UNIVERSIDAD

IBEROAMERICANA

AUDITORÍA INFORMÁTICA
Prof. Lic. Edgar Martínez Cardozo

0981 963 467 edgarcmc@gmail.com

 OBJETIVOS

• Brindar conocimientos necesarios de

Auditoria Informática.

• Proporcionar métodos para evaluar los riesgos

de las tecnologías de información.

• Establecer los objetivos de auditoría, elaborar

los programas de trabajo y, redactar informes
y recomendaciones.
 UNIDADES PROGRAMATICAS

• CAPÍTULO I. CONCEPTOS BÁSICOS

• CAPÍTULO II. METODOLOGÍA DE TRABAJO
• CAPÍTULO III. AUDITORÍA DE LA SEGURIDAD
• CAPÍTULO IV. AUDITORÍA DE REDES
• CAPÍTULO V. AUDITORÍA DE DESARROLLO
• CAPÍTULO VI. AUDITORÍA DE BASES DE DATOS
• CAPÍTULO VII. AUDITORÍA DE LA CALIDAD
• CAPÍTULO VIII. AUDITORÍA DE LA DIRECCIÓN
 ESTRATEGIAS METODOLOGICAS

• 1. Exposición del profesor.

• 2. Técnica de lectura de textos.
• 3. Investigación documental.
• 4. Trabajos individuales.
• 5. Exposición de los alumnos.
• 6. Técnicas grupales.
 EVALUACION

• Diagnóstica (exámenes parciales y finales),

conforme al reglamento académico de la
Universidad.

• Participación en clase.

• Presentación y exposición de trabajos.

 BIBLIOGRAFIA

• Piattini. Emilio del Peso. Auditoria Informática. Un

enfoque Práctico.

• Fraud Detection. David Goderre.

• MCIIEF. Manual de control Interno Informático para

entidades financieras. SIB. BCP.
AUDITORIA INFORMATICA

CAPITULO I

CONCEPTOS BASICOS
 INFORMATICA

La informática se define como la automatización y la sistematización

de la información con el fin de organizar y procesar en forma ágil y
precisa los datos almacenados.

AUDITORIA
La auditoría es el proceso de control mediante el cual se evalúan y
se supervisan las actividades de manera clara y objetiva de un ente
económico, con el fin de hallar los riesgos que puedan afectar el
desarrollo normal de la compañía.
 AUDITORIA EN
INFORMATICA

La Auditoría en informática es la supervisión y

evaluación tanto de los sistemas informáticos y
equipos de computo, como la utilización de la
información y la seguridad de la misma contenida en
estos medios informáticos, con el fin de determinar
posibles riesgos y amenazas de la información.
 Auditoria Informática
La auditoría informática es el proceso de recoger,
agrupar y evaluar evidencias para determinar si un
sistema de información salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. También permiten detectar de
forma sistemática el uso de los recursos y los flujos de
información dentro de una organización y determinar qué
información es critica para el cumplimiento de su misión y
objetivos, identificando necesidades, duplicidades,
costes, valor y barreras, que obstaculizan flujos de
información.
 Auditoria Informática

Auditar consiste principalmente en estudiar los mecanismos de control

que están implantados en una empresa u organización, determinando si
los mismos son adecuados y cumplen unos determinados objetivos o
estrategias, estableciendo los cambios que se deberían realizar para la
consecución de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de detección, correctivos o de recuperación ante
una contingencia
 Por que es necesaria la
auditoria informática?

Auditar consiste principalmente en estudiar los

mecanismos de control que están implantados en una
empresa u organización, determinando si los mismos
son adecuados y cumplen unos determinados objetivos
o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos.
Los mecanismos de control pueden ser directivos,
preventivos, de detección, correctivos o de
recuperación ante una contingencia.
 Los objetivos de la auditoría Informática son:

• El control de la función informática

• El análisis de la eficiencia de los Sistemas

Informáticos

• La verificación del cumplimiento de la Normativa

en este ámbito

• La revisión de la eficaz gestión de los recursos

informáticos.
 Tipos de Auditoría informática

• Auditoría de la gestión: Referido a la contratación de

bienes y servicios, documentación de los programas, etc.

• Auditoría legal: Cumplimiento legal de las medidas de

seguridad exigidas por los organismos reguladores (SIB).

• Auditoría de los datos: Clasificación de los datos, estudio

de las aplicaciones y análisis de los flujogramas.
 Tipos de Auditoría informática
• Auditoría de las bases de datos: Controles de acceso, de
actualización, de integridad y calidad de los datos.

• Auditoría de la seguridad: Referidos a datos e

información verificando disponibilidad, integridad,
confidencialidad y autenticación.

• Auditoría de la seguridad lógica: Comprende los

métodos de autenticación de los sistemas de información.
 Tipos de Auditoría informática

• Auditoría de la seguridad física: Referido a la ubicación

de la organización, evitando ubicaciones de riesgo, y en
algunos casos no revelando la situación física de esta.
También está referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

• Auditoría de las comunicaciones: Se refiere a la

auditoria de los procesos de autenticación en los sistemas de
comunicación.

• Auditoría de la seguridad en producción: Frente a

errores, accidentes y fraudes.
 Perfil del Auditor Informatico

El perfil de un auditor informático es el que

corresponde a un Ingeniero en Informática o Analista
de Sistemas Informáticos en cualquiera de sus
especialidades, pero más concretamente la
especialidad de Gestión. O también a un profesional
al que se le presupone cierta formación técnica en
informática y experiencia en el sector, independencia
y objetividad, madurez, capacidad de síntesis, análisis
y seguridad en sí mismo.
 En Paraguay existe un vacío legal por la ausencia de
normativas que defina claramente:

• Quien puede realizar auditoría informática.

• Como se debe realizar una auditoría informática.

• En que casos es necesaria una auditoría

informática.
 Perfil del Auditor Informatico

El auditor informático, como encargado de la

verificación y certificación de la informática dentro
de las organizaciones, deberá contar con un perfil
que le permita poder desempeñar su trabajo con la
calidad y la efectividad esperada. Para ello a
continuación se establecen algunos elementos con
que deberá contar:
  Conocimientos Generales

* Todo tipo de conocimientos tecnológicos, de forma actualizada y

especializada respecto a las plataformas existentes en la
organización;

* Normas estándares para la auditoría interna;

* Políticas organizacionales sobre la información y las tecnologías

de la información.

* Características de la organización respecto a la ética, estructura

organizacional, tipo de supervisión existente, compensaciones
monetarias a los empleados, extensión de la presión laboral sobre los
empleados, historia de la organización, cambios recientes en la
administración, operaciones o sistemas, la industria o ambiente
competitivo en la cual se desempeña la organización, aspectos
legales.
  Herramientas

* Herramientas de control y verificación de la seguridad;

* Herramientas de monitoreo de actividades, etc.

 Técnicas

* Técnicas de Evaluación de riesgos

* Muestreo
* Cálculo pos operación
* Monitoreo de actividades
* Recopilación de grandes cantidades de
información
* Análisis e interpretación de la evidencia, etc.