UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade
ALUMNO : Jesús Cisneros Valle
FECHA : Quito, 10 de septiembre del 2012
CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 7 y 8 DEL

LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 9
AUDITORIA DE LA OFIMATICA

Cuestiones de Repaso:

1. Que elementos de un sistema informático se contemplan dentro de la Ofimática?

Las aplicaciones específicas para la gestión de tareas, hojas de cálculo, procesadores de
texto, herramientas de gestión de documentos, control de expedientes o sistemas de
almacenamiento óptico de información, agendas y bases de datos personales, correo
electrónico, control de flujos de trabajo, etc.

2. Explique el paradigma de escritorio virtual?

El escritorio virtual, como único panel presentado por la pantalla del computado,
sustituye a la mesa de trabajo tradicional y es donde se encuentran todas la
herramientas necesarias para desarrollar las actividades del oficinista. La interfaz del
escritorio debe parecer natural al usuario y debe ser fácil de aprender y utilizar.

3. Que distingue la auditoria de Ofimática de la de otros entornos informáticos?

Lo distingue porque posee dos características peculiares:
• La distribución de las aplicaciones por los diferentes departamentos de la
organización en lugar de encontrarse en una única ubicación centralizada.
• El traslado de la responsabilidad sobre ciertos controles de los sistemas de
información a usuarios finales no dedicados profesionalmente a la informática, que
pueden no comprender de un modo adecuado la importancia de los mismos y la
forma de realizarlos.

1
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

4. Analice las repercusiones que puede tener en una empresa un inventario poco
fiable bajo las perspectivas de la economía, la eficacia y la eficiencia.
Puede repercutir en el balance de la organización, posibilitando que no se detecten
sustracciones de equipamiento informático o de licencia de programas contratados, se
ha seleccionado esto en primer lugar, ya que la fiabilidad del inventario resultara
indispensable para auditar otros controles presentados posteriormente.

5. Como debería ser un procedimiento para la realización de cambios de versiones

de paquetes informáticos?
• Se debe evitar que las nuevas versiones produzcan situaciones de falta de
integración y de incompatibilidad entre los nuevos productos instalados y los
existentes con anterioridad.
• Determinar la existencia de procedimientos formalmente establecidos para la
autorización, aprobación y adquisición de nuevas aplicaciones y cambios de
versiones.
• Comprobar que las aplicaciones instaladas y los cambios de versiones han seguido
todos los trámites exigidos en el procedimiento establecido.
• Determinar si se han analizado los problemas de integración y las
incompatibilidades que puedan plantear los nuevos productos previo a su
implantación
• Si se ha establecido algún plan para la formación de los usuarios finales que vayan
a utilizar los nuevos productos.
• Si los encargados de mantener la nuevas versiones han adquirido los conocimientos
suficientes para que los cambios que van a producirse no impacten negativamente
en el funcionamiento de la organización.

6. Calcule el coste real de un computador personal para una empresa (tenga en

cuenta el hardware, software, mantenimiento, formación, etc.)

DESCRIPCION: COSTE: ($)

Hardware : 400
Software
Sistema Operativo (Windows 7) : 250
Ofimática : 120
Antivirus : 40
Impresora de inyección (tinta continua) : 180
Formación (todo el personal) : 10 :
_______

2
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

$.1000
Compra al por unidad informática al mayor con la ventaja de descuento en caso de
compra de más de 10 unidades.

7. Que mecanismos de seguridad de los que conoce se puede aplicar a los

computadores personales?

Las políticas y procedimientos de seguridad son necesarios, para garantizar la

confidencialidad, integridad y disponibilidad de la información almacenada. Las
funcionalidades de seguridad de ofimática y sistemas operativos se han incrementado
cada año ofreciendo niveles de seguridad aceptables.

• Determinar si el procedimiento de clasificación de la información establecido ha

sido elaborado atendiendo a la sensibilidad e importancia de la misma.
• Comprobar que toda la información se ha clasificado en función de los criterios
establecidos
• Verificar que las funciones, obligaciones y responsabilidades en materia de
seguridad, de cada puesto de trabajo están claramente definidas y documentadas
• Todo el personal debe conocer los sistemas de seguridad tanto de hardware como
de software que se han instalado en el sistema de la empresa y los accesos a los
cuales les está permitido accesar con sus claves de seguridad.
• Establecer sistemas de seguridad nivel físico que impida accesos indeseables o
fraudulentos al sistema informático
• Establecer mecanismos de autenticación e identificación de acceso al sistema
• Mantener instalados sistemas antivirus y firewall actualizados
• Cumplir con los procedimientos establecidos para autorizar la creación de nuevos
accesos al sistema y sobre los derechos de acceso de usuarios
• Determinar la desconexión automática de sistemas cuando estos no son usados por
un periodo determinado de tiempo, así como permitir su reactivación previa
autenticación del usuario.
• Instalar un servidor kerberos para administración de claves

8. Escriba un procedimiento para la utilización de equipos ofimáticos que puede ser

entendido por usuarios finales.

Primero:
Los equipos y/o sistemas ofimáticos que se desarrollen y se instalen deben ser los más
accesibles posible, sin conllevar complicaciones de uso, la facilidad de uso permite un
acceso rápido y majeo sencillo, seguro y adecuado de los sistemas.

3
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

Segundo:
Una vez desarrollado, se debe crea un manual de uso para usuarios y uno del
administrador del sistema, este último determinara los accesos, permisos, usuarios, etc.

Tercero:
Instruir a los usuarios en el uso del sistema ofimático por ejemplo de uso de un cajero
automático de un banco, basado en los siguientes puntos:

1. La interface del cajero debe ser accesible e intuitiva sin ninguna restricción, más
que las claves de acceso y la tarjeta de débito o crédito.
2. La pantalla debe desplegar las posibles peticiones o requerimientos del usuario
para que sean accesadas de manera automática ya sea con pantalla táctil o botones
del panel correspondiente.
3. Los requerimientos deben ser procesados de manera transparente con el software
ofimático que se ha creado para el efecto, y sobre todo seguro.
4. Los usuarios sin importancia de su conocimiento informático, puede y deben
acceder al sistema sin ningún tipo de inconveniente, realizar sus trámites y sentirse
seguros de que su transacción fue hecha según sus requerimientos.

9. Analice las principales vacunas existentes en el mercado contra virus que afecten
a computadores personales.

Un antivirus debe ser evaluado por distintas características como son, capacidad de
detección de virus y programas malignos conocidos y desconocidos, actualización
constante y efectiva, velocidad de escaneo y monitorización, dar grandes posibilidades
a los expertos, y sencillez a los inexpertos, efectiva limpieza de los virus y buena
documentación de ayuda.

KASPERSKY ANTIVIRUS
Es el mejor antivirus existente en el mercado, el mejor en nuestra evaluación. Gran
cantidad de opciones. Es el más completo en cuanto a software maligno ya que no sólo
se encarga de virus, gusanos y troyanos, sino que detecta dialers, espías, keyloggers,
entre otros malwares. También es de los más actualizados que existen. El punto en
contra es su lentitud para analizar en computadoras que no son potentes. Igualmente
Kaspersky cuenta con una base de datos interna que "memoriza" los archivos
escaneados para que el segundo escaneado sea más rápido. Posee gran capacidad de
detección de virus desconocidos.

Características:
• Escaneo rápido

4
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

• Buena capacidad de actualización.

• Excelente capacidad de detectar virus.
• Fácil de remover.
• Gran número de herramientas.

NOD32 Anti-Virus.
Muy rápido, eficiente, excelente heurística y excelente en cuanto a servicio técnico
online. Cuenta con una versión de prueba de 25 días.

Características:
• Escaneo rápido
• Buena capacidad de actualización.
• Excelente capacidad de detectar virus.
• Fácil de remover.
• Mínimo consumo de recursos del sistema.
• Gran número de herramientas.

AVG Anti-virus
Tiene una versión totalmente gratuita y una de pago.
Sin dudar es el mejor antivirus gratuito que se puede encontrar. En su versión gratuita
ofrece la misma seguridad que la paga, pero con menos posibilidades de configuración.
Es excelente para uso personal y especialmente para computadoras que no son
potentes.
Su monitor para el escaneo de virus en tiempo real utiliza muy pocos recursos.
Por ser la versión gratuita, hay muchas características que desearían tener los expertos
que no están, desde consultas online las 24 horas y otras herramientas que mejoran la
detección. Igualmente para uso personal es altamente recomendado.

Características:
• Escaneo rápido
• Buena capacidad de actualización.
• Mínimo consumo de recursos del sistema.
• Gran número de herramientas.
• Versión gratuita personal (no uso comercial)

10. Que consideraciones al entorno ofimático se encuentra en la LOPD?

• La LOPD, establece una serie de principios y derechos de los ciudadanos en
relación con sus datos de carácter personal incluido archivos automatizados.
• Los afectados que sufran daños o lesión de sus bienes o derechos como
consecuencia del incumplimiento de lo dispuesto en esta normativa, pueden
reclamar indemnización ante los tribunales de justicia.

5
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

CAPITULO 8
AUDITORIA DE LA DIRECCION

Cuestiones de Repaso:

1. Descríbanse las actividades a realizar por un auditor para evaluar un plan

estratégico de sistemas de información.
• Durante el proceso de planificación se presta atención al plan estratégico de la
empresa, es establecen mecanismos de sincronización entre sus grandes hitos y los
proyectos informáticos asociados y se tiene en cuenta aspectos como cambios
organizativos, legislación, evolución tecnológica, organización informática, etc.
Los impactos deben estar recogidos en el plan estratégico de sistemas de
información.
• Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada
asignación de recursos para poder llevarlos a cabo.

1. Lectura de actas de sesiones del Comité de Informática dedicadas a la

planificación estratégica.
2. Identificación y lectura de los documentos intermedios prescritos por la
metodología de planificación
3. Lectura y compresión detallada del plan e identificación e identificación de las
consideraciones incluidas en el mismo sobre los objetivos empresariales,
cambios organizativos, evolución tecnológica, plazos y niveles de recursos.
4. Realización de entrevistas al Director de Informática y a otros miembros del
Comité de Informática participantes en el proceso de elaboración del Plan
Estratégico. Realización de entrevistas a representantes de los usuarios con el
fin de evaluar su grado de participación y sintonía con el contenido del Plan.
5. Identificación y compresión de mecanismos existentes de seguimiento y
actualización del plan y de su relación con la evolución de la empresa.

2. Descríbanse las funciones de un comité de informática. Elabórese una lista con las
funciones empresariales que deberían estar representadas en dicho comité. Que
objetivo tiene para los usuarios su presencia en el comité?

Funciones del Comité de Informática:

• Aprobación del plan estratégico de sistemas informáticos
• Aprobación de las grandes inversiones en tecnologías de la información

6
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

• Fijación de prioridades entre los grandes proyectos informáticos

• Vehículo de discusión entre la informática y sus usuarios
• Vigila y realiza el seguimiento de la actividad del departamento de informática.

Lista de las funciones empresariales que deberían estar representadas en dicho

comité:

• Director de Informática
• Todas las grandes áreas de la empresa deben estar representadas en el comité
• El director de auditoria interna
• Otros miembros de la organización como miembros temporales cuando hayan
asuntos que les conciernan
• Representante de los usuarios

Objetivo de la presencia de los usuarios en el Comité?

Verificar si el Comité cumple con las funciones encomendadas; y, que en los acuerdos
son tomados correctamente y los puntos de vista de los representantes de los usuarios
son tomados en cuenta.

3. Descríbanse las ventajas de tener procedimientos. Elabórese un guión de lo que

podrían ser procedimientos de: a) diseño de sistemas, b) programación.

Descríbanse las ventajas de tener procedimientos:

Los procedimientos son:
• Planificar
• Organizar
• Coordinar
• Controlar

El poder planificar permite asegurar el lineamiento de las acciones de la empresa con

los objetivos de la misma, plasmar un plan estratégico a largo plazo, la organización y
coordinación sirve para estructurar los recursos, los flujos de información y los
controles que permitan alcanzar los objetivos marcados durante la planificación; y, el
control, le permite a la Dirección informática supervisar y ejecutar un seguimiento
permanente de las actividades del Departamento Informático evaluándolo y
analizándolo periódicamente.

Guión de procedimientos de:

a) diseño de sistemas

7
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

Planificación:
Las políticas del departamento de diseño de sistemas, estarán basados en los
objetivos trazados por la empresa es identificar claramente la naturaleza y el
alcance del departamento donde para cada trabajo se presentará un proyecto viable
y un Estudio de Viabilidad.

Organizar y Coordinar:
El comité de informática deberá aprobar el plan estratégico del departamento que
ha sido presentado a la Dirección de Sistemas de la empresa. El documento o
planificado para cualquier desarrollo informático se llamará Especificaciones del
Diseño del Sistema y debe ser aprobado por la gerencia y los usuarios. Se
asegurará la calidad del proceso del producto que se diseñe en Dep. de diseño de
Sistemas, se gestionara al mejor personal capacitado, dentro de los parámetros
económicos de la empresa y se tomara siempre en consideración el requerimiento
de los Usuarios.

Controlar:
La Dirección de sistemas, controlara y efectuar un seguimiento permanente de toda
actividad del Departamento de diseño, se ha de vigilar el cumplimiento de los
planes estratégicos, operativos y los proyectos que se desarrollan, la ejecución del
presupuesto y la evolución de las peticiones de usuarios pendientes, el
cumplimento de los costos, etc.

En cada caso se cumplirán las recomendaciones de auditoria.

b) programación
Planificar (Requerimientos)
Esta fase es fundamental para que la estrategia informática encaje dentro de las metas
de la empresa, ya que en ella se cumplen las funciones del modelaje del negocio y
planificación de programas; esto con el fin de proyectar las estrategias del negocio y
determinar de esta forma los requerimientos de información.

Organizar y Coordinar (Análisis / Diseño)

El objetivo de esta fase es desarrollar el diseño arquitectónico de los programas,
utilizando los requerimientos obtenidos en la primera fase. En el diseño arquitectónico
se engloban dos componentes: los casos de uso, los lenguajes de programación, las
bases de datos, etc., los cuales serán analizados y diseñados desde una perspectiva
conceptual a una física

Control (Pruebas)

8
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

Esta fase, da inicio luego de que las diferentes unidades de diseño han sido
desarrolladas y probadas por separado. Durante su desarrollo, el programa se emplea
de forma experimental para asegurar que el software no falle, es decir que funcione de
acuerdo a sus especificaciones y a la manera que los usuarios esperan que lo haga, y de
esta forma poder detectar cualquier anomalía, antes de que el programa sea puesto en
marcha y se dependa de él. Para evaluar el desenvolvimiento del programa, en esta fase
se llevan a cabo varias pruebas para controlar el sistema y que sea un entregable
aceptable y sin fallas.

Producción / Mantenimiento
Una vez que un programa pasa a formar parte de la vida diaria de la empresa, cada
procedimiento y cada estructura de datos se convierte en una pieza del negocio que,
como tal, deberá funcionar en forma constante, exacta y confiable. La operación del
negocio ahora dependerá del funcionamiento del sistema, por lo que las tareas de
mantenimiento cobran vital importancia.

Durante la fase de mantenimiento, se ponen en práctica todas las políticas y los

procedimientos destinados a garantizar la operación continúan de los de los sistemas y
a asegurar su uso efectivo, con el fin, de que éstos se constituyan en una verdadera
herramienta de apoyo al logro de los objetivos estratégicos de la empresa

4. Que evidencias deberá buscar el auditor para poder evaluar si las necesidades de
los usuarios son tenidas en cuenta adecuadamente?

Deberá buscar el grado de atención que se ha dado y si se ha plasmado dentro del Plan
Estratégico a las necesidades de los usuarios.

5. Identifíquese las actividades incompatibles desde el punto de vista de control de

un departamento de Informática. Razónese.

Los puntos incompatibles seria que no existiese mecanismos de controles a nivel de

estándares de rendimientos con los que comprara las diversas tareas. Sería
incompatible además que no existiesen evaluaciones periódicas de los procesos y
presupuesta iones, otro punto seria no tener planes, proyectos y presupuesto de años
anteriores y del actual para comprobar que son controlados, que se analizan las
desviaciones y que se toman medidas correctivas de ser necesario.

9
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

6. Que ventajas de control aporta la existencia de la función de aseguramiento de la

calidad?
• Permite el control de la calidad de los servicios informáticos
• Da particular importancia al cumplimiento de la metodología del ciclo de vida de
los sistemas de información, de los procedimientos que gobiernan la explotación
del computador y de la investigación de la calidad de los datos que se envían a los
usuarios.

7. Descríbanse los objetivos de control a ser evaluados por el auditor en el apartado

de gestión de recursos humanos.
• La selección del personal se basa en criterios objetivos y tiene en cuenta la
formación, experiencia y niveles de responsabilidad anteriores.
• El rendimiento de cada empleado se avalúa regularmente en base a estándares
establecidos y responsabilidades específicas del puesto de trabajo. Existen procesos
para determinar las necesidades de formación de los empleados en base a su
experiencia, puestos de trabajo, responsabilidad y desarrollo futuro personal y
tecnológico de la instalación. Se planifica la cobertura ordenada de estas
necesidades y se lleva a la práctica.
• Existen procesos para la promoción del personal que tienen en cuenta su
desempeño profesional
• Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la
finalización de los contratos laborales no afectan a los controles internos y a la
seguridad informática.

8. Que tareas debe realizar un auditor para evaluar el plan de formación del
departamento de informática? Como puede juzgar si dicho plan es acorde con los
objetivos de la empresa?

El principal es el económico, ya que los costos de implementar un departamento de

informantica requiere de inversiones hasta cierto punto elevadas. Cabe mencionar que
el auditor deberá constatar la existencia del presupuesto y aprobarlo y que dicho
presupuesto este en línea con las políticas de la empresa y con los planes estratégicos y
operativos del propio departamento. El auditor deberá seguir básicamente las
directrices y programas de trabajo de auditoria para el proceso de implementar el
departamento de informática siguiendo la línea empresarial.

10
 UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

9. Relaciónense las actividades a realizar por el auditor para la evaluación del precio
de transferencia de reparto de costes entre el departamento de informática y los
usuarios.
• Realización de entrevistas a la dirección de los departamentos usuarios para evaluar
su grado de compresión de los componentes de costes utilizados en la fórmula de
cálculo del precio de trasferencia.
• Análisis de los componentes y criterios con los que está calculando el precio de
transferencia para evaluar su ecuanimidad y consistencia, y acudir al mercado
externo y a ofertas de centros de proceso de datos independientes para compararlas
con dichos constes internos
• Conocimiento de los diversos sistemas existentes en el Departamento para recoger
y registrar la actividad del mismo (consumo de recursos máquina, número de líneas
impresas, horas de programación, etc.) para procesarla y obtener la información de
costes y para presentarla de una manera apropiada.

10. Cuales son la áreas legales cuyo cumplimiento es el más importante de auditar?
• El auditor debe empaparse de la normativa que rige área informática
• Evaluar el cumplimiento de las normas en especial de los aspectos críticos
• Si desconoce completamente del aspecto legal debe buscar asesoría legal en la
empresa.

11