacking: Es la búsqueda permanente de conocimiento en todo lo relacionado con sistemas informáticos, sus mecanismos de seguridad, las vulnerabilidades de los mismos, y los mecanismos de protección.

¿DE QUIÉN Y DE CORPORATIVOS?

QUÉ

NOS

PROTEGEMOS

DE

LOS

ESPÍAS

Nos protegemos de potenciales enemigos tales como:       

Espías (competencia, empleados, etc) Usuarios de los sistemas. Ex empleados Hackers Crackers Vándalos Millones de adolescentes, otros.

Nos protegemos de los espías corporativos de:      

Objetivos de los intrusos sobre un sistema de información. Robo de información confidencial Fraude financiero Modificación de archivos Denegación del servicio del sistema Destrucción de sistemas informáticos, etc

Elementos que debemos proteger de los espías corporativos El uso óptimo de la información puede constituir un diferenciador clave para las empresas en el entorno empresarial actual, por lo que es fundamental protegerse de potenciales enemigos tales como: la competencia por el posicionamiento de otras empresas, empleados, ex empleados, usuarios del sistemas, hackers, crackers, entre otros. La protección contra los espías corporativos debe enfocarse principalmente a:     

“Robo de información confidencial (obtención de información privada por un tercero) Fraude financiero (pérdidas económicas por una backdoor) Modificación de archivos (alteración de información contenida en los archivos) Denegación del servicio del sistema (rechazo a la entrada de datos almacenada en computadoras) Destrucción de sistemas informáticos (perdida de información intencionalmente)”

Según las encuestas del sector, incluido el reporte del año 2000 del FBI y del Computer Security Institute acerca del crimen por computadora, las personas con acceso a información confidencial constituyen el mayor peligro para la seguridad corporativa. El 71% de las compañías encuestadas detectaron accesos no autorizados por parte de estas personas. Esta cifra no indica qué porcentaje concreto de estos casos tuvo como consecuencia la sustracción de información protegida. Sin embargo, sí implica que existe un grado considerable de vulnerabilidad frente al espionaje por parte de personas con acceso a información confidencial. Formas de realizar el espionaje corporativo 1. Infiltración Aquí podemos distinguir dos tipos:  Infiltración corporativa Se trata de la introducción de un espía en la organización, bajo la cobertura de un empleado más. Estas personas entran en la empresa por la vía convencional de recursos humanos, tal vez a través de una demanda de empleo publicitada  Infiltración sentimental Se trata de la introducción de un o una espía en la vida personal de alguien, por lo general de la propia a la organización y que no tiene que ser necesariamente de la cúpula directiva, sino alguien con acceso a información sensible. Coloquialmente, una persona que se ligue al objetivo y le saque información. Estará usted pensando en Mata Hari, pero hace muy poco John McAfee, a pesar de ser experto en informática, hablaba de las bondades y superior eficacia que le otorgaron estos métodos en Belice. 2. Fraude Digamos, el engaño. Por ejemplo, no es raro que una empresa requiera a otra información detallada bajo diversos pretextos o negocios, como compras o, peor aún, fusiones, cuando en realidad lo que busca es precisamente esos datos que sin engaño no obtendría. 3. Robo Un tradicional medio, que adquiere nuevas formas. Hoy día ya no se trata sólo de robo de documentos o ficheros en la oficina o en maletines de los ejecutivos en la calle. Hoy día ya hablamos también de robo de computadoras, fijas o portátiles que, en tantas y tantas ocasiones, presentan medidas de seguridad muy débiles y permiten un acceso posterior y fácil a la información. 4. Vigilancia física Qué decir. Mediante seguimientos físicos se logran informaciones muy valiosas acerca de contactos, clientes, proveedores, procedimientos, proyectos, hábitos, etc. Además de las conversaciones tan interesantes que pueden llegar a los oídos indeseados, que tal vez estén en la mesa de al lado del restaurante.

Corrupción del personal He aquí la enésima razón para luchar contra la cultura de resignación a la corrupción. No es ciencia ficción la captación remunerada de empleados o ex empleados para aportar la información más valiosa; la que aporta quien interviene en el negocio.