PROGRAMA ACADÉMICO

INGENIERIA DE SISTEMAS DE INFORMACIÓN

Asignatura: Auditoria de Tecnologia de la Información

TEMA
AUDITORIA DE TECNOLOGIAS DE LA INFORMACIÓN

SESIÓN 03
DOCENTE
Mgr. Ing. Jimmy Max Ramirez Villacorta
 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

Logro de la Sesión
Al finalizar la sesión el alumno conocerá los conceptos básicos,
importancia y objetivos fundamentales y tipos de auditoria de
TI, informática o de sistemas.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

¿QUÉ ES UNA AUDITORIA DE TI?

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

AUDITORIA DE SISTEMAS

Es la revisión y evaluación de los controles,

sistemas, procedimientos de informática; de
los equipos de computo, su utilización,
eficiencia y seguridad, de la organización que
participan en el procesamiento de la
información, a fin que por medio del
señalamiento de cursos alternativos se logre
una utilización mas eficiente y segura de la
información que servirá para una adecuada
toma de decisiones.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

AUDITORIA INFORMÁTICA

Es el conjunto de técnicas, procedimientos y

actividades, destinados a analizar y evaluar
el funcionamiento de los sistemas
informáticos de un ente, por lo que
comprende un examen metódico, puntual y
discontinuo, con el propósito de mejorar
aspectos como: Control y seguridad de los
sistemas informáticos; cumplimiento de la
normativa tecnológica del ente, control de
planes de contingencia; eficacia y
rentabilidad en el manejo de los sistemas

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

¿QUÉ ES UNA AUDITORIA DE TI?

Es un proceso llevado a cabo por profesionales
especialmente capacitados para llevar a cabo esta
tarea, y que consiste en recoger, agrupar y evaluar
evidencias para determinar si un sistema de
información salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes
y regulaciones establecidas, también permiten
detectar de forma sistemática el uso de los
recursos y los flujos de información dentro de una
organización y determinar qué información es
crítica para el cumplimiento de su misión y
objetivos, identificando necesidades, duplicidades,
costes, valor y barreras, que obstaculizan flujos de
información eficientes.
Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta
 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

OBJETIVO DE UNA AUDITORIA DE TI

• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

PERFIL DEL AUDITOR DE TI, SISTEMAS O

AUDITOR INFORMÁTICO

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

PERFIL DEL AUDITOR DE TI, INFORMATICO O

DE SISTEMAS
El auditor de sistemas o informática es aquella persona que tiene como mínimo
conocimientos básicos en las áreas de:

• Gestión Empresarial
• Gestión de Proyectos
• Gestión Tecnológica
• Tecnología Informática
• Tecnología ofimática y Telemática
• Bases de Datos
• Ingeniería de Software
• Seguridad Informática
• Sistemas de Información

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

FUNCIONES DEL AUDITOR INFORMATICO O DE

SISTEMAS
Se pueden establecer tres grupos de funciones a realizar por un auditor:

 Participar en la revisiones durante y después del diseño,

realización, implantación y explotación de aplicaciones
informáticas.

 Revisar y juzgar los controles implantados en los sistemas

informáticos para verificar su adecuación a las ordenes e
instrucciones de la dirección, requisitos legales, protección
de confidencialidad y cobertura ante errores y fraudes.

 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y

seguridad de los equipos e información.
Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta
 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

JUSTIFICACIÓN DE LA REALIZACIÓN DE UNA AUDITORIA DE

TI, INFORMATICA O DE SISTEMAS

Aumento de
Riesgos

Automatización
Información
de los procesos y
como recurso
prestación de
estratégico
servicios

Magnitud de
Aumento de
los costos e
la
inversiones
productividad
TIC

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

Aumento de
Riesgos

El riesgo es la probabilidad de que se produzca un incidente de

seguridad, materializándose una amenaza y causando pérdidas
o daños.

Se mide asumiendo que existe una cierta vulnerabilidad frente

a una determinada amenaza, como puede ser un hacker, un
ataque de denegación de servicios, un virus, etc.

El riesgo depende entonces de los siguientes factores: la

probabilidad de que la amenaza se materialice aprovechando
una vulnerabilidad y produciendo un daño o impacto.

El producto de estos factores representa el riesgo.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

Aumento de
Riesgos

Vulnerabilidad.- Es una debilidad o fallo en un sistema de

computacional que pone en riesgo la seguridad de la
información pudiendo permitir que un atacante pueda
comprometer la integridad, disponibilidad o
confidencialidad de la misma, por lo que es necesario
encontrarlas y eliminarlas lo antes posible. Estos
«agujeros» pueden tener distintos orígenes por ejemplo:
fallos de diseño, errores de configuración o carencias de
procedimientos.

Esto de convierte en amenazas.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta
 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

Aumento de
Riesgos

Amenaza.- es toda acción que aprovecha una

vulnerabilidad para atentar contra la seguridad de
un sistema computacional. Es decir, que podría
tener un potencial efecto negativo sobre algún
elemento de nuestros sistemas. Las amenazas
pueden proceder de ataques (fraude, robo, virus),
sucesos físicos (incendios, inundaciones) o
negligencia y decisiones institucionales (mal manejo
de contraseñas, no usar cifrado). Desde el punto de
vista de una organización pueden ser tanto internas
como externas.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

Información
como recurso
estratégico

La información se origina y fluye dentro de la

empresa y puede ser utilizada como un
recurso para el uso, manejo y alcance de su
éxito, en coordinación con los tradicionales
recursos (materiales, económicos, humanos
y financieros)

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información
Magnitud de
los costos e
inversiones
TIC

Cómo eficientizar la empresa en inversiones de TIC

• ¿Cuánto dinero gasta su empresa en la implementación

de recursos de tecnología informática (TIC)?
• ¿Qué criterios utiliza para tomar sus decisiones?
• ¿Sabe usted exactamente cuánto dinero invierte cada
uno de los departamentos de su empresa en TIC y si
estas inversiones están justificadas?

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información
Aumento de
la
productividad

Es el enfoque de ingeniería para identificar,

verificar y controlar los costos y la
productividad.

Los resultados que produce son evidentes,

pues se reflejan directamente en los estados
de pérdidas y ganancias de la empresa.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Automatización Asignatura: Auditoria de Tecnologia de la Información
de los procesos y
prestación de
servicios

• Automatizar el proceso. “Normalizar el proceso”

• Automatizar el archivo de los datos. Lograr que sean
digitales y tratables por las herramientas.
• Automatizar la generación de la información. Donde entran
en juego las herramientas informáticas
• Automatizar los flujos de información. Donde logramos que
la información llegue a las personas adecuadas
• Automatizar la calidad de los datos. Donde debemos lograr
que la información generada refleje la realidad en el grado
más alto posible
• Automatizar las decisiones. La guinda del pastel: lograr
escribir reglas matemáticas que tomen decisiones por
nosotros en función de los datos anteriores

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

IMPORTANCIA DE LA AUDITORIA DE TI

La auditoría permite a través de una revisión independiente, la evaluación de actividades,

funciones específicas, resultados u operaciones de una organización, con el fin de evaluar su
correcta realización. Este autor hace énfasis en la revisión independiente, debido a que el
auditor debe mantener independencia mental, profesional y laboral para evitar cualquier
tipo de influencia en los resultados de la misma.

la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados

por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en
derecho especializados en el mundo de la auditoría.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN
Asignatura: Auditoria de Tecnologia de la Información

TIPO DE AUDITORIA DE TI
• Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad
exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
• Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad,
confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo,
y en algunos casos no revelando la situación física de esta. También está referida a las protecciones
externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
• Auditoría de las comunicaciones: Se refiere a la auditoría de los procesos de autenticación en los sistemas
de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Docente: Mgr. Ing. Jimmy Max Ramirez Villacorta

 PROGRAMA ACADÉMICO
INGENIERIA DE SISTEMAS DE INFORMACIÓN

GRACIAS POR SU ATENCIÓN

Mgr. Ing. Jimmy Max Ramirez Villacorta
Email:
jimmy.ramirez.villacorta@gmail.com