Auditoría informática

La auditoría informática es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten
detectar de forma sistemática el uso de los recursos y los flujos de información dentro de
una organización y determinar qué información es crítica para el cumplimiento de su
misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoría Informática son:
• El control de la función informática
• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
• Desempeño
• Fiabilidad
• Eficacia
• Rentabilidad
• Seguridad
• Privacidad
Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:
• Gobierno corporativo
• Administración del Ciclo de vida de los sistemas
• Servicios de Entrega y Soporte
• Protección y Seguridad
• Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la
auditoría informática ha promovido la creación y desarrollo de mejores prácticas como
COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems
Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que
el proceso de selección consta de un examen inicial bastante extenso y la necesidad de
mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
[editar] Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
• Auditoría de la gestión: la contratación de bienes y servicios, documentación de
los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
• Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física
de esta. También está referida a las protecciones externas (arcos de seguridad,
CCTV, vigilantes, etc.) y protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
• Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados
por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en
derecho especializados en el mundo de la auditoría.
[editar] Principales pruebas y herramientas para
efectuar una auditoría informatica
En la realización de una auditoría informática el auditor puede realizar las siguientes
pruebas:
• Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se
suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la información.
• Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado
mediante el análisis de la muestra. Proporciona evidencias de que los controles
claves existen y que son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
• Observación
 • Realización de cuestionarios
• Entrevistas a auditados y no auditados
• Muestreo estadístico
• Flujogramas
• Listas de chequeo
• Mapas conceptuales

Fases Auditoria Informatica

Principio del formulario
w w w .mitecnolog w w w .mitecnolog

Final del formulario

Fase I: Conocimientos del Sistema

Fase II: Análisis de transacciones y recursos

Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
Fase I: Conocimientos del Sistema
1.1. Aspectos Legales y Políticas Internas.
Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el
marco de referencia para su evaluación.
1.2.Características del Sistema Operativo.
• Organigrama del área que participa en el sistema
• Manual de funciones de las personas que participan en los procesos del sistema
• Informes de auditoría realizadas anteriormente
1.3.Características de la aplicación de computadora
• Manual técnico de la aplicación del sistema
• Funcionarios (usuarios) autorizados para administrar la aplicación
• Equipos utilizados en la aplicación de computadora
• Seguridad de la aplicación (claves de acceso)
• Procedimientos para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de transacciones y recursos
2.1.Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en
subprocesos. La importancia de las transacciones deberá ser asignada con los
administradores.
2.2.Análisis de las transacciones
• Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del
funcionamiento y recorrido de los procesos.
2.3.Análisis de los recursos
• Identificar y codificar los recursos que participan en el sistemas
2.4.Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas
3.1.Identificación de riesgos
• Daños físicos o destrucción de los recursos
• Pérdida por fraude o desfalco
• Extravío de documentos fuente, archivos o informes
• Robo de dispositivos o medios de almacenamiento
• Interrupción de las operaciones del negocio
• Pérdida de integridad de los datos
• Ineficiencia de operaciones
• Errores
3.2.Identificación de las amenazas
• Amenazas sobre los equipos:
• Amenazas sobre documentos fuente
• Amenazas sobre programas de aplicaciones
3.3.Relación entre recursos/amenazas/riesgos
La relación entre estos elementos deberá establecerse a partir de la observación de los
recursos en su ambiente real de funcionamiento.
Fase IV: Análisis de controles
4.1.Codificación de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la
identificación de los controles deben contener una codificación la cual identifique el grupo
al cual pertenece el recurso protegido. 4.2.Relación entre recursos/amenazas/riesgos
La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado.
Para cada tema debe establecerse uno o más controles.
4.3.Análisis de cobertura de los controles requeridos
Este análisis tiene como propósito determinar si los controles que el auditor identificó como
necesarios proveen una protección adecuada de los recursos.
Fase V: Evaluación de Controles
5.1.Objetivos de la evaluación
• Verificar la existencia de los controles requeridos
• Determinar la operatividad y suficiencia de los controles existentes
5.2.Plan de pruebas de los controles
• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.
5.3.Pruebas de controles
5.4.Análisis de resultados de las pruebas
Fase VI: Informe de Auditoria
6.1. Informe detallado de recomendaciones
6.2. Evaluación de las respuestas
6.3. Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso
de la áreas.
• Introducción: objetivo y contenido del informe de auditoria
• Objetivos de la auditoría
• Alcance: cobertura de la evaluación realizada
• Opinión: con relación a la suficiencia del control interno del sistema evaluado
• Hallazgos
• Recomendaciones
Fase VII: Seguimiento de Recomendaciones
7.1. Informes del seguimiento
7.2. Evaluación de los controles implantados
Fin de la sesión.
Informática II. Decanato de Administración y Contaduría
Auditoría Informática
Revisión
Evaluación
Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de
Información
Informática II. Decanato de Administración y Contaduría
Auditoría Informática
Objetivos
• Presentar recomendaciones en función
de las fallas detectadas.
• Determinar si la información que brindan
los Sistemas de Informáticos es útil.
• Inspeccionar el Desarrollo de los Nuevos
Sistemas.
• Verificar que se cumplan las normas y
políticas de los procedimientos.
Auditoría Informática
Informática II. Decanato de Administración y Contaduría
Tipos
Interna: Aplicada con el personal que labora en la empresa.
Externa: Se contrata a una firma especiali- zada para realizar la misma.
Auditoría Informática Externa
Las empresas recurren a la auditoría externa cuando existen:
• Síntomas de Descoordinación
• Síntomas de Mala Imagen
Informática II. Decanato de Administración y Contaduría • Síntomas de Debilidades
Económicas
• Síntomas de Inseguridad
Aspectos Fundamentales en la Auditoría de los Sistemas de Información Informática II.
Decanato de Administración y Contaduría
Auditoría Informática de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de
las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de
evitar un aumento significativo de los costos, así como también insatisfacción de los
usuarios. Informática II. Decanato de Administración y Contaduría
Auditoría de los Datos de Entrada Se analizará la captura de la información en soporte
compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y
entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará
que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas
establecidas.
Informática II. Decanato de Administración y Contaduría
Auditoría Informática de Sistemas Se audita: Informática II. Decanato de Administración y
Contaduría • Sistema Operativo: Verificar si la versión instalada permite el total
funcionamiento del software que sobre ella se instala, si no es así determinar la causa •
Software de Aplicación: Determinar el uso de las aplicaciones instaladas. •
Comunicaciones: Verificar que el uso y el rendimiento de la red sea el más adecuado .
Técnicas de Auditoría Existen varias técnicas de Auditoría Informática de Sistemas, entre
las cuales se mencionan: • Lotes de Prueba: Transacciones simuladas que se introducen al
Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir
en una prueba se tienen: • Datos de Excepción. • Datos Ilógicos. • Transacciones Erróneas
Informática II. Decanato de Administración y Contaduría
Técnicas de Auditoría …(Continuación) • Auditoría para el Computador: Permite
determinar
si el uso de los equipos de computación es el idó-
neo. Mediante esta técnica, se detectan
equipos sobre y subutilizados.
• Prueba de Minicompañía: Revisiones periódicas
que se realizan a los Sistemas a fin de determi-
nar nuevas necesidades.
Informática II. Decanato de Administración y Contaduría
Peligros Informáticos • Incendios: Los recursos informáticos son
muy sensibles a los incendios, como por
ejemplo reportes impresos, cintas, discos.
• Inundaciones: Se recomienda que el Departamento
de computación se encuentre en un nivel alto. La
Planta Baja y el Sótano son lugares propensos a las
inundaciones.
• Robos: Fuga de la información confidencial de la
empresa.
• Fraudes: Modificaciones de los datos dependiendo
de intereses particulares.
Informática II. Decanato de Administración y Contaduría
Medidas de Contingencia Mecanismos utilizados para contrarrestar la pérdida o daños de la
información, bien sea intencionales o accidentales. La más utilizada es la Copia de
Seguridad (Backup), en la cual se respalda la informa- ción generada en la empresa .
Informática II. Decanato de Administración y Contaduría
Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia varía
dependiendo de la importancia de la información que se genere. Backup Se recomienda
tener como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro
fuera de ésta (preferiblemente en un Banco en Caja Fuerte). Informática II. Decanato de
Administración y Contaduría
Medidas de Protección Medidas utilizadas para garantizar la Seguridad Física de los Datos.
Aquellos equipos en donde se genera información crítica, deben tener un UPS. De igual
forma, el suministro de corriente eléctrica para el área informática, debe ser independiente
del resto de las áreas. Informática II. Decanato de Administración y Contaduría
Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad
Lógica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la
Información, mediante un nombre de usuario (login) y una contraseña (password). Del
mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos
excepcionales. Informática II. Decanato de Administración y Contaduría
La Auditoría Informática es una parte integrante de la auditoría. Se preguntará por que se
estudia por separado, pues simplemente para abordar problemas más específicos y para
aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse
dentro de un marco de auditoría general.
Para clarificar aún más la lámina, diremos entonces que la Auditoría Informática es el
proceso de revisión y evaluación de los controles y medidas de seguridad que se aplican a
los recursos:
a). Tecnológicos.
b). Personal.
c). Software
d). Procedimientos. que se utilizan en los Sistemas de Información manejados en la
empresa.
En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles
apropiados y adecuados en los sistemas de información.
La auditoría Informática va mucho más allá de la simple detección de errores. Si bien es
cierto que la Auditoría es un proceso que permite detectar fallas, es menester de la
auditoría, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta
manera la repetición de las mismas en un futuro.
Básicamente, el objetivo principal de la auditoría informática es garantizar la operatividad
de los procesos informáticos. En otras palabras, ofrecer la continuidad los procesos de
generación, distribución, uso y respaldo de información dentro de las organizaciones.
Ya puede ir formándose una idea entonces de la importancia que tiene la Auditoría
Informática (si no es así, ¿le parece poco el hecho de que permita mantener operativo todos
los procesos relacionados con el manejo de la información?). Importancia de la Auditoría
Informática
Tal como se mencionó anteriormente su importancia radica en el hecho de garantizar la
operatividad de los procesos informáticos. Del mismo modo, la Auditoría es compatible
con la calidad, ya que mediante la auditoría, se buscan implantar mejoras en busca del
perfeccionamiento de los procesos, incorporando nuevas técnicas y tecnologías.
Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a
ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposición y ofrecerle
algo más que una mera definición. Auditoría Interna
La auditoría Interna ofrece algunas ventajas en relación a la externa, en primer lugar es
menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el
riesgo de que personas extrañas conozcan la información generada dentro de la firma. Sin
embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especialización que
tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles
dentro del proceso (omisión de detección de errores) y por otro lado se corre el riesgo de
que se “encubran” deficiencias. Es factible que dentro del proceso de auditoría, las personas
no informen de alguna anomalía a fin “de no perjudicar al amigo”. Auditoría Externa
Con este tipo de auditoría existe menor margen de error, puesto que las personas que se
encargan de realizarla son especialistas en el área. Entonces, deben ser pocos los errores
que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco
margen de encubrimiento, ya que son personas ajenas a la firma.
Si bien es cierto que la Auditoría Interna es menos costosa, es una buena práctica para las
empresas, realizar Auditorías Externas periódicamente. Sin embargo, existen algunas
razones por las cuales una firma debería contratar los servicios de gente especializada.
Tales razones son las mostradas en la lámina, las cuales explicaremos con más detalle a
continuación: Síntomas de Descoordinación: No coincide el objetivo informático con el de
la empresa. En este sentido, es recomendable revisar la gestión de la informática a fin de
que la misma esté en función de apoyar al logro de los objetivos. Síntomas de Debilidad
Económica: Cuando existe un crecimiento indiscriminado de los costos informáticos. De
igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una
fuerte suma de dinero en el área. Síntomas de Mala Imagen: Existe una percepción poco
idónea de los usuarios finales de computadoras en relación a la Gestión actual del personal
de Informática. Existen quejas de que los programas no funcionan, problemas con la red
informática, desconfiguración de equipos, entre otros. Síntomas de Inseguridad: Cuando no
existe seguridad ni física ni lógica de la información manejada en la empresa.
Hasta estos momentos se ha mencionado un poco lo que es la Auditoría Informática, cuales
son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene
la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informática.
Existen dos enfoques básicos para la Auditoria de Sistemas de Información, conocidos
como: Auditoria Alrededor del Computador y Auditoria a través del Computador.
Auditoria Alrededor del Computador: La cual comprende la verificación tanto de los datos
de entrada como de salida, sin evaluar el software que procesó los datos. Aunque es muy
sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del
software utilizado. Es por ello, que se recomienda como un complemento de otros métodos
de auditoria.
Auditoria a Través del Computador: Comprende la verificación de la integridad del
software utilizado, así como también los datos de entrada y la salida generada tanto por las
redes y sistemas computacionales. Sin embargo, la auditoria a través del computador
requiere de un conocimiento tanto de las redes como del desarrollo de software.
Una de las actividades que más dolores de cabeza trae a las organizaciones es el desarrollo
de los nuevos sistemas informáticos. Existen muchas razones para tantos inconvenientes,
entre las que se destaca: una pobre determinación de los requerimientos (tanto los analistas
como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho),
carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la
que se implanta el mismo.
En este sentido, la auditoría debe verificar que se cumplan a cabalidad cada una de las fases
del desarrollo del sistema. Se deben chequear los instrumentos y métodos empleados para
la determinación de los requerimientos, las herramientas que se utilizan para la
construcción del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y
verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es
preferible esperar un poco más por un sistema probado y ajustado a las necesidades que
querer implantar “en dos días” un software que no ayudará en nada a los procesos
empresariales, por el contrario: entorpecerá los mismos. (¿Cuantas veces no le han dicho en
la calle como excusa “tenemos problemas con el sistema”?).
La materia prima para la generación de la información son los datos de entrada, es por ello
que todo proceso de auditoria informática debe contemplar el estudio de los mismos. Bajo
esta premisa, es importante llevar un control del origen de los datos que se introducen al
sistema y en la medida de lo posible, el responsable de la introducción de los mismos.
Por ejemplo, para un banco el origen de los datos lo representan las planillas de depósito,
retiro, entre otras. Si se lleva un control de dichos documentos es fácil auditar lo que tiene
el sistema contra el soporte físico (las planillas). Dicho proceso permite entonces detectar
errores de trascripción de datos al Sistema.
Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado
como un mecanismo para determinar fraudes informáticos. ¿Cómo cree usted que se puede
determinar un retiro no autorizado de una cuenta bancaria?, ¿el cambio de calificaciones de
un estudiante?.
Es por ello que todas las organizaciones deben contar con mecanismos apropiados que
permitan auditar los datos de entrada.de los sistemas informáticos.
Al igual que ocurre con los datos de entrada, se deben revisar periódicamente las
herramientas informáticas que se utilizan dentro de la firma, a fin de verificar que se
adecuen a las necesidades del negocio. Es importante señalar que dicha revisión no debe
limitarse únicamente al hardware, por el contrario, se debe incluir también la revisión tanto
del software instalado como la red informática existente.
Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo
no escapa de dicha situación. En este sentido, es conveniente que se cuente con una versión
que permita la evolución de las aplicaciones, de no ser así determinar las causas de ello. Por
ejemplo en el caso específico del Sistema Operativo Windows, es inusual que se labore con
la versión 3.11 para grupos de trabajo, en tal caso, como mínimo Windows 98 o Windows
NT 4.0.
Del mismo modo se debe auditar la red informática instalada, entre otras cosas para
observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes
obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informáticas)
y verificar que se cumplan con las políticas y estándares establecidos para la red.
¿Y la Auditoría de las aplicaciones?. Pues la exposición se detallará en las láminas
subsiguientes.
La prueba de un Sistema es una tarea un poco más compleja de lo que realmente parece ser.
La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de
verificar que arroje el resultado esperado. Va mucho más allá. En primer lugar, la prueba
del Sistema no debe ser efectuada por los programadores, ya que éstos conocen los “trucos
del sistema”, e inconscientemente introducirán datos que no harán fallar a la aplicación,
razón por la cual se recomienda la designación de un equipo responsable para las misma.
Dicho equipo debe diseñar una “Batería de Prueba”, la cual consiste en un conjunto de
datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los
resultados de dichos datos se deben conocer con antelación a fin de que puedan ser
cotejados contra los que arroja el sistema. En toda batería de prueba aparte de las
transacciones comunes, se debe contar con:
Datos de Excepción: Aquellos que rompen con la regla establecida. Se deben incluir dichos
datos a fin de determinar si el sistema contempla las excepciones.
Datos Ilógicos: Son datos que no tienen ningún sentido. Se incluyen dentro de la prueba a
fin de determinar si el sistema posee los mecanismo de validación adecuados que impidan
el procesamiento de los mismos.
Datos Erróneos: Son aquellos que no están acordes con la realidad. El sistema no está en
capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este
tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la
transacción.
Auditoría para el Computador
Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan
computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la
configuración más actualizada que esté siendo empleado únicamente como terminal del
sistema de facturación de la empresa, por supuesto, es fácil deducir que no se está
aprovechando al máximo las bondades del equipo. Ahora suponga la contrario, es decir,
que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones
Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Informáticos propios de
la empresa. ¿Está subutilizado?.
La aplicación de dicha técnica no reviste de mayor complicación, lo que se hace es anotar
la configuración del equipo y las actividades que se realizan en él, a fin de determinar si tal
configuración está acorde con lo que se realiza en él. Con esto se logran varias cosas:
primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo,
ofrece un mecanismo para una futura de reasignación de equipos de acuerdo a las
necesidades existentes. ¿Que problema coyuntural cree usted que pueda ocurrir al aplicar
dicha técnica?. Piense un poco, de todos modos si no lo logra determinar, en dos láminas
más encontrarás la respuesta.
Usted pensará “perfecto, estos son los peligros que existen, por lo que he leído creo que la
Auditoria pude ayudar a evitar los robos y fraudes informático, pero ¿un incendio o una
inundación?, no veo como”. Si esa es su manera de pensar, pues le diremos que está en lo
cierto. Aquí no le vamos a decir como evitar incendios o inundaciones. Sino más bien de
que tome conciencia de las cosas que puede pasar dentro de una empresa.
Pero “sigo sin entender que tiene que ver todo esto”, es muy simple: lo que se busca es
crear conciencia, de los peligros que existen, que ninguna organización está exenta de ellos
y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto
es precisamente lo próximo que se va a exponer a continuación. Respuesta a la Pregunta
Anterior: Puede ocasionar molestias a las personas en la reubicación de equipos (una
persona con un equipo muy potente pero subutilizado, no estará muy conforme que le
reasignen un equipo de menor potencia).
Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar
la continuidad de los procesos que en ella se realizan. Dentro de la informática tal aspecto
no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como
realizar un proceso manualmente en caso de que falle el automatizado). En este módulo nos
compete exclusivamente la contingencia de la información.
Al igual que otras cosas, la información puede tener daños, los cuales pueden obedecer a
causas accidentales (tales como errores en la trascripción de datos, ejecución de procesos
inadecuados) o intencionales (cuando se busca cometer algún fraude). No importa cual sea
la causa, lo importante en este momento (claro, es importante determinar a que obedeció el
problema) es disponer algún mecanismo que nos permita obtener la información sin
errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de
que se dañe la información original, se recurre entonces al respaldo el cual contiene la
información libre de errores.
Como se mencionó anteriormente, las copias de seguridad ofrecen una contingencia en caso
de pérdidas de información. La frecuencia con la cual deben hacerse dichas copias va a
depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es
suficiente realizar las copias de seguridad diariamente, así en caso de ocurrir algún
imprevisto, se perderá tan solo un día de trabajo. Tal concepción puede funcionar para
muchas organizaciones, pero no para todas, para un banco sería catastrófico perder la
información de todas las transacciones de un día, caso contrario ocurre en una organización
donde la información no varíe con tanta frecuencia, en la cual no tendría mucho sentido
respaldarla diariamente.
Independientemente de la frecuencia con la cual se haga, es recomendable tener como
mínimo dos (2) copias de seguridad, una permanecerá dentro de la empresa y la otra fuera
de ella. Así en caso de que se pierda la información se pueda acceder a la copia que está
dentro de la empresa. ¿Y para qué la otra copia?. Recuerde los peligros informáticos, los
incendios, las inundaciones. En caso de que se incendie el edificio, se perdería el original y
una copia, pero se tendrá acceso a la que está fuera de la empresa. A lo mejor usted dirá:
“¿qué gracia tiene tener otro respaldo si se quemó el edificio de la empresa?”. Suponga que
dicho edificio sea de la Sucursal de un Banco, lo más seguro que al día siguiente, los
clientes estarán preguntando qué pasará con sus ahorros. ¿Ahora si le encuentra sentido?.
¿Nota la importancia de la información sobre otros activos?. Un edificio se recupera, la
información de toda la empresa no.
Deben existir medidas que impidan la pérdida de información, ocasionada por averías en
los equipos (Seguridad Física). Si bien es cierto que los computadores no están exentos de
sufrir algún desperfecto (es por ello que existen las copias de seguridad), es recomendable
diseñar normas para disminuir tales amenazas.
Una de las principales causales de pérdida de información, son las bajas de energía. Es por
ello que deben estar conectados a un UPS todos los equipos en donde se genere
información crítica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que
ofrece corriente alterna por un período de tiempo (depende de las especificaciones del
equipo, los hay de 5 minutos hasta casi dos horas). De acuerdo a lo anterior, se deduce
entonces su importancia: primero, permite completar transacciones inconclusas en el
momento del fallo de energía y segundo permite guardar la información y apagar el equipo
con normalidad. De igual forma a fin de disminuir las fallas de energía, debe existir una
toma independiente de corriente para el área informática.
¿Recuerda los peligros que existen?. ¿Las inundaciones?, es por ello que el Departamento
de Computación debe estar ubicados en las zonas más altas del edificio, puesto que tanto
los sótanos como los primeros pisos son los más propensos a inundarse.
Uno de los mayores peligros dentro de las empresas son los Fraudes Informáticos (muy
comunes hoy en día), es por ello que se diseñan medidas que permitan garantizar la
integridad de la información y que la misma esté acorde con la realidad (Seguridad Lógica).
El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por
varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder
a la misma información (no todos pueden manipular la nómina de la empresa). para ello se
restringe el uso de los Sistemas a través de nombres de usuarios y contraseñas, así cuando
una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podrá
manipular únicamente lo que tenga autorizado.
En este sentido, se debe tener un control de los usuarios que entran al sistema (existen
muchos sistemas operativos que lo hacen de manera automática), es por ello que no se debe
divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta González
tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por
favor su nombre de usuario, porque “necesita hacer algunas cosas con su módulo”,
(Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurrió un problema con
dicha información ¿a quién reporta el sistema como responsable?. Sencillo, al usuario que
accedió al Sistema, en este caso mgonz128a que pertenece a Marta González. De igual
forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor
número intento de fraudes ocurre durante dicho período (por lo general en horas de la
madrugada). ¿Con estas medidas estoy 100% seguro que no existirán fraudes
informáticos?. No, nadie está exento de sufrir un fraude informático, con decirle que han
violado la seguridad del Pentágono, NASA, Yahoo!, entre otros. En tal caso le disminuye le
riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente.
Auditoría Informática
RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a
suscriptores de un sitio web. El formato permite distribuir contenido sin necesidad de un
navegador, utilizando un software disenado para leer estos contenidos RSS (agregador).
La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y
estándares propiamente informáticos deben estar sometidos a los generales de la misma.
Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría
Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de
evaluar la eficacia y eficiencia de una empresa al nivel del tecnologias de la información.
Auditoría
• Casos reales de problemas solucionados por nosotros
• Clientes representativos de auditorias informáticas.
• Control interno según los objetivos empresariales.
Los principales objetivos que constituyen a la Auditoría Informática son:
* el control de la función informática,
* el análisis de la eficacia del Sistema Informático,
* la verificación de la implantación de la Normativa,
* la revisión de la gestión de los recursos informáticos.
Hemos seleccionado los siguientes articulos para usted:
• El servicio de auditoría en la Ley Orgánica de Protección de Datos,
Fuente externa: belt.es
• Auditoría Informática, Alcance de la Auditoría Informática,
Características de la Auditoría Informática, Planes de Contingencia,
Fuente externa: monografias.com
• Ya no hay excusa para perder archivos, Fuente externa:
monografias.com

El servicio de auditoría en la Ley Orgánica de Protección

de Datos
El artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante
LOPD) establece que, tanto el Responsable del Fichero como el Encargado del
Tratamiento, deberán adoptar las medidas no sólo de índole técnico sino también de índole
organizativo para garantizar la seguridad y evitar la pérdida, alteración y destrucción de
ficheros con datos de carácter personal.
Pero este artículo goza de su propio desarrollo reglamentario materializado en el Real
Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de
Seguridad.
Concretamente, su artículo 17 establece que “Los sistemas de información e instalaciones
de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el
cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en
materia de seguridad de datos, al menos, cada dos años”.
Sin embargo, esta no fue la primera ley que habla de ello, sino que ya en la Instrucción
1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a Prestación de
Servicios de Información sobre Solvencia Patrimonial y Crédito, se habla de la realización
de una auditoría en lo que al tema de protección de datos se refiere, al establecer que la
implantación, idoneidad y eficacia de las medidas de seguridad, deberá acreditarse
mediante una auditoría y la remisión del informe final de la misma a la Agencia de
Protección de Datos.
Sin embargo, la auditoria puede presentarse en dos figuras diferentes; una interna y otra
externa.
En lo que respecta a la auditoría interna, las dudas acerca de una efectiva independencia son
amplias, al ser realizada por personal interno de la propia organización.
De la auditoría externa, decir que es realizada por una empresa externa y que nada tiene que
ver con la organización auditada.
Aunque la visión que tenemos hoy en día sobre una buena auditoría de seguridad de
protección de datos de carácter personal, se queda en el plano de la simple auditoría sobre
el cumplimiento de las medidas de seguridad, que podría calificarse como de incompleto y
considerar que debe ser completada con la auditoria informática, tal y como establece la
LOPD al hablar de medidas de índole técnica y organizativa.
Pero ¿cuál es el principal cometido en una auditoria? Es verificar la adecuación de
procedimientos, medidas, estándares de seguridad establecidos por el responsable del
tratamiento y el Reglamento de Medidas de Seguridad. Una vez realizado el análisis de
todo lo anterior y detectadas las anomalías, el auditor procederá a proponer las medidas
correctoras necesarias.
Los pasos de una auditoría son principalmente:
• Fijación del calendario y de los interlocutores, tanto de la empresa auditada como de la
empresa que audita.
• Recogida de la documentación e información oportuna.
• Entrevistas con los usuarios.
• Análisis de la documentación y de la información previamente recogida.
• Entrega del Informe de Auditoría y del Reglamento de Medidas de seguridad.
Pero ¿qué sucede con la figura del Auditor?El problema principal radica en que no se haya
regulada en ningún manual y no existe ningún registro al respecto, por lo que el único
requisito radica en su calificación y experiencia en diferentes proyectos.
Lo que sí debemos tener claro es que el Auditor debe ser una persona en constante
formación debido a que la rapidez con la que progresan las nuevas tecnologías hace que, en
caso contrario, se quede desfasado y fuera del mercado laboral.
Auditoría Informática
Alcance de la Auditoría Informática
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la
auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar
expresamente en el Informe Final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido
omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad
exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y
suficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la
misma.
*Control de integridad de registros: Hay Aplicaciones que comparten registros, son
registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo
necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como
debería.*Control de validación de errores: Se corrobora que el sistema que se aplica para
detectar y corregir errores sea eficiente.
Características de la Auditoría Informática
La información de la empresa y para la empresa, siempre importante, se ha convertido en
un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión
Informática.Del mismo modo, los Sistemas Informáticos han de protegerse de modo global
y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en
general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo
o Técnica de Sistemas.Cuando se producen cambios estructurales en la Informática, se
reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización
Informática.Estos tres tipos de auditorías engloban a las actividades auditoras que se
realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área
de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo
existen, además de ineficiencias, debilidades de organización, o de inversiones, o de
seguridad, o alguna mezcla de ellas.Síntomas de Necesidad de una Auditoría
Informática:Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
* Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.-
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos
habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de
alguna área o en la modificación de alguna Norma importante]
* Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software
en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben
ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se
resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y
desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial
en los resultados de Aplicaciones críticas y sensibles.
* Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.- Necesidad de justificación de Inversiones
Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide
contrastar opiniones).- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la petición).
* Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica- Seguridad Física – Confidencialidad[Los datos son propiedad
inicialmente de la organización que los genera. Los datos de personal son especialmente
confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de
Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería
prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe
ser sustituido por el mínimo indicio.
Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en
otro lugar? Lo que generalmente se pide es que se hagan Backups de la información
diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de
ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz,
teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le
proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la
inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir
operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o
el tiempo que estipule la empresa, y después se van reciclando.
Ya no hay excusa para perder archivos
Crear una copia de seguridad del contenido de nuestro PC es una de esas cosas que, como
alimentarnos bien o cambiar el aceite del auto, todos sabemos que hay que hacer, pero que
pocos llevamos a cabo.
Durante años los expertos en computadoras nos han advertido que debemos hacer una
versión de respaldo de nuestro disco duro regularmente, pero la mayoría no hemos hecho
caso. Esto ocurre porque tradicionalmente se ha creído que esta tarea es tediosa, laboriosa o
cara, dependiendo del método que se utilice.
Aún recuerdo cómo, cuando empezaba a hacer uso del ordenador, me sentaba y pasaba
largo rato metiendo y sacando docenas de disquetes en el PC para tener una copia del disco
duro. Más adelante, tuve que lidiar con drives de cintas voluminosos y softwares
complicados para crear la copia de seguridad.
Pero salvaguardar nuestra información se ha vuelto más importante que nunca. Los
ordenadores siempre han sido artefactos frágiles, sujetos a descomponerse y fallar. Ahora
también son el blanco de ataques masivos de piratas informáticos, programadores de virus y
otros delincuentes digitales. Estas agresiones pueden corromper o destruir nuestros
archivos, o forzarnos a reformatear el disco duro, lo que también borra toda nuestra
información.
Así que, ¿qué sistema de respaldo puede protegernos contra tales pérdidas, siendo lo
suficientemente fácil de usar como para que la gente lo use regularmente? Yo recomiendo
comprar un disco duro externo y utilizar un software de respaldo automatizado para copiar
la información del disco duro principal a este disco de seguridad de manera regular.
Para superar la resistencia habitual del usuario, cualquier método de crear copias de
seguridad debe ser sencillo, disponer del espacio suficiente y ser automático. Asimismo,
deberá funcionar según un horario que le fijemos, sin que tengamos que prestarle atención
y sin que tengamos que realizar ninguna operación manual.
Esto descarta copiar los archivos manualmente a un CD, DVD u otro tipo de discos
extraíbles. Puede que ese sistema resulte útil para algunos, pero requiere demasiados
esfuerzos manuales y esto no lo hace un método eficaz para la mayoría de la gente.
Además, es sumamente fácil quedarse sin espacio o discos suficientes para almacenar toda
la información.
Otro método, suscribirse a un servicio que hace una copia automática a través de Internet,
tiene la ventaja de ser automático, pero puede ser también costoso. Además, los servicios
basados en la Web raramente ofrecen el espacio suficiente para copiar la mayor parte de la
información que contienen los enormes discos duros de hoy, a menos que uno esté
dispuesto a pagar mucho.
Pero, si se utiliza correctamente, el método del disco duro externo ofrece suficiente espacio,
puede ser totalmente automático y sorprendentemente económico. Ni siquiera hay que abrir
el pc o instalar ningún accesorio dentro de ella. Hoy en día es verdaderamente fácil adquirir
un disco duro externo que se puede conectar a una máquina Windows o Macintosh
mediante un cable USB 2.0 o un puerto FireWire, y los sistemas operativos actuales lo
reconocen inmediatamente y cuesta aproximadamente menos de US$100. Lo mantengo
conectado a mi pc.
Cada noche, a las 2 a.m., el software se activa y sincroniza las carpetas clave que designé
en mi disco duro con carpetas idénticas en el disco duro externo. Después de la primera vez
solamente copia los archivos nuevos o modificados. Si en algún momento borro
accidentalmente un documento o carpeta puedo recuperarlo fácilmente desde el disco de
seguridad.
Hace poco probé un método más sencillo: un disco duro que incluye software, llamado
OneTouch II, de Maxtor Corp. Este producto consiste en un disco duro externo, listo para
funcionar en cuanto se conecta con una máquina Windows o Macintosh a través de un
cable USB 2.0 o FireWire. Incluye un software simple y eficaz para copias de seguridad,
con versiones tanto para Windows como para Mac. El software puede activarse con sólo
apretar un botón, o entrar en funcionamiento automáticamente en un horario determinado.
Actualmente, el OneTouch II está disponible en EE.UU. en dos versiones relativamente
grandes y caras: un modelo de 250 gigabytes, que cuesta en ese país US$329,95, y otro de
300 gigabytes, que vale allí US$379,95. Ambos están disponibles en América Latina al
precio base de EE.UU., más impuestos locales.
Estos modelos tienen una capacidad superior a la que el usuario promedio necesita, pero la
compañía asegura que producirá versiones más pequeñas, a precios más reducidos, para
comienzos del año próximo.
La clave del OneTouch II es el software que incluye, una versión especial y simplificada de
Retrospect, un programa de Dantz Development Corp. Éste puede copiar automáticamente
toda la información de su disco duro o ciertos documentos y carpetas.
En mi prueba, hecha con una Hewlett-Packard Pavilion, el OneTouch II se instaló rápida y
fácilmente y el software funcionó bien. Mi única queja es que la copia de seguridad inicial
fue bastante lenta. Copiar unos 51 gigabytes de información tomó más de 12 horas. Los
respaldos subsiguientes, que sólo copiaron los archivos nuevos o modificados, fueron
mucho más rápidos. Borré un par de archivos y pude recuperarlos rápidamente utilizando la
función de “restaurar” del programa.
OneTouch II es un buen producto, pero aunque uno elija este método, que incluye un
software, o un disco duro externo que usa un software comprado por separado, hacer una
copia de seguridad de nuestros archivos en un disco duro externo tiene mucho sentido.
Normas, técnicas y procedimientos de auditoría en
informática.
El desarrollo de una auditoría se basa en la aplicación de normas, técnicas y procedimientos
de auditoría. Para nuestro caso, estudiaremos aquellas enfocadas a la auditoría en
informática.
Es fundamental mencionar que para el auditor en informática conocer los productos de
software que han sido creados para apoyar su función aparte de los componentes de la
propia computadora resulta esencial, esto por razones económicas y para facilitar el manejo
de la información.
El auditor desempeña sus labores mediante la aplicación de una serie de conocimientos
especializados que vienen a formar el cuerpo técnico de su actividad. El auditor adquiere
responsabilidades, no solamente con la persona que directamente contratan sus servicios,
sino con un número de personas desconocidas para él que van a utilizar el resultado de su
trabajo como base para tomar decisiones.
La auditoría no es una actividad meramente mecánica, que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevados a cabo son de de carácter indudable. La
auditoría requiere el ejercicio de un juicio profesional, sólido maduro, para juzgar los
procedimientos que deben seguirse y estimar los resultados obtenidos[37].
Normas.
Según se describe en [bib-imcp], las normas de auditoría son los requisitos mínimos de
calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información
que rinde como resultado de este trabajo.
Las normas de auditoría se clasifican en:
a. Normas personales.
b. Normas de ejecución del trabajo.
 c. Normas de información.
Normas personales

son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados
en un sus conocimientos profesionales así como en un entrenamiento técnico, que le
permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecución del trabajo

son la planificación de los métodos y procedimientos, tanto como papeles de trabajo

a aplicar dentro de la auditoría.
Normas de información

son el resultado que el auditor debe entregar a los interesados para que se den
cuenta de su trabajo, también es conocido como informe o dictamen.
Técnicas.
Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba
que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y
conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”.
Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de la empresa
u organización a ser auditada, que pudieran nesecitar una mayor atención.
Las técnicas procedimientos están estrechamente relacionados, si las técnicas no son
elegidas adecuadamente, la auditoría no alcanzará las normas aceptadas de ejecución, por lo
cual las técnicas así como los procedimientos de auditoría tienen una gran importancia para
el auditor.
Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican
generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares,
verbales, por escrito, por revisión del contenido de documentos y por examen físico.
Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la
siguiente manera:
• Estudio General
• Análisis
• Inspección
• Confirmación
• Investigación
• Declaración
• Certificación
• Observación
• Cálculo
Procedimientos.
Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias
que nos sirven para fundamentar la opinión del auditor dentro de una auditoría, se les dan el
nombre de procedimientos de auditoría en informática.
La combinación de dos o más procedimientos, derivan en programas de auditoría, y al
conjunto de programas de auditoría se le denomina plan de auditoría, el cual servirá al
auditor para llevar una estrategia y organización de la propia auditoría.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una
sola prueba, es necesario examinar los hechos, mediante varias técnicas de aplicación
simultánea.
En General los procedimientos de auditoría permiten:
• Obtener conocimientos del control interno.
• Analizar loas características del control interno.
• Verificar los resultados de control interno.
• Fundamentar conclusiones de la auditoría.
Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o
procedimiento de auditoría serán los mas indicados par obtener su opinión.
Análisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de técnicas y procedimientos de
auditoría, de los cuales destacan el análisis de datos, ya que para las organizaciones el
conjunto de datos o información son de tal importancia que es necesario verificarlos y
comprobarlos, así también tiene la misma importancia para el auditar ya que debe de
utilizar diversas técnicas para el análisis de datos, basados en [bib-solis-2002], las cuales se
describen a continuación.
Comparación de programas

esta técnica se emplea para efectuar una comparación de código (fuente, objeto o
comandos de proceso) entre la versión de un programa en ejecución y la versión de
un programa piloto que ha sido modificado en forma indebida, para encontrar
diferencias.
Mapeo y rastreo de programas

esta técnica emplea un software especializado que permite analizar los programas
en ejecución, indicando el número de veces que cada línea de código es procesada y
las de las variables de memoria que estuvieron presentes.
Análisis de código de programas

Se emplea para analizar los programas de una aplicación. El análisis puede

efectuarse en forma manual (en cuyo caso sólo se podría analizar el código
ejecutable).
Datos de prueba
 Se emplea para verificar que los procedimientos de control incluidos los programas
de una aplicación funcionen correctamente. Los datos de prueba consisten en la
preparación de una serie de transacciones que contienen tanto datos correctos como
datos erróneos predeterminados.
Datos de prueba integrados

Técnica muy similar a la anterior, con la diferencia de que en ésta se debe crear una
entidad, falsa dentro de los sistemas de información.
Análisis de bitácoras

Existen varios tipos de bitácoras que pueden ser analizadas por el auditor, ya sea en
forma manual o por medio de programas especializados, tales como bitácoras de
fallas del equipo, bitácoras de accesos no autorizados, bitácoras de uso de recursos,
bitácoras de procesos ejecutados.
Simulación paralela

Técnica muy utilizada que consiste en desarrollar programas o módulos que simulen
a los programas de un sistema en producción. El objetivo es procesar los dos
programas o módulos de forma paralela e identificar diferencias entre los resultados
de ambos.
Monitoreo.
Dentro de las organizaciones todos los procesos necesitan ser evaluados a través del tiempo
para verificar su calidad en cuanto a las necesidades de control, integridad y
confidencialidad, este es precisamente el ámbito de esta técnica, a continuación se muestran
los procesos de monitoreo:
• M1 Monitoreo del proceso.
• M2 Evaluar lo adecuado del control Interno.
• M3 Obtención de aseguramiento independiente.
• M4 Proveer auditoría independiente.
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por
parte de la gerencia reportes e indicadores de desempeño y la implementación de sistemas
de soporte así como la atención regular a los reportes emitidos.
Para ello la gerencia podrá definir indicadores claves de desempeño y factores críticos de
éxito y compararlos con los niveles propuestos para evaluar el desempeño de los procesos
de la organización.
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los procesos de TI,
para ello se debe monitorear la efectividad de los controles internos a través de actividades
administrativas, de supervisión, comparaciones, acciones rutinarias, evaluar su efectividad
y emitir reportes en forma regular[38].
M3 Obtención de aseguramiento independiente
Incrementa los niveles de confianza entre la organización, clientes y proveedores, este
proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deberá obtener una certificación o acreditación independiente de
seguridad y control interno antes de implementar nuevos servicios de tecnología de
información que resulten críticos, así como para trabajar con nuevos proveedores de
servicios de tecnología de información, luego la gerencia deberá adoptar como trabajo
rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de
tecnología de información, de los proveedores de estos servicios así como también
asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología
de información y de los proveedores de dichos servicios.
M4 Proveer auditoría independiente.
Incrementa los niveles de confianza de recomendaciones basadas en mejores prácticas de su
implementación, lo que se logra con el uso de auditorías independientes desarrolladas a
intervalos regulares de tiempo.
Para ello la gerencia deberá establecer los estatutos para la función de auditoría, destacando
en este documento la responsabilidad, autoridad y obligaciones de la auditoría.
El auditor deberá ser independiente del auditado, esto significa que los auditores no deberán
estar relacionados con la sección o departamento que esté siendo auditado y en lo posible
deberá ser independiente de la propia empresa, esta auditoría deberá respetar la ética y los
estándares profesionales, seleccionando para ello auditores que sean técnicamente
competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas
efectivas y eficientes de auditoría informática.
La función de la auditoría informática deberá proporcionar un reporte que muestre los
objetivos, período de cobertura, naturaleza y trabajo de auditoría realizado, así como
también la organización, conclusión y recomendaciones relacionadas con el trabajo de
auditoría informática llevado a cabo.
Análisis de bitácoras.
Hoy en día los sistemas de cómputo se encuentran expuestos a distintas amenazas, las
vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen más complejos,
el número de ataques también aumenta, por lo anterior las organizaciones deben reconocer
la importancia y utilidad de la información contenida en las bitácoras de los sistemas de
computo así como mostrar algunas herramientas que ayuden a automatizar el proceso de
análisis de las mismas.
El crecimiento de Internet enfatiza esta problemática, los sistemas de cómputo generan una
gran cantidad de información, conocidas como bitácoras o archivos logs, que pueden ser de
gran ayuda ante un incidente de seguridad, así como para el auditor.
Una bitácora puede registrar mucha información acerca de eventos relacionados con el
sistema que la genera los cuales pueden ser:
• Fecha y hora.
• Direcciones IP origen y destino.
• Dirección IP que genera la bitácora.
 • Usuarios.
• Errores.
La importancia de las bitácoras es la de recuperar información ante incidentes de seguridad,
detección de comportamiento inusual, información para resolver problemas, evidencia
legal, es de gran ayuda en las tareas de cómputo forense.
Las Herramientas de análisis de bitácoras mas conocidas son las siguientes:
• Para UNIX, Logcheck, SWATCH.
• Para Windows, LogAgent
Las bitácoras contienen información crítica es por ello que deben ser analizadas, ya que
están teniendo mucha relevancia, como evidencia en aspectos legales.
El uso de herramientas automatizadas es de mucha utilidad para el análisis de bitácoras, es
importante registrar todas las bitácoras necesarias de todos los sistemas de cómputo para
mantener un control de las mismas.
Técnicas de auditoría asistida por computadora
La utilización de equipos de computación en las organizaciones, ha tenido una repercusión
importante en el trabajo del auditor, no sólo en lo que se refiere a los sistemas de
información, sino también al uso de las computadoras en la auditoría.
Al llevar a cabo auditorías donde existen sistemas computarizados, el auditor se enfrenta a
muchos problemas de muy diversa condición, uno de ellos, es la revisión de los
procedimientos administrativos de control interno establecidos en la empresa que es
auditada.
La utilización de paquetes de programas generalizados de auditoría ayuda en gran medida a
la realización de pruebas de auditoría, a la elaboración de evidencias plasmadas en los
papeles de trabajo.
Según [bib-zavaro-martinez] las técnicas de auditoría Asistidas por Computadora (CAAT)
son la utilización de determinados paquetes de programas que actúan sobre los datos,
llevando a cabo con más frecuencia los trabajos siguientes:
• Selección e impresión de muestras de auditorías sobre bases estadísticas o no
estadísticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por
los auditores.
• Verificación matemática de sumas, multiplicaciones y otros cálculos en los archivos
del sistema auditado.
• Realización de funciones de revisión analítica, al establecer comparaciones, calcular
razones, identificar fluctuaciones y llevar a cabo cálculos de regresión múltiple.
• Manipulación de la información al calcular subtotales, sumar y clasificar la
información, volver a ordenar en serie la información, etc.
• Examen de registros de acuerdo con los criterios especificados.
• Búsqueda de alguna información en particular, la cual cumpla ciertos criterios, que
se encuentra dentro de las bases de datos del sistema que se audita.
Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor,
evaluar las múltiples aplicaciones específicas del sistema que emplea la unidad auditada, el
examinar un diverso número de operaciones específicas del sistema, facilitar la búsqueda
de evidencias, reducir al mínimo el riesgo de la auditoría para que los resultados expresen
la realidad objetiva de las deficiencias, así como de las violaciones detectadas y elevar
notablemente la eficiencia en el trabajo.
Teniendo en cuenta que se hacía imprescindible auditar sistemas informáticos; así como
diseñar programas auditores, se deben incorporar especialistas informáticos, formando
equipos multidisciplinarios capaces de incursionar en las auditorías informáticas y
comerciales, independientemente de las contables, donde los auditores que cumplen la
función de jefes de equipo, están en la obligación de documentarse sobre todos los temas
auditados.
De esta forma los auditores adquieren más conocimientos de los diferentes temas, pudiendo
incluso, sin especialistas de las restantes materias realizar análisis de esos temas, aunque en
ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros
industriales, abogados, especialistas de recursos humanos o de normalización del trabajo
para obtener evidencia que le permita reunir elementos de juicio suficientes.
Evaluación del control interno.
En un ambiente de evolución permanente, determinado por las actuales tendencias
mundiales, las cuales se centran en el plano económico soportadas por la evolución
tecnológica, surge la necesidad de que la función de auditoría pretenda el mejoramiento de
su gestión.
La práctica de nuevas técnicas para evaluar el control interno a través de las cuales, la
función de auditoría informática pretende mejorar la efectividad de su función y con ello
ofrecer servicios más eficientes y con un valor agregado.
La evolución de la teoría del control interno se definió en base a los principios de los
controles como mecanismos o prácticas para prevenir, identificar actividades no
autorizadas, más tarde se incluyó el concepto de lograr que las cosas se hagan; la corriente
actual define al control como cualquier esfuerzo que se realice para aumentar las
posibilidades de que se logren los objetivos de la organización.
En este proceso evolutivo se considera actualmente, y en muchas organizaciones que el
director de finanzas, contralor o al director de auditoría como los responsables principales
del correcto diseño y adecuado funcionamiento de los controles internos.
Benchmarking
Las empresas u organizaciones deben buscar formas o fórmulas que las dirijan hacia una
mayor calidad, para poder ser competitivos, una de estas herramientas o fórmulas es el
Benchmarking.
Existen varios autores que han estudiado el tema, y de igual manera existen una gran
cantidad de definiciones de lo que es benchmarking, a continuación se presentan algunas
definiciones.
Benchmarking es el proceso continuo de medir productos, servicios y prácticas contra los
competidores o aquellas compañías reconocidas como líderes en la industria.[39]
Esta definición presenta aspectos importantes tales como el concepto de continuidad, ya
que benchmarking no sólo es un proceso que se hace una vez y se olvida, sino que es un
proceso continuo y constante.
Según la definición anterior podemos deducir que se puede aplicar benchmarking a todas
las facetas de las organizaciones, y finalmente la definición implica que el benchmarking se
debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las
organizaciones que son reconocidas como las mejores.
Entre otras definiciones tenemos la extraída del libro Benchmarking de Bengt, la cual es:
“benchmarking es un proceso sistemático y continúo para comparar nuestra propia
eficiencia en términos de productividad, calidad y prácticas con aquellas compañías y
organizaciones que representan la excelencia”.
Como vemos en esta definición se vuelve a mencionar el hecho de que benchmarking es un
proceso continuo, también se presenta el término de comparación y por ende remarca la
importancia de la medición dentro del benchmark.
Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la
productividad de las mismas, considerando el valor que tienen dichas acciones en contra de
los costos de su realización lo cual representa la calidad, y la relación entre los bienes
producidos y los recursos utilizados para su producción, lo cual se refiere a la
productividad.
Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque
difieren en algunos aspectos también se puede notar que concuerdan o presentan una serie
de elementos comunes.
Para empezar en la mayoría de ellas se resalta el hecho de que benchmarking es un proceso
continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que
es un proceso que se aplicará una y otra vez ya que dicho proceso está en búsqueda
constante de las mejores prácticas de la industria, y como sabemos la industria está en un
cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que
no se puede asegurar que las mejores prácticas de hoy lo serán también de mañana.
También se vio en las diferentes definiciones que este proceso no sólo es aplicable a las
operaciones de producción, sino que puede aplicarse a todas la fases de las organizaciones,
por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y
operaciones del negocio, hasta el punto de ser los mejores en la industria, observando
aspectos tales como la calidad y la productividad en el negocio.
De igual manera podemos concluir que es de suma importancia como una nueva forma de
administrar ya que cambia la práctica de compararse sólo internamente a comparar nuestras
operaciones en base a estándares impuestos externamente por las organizaciones conocidas
como las de excelencia dentro de la industria.
Dentro del benchmarking existen los siguientes tipos:[40]
Benchmarking interno

en la mayor parte de las grandes organizaciones con múltiples divisiones o

internacionales hay funciones similares en diferentes unidades de operación, una de
las investigaciones de benchmarking más fácil es comparar estas operaciones
internas, también debe contarse con facilidad con datos e información y no existir
problemas de confidencialidad y los datos ser tan amplios y completos como se
desee.
Este primer paso en las investigaciones de benchmarking es una base excelente no
sólo para descubrir diferencias de interés sino también centrar la atención en los
 temas críticos a que se enfrentara o que sean de interés para comprender las
practicas provenientes de investigaciones externas, también pueden ayudar a definir
el alcance de un estudio externo.
Benchmarking competitivo

los competidores directos de productos son contra quienes resulta más obvio llevar a
cabo el benchmarking, ellos cumplirían, o deberían hacerlo, con todas las pruebas
de comparabilidad, en definitiva cualquier investigación de benchmarking debe
mostrar cuales son las ventajas y desventajas comparativas entre los competidores
directos.
Uno de los aspectos más importantes dentro de este tipo de investigación a
considerar es el hecho que puede ser realmente difícil obtener información sobre las
operaciones de los competidores, quizá sea imposible obtener información debido a
que está patentada y es la base de la ventaja competitiva de la empresa.
Benchmarking genérico

algunas funciones o procesos en las organizaciones son las mismas, el beneficio de

esta forma de benchmarking, es que se pueden descubrir prácticas y métodos que no
se implementan en la organización propia del investigador. Este tipo de
investigación tiene la posibilidad de revelar lo mejor de las mejores prácticas, la
necesidad de objetividad y receptividad por parte del investigador.
Que mejor prueba que la posibilidad de ponerlo en práctica si se pudiera obtener
que el hecho de que la tecnología ya se ha probado y se encuentra en uso en todas
partes, el benchmarking genérico requiere de una amplia conceptualización, pero
con una comprensión cuidadosa del proceso genérico.

Auditoria Informatica
Principio del formulario
 Final del formulario

En este sitio se encuentra el temario y material desarrollado, tambien una invitacion a

colaborar y aportar mas material.
Unidad 1 Introducción a la auditoria informática
1.1 Conceptos Auditoria y Auditoria Informatica
1.2 Tipos de Auditoria
1.2.1 Auditoria Interna y Externa
1.3 CampoAuditoriaInformatica
1.4 Control Interno
1.5 Modelos Control Utilizados en Auditoria Informatica
1.6 Principio Aplicados Auditores Informaticos
1.7 Responsabilidades De Administradores Y Auditor
Unidad 2 Planeación de la auditoria Informática
2.1 Fases Auditoria Informatica
2.1.1 Planeacion Auditoria Informatica
2.1.2 Revision Preliminar Auditoria Informatica
2.1.3 Revision Detallada Auditoria Informatica
2.1.4 Examen Evaluacion Informacion
2.1.5 Pruebas Controles de Usuario
2.1.6 Pruebas Sustantivas
2.2 Evaluacion Sistemas de Acuerdo al Riesgo
2.3 Investigacion Preliminar Auditoria Informatica
2.4 Personal Participante Auditoria Informatica
Unidad 3 Auditoria de la función informática
3.1 Recopilacion Informacion Organizacional
3.2 Evaluacion Recursos Humanos
3.3 Entrevistas con Personal Informatica
3.4 Situacion Presupuestal y Financiera Auditoria Informatica
3.4.1 Presupuestos Auditoria Informatica
3.4.2 Recursos Financieros y Materiales Auditoria Informatica
Unidad 4 Evaluación de la seguridad
4.1 Generalidades de Seguridad Area Fisica
4.2 Seguridad Logica y Confidencial
4.3 Seguridad Personal
4.4 Clasificacion Controles de Seguridad
4.5 Seguridad de Datos y Software de Aplicacion
4.6 Controles para Evaluar Software de Aplicacion
4.7 Controles Para Prevenir Crímenes Y Fraudes Informaticos
4.8 Plan de Contingencia Seguros procedimientos de recuperacion de desastres
4.9 Tecnicas Herramientas Relacionadas con Seguridad Fisica y del personal
4.10 Tacnicas y Herramientas Relacionadas con Seguridad de Datos y software de
aplicacion
Unidad 5 Auditoria de la seguridad en la teleinformática
5.1 Generalidades Seguridad Area Teleinformatica
5.2 Objetivos Criterios de Auditoria Area Teleinformática
5.3 Sintomas de Riesgo Teleinformatica
5.4 Tecnicas y Herramientas Auditoria Relacionadas con Seguridad Teleinformática
Unidad 6 Informe de la auditoria informática
6.1 Generalidades de Seguridad Area Fisica
6.2 Caracteristicas del informe
6.3 Estructura del informe
6.4 Formato para el informe