Auditoría de Análisis de Riesgos

Carlos Pérez Mendoza

Instituto Superior Leonardo Da Vinci – Escuela de Informática
carlosperez_2012@hotmail.com

Resumen. El presente informe tiene por objetivo lograr que el lector tenga conocimiento
sobre la auditoría de sistemas como un conjunto de técnicas destinados a analizar, evaluar,
verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y
adecuación de los sistemas de información en la empresa. Asimismo se dará a conocer los
puntos más resaltantes a la hora de realizar una auditoría de Infraestructura Fisca
Keywords: sistema de información.
Este documento se relaciona fuertemente con otros documentos de la Cátedra. Las referencias
precisas a estos y otros documentos se señalan oportunamente en el texto. Por ejemplo:
VirusInformático, Seguridad Informática, etc. Todos ellos abordan el tema de riesgos desde
distintasópticas.
Estos documentos tratan algunas de las amenazas más comunes y explican la manera de
minimizarciertos riesgos, incluidas herramientas concretas para ello.
Por lo tanto este documento puede ser interpretado como un articulador que permitirá
comprender más cabalmente los conceptos abordados en otros documentos, así como
permitirá que estos

1. INTRODUCCIÓN

En la actualidad los sistemas de información se caracterizan por ser cada vez más complejos, integrados
y de hacer un uso intensivo de las tecnologías de la información y las comunicaciones TIC’s. Esto ha
provocado un aumento sustantivo de los riesgos relacionados con la calidad, la seguridad vinculados a la
Tecnología de la Información (TI) . En este sentido la protección de la infraestructura y la seguridad física
juegan un rol preponderante a la hora de estimar los riesgos.

La auditoría de sistemas ha pasado a tener un rol fundamental para ayudar a garantizar los atributos
básicos que debe tener la información como la efectividad, la eficiencia, la confiabilidad, la integridad, la
disponibilidad, el cumplimiento. El uso de herramientas software por parte del auditor en su tarea aporta
un elemento central que le permita garantizar la eficacia y la eficiencia en el proceso de auditoría.

2. SEGURIDAD DE LA INFORMACIÓN

La palabra auditoría proviene del latín y etimológicamente significa “oír”, en sus comienzos la auditoría
de los SI estaba relacionada con detectar errores en los procedimientos vinculados con el procesamiento
de la información, esta actividad ha evolucionado y en la actualidad se entiende al auditor como un
consultor especializado en riesgos.

La auditoría de sistemas es el conjunto de técnicas, actividades y procedimientos, destinados a analizar,

evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y
adecuación de los sistemas de información en la empresa [1].

Es fundamental la auditoría de sistemas para garantizar el correcto funcionamiento de los Sistemas de

Información al proporcionar los controles necesarios que permiten garantizar la seguridad, integridad,
disponibilidad y confiabilidad de los mismos.

Los auditores de sistemas de información [2] examinan y evalúan el desarrollo, implementación,

mantenimiento y operación de los componentes de sistemas automatizados y sus interfaces con sistemas
externos y no automatizados.
Los bienes a proteger son [3]:

• Datos, que son todos los objetos de la información.

• Aplicaciones, son el conjunto de sistemas de información.
• Tecnología, es el conjunto de hardware y software de base
• Instalaciones, son los recursos necesarios para alojar a los sistemas de información.
• Recursos Humanos, es el personal relacionado directamente con el desarrollo y producción de los
sistemas de información.

3. ANÁLISIS DE RIESGOS
Diferentes autores proponen metodologías de desarrollo de auditorías de sistemas, en general la
mayoría de ellos coinciden en las siguientes fases: [4]

Fase 1. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)

En esta fase se determinan los limites y el entorno en que se realizara la auditoría, es el momento donde
se determina hasta donde debe llegar la tarea, debe existir un acuerdo muy preciso entre autoridades y
clientes sobre las funciones (seguridad, dirección, etc.), las materias (sistemas operativos, bases de datos,
etc.) y los departamentos o áreas a auditar (sistemas, comunicaciones, etc.). El éxito del proceso de
auditoría depende de una clara definición de esta fase.

Fase 2. Realizar el Estudio Inicial del entorno a auditar

Para realizar dicho estudio es necesario examinar las funciones y actividades generales de la organización
aauditar y en particular de las relacionadas con las tecnologías de la información.

Fase 3. Determinación de los recursos necesarios para realizar la auditoría de sistemas.

Después de realizar el estudio preliminar se debe determinar los recursos materiales y humanos
necesarios para implementar el plan de auditoría

Fase 4. Elaborar el Plan de Trabajo

En esta fase se definen el calendario de actividades a realizar, formalizando el mismo para la aprobación
por parte de las autoridades.

Fase 5. Realizar las Actividades de Auditoría

Es el momento donde se efectivizan las actividades planificadas en la fase anterior, aplicando distintas
técnicas y utilizando herramientas que garanticen el cumplimiento de los objetivos planteados, se
documenta esta etapa, monitoreando las posibles desviaciones que se detecten en relación con la
planificación original.

Fase 6. Realizar el Informe Final

El objetivo final del auditor es entregar por escrito un informe, en donde constarán las conclusiones y
recomendaciones. El auditor justifica personalmente su auditoría en forma documentada. La elaboración
del Informe Final es la única referencia constatable de toda auditoría, y el exponente de su calidad. Por lo
tanto es muy importante que su contenido sea claro y estructurado de tal manera que responda a las
expectativas del cliente en cuanto al cumplimiento de los objetivos planteados.

Fase 7. Carta de Presentación.

Es la última etapa de la auditoría consta de un resumen de 3 ó 4 folios del contenido del informe final,
dirigido a las autoridades de la empresa u organización donde se realizó la auditoría, es conveniente que
los responsables máximos de la empresa certifiquen que la tarea fue realizada de acuerdo a lo previsto

4. GESTIÓN DE RIESGOS
La tecnología ha sido percibida en la actualidad en forma global como disparador de cambios
permanentes del ambiente de negocios. Sin embargo, existe una idea primordial que aparece inmóvil
contra esta fuerza tecnológica que implica que las organizaciones que sobreviven, son aquellas que
entregan más valor verdadero a sus clientes.

La función de auditoría continúa proporcionando servicios de aseguramiento tanto a clientes internos

como externos. Dado que la tecnología impacta la forma de hacer negocios, deben haber formas
efectivas y sencillas para llevar a cabo la evaluación de los controles que deben existir para garantizar
dicho servicio.

Bajo la premisa anterior, existe un gran interés en el medio por identificar los estándares internacionales
que son utilizados comúnmente por empresas tanto públicas como privadas. Las dos preguntas más
comunes que habría que resolver, ¿Cómo podrían asegurar las organizaciones, que construyen proyectos
de tecnología de información, cubriendo adecuadamente las necesidades del cliente, en forma eficiente y
oportuna y dentro del presupuesto contemplado? y ¿Cuáles son los estándares que ofrece la industria?

En ambos sectores, se hacen uso de una serie de estándares que guían el desarrollo de proyectos de TI,
entre ellos se pueden mencionar [5]:

• Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control
Association (ISACA)
• The Management of the Control of data Information Technology, desarrollado por el Instituto
Canadiense de Contadores Certificados (CICA)
• Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora
del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados
Unidos (GAO)
• Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados
por la Organización Internacional de Estándares (ISO).
• SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación
de Contadores Públicos (AICPA) y el CICA
• El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de
Ingeniería de Software (SEI)
• Administración de sistemas de información: Una herramienta de evaluación práctica,
desarrollado por la Directiva de Recursos de Tecnología de Información.
• Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité
de estándares del instituto de administración de proyectos.
• Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM),
desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de
Carnegie Mellon.
• Administración de seguridad de información: Aprendiendo de organizaciones líderes,
desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)

5. IMPORTANCIA DE LA AUDITORIA INFORMÁTICA

6. CONCLUSIONES

El impacto creciente de la tecnología en los procesos de negocio de las organizaciones por medio de
Internet, ocasionarán grandes cambios que modificarán radicalmente las pautas de los controles que se
deberán establecer en estas nuevas realidades. La productividad y supervivencia futura de una
organización dependerá cada vez en mayor grado, del funcionamiento ininterrumpido de los sistemas de
tecnología informática Todas las empresas, incluidas aquellas que ignoran las nuevas tecnologías,
sentirán el impacto de estos nuevos escenarios de riesgo. Por ello la importancia de contar con marco de
referencia metodológico que agilice todo el proceso de la Auditoría de Sistemas de Información.

BIBLIOGRAFÍA

[1] Rivas, Auditoría Informática. 198 páginas. Ediciones Díaz de Santos. ISBN 84-87189-13R.
[2] Information System Audit and Control Association. Retrieved 10/05/ 2004 f rom
http://www.isaca.org
[3] Control Objectives for Information and related Technology. Retrieved 16/04/ 2005 f rom
http://www.isaca.org/cobit/
[4] Metodología de Planificación, Desarrollo y Mantenimiento de sistemas de información.
Ministerio de Administraciones Públicas Español. L. Retrieved 16/04/2004, from
http://www.csi.map.es/csi/metrica3/index.html
[6] ChannelPlanet(2005), "Modelo de COBIT para auditoría y control de sistemas de información"
Retrieved 13/12/2006, from http://www.channelplanet.com/index.php?idcategoria=13932
[7] Cristian E. R. Bailey E(2005)."Aspectos para Auditorías de sistemas de Información y
Tecnologías Informáticas e Implementación de Estándares de Seguridad Informática"
Retrieved 07/04/2005, from http://www.xombra.com/pdf.php?nota=66&t=0