UNIVERSIDAD NACIONAL DE

SAN MARTN

Facultad de Ingeniera de Sistemas e Informtica







DOCENTE : ING. MBA. Carlos Enrique Lpez Rodrguez


ALUMNO : Jean Lee Prez Estrella



SEMESTRE : 2014 I.






TARAPOTO PER
2014

AUDITORA Y SEGURIDAD DE INFORMACIN

AUDITORIA INFORMATICA INTERNA Y EXTERNA

Jean Lee Prez Estrella
jeanleepo@gmail.com

RESUMEN: La auditora informtica es un proceso que consiste en recoger, agrupar y evaluar evidencias
para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. La auditora
informtica tiene 2 tipos: AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar
a personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa
contrata a personas de afuera para que haga la auditoria en su empresa. Auditar consiste principalmente en
estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si
son adecuados y cumplen los objetivos o estrategias, estableciendo los cambios que se deberan realizar. Los
mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante
una contingencia.


OBJETIVOS

El anlisis de la eficiencia de los sistemas informticos.

La revisin de la eficaz gestin de los recursos informticos.

La verificacin del cumplimiento de la normativa en este mbito.

La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un
sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en
general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.

Esta es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona
los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.
Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software.

MARCO TEORICO

1. AUDITORIA INFORMATICA

La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere
a todo aquel que tiene la virtud de or.

Auditoria es una evaluacin crtica y sistmica de las diversas operaciones y controles de una
organizacin, que se realiza para determinar si se siguen polticas y procedimientos aceptables, si se
siguen las normas establecidas y si se utilizan los recursos necesario y correctos, con el fin de evaluar la
eficacia y eficiencia de un rea, un organismo, una entidad, etc. si se han alcanzado los objetivos de la
organizacin.

La Informtica hoy, est dentro de la gestin integral de la empresa, y por eso, las normas y
estndares propiamente informticos deben estar, sometidos a los generales de la misma. En
consecuencia, las organizaciones informticas forman parte de lo que se ha denominado gestin de la
empresa.

Auditoria Informtica, tambin conocida en nuestro medio como Auditoria de Sistemas, surge debido
a que la informacin se convierte en uno de los activos ms importante de las empresas, lo cual se
puede confirmar si consideramos el hecho de que si se queman las instalaciones fsicas de cualquier
organizacin, sin que sufran daos los ordenadores, servidores o equipo de cmputo, la entidad podra
retomar su operacin normal en un menor tiempo.

La Auditora de Sistemas de Informacin nace hace ms de 35 aos justamente como un
Mecanismo, para valorar y evaluar la confianza que se puede depositar en los sistemas de informacin.
A raz de esto, la informacin adquiere gran importancia en la empresa moderna debido a su poder
estratgico y a que se invierten grandes sumas de dinero y tiempo en la creacin de sistemas de
informacin con el fin de obtener una mayor productividad.

2. AUDITORIA INTERNA Y EXTERNA

AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar a personas de
afuera.
AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a
personas de afuera para que haga la auditoria en su empresa.

La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa
auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora
interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier
momento.

Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es
siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor
distanciamiento entre auditores y auditados.

La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto
de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La
auditora interna tiene la ventaja de que puede actuar peridicamente realizando revisiones globales,
como parte de su plan anual y de su actividad normal. Los auditados conocen estos planes y se habitan
a las auditoras, especialmente cuando las consecuencias de las recomendaciones habidas benefician
su trabajo.

En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las
posibilidades tcnicas y los costes de tal sistema. Con voz, pero a menudo sin voto, la empresa necesita
controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos
procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en
la figura del auditor interno informtico.

3. BENEFICIOS

Mejora la imagen pblica.

Confianza en los usuarios sobre la seguridad y control de los servicios de TI.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

Genera un balance de los riesgos en TI.

4. TIPOS DE AUDITORA DE SISTEMAS

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los programas, etc.

Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de
seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos.

Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los
flujogramas.

Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los
datos.

Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad,
confidencialidad, autenticacin y no repudio.

Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de
riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de
informacin.

Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los
sistemas de comunicacin.

Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

5. IMPORTANCIA DE LA AUDITORIA INFORMTICA

La auditora permite a travs de una revisin independiente, la evaluacin de actividades, funciones
especficas, resultados u operaciones de una organizacin, con el fin de evaluar su correcta realizacin.
Este autor hace nfasis en la revisin independiente, debido a que el auditor debe mantener
independencia mental, profesional y laboral para evitar cualquier tipo de influencia en los resultados de la
misma.

La tcnica de la auditora, siendo por tanto aceptables equipos multidisciplinarios formados por
titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en derecho
especializados en el mundo de la auditora.

6. CONTROL INTERNO Y AUDITORIA INFORMATICA

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una auditora propia y
permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional
informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta
existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin
fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera
independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con
diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin
de las Empresas.

Tradicionalmente en materia de control interno se adopta un enfoque bastante restringido limitados a
los controles contables internos. El control interno era un tema que interesaba principalmente al personal
financiero de la organizacin y, por supuesto, al auditor externo. El concepto de control interno de mucha
gente no inclua muchas de las actividades operativas claves destinadas a prevenir los riesgos efectivos
y potenciales a los que se enfrentan las organizaciones.

Se puede definir control interno como cualquier actividad o accin realizada manual y/o
automticamente para prevenir, corregir errores o irregularidades que pueden afectar al funcionamiento
de un sistema para conseguir sus objetivos.

Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos
mecanismos de control, la mayora de los cuales son automticos, otros son completamente manuales.

Ante la rapidez de los cambios, los directivos deben reevaluar y reestructurar sus sistemas de
controles internos, actuar de manera proactiva antes que surjan los problemas, los controles internos de
la empresa estn adecuadamente diseados para hacer frente a los retos del futuro y asegurar la
integridad en el momento actual.

Los auditores informticos aportan conocimientos especializados, prestan una ayuda valiosa a la
organizacin, en muchas organizaciones el auditor ha dejado de centrarse en la evaluacin y
comprobacin de los resultados de los procesos, desplazando su atencin a la evaluacin de riesgos y la
comprobacin de controles.

Los objetivos de los controles informticos se han clasificado en:

Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los
accesos no autorizados al sistema.
Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento

Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias, ya sea
la recuperacin de un archivo daado a partir de las copias de seguridad.

6.1. CONTROL INTERNO INFORMATICO

El control interno informtico controla que todas las actividades de sistemas de informacin
sean realizadas cumpliendo los procedimientos, estndares y no normas fijadas por la Direccin
de la Organizacin y/o Direccin de Informtica, as como los requerimientos legales.

Uno de los principales objetivos es controlar que todas las actividades se realizan
cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales; y propiamente asesorar sobre el conocimiento de las
mismas.

6.2. AUDITORIA INFORMATICA

La Auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo los fines de la organizacin y utiliza eficientemente los recursos.

El auditor evala y comprueba los controles y procedimientos informativos informticos ms
complejos, en muchos casos, ya no es posible verificar manualmente los procedimientos
informatizados, por lo que se deber emplear software de auditora y otras tcnicas asistidas por
computador.

CONCLUSIONES

La importancia por el uso de la informtica durante los ltimos aos ha sido espectacular, mejora la
capacidad de toma de decisiones, al contar, de manera casi inmediata, con la informacin precisa.

La informtica no es algo neutro en las empresas, cada vez mas forma parte de una estrategia que usan
las organizaciones, ha dejado de ser una simple herramienta para transformarse en un modo de
estructuracin de las empresas, sino que la informacin es uno de los activos ms importantes, por lo que
tiene resguardar.

Es preciso supervisar continuamente los controles internos informticos para asegurarse de que el
proceso funciona segn lo previsto. Esto es muy importante, porque a medida que cambian los factores
internos y externos, controles que una vez resultaron idneos y efectivos pueden dejar de ser adecuados y de
dar a la Direccin la razonable seguridad que ofrecan antes.

Las funciones de control interno y auditora informticos, mirando desde un punto de vista distinto, estos
ayudan a las organizaciones y a sus directivos a cumplir sus obligaciones relativas al control interno y a
salvaguardar los activos, la integridad de los datos, si lleva a cabo eficazmente y si utiliza eficientemente los
recursos.

REFERENCIAS

AUDITORA INFORMTICA, Un enfoque prctico, 2da Edicin Ampliada y Revisada, Mario G. Piattini Velthuis
y Emilio del Peso Navarro.

ACTUALIDAD TECNOLOGICA, AUDITORA DE SISTEMAS INTERNA/EXTERNA
http://tecno-actualidad.blogspot.com/2010/02/auditoria-de-sistemas-interna-externa.html

AUDITORA INFORMATICA http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

AUDITORA INFORMATICA http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

AUDITORA INFORMATICA
http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_info
rmatica.pdf