Академический Документы
Профессиональный Документы
Культура Документы
Resumen. El presente informe tiene por objetivo lograr que el lector tenga conocimiento
sobre la auditoría de sistemas como un conjunto de técnicas destinados a analizar, evaluar,
verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y
adecuación de los sistemas de información en la empresa. Asimismo se dará a conocer los
puntos más resaltantes a la hora de realizar una auditoría de Infraestructura Fisca
Keywords: sistema de información.
Este documento se relaciona fuertemente con otros documentos de la Cátedra. Las referencias
precisas a estos y otros documentos se señalan oportunamente en el texto. Por ejemplo:
VirusInformático, Seguridad Informática, etc. Todos ellos abordan el tema de riesgos desde
distintasópticas.
Estos documentos tratan algunas de las amenazas más comunes y explican la manera de
minimizarciertos riesgos, incluidas herramientas concretas para ello.
Por lo tanto este documento puede ser interpretado como un articulador que permitirá
comprender más cabalmente los conceptos abordados en otros documentos, así como
permitirá que estos
1. INTRODUCCIÓN
En la actualidad los sistemas de información se caracterizan por ser cada vez más complejos, integrados
y de hacer un uso intensivo de las tecnologías de la información y las comunicaciones TIC’s. Esto ha
provocado un aumento sustantivo de los riesgos relacionados con la calidad, la seguridad vinculados a la
Tecnología de la Información (TI) . En este sentido la protección de la infraestructura y la seguridad física
juegan un rol preponderante a la hora de estimar los riesgos.
La auditoría de sistemas ha pasado a tener un rol fundamental para ayudar a garantizar los atributos
básicos que debe tener la información como la efectividad, la eficiencia, la confiabilidad, la integridad, la
disponibilidad, el cumplimiento. El uso de herramientas software por parte del auditor en su tarea aporta
un elemento central que le permita garantizar la eficacia y la eficiencia en el proceso de auditoría.
2. SEGURIDAD DE LA INFORMACIÓN
La palabra auditoría proviene del latín y etimológicamente significa “oír”, en sus comienzos la auditoría
de los SI estaba relacionada con detectar errores en los procedimientos vinculados con el procesamiento
de la información, esta actividad ha evolucionado y en la actualidad se entiende al auditor como un
consultor especializado en riesgos.
3. ANÁLISIS DE RIESGOS
Diferentes autores proponen metodologías de desarrollo de auditorías de sistemas, en general la
mayoría de ellos coinciden en las siguientes fases: [4]
4. GESTIÓN DE RIESGOS
La tecnología ha sido percibida en la actualidad en forma global como disparador de cambios
permanentes del ambiente de negocios. Sin embargo, existe una idea primordial que aparece inmóvil
contra esta fuerza tecnológica que implica que las organizaciones que sobreviven, son aquellas que
entregan más valor verdadero a sus clientes.
Bajo la premisa anterior, existe un gran interés en el medio por identificar los estándares internacionales
que son utilizados comúnmente por empresas tanto públicas como privadas. Las dos preguntas más
comunes que habría que resolver, ¿Cómo podrían asegurar las organizaciones, que construyen proyectos
de tecnología de información, cubriendo adecuadamente las necesidades del cliente, en forma eficiente y
oportuna y dentro del presupuesto contemplado? y ¿Cuáles son los estándares que ofrece la industria?
En ambos sectores, se hacen uso de una serie de estándares que guían el desarrollo de proyectos de TI,
entre ellos se pueden mencionar [5]:
• Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control
Association (ISACA)
• The Management of the Control of data Information Technology, desarrollado por el Instituto
Canadiense de Contadores Certificados (CICA)
• Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora
del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados
Unidos (GAO)
• Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados
por la Organización Internacional de Estándares (ISO).
• SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación
de Contadores Públicos (AICPA) y el CICA
• El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de
Ingeniería de Software (SEI)
• Administración de sistemas de información: Una herramienta de evaluación práctica,
desarrollado por la Directiva de Recursos de Tecnología de Información.
• Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité
de estándares del instituto de administración de proyectos.
• Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM),
desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de
Carnegie Mellon.
• Administración de seguridad de información: Aprendiendo de organizaciones líderes,
desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)
6. CONCLUSIONES
El impacto creciente de la tecnología en los procesos de negocio de las organizaciones por medio de
Internet, ocasionarán grandes cambios que modificarán radicalmente las pautas de los controles que se
deberán establecer en estas nuevas realidades. La productividad y supervivencia futura de una
organización dependerá cada vez en mayor grado, del funcionamiento ininterrumpido de los sistemas de
tecnología informática Todas las empresas, incluidas aquellas que ignoran las nuevas tecnologías,
sentirán el impacto de estos nuevos escenarios de riesgo. Por ello la importancia de contar con marco de
referencia metodológico que agilice todo el proceso de la Auditoría de Sistemas de Información.
BIBLIOGRAFÍA
[1] Rivas, Auditoría Informática. 198 páginas. Ediciones Díaz de Santos. ISBN 84-87189-13R.
[2] Information System Audit and Control Association. Retrieved 10/05/ 2004 f rom
http://www.isaca.org
[3] Control Objectives for Information and related Technology. Retrieved 16/04/ 2005 f rom
http://www.isaca.org/cobit/
[4] Metodología de Planificación, Desarrollo y Mantenimiento de sistemas de información.
Ministerio de Administraciones Públicas Español. L. Retrieved 16/04/2004, from
http://www.csi.map.es/csi/metrica3/index.html
[6] ChannelPlanet(2005), "Modelo de COBIT para auditoría y control de sistemas de información"
Retrieved 13/12/2006, from http://www.channelplanet.com/index.php?idcategoria=13932
[7] Cristian E. R. Bailey E(2005)."Aspectos para Auditorías de sistemas de Información y
Tecnologías Informáticas e Implementación de Estándares de Seguridad Informática"
Retrieved 07/04/2005, from http://www.xombra.com/pdf.php?nota=66&t=0