AUDITORIA DE LA FUNCIÓN INFORMÁTICA
EVALUACIÓN DE LA SEGURIDAD
Cualquier empresa, en algún momento, se encuentra inmersa en
cierta fase llamada ciclo de crecimiento competitivo, dentro del
cual la informática juega un papel protagónico y definitivo.
a) RECOPILACIÓN DE INFORMACIÓN ORGANIZACIONAL
 Información organizacional: se refiere a la Información
canalizada por la función de Comunicación Externa, la
Información de contenidos puramente Operativos, y la
Información procedente en su mayor parte de la función
de Recursos Humanos o Personal.
 ¿Cómo se divide?
Horacio Andrade hace un análisis de la Información en la
organización
- La Información relacionada con la organización.
- La Información acerca del trabajo.
- La Información sobre asuntos que afectan la vida
personal.
Para que un proceso de D.O. tenga éxito debe comenzar
por obtener un diagnostico con información verdadera.
Es un ciclo continuo en el cual se planea la recolección de
datos, se analiza, se retroalimentan y se da un
seguimiento.
La recolección de datos puede darse de varias maneras:
- Cuestionarios
- Entrevistas
- Observación
- Información documental (archivo)
Toda la información tiene un valor en sí misma, el método
de obtención de información está directamente ligado a la
disponibilidad, dificultad y costo.
b) Evaluación de recursos Humanos.
Proceso técnico a través del cual, en forma integral,
sistemática y continúa es realizada por parte de los jefes
inmediatos.
La información obtenida de la evaluación de los
colaboradores, sirve también para determinar las
necesidades de formación y desarrollo, tanto para el uso
individual como de la organización. También sirve para el
fomento de la mejora de resultados del desempeño
laboral.
 serie de objetivos sobre la evaluación
1.Mejorar el de los trabajadores.
2.desarrollo y comunicación Desarrollar y mejorar el
conjunto de los sistemas de la organización.
3.Logra un mayor ajuste persona/puesto y en el
conocimiento profesional del propio evaluado.
 Criterios de evaluación
1.En función de los objetivos: Consiste en la identificación
por parte del jefe y empleado de las áreas de
responsabilidad y los indicadores para medir resultados.
2.En función de los factores de valor: Se trata de evaluar
el desempeño según el perfil socio- profesional
(habilidades, capacidades, actitudes, organización,
resolución de problemas, toma de decisiones, etc.) de cada
puesto de trabajo.
 Existen varios métodos para evaluar, como:
Clasificación, Comparación, Curva de rendimiento, Listados
de características, Evaluación abierta, Evaluación del
personal jerárquico, Autovaloración, Evaluación entre
áreas.
 Existen varios obstáculos para medir el rendimiento
- Los errores y el sesgo de la persona que realiza la
evaluación.
- La influencia de los gustos.
- La política de la organización.
- El enfoque hacia el individuo o hacia el grupo.
- Las cuestiones legales.
 De qué manera los directivos informan del rendimiento a
los empleados
- Documentar el rendimiento del empleado.
- Solicite la participación del empleado.
- Céntrese en los comportamientos.
- Sea específico y de tiempo.
- Dirija su información sólo a facetas de la situación de
rendimiento que el empleado puede cambiar.
- Informe a los trabajadores sobre cualquier deficiencia.
- Desarrolle un plan de acción y otro de seguimiento.
- Revise su propio rendimiento. (Como se ha relacionado
con el empleado)
 Claves que el empleado puede utilizar para obtener
información sobre su rendimiento personal:
- Mantenga un registro de sus logros y de sus fallos.
- Invite a su director/evaluador a ofrecer sus sugerencias
para mejorar.
- Distinga entre acción e información. Escuche la
información y aprenda todo lo que pueda de ella.
- Distinga entre usted y su rendimiento. Recuerde que su
valor como ser humano no está puesto en duda.
 Para mejorar el rendimiento se recomienda:
- Analizar las causas de los problemas de rendimiento.
- Atender directamente las causas de los problemas.
- Desarrollar un plan de acción para facilitar que los
trabajadores alcancen una solución.
- Comunicación directamente sobre el rendimiento e
información eficaz.
c) ENTREVISTAS CON PERSONAL DE INFORMÁTICA.
 ¿QUÉ ES LA ENTREVISTA EN AUDITORIA?
Método de recolección de información a través de un
conjunto de preguntas y observaciones. La entrevista es la
base para la recolección e interpretación de información
en la auditoría.
 PARA FORMULAR LAS PREGUNTAS
- Como, que, por, cuando, donde, quien.
 EN CUANTO A LAS PREGUNTAS
- Deben dirigirse a la información relevante.
- No deben sugerir respuestas.
- No deben contener expresividad o implicaciones
emocionales.
- Usar palabras coloquiales.
- Se debe evitar hacer un ejercicio de preguntas y
respuestas.
d) ENTREVISTAS CON EL PERSONAL USUARIO.
Es conocer la opinión que tienen los usuarios sobre los
servicios proporcionados, así como la difusión de las
aplicaciones de la computadora y de los sistemas en
operación.
 Desde el punto de vista del usuario los sistemas deben:
- Cumplir con los requerimientos totales del usuario.
- Cubrir todos los controles necesarios.
- Serán fácilmente modificables.
- Para que un sistema cumpla con los requerimientos del
usuario se necesita:
- Una comunicación completa entre usuario y el
responsable del desarrollo del sistema.
- Definir la calidad de la información que será procesada,
estableciéndose los riesgos de la misma y la forma de
minimizarlos.
- Esta etapa habrá de ser cuidadosamente verificada por
el auditor interno especialista en sistemas y por el
auditor en informática, para comprobar que se logró
una adecuada comprensión de los requerimientos del
usuario y un control satisfactorio de información.
e) SITUACIÓN PRESUPUESTAL Y FINANCIERA EN LA
AUDITORIA INFORMÁTICA.
Se deberá obtener información sobre la situación del
personal del área, para lo cual se puede utilizar la tabla de
recursos humanos y la tabla de proyección de recursos
humanos.
f) La administración financiera consiste en:
Obtener oportunamente y en las mejores condiciones de
costo, recursos financieros para cada unidad orgánica de la
empresa que se trate, con el propósito de que se ejecuten
las tareas, se eleve la eficiencia en las operaciones y se
satisfagan los intereses de quienes reciben los bienes o
servicios:
 Presupuestos Auditoria Informática
El estudio del presupuesto de seguridad evaluando los
medios en función del servicio que prestan y conforme a la
probabilidad de fallo que pueden tener.
 Recursos Financieros y Materiales Auditoria Informática
- Recursos Financieros: supone un control presupuestal y
significa llevar a cabo toda la función de tesorería
(ingresos y egresos).
- La administración financiera consiste en: Obtener
oportunamente y en las mejores condiciones de costo,
recursos financieros para cada unidad orgánica de la
empresa
- Recursos Materiales: Estos resultan fundamentales
para el éxito o fracaso de una gestión administrativa, lo
básico en su administración es lograr el equilibrio en su
utilización. Tan negativo es para la empresa en su
escasez como su abundancia
 La seguridad física se refiere a la protección del Hardware y de
los soportes de datos, así como a la de los edificios e
instalaciones que los albergan
 La seguridad lógica se refiere a la seguridad de uso del
software, a la protección de los datos, procesos y programas,
así como la del ordenado y autorizado acceso de los usuarios a
la información.
a) GENERALIDADES DE SEGURIDAD AREA FÍSICA
Consiste en la "aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y
contramedidas ante amenazas a los recursos e información
confidencial “
b) SEGURIDAD LÓGICA Y CONFIDENCIAL
controlar los accesos que están diseñados para
salvaguardar la integridad de la información almacenada
en una computadora, así como de controlar el mal uso de
la información.
 Uno de los puntos más importantes a considerar para
poder definir la seguridad de un sistema es el grado de
actuación que puede tener un usuario dentro de un
sistema
- Usuario principal
- Usuario de explotación
- Usuario de auditoria
- Conservar la integridad, confidencialidad y
disponibilidad de los sistemas de información
 Claves de acceso.
Se implementan en el SO sobre los sistemas de aplicación
en BD, en un paquete especifico de seguridad o cualquier
otro utilitario. Protegen al NOS, al sistema de aplicación y
otros software de la utilización o modificación no
autorizada, mantienen la integridad de la información y la
resguardan de accesos no autorizados.
El National Institute for Standars and Techn ha resumido
los siguientes estándares de seguridad mínimos en
cualquier sistema:
- Identificación y Autentificación
- Roles
- Transacciones
- Modalidad de Acceso
- Ubicación y Horario
- Control de Acceso Interno
- Control de Acceso Externo
- Administración de Seguridad
c) Seguridad en el Personal.
operaciones efectuadas requieren un alto grado de
confiabilidad, todo esto depende en gran medida de la
integridad, estabilidad y lealtad de personal.
- Planes de contingencia
- Seguros y fianzas para el personal, equipos y sistemas.
- Al momento de reclutar al personal se debe aplicar:
• Exámenes médicos y psicológicos
• Verificar sus antecedentes de trabajo
• Verificar sus valores sociales
d) Clasificación de los controles de seguridad.
La debilidad o ausencia de estos controles pueden tener un
impacto significativo en la integridad y exactitud de los
datos.
 Tipos de control
- Preventivos
- Detectivos
- Correctivos
 Clasificación de los controles de seguridad.
- Controles generales
- Controles Operativos y de Organización:
- Controles sobre el desarrollo de programas y su
documentación:
- Controles sobre los Programas y los Equipos:
- Controles de acceso:
- Controles sobre los procedimientos y los datos.
- Controles sobre la captura de datos
- Controles de salida y distribución.
e) CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN
- VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y
CONTROLES.
- DETECTAR EL GRADO DE CONFIABILIDAD.
 QUE ES ISO 27000
- Es una familia de estándares internacionales para
sistemas de gestión de la seguridad de la información
(sgsi).
- definir requisitos para un (sgsi), con el fin de garantizar
la selección de controles de seguridad adecuados y
proporcionales, protegiendo así la información.
 CARACTERISTICAS
• CONFIDENCIALIDAD
• SEGURIDAD DE INFORMACIÓN
• SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN

Publicada el 15 de octubre de 2005. Es la norma principal de la

serie Tiene su origen en la BS 7799-2:2002 y es la norma con
arreglo a la cual se certifican por auditores externos los SGSI de
las organizaciones.
 ISO 27003 Consiste en una guía de implementación de SGSI e
información acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases.
 ISO 27004 Especificará las métricas y las técnicas de medida
aplicables para determinar la eficacia de un SGSI y de los
controles relacionados
 ISO 27005 Establece las directrices para la gestión del riesgo
en la seguridad de la información
 ISO 27006 Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión
de seguridad de la información.
 ISO 27007 Consistirá en una guía de auditoría de un SGSI
 ISO 27011 Consistirá en una guía de gestión de seguridad de la
información específica para telecomunicaciones, elaborada
conjuntamente con la ITU
 ISO 27031 en una guía de continuidad de negocio en cuanto a
tecnologías de la información y comunicaciones
 ISO 27032 Consistirá en una guía relativa a la ciberseguridad.
 ISO 27033 Es una norma consistente en 7 partes: gestión de
seguridad de redes, arquitectura de seguridad de redes,
escenarios de redes de referencia, aseguramiento de las
comunicaciones entre redes mediante gateways , acceso
remoto, aseguramiento de comunicaciones en redes mediante
VPNS y diseño e implementación de seguridad en redes.
 ISO 27034 Consistirá en una guía de seguridad en aplicaciones.