_____________________________________________________________________________________

Curso: 2006/07
Centro: Escuela Politécnica Superior
Estudios: Ingeniería Técnica en Informática de Gestión
Asignatura: Auditoría Informática
Código: 41007303
Ciclo: 1º
Curso: 2º
Cuatrimestre: 2º
Carácter: Optativa
Créditos teóri.: 4,5
Créditos práct.: 1,5

Área: Lenguajes y Sistemas Informáticos

Departamento: Lenguajes y Computación
Descriptores: Auditoría del entorno de proceso de datos. Evaluación del rendimiento y fiabilidad de
sistemas de información. Herramientas y técnicas de auditoría de sistemas informáticos.
_____________________________________________________________________________________

Profesora: Clara Marcela Miranda S.

OBJETIVOS
• Ver la importancia del control y evaluación de las diferentes áreas que
constituyen los sistemas informáticos.
• Introducir una perspectiva general de la auditoría clásica y la modificación de
esta función para albergar el control de las nuevas tecnologías de la
información.
• Especificar los objetivos básicos que debe garantizar una auditoría informática
y la implantación de un sistema de control interno.
• Presentar el marco de trabajo para control de tecnología de la información,
reconocido a nivel mundial por parte de la ISACA (Information Systems
Security Association)
• La importancia de los datos y la necesidad de controlar la validez de entrada y
salida de los mismos.
• Auditoría de la seguridad como área más importante a auditar, y el impacto de
un política de seguridad inapropiada.
• Especificar las grandes áreas de seguridad a auditar

TEMARIO DE TEORÍA
1. Introducción a la Auditoría Informática
2. Control Interno y Auditoría Informática
3. Herramientas y Metodología de Control y Auditoría
4. Auditoría de los datos
5. Auditoría de la seguridad
6. Auditoría Informática en el Sector Aéreo
TEMA 1 Introducción a la Auditoría Informática
• Es una introducción a la auditoría informática, analizando la función de la
auditoría clásica y el efecto provocado por las NNTT.
• Se presentan los factores que justifican la necesidad de una Auditoria
Informática.
• Por último especificamos los objetivos de la auditoría, así como el alcance y
tendencias actuales, en el campo de la auditoría informática.

TEMA 2 Control Interno y Auditoría Informática

• Concepto de control interno como mecanismo de análisis y evaluación de
Sistemas Informáticos.
• Se analiza la función del control y la relación existente con la Auditoria
Informática.
• Se presentan los tipos de controles internos y el tratamiento con la complejidad
de los sistemas.
• Se mostrará un sistema de implantación de control interno informático
(brevemente)

TEMA 3 Herramientas y Metodología de Control y Auditoría

• Se presentan las técnicas y herramientas disponibles para la función de control
y auditoría, centrándonos en los cuestionarios (checklists).
• Metodologías de evaluación de sistemas, analizando las metodologías de
evaluación de riesgos y de auditoría informática.

TEMA 4 Auditoría de los datos

• Se divide en controles para la Entrada y Salida de datos
• Se mostrará un ejemplo particular, centrado en el empleo de los sistemas de
gestión de bases de datos para la manipulación de la información.
• Mentalizar sobre la importancia de la protección de los datos de carácter
personal y la necesidad de abordar una auditoría de protección.

TEMA 5 Auditoría de la seguridad

• Presenta las áreas de control que debe involucrar una auditoría de seguridad,
analizando aspectos de seguridad lógica, física, de comunicaciones y redes y
la continuidad de las operaciones.
• Se proporcionaran una relación de actividades de “hackeo” recientes que
afectan negativamente a los sistemas informáticos, así como los
procedimientos que intentan minimizar las vulnerabilidades presentes..

TEMA 6 Auditoría Informática en el sector Aéreo

• Se presentará el planteamiento general de la auditoría en el sistema de
reservas internacionales AMADEUS.
• Introducimos los procesos principales, centrándonos en el ticketing,
• Así como los objetivos que pretenden minimizar los riesgos de seguridad
informáticos.
TEMARIO DE PRÁCTICAS

1. Introducción al Registro de W2003 Server.

2. Editor de Registros y Administración del Registro de W2003 Server.
3. Visor Sucesos y Monitor del Sistema W2003.
4. Plan de Auditoria Informática.
5. Auditoría de la red.

BIBLIOGRAFÍA

¾ http://www.isaca.org
¾ Mario G. Piattini y Emilio del Peso. Auditoria Informática. Un Enfoque Práctico
(2ª Ed). Ra-Ma, 2000.
¾ Ron A. Weber. Information Systems Control and Audit. Prentice Hall, 1998.

CRITERIOS DE EVALUACIÓN

♦ Por cada tema visto se realizan unos casos prácticos, sacados de la vida
real, donde lo que se busca es que los alumnos apliquen los diferentes
conceptos y herramientas estudiados y de esta forma reforzar los
conocimientos adquiridos viendo su utilidad práctica. Se acostumbra de
esta forma al alumno a analizar las diferentes situaciones desde el punto de
vista de un auditor y se le enseñan las técnicas para presentar dichos
informes. Estos casos son de carácter obligatorio .

♦ Al final del curso se realiza un examen general donde se tiene una parte
teórica, respecto a conceptos y leyes, y otra práctica, donde se aplican las
diferentes técnicas vistas en clase.

♦ Se realizan una serie de prácticas en el laboratorio del Departamento, donde

se enseñan las diferentes características del registro del sistema. Los
alumnos lo pueden manipular con toda tranquilidad y a su vez ven las
diferentes formas de auditar un servidor y qué variables son relevantes y
cuales no.

♦ También vemos el uso de los programas de rastreo o sniffers y cómo

bloquearlos. Y demás herramientas que nos puedan afectar el buen
funcionamiento de nuestra empresa o que afecten el incumplimiento de
alguna ley, tal como la Ley Orgánica de Protección de Datos.

♦ Los casos prácticos valen el 50%, el examen el otro 50% y las prácticas son
de obligatoria asistencia y presentación, su valoración será Aprobado o No
Aprobado. Si las mismas no están aprobadas la materia no lo estará, al igual
sino se han entregado todos los casos prácticos tampoco se dará por
aprobada la materia.