UNIVERSIDAD CATÓLICA DE HONDURAS

FACULTAD DE INGENIERÍAS
CARRERA DE CIENCIAS DE LA COMPUTACIÓN

AUDITORÍA
INFORMÁTICA
 CISA

Es una certificación para auditores respaldada por la

Asociación de Control y Auditoría de Sistemas de
Información (ISACA) (Information Systems Audit and
Control Association). Los candidatos deben cumplir con
los requisitos establecidos por la ISACA.
Según la Information Systems Audit and Control
Association, en manual de preparación al examen CISA
(2005), el profesional de auditoría informática debe
considerar los siguientes puntos primordiales en
relación a normas y estándares:

• Revisión de la estructura Organizacional, las políticas y

procedimientos referentes a la seguridad informática y
el ambiente de control del área informática.

• Verificación del control de ingresos físicos a áreas

sensibles y de las vías de acceso lógico.

• Revisión del estado del Plan de Recuperación de

Desastres Organizacional.
Los candidatos a la certificación CISA deben pasar un examen de
acuerdo con el Código Profesional de Ética de ISACA, además de
comprobar cinco años de experiencia en auditoría de sistemas, control
interno y seguridad informática y tener un programa de educación
continua.

En caso de no cumplir con estos requisitos, existen algunas

equivalencias definidas en la página de ISACA:
• Un mínimo de un año de experiencia en sistemas de información o
un año de experiencia en auditorías operacionales, pueden ser
sustituidos por un año de experiencia auditoría de sistemas, control
interno y seguridad informática.
• 60 a 120 horas de estudios profesionales pueden ser sustituidos por
uno o dos años de experiencia respectivamente
• 2 años de instructor de tiempo completo en Universidad en campos
relacionados (ejemplo: ciencias computacionales, contabilidad,
auditoría de sistemas de información, pueden ser sustituidos por un
año de experiencia de auditoría de sistemas de información, control
interno y seguridad de informática.
 ÁREAS DE CONOCIMIENTO PARA EL
EXAMEN CISA

• El proceso de auditoría de SI (14%)

• Gobierno de TI (14%)
• Administración del ciclo de vida de infraestructura y
sistemas (19%)
• Soporte y entrega de servicios de TI (23%)
• Protección de los activos de información (30%)
 IMPORTANCIA DE LA S.I.

Asegurar los recursos informáticos (Información,

Programas) de una persona o grupo de personas, para
que estos no sean comprometidos de una forma
peligrosa para el dueño de los recursos y de una forma
ventajosa para la persona que busca beneficios de la
obtención de dichos recursos.
 DELITO INFORMÁTICO

Es el término genérico para aquellas operaciones

ilícitas realizadas por medios electrónicos o que
tienen como objetivo destruir y dañar
computadores, redes de Internet, información.
 DELITO INFORMÁTICO: EJEMPLOS
- Ingreso ilegal a sistemas
- Interceptado ilegal de redes
- Interferencias
- Daños en la información (borrado, dañado, alteración o supresión
- Chantajes, fraude electrónico
- Ataques a sistemas (realizados por hackers)
- Robo de bancos (medios electrónicos)
- Violación de los derechos de autor
- Pornografía infantil
 DEFINICIÓN: SEGURIDAD INFORMÁTICA

Es la disciplina que se ocupa de diseñar las normas,

procedimientos, métodos y técnicas, orientados a
proveer condiciones seguras y confiables, para el
procesamiento de datos en sistemas informáticos.

La decisión de aplicarlos es responsabilidad de cada

usuario. Las consecuencias de no hacerlo … también.
PRINCIPIOS DE SEGURIDAD INFORMÁTICA

Para lograr sus objetivos, la seguridad informática se

fundamenta en tres principios, que debe cumplir todo
sistema informático:

• Confidencialidad
• Integridad
• Disponibilidad
 CONFIDENCIALIDAD
• Se refiere a la privacidad de los elementos de
información almacenados y procesados en un sistema
informático.

• Basándose en este principio, las herramientas de

seguridad informática deben proteger al sistema de
invasiones, intrusiones y accesos, por parte de
personas o programas no autorizados.
 INTEGRIDAD
• Se refiere a la validez y consistencia de los elementos de
información almacenados y procesados en un sistema
informático.

• Basándose en este principio, las herramientas de

seguridad informática deben asegurar que los procesos
de actualización estén sincronizados y no se dupliquen,
de forma que todos los elementos del sistema manipulen
adecuadamente los mismos datos.
 DISPONIBILIDAD

- Se refiere a la continuidad de acceso a los elementos de

información almacenados y procesados en un sistema
informático.

- Basándose en este principio, las herramientas de

Seguridad Informática deben reforzar la permanencia del
sistema informático, en condiciones de actividad
adecuadas para que los usuarios accedan a los datos con
la frecuencia y dedicación que requieran.
 RIESGO

La posibilidad de que ocurra un acontecimiento

que tenga impacto en el alcance de los objetivos.

El riesgo se mide en términos de impacto y

probabilidad.
 TIPOS DE RIESGO

• Inherente: es aquel que está directamente relacionado

con la naturaleza de los procesos desarrollados, en
ausencia de controles.

• Residual es el riesgo subsistente una vez aplicados los

controles.

Riesgo residual = Riesgo inherente - Control

 CLASIFICACIÓN DEL RIESGO

• Riesgo Estratégico: Se asocia con la forma en que se

administra la Entidad.

• Riesgo Operativo: Comprende los riesgos relacionados

tanto con la parte operativa como técnica de la entidad,
incluye riesgos provenientes de deficiencias en la
definición de los procesos, en la estructura de la entidad,
la desarticulación entre dependencias.

Lo anterior conduce a ineficiencias, oportunidades de

corrupción e incumplimiento de los compromisos
institucionales.
 CLASIFICACIÓN DEL RIESGO
• Riesgos Financieros: Se relacionan con el manejo de los
recursos de la entidad que incluye, la ejecución presupuestal,
la elaboración de los estados financieros, los pagos, manejos
de excedentes de tesorería y el manejo sobre los bienes de
cada entidad.

• Riesgos de Cumplimiento: Se asocian con la capacidad de la

entidad para cumplir con los requisitos legales, contractuales,
de ética pública y en general con su compromiso ante la
comunidad.

• Riesgos de Tecnología: Se asocian con la capacidad de la

Entidad para que la tecnología disponible satisfaga las
necesidades actuales y futuras de la entidad y soporte el
cumplimiento de la misión.
 CONTROL

Cualquier medida que tome la dirección, el Consejo y otras

partes, para gestionar los riesgos y aumentar la
probabilidad de alcanzar los objetivos y metas
establecidos.

La dirección planifica, organiza y dirige la realización de las

acciones suficientes para proporcionar una seguridad
razonable de que se alcanzarán los objetivos y metas.
 GOBIERNO

La combinación de procesos y estructuras implantados por

el Consejo de Administración para informar, dirigir,
gestionar y vigilar las actividades de la organización con el
fin de lograr sus objetivos.
 MAPA DE RIESGOS

Mapa de Riesgos: Representación gráfica (usualmente en cuadrantes)

de los riesgos de una entidad/proceso/procedimiento, conforme a un

criterio de probabilidad e impacto.

Gestión de Riesgos: Es un proceso para identificar, evaluar, manejar y

controlar acontecimientos o situaciones potenciales, con el fin de

proporcionar un aseguramiento razonable respecto del alcance de los

objetivos de la organización.
 GESTIÓN DE RIESGOS
• Es un proceso continuo que fluye por toda la entidad.
• Es realizado por su personal en todos los niveles de la
organización.
• Se aplica en el establecimiento de la estrategia.
• Está diseñado para identificar acontecimientos
potenciales que, de ocurrir, afectarían a la entidad y para
gestionar los riesgos dentro del nivel de riesgo aceptado.
• Es capaz de proporcionar una seguridad razonable al
consejo de administración y a la dirección de una
entidad.
• Está orientada al logro de objetivos.
Una política de gestión de riesgos debería incluir lo
siguiente:

• Objetivos de control interno y de gestión de riesgos

(gobierno)
• Una declaración de la actitud de la organización para con
los riesgos (estrategia)
• Nivel y naturaleza del riesgo que es aceptable (apetito de
riesgo)
• Organización de la gestión de riesgos y acuerdos
(arquitectura)
• Detalle de los procedimientos para el reconocimiento de
riesgos y su priorización (evaluación de riesgos)
• Lista de documentación para analizar y reportar riesgos
(protocolos de riesgo)
• Requerimientos de mitigación de riesgos y mecanismos
de control (respuesta al riesgo)
• Asignación de los roles de la administración y sus
responsabilidades.
• Prioridades y temas de entrenamiento en gestión de
riesgos.
• Criterios para efectuar el monitoreo y benchmarking de
riesgos.
• Asignación de los recursos apropiados para la gestión de
riesgos.
• Actividades y prioridades relacionadas a la gestión de
riesgos para el año venidero.
 APETITO POR EL RIESGO

El nivel de riesgo que la organización está dispuesta a

asumir en su búsqueda de rentabilidad y valor .
 TOLERANCIA AL RIESGO
Es el nivel de variación que la organización está dispuesta a
asumir en caso de desviación a los objetivos empresariales
trazados.
 NIVELES DE RIESGO

Bajo: Requiere monitoreo periódico a fin de mantener los

riesgos en este nivel (Nivel 1)

Criterios Fundamentales:
- Incumplimiento parcial de normas y procedimientos internos
dentro del período evaluado. (no repetitivo)

Equivalente nivel de Riesgo/Madurez:

4 - Óptimo
 NIVELES DE RIESGO

Moderado: Requiere atención de la gerencia (Nivel 2)

Criterios Fundamentales:
- Incumplimiento reiterativo de procedimientos internos
dentro del período evaluado.
- Desactualización de normas y procedimientos internos
relacionados con la administración de activos.

Equivalente nivel de Riesgo/Madurez:

3 - Implementado
 NIVELES DE RIESGO

Alto: Requiere atención urgente de las gerencias responsables (Nivel 3)

Criterios Fundamentales:
- Afectación al cumplimiento de los objetivos operativos.
- Atención y servicio al cliente (trascendencia pública local)
- Pérdidas y multas por incumplimiento de normativas internas y
externas.
- Omisión en la aplicación de controles críticos en los procesos
operativos y de soporte.
- Carencia de normas y procedimientos internos relacionados con la
administración de activos y recursos.
- Omisión en la implantación de recomendaciones en dos períodos
consecutivos.

Equivalente nivel de Madurez:

2 – En Proceso
 NIVELES DE RIESGO

Extremo: Requiere atención urgente de la alta dirección (Nivel 4)

Criterios Fundamentales:
- Afectación al cumplimiento de los objetivos estratégicos.
- Afectación de la imagen institucional (trascendencia pública a nivel
nacional).
- Interrupción de las operaciones que afecten la prestación de los
servicios y que generen un efecto económico negativo.
- Fraudes: robos e irregularidades internacionales.
- Omisión en la aplicación de controles críticos en los procesos
estratégicos, operativos y soporte.

Equivalente nivel de Madurez:

1 – Inexistente / Inicial