AUDITORIA INFORMATICA

FUNDAMENTOS TEÓRICOS

Ing. Darwin Marcelo Pillo MsC.

 Objetivos del capitulo:
• Analizar los conceptos de auditoria e informática
• Describir la justificación de la auditoria en
informática
• Conocer los diferentes tipos de auditoria y su
relación con la auditoria informática
• Exponer las técnicas avanzadas que se utilizan en
la auditoria con informática
• Describir las habilidades fundamentales que debe
tener todo auditor de informática
• Explicar cuales son los objetivos de la auditoria en
informática
Introducción a la auditoría informática
• Hoy en día, la mayoría de las organizaciones cuentan
con recursos informáticos, de redes y servicios de
comunicaciones para el almacenamiento,
procesamiento y transmisión de la información (datos,
voz, video, etc.). Y dada la apresurada velocidad con
que estas tecnologías van surgiendo, comprometen a
las áreas de TIC (Tecnologías de la información y
comunicación) a realizar análisis y diseños cada vez
más improvisados que, sin un adecuado plan para
que su funcionamiento sea el mejor, se genera así, un
factor crítico para el completo desempeño de todas las
áreas que involucran las TIC.
Introducción a la auditoría informática
• Esta asignatura de Auditoría informática permitirá entender
mejor, la necesidad de llevar un control adecuado de la
gestión y uso de los recursos de TI por medio de una
adecuada revisión y evaluación de:
– Usuarios: quienes distribuyen, procesan la información
y hacen uso de los servicios de explotación final.
(stakeholders)
– Señalización y control: cuyo enfoque es el
procesamiento y la distribución de la información.
– Redes y sistemas: administración de todos los
sistemas, infraestructura, servicios y la interacción con
operadores de las redes de telecomunicaciones de la
organización
 Introducción a la auditoría
• En toda organización es de gran importancia la
administración de los recursos de todo tipo, por lo que, en
el departamento de informática y telemática ésta debe ser
una de las prioridades, darle el uso adecuado a dichos
recursos disponibles como lo son: la transmisión de datos,
redes, redes de voz, de video, personas, hardware en
general, software, el tiempo y el presupuesto, entre otros.
• Con la finalidad de producir una adecuada toma de
decisiones para favorecer el logro de los objetivos de la
organización.

AUDITORÍA
 Nuevas ideas sobre Auditoría
1. Tiene que ser percibida como un valor
agregado a la organización.
2. Los auditores internos deben adoptar la
perspectiva de la cadena entera de valor.
3. Ver más allá de sus propios procesos para
reflejarse como conductores de servicios
organizacionales.
4. Los estándares y otras guías profesionales no
sólo deben orientar la profesión, sino también,
lograr simbolizar una calidad distintiva en el
mercado.
Nuevos retos a superar
• Mayor productividad
• Reducción de costos
• Mayor calidad y
confiabilidad
• Menor plazo de
entrega de los trabajos
• Servicios de valor
agregado
Como Compramos Hoy?
Ir al Banco

tecnología NFC

Transferencias Dinero Electrónico

Como es una Oficina Hoy?

Actividad
Leer el Diario
Nuevos Negocios
TI y Empresas

Tradicionales Combinadas Tecnológicas

Empresa y TI
Base de Datos
Vender
Comprar Redes
Cobrar Internet
Pagar
ERP
ProducirD
istribuir E- Business
Campaña MKT
SCM
Atención BI
Clientes CRM
 Qué es Información:
Como información denominamos al
conjunto de datos, ya procesados y
ordenados para su comprensión, que
aportan nuevos conocimientos a un
individuo o sistema sobre un asunto,
materia, fenómeno o ente determinado.

La importancia de la información radica en

que, con base en esta, podemos solucionar
problemas, tomar decisiones o determinar
cuál alternativa, de un conjunto de ellas, es
la que mejor se adapta a nuestras
necesidades.
Ciclo de vida de la Información
 ¿Qué es un sistema?
• Un sistema es un conjunto de elementos que se interrelacionan para
producir un resultado (Nidia Giorgis)
• Un sistema es el mecanismo por el cuál se generará información (Karen
& Lares)
• Conjunto de componentes que al interactuar producen una salida
(resultado).
• Las organizaciones de negocios son sistemas dinámicos, que toman
recursos económicos como insumos y los transforman a través de
diversos procesos organizacionales para proveer de bienes y/o servicios
como salidas.
• Ejemplos:
– Una oficina (instalaciones físicas, mobiliario y equipo, capital, tiempo,
materiales, procedimientos, información, recurso humano)
– Organismo (sistema nervioso, digestivo, circulatorio, etc)
– Empresa productora de vehículos (la parte productiva y la parte
administrativa)
¿Porqué Sistemas de Información?
• Es necesaria la información para
sobrevivir y prosperar.

• Los SI (Sistemas de Información)

ayudan a las organizaciones a
ampliar su alcance hasta lugares
muy retirados, ofrecer productos y
servicios nuevos, reformar
empleos y flujos de trabajo y quizá
cambiar profundamente la manera
de conducir sus negocios.
 ERP (Enterprise Resource Planning)
ERP (Enterprise
Resource Planning –
Planificación de
Recursos
Empresariales) es un
conjunto de sistemas de
información que permite la
integración de ciertas
operaciones de una
empresa, especialmente
las que tienen que ver con
la producción, la
logística, el inventario,
los envíos y la
contabilidad.
ERP (Enterprise Resource Planning)
Sistemas de Información
• Un sistema de información es un conjunto de
elementos que interactúan entre sí con el fin de
apoyar las actividades de una empresa o negocio.
Este no necesariamente incluye equipo electrónico
(hardware). (Karen & Lares).
• Se puede definir técnicamente como un conjunto
de componentes interrelacionados que
recolectan (o recuperan), procesan, almacenan y
distribuyen información para apoyar la toma de
decisiones y el control en una organización.
 ¿Qué incluyen los SI?
Elementos:
• Equipo computacional
(Hardware)
• Recurso Humano
• Datos o Información fuente
(Entrada)
• Programas (software)
• Redes ,Telecomunicaciones e
infraestructura (Hardware)
• Procedimientos (estructura
organizacional, presupuesto,
tiempo políticas y reglas de
operación).
¿Qué incluyen los SI?
Elementos: Información
• La información desde el punto de vista de la informática se
refiere al conjunto de datos ordenados, relacionados entre
sí de acuerdo a cierta lógica, que aporta a la organización
elementos necesarios para el cumplimiento de sus metas.
• Hoy en día, es necesario el uso de un sistema de
información para procesar esos datos en información
relevante en un tiempo apropiado para la toma de
decisiones.
• A esto se le denomina Procesamiento de datos, que
adicionalmente tiene la función de distribuir la información
generada, asegurándose de que ésta llegue a los usuarios
apropiados.
¿Qué incluyen los SI?
Elementos: Equipamiento tecnológico

• Para lograr distribuir la información, se requieren redes,

los cuáles se conforman de nodos (de acceso, de núcleo,
de servicios, de almacenamiento masivo y de base de
datos), sistemas operativos, software, etc.
• Por lo que, resulta necesario dirimir los riesgos
intrínsecos de actividades informáticas y telemáticas con
la finalidad de cuidar en mayor medida toda la inversión
realizada en la organización con respecto a las TIC
(Tecnologías de información y comunicación).
¿Qué incluyen los SI?
Elementos: Recurso Humano
Otro de los principales recursos son las personas (Recurso Humano),
que apoyados por las TIC pueden atender servicios que podrían ser
los siguientes:
• Operativos: Desarrollo o mantenimiento de sistemas, soporte
técnico, etc.
• Tácticos: Trabajos particulares para las decisiones de un jefe,
entre otros
• Funcionales: No están directamente relacionados con las
funciones del área, sin embargo aseguran que el personal trabaje
adecuadamente, por ejemplo Recursos humanos o Contabilidad
• Atención a proveedores: Aseguran el apoyo al trabajo
especializado.
• Estudio de necesidades y análisis: Es una actividad que puede
realizar la dirección de informática
¿Qué incluyen los SI?
Elementos: Procedimientos (estructura organizacional,
políticas y reglas de operación)
Los servicios anteriores pueden a su vez distribuirse de acuerdo a
diversas condicionantes que cada organización necesita, tomando
en cuenta su tamaño y su estructura. Por ejemplo observa las
siguientes estructuras:

En cualquier tipo de organización, se debe dejar bien establecido cómo debe fluir la comunicación, las funciones de cada rol,
niveles de autoridad, acceso a la información, responsabilidades e instrucciones.
¿Qué incluyen los SI?
Elementos: Tiempo, presupuesto, normas y metodologías.
• El tiempo en toda organización es un recurso que debe monitorearse
y gestionar las desviaciones cuando estas ocurren, identificar las
causas con la finalidad de atender de manera oportuna todos los
compromisos del área de sistemas y de la organización en general.
• Otro de los recursos que se debe gestionar es el presupuesto, ya que
será el motor que dará vida a las actividades planeadas en el
departamento de sistemas así como de la organización.
• Por otra parte, debido a que las organizaciones cada vez más, buscan
mantenerse en un nivel de competitividad y posicionamiento
internacional, es necesario demostrar que sus procesos pueden
soportar los rigurosos estándares internacionales, tales como normas
y metodologías (ISO (International Organization for Standardization), 6-
Sigma, CMMI (Capability Maturity Model Integration), PSP (Personal
Software Process), infraestructura ITIL (Information Technology
Infrastructure Library), área de redes el modelo de Cisco Systems ,
COBIT 5, COSO, etc.)
¿4 actividades básicas de un SI?
1. Entrada de Información
– Manuales o automáticas (interfaces)
2. Almacenamiento de Información
– Recuperar la información guardada
– Archivos, Bases de Datos (dispositivos de
almacenamiento)
3. Procesamiento de la Información
– Efectuar cálculos de acuerdo con una secuencia
de operaciones preestablecidas
4. Salida de Información
– Capacidad de sacar la información procesada o
bien datos de entrada al exterior (printers, plotters,
etc.)
¿Actividades que producen información
para un SI?
ENTORNO
Proveedores Clientes

ORGANIZACION

SISTEMA DE INFORMACIÓN

Entrada Procesamiento Salida

Retroalimentación

Agencias reguladoras Accionistas Competidores

 EMPLEADOS

CLIENTES
GOBIERNO

Dinero
Labor
ORGANIZACIÓN

Dinero

Dinero

DEUDORES
PROVEEDORES
PROPIETARIOS /
ACCIONISTAS
Los Sistemas de Información (Funciones)
32

EL CICLO DE VIDA DEL

DESARROLLO DE SISTEMAS
 EL CICLO DE VIDA DEL
DESARROLLO DE SISTEMAS
 Tecnologías de Información
Information Technology (IT)
• Todas aquellas tecnologías que permiten y dan soporte a la
construcción y operación de los sistemas de Información, las
cuales pueden ser tecnologías de Hardware, Software, tecnologías
de almacenamiento y tecnología de comunicaciones.
• Todas estas tecnologías forman la infraestructura tecnológica de la
empresa, la cual provee una plataforma desde donde la compañía
puede construir y operar los sistemas de información.
Tecnologías de la Sistemas de
información Información

Es así como la conclusión a la que debemos llegar, es que

el SI de una empresa es parte integrante del conjunto de
sistemas que conforman la estructura de la organización, y
que la TI proporcionará soluciones claras a problemas que
se presenten en la implementación de dicho sistema de
información.
 Tecnologías de la Información y la Comunicación
(TIC) y sistema de información (SI)
"Las Tecnologías de la Información y la Comunicación, también
conocidas como TIC, son el conjunto de tecnologías desarrolladas para
gestionar información y enviarla de un lugar a otro. Abarcan un abanico
de soluciones muy amplio. Incluyen las tecnologías para almacenar
información y recuperarla después, enviar y recibir información de un sitio a
otro, o procesar información para poder calcular resultados y elaborar
informes" (ServiciosTIC, 2006).
autores como Peralta (2008), de una manera más acertada define Sistema
de Información como: conjunto de elementos que interactúan entre sí
con el fin de apoyar las actividades de una empresa o negocio. Teniendo
muy en cuenta el equipo computacional necesario para que el sistema de
información pueda operar y el recurso humano que interactúa con el
Sistema de Información, el cual está formado por las personas que utilizan
el sistema. Un sistema de información realiza cuatro actividades básicas:
entrada, almacenamiento, procesamiento y salida de información.
(Peralta, 2008)
Tipos de Sistemas de Información
• Sistemas transaccionales
• Sistemas de apoyo a las decisiones
• Sistemas estratégicos
Tipos de Sistemas de Información
Sistemas Transaccionales

• Primer tipo de sistemas que se implanta en

las organizaciones
• Apoyan las tareas a nivel operativo de la
organización
• Muestran una intensa entrada y salida de
información
• Cálculos y procesos son simples y poco
complejos
• Son recolectores de información (datos)
– Ejemplo: facturación, nóminas, cuentas por
cobrar, etc
Tipos de Sistemas de Información
Sistemas de apoyo a las decisiones

• Suelen instalarse posterior a la implementación

de los sistemas transaccionales
• La información que generan sirve para los
mandos intermedios y alta gerencia en la T.D.
• Intensivos en cálculos y escasos en entradas y
salidas
• Apoyan directamente la Toma de Decisiones
– Ej. Sistema de simulación de negocios (apoyar un
nuevo producto al mercado)
Tipos de Sistemas de Información
Sistemas estratégicos
• Su función no es apoyar procesos operativos ni
ayudar a la toma de decisiones, aunque si puede
hacerlo.
• Buscan ser creadores de barreras de entrada al
negocio.
• Buscan lograr ventajas que los competidores no
poseen (costos, diferenciación clientes &
proveedores)
• Apoyan el proceso de innovación de productos y
procesos dentro de la empresa
– Ejemplo: CRM, SCM, Comercio Electrónico
¿De que hablamos cuando decimos
Tecnología Informática?
Tecnología Informática (Oferta)
– Hardware y Software
– Tecnología de Comunicaciones y Base de datos
– Metodología para la construcción de aplicaciones.

APLICACIONES
Sistemas de Información (Demanda)
–Necesidades de Información
–Requermientos del Negocio
¿Que es la auditoría?
Es la revisión independiente
que realiza un auditor
profesional, aplicando técnicas,
métodos y procedimientos
especializados, a fin de evaluar
el cumplimiento de funciones,
actividades, tareas y
procedimientos de una
organización (área - TI), así
como dictaminar sobre el
resultado de dicha evaluación.
Muñoz (2002,34)
¿Que es la auditoría?
El fin de aplicar una auditoría es para evaluar el
cumplimiento en funciones, actividades tareas y
procedimientos, para lo cual el auditor utiliza sus
conocimientos y herramientas especializadas, para llegar
a producir un informe de resultados, en el que plasmará
su opinión sobre las desviaciones y observaciones
detectadas para que los involucrados conozcan el estado
del área auditada (TI).
Hoy en día existen muchas empresas que se dedican a
dar servicios de auditoría, quienes cuentan con personal
calificado para cada tipo de auditoría y de esta manera
garantizar que tienen la facultad de poder emitir
recomendaciones que realmente aporten mejoras
sustantivas a la organización.
Muñoz (2002,34)
 ¿Que es la auditoría?
Otra definición de auditoría informática es la siguiente:

Se observa que este concepto se destacan los siguientes elementos principales:

– La opinión de un profesional
– El objeto de análisis
– Finalidad
De la misma manera Piattini resalta la importancia de que el auditor sea un
especialista en el tema, para que pueda tener la capacidad de juicio y de
recomendar las soluciones necesarias. El objeto de análisis que tiene que ver
con el contenido a evaluar, el soporte y la evidencia que serán el caso
de evaluación. Y por último la finalidad de lo que se analiza que se está
realizando contra lo que se pretende reflejar
Administración de la
Configuración de
Bases de Datos
Justificación de la auditoria:
Aumento de la
vulnerabilidad

Automatización de
Beneficios
los procesos y
para alcanzar
prestación de
los objetivos
servicios

Recursos
TIC´s
Información
Aumento de la
como recurso
productividad
estratégico

Magnitud de
los costos e
inversiones
TIC

Fuente: Rodríguez (2006)

“La productividad de cualquier organización depende del funcionamiento
ininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crítico adicional” (Rodríguez, 2006:3).
 Evidencias
1 El crecimiento del acceso a Internet y de usuarios conectados
incrementa la posibilidad de concreción de amenazas informáticas.

2 Crecimiento de la información disponible de empresas y sus

empleados en redes sociales Ingeniería Social.

3 Mensajes de e-mail que contienen attachments que explotan

vulnerabilidades en las aplicaciones instaladas por los usuarios.

4 Robo de credenciales o captura ilegal de datos.

5 Acceso a redes empresariales a través de códigos maliciosos diseñados
para obtener información sensitiva.

6 En el 2012 los sectores financiero, proveedores de servicios TIC,

comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los más vulnerables ante las
amenazas informáticas.

7 En el 2016, Symantec identificó 240 millones de programas maliciosos,

un aumento del 100% con respecto al 2017.

Fuente: Symantec (2017).

 Evidencias
8 En el 2016 hubo 286 millones de nuevas ciberamenazas.
9 Junto con las redes sociales otra área de peligro en el espacio móvil
(Smartphones).
10 ¿Ciberguerras? A lo largo de 2016, diferentes gobiernos de todo el mundo,
como Estados Unidos, UK o España, han mostrado la preocupación que
tienen ante ataques que puedan afectar a la economía del país o incluso a
otras áreas, tales como las denominadas infraestructuras críticas. También
este año 2017 vimos un ataque lanzado a diferentes páginas web de
Estados Unidos y Corea del Sur.
Previsión de tendencias de amenazas informáticas para 2017 Fuente: www.cxo-community.com

11 Cuidar a las empresas en esos momentos no es labor fácil. Los ataques

son incesantes (al menos 10,000 amenazas circulan en la red cada minuto),
y cada año causan pérdidas por más de 650,000 millones de dólares, dice el
grupo Crime-Research.org.

El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com

Fuente: Symantec (2017) e ITESPRESSO.ES (2017)..

Se requiere contar con una efectiva administración
de los RIESGOS asociados con las TIC

Rol Básico de la Función de Auditoría Informática

Supervisión de los CONTROLES

IMPLEMENTADOS y determinación de su eficiencia

Fuente: Rodríguez (2006)

Factores que propician la Auditoría Informática
Leyes gubernamentales.
Políticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Pérdida de información y de
capacidades de procesamiento de datos,
aumentando así la posibilidad de toma de
decisiones incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de
la organización.
Tipos de Auditoría
Tomando en consideración el objeto de análisis, se desprenden muchos
tipos de auditorías por ejemplo:
Auditoria por su lugar de aplicación
• Auditoría externa
• Auditoría interna
Auditorias por su área de aplicación
• Auditoría financiera
• Auditoría administrativa
• Auditoría operacional
• Auditoría integral
• Auditoría gubernamental
• Auditoría de sistemas computacionales (Auditoría informática)
Auditorias especializadas en áreas especificas
• Auditoría al área médica (evaluación médico-sanitaria)
• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
• Auditoría fiscal
• Auditoría laboral
• Auditoría de proyectos de inversión
• Auditoría a la caja chica o caja mayor (arqueos)
• Auditoría al manejo de mercancías (inventarios)
• Auditoría ambiental
• Auditoría de sistemas
Tipos de Auditoría
Tomando en consideración el objeto de análisis, se desprenden muchos
tipos de auditorías por ejemplo:

Auditoría de sistemas computacionales (Auditoría informática)

• Auditoría informática
• Auditoría con la computadora
• Auditoría sin la computadora
• Auditoría a la gestión informática
• Auditoría al sistema de cómputo
• Auditoría alrededor de la computadora
• Auditoría de la seguridad de sistemas computacionales
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputo
• Auditoría ISO-9000 a los sistemas computacionales
• Auditoría outsourcing
• Auditoría ergonómica de sistemas computacionales

Actividad
Auditoría informática
VS
Peritaje Informático
Auditoría informática (i) definición
La auditoría informática es el proceso de recoger, agrupar y
evaluar evidencias para determinar si un Sistema de
Información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con las
leyes y regulaciones establecidas.

También permiten detectar de forma sistemática el uso de los

recursos y los flujos de información dentro de una organización y
determinar qué información es critica para el cumplimiento de su
misión y objetivos, identificando necesidades, duplicidades,
costes, valor y barreras, que obstaculizan flujos de información
eficientes.
Auditoría informática (i) definición

Auditar consiste principalmente en estudiar los mecanismos

de control que están implantados en una empresa u
organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias,
estableciendo los cambios que se deberían realizar para la
consecución de los mismos. Los mecanismos de control
pueden ser directivos, preventivos, de detección, correctivos o
de recuperación ante una contingencia.
Peritaje Informático
Se conoce como peritaje informático a los estudios e
investigaciones orientados a la obtención de una prueba informática
de aplicación en un asunto judicial para que sirva a un juez para
decidir sobre la culpabilidad o inocencia de una de las partes.

Son también los estudios e investigaciones usados en asuntos

privados para la búsqueda de pruebas y argumentos que sirvan a
una de las partes en discusión para decantar la discrepancia a su
favor. Habitualmente se recurre a pruebas periciales informáticas en
asuntos penales en los que la infraestructura informática media
como herramienta del delito, por ejemplo la pornografía infantil en
Internet . Son otros asuntos los delitos contra la propiedad privada e
intelectual, espionaje industrial, protección de datos personales,
fraudes, sabotajes, etc.
Definiciones de auditorías especializadas
de los sistemas computacionales
Motivados por la importancia de continuar con la exposición de
las definiciones de cada uno de los tipos de auditorías, y
debido a que la esencia de este libro es enfatizar la
trascendencia, utilidad y especialidad de la auditoría de
sistemas computacionales (ASC), a continuación
presentamos cada una de las definiciones de auditorías
especializadas de los sistemas computacionales, las cuales
se aplican para las diferentes áreas y disciplinas de este
ambiente informático.

Las definiciones propuestas para la auditoría de sistemas

computacionales son las siguientes:
Auditoría de sistemas computacionales
(Auditoría informática)
Las definiciones propuestas para la auditoría de sistemas computacionales son las
siguientes:

• Auditoría informática
• Auditoría con la computadora
• Auditoría sin la computadora
• Auditoría a la gestión informática
• Auditoría al sistema de cómputo
• Auditoría en el entorno de la computadora
• Auditoría sobre la seguridad de sistemas computacionales
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputo
• Auditoría ISO-9000 a los sistemas computacionales
• Auditoría outsorcing
• Auditoría ergonómica de sistemas computacionales
Actividad
Objetivos generales de la
Auditoría en Informática
• Asegurar la integridad, confidencialidad
y confiabilidad de la información.
• Minimizar existencias de riesgos en el
uso de Tecnología de información
• Conocer la situación actual del área
informática para lograr los objetivos.
• Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informático, así como también
seguridad del personal, los datos, el
hardware, el software y las instalaciones.

Auditoria de Sistemas de Barcelona (2004)

Objetivos generales de la
Auditoría en Informática
• Incrementar la satisfacción de los
usuarios de los sistemas informáticos.
• Capacitación y educación sobre
controles en los Sistemas de
Información.
• Buscar una mejor relación costo-
beneficio de los sistemas automáticos
y tomar decisiones en cuanto a
inversiones para la tecnología de
información.

Auditoria de Sistemas de Barcelona (2004)

Características de la Auditoría en Informática
Características de la Auditoría en Informática
Características de la Auditoría en Informática
Otras características agrupadas por el tipo de auditoría son:
Marco esquemático de la auditoría de sistemas
computacionales (Auditoría informática)
Evaluación a:
Hardware
• Plataforma de hardware
• Tarjeta madre
• Procesadores
• Dispositivos periféricos
• Arquitectura del sistema
• Instalaciones eléctricas, de datos y de telecomunicaciones
• Innovaciones tecnológicas de hardware y periféricos
Software
• Plataforma del software
• Sistema operativo
• Lenguajes y programas de desarrollo
• Programas, paqueterías de aplicación y bases de datos
• Utilerías, bibliotecas y aplicaciones
• Software de telecomunicación
• Juegos y otros tipos de software
Marco esquemático de la auditoría de sistemas
computacionales (Auditoría informática)
Evaluación a:
Gestión informática
• Actividad administrativa del área de sistemas
• Operación del sistema de cómputo
• Planeación y control de actividades
• Presupuestos y gastos de los recursos informáticos
• Gestión de la actividad informática
• Capacitación y desarrollo del personal informático
• Administración de estándares de operación, programación y desarrollo
Información
• Administración, seguridad y control de la información
• Salvaguarda, protección y custodia de la información
• Cumplimiento de las características de la información
Diseño de sistemas
• Metodologías de desarrollo de sistemas
• Estándares de programación y desarrollo
• Documentación de sistemas
Marco esquemático de la auditoría de sistemas
computacionales (Auditoría informática)
Evaluación a:
Bases de datos
• Administración de bases de datos
• Diseño de bases de datos
• Metodologías para el diseño y programación de bases de datos
• Seguridad, salvaguarda y protección de las bases de datos
Seguridad
• Seguridad del área de sistemas
• Seguridad física
• Seguridad lógica
• Seguridad de las instalaciones eléctricas, de datos y de
• telecomunicaciones
• Seguridad de la información, redes y bases de datos
• Administración y control de las bases de datos
• Seguridad del personal informático
Marco esquemático de la auditoría de sistemas
computacionales (Auditoría informática)
Evaluación a:
Seguridad del personal informático
• Redes de cómputo
• Plataformas y configuración de las redes
• Protocolos de comunicaciones
• Sistemas operativos y software
• Administración de las redes de cómputo
• Administración de la seguridad de las redes
• Administración de las bases de datos de las redes
Especializadas
• Outsourcing
• Helpdesk
• Ergonomía en sistemas computacionales
• ISO-9000
• Internet/intranet
• Sistemas multimedia
AUDITORIA Y RIESGO INFORMATICO
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la Gestión
de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la
Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Auditoría y riesgo Informático
 Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible:
fallas, ingresos no autorizados a las
áreas de computo, virus, uso
inadecuado de activos informáticos,
desastres ambientales (terremotos,
inundaciones), incendios, accesos
ilegales a los sistemas, fallas
eléctricas.
Pueden ser de tipo lógico o físico.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
 Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su
entorno que facilitan que las
amenazas se materialicen.
Se manifiestan como
debilidades o carencias: falta
de conocimiento del usuario,
tecnología inadecuada, fallas en
la transmisión, inexistencia de
antivirus, entre otros.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo
Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
 Impacto
Consecuencias de la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro de la
imagen de la empresa, reducción
de eficiencia, fallas operativas a
corto o largo plazo, pérdida de
vidas humanas, etc.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
 Administración de Riesgos
Luego de efectuar el análisis de riesgo-
impacto, el ciclo de administración de riesgo
finaliza con la determinación de las acciones a
seguir respecto:
•Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informática).
•Aceptar el riesgo, determinando el nivel de
exposición.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación.
Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Relación entre Amenazas, Vulnerabilidad y
Riesgo
Y...¿Qué es el control interno?
Es un proceso, mediante el cual la
administración, los directivos y/o la alta
gerencia le proporcionan a sus
actividades, un grado razonable de
confianza, que le garantice la
consecución de sus objetivos, tomando
en cuenta: la eficacia y eficiencia de las
operaciones, fiabilidad de la información
financiera y cumplimiento de las leyes y
normas aplicables, con la finalidad de
dotar a la organización medidas
preventivas, detección y corrección de
errores, fallos y fraudes o sabotajes
 CONTROL INTERNO. DEFINICIÓN
Y TIPOS
Cualquier actividad o acción
realizada manual y/o
automáticamente para prevenir,
corregir errores o irregularidades
que puedan afectar el
funcionamiento de un sistema
para conseguir sus objetivos.

La tipología tradicional de los controles informáticos es:

 ¿Bajo Nivel de
Vulnerabilidad?

Daño a los equipos,

datos o información
Concreción
de la
Amenaza

Agente Amenazante

Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
Confidencialidad
(Daños intencionales o no)
Integridad
Objetivos: Desafío, Disponibilidad
ganancia financiera/política,
daño Pérdida de
•Dinero
Causa Física (Natural o no)
•Clientes
•Imagen de la Empresa
 Tratar de evitar el
Cuando fallan los
hecho
preventivos para
tratar de conocer
Disuasivos Preventivos cuanto antes el
evento
Amenaza o
Riesgo

Plataforma Informática Operatividad

Vuelta a la Tmin
normalidad cuando
se han producido Detectivo Correctivo
incidencias
 Normas de Auditoría Informática
disponibles Guía de auditoria del
sistema de gestión de
• COSO (Committee seguridad
of Sponsoring
de la información
Organizations of the Treadway
paraCommission,
su protección.
EEUU 1992).
• ITIL (Information Technology Infrastructure
Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000). ISO/IEC 27001.
• evaluación
Modelo de COBIT 5 del(ControlMarco referencial
Objectives que evalúa
for Information
control interno el proceso
en los Technology
and Related IT, de gestión
EEUU de los
1998).
sistemas, funciones, Servicios de tecnología de
procesos o actividades en información y de la
forma íntegra. infraestructura tecnología.
Actividad
 Normas de Auditoría Informática
disponibles
• COSO (Committee of Sponsoring
Organizations of the Treadway Commission,
EEUU 1992).
• ITIL (Information Technology Infrastructure
Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000). ISO/IEC 27001.
• COBIT 5 (Control Objectives for Information
and Related Technology IT, EEUU 1998).

Actividad
 Normas de Auditoría Informática
disponibles Guía de auditoria del
sistema de gestión de
seguridad de la información
para su protección.

Modelo de evaluación del

Marco referencial que evalúa
control interno en los
el proceso de gestión de los
sistemas, funciones,
Servicios de tecnología de
procesos o actividades en
información y de la
forma íntegra.
infraestructura tecnología.
Actividad
 Bibliografía Referencial
• Solarte Francisco. (2012). Manual de procedimientos para llevar a la práctica la
auditoría informática. Editorial Institución Universitaria.
• Solís Gustavo. (2002). Reingeniería de la Auditoría Informática. México. Editorial
Trillas.
• Garay, N. (2009). Auditoría informática. Retrieved from
https://ebookcentral.proquest.com
• ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición.
McGraw Hill. México.
• MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales.
Pearson-Prentice Hall. México.
• PIATTINI, MARIO & EMILIO DEL PESO (1998). Auditoría en Informática. Un
enfoque práctico. Editorial RAMA. España.
• RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas de
Información. 2da. Edición. COBIT-Universidad de Castilla. España.
• PIATTINI, MARIO & EMILIO DEL PESO (2001). Auditoría en Informática. Un
enfoque práctico – 2da Edición. Editorial RAMA. España.
• PIATTINI, MARIO & EMILIO DEL PESO (2008). Auditoría de tecnologías y
sistemas de información. Editorial RAMA. España