AUDITORA INFORMTICA

La auditora informtica es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten
detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y
objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan
flujos de informacin eficientes. En si la auditoria informtica tiene 2 tipos las cuales
son: AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar a
personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la
empresa contrata a personas de afuera para que haga la auditoria en su empresa. Auditar
consiste principalmente en estudiar los mecanismos de control que estn implantados en una
empresa u organizacin, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para
la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos,
de deteccin, correctivos o de recuperacin ante una contingencia.
Los objetivos de la auditora Informtica son:
El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.
Sus beneficios son:
Mejora la imagen pblica.
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (retrocesos, rechazos, reclamos, entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversin en un entorno de TI, a menudo impredecible.





La auditora informtica sirve para mejorar ciertas caractersticas
en la empresa como:
* Desempeo
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:
* Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Proteccin y Seguridad
Planes de continuidad y Recuperacin de desastres
La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la
auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT,
COSO e ITIL.
Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es
una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de
seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse
actualizado acumulando horas (puntos) para no perder la certificacin.








PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA EFECTUAR UNA
AUDITORA INFORMTICA
Auditora informtica el auditor puede realizar las siguientes pruebas:
Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen
obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen
analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y
validez de la informacin.
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado
mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves
existen y que son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informtico son:
Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujo gramas
Listas de chequeo
Mapas conceptuales








TIPOS DE AUDITORA DE SISTEMAS
Dentro de la auditora informtica destacan los siguientes tipos (entre
otros):
Auditora de la gestin: la contratacin de bienes y servicios,
documentacin de los programas, etc.
Auditora legal del Reglamento de Proteccin de Datos:
Cumplimiento legal de las medidas de seguridad exigidas por el
Reglamento de desarrollo de la Ley Orgnica de Proteccin de
Datos.
Auditora de los datos: Clasificacin de los datos, estudio de las
aplicaciones y anlisis de los flujo gramas.
Auditora de las bases de datos: Controles de acceso, de
actualizacin, de integridad y calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin
verificando disponibilidad, integridad, confidencialidad,
autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la
organizacin, evitando ubicaciones de riesgo, y en algunos casos no
revelando la situacin fsica de esta. Tambin est referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de
autenticacin de los sistemas de informacin.
Auditora de las comunicaciones. Se refiere a la auditoria de los
procesos de autenticacin en los sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores,
accidentes y fraudes.


Importancia de la Auditoria Informtica
La auditora permite a travs de una revisin independiente, la evaluacin
de actividades, funciones especficas, resultados u operaciones de una
organizacin, con el fin de evaluar su correcta realizacin. Este autor hace
nfasis en la revisin independiente, debido a que el auditor debe
mantener independencia mental, profesional y laboral para evitar
cualquier tipo de influencia en los resultados de la misma.
La tcnica de la auditora, siendo por tanto aceptables equipos
multidisciplinarios formados por titulados en Ingeniera Informtica e
Ingeniera Tcnica en Informtica y licenciados en derecho especializados
en el mundo de la auditora.

QU ES AUDITORIA DE SISTEMAS INFORMTICOS?
La palabra Auditora viene del latn auditorius y de esta proviene auditor,
que tiene la virtud de or y revisar cuentas, pero debe estar encaminado a
un objetivo especfico que es el de evaluar la eficiencia y eficacia con que
se est operando para que, por medio del sealamiento de cursos
alternativos de accin, se tomen decisiones que permitan corregir los
errores, en caso de que existan, o bien mejorar la forma de actuacin.
Algunos autores proporcionan otros conceptos pero todos coinciden en
hacer nfasis en la revisin, evaluacin y elaboracin de un informe para
el ejecutivo encaminado a un objetivo especfico en el ambiente
computacional y los sistemas.
A continuacin se detallan algunos conceptos recogidos de algunos
expertos en la materia:




Auditora de Sistemas es:

La verificacin de controles en el procesamiento de la informacin,
desarrollo de sistemas e instalacin con el objetivo de evaluar su
efectividad y presentar recomendaciones a la Gerencia.

La actividad dirigida a verificar y juzgar informacin.

El examen y evaluacin de los procesos del rea de Procesamiento
automtico de Datos (PAD) y de la utilizacin de los recursos que en
ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economa de los sistemas computarizados en una empresa
y presentar conclusiones y recomendaciones encaminadas a corregir las
deficiencias existentes y mejorarlas.

El proceso de recoleccin y evaluacin de evidencia para determinar si
un sistema automatizado:


Destruccin
Salvaguarda activos Uso no autorizado
Robo


Informacin Precisa,
Completa de los datos
Mantiene Integridad Oportuna, confiable





Contribucin de la funcin informtica
Alcanza metas
Organizacionales
Actualizacin de la tecnologa de vanguardia



Consume recursos Utiliza los recursos adecuados en el
eficientemente procesamiento de la informacin















Objetivos Generales de una Auditora de Sistemas
Buscar una mejor relacin costo-beneficio de los sistemas
automticos o computarizados diseados e implantados por el PAD
Incrementar la satisfaccin de los usuarios de los sistemas
computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de
la informacin mediante la recomendacin de seguridades y
controles.
Conocer la situacin actual del rea informtica y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones
Apoyo de funcin informtica a las metas y objetivos de la
organizacin
Seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente informtico
Minimizar existencias de riesgos en el uso de Tecnologa de
informacin
Decisiones de inversin y gastos innecesarios
Capacitacin y educacin sobre controles en los Sistemas de
Informacin







JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORA DE SISTEMAS
Aumento considerable e injustificado del presupuesto del PAD
(Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin informtica de
la empresa
Falta total o parcial de seguridades lgicas y fsicas que garanticen la
integridad del personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de polticas,
objetivos, normas, metodologa, asignacin de tareas y
adecuada administracin del Recurso Humano
Descontento general de los usuarios por incumplimiento de plazos y
mala calidad de los resultados
Falta de documentacin o documentacin incompleta de sistemas
que revela la dificultad de efectuar el mantenimiento de los
sistemas en produccin
CONTROLES
Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones
y actitudes de las empresas y para ello permite verificar si todo se realiza
conforme a los programas adoptados, rdenes impartidas y principios
admitidos.





CLASIFICACIN GENERAL DE LOS CONTROLES
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas
del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los
detecta luego de ocurridos. Son los ms importantes para el auditor. En
cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditora
Procedimientos de validacin
Controles Correctivos
Ayudan a la investigacin y correccin de las causas del riesgo. La
correccin adecuada puede resultar difcil e ineficiente, siendo necesaria
la implantacin de controles detectivos sobre los controles correctivos,
debido a que la correccin de errores es en si una actividad altamente
propensa a errores.
PRINCIPALES CONTROLES FSICOS Y LGICOS
Controles particulares tanto en la parte fsica como en la lgica se detallan
a continuacin
AUTENTICIDAD
Permiten verificar la identidad
1. Passwords
1. Firmas digitales

EXACTITUD
Aseguran la coherencia de los datos
1. Validacin de campos
1. Validacin de excesos
TOTALIDAD
Evitan la omisin de registros as como garantizan la conclusin de un
proceso de envo
1. Conteo de registros
1. Cifras de control
REDUNDANCIA
Evitan la duplicidad de datos
1. Cancelacin de lotes
1. Verificacin de secuencias
PRIVACIDAD
Aseguran la proteccin de los datos
1. Compactacin
1. Encriptacin
EXISTENCIA
Aseguran la disponibilidad de los datos
1. Bitcora de estados
1. Mantenimiento de activos


PROTECCIN DE ACTIVOS
Destruccin o corrupcin de informacin o del hardware
1. Extintores
1. Passwords
EFECTIVIDAD
Aseguran el logro de los objetivos
1. Encuestas de satisfaccin
1. Medicin de niveles de servicio
EFICIENCIA
Aseguran el uso ptimo de los recursos
1. Programas monitores
1. Anlisis costo-beneficio
CONTROLES AUTOMTICOS O LGICOS
PERIODICIDAD DE CAMBIO DE CLAVES DE ACCESO
Los cambios de las claves de acceso a los programas se deben realizar
peridicamente. Normalmente los usuarios se acostumbran a conservar la
misma clave que le asignaron inicialmente.
El no cambiar las claves peridicamente aumenta la posibilidad de que
personas no autorizadas conozcan y utilicen claves de usuarios del sistema
de computacin.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
Combinacin de alfanumricos en claves de acceso
No es conveniente que la clave este compuesta por cdigos de
empleados, ya que una persona no autorizada a travs de pruebas simples
o de deducciones puede dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que
existen:
Individuales
Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave
permite al momento de efectuar las transacciones registrar a los
responsables de cualquier cambio.
Confidenciales
De forma confidencial los usuarios debern ser instruidos formalmente
respecto al uso de las claves.
No significativas
Las claves no deben corresponder a nmeros secuenciales ni a nombres o
fechas.
Verificacin de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su
exactitud o precisin; tal es el caso de la validacin del tipo de datos que
contienen los campos o verificar si se encuentran dentro de un rango.
Conteo de registros
Consiste en crear campos de memoria para ir acumulando
cada registro que se ingresa y verificar con los totales ya registrados.
Totales de Control
Se realiza mediante la creacin de totales de lnea, columnas, cantidad
de formularios, cifras de control, etc., y automticamente verificar con un
campo en el cual se van acumulando los registros, separando solo aquellos
formularios o registros con diferencias.
Verificacin de lmites
Consiste en la verificacin automtica de tablas, cdigos, lmites mnimos
y mximos o bajo determinadas condiciones dadas previamente.

Verificacin de secuencias
En ciertos procesos los registros deben observar cierta secuencia
numrica o alfabtica, ascendente o descendente, esta verificacin debe
hacerse mediante rutinas independientes del programa en si.
Dgito autoverificador
Consiste en incluir un dgito adicional a una codificacin, el mismo que es
resultado de la aplicacin de un algoritmo o formula, conocido como
MODULOS, que detecta la correccin o no del cdigo. Tal es el caso por
ejemplo del decimo dgito de la cdula de identidad, calculado con el
modulo 10 o el ultimo dgito del RUC calculado con el mdulo 11.
Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al microcomputador,
de tal modo que solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregacin de
funciones y la confidencialidad de la informacin mediante controles para
que los usuarios puedan accesar solo a los programas y datos para los que
estn autorizados.
Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre
otros.









CONTROLES ADMINISTRATIVOS EN UN AMBIENTE DE PROCESAMIENTO
DE DATOS
La mxima autoridad del rea de Informtica de una empresa o institucin
debe implantar los siguientes controles que se agruparan de la siguiente
forma:
1.- Controles de Preinstalacin
2.- Controles de Organizacin y Planificacin
3.- Controles de Sistemas en Desarrollo y Produccin
4.- Controles de Procesamiento
5.- Controles de Operacin
6.- Controles de uso de Microcomputadores
Controles de Preinstalacin
Hacen referencia a procesos y actividades previas a la adquisicin e
instalacin de un equipo de computacin y obviamente a
la automatizacin de los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de
computacin
Asegurar la elaboracin de un plan de actividades previo a la
instalacin



GRUPO N.1

ELIZABETH NAZARENO
YOMAIRA CAMPOVERDE
NADIA CABANILLA
ALEXI LAVAYEN
RONALD

TEMA
AUDITORIA INFORMTICA




UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE FILOSOFA
4/C3 INFORMTICA