08-Auditoria de Sist

ESCUELA DE CIENCIAS BSICAS E INGENIERA
Ingeniera de Sistemas
ASIGNATURA: Auditora de Sistemas
CORPORACIN UNIVERSITARIA REMINGTON

DIRECCIN PEDAGGICA
Este material es propiedad de la Corporacin Universitaria Remington (CUR), para los estudiantes de la CUR
en todo el pas.
2011
Corporacin Universitaria Remington Direccin Pedaggica

Auditora de Sistemas
Pg. 5
CRDITOS
El mdulo de estudio de la asignatura Auditoria de Sistemas del Programa Ingeniera de sistemas es propiedad de la
Corporacin Universitaria Remington. Las imgenes fueron tomadas de diferentes fuentes que se relacionan en los
derechos de autor y las citas en la bibliografa. El contenido del mdulo est protegido por las leyes de derechos de
autor que rigen al pas.
Este material tiene fines educativos y no puede usarse con propsitos econmicos o comerciales.
AUTOR
Elizabeth Daz Duque
Ingeniera de Sistemas de la Universidad EAFIT Medelln
Especialista en Pedagoga de la Virtualidad de la Fundacin Universitaria Catlica del Norte
Diplomatura en Ambientes Virtuales de Aprendizaje
Jefe de rea de Informtica y Tecnologa del Colegio Gimnasio Los Pinares de Medelln, docente durante los ltimos 5
aos ediazduque@gmail.com
Nota: el autor certific (de manera verbal o escrita) No haber incurrido en fraude cientfico, plagio o vicios de autora; en
caso contrario eximi de toda responsabilidad a la Corporacin Universitaria Remington, y se declar como el nico
responsable.
RESPONSABLES
Jorge Mauricio Seplveda Castao
Director del programa Escuela de Ciencias Bsicas e Ingeniera
Director Pedaggico
Octavio Toro Chica
dirpedagogica.director@remington.edu.co
Coordinadora de Medios y Mediaciones
Anglica Ricaurte Avendao
mediaciones.coordinador01@remington.edu.co
GRUPO DE APOYO
Personal de la Unidad de Medios y Mediaciones
EDICIN Y MONTAJE
Primera versin. Febrero de 2011.
Derechos Reservados
Esta obra es publicada bajo la licencia CreativeCommons. Reconocimiento-No Comercial-Compartir Igual 2.5 Colombia.
Corporacin Universitaria Remington - Calle 51 51-27 Conmutador 5111000 Ext. 2701 Fax: 5137892. Edificio Remington
Pgina Web: www.remington.edu.co - Medelln - Colombia

Pg. 6
TABLA DE CONTENIDO
1.
MAPA DE LA ASIGNATURA ............................................................................................. 7
2.
QU ES LA AUDITORA DE SISTEMAS? ........................................................................... 8
2.1.
Qu es la auditora de sistemas? ......................................................................................... 10
2.2.
Objetivos Generales de la Auditora de Sistemas ................................................................. 13
2.3.
La Funcin de la Auditora en la Organizacin ...................................................................... 14
3.
LA AUDITORA DE SISTEMAS ........................................................................................ 17
3.1.
Planeacin de una Auditora de Sistemas ............................................................................. 18
3.2.
Los Controles de una Auditora ............................................................................................. 24
3.2.1. Definicin de Controles ......................................................................................................... 24

3.2.2. Clasificacin de Los Controles ............................................................................................... 25
3.3.
Metodologa de una Auditora .............................................................................................. 27
4.
AUDITORAS DE SISTEMAS ........................................................................................... 33
4.1.
Fases de la Auditora de Sistemas Y su Seguimiento ............................................................ 35
4.2.
Casos para analizar el porqu de las auditoras en los sistemas........................................... 42
4.3.
Pistas de Aprendizaje ............................................................................................................ 95
4.4.
Glosario ................................................................................................................................. 96
4.5.
Bibliografa ............................................................................................................................ 97

Pg. 7
1. MAPA DE LA ASIGNATURA
AUDITORA DE SISTEMAS
PROPSITO GENERAL DEL MDULO
Con este mdulo de trabajo se pretende hacer una introduccin a los estudiantes hacia
el concepto de auditoras en el campo de los diferentes sistemas, y que a travs de las
ejemplificaciones expuestas, los educandos pueden tener una idea general de cmo se
evalan a las organizaciones en el departamento de sistemas.
OBJETIVO GENERAL
Introducir a los estudiantes en el contexto de un sistema, y que comprenda el concepto
de valoracin de las fortalezas y debilidades del mismo y que sea capaz del diseo de
controles que eviten posibles errores, preservando el correcto alcance de los objetivos
del sistema
OBJETIVOS ESPECFICOS
Conocer los instrumentos bsicos que permitan la deteccin de debilidades y
posibles riesgos en los diferentes Sistemas de una organizacin.
Comprender cmo se lleva a cabo una auditora de acuerdo con las directrices de
las Auditorias de Sistemas generalmente aceptadas para que la tecnologa de
informacin de la organizacin y los sistemas empresariales sean
adecuadamente controlados, vigilados y evaluados.
Evaluar las directrices para una auditora de sistemas, adems de su aplicabilidad
en una organizacin
UNIDAD 1
UNIDAD 2
QU ES LA AUDITORA
DE SISTEMAS
-DESARROLLO
CONCEPTUAL-
OBJETIVOS GENERALES DE
LA
AUDITORA
DE
SISTEMAS
-DESARROLLO
CONCEPTUAL-
UNIDAD 3
AUDITORAS
SISTEMAS
DE
-ESTUDIO DE CASOS
APLICABLES-

Pg. 8
2. QU ES LA AUDITORA DE SISTEMAS?
OBJETIVO GENERAL
Conocer los instrumentos bsicos que permitan la deteccin de debilidades y posibles riesgos en
los diferentes Sistemas de una organizacin.
Introducir a los estudiantes al concepto general de la auditora de sistemas.
Plantear los conceptos generales de una auditora de sistemas para contextualizar a los
estudiantes en dicho campo.
Presentar el papel o rol principal de un auditor de sistemas en los procesos de auditoras.
Prueba Inicial
Resuelve el siguiente acertijo, El acertijo dice as:
Tenemos 5 casas de cinco colores diferentes y en cada una de ellas vive una persona de una
nacionalidad diferente.
Cada uno de los dueos bebe una bebida diferente, fuma una marca de cigarrillos diferente y tiene
una mascota diferente.
Tenemos las siguientes claves:
El britnico vive en la casa roja.
El sueco tiene un perro.
El dans toma t.
La casa verde est a la izquierda de la blanca.
El dueo de la casa verde toma caf.
La persona que fuma Pall Mall tiene un pjaro.
El dueo de la casa amarilla fuma Dunhill.
El que vive en la casa del centro toma leche.
El noruego vive en la primera casa.
La persona que fuma Brends vive junto a la que tiene un gato.
La persona que tiene un caballo vive junto a la que fuma Dunhill.
El que fuma Bluemasters bebe cerveza.
El alemn fuma prince.

Pg. 9
El noruego vive junto a la casa azul.

El que fuma Brends tiene un vecino que toma agua.
Y por ltimo la pregunta: Quin es el dueo del pececito?
TEMAS
Antes de comenzar, veamos el siguiente video como introduccin a la Unidad
Video Intro unidad 1

En: http://www.youtube.com/watch?v=IgN3hrS5rJ4
1. QU ES LA AUDITORA DE SISTEMAS?
a. DEFINICIN
b. CONCEPTOS GENERALES
c. ROL DEL AUDITOR DE SISTEMAS
2. OBJETIVOS DE UNA AUDITORA DE SISTEMAS
3. LA FUNCIN DE LA AUDITORA EN LA ORGANIZACIN

Pg. 10
2.1. Qu es la auditora de sistemas?

QUS LA AUDITORA DE SISTEMAS?
a. DEFINICIN:
Si entrramos a definir el concepto de auditora, comenzaramos por definirlo desde su raz, as, la
palabra auditora, proviene del latn auditor, -ris y as mismo sta nos trae a colacin la palabra
auditor, que es aquella persona que se encarga de hacer las auditoras haciendo uso de una de
las mayores virtudes que ste debe tener y es: oir, pues as podr realizar su trabajo de revisin
de acuerdo a un objetivo especfico que debe ir incluido en todo proceso de auditora y es el de
evaluar la eficiencia y la eficacia con la que se est realizando cualquiera procedimiento y as la
organizacin pueda tomar las decisiones pertinentes que permitan corregir los errores, en caso de
que existieran, o as tambin mejorar el desarrollo de dicho procedimiento.
Definicin de Auditora Sistemas

b. CONCEPTOS DE LA AUDITORA DE SISTEMAS
Comencemos por definir algunos conceptos que se deben tener en cuenta para el entendimiento
de las auditorias de sistemas.
SISTEMA: entendido como el conjunto de elementos, o reglas de una materia en especfico que
estn enlazadas entre s de una manera lgica- racional. Algunos ejemplos podran ser: Sistema
nervioso, Sistema Numrico, Sistema de Informacin.

Pg. 11
INFORMACIN: la informacin en general podramos definirla como un conjunto de datos

organizado que conlleva un mensaje.
No puede confundirse la informacin con los Datos, pues estos son realmente una simple
representacin simblica de una entidad cualquiera, pero que por s slo no representa un
mensaje.
Consideremos los siguientes ejemplos:
Datos: Ana, Restrepo/ 15 aos/ Bogotana
Informacin: Ana Restrepo tiene 15 aos y su ciudad de procedencia es Bogot.
PROCESO: Entendido como un conjunto de actividades coordinados entre s, que suceden de
acuerdo a un fin comn.
Ejemplo: Proceso de Seleccin de Personal
PROCEDIMIENTO: este concepto podramos definirlo como el modo o la manera de ejecutarse
las diferentes acciones o actividades de un proceso. Desde el campo de la computacin podramos
llamarlo como una subrutina.
Ejemplo: Registro de la documentacin en la oficina de reclutamiento de personal.
EVALUACIN: consideremos sta como aquella accin encargada de darle la estimacin o grado
de valor a algo.
Consideremos tambin que no todo es medible desde el campo numrico, pero si desde lo
cualitativito puede darse una estimacin a lo evaluado.
Ejemplos: Numricael 80% del personal est a gusto con el servicio recibido.
CualitativaEl servicio fue evaluado como muy bien prestado.
VERIFICACIN: es entendida como aquella accin que permite examinar y comprobar la verdad o
validez de algo.
Ejemplo: Se considera un nmero par, a todo aquel que puede ser divisible por dos (2) y su
resultado es una divisin exacta. Luego el nmero 10 es par. Verificacin 10/2=5.

Pg. 12
c. ROL DEL AUDITOR DE SISTEMAS:

Si partimos que la auditora de sistemas debe tener como fin la evaluacin y anlisis de los
procesos informticos, luego, debemos entender entonces el papel o rol de dicho auditor de
sistemas como el ente evaluador que debe estar atento a identificar los problemas o posibles
problemas que puedan estar presentes dentro de los sistemas utilizados en la organizacin, pero
as mismo debe estar abierto a proponer soluciones a estos mismos.
Es indispensable que este auditor de sistemas tenga formacin en los siguientes aspectos:
Analizar cuando y como los medios de la organizacin auditada pueden conseguir su mxima
eficacia. Por ende debe presentar por escrito sus propias recomendaciones del estudio realizado,
adems de las posibles soluciones, de acuerdo a los problemas detectados en dicho sistema
informtico.
Luego de esto, el auditor debe establecer aquellos requisitos mnimos, para poder que se puedan
adecuar y por ende permitir las funciones para las cuales fue diseado dicho sistema y ste pueda
cumplir con lo requerido.
Cabe anotar que el auditor debe abstenerse de dar recomendaciones a la organizacin, que sean
de carcter innecesario o que puedan ser riesgosas o que carezcan de todo tipo de soporte.
El auditor adems debe prestar su servicio de auditora haciendo uso de las posibilidades a su
alcance (medios), pero que siempre pueda asegurar que su trabajo puede ser ejercido con toda
idoneidad. Si existe el caso que los medios no le permitan hacer su trabajo con total libertad, es
necesario entonces que el auditor no realice dicha funcin de auditora y sugiera un cambio de
fecha para dicha auditora hasta que la organizacin le garantice las condiciones mnimas
necesarias para dicha actividad.
Si el auditor encontrara un caso de auditora en el cual l considere que sus conocimientos no son
los suficientes para la materia en evaluacin, ste deber buscar un experto en la materia y remitir
su informe para poder analizarlo en condiciones idneas y as poder reforzar la calidad de la
auditora.
El auditor debe facilitar e incentivarla confianza con el/los auditados basndose en una actuacin
enteramente transparente, y manejando un perfil humilde que le permita al auditado mostrar sus
resultados sin ningn temor, y as asegurar un proceso de auditora con calidad.

Pg. 13
Ejercicio
2.2. Objetivos Generales de la Auditora de Sistemas

2. OBJETIVOS GENERALES DE LA AUDITORA DE SISTEMAS
Veamos algunos de los objetivos que la auditora de sistemas debe plantearse siempre. Cabe
aclarar que estos son los objetivos generales de la auditora, los especficos ya van estrictamente
ligados al proceso especfico a evaluar/auditar:
Evaluar las polticas generales acerca del ambiente laboral, desempeo, planeacin,
capacitacin y cualificacin, motivacin y remuneracin del personal de la organizacin.
Evaluar las polticas que tiene la organizacin con respecto al software, hardware,
desarrollo y mantenimiento de los sistemas de informacin.
Evaluar las polticas de la organizacin que tienen con respecto a la seguridad tanto de la
planta fsica, como de respaldo de la informacin.
Evaluar los recursos tecnolgicos e informticos de la organizacin.
Analizar cmo se concibe dentro de la organizacin la implementacin y funcionalidad del
sistema de aseguramiento de la informacin.

Pg. 14
Objetivos Generales de la Auditora
EJERCICIO DE APRENDIZAJE:
Haga una lista de 5 objetivos que pretenda alcanzar la auditora planeada en la organizacin.
2.3. La Funcin de la Auditora en la Organizacin

3. LA FUNCIN DE LA AUDITORA EN LA ORGANIZACIN
Para definir la funcin que tienen las auditoras en la organizacin, recordemos entonces
que la auditora tiene como fin evaluar y tratar de controlar los sistemas informticos para
poder protegerlos, adems de verificar que las actividades de dichos sistemas si se
desarrollen bajo las normas informticas generales existentes y as poder asegurar la
eficacia que la organizacin espera, pues no podemos aislar los sistemas de informacin
del control respectivo al que se someten los dems procesos de la organizacin.

Pg. 15
Entendamos entonces porqu es importante la auditora de sistemas dentro de la organizacin, a

partir de la contemplacin de los siguientes aspectos:
Los equipos de cmputo y centros de procesamiento de datos pueden ser bastante
buscados bien sea para funciones de espas o para delinquir. Estos equipos al procesar y
transmitir informacin podran enviar paquetes de datos con errores tales como virus o
archivos daados. He ah entonces una actividad que la auditora puede ayudar a controlar
y mejorar.
Ahora, un sistema de informacin que est mal diseado e implementado puede ser una
herramienta muy peligrosa para cualquier persona, ya que no podemos olvidar que las
mquinas slo reciben rdenes de una persona, y ya estos equipos (computadores)
generan el material informtico de cada organizacin. Por esto una organizacin no puede
en ningn caso depender total o parcialmente de un programa (software) mal diseado, o
bien de equipos malos (hardware).
De la misma manera que la tecnologa va avanzando da a da, as mismo, las
organizaciones deben ir avanzando y por ello es que se deben evaluar constantemente los
controles aplicados a los sistemas y as haya una consolidacin y coherencia con los
cambios que se vivan dentro de la organizacin.
El desarrollo de la auditora de sistemas es bastante bsico, ya que no cuenta con todos los
recursos necesarios para ella, han hecho entonces que los controles ejercidos se vean
solamente enfocados a los procesos donde el Software y el Hardware se vean
involucrados.
Es muy importante que las organizaciones aumenten sus controles y acciones de control
frente a los sistemas de informacin, ya que las auditoras les muestran el alcance de
seguridad de dichos sistemas, que estn altamente centrados en la seguridad fsica.
La auditora de sistemas es de gran ayuda para la organizacin puesto que hoy es muy
poca o en casos escasa la documentacin de las organizaciones, o tambin informacin
desactualizada, y los sistemas de informacin podran subsanar este aspecto.
Veamos en el siguiente grfico los aspectos principales que ayudara la auditora en cualquier
organizacin.

Pg. 16
Funcin Auditora en la Organizacin
Ejercicio de aprendizaje
Defina en 5 lneas, 2 funciones bsicas que cumplira una auditora en cualquiera organizacin.

Pg. 17
3. LA AUDITORA DE SISTEMAS
OBJETIVO GENERAL
Comprender cmo se lleva a cabo una auditora de acuerdo con las directrices de las Auditorias de
Sistemas generalmente aceptadas para que la tecnologa de informacin de la organizacin y los
sistemas empresariales sean adecuadamente controlados, vigilados y evaluados.
Introducir a los estudiantes en la planeacin general y adecuada de una auditora de
Sistemas.
Analizar los respectivos controles que maneja toda auditora de sistemas.
Conocer la metodologa que debe tenerse en cuenta para que una auditora de sistemas
sea exitosa.
Prueba Inicial
En la Unidad 1 leste lo que es una auditora de Sistemas, escribe 5 actividades, que usted como
auditor hara previamente a la realizacin de una auditora.
Actividad 1: __________________________________________________
Actividad 2: __________________________________________________
Actividad 3: __________________________________________________
Actividad 4: __________________________________________________
Actividad 5: __________________________________________________

Pg. 18
3.1. Planeacin de una Auditora de Sistemas

Veamos el siguiente video como abrebocas de la Unidad:
http://www.youtube.com/watch?v=9WMu6d-py2A
Video Intro Unidad2
Recordemos entonces que la auditora de sistemas es la encargada de revisar y evaluar los

sistemas, controles y procedimientos de los diferentes sistemas de la organizacin, adems de los
anteriores, tambin se incluye la inspeccin de los diferentes equipos de cmputo, su uso y la
seguridad de los mismos, esto todo con el fin de buscar un uso ms eficiente y seguro de toda la
informacin que es la base para las decisiones de la organizacin.
Miremos entonces como se podra hacer una adecuada planeacin de una auditora de sistemas, y
para esto es absolutamente necesario seguir una serie de pasos que vienen previos a la auditora
en s, con el fin de lograr dimensionar las diferentes caractersticas del rea a auditar dentro de la
organizacin o ente auditado.
Veamos entonces, a travs de la siguiente grfica los primeros pasos que se debe tener en cuenta
antes de una auditora:

Pg. 19
Pasos Previos a una Auditora
Desglosemos el mapa anterior a partir de la Investigacin Preliminar, la cual consiste en

explorar el estado general de rea a auditar y su estado frente a la organizacin.
Adems se debe hacerla investigacin preliminar solicitando informacin de las diferentes reas
de la organizacin, y revisndola teniendo en cuenta aspectos como:

Pg. 20
Investigacin Preliminar
Ahora veamos que se necesita para Dimensionar la estructura a Auditar:
1. En el rea de Sistemas:
a. Objetivos a Largo plazo
b. Objetivos a Corto Plazo
2.
a.
b.
c.
d.
e.
f.
g.
h.
Recursos materiales: pedir documentos que evidencien informacin como:

Nmero de equipos y sus caractersticas
Informacin de instalacin de los equipos
Contratos de los equipos (comprar, alquiler, mantenimiento).
Polticas para el uso de los equipos
Informacin de los Seguros
Informacin de Ubicacin de los equipos
Convenios existente con otras entidades
Planes de expansin

Pg. 21
4. Informacin de la descripcin general de los Sistemas

Que existen instalados en la Organizacin y tambin la de aquellos que estn en lista de espera
para ser instalados y que contengan informacin en ellos. Pare ello se debe solicitar
documentacin o soporte de informacin como:
a.
b.
c.
d.
Manual de Procedimiento de los Sistemas

Diagramas de entrada y salida (I/O)
Fechas de instalaciones
Planes de instalacin a futuro
Muy bien, luego de solicitar esta informacin para el dimensionamiento de la Organizacin,

podemos encontrar varios casos. Vemoslos:
CASO 1: La informacin solicitada No la tiene la Organizacin, y sta se necesita
CASO 2: La informacin solicitada No se tiene y No se necesita
CASO 3: La Organizacin cuenta con la informacin, pero sta est incompleta, desactualizada,
inadecuada, no se usa.
CASO 4: La informacin con la que se cuenta es la requerida, est actualizada, y es necesaria.
En el CASO 1, se debe analizar el POR QU NO SE NECESITA.

En el CASO 2, se debe recomendar a la Organizacin la elaboracin de sta teniendo en cuenta las
necesidades y el uso que se le dara a sta.
En el CASO 3, al igual que en el caso 2, se deben hacer las recomendaciones necesarias para
completar dicha informacin, o actualizarla, u orientar su uso.
El xito para los anlisis de la informacin requerida, depende de las siguientes recomendaciones
que debemos tener en cuenta como auditores:

Pg. 22
Recomendaciones para el auditor
EL PERSONAL PARTCIPANTE
Este es otro aspecto que es fundamental dentro de la planeacin de una auditora de sistemas,
pues es el personal con sus caractersticas de quienes participan en estos procesos los que
aseguran en gran parte el xito de las auditoras.
En este caso, la mayora del personal que se busca para la realizacin de los procesos de auditoras
debe ser personal altamente capacitado, con valores ticos para ejercer su trabajo con rectitud y
as mismo podrsele retribuir justamente por su trabajo.
Con estos requisitos mencionados anteriormente, adems de considerar las caractersticas de sus
buenos conocimientos, prctica y profesionalismo podramos decir que se cuenta con un personal
idneo para intervenir en las auditoras.

Pg. 23
No se puede olvidar que las organizaciones cuentan con muy buen talento humano que puede
llevar a cabo los procesos de auditoras y poder proporcionar y programar las reuniones o las
actividades necesarias o requeridas. Adems que la alta gerencia debe garantizar al auditor, todo
el apoyo necesario a travs del uso de todo el personal multidisciplinario con el que cuente la
organizacin para asistir en la actividades programas y poder garantizar la obtencin de la
informacin en el momento indicado.
Tambin se debe contar con algn personal que sea discriminado por los diferentes usuarios del
sistema, pues es necesario que cuando el auditor solicite diferentes tipos de informacin para el
anlisis de algunas de las premisas planteadas para dicha evaluacin, se pueda contar con no slo
el punto de vista del rea de sistemas, sino tambin de los mismos usuarios de estos sistemas.
Ahora veamos un ejemplo de personal con algunas de las caractersticas requeridas, que se
sugiere para dicho trabajo:
Un tcnico en sistemas/Informtica, con experiencia en dicha rea, adems de
conocimiento y experiencia en el anlisis de sistemas. Pero sobre todo conocimiento de
los sistemas claves de la organizacin.
Ahora, si se viera involucrado el auditor en un caso de sistemas con alta complejidad, es
indispensable contar con un experto bien sea den Telemtica, Bases de Datos, u otras reas afines.
1. Mencione y explique al menos 2 de los casos posibles que se pueden presentar en la solicitud
de informacin en una auditora.
2. Escriba 4 recomendaciones para un buen auditor.

Pg. 24
3.2. Los Controles de una Auditora
3.2.1. Definicin de Controles

Podramos definir los controles como todo aquel conjunto de tcnicas, procedimientos que estn
interrelacionados con los sistemas de una organizacin entre s permiten hacer una evaluacin y
correccin oportuna de aquellas actividades que no se estn ejecutando con tal eficiencia que se
puedan alcanzar los objetivos del mismo.
Una de las razones por las cuales se implementaron los controles en el rea de sistemas, se debe
al gran crecimiento de la dependencia de las organizaciones de los diferentes componentes de
esta rea, esto es, de los equipos, de los programas, y del procesamiento de la informacin y como
estos son manipulados por distintas personas, por ello el porcentaje de error en ellos necesita ser
controlado a travs de estas herramientas como son los controles.
Algunas de las caractersticas que deben tener los controles son:
ste debe ser ejecutado constantemente para poder encontrar los errores muy a tiempo y
actuar o corregir oportunamente.
ste debe ser econmico, es decir, sus resultados deben ser muchos mejores que los
costos en los que pueda incurrir la institucin al implementar estos sistemas de control.
La informacin obtenida por los controles debe ser muy verdica, para que las correcciones
no sean implementadas con base en ideas subjetivas.
El control debe provenir de un sistema de planeacin tan bien planeado que deje muy
claro el alcance necesario para las acciones correctivas.
El control no debe interferir en el desarrollo normal de la organizacin.

Pg. 25
3.2.2. Clasificacin de Los Controles

CONTROLES PREVENTIVOS
Estos consisten en aquellas herramientas que permiten disminuir la frecuencia con la que ocurren
las fallas.
Ejemplo: las copias de seguridad o back up de la informacin.
CONTROLES DETECTIVOS
Estos controles tienen una caracterstica especial y es que no evitan las fallas, slo las detectan.
Estos son una gran herramienta para el auditor puesto que le permite la evaluacin de los
controles preventivos.
Ejemplo: El archivo o documento de las revisiones peridicas de los diferentes equipos de la

organizacin, con el reporte de fecha de la copia de seguridad del mismo.
CONTROLES CORRECTIVOS
Estos ayudan a la correccin e investigacin de las causas de las fallas. La correccin en s puede
ser difcil e ineficiente en s misma, pues la correccin de errores es una actividad con un
porcentaje alto de errores en s, por esto, es necesario en muchos casos aplicar controles
detectivos en los mismos controles correctivos.
Ejemplo: Jornada de formacin y capacitacin sobre las posibles consecuencias futuras que le
implica a la organizacin la falta en la realizacin de las copias de seguridad.

Pg. 26
Observemos el siguiente grfico que resume los diferentes tipos de controles:
Tipos de Controles
1. Defina en sus propias palabras lo que es un control.
2. Escriba 2 ejemplos de alguno de los tipos de controles.

Pg. 27
3.3. Metodologa de una Auditora

Los diferentes errores en los diferentes sistemas de informacin de las organizaciones han
causado conflictos entre las diferentes personas miembros de una organizacin o seccin en
especfico de la misma, pues cuando estos sistemas se vuelven difciles de operar, stos hacen
que as mismo se vuelvan muy complicado su desarrollo a futuro, haciendo que la organizacin no
pueda gozar de los beneficios de un sistema de informacin.
De ah entonces la necesidad de las auditoras de cada uno de los procesos de dichos sistemas de
informacin. Pero para la consecucin de este objetivo es totalmente necesaria una adecuada
planeacin y esto implica un trabajo riguroso y eficiente para evitar que se olviden aspectos
fundamentales en la realizacin de dicho trabajo, adems que se debe tratar de buscar la
optimizacin de los recursos de todo orden (tcnicos, humanos, econmicos y logsticos).
Ahora veamos entonces como se podra orientar el trabajo que est envuelto en los procesos de
auditoras. Algunas preguntas que nos podramos realizar para buscar el norte del proceso,
podran ser:
Qu se debe hacer?
Qu voy a auditar?
Cundo lo debo hacer?
Cmo lo debo hacer?
Qu recursos necesito?
Qu recursos tengo?
Todas estas preguntas ayudan a minimizar la improvisacin, los desfases y a optimizar los
diferentes recursos como lo habamos dicho antes.
Ahora entremos a detallar algunos de los objetivos que estn presentes en la auditora de
sistemas:
Tener un plan de auditoras que permita tener claros los requisitos para que as la
realizacin de las actividades del proceso de evaluacin/ auditora de manera que los
costos sean los mnimos y que no se dupliquen esfuerzos.

Pg. 28
Ir comparando las actividades que se van ejecutando con aquellas que se planearon, pero
esto se hace al tiempo que se va analizando si hay retrasos y se determinan las causas de
los mismos adems de posibles correcciones.
Comprometer al cuerpo administrativo de la organizacin con la realizacin y puesta en
marcha del proceso de auditoras.
Suministrar constantemente informacin actualizada y consistente para poder liderar un
proceso armnico.
Proponer y trabajar por la optimizacin de todos los recursos involucrados en el proceso
de auditora.
Evitar a toda costa la improvisacin
Veamos el siguiente grfico que nos resume los objetivos de la planeacin de la auditora de
sistema.

Pg. 29
Objetivos Planeacin de la Auditora

Ahora s, entremos en materia y hablemos de la planeacin de la auditora de sistemas.
No hay un lineamiento especfico que oriente el desarrollo de un proceso de auditora de sistemas,
pues cada proyecto es diferente y por ende debe manejarse con una estrategia diferente teniendo
en cuenta el alcance de la misma, los riesgos y su dimensin.
La falta de planeacin es el principal factor de los errores y retrasos, costos elevados y la baja
calidad del proceso de auditora; por ello se hace necesario una buena y dedicada planeacin y
que el auditor conozca la organizacin, el auditado y mientras ms profundo este conocimiento,
mucho mejor sern los resultados.
Aunque la experiencia ha mostrado que as los auditores conozcan mucho la organizacin
auditada, este conocimiento no es suficiente en comparacin con los empleados de la

Pg. 30
organizacin que llevan largos perodos de tiempo en sta; pero en s, lo importante es tener el
conocimiento necesario que le permita al auditor identificar todos los factores que puedan verse
involucrados en la planeacin de la auditora.
Pero adems de lo anterior, es necesario que el auditor tenga algn nivel de conocimiento de la
razn o sector industria de la organizacin, del negocio en s, de sus clientes y de todo aquello que
se considere vaya a tener algn efecto sobre la informacin a evaluar.
En esta etapa de planeacin, se deben enfocar los esfuerzos en la recopilacin de la mayor
cantidad de informacin posible sobre la Organizacin, para que esta le sirva para formular el plan
de auditoras y obviamente para la ejecucin posterior de la auditora.
Algunos aspectos a tener en cuenta sobre el tipo de informacin a recolectar sobre la
organizacin, podran ser:
Caractersticas Generales de la empresa (sector industria, qu hacen, organigrama).
Recursos informticos relacionados a cada rea (descripcin de Hardware y Software).
Conceptos relacionados con la auditora
Para lograr una efectiva planeacin de la auditora, es muy necesario obtener la informacin
necesaria pero de manera selectiva, haciendo uso de mecanismos como las entrevistas, encuestas.
Estos mtodo son muy efectivos, pero todo depende de que tanta habilidad se posea para la
accin de entrevistar y obtener la mayor cantidad de datos que de sta se pueda obtener.
Una buena forma de tener xito con las entrevistas, es planear el esquema de la entrevista,
haciendo el formulario de esta.
Un ejemplo de este formulario o derrotero de preguntas para llevar a cabo la entrevista podra
ser:
Cmo est constituida esta empresa? (Organigrama).
Con qu tipo de quipos cuenta la empresa (hardware), y cmo estn distribuidos?
Con qu tipo de programas o aplicaciones (Software) cuenta la empresa?
Qu otro tipo de programas o aplicaciones la empresa ha identificado como que hacen
falta por implementar?
Alguien del personal de la organizacin ha estado involucrado en el desarrollo de las
aplicaciones de la organizacin? (si s, cmo particip).

Pg. 31
Las aplicaciones que estn en uso en la organizacin, incluyen algunos conceptos de

auditora de sistemas? (si s, cules).
En la empresa existe un Manual de Funciones?
Existe un Manual de Procedimientos?
Existe un manual de usuario para las aplicaciones?
Hay un plan de Mantenimiento?
Hay algn procedimiento para el respaldo de la informacin (back-ups)?
Existen los Planes de Contingencias en la organizacin?
Esta rea o departamento ha sido auditado de alguna manera? Interna o externamente?
(Si s, cada cuanto se ha hecho estas auditoras).
A usted le gustara sugerir algo para el manejo del flujo de la informacin que se maneja
actualmente?
Considera que alguno de los informes que se manejan hoy en el departamento son
redundantes?
Con la informacin que usted cuenta hoy, puede tomar decisiones?
Usted considera que necesita acceder de manera ms rpida a su propia Base de Datos o
a sus archivos de informacin?
Algunos de los procesos que ejecuta se bloquean durante su ejecucin?
Le gustan los reportes generados por el computador?
Es muy importante hacer las observaciones pertinentes que van de la mano con las tareas que
realizan los empleados, esto con el fin de complementar la informacin recibida haciendo uso del
mecanismo de la entrevista y adems que esta informacin sirva como punto para la verificacin
de la misma con los hechos observados durante la auditora.
Adems, es necesario tener muy en cuenta que las observaciones deben hacerse muy
discretamente para no entorpecer el curso normal de la actividad de la actividad en observacin.
La encuesta es un mtodo muy usado y puede aplicarse en un grupo grande, pero sta debe ser
muy bien planeada y diseada, para que sus resultados si apunten a la consecucin de la
informacin esperada.
Teniendo en cuenta el tiempo del que se dispone para el trabajo con estas actividades de
observacin- entrevista, es necesario saber cundo es posible hacerlas para toda la comunidad.
Esto es, cuando hay suficiente tiempo para ello, de lo contrario es necesario hacer uso de la
tcnica estadstica del muestreo, y puedan hacerse observaciones con una poblacin aleatoria y
que la informacin seleccionada para dicha muestra si arroje los suficientes datos como para hacer
un anlisis valioso.

Pg. 32
La siguiente grfica resume las tcnicas que se pueden utilizar para encontrar la informacin
necesaria para el proceso de auditora:
Fuentes para la Informacin

Haciendo uso del grfico Fuentes para la informacin, escoger una de las 4 fuentes all
propuestas y disearla para un caso de auditora particular que usted quiera.

Pg. 33
4. AUDITORAS DE SISTEMAS
OBJETIVO GENERAL
Evaluar las directrices para una auditora de sistemas, adems de su aplicabilidad en una
organizacin
Establecer las pautas para la realizacin de una auditora de sistemas.
Analizar algunos ejemplos de auditoras de sistemas como medio para ver la aplicacin de
la teora de auditoras en el campo de la informtica.
Prueba Inicial
Complete los pasos con el smbolo de interrogante () siguiendo el orden lgico que usted creera
son las fases (recuadro en rojo), para desarrollar una auditora.

Pg. 34
Inicio
Fin

Pg. 35
4.1. Fases de la Auditora de Sistemas Y su Seguimiento

Acerqumonos a las fases de una auditora de sistemas en un caso real, viendo el siguiente video:
http://www.youtube.com/watch?v=0V0EsVs0-C4&feature=related
Video Intro Unidad3

En esta unida ya entraremos un poco ms en materia, veremos cmo realizar entonces una
auditora de Sistemas. Veamos entonces las fases o pasos que se deben tener en cuenta para la
realizacin de una auditora:

Pg. 36
Fases para la Auditora de Sistemas

Para comenzar es muy necesario que conozcan los siguientes aspectos previamente:
1. Conocer de manera general la organizacin, esto en aspectos como:
a.
b.
c.
d.
e.
rea de sistemas
Organigrama de la Organizacin
Equipos de la Organizacin
Sistemas de la Organizacin
Sistema de Redes y Telecomunicacin
2. Ahora para la investigacin previa, realice las siguientes actividades:

a.
b.
c.
d.
e.
f.
Entrevistas a los auditados

Visita a las instalaciones de la organizacin auditada
Entrevistas informales a las personas involucradas con el sistema a auditar.
Revisar todo tipo de documentos facilitados por la organizacin
Revisar reportes o informes de auditoras que se hayan realizado en previas auditoras.
Analizar el sistema o los sistemas de control interno de la organizacin.

Pg. 37
3. Algunos de los documentos que se deben solicitar a la organizacin para dicha actividad
preliminar son:
Lista de aplicaciones de la organizacin
Lista de los empleados de la organizacin (con estado activo o despedidos durante el
tiempo que ha transcurrido desde la ltima auditora hasta esta)
Informacin de los usuarios de los sistemas y sus respectivos privilegios
Lista de chequeo o revisiones del sistema
Polticas de seguridad de los sistemas de la organizacin
Polticas de seguridad de la Organizacin.
Documentos de configuracin de los sistemas (con los respectivos cambios hechos)
Lista de los Roles de los administradores del sistema y la seguridad de los mismos.
Planes de cualificacin y capacitacin del personal
Los reportes de las auditoras anteriores
4. Para comenzar el trabajo de estudio de la auditora de sistemas, veamos este proceso
organizado por partes as:
5. Instalacin y configuracin de los equipos
Polticas para la instalacin y la configuracin inicial.
Configuracin de los servicios como.
Configuracin de los parmetros de seguridad.
Los sistemas de archivos.
Las particiones y sus configuraciones.
Los programas (SW) instalado.
6. Seguridad Fsica
Acceso del personal al departamento de sistemas y a la sala de telecomunicaciones
(closet de los servidores).
Sealizacin.
Instalacin del sistema elctrico.
Estado UPS
Almacenamiento de cintas, discos y documentacin
Entorno del closet de telecomunicaciones (temperatura, humedad, ventilacin).
Ubicacin de equipos.
Aseo.

Pg. 38
7. Seguridad Lgica
Control de acceso a objetos del sistema.
Archivos con permisos especiales.
Mecanismos de identificacin y autenticacin.
Administracin de usuarios.
Administracin de cuentas.
Perfiles de los usuario.
Control de usuarios especiales.
Manejo de cuentas especiales.
Proceso de encendido /apagado y de inicio y cierre de sesin.
Proceso de arranque del sistema.
Cifrado de datos
Acceso remoto.
8. Documentacin del Sistema
Polticas y estndares de los procesos relacionados con el sistema a auditar
Polticas de seguridad de la organizacin.
Manuales del sistema a auditar.
Manuales de procedimientos.
Manuales de usuario.
Manuales de funciones.
Documentacin de la instalacin y configuracin inicial del sistema a auditar.
Pliza de seguros para los sistemas y los equipos.
9. Mantenimiento y soporte
Soporte por parte del proveedor.
Control de la realizacin de tareas de mantenimiento.
Planes de mantenimiento lgico y fsico.
Contratacin de mantenimiento y soporte.
Actualizaciones realizadas a los equipos (HW).
Actualizaciones realizadas.
10. Aspectos administrativos
Estructura de la Organizacin (organigrama).
Definicin de roles y funciones.

Pg. 39
Seleccin y contratacin de personal

Capacitacin y entrenamiento.
Ambiente laboral.
11. Monitoreo y Auditora
Evaluacin de la funcin de auditora interna (si se cuenta con sta) o la externa.
Procedimientos de auditora realizados con relacin a este sistema a auditar.
Existencia y utilizacin de herramientas de monitoreo y auditora.
Procedimientos de monitoreo.
Reportes de monitoreo y auditora.
12. Planes de respaldo y recuperacin (Planes de Contingencia)
Que exista un plan de contingencia.
Conocimiento y divulgacin del plan de contingencias.
Pruebas y ajustes al plan de contingencias.
Planes de respaldo
Elaboracin y gestin de copias de seguridad (Backups)
13. Administracin e implementacin de la seguridad
Funcin encargada de la administracin de la seguridad.
Roles y responsabilidades.
Polticas y estndares.
Entrenamiento y capacitacin en seguridad.
Personal de asesora
Procedimientos de administracin de la seguridad.
Almacenamiento
Documentacin.
EL SEGUIMIENTO DE LA AUDITORA DE SISTEMAS:
En consiste el seguimiento a la auditora de sistemas?, Este pretende valor dos aspectos claves:
1. La calidad del funcionamiento del sistema, es decir, evaluar caractersticas como su
aplicabilidad, si los sistemas estn completos y son congruentes con sus competencias,
si brindan seguridad.
2. La calidad de la Gestin de la Organizacin, es decir, medir su eficiencia, eficacia, si la
informacin que proveen es confiable y oportuna, si hay respaldo y legalidad con su
patrimonio y sus objetivos.

Pg. 40
Algunas generalidades o preguntas claves a tener en cuenta en el Seguimiento son:

Cmo
Qu
Para qu
Tipos
Quin debe hacerlo
Por qu
Veamos el siguiente grfico que nos recuerda qu preguntarnos en el seguimiento.
Preguntas para el seguimiento
El seguimiento adems tambin debe hacerse al programa de auditoras, donde se evalen

aspectos como:
La Aptitud de los auditores para seguir el programa de auditoras. No se puede olvidar que
una mala actitud del auditor puede llevar a que la evaluacin se vea viciada, o sus
resultados sean alterados de una u otra manera.

Pg. 41
Que gracias a la Organizacin y el auditor, los cronogramas y planes de auditora se estn

siguiendo a tiempo de acuerdo a la planeacin establecida previamente a la ejecucin de
las auditoras.
Que se est realizando una retroalimentacin por parte de auditores y auditados para ir
analizando los resultados de dicha evaluacin.
Que se estn llevando a cabo los registros de la auditora.
Que haya coherencia en las acciones tomadas por el auditor y otros auditores previos (si
existiere el caso de auditoras previas).
Que se evidencie en el auditor prcticas de auditora nuevas o alternativas.
Las Normas Generales que se deben tener en cuenta para el seguimiento de las auditoras se
resumen en el siguiente grfico.
Normas para el seguimiento

Pg. 42
1. Explique en sus palabras, por qu debe hacerse el seguimiento a los informes de auditoras?
2. En cules casos consideras no es necesario hacer seguimiento?
4.2. Casos para analizar el porqu de las auditoras en los sistemas

A continuacin vamos a leer un artculo tomado del portal web Auditora de Sistemas, en:
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/
EL ENEMIGO EN CASA: INFRACCIONES INFORMTICAS DE LOS TRABAJADORES
La proliferacin de las nuevas tecnologas en la empresa conlleva tambin la proliferacin de
nuevos peligros. Ya no son slo los ataques y sabotajes informticos desde el exterior, sino las
infracciones desde dentro, las producidas por los propios empleados, y contra las que las
organizaciones son, al parecer, ms vulnerables. Hace poco ms de un mes, la firma Landwell de
Abogados y Asesores Fiscales, perteneciente a PricewaterhouseCoopers, presentaba un excelente
estudio titulado Actos desleales de trabajadores usando sistemas informticos, el cual merece la
pena conocer con algo de detalle en estas pginas.
El estudio se ha elaborado a partir del anlisis de informes, sentencias, autos y procedimientos
judiciales de 393 casos reales sufridos por empresas espaolas y protagonizados por trabajadores
en plantilla, durante el trienio 2001-2003; y se ha completado con entrevistas personales con los
responsables de las compaas afectadas.
Para empezar, el informe reconoce que se desconoce el nivel de incidencia en el conjunto total de
las empresas espaolas, ya que una gran parte de las empresas afectadas por este tipo de
acciones prefieren llegar a un acuerdo amistoso y no divulgar los hechos. Las infracciones ms
habituales que han sido detectadas son as sistematizadas en el estudio:
Creacin de empresa paralela, utilizando activos inmateriales de la empresa. Consiste en la
explotacin en una empresa de nueva creacin, de la propiedad intelectual, la propiedad
industrial o el know how de la empresa en la que el trabajador trabaja. Generalmente, el

Pg. 43
trabajador constituye la nueva compaa antes de solicitar la baja voluntaria y realiza un

proceso de trasvase de informacin mediante soportes informticos o a travs de
Internet. Es posible que el trabajador acte aliado con otros compaeros de la empresa.
Daos informticos y uso abusivo de recursos informticos. Los daos informticos se
producen generalmente como respuesta a un conflicto laboral o a un despido que el
trabajador considera injusto. Consisten en la destruccin, alteracin o inutilizacin de los
datos, programas o cualquier otro activo inmaterial albergado en redes, soportes o
sistemas informticos de la empresa. Los casos ms habituales son los virus informticos,
el sabotaje y las bombas lgicas, programadas para que tengan efecto unos meses
despus de la baja del trabajador.
Tambin es habitual el uso abusivo de recursos informticos, especialmente el acceso a
Internet. Informacin confidencial y datos personales. Consiste en el acceso no autorizado
y en la posterior revelacin a terceros, generalmente competidores o clientes, de
informacin confidencial de la empresa. En algunas ocasiones, la revelacin la realizan
trabajadores que tienen un acceso legtimo, pero con obligacin de reserva, a la
informacin posteriormente divulgada. En este captulo tambin se contempla la cesin
no autorizada a terceros de datos personales de trabajadores y clientes. Amenazas,
injurias y calumnias. El medio utilizado habitualmente es el correo electrnico corporativo,
aunque tambin se han utilizado cuentas annimas, e incluso se ha suplantado la
identidad de otro trabajador de la misma empresa. En el caso de las amenazas, se busca
un beneficio material o inmaterial para el trabajador. Si el beneficio no se produce, el
trabajador llevar a cabo la conducta anunciada en el mensaje amenazador. En el caso de
las injurias y las calumnias, se busca desacreditar a la empresa, o a alguno de sus
directivos.
Tambin se han producido insultos a clientes habituales o a clientes potenciales de la
empresa con el que el trabajador tena algn conflicto. Infraccin propiedad intelectual e
introduccin de obras de la empresa en redes P2P. Consiste en la copia de activos
inmateriales de la empresa, especialmente obras protegidas por la propiedad intelectual,
con el fin de cederlas posteriormente a terceros.
En los ltimos dos aos se han dado casos de difusin a travs de Internet, mediante el uso de
redes de intercambio de ficheros (peer to peer). De esta manera, una multitud de usuarios
acceden de forma gratuita a programas de ordenador desprotegidos, informacin o contenidos
multimedia. Intercambio de obras de terceros a travs de redes P2P.
Este es el caso ms habitual y se detecta generalmente en el curso de una auditora de seguridad
informtica, mediante el anlisis del caudal de datos transferido por los trabajadores a travs de la

Pg. 44
red corporativa. En algunas ocasiones, se ha detectado directamente la instalacin del programa

P2P o el uso de puertos tpicos para el acceso a redes P2P. Este caso es especialmente grave, ya
que la empresa se convierte en proveedora directa de copias no autorizadas de msica, pelculas y
programas de ordenador. Infraccin de derechos de propiedad industrial.
El caso ms habitual ha sido la infraccin de marcas de la empresa mediante el registro del
nombre de dominio por parte del trabajador. En algunos casos, se ha creado una pgina
web con contenidos ofensivos para conseguir un mayor efecto nocivo para la empresa o
para obtener una suma de dinero por la transferencia.
Ante la aparicin de esta clase de situaciones, cul ha sido la estrategia de respuesta de las
empresas?
El informe de Landwell nos dice que la mayora de las empresas prefieren encomendar la
investigacin de los posibles actos desleales de un trabajador a un equipo interno, generalmente
formado por miembros del departamento de RRHH y del departamento de sistemas.
Slo un 22 por ciento (22%) de las empresas que sospechan de un empleado deciden externalizar
la investigacin. El tipo de investigacin depende de la intencin de la empresa de llegar a un
acuerdo o plantear una reclamacin judicial.
Cuando se toma la decisin de llevar la infraccin a los tribunales, la obtencin de las evidencias
electrnicas se encarga a un tercero, con el fin de conseguir mayor objetividad y valor probatorio.
El procedimiento de recopilacin de las evidencias debe respetar los derechos del trabajador para
que sea vlido judicialmente. Una investigacin se inicia a partir de las sospechas e indicios
generados por la propia conducta del trabajador, por un consumo de recursos poco usual o por el
descubrimiento de los efectos de la infraccin.
No obstante, Slo el 26 por ciento de las infracciones detectadas acaban en los tribunales. El resto
de las infracciones son objeto de un acuerdo privado o de una sesin finalizada con avenencia en
un organismo de mediacin y conciliacin laboral. En general, las empresas prefieren solucionar
sus conflictos de forma privada y ello incide en la forma de investigar y tratar las posibles
infracciones de sus trabajadores.
Ahora bien, si los daos producidos estn previstos en la cobertura de un seguro, es muy probable
que la empresa deba plantear una reclamacin judicial para poder solicitar la correspondiente
compensacin econmica.

Pg. 45
Con los anteriores casos que nos presentaron en el anterior artculo, debemos recordar que toda
la informacin de la empresa es muy importante y hoy en da es parte de los activos de la
organizacin, y as mismo debe invertirse en la proteccin de la misma, y esto es bien logrado con
unos procesos de auditora de sistemas.
Estas auditoras entran en especial funcionamiento en el momento en el que hay grandes cambios
fuertes en los sistemas de la organizacin.
Las organizaciones a travs de sus auditoras internas, pueden ir evaluando sus procesos y la
seguridad de sus sistemas informticos.
As mismo la organizacin debe acudir a las auditoras externas cuando se percibe debilidad en la
ejecucin de los procesos de la misma. Algunos tems que nos podran llamar la atencin para
aplicar una auditora externa, de acuerdo al portal de Auditora de Sistemas en:
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/ son:
SNTOMAS DE DESCOORDINACIN Y DESORGANIZACIN:
No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.
Los estndares de productividad se desvan sensiblemente de los promedios conseguidos
habitualmente.
SNTOMAS DE MALA IMAGEN E INSATISFACCIN DE LOS USUARIOS:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los
terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse
diariamente a su disposicin, etc.
No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario

percibe que est abandonado y desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los
resultados de Aplicaciones crticas y sensibles.

Pg. 46
SNTOMAS DE DEBILIDADES ECONMICO-FINANCIERO

Incremento desmesurado de costes.
Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente

convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de

Proyectos y al rgano que realiz la peticin).
SNTOMAS DE INSEGURIDAD: EVALUACIN DE NIVEL DE RIESGOS

Seguridad Lgica
Seguridad Fsica
Confidencialidad: [Los datos son propiedad inicialmente de la organizacin que los genera. Los
datos de personal son especialmente confidenciales]
CENTRO DE PROCESO DE DATOS FUERA DE CONTROL

Si tal situacin llegara a percibirse, sera prcticamente intil la auditoria. Esa es la razn por la
cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.
Realice un mapa conceptual donde explique los casos donde debe considerarse una auditora
externa.

Pg. 47
Ahora veamos un ejemplo de un caso de estudio (Auditora de Sistemas) realizada por un grupo de
estudiantes de la Universidad de Caldas, a una empresa de Lcteos, en el proceso de
Administracin de datos. (En: http://ingenieria.ucaldas.edu.co/auditoria/index.php/Grupo_7).
Ejemplo auditora
Se determina el propsito u Objetivo de la Auditora como carta de

navegacin de todo el proceso de auditora
ORIGEN DE LA AUDITORIA.
La presente auditoria se realiza en cumplimiento de la solicitud que la empresa Natura Lcteos
Ltda. Ha hecho a Chauditoria Consultores S.A, en su afn de detectar posibles sntomas de
debilidad y de evaluar la eficiencia y efectividad en sus procesos de administracin de datos.
1. GUA AUDITORA
Objetivos de Control
Planificar la infraestructura tecnolgica.
Supervisar las futuras tendencias y regulaciones.
Tener planes de contingencia de la infraestructura tecnolgica.
Tener planes de adquisiciones de hardware y software.
Poseer estndares tecnolgicos.

Pg. 48
Obtencin de Conocimiento
Recurso Humano a consultar
Gerente General Jefe del Departamento de Finanzas Gerencia de Sistemas
Informacin a conocer
Polticas y procedimientos relacionados con planificacin y el seguimiento de la
infraestructura tecnolgica.
Tareas y responsabilidades de planificacin de la direccin.
Objetivos a largo y corto plazo de Natura Lcteos.
Objetivos a largo y corto plazo de la tecnologa de la informacin.
Plan de adquisicin de hardware y software de Natura Lcteos.
Plan de infraestructura tecnolgica.
Informes de estado y actas de reuniones del comit de planificacin.
2. Aspectos a Evaluar
Evaluacin de los controles, considerando si:
Existe un proceso para la creacin y la actualizacin regular del plan de infraestructura tecnolgica
para confirmar que los cambios propuestos estn siendo examinados primero para evaluar los
costos y riesgos inherentes, y que la aprobacin de la Direccin se obtiene antes de realizar
cualquier cambio en el plan.
El plan de infraestructura tecnolgica est siendo comparado con los planes a largo y corto plazo
de la tecnologa de la informacin.
Existe un proceso para la evaluacin de la situacin tecnolgica actual de la organizacin para
asegurar que abarca aspectos tales como la arquitectura de sistemas, la direccin tecnolgica y las
estrategias de migracin.
La poltica y procedimientos de los servicios de informacin aseguran la consideracin de la
necesidad de evaluar y realizan un seguimiento de las tendencias y condiciones regulatorias
tecnolgicas presentes y futuras, y si stas se tienen en consideracin durante el desarrollo y
mantenimiento del plan de infraestructura tecnolgica.
Se planifican el impacto logstico y ambiental de las adquisiciones tecnolgicas.
Las polticas y procedimientos de los servicios de informacin aseguran que se considera la
necesidad de evaluar sistemticamente el plan tecnolgico con respecto a contingencias (por
ejemplo, redundancia, resistencia, adecuacin y capacidad evolutiva de la infraestructura).

Pg. 49
La direccin de los servicios de informacin evala tecnologas de vanguardia, e incorpora

tecnologas apropiadas a la infraestructura de los servicios de informacin actual.
Los planes de adquisicin de hardware y software suelen satisfacer las necesidades identificadas
en el plan de infraestructura tecnolgica y si stos se aprueban apropiadamente.
Se encuentran establecidos los estndares de la tecnologa para los componentes tecnolgicos
descritos en el plan de infraestructura tecnolgica.
Evaluacin de la suficiencia, probando que:
La direccin de los servicios de informacin comprende y utiliza el plan de infraestructura
tecnolgica.
Se han realizado cambios en el plan de infraestructura tecnolgica para identificar los costos y
riesgos inherentes, y que dichos cambios reflejan las modificaciones a los planes a largo y corto
plazo de la tecnologa de la informacin.
La direccin de los servicios de informacin comprende el proceso de seguimiento y evaluacin de
las nuevas tecnologas e incorpora tecnologas apropiadas a la infraestructura de los servicios de
informacin actual.
La direccin de los servicios de informacin comprende el proceso de evaluar sistemticamente el
plan tecnolgico en cuanto a contingencias (por ejemplo, redundancia, resistencia, adecuacin y
capacidad evolutiva de la infraestructura).
Existe un espacio adecuado en los servicios de informacin adecuado para alojar el hardware y
software actualmente instalado, as como nuevo hardware y software adquirido segn el plan de
adquisiciones actual aprobado.
El plan de adquisicin de hardware y software cumple con los planes a largo y corto plazo de la
tecnologa de la informacin, reflejando las necesidades identificadas en el plan de infraestructura
tecnolgica.
El plan de infraestructura tecnolgica dirige la utilizacin de la tecnologa actual y futura.
Se cumple con los estndares de la tecnologa y que stos son agregados e incorporados como
parte del proceso de desarrollo.

Pg. 50
El acceso permitido es consistente con los niveles de seguridad definidos en las polticas y
procedimientos de los servicios de informacin, y se ha obtenido la autorizacin apropiada para el
acceso.
Evaluacin del riesgo
Llevando a cabo:
Mediciones ("Benchmarking") de la planificacin de la infraestructura tecnolgica en relacin con
organizaciones similares o estndares internacionales y buenas prcticas reconocidas en la
industria del sector.
Una revisin detallada del diccionario de datos para verificar que est completo en lo referente a
elementos clave.
Una revisin detallada de los niveles de seguridad definidos para datos confidenciales.
Identificando:
Inconsistencias en el modelo de la arquitectura de la informacin y en el modelo y el diccionario
de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto
plazo de la tecnologa de la informacin. Elementos del diccionario de datos y reglas de sintaxis de
datos obsoletos.
Contingencias que no han sido consideradas en el plan de infraestructura tecnolgica.
Planes de adquisicin de hardware y software de la tecnologa de la informacin que no reflejan
las necesidades del plan de infraestructura tecnolgica.
Estndares de la tecnologa que no son consistentes con el plan de infraestructura tecnolgica o
con los planes de adquisicin de hardware y software de la tecnologa de la informacin.
Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y software de la
tecnologa de la informacin que no son consistentes con los estndares de la tecnologa.
Elementos clave omitidos en el diccionario de datos.

Pg. 51
Ejemplo auditora 1
1. GUA AUDITORA
Definir los requerimientos de la informacin.
Formular las acciones alternativas.
Formular las estrategias de Adquisicin.
Saber cules son el requerimiento de servicios de terceros (mantenimiento de
impresoras).
Estudiar de Viabilidad Tecnolgica.
Estudiar de Viabilidad Econmica.
Informe de Anlisis de los riesgos.
Controles de Seguridad Eficaces en costo.
Ergonoma. Seleccin del Software del Sistema.
Control de Abastecimiento.
Aceptacin de Instalaciones.
Aceptacin de la Tecnologa.
Recurso Humano a consultar:
Gerente de sistemas Jefe rea de seguridad informtica Jefe rea de proyectos

Pg. 52
Informacin a conocer:
Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de los sistemas.
Objetivos y planes a corto y largo plazo de la tecnologa de la informacin.
Documentacin seleccionada del proyecto, incluyendo definicin de requerimiento,
anlisis de alternativas, estudios de viabilidad tecnolgica,
Estudios de viabilidad econmica, anlisis de modelos de datos de la empresa y
arquitectura de la informacin, anlisis de los riesgos, estudios de economa sobre control
y seguridad interna, anlisis de pistas de auditora, estudios ergonmicos, y planes de
aceptacin y resultados de pruebas de instalaciones y tecnologa especfica.
Aspectos a Evaluar
Existen polticas y procedimientos que requieren que:
Los requerimientos de los usuarios satisfechos por el sistema existente o a ser satisfechos
por el nuevo sistema propuesto o modificado estn claramente definidos antes de la
aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin.
Los requerimientos de los usuarios son revisados y aprobados por escrito antes de la
aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin.
Los requerimientos operativos y funcionales de la solucin son satisfechos incluyendo
rendimiento, seguridad, confiabilidad, compatibilidad y legislacin.
Las soluciones alternativas a los requerimientos de los usuarios son estudiadas y se
estudian y analizan antes de seleccionar una u otra solucin de software.
Se lleva a cabo la identificacin de paquetes de software comercial que satisfacen los
requerimientos para un proyecto especfico de desarrollo o modificacin antes de tomar la
decisin final.

Pg. 53
Las alternativas de desarrollo de productos de software estn claramente definidas en

trminos de practicidad, internamente desarrollados, a travs del contacto o mejora del
software existente o una combinacin de todos los anteriores.
Se analiza y aprueba un estudio de viabilidad tcnica para cada alternativa con el fin de
satisfacer los requerimientos del usuario establecidos para el desarrollo de un proyecto de
los sistemas tanto nuevos como modificados.
En cada proyecto de desarrollo, modificacin o implementacin de los sistemas, se lleva a
cabo un anlisis de los costos y beneficios asociados con cada alternativa considerada para
satisfacer los requerimientos del usuario.
Se prepara, analiza y aprueba un estudio de viabilidad econmica antes de tomar la
decisin respecto a desarrollar o modificar un proyecto de los sistemas tanto nuevos como
modificados.
Se presta atencin al modelo de datos de la empresa mientras se identifica y analiza la
viabilidad de las soluciones.
En cada proyecto de desarrollo, implementacin o modificacin de los sistemas
propuestos, se prepara y documenta un anlisis de las amenazas a la seguridad, de las
debilidades y los impactos potenciales y las medidas factibles de seguridad y control
interno para reducir o eliminar el riesgo identificado.
Los costos y los beneficios de seguridad son examinados cuidadosamente para garantizar
que los costos de los controles no exceden los beneficios.
Se obtiene una aprobacin formal del estudio de los costos y beneficios por parte de la
direccin.
Se requieren controles y pistas de auditora apropiados para ser aplicados en todos los
sistemas modificados o nuevos propuestos durante la fase de diseo del proyecto.
Las pistas de auditora y los controles dan la posibilidad de proteger a los usuarios contra
la identificacin o mal uso de su identidad por parte de otros usuarios (ej., ofreciendo
anonimato, pseudnimos, ausencia de vnculos y confidencialidad).
Cada proyecto de desarrollo, implementacin o modificacin de los sistemas propuesto
presta atencin a los problemas ergonmicos asociados con la introduccin de los
sistemas automatizados.

Pg. 54
La direccin de los servicios de informacin identifica todos los programas de software de

los sistemas potenciales que satisfacen sus requerimientos. _ Los productos son revisados
y probados antes de ser adquiridos y utilizados.
En caso de requerirse la compra de productos de software cumple con las polticas de
adquisicin de la organizacin definiendo el marco de referencia para la solicitud de
propuesta, la seleccin del proveedor de software y la negociacin del contrato.
Para el software con licencia adquirido a terceros, los proveedores cuenten con
procedimientos apropiados para validar, proteger y mantener los derechos de integridad
de los productos de software.
Los servicios de programacin se justifican a travs de un requerimiento de servicios
escrito por parte de un miembro designado de los servicios de informacin.
Se acuerda en el contrato con el proveedor un plan de aceptacin de las instalaciones y
que dicho plan defina los procedimientos y criterios de aceptacin.
Se acuerda en el contrato con los proveedores un plan de aceptacin para tecnologa
especfica, y que dicho plan defina los procedimientos y criterios de aceptacin.
En caso de adquisicin de servicios de programacin adquiridos a terceros se justifica a
travs de una solicitud por escrito de los servicios por parte de un miembro designado de
los servicios de informacin.
Los productos finales de los servicios de programacin contratados se han terminado, son
revisados y probados de acuerdo con los estndares establecidos por el grupo encargado
de asegurar la calidad de los servicios de informacin y otras partes interesadas antes de
pagar por el trabajo realizado y aprobar el producto final.
Se lleva a cabo un anlisis de los riesgos en lnea con el marco de referencia general de
evaluacin de los riesgos.
Existen los mecanismos para asignar o mantener los atributos de seguridad para la
exportacin e importacin de datos, y para interpretarlos correctamente.
La direccin ha desarrollado e implementado un enfoque de adquisicin central, que
describe un conjunto comn de procedimientos y estndares que deben ser seguidos, en

Pg. 55
la adquisicin de servicios de hardware, software y servicios de la tecnologa de la

informacin.
Los contratos estipulan que el software, la documentacin y las entregas estn sujetos a
pruebas y revisiones antes de ser aceptados.
Las pruebas incluidas en las especificaciones de desarrollo consisten en pruebas de
sistema, pruebas de integracin, pruebas de hardware y componentes, pruebas de
procedimientos, pruebas de carga y estrs, pruebas de rendimiento, pruebas de regresin,
pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema total para
evitar cualquier fallo inesperado del sistema.
Las pruebas de aceptacin de las instalaciones son llevadas a cabo para garantizar que
stas y el entorno, satisfacen los requerimientos especificados.
Las pruebas de aceptacin de la tecnologa especfica deberan incluir inspeccin, pruebas
de funcionalidad y carga de trabajo.
Los requerimientos de los usuarios satisfechos por el sistema existente y a ser satisfechos
por el sistema nuevo o modificado han sido claramente definidos, revisados y aprobados
por escrito por parte del usuario antes del desarrollo, implementacin o modificacin del
proyecto.
Los requerimientos de las soluciones funcionales se satisfacen incluyendo rendimiento,
seguridad, confiabilidad, compatibilidad y legislacin.
Todas las debilidades y deficiencias de procesamiento en el sistema existente son
identificadas y tomadas en cuenta y resueltas completamente por el sistema nuevo o el
modificado.
Los cursos alternativos que satisfacen los requerimientos de los usuarios, establecidos
para un sistema nuevo o modificado, son analizados apropiadamente.

Pg. 56
Los paquetes de software comercial que satisfacen las necesidades de un proyecto

particular de desarrollo o modificacin de los sistemas son identificados y considerados
apropiadamente.
Todos los costos y beneficios identificados asociados con cada alternativa han sido
soportados apropiadamente e incluidos como parte del estudio de viabilidad econmica.
Se ha prestado atencin al modelo de datos de la arquitectura de la informacin y de la
empresa al identificar y analizar su viabilidad.
El informe del anlisis de los riesgos en cuanto a las amenazas de la seguridad,
vulnerabilidades e impactos potenciales y las medidas factibles de seguridad y control
interno es preciso, completo y suficiente.
Los problemas de seguridad y control interno se han tenido en cuenta apropiadamente en
la documentacin de diseo del sistema.
La aprobacin de la direccin de los controles existentes y planificados son suficientes y
aportan beneficios apropiados comparados con los costos de compensacin.
Existen mecanismos disponibles para las pistas de auditora o stos pueden ser
desarrollados para la solucin identificada y seleccionada.
Se ha tomado en cuenta un diseo amigable para el usuario para mejorar las habilidades
finales de ste durante el diseo del sistema y el desarrollo del diseo de las pantallas,
formato de informe, instalaciones de ayuda en lnea, etc.
Se han considerado aspectos ergonmicos durante el diseo y el desarrollo del sistema.
Se han incluido aspectos de utilizacin de los usuarios (por ejemplo, tiempo de respuesta
del sistema, capacidades de carga y descarga, e informes "ad hoc") en las especificaciones
de requerimiento del sistema antes de su diseo y desarrollo.
La identificacin de todos los programas de software de los sistemas potenciales que
satisfacen los requerimientos.
La funcin de los servicios de informacin cumple con un conjunto comn de
procedimientos y estndares en la adquisicin del hardware, software y los servicios
relacionados con la tecnologa de la informacin.

Pg. 57
El acuerdo de compra del software cuando sea requerido permite al usuario tener una
copia del cdigo fuente del programa, aplica las actualizaciones, renovaciones de la
tecnologa y los "fixes" son especificados en los documentos de adquisicin.
Los productos adquiridos son revisados y probados antes de ser usados y pagados
completamente.
El personal de programacin trabaja sujetndose al mismo nivel de pruebas, revisin y
aprobaciones que se exige a los programadores propios de la organizacin.
La funcin para asegurar la calidad de la organizacin es responsable de la revisin y
aprobacin del trabajo llevado a cabo por los programadores.
Es suficiente el plan de aceptacin de las instalaciones, incluyendo los procedimientos y
criterios.
Es suficiente el plan especfico de aceptacin de la tecnologa, incluyendo inspecciones,
pruebas de funcionalidad y pruebas de carga de trabajo.
Llevando a cabo:
Una revisin detallada de:
La identificacin de soluciones automatizadas para satisfacer los requerimientos del
usuario (incluyendo la definicin de los requerimientos del usuario, formulacin de los
cursos de accin alternativos; identificacin de los paquetes de software comercial y
elaboracin de los estudios de viabilidad del desarrollo tecnolgico, de viabilidad
econmica, de la arquitectura de la informacin y de los anlisis de los riesgos).
La seguridad, los controles internos (incluyendo la consideracin de diseos familiares al
usuario, ergonoma, etc.) y las pistas de auditora disponibles o "desarrollables" para la
solucin identificada y seleccionada.
La seleccin e implementacin del software del sistema.
Las polticas y procedimientos existentes de desarrollo de software para la adecuacin y el
cumplimiento del control interno de la organizacin.

Pg. 58
La manera en que se administra el mantenimiento de terceros (mantenimientos de

impresoras).
La manera en que la programacin de aplicacin ha sido revisada y administrada.

La identificacin de todo lo especificado en el contrato por parte de la direccin de los
servicios de informacin.
El proceso de aceptacin de la tecnologa especfica para asegurar que las inspecciones,
pruebas de funcionalidad y pruebas de carga de trabajo satisfacen los requerimientos
especificados.
Identificando:
Las deficiencias en la metodologa del ciclo de vida de desarrollo de los sistemas de la
organizacin.
Soluciones que no satisfacen los requerimientos del usuario. Tentativas de desarrollo de
los sistemas que:
No han considerado cursos alternativos, trayendo como resultado una solucin ms
costosa.
No han considerado los paquetes de software comercial que podran haber sido
implementados en menos tiempo y a un menor costo.
No han considerado la viabilidad tecnolgica de las alternativas o han considerado
inapropiadamente la viabilidad tecnolgica de la solucin elegida, dando como resultado
la incapacidad para implementar la solucin como fue diseada originalmente.
Han hecho suposiciones equivocadas en el estudio de la viabilidad econmica, dando
como resultado la eleccin del curso de accin incorrecto.
No han considerado el modelo de datos de la arquitectura de la informacin de la
empresa, teniendo como resultado la eleccin del curso incorrecto.
No han realizado anlisis de los riesgos slidos, y consecuentemente, no han identificado
adecuadamente los riesgos (incluyendo amenazas, vulnerabilidades e impactos

Pg. 59
potenciales) o los controles internos y de seguridad para reducir o eliminar los riesgos
identificados.
Estn sobre controladas o controladas insuficientemente debido a que la economa de los
controles y la seguridad son examinados inapropiadamente.
No han contado con pistas de auditora adecuadas.
No han considerado los aspectos ergonmicos y de diseo familiar para el usuario, dando
como resultado errores en la entrada de datos que podran haber sido evitados.
No han seguido el enfoque de adquisiciones establecido por la organizacin, dando como
resultado costos adicionales creados por la organizacin.
Ejemplo auditora 2

Pg. 60
1. GUA AUDITORA
Administrar las Medidas de Seguridad.
Identificacin, Autentificacin y Acceso.
Seguridad de Acceso a Datos en Lnea.
Direccin de Cuentas de Usuario.
Revisin Gerencial de Cuentas del Usuario.
Control del Usuario sobre Cuentas de Usuario.
Vigilancia de Seguridad.
Clasificacin de Datos.
Identificacin Central y Gestin de los Permisos de Acceso.
Informes sobre Actividades de Violacin y Seguridad.
Gestin de Incidentes.
Autorizacin de Transaccin.
Proteccin de las Funciones de Seguridad.
Gestin de Clave Criptogrfica.
Prevencin, Deteccin y Correccin de Software Daino.
Arquitectura de Firewalls y Conexin con Redes Pblicas.
Proteccin del Valor Electrnico. 1.2. Obtencin de Conocimiento

Pg. 61
Recurso Humano a consultar:

Jefe rea de seguridad informtica Jefe de direccin de sistemas Administrador de la base de datos
Jefe de departamento de desarrollo
Informacin a conocer
1. Polticas y procedimientos globales para la organizacin relacionados con la seguridad y el
acceso a los sistemas de informacin.
2. Polticas y procedimientos de los servicios de informacin relacionados con seguridad y
acceso a los sistemas de informacin.
3. Polticas y procedimientos relevantes, as como requerimiento de seguridad legales y
regulatorios de los sistemas de informacin (por ejemplo, leyes, regulaciones,
alineamientos, estndares industriales) incluyendo:
Procedimientos de direccin de las cuentas del usuario.
Poltica de seguridad del usuario o de proteccin de la informacin.
Estndares relacionados con el comercio electrnico.
Esquema de clasificacin de los datos.
Inventario del software de control de acceso.
Plano de los edificios y habitaciones que contienen los recursos de los sistemas de
informacin. Inventario o esquema de los puntos de acceso fsico a los recursos de los
sistemas de informacin (por ejemplo, mdems, lneas telefnicas y terminales remotas).
Procedimientos de control de cambios del software de seguridad.
Procedimientos de seguimiento, solucin y priorizacin de problemas.
Informes sobre violaciones a la seguridad y procedimientos de revisin administrativa.
Inventario de los dispositivos de encriptacin de datos y de los estndares de encriptacin.
Lista de los proveedores y clientes con acceso a los recursos del sistema.
Lista de los proveedores de servicios utilizados en la transmisin de los datos.

Pg. 62
Prcticas de direccin de redes relacionadas con pruebas continas de seguridad.

Copias de los contratos de transmisin de datos de los proveedores de servicios.
Copias de documentos firmados sobre seguridad y conocimiento de los usuarios.
Contenido del material de formacin sobre seguridad para nuevos empleados.
Informes de auditora de auditores externos, proveedores de servicios como terceros y
dependencias gubernamentales relacionadas con la seguridad de los sistemas de
informacin.
Aspectos a Evaluar
1. Se cuenta con un plan de seguridad estratgico que proporcione una direccin y control
centralizados sobre la seguridad de los sistemas de informacin, as como los
requerimientos de seguridad de los usuarios con propsitos de consistencia.
2. Se cuenta con una organizacin de seguridad centralizada responsable de asegurar el
acceso apropiado a los recursos del sistema.
3. Se cuenta con un esquema de clasificacin de los datos en operacin que indica que todos
los recursos del sistema cuentan con un propietario responsable de su seguridad y
contenido.
4. Se cuenta con perfiles de seguridad de usuario que representan los menos accesos
requeridos y que muestran revisiones regulares de los perfiles por parte de la direccin.
5. La formacin de los empleados incluye el conocimiento y concienciacin sobre seguridad,
las responsabilidades de los propietarios y los requerimientos de proteccin contra virus.
6. Se cuenta con informes sobre violaciones de la seguridad y procedimientos formales de
solucin de problemas. Estos informes debern incluir:
Intentos no autorizados de acceso al sistema (sign on).
Intentos no autorizados de acceso a los recursos del sistema.

Pg. 63
Intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad.

Privilegios de acceso a recursos por ID de usuario.
Modificaciones autorizadas a las definiciones y reglas de seguridad.
Accesos autorizados a los recursos (seleccionados por usuario o recurso).
Cambio sobre el estado de la seguridad del sistema.
Accesos a las tablas de parmetros de seguridad del sistema operativo. 7. Existen mdulos
criptogrficos y procedimientos clave de mantenimiento, si stos son administrados
centralizadamente y si son utilizados para todas las actividades de acceso externo y de
transmisin. 8. Existen estndares de direccin criptogrfica claves tanto para la actividad
centralizada como para la de los usuarios. 9. Los controles de cambios en el software de
seguridad son formales y consistentes con los estndares normales de desarrollo y
mantenimiento de los sistemas. 10. Los mecanismos de autenticidad en uso proveen las
siguientes facilidades:
Uso individual de los datos de autenticidad (ej., passwords y no reutilizables).
Autentificacin mltiple (ej., se utilizan dos o ms mecanismos de autenticidad diferentes)
Autenticidad basada en la poltica (ej., capacidad para especificar
Procedimientos de autenticidad aparte en los eventos especficos).
Autenticidad por demanda (ej., capacidad de volver a autentificar al usuario, en ocasiones,
despus de la autentificacin inicial).
7. El nmero de sesiones concurrentes correspondientes al mismo usuario estn limitadas.
8 Al entrar, aparece un mensaje de advertencia preventivo en relacin al uso adecuado del
hardware, software o conexin.
9. Se despliega una pantalla de advertencia antes de completar la entrada para informar al lector
que los accesos no autorizados podran causar responsabilidades legales.
10. Al lograrse la sesin con xito, se despliega el historial de los intentos con xito y fallidos de
acceso a la cuenta del usuario.

Pg. 64
11. La poltica de password incluye:

Cambio inicial de la password la primera vez que se utiliza.
Longitud adecuada mnima del password.
La frecuencia obligatoria mnima de cambio de password.
Verificacin de la password en la lista de valores no permitidos (ej., verificacin de
diccionario).
Proteccin adecuada para las passwords de emergencia.
12. El procedimiento formal para resolver los problemas incluye:
ID de usuario suspendido despus de 5 intentos de entrada fallidos.
Fecha del ltimo acceso y el nmero de intentos fallidos se despliega al usuario autorizado
de las entradas.
El tiempo de autenticidad se limita a 5 minutos, despus de los cuales se concluye la
sesin.
Se le informa al usuario la suspensin, pero no la razn de la misma.
13. Los procedimientos de entrada en el sistema incluyen el rechazo o autentificacin base.
14. Los mtodos de control de localizacin se utilizan para aplicar restricciones adicionales a
las localizaciones especficas.
15. El acceso al servicio VoiceMail y el sistema PBX est controlado con los mismos controles
fsicos y lgicos de los sistemas.
16. xito un refuerzo de las polticas de posicin delicada, incluyendo que:
Se les pide a los empleados en puestos delicados que permanezcan fuera de la
organizacin durante un periodo de tiempo cada ao; que durante este tiempo su ID de
usuario se suspenda; y las personas que los sustituyen en caso de advertir cualquier
anormalidad de seguridad deben notificarla a la administracin.
La rotacin de personal dentro de estas reas delicadas se realiza de vez en cuando.
17. El hardware y software de seguridad as como los mdulos de encriptacin, estn protegidos
contra la intromisin o divulgacin, el acceso se limita a la base de la necesidad de
conocimiento.

Pg. 65
18. El acceso a los datos de seguridad como a la gestin de la seguridad, datos de transaccin
delicados, passwords y claves de encriptacin se limita a la base de la necesidad de
conocimiento.
19. Se utilizan rutas de confianza para transmitir informacin delicada sin encriptar.
20. Para evitar la suspensin del servicio por ataques con faxes basura, se toman medidas de
seguridad como:
Evitar la publicacin de nmeros de fax fuera de la organizacin en la base de necesidad
de conocimiento.
Las lneas de fax utilizadas para solicitudes del negocio no se utilizan con otros fines.
21. Se han establecido con respecto a los virus de ordenadores las medidas de control preventivas
y detectoras.
22. Para reforzar la integridad de los valores electrnicos, se toman las medidas siguientes:
Se protegen las facilidades del lector de tarjeta contra la destruccin, publicacin o
modificacin de la informacin de la misma.
La informacin de la tarjeta (NIP y dems informacin) se protege contra la divulgacin.
Se evita la falsificacin de las tarjetas.
23. Para reforzar la proteccin de la seguridad, se toman medidas como:
El proceso de identificacin y autentificacin requiere ser repetido despus de un cierto
periodo de inactividad.
Un sistema de candado, un botn de fuerza o una secuencia de salida que se puede activar
cuando el terminal se deja encendido.
Los servicios de informacin cumplen con los estndares de seguridad relacionados con:
Autentificacin y acceso. Direccin de clasificacin de los perfiles de usuario y seguridad de
datos. Informes y revisin gerencial de las violacin e incidentes de seguridad. Estndares
criptogrficos administrativos clave. Deteccin de virus, solucin y comunicacin. Clasificacin
y propiedad de los datos. Existen procedimientos para la solicitud, establecimiento y
mantenimiento del acceso de los usuarios al sistema. Existen procedimientos para el acceso
externo de los recursos del sistema, por ejemplo, "logon, ID, password o contrasea y dial
back. Se lleva un inventario de los dispositivos del sistema para verificar su suficiencia. Los

Pg. 66
parmetros de seguridad del sistema operativo tienen como base estndares locales y del
proveedor. Las prcticas de direccin de la seguridad de la red son comunicadas, comprendidas
e impuestas. Los contratos de los proveedores de acceso externo incluyen consideraciones sobre
responsabilidades y procedimientos de seguridad. Existen procedimientos de logon reales para
sistemas, usuarios y para el acceso de proveedores externos. Se emiten informes de seguridad
en cuanto a la oportunidad, precisin y respuesta gerencial a incidentes. El acceso a las llaves y
mdulos criptogrficos se limita a necesidades reales de consulta. Existen llaves secretas para
utilizar en transmisiones. Los procedimientos para la proteccin contra el software daino
incluyen:
Todo el software adquirido por la organizacin se revisa contra los virus antes de su
instalacin y uso.
Existe una poltica por escrito para bajar archivos (downloads), aceptacin o uso de
aplicaciones gratuitas y compartidas y esta poltica est vigente.
El software para aplicaciones altamente sensibles est protegido por MAC (Messsage
Authentication Code - Cdigo de Autentificacin de Mensajes) o firma digital, y fallos de
verificacin para evitar el uso del software.
Los usuarios tienen instrucciones para la deteccin e informacin sobre virus, como el
desarrollo lento o crecimiento misterioso de archivos.
Existe una poltica y un procedimiento vigente para la verificacin de los disquetes
externos al programa de compra normal de la organizacin.
Los firewalls poseen por lo menos las siguientes propiedades:

Todo el trfico de adentro hacia fuera y viceversa debe pasar por estos firewalls (esto no
debe limitarse a los controles digitales, debe reforzarse fsicamente).
Slo se permitir el paso del trfico autorizado, como se define en la poltica de seguridad local.
Los firewalls por si mismos son inmunes a la penetracin.
El trfico se intercambia nicamente en firewalls a la capa de aplicacin.
La arquitectura del firewall combina las medidas de control tanto a nivel de la red como de
la aplicacin.

Pg. 67
La arquitectura del firewall refuerza la discontinuidad de un protocolo en la capa de

transporte.
La arquitectura del firewall debe estar configurada de acuerdo a la filosofa de arte
mnima.
La arquitectura del firewall debe desplegar una slida autentificacin para la direccin y
sus componentes.
La arquitectura del firewall oculta la estructura de la red interna.
La arquitectura del firewall provee una auditora de todas las comunicaciones hacia o a
travs del sistema del firewall y activar las alarmas cuando se detecte alguna actividad
sospechosa.
El host de la organizacin, que provee el soporte para las solicitudes de entrada al servicio
de las redes pblicas, permanece fuera del firewall.
La arquitectura del firewall se defiende de los ataques directos (ej., a travs del
seguimiento activo de la tecnologa de reconocimiento de los patrones y trfico).
Todo cdigo ejecutable se explora en busca de cdigos dainos ej., virus, applets dainos
antes de introducirse en la red interna.
Llevando a cabo:
1. Una revisin detallada de la seguridad de los sistemas de la informacin, incluyendo
evaluaciones de penetracin de la seguridad fsica y lgica de los recursos informticos, de
comunicacin, etc.
2. Entrevistas a los nuevos empleados para asegurar el conocimiento y la concienciacin en cuanto
a seguridad y en cuanto a las responsabilidades individuales, por ejemplo, confirmar la existencia
de declaraciones de seguridad firmadas y la formacin para nuevos empleados en cuanto a
seguridad.
3. Entrevistas a los usuarios para asegurar que el acceso est determinado tomando como base la
necesidad (menor necesidad) y que la precisin de dicho acceso es revisada regularmente por la
gerencia.

Pg. 68
Identificando:
Accesos inapropiados por parte de los usuarios a los recursos del sistema.
Inconsistencias con el esquema o inventario de redes en relacin con puntos de acceso
faltantes, accesorios perdidos, etc.
Deficiencias en los contratos en cuanto a la propiedad y responsabilidades relacionadas
con la integridad y seguridad de los datos en cualquier punto de la transmisin entre el
envo y la recepcin.
Empleados no verificados como usuarios legtimos o antiguos empleados que cuentan an
con acceso.
Solicitudes informales o no aprobadas de acceso a los recursos del sistema y Software de
seguimiento de redes que no indican a la direccin de redes las violaciones de la
seguridad.
Defectos en los procedimientos de control de los cambios del software de redes.
La no utilizacin de llaves secretas en los procedimientos de emisin y recepcin de
terceros.
Deficiencias en los protocolos para generacin de llaves, almacenamiento de distribucin,
entrada, uso, archivo y proteccin.
La falta de software actualizado para la deteccin de virus o de procedimientos formales
para prevenir, detectar, corregir y comunicar contaminaciones.
Ejemplo auditora 3

Pg. 69
1. GUA AUDITORA
Elementos con Cargo.
Procedimientos de Costo.
Facturas de Usuarios y Procedimientos de Reembolso.
a.
b.
Recurso Humano a consultar: Gerencia General Jefe departamento de recursos humanos
Jefe departamento de finanzas
c. Informacin a conocer:
1. Polticas y procedimientos generales para la organizacin relacionados con la planificacin y la
preparacin del presupuesto.
2. Polticas y procedimientos de los servicios de informacin relacionados con la agregacin de
costos, facturacin, metodologa e informes de desarrollo y costos.
3. Los siguientes elementos de los servicios de informacin:
Presupuesto actual y del ao anterior.

Informes de seguimiento de la utilizacin de los recursos de los sistemas de informacin.
Datos fuente utilizados en la preparacin de los informes de seguimiento.
Metodologa o algoritmo de asignacin de costos.
Informes histricos de facturacin.
4. Los siguientes elementos de la direccin de usuarios:
Presupuesto actual y del ao anterior para los costos de los servicios de informacin.
Plan de desarrollo y mantenimiento de los sistemas de informacin del ao en curso.

Pg. 70
Gastos presupuestados para los recursos de los sistemas de informacin, incluyendo

aquellos facturados o absorbidos.
Aspectos a Evaluar
Los servicios de informacin cuentan con un grupo responsable de la informacin y emisin de
facturar a los usuarios.
Existen procedimientos que:
Crean un plan anual de desarrollo y mantenimiento con la identificacin de las prioridades
por parte del usuario en cuanto al desarrollo, mantenimiento y gastos operacionales.
Se permite una determinacin de muy alto nivel en cuanto a en qu se gastan los recursos
de los servicios de informacin.
Generen un presupuesto anual para la funcin de los servicios de informacin, incluyendo:
- Cumplimiento con los requerimientos de la organizacin en cuanto a la preparacin de
los presupuestos. - Consistencia en cuanto a qu costos deben ser asignados por los
departamentos. - Comunicacin de los costos histricos, previsin de los nuevos costos
para la comprensin en cuanto a qu costos son incluidos y facturados. - Autorizacin de
todos los costos presupuestados que deben ser asignados por la funcin de los servicios
de informacin. - Frecuencia de la emisin de informes y cargo real de costos.
Seguimiento de los costos asignados de todos los recursos de los sistemas de informacin
pero sin limitarse a: - Hardware operacional. - Equipo perifrico. - Utilizacin de
telecomunicaciones. - Desarrollo y soporte de aplicaciones. - Generales administrativos. Costos por servicios de proveedores externos. - Help desk. - Instalaciones y
mantenimiento. - Costos directos e indirectos. - Gastos fijos y variables. - Costos
discrecionales.
Asisten en la emisin regular de informes en cuanto al rendimiento para las distintas
categoras de costo.
Informan a los usuarios en cuanto a mediciones (benchmarks) externas relacionadas con
la efectividad de los costos, con el fin de permitir una comparacin con respecto a las
expectativas de la industria u otras fuentes alternativas de servicios.

Pg. 71
Permiten la modificacin oportuna de la asignacin de costos para reflejar los cambios en

las necesidades de Natura Lcteos Ltda.
Aprueban y aceptan formalmente los cargos al ser recibidos.
Identifican las oportunidades de mejora de los servicios de informacin para reducir las
facturaciones o para obtener un mejor valor por los cargos.
Los informes aseguran que los elementos sujetos a costo son identificables, medibles y
predecibles.
Los informes capturan y resaltan los cambios en los componentes de costo.
Existe una metodologa de asignacin de costos, que los usuarios estn de acuerdo en cuanto a su
equidad, y que genera tanto costos como informes. Existe un programa de mejora para reducir
costos o aumentar el resultado de los recursos de los sistemas de informacin. Los procesos de
asignacin e informe fomentan el uso ms apropiado, efectivo y consistente de los recursos de las
TI, stos aseguran el tratamiento justo de los departamentos y sus necesidades, y los cargos
reflejan los costos asociados con la prestacin de servicios.
Llevando a cabo:
Un clculo de la facturacin a partir de datos fuente, a travs de un algoritmo de
asignacin de facturacin y dentro del flujo de informes.
La precisin de los datos en el informe de resultados, como: - Utilizacin de la CPU. Utilizacin de los perifricos. - Utilizacin de DASD. - Lneas de cdigo escritas. - Lneas y
pginas impresas. - Modificaciones de programas llevados a cabo. - Nmero de PCs,
telfonos, archivos de datos. - Consultas al help desk. - Nmero, duracin de las
transmisiones.
La compilacin de los datos fuente de recursos en el informe de resultado es correcta.
Utilizacin de un algoritmo real para compilar y asignar costos a la facturacin.
La comprobacin frecuente de la precisin de la facturacin.

Pg. 72
Las facturaciones sean aprobadas.

Se lleven a cabo revisiones consistentes de la facturacin.
El progreso en el plan de desarrollo de los usuarios tenga como base los costos
expendidos.
Se lleve a cabo una revisin de la distribucin de informes en cuanto a la utilizacin e
informacin sobre los costos.
La satisfaccin en cuanto a: - Lo razonable de la facturacin comparada con las
expectativas presupuestadas. - El plan de desarrollo anual con respecto a los costos. - Lo
razonable de la facturacin comparada con las fuentes alternativas, por ejemplo
benchmarks. - La comunicacin de las tendencias que incrementara o disminuira la
facturacin. - Solucin de las variaciones comparadas con la facturacin esperada.
Identificando:
Oportunidades para una mayor efectividad y propiedad de la metodologa de facturacin:
- Incluyendo ms componentes de costos. - Modificando los ndices o unidades de medida
de asignacin de costos. - Modificando el algoritmo mismo de los costos. - Mecanizando o
integrando la funcin de contabilidad y los informes generados por aplicaciones.
Inconsistencias dentro del algoritmo de asignacin.
Inconsistencias de asignacin.
Oportunidades para la mejora de los recursos de los sistemas.
Oportunidades para el usuario con el fin de aplicar de una mejor manera los recursos de
los servicios de informacin para alcanzar los requerimientos de Natura Lacteos Ltda.
Mejoras en la eficiencia de los procesos de recopilacin, acumulacin, asignacin, informe
y comunicacin, los cuales se traducirn en un mejor resultado o menor costo para los
usuarios de los servicios proporcionados.
Que las tendencias de costos reflejadas por las variaciones y el anlisis hayan sido
traducidas a cargos modificados en los perodos siguientes y hayan sido reflejadas en la
estructura de costos.

Pg. 73
Que existen oportunidades para hacer de los servicios de informacin un centro de

provecho y beneficios al proporcionar servicios a otros usuarios internos o externos.
Si la funcin de los servicios de informacin es un centro de provecho y beneficios, que la
contribucin de dichos beneficios se ajusten al plan y el presupuesto y que destaquen las
oportunidades para aumentar los beneficios.
HERRAMIENTAS
ENCUESTA Y REVISION DOCUMENTAL:
La empresa cuenta con un plan para el manejo y los procedimientos relacionados con el
seguimiento de la infraestructura tecnolgica?
Cules son los cambios propuestos segn costos y riesgos? Quin da la debida
aprobacin?
Existe un cronograma a seguir para realizar las actualizaciones y revisiones a este?
Existen los objetivos a largo y corto plazo en el aspecto tecnolgico en la organizacin?
Existe repositorio de informacin acerca del estado de las plataformas tecnolgicas de la
organizacin?
Cul es la arquitectura de sistemas? Cul es la direccin tecnolgica y cules son las
estrategias de migracin y contingencia?
Existen estndares tecnolgicos para la organizacin, y son seguidos adecuadamente?
Los requerimientos de la organizacin son analizados y tenidos en cuenta para compras, y
actualizaciones de hardware y software?
Existen roles bien definidos dentro del manejo y revisin de la infraestructura
tecnolgica?
Existen modelos de arquitectura de la informacin, modelo de diccionario de datos
corporativo?
Existen documentos que den cuenta de los niveles de seguridad manejados para datos
confidenciales?

Pg. 74
Existen actas de reuniones para tratar el tema de la direccin tecnolgica, cules son las
tendencias futuras?
LISTA DE CHEQUEO
Lista de chequeo
REVISION DOCUMENTAL:
1. Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas
2. Objetivos y planes a corto y largo plazo de tecnologa de informacin.
3. Documentacin seleccionada del proyecto incluyendo:
Definicin de requerimientos.
Anlisis de alternativas.
Estudios de factibilidad tecnolgica
Estudios de factibilidad econmica,
Anlisis de modelos de datos de la empresa / arquitectura de informacin.

Pg. 75
Anlisis de riesgos.
Estudios de costo-efectividad sobre control/seguridad interna.
Anlisis de pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados
de pruebas de instalaciones y tecnologa especfica.
Pruebas de sistema, pruebas de integracin, pruebas de hardware y componentes,
pruebas de procedimientos, pruebas de carga y estrs, pruebas de rendimiento, pruebas
de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema
total para evitar cualquier fallo inesperado del sistema.
Documentacin por escrito de requerimientos de usuario debidamente revisados y
aprobados.
escrito por parte de un miembro designado de los servicios de informacin.
Aprobacin formal del estudio de los costos y beneficios por parte de la direccin.
1. Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de
software en caso de ser requerido.
REVISIN DOCUMENTAL. (EXISTE O NO EXISTE)
Procedimientos de direccin de las cuentas del usuario.
Poltica de seguridad del usuario o de proteccin de la informacin.
Estndares relacionados con el comercio electrnico.
Esquema de clasificacin de los datos.
Inventario del software de control de acceso.
informacin.
Inventario o esquema de los puntos de acceso fsico a los recursos de los sistemas de
informacin (por ejemplo, mdems, lneas telefnicas y terminales remotas).

Pg. 76
Procedimientos de control de cambios del software de seguridad.

Procedimientos de seguimiento, solucin y priorizacin de problemas.
Informes sobre violaciones a la seguridad y procedimientos de revisin administrativa.
Lista de los proveedores y clientes con acceso a los recursos del sistema.
Lista de los proveedores de servicios utilizados en la transmisin de los datos.
Prcticas de direccin de redes relacionadas con pruebas continas de seguridad.
Copias de los contratos de transmisin de datos de los proveedores de servicios.
Copias de documentos firmados sobre seguridad y conocimiento de los usuarios.
Contenido del material de formacin sobre seguridad para nuevos empleados.
informacin.

Pg. 77
LISTADE
CHEQUEO

Pg. 78
Lista de chequeo 1
REVISIN DOCUMENTAL:
1. Hay polticas y procedimientos generales para la organizacin relacionados con la
planificacin y la preparacin del presupuesto.
2. Hay polticas y procedimientos de los servicios de informacin relacionados con la
agregacin de costos, facturacin, metodologa e informes de desarrollo y costos.
3. A nivel de servicios de informacin: Existe Informe Presupuesto actual y del ao anterior.
Existe Informes de seguimiento de la utilizacin de los recursos de los sistemas de
informacin.
Existe datos fuente utilizados en la preparacin de los informes de seguimiento.
Hay metodologa o algoritmo de asignacin de costos.
Existen informes histricos de facturacin.
4. A nivel de la direccin de servicios:
Hay comprobantes de presupuesto actual y del ao anterior para los costos de los
servicios de informacin.
Existe plan de desarrollo y mantenimiento de los sistemas de informacin del ao en
curso.
Hay relaciones de gastos presupuestados para los recursos de los sistemas de informacin,
incluyendo aquellos facturados o absorbidos.

Pg. 79
LISTA DE CHEQUEO
Lista de chequeo 2
RESULTADOS
ENCUESTA Y REVISION DOCUMENTAL:
La empresa cuenta con un plan para el manejo y los procedimientos relacionados con el
seguimiento de la infraestructura tecnolgica?
No hay un plan que cumpla integralmente con este aspecto.
Cules son los cambios propuestos segn costos y riesgos? Quin da la debida
aprobacin?

Pg. 80
Existe un cronograma a seguir para realizar las actualizaciones y revisiones a este?

No existe tal cronograma
Existen los objetivos a largo y corto plazo en el aspecto tecnolgico en la organizacin?
Si existen dichos objetivos y estn consignados en el PETI en la seccin de Objetivos
Estratgicos.
Existe repositorio de informacin acerca del estado de las plataformas tecnolgicas de la
organizacin?
No existe este repositorio.
Cul es la arquitectura de sistemas? Cul es la direccin tecnolgica y cules son las
estrategias de migracin y contingencia?
Se tiene definido el Hw y Sw con el que cuenta el rea de sistemas pero no hay una
estructura de redes y comunicaciones completa, por tal motivo no se cuenta con una
arquitectura de sistemas clara. En cuanto al direccionamiento tecnolgico, se puede decir
que contamos con un Plan estratgico de TI el cual se toma como marco de referencia
para apoyar las diferentes reas de la organizacin, el plan mencionado tiene incluido un
plan de contingencia pero an no es lo suficientemente robusto, se incluyen medidas
frente al Corte de energa local o sectorial o global e incluso en caso de una variacin del
voltaje de la red pblica o interna de energa, Borrado accidental o a propsito de archivos
de datos o programas, Fallo de una CPU, Copias de Seguridad. Por el momento se carece
de un plan de migracin.
Existen estndares tecnolgicos para la organizacin, y son seguidos adecuadamente?
No hay definidos estndares tecnolgicos.
Los requerimientos de la organizacin son analizados y tenidos en cuenta para compras, y
actualizaciones de hardware y software?
Este aspecto es tenido en cuenta en el plan estratgico de TI cuando se menciona las tendencias
tecnologas pretendiendo aplicar las herramientas y tecnologas ms apropiadas y que le sean
tiles a la empresa.

Pg. 81
Existen roles bien definidos dentro del manejo y revisin de la infraestructura

tecnolgica?
La definicin de roles est claramente establecido y soportado en la estructura
organizacional del departamento de sistemas.
Existen modelos de arquitectura de la informacin, modelo de diccionario de datos
corporativo?
No hay definido ninguno de estos puntos.
Existen documentos que den cuenta de los niveles de seguridad manejados para datos
confidenciales?
No existen documentos que establezcan estos niveles de seguridad.
Existen actas de reuniones para tratar el tema de la direccin tecnolgica, cules son las
tendencias futuras?
Especficamente no se tienen actas sobre temas de direccin tecnolgica.

Pg. 82
Lista de chequeo 3
REVISIN DOCUMENTAL:
1. Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas
Aunque el departamento hace sus propios desarrollos, no se tiene documentacin sobre
procedimientos y polticas relacionadas con el desarrollo de sistemas ni metodologas para el ciclo
de vida del software.
2. Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Administrar efectivamente los procesos y recursos disponibles y futuros para alcanzar y mantener
la excelencia en los servicios informticos ofrecidos.
Estar preparados en por lo menos el 80% en el 2010 para la certificacin de calidad ISO 9000 en
los procesos y servicios informticos ofrecidos por la Oficina Asesora de Informtica y Telemtica.
Apoyar la integracin en el 2010 de al menos el 80% de las dependencias administrativas en lo
relacionado con sus Sistemas de Informacin y herramientas de computacin y
telecomunicaciones.
Apoyar para que se garantice por lo menos en el 80% en el 2010 la operacin y continuidad de
los productos y servicios informticos ofrecidos.
Implementar y mantener el esquema de seguridad informtica requerido para generar confianza
y transparencia en las operaciones informticas para el 2009
Ejecutar al 2010 al menos el 70% de los proyectos de Tecnologas de Informacin y
Telecomunicaciones TIC definidos dentro del Plan de Desarrollo de la empresa.
Lograr y mantener un indicador de clima organizacional - ICO por lo menos del 70% al 2010,
tratando de promover actitudes positivas del personal hacia su trabajo y la empresa.
Implementar al 2009 y mantener el esquema de seguridad informtica requerido para generar
confianza y transparencia en las operaciones informticas
Lograr eficiencia en los procesos de prestacin de servicios informticos, de forma que se pueda
generar ahorro y reduccin de costos de hasta un 20% para finales del ao 2009.

Pg. 83
Establecer y mantener contacto permanente con las entidades proveedoras de Tecnologas de

Informacin para la ejecucin de los proyectos con el fin de mejorar el nivel de la organizacin
para el ao 2009.
Apoyar los procesos operativos, gerenciales y comerciales de la empresa, por lo menos un 50%
para el 2009 para que se puedan seguir implementando los proyectos en el rea de TICs.
3. Documentacin seleccionada del proyecto incluyendo:
Definicin de requerimientos. No hay documentacin
Anlisis de alternativas. No hay documentacin
Estudios de factibilidad tecnolgica. No hay documentacin
Estudios de factibilidad econmica. No hay documentacin
Anlisis de modelos de datos de la empresa / arquitectura de informacin. No hay
documentacin
Anlisis de riesgos. No hay documentacin
Estudios de costo-efectividad sobre control/seguridad interna. No hay documentacin
Anlisis de pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados
de pruebas de instalaciones y tecnologa especfica. No hay documentacin
Pruebas de sistema, pruebas de integracin, pruebas de hardware y componentes,
pruebas de procedimientos, pruebas de carga y estrs, pruebas de rendimiento, pruebas
de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema
total para evitar cualquier fallo inesperado del sistema. No hay documentacin
Documentacin por escrito de requerimientos de usuario debidamente revisados y
aprobados. No hay documentacin
escrito por parte de un miembro designado de los servicios de informacin. No hay
documentacin
Aprobacin formal del estudio de los costos y beneficios por parte de la direccin. No hay
documentacin

Pg. 84
4. Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de software

en caso de ser requerido.
Solo se tiene el objetivo:
Garantizar por lo menos en el 80% en el 2010 la operacin y continuidad de los productos y
servicios informticos ofrecidos. Y es en este donde se tiene como proyecto Definir polticas e
implementar normas y procedimientos para la consolidacin de las compras de elementos de
Tecnologas de Informacin y Comunicaciones TIC, el manejo de proyectos corporativos y la
definicin y utilizacin de estndares tecnolgicos.
REVISIN DOCUMENTAL. (EXISTE O NO EXISTE)

Procedimientos de direccin de las cuentas del usuario. No existe
Poltica de seguridad del usuario o de proteccin de la informacin. Existe
Estndares relacionados con el comercio electrnico. No Existe
Esquema de clasificacin de los datos. No Existe
Inventario del software de control de acceso. Existe
informacin. No Existe
Inventario o esquema de los puntos de acceso fsico a los recursos de los sistemas de
informacin (por ejemplo, mdems, lneas telefnicas y terminales remotas). No Existe
Procedimientos de control de cambios del software de seguridad. No Existe
Procedimientos de seguimiento, solucin y priorizacin de problemas. No Existe
Informes sobre violaciones a la seguridad y procedimientos de revisin administrativa. No
Existe
No Existe
Lista de los proveedores y clientes con acceso a los recursos del sistema. No Existe

Pg. 85
Lista de los proveedores de servicios utilizados en la transmisin de los datos. No Existe

Prcticas de direccin de redes relacionadas con pruebas continas de seguridad. No
Existe
Copias de los contratos de transmisin de datos de los proveedores de servicios. No Existe
Copias de documentos firmados sobre seguridad y conocimiento de los usuarios. No Existe
Contenido del material de formacin sobre seguridad para nuevos empleados. No Existe
informacin. No Existe

Pg. 86
LISTA DE CHEQUEO
Lista de chequeo 4
REVISICIN DOCUMENTAL:
1. Hay polticas y procedimientos generales para la organizacin relacionados con la planificacin y
la preparacin del presupuesto. R: Existen soporte (rea financiera).

Pg. 87
2. Hay polticas y procedimientos de los servicios de informacin relacionados con la agregacin de

costos, facturacin, metodologa e informes de desarrollo y costos. R: No hay conocimiento de
ellas.
3. A nivel de servicios de informacin:
Existe Informe Presupuesto actual y del ao anterior. R: No.
Existe Informes de seguimiento de la utilizacin de los recursos de los sistemas de
informacin. R: No.
Existe datos fuente utilizados en la preparacin de los informes de seguimiento. R: No.
Hay metodologa o algoritmo de asignacin de costos. R: No.
Existen informes histricos de facturacin. R: No.
4. A nivel de la direccin de servicios:
Hay comprobantes de presupuesto actual y del ao anterior para los costos de los
servicios de informacin. R: No.
Existe plan de desarrollo y mantenimiento de los sistemas de informacin del ao en
curso. R: Existe el plan de desarrollo, el plan de mantenimiento no existe, sin embargo est
incluido en los objetivos estratgicos.
Hay relaciones de gastos presupuestados para los recursos de los sistemas de informacin,
incluyendo aquellos facturados o absorbidos. R: No.

Pg. 88
LISTA DE CHEQUEO
Lista de chequeo 5

Pg. 89
Informe 1
Determinar la Direccin Tecnolgica
Objetivo
Determinar la direccin tecnolgica de la empresa Natura Lcteos para as permitir dar soporte
tecnolgico adecuado para una empresa de esta ndole. Se busca los sistemas del negocio, la
arquitectura de la informacin y los estndares tecnolgicos con que cuenta Natura Lcteos. Para
detectar el incumplimiento de los estndares tecnolgicos, desviaciones con respecto al plan de
infraestructura tecnolgica.
Hallazgos
No existe un proceso para la creacin y la actualizacin regular del plan de infraestructura
tecnolgica para confirmar que los cambios propuestos estn siendo examinados antes de evaluar
los costos y riesgos inherentes.
No hay un cronograma que estime la actualizacin y revisin de la infraestructura tecnolgica de la
organizacin.
No existe un repositorio de informacin acerca del estado de las plataformas tecnolgicas de la
organizacin.
No hay estrategias bien definidas para la migracin y contingencia que deben ser contemplados en
el plan estratgico de infraestructura tecnolgica. La direccin de los servicios de informacin
comprende el proceso de evaluar sistemticamente, por ejemplo, redundancia, resistencia,
adecuacin y capacidad evolutiva de la infraestructura.
No hay modelo de la arquitectura de la informacin ni modelo de diccionario de datos corporativo,
en los sistemas de informacin asociados y en los planes a largo y corto plazo de la tecnologa de la
informacin. No existe documentacin que d cuenta de los niveles de seguridad y
confidencialidad de los datos.
Se encuentran definidos objetivos estratgicos de TI que buscan por medio de la adquisicin de
nuevas tecnologas satisfacer las metas empresariales.
Conclusin
No se logra identificar en el plan de TI qu tecnologas tienen el potencial de crear oportunidades
de negocio dado que este no abarca la arquitectura de sistemas, la direccin tecnolgica, las
estrategias de migracin y los aspectos de contingencia de los componentes de la infraestructura.

Pg. 90
Cabe resaltar el hecho de que se han definido algunos objetivos estratgicos de TI alineados con
las metas empresariales que deben estar apoyados en un plan de direccin tecnolgica el cual no
se encuentra bien definido.
Recomendaciones
Realizar investigacin sobre las tecnologas apropiadas para la empresa y adecuarlas bajo el
modelo de direccin tecnolgica implantado hasta ahora, guindose en los siguientes procesos:
Elaborar y mantener plan de infraestructura tecnolgica que est de acuerdo con los
planes estratgicos y tcticos de TI. Este se basa en la direccin tecnolgica e incluye
acuerdos para contingencias y orientacin para la adquisicin de recursos tecnolgicos.
Tambin toma en cuenta los cambios en el ambiente competitivo, las economas de escala
en la obtencin de equipo de sistemas de informacin, y la mejora en la interoperabilidad
de las plataformas y las aplicaciones.
Establecer un foro o un consejo tecnolgico que brinden directrices tecnolgicas, asesora
sobre los productos de la infraestructura y guas sobre la seleccin de la tecnologa, y
medir el cumplimiento de estos estndares y directrices.
AI1 Identificar Soluciones Automatizadas
Objetivo
Definir y dar mantenimiento de los requerimientos tcnicos y funcionales de Natura Lcteos e
Identificar los riesgos asociados con los procesos de negocio determinando los cursos de accin
alternativos.
Hallazgos
No se encuentra definida una metodologa de desarrollo de software ni polticas y procedimientos
relacionados con el ciclo de vida de desarrollo de los sistemas desarrollados por la empresa; por lo
que no se lleva un adecuado seguimiento de los requerimientos de negocio tanto funcionales
como tcnicos (definicin, actualizacin, cumplimiento).
Los objetivos y planes a corto y largo plazo de la tecnologa de la informacin se tienen
considerados de acuerdo a un plan de metas el cual provee un diagnstico y alcance de lo que se
necesita en la organizacin.
No existen estudios de factibilidad de proyectos tecnolgicos as como estudios de factibilidad
econmica y de alternativas.

Pg. 91
No se han realizado anlisis de los riesgos slidos, y consecuentemente, no han identificado

adecuadamente los riesgos (incluyendo amenazas, vulnerabilidades e impactos potenciales) o los
controles internos y de seguridad para reducir o eliminar los riesgos identificados dentro de las
soluciones automatizadas.
Conclusin
No se logra identificar dentro de la empresa Natura Lcteos la definicin de requerimientos
tcnicos y funcionales del negocio dado que no existe una metodologa a seguir ni una propia; por
la misma razn no existe anlisis de riesgos asociados con los procesos del negocio ni polticas o
estndares de evaluacin de factibilidad de proyectos tecnolgicos, costos y alternativas.
Recomendaciones
Los costos de las soluciones automatizadas deben ser planeados, por tanto se debe disear un
plan de costos para estas, adems debe existir documentacin formal de aprobacin por parte de
la direccin que contemple los costos y beneficios de las aplicaciones automatizadas.
Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos.
Debe identificar los cursos alternativos de accin para el software, hardware, servicios y
habilidades que satisfagan los requerimientos establecidos, tanto funcionales como tcnicos, y
evaluar la factibilidad tecnolgica y econmica (costo potencial y anlisis de beneficios) de cada
uno de los cursos de accin identificados en el contexto de inversin en TI
Disear un plan de gestin de requerimientos de servicios debidamente documentados y con sus
respectivos responsables. Debe realizarse un plan de contratacin de soluciones automatizada que
d cuenta en caso de requerirse la compra de productos de software que hay cumplimiento con
las polticas de adquisicin de la organizacin definiendo el marco de referencia para la solicitud
de propuesta, la seleccin del proveedor de software y la negociacin del contrato; por lo que
puede presentarse que las instancias en las que se ha aceptado una tecnologa especfica, pero
que no se han llevado a cabo adecuadamente inspecciones, pruebas de funcionalidad y pruebas
de carga de trabajo, teniendo como resultado que la tecnologa no satisface los requerimientos del
usuario y no cumple con los trminos del contrato.
DS5 Garantizar la Seguridad de los Sistemas
Objetivo
Garantizar la seguridad de los sistemas dentro de la empresa Natura Lcteos. Se desea verificar si
la empresa Natura Lcteos administra identidades y autorizaciones a sus empleados y poseen
documento de requerimientos, vulnerabilidades y amenazas de seguridad.

Pg. 92
Hallazgos
Aunque se pretende la concientizacin en los empleados y funcionarios de la empresa sobre las
polticas, estndares y convenciones en seguridad informtica hacen falta estudios y la definicin
de polticas referentes a la seguridad en TI.
No se cuenta con plan de seguridad estratgico, leyes, regulaciones, alineamientos, estndares
industriales; no existen polticas de control de accesos, a equipos administrativos, a diferentes
pginas web, no hay polticas de la adquisicin de software ni de sus actualizaciones.
No se cuenta con un esquema de clasificacin de los datos en operacin que indique que todos los
recursos del sistema cuentan con un propietario responsable de su seguridad y contenido. No se
emiten informes sobre violaciones de seguridad en cuanto a la oportunidad, precisin y respuesta
a incidentes.
No hay estndares de encriptacin; el hardware y software no estn protegidos contra la
intromisin o divulgacin de informacin. El acceso a los datos de seguridad como a la gestin de
la seguridad, datos de transaccin delicados, passwords y claves de encriptacin son limitados.
Conclusin
La necesidad de mantener la integridad de la informacin y de proteger los activos de TI, requiere
de un proceso de administracin de la seguridad. Aunque Natura Lcteos Ltda. Establece roles y
responsabilidades de seguridad dentro de la empresa no define ni mantiene un plan estratgico de
seguridad en TI. Una efectiva administracin de la seguridad protege todos los activos de TI para
minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad
Recomendaciones
Administrar la seguridad de TI al nivel ms apropiado dentro de la organizacin, de manera que las
acciones de administracin de la seguridad estn en lnea con los requerimientos del negocio,
guindose en los siguientes procesos:
Elaborar un plan de seguridad estratgico, leyes, regulaciones, alineamientos y estndares
industriales. Trasladar los requerimientos de informacin del negocio, la configuracin de
TI, los planes de accin del riesgo de la informacin y la cultura sobre la seguridad en la
informacin a un plan global de seguridad de TI.
Realizar monitoreos de seguridad y pruebas peridicas as como realizar acciones
correctivas sobre las debilidades o incidentes de seguridad identificados.

Pg. 93
Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI

(aplicacin de negocio, operacin del sistema, desarrollo y mantenimiento) deben ser
identificables de manera nica. Los derechos de acceso del usuario a sistemas y datos
deben estar alineados con necesidades de negocio definidas y documentadas y con
requerimientos de trabajo.
Garantizar que la tecnologa importante relacionada con la seguridad no sea susceptible
de sabotaje y que la documentacin de seguridad no se divulgue de forma innecesaria, es
decir, que mantenga un perfil bajo.
Realizar la planificacin de estndares de los mdulos de direccin criptogrfica, claves
tanto para la actividad centralizada como para el usuario, para reforzamiento de la
proteccin y seguridad.
Realizar un estudio detallado de los estndares de comercio electrnico que se utilicen
dentro de Natura Lcteos Ltda. Con los debidos accesos apropiados por parte de los
usuarios a los recursos del sistema.
DS6 Identificar y Asignar Costos
Objetivo
Determinar el nivel de seguimiento sobre la asignacin de costos en TI basado en polticas y
estrategias que permitan la vinculacin de los servicios de TI a los procesos de negocio.
Hallazgos
No existe un modelo de costos de TI que incluya costos directos, indirectos y fijos de los servicios
de TI. El modelo de costos debe estar alineado con los procedimientos de contabilizacin de costos
de la empresa, lo que claramente no se detecta en Natura Lcteos Ltda.
No se genera un presupuesto anual para la funcin de los servicios de informacin, que incluya
aspectos como: cumplimiento con los requerimientos de la organizacin en cuanto a la
preparacin de los presupuestos; consistencia en cuanto a qu costos deben ser asignados por los
departamentos; comunicacin de los costos histricos, previsin de los nuevos costos para la
comprensin en cuanto a qu costos son incluidos y facturados; autorizacin de todos los costos
presupuestados que deben ser asignados por la funcin de los servicios de TI.
No hay comprobantes de presupuesto actual y del ao anterior para los costos de los recursos de
los sistemas y servicios de TI.

Pg. 94
Conclusin
Se hace obvia la necesidad de un sistema justo y equitativo para asignar costos de TI en la empresa
Natura Lcteos Ltda., este requiere de una medicin precisa y un acuerdo con los usuarios del
negocio sobre una asignacin justa.
Recomendaciones
Si la funcin de los servicios de informacin es un centro de provecho y beneficios, la contribucin
de dichos beneficios deben estar ajustados al plan y el presupuesto empresarial y que destaquen
las oportunidades para aumentar los beneficios y as poder capacitar a los usuarios de los servicios
de TI con tal sentido de pertenencia que ayude a reducir y corregir a tiempo errores en costos
ocasionados por dichos usuarios. Dado esto se recomienda:
Elaborar un modelo de costos de TI que garantice que los cargos por servicios son
identificables, medibles y predecibles por parte de los usuarios para propiciar el adecuado
uso de recursos; adems debe estar alineado con los procedimientos de contabilizacin de
costos de la empresa.
Registrar y asignar los costos actuales de acuerdo con el modelo de costos definido. Las
variaciones entre los presupuestos y los costos actuales deben analizarse y reportarse de
acuerdo con los sistemas de medicin financiera de la empresa.
Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos para
mantener su relevancia para el negocio en evolucin y para las actividades de TI.
Nivel de Madurez de la Empresa
La empresa Natura Lcteos entra a clasificarse como un nivel 1 Inicial/Ad Hoc en los procesos PO3,
AI1, DS5 y DS6, analizados en esta auditora. Pues si bien se reconoce la necesidad de estructurar
las funciones de direccin de TI, identificar soluciones automatizadas para la satisfaccin de
requerimientos del negocio, definir y garantizar las polticas de seguridad de los sistemas y se
reconoce tambin la necesidad de especificar estndares y polticas de control sobre la asignacin
de todos los costos de TI, las operaciones son de naturaleza reactiva, se toman acciones de
manera informal y el procesamiento de peticiones se acepta sin validacin previa, no se mide la
seguridad de TI, no hay una distribucin de costos por usuario, cliente, departamento, grupos de
usuarios, funciones de servicio, proyectos o entregables y la direccin tecnolgica est impulsada
por los planes evolutivos, con frecuencia contradictorios, del hardware, del software de sistemas y
de los proveedores de software aplicativo.

Pg. 95
4.3. Pistas de Aprendizaje

Tenga en cuenta que: la funcin de un auditor no es la de buscar los errores o no conformidades
de la Organizacin auditada, sino de ayudarles a encontrar sus debilidades y que creen planes de
mejora.
No se puede olvidar: que cuando la auditora requiere de mayores conocimientos a los que tiene
el auditor en curso, es totalmente vlido hacer uso de un experto en el tema para que la
evaluacin sea ms verdica y fiable posible.
Tenga en cuenta: que cuando en una auditora no se encuentra algn procedimiento realizado de
la manera que se espera, pero se cuenta con el plan de mejora para ste, no se debe reportar
como una no conformidad puesto que la organizacin ya es consciente de dicha falencia, pero
adems ya tiene un plan de contingencia para la misma.
Tener en cuenta: que las investigaciones previas a la auditora, aportan informacin y material
fundamental para el proceso de la auditora en s.
No olvidar que: un auditor no debe realizar informes basndose en supuestos o rumores, pues los
resultados no sern fieles a la realidad de la organizacin. Siempre debe haber un soporte formal
de la compaa para cualquier informe, o en su defecto no haberlo para as levantar los planes de
contingencia.
Tener muy presente que: los auditados no siempre responden claramente a las preguntas
realizadas por el auditor, y esto se puede deber a que la persona no comprende los conceptos de
la manera que le fueron preguntados, luego es muy bueno repetir sigilosamente la pregunta de
una manera ms sencilla, para verificar nuevamente la existencia o no de los requerido.
Traer siempre a la memoria: el propsito de la auditora. Este es la carta de navegacin del
proceso a auditar.
Tener en cuenta que: la seleccin del personal auditado debe hacerse con la certeza que son las
personas que pueden dar claramente respuesta a los procesos de la organizacin. Siempre se
encontrarn personas en el rea a auditar que no son las ms idneas para ser auditadas aunque
all laboren.

Pg. 96
4.4. Glosario
AUDITADO: persona de la organizacin que es seleccionada por el auditor para participar en el
proceso de evaluacin de algn proceso de la organizacin.
AUDITOR: persona idneamente formada en el campo seleccionado para realizar la evaluacin y
coherencia de los procesos de la organizacin.
AUDITORA: proceso de evaluacin de las actividades y procesos de una organizacin.
CONFORMIDAD: hallazgo de cumplimiento con los criterios de evaluacin solicitados por el
auditor.
CONTROLES: actividades de aseguramiento y verificacin de que lo planeado si se realice
conforme a lo planeado en la organizacin.
INFORME DE AUDITORA: Reporte escrito de los hallazgos encontrados durante el proceso de
auditora.
LISTA DE CHEQUEO: listados de preguntas que se hacen durante la auditora para ir verificando el
cumplimiento o no de las actividades del proceso.
NO CONFORMIDAD: Hallazgo de incumplimiento a los criterios de evaluacin solicitados por el
auditor.
OBSERVACIN: es una anotacin a un hallazgo encontrado por el auditor, pero que su no
cumplimiento no afecta el proceso auditado como tal.
SEGUIMIENTO: actividades de verificacin relacionadas con el informe de auditora.
SISTEMA: Conjunto de elementos interrelacionados entre s para llegar a un fin comn o
propsito.

Pg. 97
4.5. Bibliografa
Tamayo, A. (2001).Auditora de Sistemas: Una visin Prctica. [En lnea]. Consultado: [23, octubre,
2011]
Disponible
en:
http://books.google.es/books?id=HdtpS3UBCuMC&printsec=frontcover&dq=auditoria+de+sistem
as&hl=es&ei=fJyDTsmHLYy4tgeA8pTtAQ&sa=X&oi=book_result&ct=result&resnum=1&ved=0CDQ
Q6AEwAA#v=onepage&q&f=false
Champlain, J. (2003). Auditing Information Systems. (Second Edition). [En lnea]. Consultado: [27,
Octubre, 2011] Disponible en:
http://books.google.es/books?id=LJmzMzkUuHoC&printsec=frontcover&dq=systems+audit&hl=es
&ei=yImjTuXTHcmXtwen7PmoBQ&sa=X&oi=book_result&ct=result&resnum=1&ved=0CDgQ6AEw
AA#v=onepage&q=systems%20audit&f=false
Dube, D P. Y Gulati, VP. (2005). Information System Audit and Assurance.[En Lnea]. Consultado:
[27, octubre, 2011]. Disponible en:
http://books.google.es/books?id=1cIQS6aCPQwC&printsec=frontcover&dq=systems+audit&hl=es
&ei=yImjTuXTHcmXtwen7PmoBQ&sa=X&oi=book_result&ct=result&resnum=2&ved=0CD0Q6AEw
AQ#v=onepage&q=systems%20audit&f=false
Valverde, O. Manual de Auditora de Sistemas. En: http://www.slideshare.net/oskr12381/mduloauditoria-de-sistemas
Trabajo de Campo: Auditora Realizada por el grupo
http://ingenieria.ucaldas.edu.co/auditoria/index.php/Grupo_7
al
grupo
2.
Desde:
Auditora de Sistemas. De: 123 Innovation Group, S.L. Auditores y consultores en seguridad,
disponibilidad, continuidad, integridad y confidencialidad informtica. [En lnea]. Desde:
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/

Pg. 98
TABLA REFERENCIA GRFICOS E IMGENES

Nombre imagen
Video Intro Unidad 1
Definicin Auditora de
Sistemas
Objetivos Generales de la
Auditora
Funcin Auditora en la
Organizacin
Video Intro Unidad2
Pasos previos a una
auditora (mapa)
Investigacin Preliminar
Recomendaciones para el
auditor
Tipos de Controles
Objetivos Planeacin de
la Auditora
Fuentes
para
la
Informacin
Prueba Inicial Unidad 3
Video Intro Unidad3
Fases para la Auditora
de Sistemas
Preguntas
para
el
seguimiento
Normas
para
el
seguimiento
Ejemplo de Auditoria
Ejemplo Auditora 1
Ejemplo Auditora 2
Lista de Chequeo
Lista de Chequeo1
Direccin
Mdulo Auditora de Sistemas
Autor
Elizabeth Daz Duque
Elizabeth Daz Duque
Elizabeth Daz Duque
Elizabeth Daz Duque

Elizabeth Daz Duque

Elizabeth Daz Duque

Elizabeth Daz Duque

Elizabeth Daz Duque

Elizabeth Daz Duque

Elizabeth Daz Duque
Elizabeth Daz Duque

Elizabeth Daz Duque

Elizabeth Daz Duque
Elizabeth Daz Duque
Elizabeth Daz Duque
Elizabeth Daz Duque
http://ingenieria.ucaldas.edu.co/
auditoria/index.php/Grupo_7
Universidad de Caldas

Pg. 99
Lista de Chequeo2
Lista de Chequeo3
Lista de Chequeo4
Lista de Chequeo5
Informe 1

08-Auditoria de Sist

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

08-Auditoria de Sist

Cargado por

Copyright:

Formatos disponibles

ESCUELA DE CIENCIAS BSICAS E INGENIERA

CORPORACIN UNIVERSITARIA REMINGTON

Corporacin Universitaria Remington Direccin Pedaggica

Corporacin Universitaria Remington Direccin Pedaggica

MAPA DE LA ASIGNATURA ............................................................................................. 7

QU ES LA AUDITORA DE SISTEMAS? ........................................................................... 8

Qu es la auditora de sistemas? ......................................................................................... 10

Objetivos Generales de la Auditora de Sistemas ................................................................. 13

La Funcin de la Auditora en la Organizacin ...................................................................... 14

LA AUDITORA DE SISTEMAS ........................................................................................ 17

Planeacin de una Auditora de Sistemas ............................................................................. 18

Los Controles de una Auditora ............................................................................................. 24

3.2.1. Definicin de Controles ......................................................................................................... 24

Metodologa de una Auditora .............................................................................................. 27

AUDITORAS DE SISTEMAS ........................................................................................... 33

Fases de la Auditora de Sistemas Y su Seguimiento ............................................................ 35

Casos para analizar el porqu de las auditoras en los sistemas........................................... 42

Pistas de Aprendizaje ............................................................................................................ 95

Corporacin Universitaria Remington Direccin Pedaggica

Corporacin Universitaria Remington Direccin Pedaggica

Corporacin Universitaria Remington Direccin Pedaggica

El noruego vive junto a la casa azul.

Video Intro unidad 1

Corporacin Universitaria Remington Direccin Pedaggica

2.1. Qu es la auditora de sistemas?

Definicin de Auditora Sistemas

Corporacin Universitaria Remington Direccin Pedaggica

INFORMACIN: la informacin en general podramos definirla como un conjunto de datos

Corporacin Universitaria Remington Direccin Pedaggica

c. ROL DEL AUDITOR DE SISTEMAS:

Corporacin Universitaria Remington Direccin Pedaggica

2.2. Objetivos Generales de la Auditora de Sistemas

Corporacin Universitaria Remington Direccin Pedaggica

Objetivos Generales de la Auditora

2.3. La Funcin de la Auditora en la Organizacin

Corporacin Universitaria Remington Direccin Pedaggica

Entendamos entonces porqu es importante la auditora de sistemas dentro de la organizacin, a

Corporacin Universitaria Remington Direccin Pedaggica

Funcin Auditora en la Organizacin

Corporacin Universitaria Remington Direccin Pedaggica

Corporacin Universitaria Remington Direccin Pedaggica

3.1. Planeacin de una Auditora de Sistemas

Video Intro Unidad2

Recordemos entonces que la auditora de sistemas es la encargada de revisar y evaluar los

Corporacin Universitaria Remington Direccin Pedaggica

Pasos Previos a una Auditora

Desglosemos el mapa anterior a partir de la Investigacin Preliminar, la cual consiste en

Corporacin Universitaria Remington Direccin Pedaggica

Recursos materiales: pedir documentos que evidencien informacin como:

Corporacin Universitaria Remington Direccin Pedaggica

4. Informacin de la descripcin general de los Sistemas

Manual de Procedimiento de los Sistemas

Muy bien, luego de solicitar esta informacin para el dimensionamiento de la Organizacin,

CASO 4: La informacin con la que se cuenta es la requerida, est actualizada, y es necesaria.

En el CASO 1, se debe analizar el POR QU NO SE NECESITA.

Corporacin Universitaria Remington Direccin Pedaggica

Recomendaciones para el auditor

Corporacin Universitaria Remington Direccin Pedaggica

Corporacin Universitaria Remington Direccin Pedaggica

3.2. Los Controles de una Auditora

3.2.1. Definicin de Controles

Corporacin Universitaria Remington Direccin Pedaggica

3.2.2. Clasificacin de Los Controles

Ejemplo: El archivo o documento de las revisiones peridicas de los diferentes equipos de la