RESUMEN DE LA INTRODUCCIN DE AUDITORIA INFORMTICA

La Informacin
En sentido general, la informacin es un conjunto organizado de datos procesados,
que constituyen un mensaje sobre un determinado ente o fenmeno.
La generacin y/o obtencin de informacin cumple estos objetivos:
Aumentar el conocimiento del usuario.
Proporcionar a quien toma decisiones la materia prima fundamental para el
desarrollo de soluciones y la eleccin.
Proporcionar una serie de reglas de evaluacin y reglas de decisin para fines
de control.
Existen diversos enfoques para el estudio de la informacin:
En biologa, la informacin se considera como estmulo sensorial que afecta al
comportamiento de los individuos
En computacin y teora de la informacin, como una medida de la
complejidad de un conjunto de datos.
En comunicacin social y periodismo, como un conjunto de mensajes
intercambiados por individuos de una sociedad con fines organizativos
concretos.
Idalberto Chiavenato afirmaba que la informacin consiste en un conjunto de datos
que poseen un significado, de modo tal que reducen la incertidumbre y aumentan el
conocimiento de quien se acerca a contemplarlo
Es por ello que la Informtica ahora contempla adems como Informacin a la que es
transmitida por la Red de Redes, teniendo por caso el anlisis y gestin del envo de la
Informacin en Internet.
Uso de la Informacin
Se considera que la generacin y/o obtencin de informacin persigue estos objetivos:
Aumentar/mejorar el conocimiento del usuario.
Proporcionar a quien toma decisiones de la materia prima fundamental para el
desarrollo de soluciones y la eleccin.
Proporcionar una serie de reglas de evaluacin y reglas de decisin para fines
de control.
El dato, por as llamarlo, es en s un "prefijo" de la informacin, es decir, es un
elemento previo necesario para poder obtener la informacin.
Importancia de la Informacin
Uno de los principales activos de cualquier empresa, es la informacin contenida en
sus sistemas informticos. Dicha informacin es susceptible de ser perdida,
deteriorada, revelada o incluso de robada.
1. Perdida de la Informacin
Por hechos fortuitos
Incendios
Inundaciones
Terremotos

Estas prdidas de informacin pueden paralizar la actividad empresarial, temporal o

definitivamente, dependiendo del calibre del desastre.
2. Por hechos Premeditados
La prdida de informacin tambin puede provenir de la accin de empleados
descontentos o antiguos trabajadores despedidos por sus empresas, que con
nimo de lucro o con el nico aliciente de fastidiar a sus empresas deciden robar o
destruir la valiosa informacin de la misma.
Implementar BCP y DRP para el caso de presentarse un evento que afecte las
instalaciones de los activos informticos.
Valor de la Informacin
La informacin tiene un gran impacto en la toma de decisiones. Aunque no tiene valor
absoluto, su valor est relacionado con quin la usa y en la situacin de uso.
El valor normativo de la informacin: Se refiere al conocimiento preliminar
que tenemos acerca de la ocurrencia de los eventos los cuales son relevantes
para nuestras decisiones.
El valor realstico de la informacin: Es el de reconocer que la informacin
apoya las decisiones
El valor subjetivo de la informacin: Refleja la impresin comprendida de la
gente para la informacin.
Beneficios tangibles: Reduccin en los niveles de inventario, en la lnea de
crdito, en horas-hombre
Beneficios intangibles: Mejora de los procesos de toma de decisiones;
ampla los horizontes de planeacin, facilita la integracin de datos
Atributos de la Informacin
En general la informacin tiene una estructura interna y puede ser calificada segn
varias caractersticas:
Significado (semntica): Qu quiere decir? Del significado extrado de una
informacin. Esto se refiere a qu reglas debe seguir el individuo o el sistema experto
para modificar sus expectativas futuras sobre cada posible alternativa.
Importancia (relativa al receptor): Trata sobre alguna cuestin importante? La
importancia de la informacin para un receptor, se referir a en qu grado cambia la
actitud o la conducta de los individuos
Vigencia (en la dimensin espacio-tiempo): Es actual o desfasada? En la prctica la
vigencia de una informacin es difcil de evaluar, ya que en general acceder a una
informacin no permite conocer de inmediato si dicha informacin tiene o no vigencia
Validez (relativa al emisor): El emisor es fiable o puede proporcionar informacin no
vlida (falsa)? Esto tiene que ver si los indicios deben ser considerados en la
revaluacin de expectativas o deben ser ignorados por no ser indicios fiables.
Valor (activo intangible voltil): Cmo de til resulta para el destinatario?
Exactitud: Representa la situacin o el estado como realmente son (2+2=4)
Forma: Cualitativa, cuantitativa, numrica, grafica, impresa, desplegada, etc.
Frecuencia: Diaria, semanal, mensual, anual, etc.

Origen: La fuente que la genera, interna, externa

Relevante: Si es til o necesaria, no til, por si acaso
Integridad: Completa individualmente, completa en su conjunto
Oportunidad: Disponible cuando se necesita, ni antes ni despus, actualizada
Confiable: Resguardada, acceso al personal autorizado, redes confiables, sistemas
de acceso de calidad, etc.
Sistemas de Informacin
La tecnologa en un sistema de informacin se refiere a aquellos dispositivos como
hardware, bases de datos, software, redes y otros que se emplean para procesar la
informacin.
Para entender mejor este concepto se requiere el anlisis de cada uno de sus
componentes:
Datos: son descripciones bsicas de cosas, acontecimientos, actividades y
transacciones que se registran, clasifican y almacenan. Pueden ser datos numricos,
alfanumricos, figuras, sonidos e imgenes.
Informacin: representa datos organizados que han adquirido valor y significado para
el receptor.
Conocimiento: se constituye de datos o informacin que se ha organizado y
procesado de tal forma que sea entendible.
Un sistema de informacin es un conjunto de elementos orientados al tratamiento y
administracin de datos e informacin, organizados y listos para su uso posterior,
generados para cubrir una necesidad o un objetivo.
Todos estos elementos interactan para procesar los datos (incluidos los procesos
manuales y automticos) y dan lugar a informacin ms elaborada, que se distribuye
de la manera ms adecuada posible en una determinada organizacin.

Los sistemas deben proporcionar informacin clave para la toma de decisiones; esta
informacin debe ser sencilla, clara, expedita, veraz, precisa, consistente y fcil de
analizar e interpretar.
Gestin de Sistemas de Informacin

Los sucesos que afectan la integridad de la informacin pueden afectar la capacidad

de la empresa para continuar sus actividades
Control de Sistemas de Informacin
El sistema de informacin debe ser controlado con el objetivo de garantizar su correcto
funcionamiento y asegurar el control del proceso de los diversos tipos de
transacciones.
Un sistema de informacin abarca informacin cuantitativa, tal como los informes de
desempeo que utilizan indicadores, y cualitativa, tal como opiniones y comentarios.
El sistema deber contar con mecanismos de seguridad que alcancen a las entradas,
procesos, almacenamiento y salidas.
Auditoria de Sistemas de Informacin
La auditora de los sistemas de informacin se define como cualquier auditoria que
abarca la revisin y evaluacin de todos los aspectos de los sistemas automticos de
procesamiento de la informacin.
Para hacer una adecuada planeacin de la auditoria en informtica, hay que seguir
una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de
rea dentro del organismo a auditar.
Evolucin de los Sistemas de Informacin
La informtica en las organizaciones evoluciona a travs de varias etapas de
crecimiento.
Etapa de inicio.
Etapa de expansin.
Etapa de control o formalizacin.
Etapa de integracin.
Etapa de administracin.
Etapa de madurez.
1. Etapa de Inicio
Comienza con la adquisicin de la primera computadora y normalmente se
justifica por el ahorro de mano de obra y el exceso de papeles. Las
aplicaciones tpicas que se implantan son los sistemas tradicionales tales como
nominas o contabilidad. En esta etapa es importante estar consciente de la
resistencia al cambio del personal
2. Etapa de Contagio o Expansin
Se inicia con la implantacin exitosa del primer sistema de informacin en la
organizacin. Las aplicaciones que con frecuencia se implantan en esta etapa
son el resto de los sistemas transaccionales no desarrollados en la etapa de
inicio, tales como facturacin, inventarios, control de pedidos de clientes y
cheques.

3. Etapa de Control o Formalizacin

Las aplicacin de sistemas de informacin en esta etapa est orientado a
facilitar el control de las operaciones del negocio para hacerlas ms eficaces,
tales como sistemas para control de flujo de fondos, control de rdenes de
compra a proveedores, control de inventarios, etc.

4. Etapa de Integracin
La integracin de los datos y de los sistemas surge como un resultado directo
de la centralizacin del departamento de sistemas bajo una sola estructura
administrativa.
5. Etapa de Administracin del Sistema
El departamento de Sistemas de Informacin reconoce que la informacin es
un recurso muy valioso que debe estar accesible para todos los usuarios. Para
poder cumplir con lo anterior resulta necesario administrar los datos en forma
apropiada.
6. Etapa de Madurez
Al llegar a esta etapa, la Informtica dentro de la organizacin se encuentra
definida como una funcin bsica y se ubica en los primeros niveles del
organigrama (direccin).
RESUMEN DEL CAPTULO 1 DE AUDITORIA INFORMTICA
Qu es Auditoria?
Es la revisin independiente que realiza un auditor profesional, aplicando tcnicas,
mtodos y procedimientos especializados, a fin de evaluar el cumplimiento de
funciones, actividades, tareas y procedimientos de una organizacin, as como
dictaminar sobre el resultado de dicha evaluacin
Qu es la Auditoria en Informtica?
Revisin analtica a la suficiencia de controles establecidos en el mbito informtico,
con la finalidad de disminuir los riesgos y garantizar la seguridad, confiabilidad y
exactitud de la informacin.
La Auditoria Informtica
Conceptualmente la auditora, toda y cualquier auditora, es la actividad consistente en
la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta
adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le
han sido prescritas.
Podemos descomponer este concepto en los elementos fundamentales que a
continuacin se especifican:

1. Contenido: una opinin

2. Condicin: profesional

3. Justificacin: sustentada en determinados procedimientos

4. Objeto: una determinada informacin obtenida en un cierto soporte

5. Finalidad: determinar si presenta adecuadamente la realidad o sta

responde a las expectativas que le son atribuidas, es decir, su fiabilidad.

Clases de Auditoria

La Auditoria en Informtica
La auditora tiene como apoyo a los controles para mantener la seguridad de los
sistemas de informacin
Factores que propician la auditoria Informtica
Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de equipos computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades de procesamiento de datos,
aumentando as la posibilidad de toma de decisiones incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad
transacciones de la organizacin.

confidencialidad

de

las

Objetivos Generales de la Auditoria en Informtica

Asegurar la integridad, confidencialidad y confiabilidad de la informacin

Minimizar existencias de riesgos en el uso de Tecnologa de informacin
Conocer la situacin actual del rea informtica para lograr los objetivos
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico

Riesgo Informtico
La Organizacin Internacional de Normalizacin (ISO) define riesgo tecnolgico como:
La probabilidad de que una amenaza se materialice de acuerdo al nivel de
vulnerabilidad existente de un activo, generando un impacto especfico, el cual puede
estar representado por prdidas y daos.
Amenaza
Acciones que pueden ocasionar consecuencias negativas en la plataforma informtica
disponible: fallas, ingresos no autorizados a las reas de computo, virus, uso
inadecuado de activos informticos, desastres ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los sistemas, fallas elctricas.

Pueden ser de tipo lgico o fsico

Vulnerabilidad
Se manifiestan como debilidades o carencias: falta de conocimiento del usuario,
tecnologa inadecuada, antivirus, entre otros.
Impacto
Consecuencias de la ocurrencia de las distintas amenazas: financieras o no
financieras.
Perdida de dinero, deterioro de la imagen de la empresa, reduccin de eficiencia.
Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el ciclo de administracin de riesgo
finaliza con la determinacin de las acciones a seguir respecto:

Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos

controles
Eliminar el riesgo
Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a
un tercero
Aceptar el riesgo, determinando el nivel de exposicin

Objetivos Especficos de la Auditoria en Informtica

Buscar una mejor relacin costo-beneficio de los Sistemas automticos

Incrementar la satisfaccin de los usuarios de los SISTEMAS computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de
la informacin mediante la recomendacin de seguridades y controles
Conocer la situacin actual del rea informtica y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones

Importancia
Un sistema de informacin se constituye por un conjunto de procedimientos manuales
y computarizados.
El objetivo de la auditora es asegurar que la informacin que producen los sistemas
sea confiable, til y oportuna entre otras.
Para lograrlo se ayuda de los Controles
reas de la Aplicacin de la Auditoria Informtica
Algunos campos de aplicacin de la informtica son las siguientes:

Investigacin cientfica y humanstica: Se usan la las computadoras para la

resolucin de clculos matemticos, recuentos numricos, etc. Algunas de
estas operaciones
Resolucin de ecuaciones.
Anlisis de datos de medidas experimentales, encuestas etc.
Anlisis automticos de textos.

Aplicaciones tcnicas: Usa la computadora para facilitar diseos de

ingeniera y de productos comerciales, trazado de planos, etc. Algunas de
estas operaciones:
Anlisis y diseo de circuitos de computadora.
Clculo de estructuras en obras de ingeniera.
Minera.
Cartografa.
Documentacin e informacin: Estas se usan para el almacenamiento de
grandes cantidades de datos y la recuperacin controlada de los mismos en
bases de datos.
Gestin administrativa: Automatiza las funciones de gestin tpicas de una
empresa
Inteligencia artificial: Las computadoras se programan de forma que emulen
el comportamiento de la mente humana

Funciones de la Auditoria Informtica

Verificacin del control interno

Anlisis de la gestin de los sistemas de informacin

Anlisis de la integridad, fiabilidad y certeza de la informacin

Auditoria de riesgos operativos de los circuitos de informacin

Anlisis de la gestin de los riesgos de la informacin

Verificacin del nivel de continuidad

Anlisis del estado del arte tecnolgico de la instalacin revisada

Diagnstico sobre el grado de cobertura

El auditor informtico es responsable para establecer los objetivos de control

que reduzcan o eliminen la exposicin al riesgo de control interno.

Quines intervienen en la Auditoria Informtica?

Cliente: Organizacin o Persona que solicita una Auditoria

Auditor: Persona con la competencia para llevar a cabo una Auditoria
Auditado: Organizacin que es Auditada