UNIVERSIDAD ESTATAL DEL SUR DE

MANABI

CARRERA DE ING. EN SISTEMAS

COMPUTACIONALES

Sexto semestre
Profesor:
Jimmy Gutiérrez
Alumna

Ponce Ponce Juana Lorena

Sección
Matutina

METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y

ADITORIA INFORMATICA

INTRODUCCION
La metodología se hace necesaria en materias como la informática, ya que sus aspectos
son muy complejos y la cual se utiliza en cada doctrina que compone dicha materia,
siendo de gran ayuda en la auditoria de los sistemas de información.

El nacimiento de metodología en el mundo de la auditoria y el control informático se

puede observar en los primeros años de los ochenta, naciendo a la par con la
informática, la cual utiliza la metodología en disciplinas como la seguridad de los
sistemas de información, la cual la definimos como la doctrina que trata de los riesgos
informáticos, en donde la auditoria se involucra en este proceso de protección y
preservación de la información y de sus medios de proceso.

La informática crea unos riesgos informáticos los cuales pueden causar grandes
problemas en entidades, por lo cual hay que proteger y preservar dichas entidades con
un entramado de contramedidas, y la calidad y la eficacia de la mismas es el objetivo a
evaluar para poder identificar así sus puntos débiles y mejorarlos, siendo esta una
función de los auditores informáticos.

Auditoria de seguridad. Abarca los conceptos de seguridad física (protección del

hardware y de los soportes de datos) y lógica (protección contra virus, intrusiones,
spam).

Una contramedida nace de la composición de varios factores como:

o LA NORMATIVA: en donde se debe definir de forma clara y precisa todo lo que

se debe existir y ser cumplido. Debe inspirarse en estándares, políticas, marco
jurídico, y normas de la empresa.

o LA ORGANIZACIÓN: en esta la integran personas con funciones específicas y

con actuaciones concretas, procedimientos definidos y aprobados por la
dirección de la empresa.

o LAS METODOLOGIAS: son muy necesarias para desarrollar cualquier proyecto

que queramos hacer de forma ordenada eficaz.

o LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de

procesos

o LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos de

las distintas áreas de la empresa, obtenidos con una metodología apropiada, para
la consecución de uno o varios objetivos de control, por lo cual deben estar
aprobados por la dirección

o EN LA TECNOLOGIA DE SEGURIDAD: están todos los elementos, ya sean

hardware o software, que ayudan a controlar el riesgo informático.
 o LAS HERRAMIENTAS DE CONTROL: son los elementos software que
permiten definir uno o varios procedimientos de control para cumplir una
normativa y un objetivo de control.

METODOLOGIAS DE EVALUACION DE SISTEMAS

En la seguridad de sistemas se utilizan todas las metodologías necesarias para realizar

un plan de seguridad además de la auditoria informática.

Existen dos metodologías de evaluación de sistemas son:

 Análisis de riesgos

Facilita la evaluación de los riesgos y recomienda acciones en base al coste-beneficio

de las mismas.

 Auditoria informática

Solo identifica el nivel de exposición por la falla de controles.

TIPOS DE METODOLOGIAS
Las metodologías existentes en la auditoria y el control informático, se pueden agrupar
en dos familias:

1. Cuantitativas: basadas en un modelo matemático numérico que ayuda a la

realización del trabajo.
2. Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base a la experiencia acumulada.
METODOLOGIAS CUANTITATIVAS

Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con
facilidad por tener asignados unos valores numéricos. Estos valores en el caso de
metodologías de análisis de riesgos son datos de probabilidad de ocurrencia de un
evento que se debe extraer de un registro de incidencias donde el número de incidencias
tienda al infinito.

METODOLOGIAS CUALITATIVAS/SUBJETIVAS

Se basan en métodos estadísticos y lógica borrosa. Precisan de un profesional

experimentado, pero requieren menos recursos humanos/tiempo que las metodologías
cuantitativas.
METODOLOGIAS MÁS COMUNES

Entre las metodologías más comunes de evaluación de sistemas se encuentra:

En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante

dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan
eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo
cualitativo.

Control interno informático; Cumplen funciones de control dual en los diferentes

departamentos, que puede ser normativa, marco jurídico, la funciones del control
interno es la siguientes determinar los propietarios y los perfiles según la clase de
información, permitir a dos personas intervenir como medida de control, realizar planes
de contingencias, dictar normas de seguridad informática, controla la calidad de
software, los costos, los responsables de cada departamento, control de licencias,
manejo de claves de cifrado, vigilan el cumplimiento de normas y de controles, es clara
que esta medida permite la seguridad informática.

Metodologías de clasificación de información y de obtención de procedimientos de control;

Es establecer cuales son las entidades de información a proteger, dependiendo del grado
de importancia de la información para el establecimiento de contramedidas.

Herramientas de control;

Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son
programas que brindar seguridad, las principales herramientas son las siguientes;
seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad
lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de
soporte magnéticos, gestión de control de impresión y envío de listados por red, control
de proyectos y versiones , gestión de independencia y control de cambios. Y físicos los
cifradores