AUDITORIA Y CONTROL

INFORMATICOS
Ing. Mendoza Corpus Carlos

CONCEPTO DE AUDITORIA DE
SISTEMAS (1)
Auditorius : Auditora
Auditor : Tiene la virtud de oir y revisar cuentas.
Evaluar la eficiencia y eficacia con que se

est operando
Sealar alternativas de accin para corregir
errores mejorar la forma de actuacin.
Revisin, evaluacin y elaboracin de un
informe para el ejecutivo encaminado a un
objetivo especfico en el ambiente
computacional y los sistemas.

CONCEPTO DE AUDITORIA DE
SISTEMAS (2)
Verificar de qu manera se estn aplicando los

controles en el rea de actuacin de la

Informtica.
Examen y evaluacin de los procesos y del uso
de los recursos que en ellos intervienen,
determinado el grado de eficiencia,
efectividad y economa de los sistemas de la
empresa, presentando conclusiones y
recomendaciones encaminadas a corregir las
deficiencias existentes y mejorar los procesos.

CONCEPTO DE AUDITORIA DE
SISTEMAS (3)
Proceso de recoleccin y evaluacin de evidencia
para:

Determinar daos, Salvaguardar activos.

Evitar destruccin de datos, uso no autorizado,
robos.
Mantener Integridad de Informacin, Presentar
datos completos, oportunos, confiables.
Alcanzar metas organizacionales, Contribucin de la
funcin informtica.

CONCEPTO DE AUDITORIA DE
SISTEMAS (4)
Es el examen o revisin de carcter objetivo
(independiente), crtico(evidencia), sistemtico
(normas), selectivo (muestras) de las polticas,
normas, prcticas, funciones, procesos,
procedimientos e informes relacionados con los
sistemas de informacin computarizados, con el
fin de emitir una opinin profesional (imparcial)
con respecto a:

Eficiencia en el uso de los recursos informticos

Validez de la informacin
Efectividad de los controles establecidos

TIPOS DE AUDITORIA
Financiera.

Veracidad de los estados

financieros, prcticas y principios contables.
Tributaria. Observa el cumplimiento del
cdigo tributario.
Gestin. Analiza logros del proceso
administrativo, funciones, mtodos, etc.
Sistemas. Relativo a la funcin informtica.
Ambiental, Gubernamental, etc.

TIPOS DE AUDITORIA DE SISTEMAS

Desarrollo de sistemas.

Operacin.
Bases de datos.
Ofimtica.
Comunicaciones y Redes.
Seguridad fsica y lgica.

Auditoria Forense Informtica.

AUDITORIA DE LA OPERACION
INFORMATICA
La Operacin Informtica se ocupa de producir
resultados informticos de todo tipo: reportes,
bases de datos, procesamiento de documento,
etc.
Control de entrada de datos
Planificacin y Recepcin de Aplicaciones
Centro de Control y Seguimiento de Trabajos
Operadores de Centros de Cmputos

Centro de Control de Red y Centro de

Diagnosis

AUDITORIA DE DESARROLLO DE
PROYECTOS
Ciclo de vida de los sistemas

Se utiliza metodologa de desarrollo de

Proyectos informticos.
Exigente control interno de todas las fases
antes nombradas.
Seguridad de los programas, Hacen la funcin
prevista

AUDITORIA INFORMATICA DE
SISTEMAS
Analiza la "Tcnica de Sistemas" en todas sus

facetas.
Sistemas Operativos.
Sistemas multimediales.
Software de Teleproceso.
Administracin de Base de Datos.
Investigacin y Desarrollo.
Algunas reas por su naturaleza
independizan.

se

AUDITORIA INFORMATICA DE
COMUNICACIONESY REDES
Redes LAN, MAN, WAN

Las Comunicaciones son el Soporte Fsico-

Lgico de la Informtica en Tiempo Real.

Topologa de la Red de Comunicaciones,
Nmero de lneas, cmo son y dnde estn
instaladas.
Tipo de terminales, carga de la red, etc.

AUDITORIA DE LA SEGURIDAD
INFORMATICA
Seguridad fsica y seguridad lgica.
La Seguridad fsica se refiere a la proteccin

del Hardware y de los soportes de datos, as

como los edificios e instalaciones que los
albergan.
La seguridad lgica se refiere a la seguridad
de uso del software, a la proteccin de los
datos, procesos y programas, as como la del
ordenado y autorizado acceso de los usuarios
a la informacin.
Elaboracin de "Matrices de Riesgo.

OBJETIVOS DE LA AI (1)
1) Optimizar el costo-beneficio de los
sistemas.
2) Satisfaccin de los usuarios de los sistemas.
3) Asegurar integridad, confidencialidad y
confiabilidad de la informacin mediante la
recomendacin de seguridades y controles.
4) Conocer la situacin actual del rea
informtica y las actividades y esfuerzos
necesarios para lograr los objetivos
propuestos.

OBJETIVOS DE LA AI (2)
5) Seguridad de personal, datos, hardware,
software e instalaciones
6) Apoyo de funcin informtica a las metas y
objetivos de la organizacin
7) Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informtico
8) Minimizar los riesgos en el uso de Tecnologa
de informacin
9) Decisiones
de
inversin
y
gastos
innecesarios
10) Capacitacin y educacin sobre controles en
los Sistemas de Informacin

Porqu realizar una AI?

1) Aumento en el presupuesto del Dpto de
informtica.
2) Desconocimiento
de
la
situacin
informtica.
3) Niveles de inseguridades lgicas y fsicas.
4) Sospecha de fraudes informticos.
5) Falta de una planificacin informtica

Porqu realizar una AI?

6) Organizacin que no funciona correctamente,
falta de polticas, objetivos, normas,
metodologa, asignacin de tareas y adecuada
administracin del Recurso Humano
7) Descontento general de los usuarios por
incumplimiento de plazos y mala calidad de los
resultados
8) Falta de documentacin o documentacin
incompleta de sistemas que revela la dificultad
de efectuar el mantenimiento de los sistemas
en produccin

CONTROLES
Conjunto de disposiciones metdicas,
diseadas con el fin de vigilar las funciones y
actitudes de las empresas para verificar si todo
se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos.

Clasificacin de los Controles

Preventivos. Reducen la frecuencia con que

ocurren las causas del riesgo, permitiendo

cierto margen de violaciones. ("No fumar,
Sistemas de claves de acceso).
Detectivos. Detectan los hechos despus de
ocurridos. Evalan la eficiencia de los controles
preventivos. (Archivos y procesos que sirven
como pistas de auditoria, Procedimientos de
validacin)

Clasificacin de los Controles

Correctivos. Ayudan a la investigacin y

correccin de las causas del riesgo. Porqu

ocurri? Porqu no se detect? Qu medidas
debo tomar?

Controles fsicos (1)

Autenticidad. Permiten verificar la identidad:

Passwords, Firmas digitales

Exactitud. Aseguran la coherencia de los
datos Validacin de campos, Validacin de
excesos
Totalidad. Evitan la omisin de registros as
como garantizan la conclusin de un proceso
de envo: Conteo de registros, Cifras de
control
Redundancia. Evitan la duplicidad de datos:
Cancelacin de lotes, Verificacin de
secuencias

Controles fsicos (2)

Privacidad: Aseguran la proteccin de los datos:
Compactacin, Encriptacin
Existencia. Aseguran la disponibilidad de los

datos: Bitcora de estados, Mantenimiento de

activos, Proteccin de Activos, Destruccin o
corrupcin de informacin o del hardware.
Efectividad. Aseguran el logro de los objetivos:
Encuestas de satisfaccin, Medicin de niveles
de servicio,
Eficiencia. Aseguran el uso ptimo de los
recursos: Programas monitores, Anlisis costobeneficio

Controles automticos o lgicos

Periodicidad de cambio de claves de acceso
Combinacin de alfanumricos en claves de

acceso
Verificacin de datos de entrada.
Conteo de registros.

Controles administrativos en
Informtica
Controles de Preinstalacin

Controles de Organizacin y Planificacin

Controles de Sistemas en Desarrollo y

Produccin
Controles de Procesamiento
Controles de Operacin
Controles de uso de Microcomputadores

Controles de preinstalacin(1)
Hacen referencia a procesos y actividades
previas a la adquisicin e instalacin de un
equipo de computacin y obviamente a la
automatizacin de los sistemas existentes.

Controles de preinstalacin(1)
Objetivos:
Garantizar que el hardware y software se
adquieran siempre y cuando tengan la
seguridad
de
que
los
sistemas
computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de
equipos y sistemas de computacin.
Asegurar la elaboracin de un plan de
actividades previo a la instalacin.

Acciones a seguir
Elaboracin de un informe tcnico que se

justifique la adquisicin del equipo, software

y servicios de computacin, incluyendo un
estudio costo-beneficio.
Formacin de un comit que coordine y se
responsabilice de todo el proceso de
adquisicin e instalacin
Elaborar un plan de instalacin de equipo y
software (fechas, actividades, responsables)
el mismo que debe contar con la aprobacin
de los proveedores del equipo.

Acciones a seguir
Elaborar un instructivo con procedimientos a

seguir para la seleccin y adquisicin de

equipos,
programas
y
servicios
computacionales. Este proceso debe
enmarcarse en normas y disposiciones
legales.
Efectuar las acciones necesarias para una
mayor participacin de proveedores.
Asegurar respaldo de mantenimiento y
asistencia tcnica.

Controles de organizacin y
Planificacin(1)
Se refiere a la definicin clara de funciones,

lnea de autoridad y responsabilidad de las

diferentes unidades del rea informtica, en
labores tales como: Diseo del sistema,
Programacin, Operacin del sistema,
Control de calidad.
Se debe evitar que una misma persona tenga
el control de toda una operacin. Es
importante la utilizacin ptima de recursos
mediante la preparacin de planes a ser
evaluados continuamente

Acciones a seguir
La unidad informtica debe estar al mas alto

nivel de la pirmide administrativa.

Deben existir mecanismos necesarios a fin de
asegurar que los programadores y analistas
no tengan acceso a la operacin del
computador y los operadores a su vez no
conozcan la documentacin de programas y
sistemas.
Debe existir una unidad de control de calidad.

Acciones a seguir
El manejo y custodia de dispositivos y

archivos
magnticos
deben
estar
expresamente definidos por escrito.
Debe formularse el "Plan Maestro de
Informtica (PESI)
Debe existir una participacin efectiva de
directivos, usuarios en la planificacin y
evaluacin del cumplimiento del plan.
Las instrucciones deben impartirse por
escrito.

Controles de Sistema en Desarrollo y

Produccin(1)
Se debe justificar que los sistemas han sido la

mejor opcin para la empresa, bajo una

relacin costo-beneficio que proporcionen
oportuna y efectiva informacin, que los
sistemas se han desarrollado bajo un proceso
planificado y se encuentren debidamente
documentados.

Acciones a seguir
Equipo de trabajo: usuarios, personal de

auditora interna/control, especialistas.

El desarrollo, diseo y mantenimiento de
sistemas obedece a un plan estratgico.
Documentacin de fases con actas de
conclusin/recepcin.
Prueba de programas.
Documentacin de sistemas: informes,
diagramas, objetivos de los programas,
fuentes, formatos de entrada/salida.
Procesos de contingencia.

Controles de Procesamiento(1)
Los controles de procesamiento se refieren al
ciclo que sigue la informacin desde la
entrada hasta la salida de la informacin, lo
que conlleva al establecimiento de una serie
de seguridades para:
Asegurar que todos los datos sean procesados
Garantizar la exactitud de los datos

procesados
Garantizar que se grabe un archivo para uso de
la gerencia y con fines de auditoria
Asegurar que los resultados sean entregados a
los usuarios en forma oportuna y en las

mejores condiciones.

Acciones a seguir
Preparacin y validacin de datos de entrada

previo procesamiento debe ser realizada en

forma
automtica:
clave,
dgito
autoverificador, totales de lotes, etc.
Procesos de correccin de errores.
Estandarizacin de formularios, fuente para
agilitar la captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una
adecuada interrelacin entre usuario y sistema.
Planificar el mantenimiento del hardware y
software, tomando todas las seguridades para
garantizar la integridad de la informacin y el
buen servicio a usuarios.

Controles de Operacin
Abarcan el ambiente de la operacin del equipo y

dispositivos de almacenamiento, la operacin de

terminales y equipos de comunicacin.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que
puedan ocurrir en el Centro de Cmputo
durante un proceso
Evitar o detectar el manejo de datos con fines
fraudulentos por parte de funcionarios del PAD
Garantizar la integridad de los recursos
informticos.
Asegurar la utilizacin adecuada de equipos
acorde a planes y objetivos, Recursos
Informticos

Acciones a seguir(1)
El acceso al centro de computo solo personal
autorizado.
Ingreso a equipos con claves
Polticas de seguridad, privacidad y proteccin de
los recursos informticos frente a: incendio,
vandalismo, robo y uso indebido, intentos de
violacin y como responder ante esos eventos.
Llevar una bitcora de todos los procesos
realizados, dejando constancia de suspensiones o
cancelaciones. Procesos de recuperacin o
restauracin de informacin.
Todas las actividades del Centro de Computo deben
normarse mediante manuales, instructivos,
normas, reglamentos, etc.

Acciones a seguir(2)
El proveedor de hardware y software deber
proporcionar lo siguiente:

Manual de operacin de equipos

Manual de lenguaje de programacin
Manual de utilitarios disponibles
Manual de Sistemas operativos

Las instalaciones deben contar con sistema de

alarma por presencia de fuego, humo, asi como
extintores de incendio, conexiones elctricas
seguras, entre otras.

Acciones a seguir(2)
Instalar equipos que protejan la informacin y
los dispositivos en caso de variacin de voltaje
como: reguladores de voltaje, supresores pico,
UPS, generadores de energa.
Contratar plizas de seguros para proteger la
informacin, equipos, personal y todo riesgo
que se produzca por casos fortuitos o mala
operacin.

Controles en el uso del

Microcomputador
Es la tarea mas difcil pues son equipos

vulnerables, de fcil acceso, de fcil

explotacin pero los controles que se
implanten ayudaran a garantizar la integridad
y confidencialidad de la informacin.

Acciones a seguir
Adquisicin

de equipos de proteccin:
supresores de pico, reguladores de voltaje y
UPS
Vencida la garanta de mantenimiento del
proveedor se debe contratar mantenimiento
preventivo y correctivo.
Establecer procedimientos para obtencin de
backups de paquetes y de archivos de datos.
Revisin peridica y sorpresiva del contenido
del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de la
empresa.

Acciones a seguir
Mantener programas y procedimientos de

deteccin e inmunizacin de virus en copias

no autorizadas o datos procesados en otros
equipos.
Propender a la estandarizacin del Sistema
Operativo,
software
utilizado
como
procesadores de palabras, hojas electrnicas,
manejadores de base de datos y mantener
actualizadas las versiones y la capacitacin
sobre modificaciones incluidas.

Qu es ITIL?
ITIL (Information Technology Infrastructure
Library) es el conjunto de buenas prcticas ms
aceptado y utilizado en el mundo, extrado de
organismos del sector pblico y privado que
estn a la vanguardia tecnolgica a nivel
internacional. ITIL es aplicable a cualquier tipo
de organizacin en todo el mundo debido a que
los negocios han experimentado una creciente
dependencia en los servicios informticos de
calidad.

Este conjunto de guas fue desarrollado por

la oficina de comercio del gobierno britnico
(Office of Government Comerce - OGC)
durante los aos ochenta. ITIL propone una
terminologa estndar independiente de la
industria y la tecnologa, que define "qu
hacer" y "qu no hacer" al interior de una
organizacin que aplica la administracin de
servicios de las TI.

ITIL se centra en el usuario, no en la

tecnologa; por ello, introduce el concepto de
Gestin del Servicio (Service Management),
cuyo objetivo es garantizar que las TI estn en
lnea con las necesidades del negocio.
Cibertec, consciente de estos requerimientos
por parte de las empresas, les presenta los
siguientes cursos oficiales:

ITIL versin 2

ITIL Foundation Certificate

ITIL v2 Foundations for Service Management

ITIL Practitioner Certificate

ITIL v2 Practitioner Support & Restorer
ITIL v2 Practitioner Release & Control

ITIL Manager en IT Service Management

IT Service Management: Service Support
IT Service Management: Service Delivery

ITIL versin 3

ITIL Foundation Certificate

ITIL v3 Foundations for Service Management
ITIL Foundation Bridge v2 a v3

ITIL Intermediate Level Certificate

Service Lifecycle Modules
Service Capability Modules
Managing Across the Lifecycle

ITIL Expert in IT Service Management Certificate (Pronto)