Contenido

Conceptos Bsicos de Auditora Informtica

Justificacin

Objetivos
Ejemplos

Primero: Que es la auditora?

Es la revisin independiente que
realiza un auditor profesional,
aplicando tcnicas, mtodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organizacin,
as como dictaminar sobre el
resultado de dicha evaluacin.

Qu es la Auditoria en Sistemas
de Informacin?
Es el examen objetivo, crtico, sistemtico,
posterior y selectivo que se hace a la
administracin informtica de una
organizacin, con el fin de emitir una opinin

acerca de:

La eficiencia en la adquisicin y
utilizacin de los recursos informticos.

a confiabilidad, la integridad, la
seguridad y oportunidad de informacin.

La efectividad de los controles en los

sistemas de informacin

Qu es la Auditoria en Sistemas
de Informacin?
Una auditoria de SI es diferente de una
auditoria de estados financieros.
Mientras que una auditoria financiera su
propsito es evaluar si una organizacin
est cumpliendo con las prcticas
contables habituales, los efectos de una
auditoria de SI deben evaluar el diseo del
sistema de control interno y la eficacia.
Esto incluye pero no se limita a la
eficiencia y protocolos de seguridad, los
procesos de desarrollo o de supervisin de
SI.

Justificacin
Aumento de la
vulnerabilidad

Automatizacin de los
procesos y prestacin
de servicios

Beneficios para
alcanzar los
objetivos

Recursos
TICs
Informacin como
recurso
estratgico

Aumento de la
productividad

Magnitud de los
costos e
inversiones TIC

La productividad de cualquier organizacin depende del funcionamiento

ininterrumpido de los sistemas TIC, transformando a todo el entorno en un proceso
crtico adicional

FACTORES QUE PROPICIAN LA AUDITORA

INFORMTICA
Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de equipos

computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades
de procesamiento de datos, aumentando as la
posibilidad
de
toma
de
decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organizacin.

Objetivos Generales de la Auditora en Informtica

Asegurar la integridad, confidencialidad y

confiabilidad de la informacin.

Minimizar existencias de riesgos en el uso de

Tecnologa de informacin

Conocer la situacin actual del

informtica para lograr los objetivos.

Seguridad, utilidad, confianza, privacidad y

disponibilidad en el ambiente informtico, as
como tambin seguridad del personal, los
datos, el hardware, el software y las
instalaciones.

El objetivo es evaluar la capacidad de la

organizacin para proteger sus activos de
informacin y debidamente prescindir de la
informacin a personas autorizadas

rea

Objetivos Generales de la Auditora en

Informtica
Incrementar la satisfaccin de los

usuarios de los sistemas informticos.

Capacitacin y educacin sobre
controles en los Sistemas de
Informacin.
Buscar una mejor relacin costobeneficio de los sistemas automticos
y tomar decisiones en cuanto a
inversiones para la tecnologa de
informacin.

5.1.Objetivos de la evaluacin
Verificar la existencia de los controles requeridos
Determinar la operatividad y suficiencia de los
controles existentes

4.1.Codificacin6.1.Informe
de controles
detallado de

Los controles se aplican a los diferentes grupos

recomendaciones
utilizadores de recursos, luego la identificacin de los
6.2.Evaluacin de las respuestas
controles deben contener una codificacin la cual
resumen
la alta gerencia
identifique el grupo6.3.Informe
al cual pertenece
el para
recurso
Este informe debe prepararse una vez
protegido.
5.2.Plan de pruebas de los controles
obtenidas
y analizadas las respuestas de
4.2.Relacin entre
recursos/amenazas/riesgos
Incluye la seleccin del tipo de prueba a realizar.
compromiso
la reas.
La relacin con los
controlesdedebe
establecerse para
Debe solicitarse al rea respectiva, todos los
Introduccin:
objetivoPara
y contenido
del
cada tema (Rec/Amz/Rie)
identificado.
cada tema
elementos necesarios de prueba.
de auditoria
debe establecerseinforme
uno o ms
controles.
Objetivos de la
4.3.Anlisis de cobertura
losauditora
controles
5.3.Pruebas de controles
Alcance: cobertura de la evaluacin
requeridos
Este anlisis tienerealizada
como propsito determinar si los
5.4.Anlisis de resultados de las pruebas
7.1.Informes
dellasseguimiento
2.1.Definicin de
transacciones.
controles que el auditor
identific
como necesarios
Opinin:
con relacin
a la suficiencia del
Dependiendo
del
tamao
del
sistema,
proveen
una
proteccin
adecuada
de
los
recursos.
interno
del sistema
evaluado
1.1. Aspectoscontrol
Legales
y Polticas
Internas.
7.2.Evaluacin de los controles
las transacciones se dividen en
Sobre estos Hallazgos
elementos est construido el sistema
implantados
procesos y estos en subprocesos. La
de control y Recomendaciones
por lo tanto constituyen el marco de
importancia de las transacciones3.1.Identificacin de riesgos
referencia para su evaluacin.
deber
ser
asignada
con
losDaos fsicos o destruccin de los recursos
administradores.
Prdida por fraude o desfalco
1.2.Caractersticas del Sistema Operativo.
Extravo de documentos fuente,
archivos odel
informes
Organigrama
rea que participa en el sistema
2.2.Anlisis de las transacciones
Robo de dispositivos o medios
de almacenamiento
Manual
de funciones de las personas que
Establecer el flujo de los documentos Interrupcin de las operaciones
del negocio
participan
en los procesos del sistema
En esta etapa se hace uso de losPrdida de integridad de losInformes
datos
de auditora realizadas anteriormente
flujogramas
ya
que
facilita
laIneficiencia de operaciones
visualizacin del funcionamiento yErrores
1.3.Caractersticas de la aplicacin de computadora
recorrido de los procesos.
3.2.Identificacin de las amenazas
Manual tcnico de la aplicacin del sistema
Funcionarios
(usuarios)
autorizados
para
Amenazas sobre los equipos:
2.3.Anlisis de los recursos
administrar
la
aplicacin
Amenazas sobre documentos fuente
Identificar y codificar los recursos queAmenazas sobre programas
Equipos
utilizados en la aplicacin de
de aplicaciones
participan en el sistemas
computadora
Seguridad de la aplicacin (claves de acceso)
3.3.Relacin entre recursos/amenazas/riesgos
2.4.Relacin entre transacciones y
Procedimientos
para
La relacin entre estos elementos
deber establecerse
a partir generacin
de la observaciny
recursos
almacenamiento
de
los
archivos
de
la aplicacin.
de los recursos en su ambiente real de funcionamiento.

Fases de la Auditoria Informtica

Fase I:

Conocimientos del Sistema

Fase II:

Anlisis de transacciones y recursos

Fase III:

Anlisis de riesgos y amenazas

Fase IV:

Anlisis de controles

Fase V:

Evaluacin de Controles

Fase VI:

El Informe de auditoria

Fase VII:

Seguimiento de las Recomendaciones

EVIDENCIAS
1 El crecimiento del acceso a Internet y de usuarios conectados incrementa la
posibilidad de concrecin de amenazas informticas.

2 Crecimiento de la informacin disponible de empresas y sus

empleados en redes sociales.
3 Robo de credenciales o captura ilegal de datos.
4 Acceso a redes empresariales a travs de cdigos maliciosos
diseados para obtener informacin sensitiva.
5 En el 2009 los sectores financiero, proveedores de servicios TIC,
comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los ms vulnerables ante
las amenazas informticas.
6 En el 2010 hubo 286 millones de nuevas ciberamenazas.
Cuidar a las empresas en esos momentos no es labor fcil. Los
ataques son incesantes (al menos 10,000 amenazas circulan en la
red cada minuto), y cada ao causan prdidas por ms de 650,000
millones de dlares, dice el grupo Crime-Research.org.

Se requiere contar con una efectiva administracin

de los RIESGOS asociados con las TIC

Rol Bsico de la Funcin de Auditora Informtica

Supervisin de los CONTROLES IMPLEMENTADOS

y determinacin de su eficiencia

Fuente: Rodrguez (2006)

Riesgo Informtico
Acciones
que pueden ocasionar
consecuencias
La
Organizacin
Internacional
de
negativas en la plataforma
informtica
disponible:
fallas,
Condiciones inherentes a los activos o
ingresos no autorizados
a (ISO)
las reas
de
computo,
Normalizacin
define
riesgo
presentes
en su
entorno
quevirus,
facilitan que las
uso inadecuado de amenazas
activos informticos,
desastres
se materialicen.
ambientales (terremotos, (Guas
inundaciones), incendios,
tecnolgico
para o carencias:
la
Se
manifiestan
como
debilidades
accesos ilegales a los sistemas, fallas elctricas.
de conocimiento del
usuario, tecnologa
Gestin de lafalta
Seguridad)
como:
inadecuada,
fallas
en
la
transmisin,
inexistencia de antivirus, entre otros

La probabilidad de que una

amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto especfico, el cual
puede estar representado
por
Consecuencias de la ocurrencia
distintas amenazas: financieras
prdidas y daos.
financieras.

de las
o no

Perdida de dinero, deterioro de la imagen de

la empresa, reduccin de eficiencia, fallas
operativas a corto o largo plazo, prdida de
vidas humanas, etc.

Tipos de Pruebas
Al definir las pruebas o procedimientos de auditoria,
estamos definiendo los tipos de tareas a efectuar.
Existen dos tipos de pruebas:
De Cumplimiento

Sustantivas

Sinnimo

De control Interno

Objetivo

Funcionamiento
de Validar la informacin
los
procedimientos y los datos.
internos del ente.
Gestin del ente
Sistema
de
informacin.

Objeto auditado

De validez

Y...Qu es el control Interno?

Es un proceso, mediante el cual la
administracin, los directivos y/o la alta
gerencia
le
proporcionan
a
sus
actividades, un grado razonable de
confianza, que le garantice la consecucin
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la informacin financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organizacin
medidas
preventivas,
deteccin y correccin de errores, fallos y
fraudes o sabotajes

CONTROL INTERNO.
DEFINICIN Y TIPOS
Cualquier actividad o accin
realizada manual y/o
automticamente para prevenir,
corregir errores o
irregularidades que puedan
afectar el funcionamiento de un
sistema para conseguir sus
objetivos.
La tipologa tradicional de los controles informticos es:

Bajo Nivel de
Vulnerabilidad?
Dao a los
equipos, datos
o informacin
Concrecin
de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Objetivos: Desafo,
ganancia financiera/poltica,
dao

Causa Fsica (Natural o no)

Confidencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa

Disuasivos

Tratar de evitar el
Cuando
fallan los
hecho
preventivos para
tratar de conocer
cuanto antes el evento

Preventivos
Amenaza o
Riesgo

Operatividad

Plataforma Informtica

Vuelta a la normalidad
cuando se han
producido incidencias Detectivo

Tmin
Correctivo

PRUEBAS SUSTANTIVAS
Una vez realizadas las pruebas de cumplimiento se debe
analizar la informacin almacenada en el SI. Si la misma se
encuentra en soportes informticos puede ser analizada en su
totalidad (el alcance ser total) puesto que ello puede hacerse
rpidamente. La informacin que no es encuentre almacenada
digitalmente puede ser muestreada segn el diagnstico hecho
sobre los controles generales y los controles particulares.
Se pueden encontrar las siguientes herramientas para la
realizacin de pruebas sustantivas:
Programa o sistema especial de auditora
Paquete o software de auditora
Aplicativos en general (ejemplo planillas de clculo)
Lenguajes de consulta

Normas de Auditora Informtica

disponibles
Gua de auditoria del sistema

de gestin de seguridad de la
COSO (Committee of Sponsoring
informacin para su
Organizations of the Treadway Commission,
proteccin.

EEUU 1992).

ITIL (Information Technology

Infrastructure
brindan buenas
prcticas a travs de un marco d

trabajo de dominios y procesos, y presenta l

Library, Inglaterra 1990).
actividades en una estructura manejable y lgic

Representan el consenso de expertos. Enfocad

ISO/IEC 17799:2000 (International
fuertemente en el control y menos en la ejecuci

Ayudan a optimizar las inversiones facilitadas p

Organization for
la TI, asegurarn la entrega del servicio
Standardization/International
brindarn una medida contra la cual juzgar cuand
las cosas no vayan bien.
Electrotechnical Commission,
Inglaterra
2000).

Modelo de evaluacin del

COBIT (ControlMarco
Objectives
for Information
referencial
que evala el
control interno en los sistemas,
proceso
gestin
de los
and Related
IT,deEEUU
1998).
funciones,
procesosTechnology
o
Servicios de tecnologa de
actividades en forma ntegra.
informacin y de la
infraestructura tecnologa.

Bibliografa Referencial
AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004).
Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com
(Consulta: Noviembre 2006).
ECHENIQUE GARCA, JOS (2001). Auditora en Informtica. 2da Edicin.
McGraw Hill. Mxico.
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998).
COBIT, marco referencial, objetivos de control para la informacin y
tecnologa afines. 2da Edicin.
MUOZ RAZO, CARLOS. 2002. Auditora en Sistemas Computacionales.
Pearson-Prentice Hall. Mxico.
RODRGUEZ R., FERNANDO (2006). Auditora Informtica en la
Administracin: un reto para los profesionales TIC. Tecnimap. Comunicacin
No. 043. Espaa.
PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditora en Informtica. Un
enfoque prctico. Editorial RAMA. Espaa.
RUIZ GONZLEZ, FRANCISCO (1999). Planificacin y Gestin de Sistemas
de Informacin. 2da. Edicin. COBIT-Universidad de Castilla. Espaa.

SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security

Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com
VEGA, JAIME (2003). Auditora de sistemas. Seccin 9. Captulo 53.
Enciclopedia de Auditora. Editorial Ocano Centrum. Espaa.