AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA II
ASIGNATURA

PATRICIA MENDEZ SUAREZ

TUTORA

LUISA FERNANDA BECERRA DUARTE

ANGELICA MARIA DIAZ MEJIA
ESTUDIANTES

UNIVERSIDAD DE PAMPLONA
CREAD SANTANDER
BUCARAMANGA, NOVIEMBRE 16 DE 2018
 TABLA DE CONTENIDO

1. INTRODUCCION
2. OBJETIVOS
3. DEFINICION AUDITORIA DE SISTEMAS DE INFORMACION
4. OBJETIVOS DE LA AUDITORIA DE SISTEMAS DE INFORMACION
5. ALCANCE DE LA AUDITORIA DE SISTEMAS DE INFORMACIÓN
6. FASES DE LA AUDITORIA DE SISTEMAS DE INFORMACION
7. CONTROLES DE LA AUDITORIA DE SISTEMAS DE INFORMACION
7.1 Control Preventivo
7.2 Control Detectivo
7.3 Control Correctivo
8. PERFIL DEL AUDITOR
9. CONCLUSIONES
10. WEBGRAFIA
 1. INTRODUCCION

La auditoría de sistemas, hoy por hoy, se ha constituido en una de las herramientas

mas importantes para todas las empresas y organizaciones que manejan algún tipo
de sistemas de información, software, bases de datos, entre otros, para de esta
forma, poder garantizar la confiabilidad y la confidencialidad de la información.

Para poder llevar a cabo este tipo de auditorías, se deben tener en cuenta los
estándares internacionales como la Norma ISO 27001 (Estándar para la seguridad
de la información), la Norma ISO 27002 (Código Internacional de buenas prácticas
de seguridad de la información), así como los estándares COBIT (Objetivos de
control de para la información y tecnologías relacionadas), el cual es una de las
principales técnicas para la realización de la auditoría de sistemas de información
dentro del mundo de las TI (Tecnología de la Información); para de esta forma,
garantizar que las vulnerabilidades y los hallazgos encontrados, se encuentren
enmarcados dentro de las normas y estándares anteriormente mencionados.

De igual forma, en la actualidad, bajo el marco de la Ley 1581 de 2012,

reglamentada con el Decreto 1377 de 2013, Colombia cuenta con una
reglamentación clara con respecto a la protección de los Datos y la Información
Personal, el cual incluye todas las empresas y personas naturales, que tengan
acceso a información personal y comercial, tanto de las personas naturales y
jurídicas; esto con el fin, de controlar el acceso y la utilización de dicha información
para procesos ilegales e irregulares.
2. OBJETIVOS

Conocer que es la Auditoría de Sistemas de Información y su alcance.

Identificar los objetivos de la Auditoría de Información.
Reconocer las fases de la elaboración de la Auditoría de Sistemas de
Información.
Describir las clases de controles existentes dentro del desarrollo de la
Auditoría de Sistemas de Información.
Definir el perfil del Auditor de Sistemas de Información.
 3. DEFINICION DE AUDITORIA DE SISTEMAS DE INFORMACIÓN

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de

información (SI) es el estudio que comprende el análisis y gestión de sistemas
llevado a cabo por profesionales para identificar, enumerar y posteriormente
describir las diversas vulnerabilidades que pudieran presentarse en una revisión
exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Así mismo, también se puede definir como la revisión que se dirige a evaluar los
métodos y procedimientos de uso en una entidad, con el propósito de determinar si
su diseño y aplicación son correctos; y comprobar el sistema de procesamiento
de Información como parte de la evaluación de control interno; así como para
identificar aspectos susceptibles de mejorarse o eliminarse.

4. OBJETIVOS DE LA AUDITORIA DE SISTEMAS DE INFORMACIÓN

 Mejorar la relación coste-beneficio de los sistemas automáticos

implementados por el área de sistemas.
 Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas
informatizados.
 Garantizar la confidencialidad y confiabilidad de la información a través de
sistemas de seguridad y control profesionales.
 Minimizar la existencia de riesgos, tales como virus o hackers, por ejemplo.
 Optimizar y agilizar la toma de decisiones en cuanto a inversión y gastos.
 Educar sobre el control en los sistemas de información.

5. ALCANCE DE LA AUDITORIA DE SISTEMAS DE INFORMACION

 La auditoría abarcará solamente el área de tecnología e informática de la

empresa.
 Se examinará detalladamente los registros ingresados al sistema, brindando
mayor integridad, confidencialidad y confiabilidad de la información.
 Se comprobará si la empresa posee un sistema para la comprobación y
reparación de errores y si este los enmendada de manera eficiente.
 6. FASES DE LA AUDITORIA DE SISTEMAS DE INFORMACION

1. Enumeración de redes, topologías y protocolos.

2. Verificación del cumplimiento de los estándares Internacionales.
3. Identificación de los sistemas operativos instalados.
4. Detección, comprobación y evaluación de vulnerabilidades.
5. Medidas específicas de corrección.
6. Recomendaciones sobre implantación de medidas preventivas.

7. CONTROLES DE LA AUDITORIA DE SISTEMAS DE INFORMACION

El propósito de los controles de aplicación en un entorno informatizado es establecer

procedimientos de control específicos en las aplicaciones de negocio con el fin de
asegurar razonablemente que todas las transacciones sean autorizadas y
registradas, y que son procesadas de forma completa, adecuada y oportuna;
buscando con ello, la implementación de los controles adecuados para cada área,
así como la seguridad y rigurosidad que llevaran cada uno de ellos, dependiendo
de los riesgos que conlleven determinada actividad o de la rapidez en que se
requiera la información, así como del conocimiento que se espera sea público o
privado.

Teniendo en cuenta lo anterior, los controles se pueden clasificar en forma general

de la siguiente manera:
7.1 Control Preventivo: Son aquellos que reducen la frecuencia con que
ocurren las causas del riesgo, permitiendo cierto margen de violaciones;
ejemplo: sistemas de claves de acceso.
7.2 Control Detectivo: Son aquellos que no evitan que ocurran las causas
del riesgo, sino que los detecta luego de ocurridos. Son los más
importantes para el auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos; por ejemplo: procedimientos de
validación.
7.3 Control Correctivo: Ayudan a la investigación y corrección de las
causas del riesgo. La corrección adecuada puede resultar difícil e
ineficiente, siendo necesaria la implantación de controles detectivos
sobre los controles correctivos, debido a que la corrección de errores es
en sí una actividad altamente propensa a errores; por ejemplo: inspección
y supervisión del personal.
De igual forma, existen otras clases de controles, los cuales se describen a
continuación:

 Principales Controles físicos y lógicos

Controles particulares tanto en la parte física como en la lógica se detallan a
continuación:
Autenticidad
Permiten verificar la identidad:
1. Passwords
2. Firmas digitales

Exactitud
Aseguran la coherencia de los datos
1. Validación de campos
2. Validación de excesos

Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de
envío
1. Conteo de registros
2. Cifras de control

Redundancia
Evitan la duplicidad de datos
1. Cancelación de lotes
2. Verificación de secuencias

Privacidad
Aseguran la protección de los datos
1. Compactación
2. Encriptación

Existencia
Aseguran la disponibilidad de los datos
1. Bitácora de estados
2. Mantenimiento de activos
Protección de Activos
Destrucción o corrupción de información o del hardware
1. Extintores
2. Passwords

Efectividad
Aseguran el logro de los objetivos
1. Encuestas de satisfacción
2. Medición de niveles de servicio

Eficiencia
Aseguran el uso óptimo de los recursos
1. Programas monitores
2. Análisis costo-beneficio

 Controles automáticos o lógicos

Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar
periódicamente. Normalmente los usuarios se acostumbran a conservar la misma
clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas no
autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto, se recomienda cambiar claves por lo menos trimestralmente.
Combinación de alfanuméricos en claves de acceso
No es conveniente que la clave este compuesta por códigos de empleados, ya que
una persona no autorizada a través de pruebas simples o de deducciones puede
dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales
Pertenecen a un solo usuario, por tanto, es individual y personal. Esta clave permite
al momento de efectuar las transacciones registrar a los responsables de cualquier
cambio.
Confidenciales
De forma confidencial los usuarios deberán ser instruidos formalmente respecto al
uso de las claves.
No significativas
Las claves no deben corresponder a números secuenciales ni a nombres o fechas.
Verificación de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o
precisión; tal es el caso de la validación del tipo de datos que contienen los campos
o verificar si se encuentran dentro de un rango.
Conteo de registros
Consiste en crear campos de memoria para ir acumulando cada registro que se
ingresa y verificar con los totales ya registrados.
Totales de Control
Se realiza mediante la creación de totales de línea, columnas, cantidad
de formularios, cifras de control, etc. , y automáticamente verificar con un campo en
el cual se van acumulando los registros, separando solo aquellos formularios o
registros con diferencias.
Verificación de limites
Consiste en la verificación automática de tablas, códigos, limites mínimos y
máximos o bajo determinadas condiciones dadas previamente.
Verificación de secuencias
En ciertos procesos los registros deben observar cierta secuencia numérica o
alfabética, ascendente o descendente, esta verificación debe hacerse mediante
rutinas independientes del programa en sí.
Dígito auto verificador
Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado
de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta
la corrección o no del código.
Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al microcomputador, de tal
modo que solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregación de funciones y la
confidencialidad de la información mediante controles para que los usuarios puedan
accesar solo a los programas y datos para los que están autorizados.
Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.
 8. PERFIL DEL AUDITOR

Es un profesional dedicado al análisis de sistemas de información que está

especializado en alguna de las ramas de la auditoría informática, que tiene
conocimientos generales de los ámbitos en los que ésta se mueve, además de
contar con conocimientos empresariales generales.

Características:
- Conocimiento en desarrollo de Sistemas de Información
- Administración del Departamento de Informática
- Conocimiento en sistemas operativos
- Conocimiento en Telecomunicaciones
- Administración de Bases de Datos
- Conocimiento en redes locales y seguridad física
- Administración de seguridad de los sistemas – planes de contingencia
- Automatización de oficinas – ofimática
- Comercio electrónico
- Encriptación de datos
- Conocimiento en técnicas de administración de empresas
- Enfoque de Calidad Total
- Conocimiento el Ley de Auditoría de cuentas
- Conocimiento el Ley de Servicios de la Sociedad de la Información y del
Comercio Electrónico
- Ley orgánica de Protección de Datos
 9. CONCLUSIONES

La auditoría en informática es la revisión y la evaluación de los controles, sistemas,

procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia
y seguridad, de la organización que participan en el procesamiento de la
información, a fin de que por medio del señalamiento de cursos alternativos se logre
una utilización más eficiente y segura de la información que servirá para una
adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos

de cómputo, de un sistema o procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los

sistemas de información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad.
 10. WEBGRAFIA

https://www.ecured.cu/Auditor%C3%ADa_de_sistemas
https://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_inf
ormaci%C3%B3n
https://nuestrofuturo12061.wordpress.com/fases-de-auditoria/
https://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-en-
tecnologia/
https://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml