EVIDENCIA 1

Nombre de la Unidad de Aprendizaje: Auditoria Informática

Nombre del proyecto: - Ensayo sobre qué es una auditoría a un sistema de gestión de
seguridad de información, ciberseguridad y protección de la privacidad

Programa educativo: Licenciado en Tecnologías de Información

Semestre: 7 Grupo: 79

Nombre del maestro: José Magdiel Martinez Quiroga

Nombre de los integrantes del equipo:
Domínguez González Arturo Cesar #2079080
Guzmán Alanís Oscar Fernando #1818791
Hernández López Patricio #1900772
Rangel Muñoz Adrián de Jesús #1955771
Sánchez Martínez Karen Nallely #1956418
Contenido mínimo a evaluar Cumplimiento
Índice
Introducción .- incluye valores
UANL aplicados
Análisis y emisión de juicio
Conclusiones individuales
Conclusión del equipo
Actividad en inglés
Identificación de sub
resultados de aprendizaje
ANECA.
Calificación PIA:

Firma del maestro

San Nicolás de los Garza, ciudad universitaria a 17-septiembre-2023

1
 2

INDICE
INTRODUCCION ............................................................................................................................. 3

Qué es la auditoría a un sistema de gestión de seguridad de información, ciberseguridad y

protección de la privacidad........................................................................................................... 4

Tipos de auditorías: ....................................................................................................................... 4

Que se entrega en una auditoria ................................................................................................. 5

Programa de auditoría:.............................................................................................................. 5

Plan de auditoría: ....................................................................................................................... 5

Informe de auditoría: ................................................................................................................. 6

Cuáles son los roles que participan en una auditoría de sistemas de gestión. ...................... 7

Auditado: .................................................................................................................................... 7

Auditor líder: ............................................................................................................................. 7

Auditor ....................................................................................................................................... 7

Experto técnico ........................................................................................................................ 7

Observador ............................................................................................................................... 7

Cuál es el proceso de auditoría a un sistema de gestión de seguridad de información,

ciberseguridad y protección de la privacidad ............................................................................. 7

Describe qué es: ............................................................................................................................ 8

Hallazgos de la auditoría .................................................................................................... 8

No conformidad ........................................................................................................................ 8

Acción correctiva ..................................................................................................................... 8

Evidencia de auditoría ............................................................................................................ 9

Criterio de auditoría ................................................................................................................ 9

Conclusión: .................................................................................................................................. 10

Bibliografías: ................................................................................................................................ 18

2
 3

INTRODUCCION
La auditoría, como disciplina crítica en el ámbito empresarial y financiero, desempeña un
papel fundamental en la verificación, evaluación y aseguramiento de la integridad de la
información financiera y operativa de las organizaciones. Este ensayo se sumerge en el
apasionante mundo de la auditoría, explorando su evolución histórica, sus principios
fundamentales, su importancia en la toma de decisiones empresariales y su rol en el
mantenimiento de la transparencia y la confianza en los mercados financieros.

A lo largo de estas páginas, analizaremos la auditoría desde diversas perspectivas,

examinando sus diferentes tipos, como la auditoría interna y externa, así como su
aplicación en diferentes sectores, desde las empresas privadas hasta las organizaciones
gubernamentales. Además, exploraremos los desafíos contemporáneos que enfrentan
los profesionales de la auditoría, como la creciente complejidad de los negocios globales
y la rápida evolución de la tecnología.

3
 4

Qué es la auditoría a un sistema de gestión de seguridad de información,

ciberseguridad y protección de la privacidad.
¿Primero que nada que es la auditoria? Pues la auditoria podría definirse como un
proceso sistemático e independiente que evalúa y verifica las actividades,
operaciones, registros, estados financieros, etc. con el fin de determinar si se
cumplen los criterios establecidos y proporcionar una opinión imparcial sobre la
veracidad, confiabilidad y transparencia de la información auditada.
¿Sabiendo esto que es la auditoria a un sistema de gestión de la información,
ciberseguridad y protección?
Es un proceso en el cual se evalúa la eficacia y el cumplimiento de las políticas,
controles y procedimientos implementados en una organización para proteger la
información, garantizar la seguridad cibernética y preservar la privacidad de los
datos.
En la auditoria existen varios puntos a tomar en cuenta los cuales se podrían resumir
en:
políticas y Procedimientos
Controles y Seguridad
gestión de Riesgos
Cumplimiento normativo
Capacitación y Concienciación
A grandes rasgos los anteriores mencionados son los puntos para auditar en cuanto
a una auditoria a un Sistema de Gestión de Seguridad de la Información,
Ciberseguridad y protección de la Privacidad.

Tipos de auditorías:
Las auditorias existen de muchos tipos y con muy distintos objetivos sin embargo a
grandes rasgos podríamos decir que existen 4 tipos de auditorías las cuales serían:
Auditoria Técnica
Auditoria Por Objetivos
Auditoría Externa
Auditoría Interna

4
 5

¿Que se entrega en una auditoria?

Una auditoria principalmente está centrada en encontrar hallazgos que se rían

defectos o falta de cumplimiento con las normas establecidas, así como también
sugerir implementaciones normativas que estén faltando en la entidad a auditar.
Pero además de los hallazgos esta es una lista de cosas que deben entregarse en
una auditoria:
Hallazgos y Conclusiones
Recopilación de información
Evaluación de Controles
Pruebas y Análisis
Informa de Auditoria
Cada uno de los elementos de una auditoría se compone de la siguiente manera:

Programa de auditoría:
Objetivos: Define los objetivos específicos de la auditoría, como la revisión de
procesos, evaluación de controles internos, verificación de cumplimiento normativo,
entre otros.
Alcance: Establece el alcance de la auditoría, es decir, las áreas o procesos que
serán auditados y los límites de la revisión.
Recursos: Determina los recursos necesarios para llevar a cabo la auditoría, como
personal, herramientas, tiempo y presupuesto.
Proceso: Describe la metodología que se utilizará durante la auditoría, incluyendo
las técnicas, procedimientos y criterios de evaluación que se seguirán.
Responsabilidades: Define las responsabilidades y roles de los miembros del equipo
de auditoría, así como de los auditados y otras partes involucradas.

Plan de auditoría:
Objetivos específicos: Detalla los objetivos específicos de la auditoría,
desglosándolos en metas alcanzables y medibles.
Procedimientos de auditoría: Describe los procedimientos específicos que se
utilizarán para llevar a cabo la auditoría, como entrevistas, revisión de documentos,
pruebas de cumplimiento, verificación de registros, entre otros.

5
 6

Muestreo: Define la metodología y criterios para seleccionar las muestras que se

evaluarán durante la auditoría, ya sea muestras aleatorias o muestras
representativas.
Recolección de datos: Establece los métodos y herramientas que se utilizarán para
recopilar la información necesaria durante la auditoría, como cuestionarios, listas de
verificación, revisión de registros, entre otros.
Análisis de datos: Describe los métodos que se utilizarán para analizar los datos
recopilados, como técnicas estadísticas, comparación con estándares o benchmarks,
revisión de tendencias, etc.
Conclusiones y recomendaciones: Incluye la forma en que se presentarán las
conclusiones y recomendaciones derivadas de la auditoría, indicando cómo se
documentarán y comunicarán a los responsables pertinentes.

Informe de auditoría:
Resumen ejecutivo: Proporciona una visión general de los principales hallazgos,
conclusiones y recomendaciones de la auditoría de manera concisa.
Alcance y metodología: Describe el alcance de la auditoría y la metodología utilizada,
incluyendo los criterios de evaluación y las limitaciones identificadas.
Hallazgos: Detalla los hallazgos específicos identificados durante la auditoría ,
incluyendo cualquier incumplimiento, deficiencia o área de mejora encontrada.
Conclusiones: Resume las conclusiones generales de la auditoría, destacando los
aspectos positivos y negativos identificados, así como la efectividad de los controles
internos y procesos auditados.
Recomendaciones: Proporciona recomendaciones específicas para abordar los
hallazgos y mejorar los procesos, controles y operaciones de la entidad auditada.
Acciones correctivas: Sugiere acciones correctivas y plazos para implementar las
recomendaciones, indicando quién es el responsable de llevar a cabo dichas
acciones.
Anexos: Incluye cualquier documentación adicional relevante, como listas de
verificación, muestras de evidencia, resultados de pruebas, entre otros.
Cada uno de estos elementos forma parte integral de una auditoría y contribuye a la
planificación, ejecución y comunicación efectiva de los resultados de esta.

6
 7

¿Cuáles son los roles que participan en una auditoría de sistemas de gestión ?

Auditado: Es la persona o la organización que será auditada en su totalidad o en

partes.
[FUENTE: ISO 9000:2015, 3.13.12,]

Auditor líder: Según lo define la ISO 19011:2018, el auditor líder es la persona que
será asignada como líder del equipo auditor, tendrá que llevar la responsabilidad de
llevar a cabo la auditoria y deberá tener el tiempo suficiente para asegurarse con
tiempo de cumplir con las fechar programadas y tener una planificación eficaz.

Auditor: Es el encargado de llevar a cabo una auditoria.

[FUENTE: ISO 9000:2015, 3.13.15]

Experto técnico: Es la persona que aporta al equipo auditor con conocimientos o

experiencia específicos, pero este no actúa como auditor.
[FUENTE: ISO 9000:2015, 3.13.16]

Observador: Es la persona que acompaña y observa al equipo auditor, este tampoco

actúa como auditor.
[FUENTE: ISO 9000:2015, 3.13.17]

¿Cuál es el proceso de auditoría a un sistema de gestión de seguridad de

información, ciberseguridad y protección de la privacidad?

Seguridad de información: En este los auditores deberían proceder con discreción ya

que dicha información no debería usarse inapropiadamente para el beneficio
personal del auditor o del auditado o de algún modo que se perjudique los intereses
legítimos del auditado.
[FUENTE: ISO_19011:2018]

Requisitos:
Alcance: Se especifican los requisitos a establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de seguridad de la información dentro del
contexto de la organización.
Referencias Normativos: En este se menciona el contenido de los requisitos de dicho
documento.

7
 8

Términos y definiciones.
Contexto de la organización: Se determinan las cuestiones internas y externas que
son relevantes para el propósito y que este no afecte para lograr el resultado.
Liderazgo: Se debe mostrar el liderazgo y compromiso a la información. En este nos
incluye el garantizar que se establezca la política de seguridad, que se asegure la
integración de los requisitos del sistema, dirigir y apoyar, etc.
Planificación: Son las acciones para abordar riesgos y oportunidades.
Soporte: Son los recursos, la competencia, la conciencia, comunicación, información
documentada que se incluyen en el sistema de gestión.
Operación: Esta debe ser planificada, implementada y controlada por los procesos
para cumplir con los requisitos e implementación de las acciones determinadas en el
punto 6.
Evaluación del desempeño: Como su nombre lo indique se encarga del evaluó de
desempeño por lo que es necesario monitorear y medir los métodos de seguimiento
análisis, según corresponda para garantizar que los resultados sean válidos.
Mejora: Se debe mejorar continuamente.
[FUENTE: ISO IEC 27001-2022]

Describe qué es:

Hallazgos de la auditoría: Resultados de la evaluación de la evidencia de auditoría

recopilada frente a los criterios de auditoría. Es checar que lo que se va a auditar
tenga que estar en orden y encargarse de ver si hay algo inusual que se tenga que
corregir, o algo que se tenga que agregar.
[FUENTE: ISO 9000:2015, 3.13.9]

No conformidad: Incumplimiento de un requisito. La no conformidad puede tomarse de

manera en la que no se haya cumplido con algo de lo acordado a la hora de auditar y,
por lo tanto, se tiene que agregar o corregir.
[FUENTE: ISO 9000:2015, 3.6.9]

Acción correctiva: Son generalmente acciones decididas y emprendidas por el

auditado en un intervalo de tiempo acordado. Son acciones para marcar si a la hora de
auditar hay un error o algo inusual o también el hecho de que algo haga falta en el archivo
a la hora de auditar.
[FUENTE: ISO 2018]

8
 9

Evidencia de auditoría: Registros, declaraciones de hechos o cualquier otra

información que es pertinente para los criterios de auditoría y que es verificable. Son los
datos que se deben tomar como fuente de que, si se haya hecho la auditoría, como el
día, mes y/o el año en el que se haya auditado.
[FUENTE: ISO 9000:2015, 3.13.8]

Criterio de auditoría: Conjunto de requisitos usados como referencia frente a la cual

se compara la evidencia objetiva. Los criterios de auditoría se usan en forma de que todo
se cumpla en cuanto al orden, como políticas o normas para checar que todo esté en
orden y con el permiso para poder auditar.
[FUENTE: ISO 9000:2015, 3.13.7]

9
 10

Matriz comparativa de las normas de auditoria informática

Nombre de la ISO-19011:2018 ISACA ISO/IEC27007:2020
norma:
Organización Organización ITGI(IT Organización
creadora: Internacional de Gobernance Internacional de
Normalización Institute) Normalización

Historial de La norma ISO La primera edición La actual versión

versiones y 19011:2018 fue publicada en es ISO/IEC
alcance de cada proporciona 1996; la segunda 27007:2020 la cual
versión: directrices para la edición en 1998; es la versión del año
auditoría de la tercera edición 2020, ha sido
sistemas de en 2000 (la renovada respecto a
gestión, edición en línea su anterior versión
incluyendo los estuvo disponible de 2017 que es la
principios de en 2003); la predecesora de la
auditoría, la cuarta edición en original de 2011. La
gestión de un diciembre de versión de 2020
programa de 2005, y la versión incluye más
auditoría, la 4.1 está similitudes con el
realización de disponible desde estándar ISO
auditorías de mayo de 2007. 19011 anteriormente
sistemas de mencionado.
gestión y la
evaluación de la
competencia de
las personas
involucradas en el
proceso de
auditoría ¹. La
norma es aplicable
a todas las
organizaciones
que necesitan
planificar y realizar
auditorías internas
o externas de
sistemas de
gestión, o
gestionar un
programa de
auditoría. La
última versión
10
 11

publicada es la
ISO 19011:2018,
que se publicó en
*julio de 2018* ¹.
La norma ISO
19011:2018 es
una revisión de la
versión anterior, la
ISO 19011:2011.
La nueva versión
incluye cambios
significativos en la
estructura y el
contenido, como
una mayor
atención a los
riesgos y
oportunidades, y
una mayor
importancia en la
evaluación del
desempeño del
sistema de
gestión.

Capítulos, La norma ISO Satisfacer las La norma ISO/IEC

principios, anexos 19011:2018 necesidades de 27077:2020 consta
principales y la consta de *7 los colaboradores. de *1 capítulo* y *1
descripción de capítulos* y *1 Es crítico definir y anexo* . A
cada uno: anexo* : vincular los continuación, se
objetivos presenta una breve
1. *Objeto y empresariales y descripción de cada
campo de los objetivos uno de ellos:
aplicación*: Este relacionados con
capítulo establece TI. 1. *Objeto y
el propósito y el campo de
alcance de la Cubrir la empresa aplicación*: Este
norma ISO de extremo a capítulo establece
19011:2018. extremo. Las el propósito y el
compañías deben alcance de la
2. *Referencias cambiar de visión, norma ISO/IEC
normativas*: Este con el objetivo de 27077:2020.
capítulo enumera considerar el área
las normas y otros de TI como un *Anexo A
documentos que activo y no un (informativo)*
son referenciados costo. Los proporciona

11
 12

en la norma ISO directivos deben orientación

19011:2018. tomar la adicional para las
responsabilidad prácticas de
3. *Términos y de gobernar y auditoría del SGSI
definiciones*: gestionar los junto con los
Este capítulo activos requisitos de la
define los relacionados con norma ISO/IEC
términos y TI dentro de sus 27001:2013,
definiciones propias funciones. Cláusulas 4 a 10 ¹.
utilizados en la
norma ISO Aplicar un solo
19011:2018. marco integrado.
Usar un solo
4. *Principios de marco de gobierno
auditoría*: Este integrado puede
capítulo describe ayudar a las
los principios organizaciones a
fundamentales brindar valor
que rigen la óptimo de sus
auditoría de activos y recursos
sistemas de de TI.
gestión.
Habilitar un
5. *Gestión de un enfoque holístico.
programa de El gobierno de TI
auditoría*: Este empresarial
capítulo describe (GEIT) requiere de
cómo establecer, un enfoque
implementar, holístico que tome
mantener y en cuenta muchos
mejorar un componentes,
programa de también conocidos
auditoría. como
habilitadores. Los
6. *Realización habilitadores
de una influyen en si algo
auditoría*: Este va a funcionar o
capítulo describe no. COBIT 5
cómo planificar, incluye siete
llevar a cabo y habilitadores para
documentar una mejorar el GEIT,
auditoría. como los
principios, las
7. *Competencia y políticas y marcos;
evaluación de los los procesos; la
auditores*: Este cultura; la
capítulo describe
12
 13

los requisitos para información y la

la competencia y gente.
evaluación de los
auditores. Separar al
gobierno de la
administración.
Los procesos de
gobierno aseguran
que los objetivos
se alcancen
mediante la
evaluación de las
necesidades de
los interesados, el
establecimiento de
la dirección a
través de la
priorización y la
toma de
decisiones; y el
monitoreo del
desempeño, el
cumplimiento y el
progreso. De
acuerdo con los
resultados de las
actividades de
gobierno, la
administración de
la empresa y de TI
entonces debe
planear, crear,
realizar y
monitorear las
actividades para
asegurar el
alineamiento con
la dirección que
se estableció.

En su cuarta
edición, COBIT
tiene 34 procesos
que cubren 210
objetivos de
control
(específicos o
13
 14

detallados)
clasificados en
cuatro dominios:

Planificación y
Organización
(Plan and
Organize))
Adquisición e
Implantación
(Acquire and
Implement)
Entrega y Soporte
(Deliver and
Support)
Supervisión y
Evaluación
(Monitor and
Evaluate)

14
 15

Capturas:
Domínguez González Arturo Cesar

Guzmán Alanís Oscar Fernando

15
 16

Hernández López Patricio

Rangel Muñoz Adrián de Jesús

16
 17

Sánchez Martínez Karen Nallely

17
 18

Conclusión:
En conclusión, la auditoría emerge como una herramienta indispensable en el mundo
empresarial y financiero, cumpliendo un rol crítico en la garantía de la transparencia, la
integridad y la confianza en las organizaciones y en los mercados globales. A lo largo de
este ensayo, hemos explorado su evolución histórica, sus principios fundamentales y su
aplicación en una amplia gama de sectores.
La auditoría no solo es un medio para verificar la exactitud de la información financiera,
sino que también desempeña un papel vital en la identificación de riesgos, la prevención
de fraudes y la mejora de la eficiencia operativa. Los auditores, ya sean internos o
externos, se erigen como guardianes de la integridad de la información y como asesores
clave para la toma de decisiones informadas.
Sin embargo, no podemos pasar por alto los desafíos que enfrenta la auditoría en un
mundo en constante evolución, donde la tecnología y la globalización reconfiguran
constantemente el panorama empresarial. La adaptación a estas nuevas realidades es
esencial para garantizar que la auditoría siga siendo relevante y efectiva.
En última instancia, la auditoría no solo es una herramienta de cumplimiento normativo,
sino una inversión en la confianza y la sostenibilidad de las organizaciones. Su función
va más allá de los números y se extiende al núcleo de la responsabilidad corporativa y
la toma de decisiones éticas. Es un recordatorio de que la integridad y la transparencia
son los cimientos sobre los cuales se construyen relaciones sólidas y prósperas en el
mundo empresarial y financiero.

Bibliografías:
➢ ISO IEC 27001-2022
➢ ISO_19011_2028
➢ ISO 9000:2015

18