Universidad Nacional Experimental de Guayana

Vicerrectorado Académico

Coordinación General de Pregrado

Proyecto de carrera: Ingeniería en Informática

Asignatura: Auditoría de Tecnologías y Sistemas de

Información

Asignación #5

Profesora: Bachiller:
Rosangel Uricare. González,
María V-26.278.105
Ennis, Heiner V-
27.729.230
 Ciudad Guayana, febrero de 2020

Definición de Riesgo y Riesgo informático.

Riesgo: es el efecto que genera la incertidumbre en los objetivos. Los objetos pueden tener un
efecto si no los desviamos de lo esperado. Puede ser positivo, negativo o ambos y puede
abordar, crear o dar lugar a oportunidades y amenazas. Los objetivos pueden tener distintos
aspectos y categorías, y se pueden aplicar a distintos niveles. El riesgo se suele expresar en
términos de fuentes de riesgo, eventos potenciales, sus consecuencias y su probabilidad. (ISO
31000 )

El riesgo informático: se define como una dificultad que interviene en el cumplimiento de una
meta o así mismo una amenaza a la perdida de documentos. Este riesgo puede estar
clasificado en ganancia o perdida. Los medios que este riesgo informático presenta son: 

 PROBABILIDAD: Mirar o plantear que probabilidades hay de que se presente

amenazas frente a un trabajo que estemos realizando.

 AMENAZAS: Son acciones que se presentan en una empresa ocasionando resultados

negativos y pueden ser de carácter físico o lógico.

 VULNERABILIDADES: Es cuando la amenaza esta presente pero no se hace visibles o

real.

 ACTIVOS: Son los datos relacionados con el sistema de información.

 IMPACTO: Los resultadas de estas amenazas siempre resultan negativas.

La Evaluación del riesgo y las herramientas

para evaluar el riesgo.
La evaluación del riesgo de auditoría es el requisito básico para verificar qué y cuándo
deben medirse los procesos y productos de calidad para obtener los máximos beneficios para
la organización. No obstante, con frecuencia, saber la respuesta a ese ‘qué’ y ‘cuándo’ puede
ser un gran desafío.

A menudo, cuando analizamos el riesgo, podemos pasar por alto múltiples factores
que afectan a la actividad de negocio, por ello, es necesario que nuestro proceso esté
adaptado a los factores que afectan a la probabilidad de ocurrencia y consecuencia de un
incidente o evento.

Podemos establecer un sistema para la evaluación del riesgo de auditoría, que sea
adecuado para nuestra organización, dividiéndolo en 6 fases y utilizando un enfoque
escalonado. Este proceso puede aplicarse sistemáticamente y realizar cambios más adelante.

Herramientas para la evaluación de riesgos

 Check-lists. Se trata de una manera simple de identificar los riesgos. Esta técnica
proporciona una lista de las incertidumbres típicas a considerar. Los usuarios se
refieren a una lista previamente desarrollada, códigos o normas.
 SWIFT. Sistema que permite al equipo identificar los riesgos, normalmente vinculado a
un análisis de riesgos y evaluación técnica.
  Análisis de árbol de fallas. Esta técnica se inicia con un evento no deseado y determina
todas las maneras en las que podría ocurrir. Estos eventos se muestran gráficamente
en un diagrama de árbol lógico. Una vez que el árbol de fallas se ha desarrollado, debe
considerarse la posibilidad de formas de reducir o eliminar las posibles causas/fuentes.
 Diagrama causa-efecto. Un efecto puede tener un número de factores que se pueden
agrupar en distintas categorías. Estos factores se identifican a menudo a través del
intercambio de ideas y se muestran en una estructura de “espina de pescado”. Permite
conocer la raíz del problema y cuellos de botella en procesos.
 Análisis Modal de Fallos y Efectos (AMFE). Esta técnica identifica y analiza los fallos
potenciales, mecanismos y los efectos de esos fallos. Entre otros, se utiliza para el
diseño de componentes y productos, sistemas, procesos de fabricación y montaje,
servicio y software.
 Análisis funcional de operatividad (HAZOP). Se trata de un proceso general de
identificación de riesgos para definir posibles desviaciones del rendimiento esperado o
deseado. Se utiliza para detectar situaciones de inseguridad en plantas industriales,
debido a la operación o a los procesos productivos.
 Análisis de capas de protección (LOPA). Permite la evaluación de controles, así como
su eficacia.

Identificación y evaluación de riesgos

tecnológicos
Definición:

El Riesgo Tecnológico es la pérdida potencial por daños, interrupción, alteración o

fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes
y cualquier otro canal de distribución de Información que el Instituto dispone para prestar sus
servicios.

También se puede decir que es la contingencia de que la interrupción, alteración, o

falla de la infraestructura de TI (tecnológica de la información), sistemas de información, bases
de datos y procesos de TI, provoque pérdidas financieras a la institución.

El riesgo tecnológico puede verse desde tres aspectos,

1. A nivel de la infraestructura tecnológica (hardware o nivel físico),

2. A nivel lógico (riesgos asociados a software, sistemas de información e información)

3. Los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor
humano.

El riesgo tecnológico es patente y evitarlo es primordial. Para ello se puede utilizar un

factor tradicional y no necesariamente tecnológico: simplemente pensar cómo piensa un
ciberdelincuente.

Se deben identificar los comportamientos que pueden prevenir un posible ataque

digital, sentar las bases de la ciberseguridad de la empresa y medir la capacidad de seguridad
entre el comportamiento del proveedor y de los empleados. Estas son solo algunas de las
claves que no debemos pasar por alto para maximizar los esfuerzos de sensibilización,
comunicación y formación en cada empresa.
 Es importante gestionar el riesgo de seguridad cibernética combinando tres puntos de
vista distintos: el desarrollo de políticas de cumplimiento normativo, una continuada inversión
en seguridad digital como respaldo de datos y contar con una póliza de seguros como
protección económica.

Lo importante es aplicar primeras medidas para evitar hacer uso del seguro, ya que
esto implicará que la empresa a sufrido un daño importante, muchas veces irreparable,
aunque se cobre el siniestro. Hoy en día el respaldo de los datos es una actividad ineludible
que nadie puede pasar por alto.

El proceso de la auditoría de Sistemas de

Información basada en Riesgos.
“La auditoría basada en riesgos considera la planeación y el desarrollo en los puntos críticos,
en otros términos, en los de mayor impacto negativo al cumplir objetivos.” (2018, Julián Laski)

En la era de la información, donde las transacciones dependen cada vez más de

herramientas tecnológicas, las auditorías internas basadas en riesgos se estructuran con el fin
de satisfacer dos grandes propósitos: el primero, evaluar la efectividad del control interno en
los procesos del modelo de operación de una organización, los procesos de tecnología de la
información y las aplicaciones informáticas sobre las que se opera el negocio para ayudar a
determinar la capacidad de los controles establecidos que reduzcan los riesgos potenciales
críticos a niveles aceptables de riesgo residual; el segundo, verificar el cumplimiento de los
controles para los riesgos críticos a fin de determinar si presentan un nivel de efectividad
apropiada, y comprobar que la información no resulte afectada.

Tanto para el desarrollo de la auditoría externa como para el de la interna, la auditoría

basada en riesgos sigue un proceso similar. Inicialmente requiere identificar los riesgos
existentes, sin tomar en cuenta su magnitud o lo significativo que sean. Ello posibilitará la
consideración de un espectro amplio de eventos, los cuales serán evaluados para determinar
su tratamiento.

En segunda instancia, es necesario analizar la importancia de los riesgos A tal efecto,

para cada riesgo identificado en la etapa inicial, el auditor debe tomar en cuenta su
probabilidad e impacto, una parte clave del proceso de significativos. Luego, el auditor deberá
establecer las respuestas al riesgo a desarrollar. Para la auditoría externa de estados
financieros, tales respuestas al riesgo están claramente definidas en la NIA 330. Si bien los
preceptos indicados en dicha norma son parcialmente aplicables a las auditorías de procesos o
internas, es importante que el auditor pueda identificar qué procedimientos llevar a cabo a fin
de administrar los riesgos evaluados. Las pruebas sustantivas son claros ejemplos de medidas
de respuesta al riesgo por parte de los auditores. No obstante, y esto debe enfatizarse, no es la
única respuesta posible. La teoría afirma que el riesgo jamás puede eliminarse, sino que se
pueden aplicar respuestas tendientes a mitigar, evitar, aceptar y transferirlo.

Uso de Técnicas de Auditoría Asistidas por

Computador.
Las técnicas de auditoría asistidas por computador (TAAC) son procedimientos de
auditoría efectuados con el uso de la tecnología computarizada, característicamente en
volúmenes grandes de datos, para identificar, extraer y resumir las partidas con base en
características específicas y para aplicar ciertas rutinas pre-programadas.

Un auditor de sistemas podría usar las TIC (Tecnologías de la Información y la Comunicación)

para:

 Pruebas de detalles de transacciones y balances: reportes especiales de cálculos,

segmentos, extracción de ventas por importes específicos, etcétera.
 Procedimientos analíticos: identificación de inconsistencias o fluctuaciones
significativas.
 Pruebas de controles generales: configuraciones en sistemas operativos,
procedimientos de acceso al sistema, comparación de códigos y versiones.
 Programas de muestreo: pruebas de control y recolección de datos.
 Recálculos: balances y re cálculos de intereses.
 Además de otros procesos como: verificación de cifras, exactitud de reportes de salida,
verificación de consistencia lógica de los archivos, utilización de paquetes de auditoría
especializados, control de catálogos de archivos y programas, desarrollo de programas
de auditoría personalizados, control de integridad de archivos, etcétera.

Herramientas de Auditoria
Manejo SQL: Lenguaje de consulta estructurado o SQL (por sus siglas en inglés Structured
Query Language), el cual permite el acceso a bases de datos con el fin de efectuar consultas de
forma rápida y sencilla. Desarrollado por IBM en los años setenta. Sin embargo, fue Oracle
quien lo introdujo por primera vez en 1979, como un producto comercial. Este es un sistema
antiguo, pero efectivo, que permite identificar, relacionar y descargar información de tablas
localizadas en bases de datos.

Programa general de análisis de datos: Maximizar el uso de la tecnología para mejorar la

eficiencia, efectividad y calidad de las operaciones revisadas, a través del uso de un programa
computarizado que permita la evaluación del 100% de una población, con el fin de obtener
resultados y conclusiones definitivos. Adicionalmente, estos programas facilitan, entre otras
cosas, identificar registros duplicados, detectar omisiones en secuencias de números, realizar
operaciones aritméticas y agrupar datos relevantes.

Papeles de trabajo electrónicos: Implementar un programa de papeles de trabajo

automatizado para mejorar la productividad al brindar un medio más eficiente para
documentar, revisar, acceder y guardar la información que respalda el trabajo de auditoría
interna (servicios de aseguramiento y consultoría).

Aplicación auditoría continua: Sistemas para desarrollar análisis en tiempo real. Un enfoque de
auditoría continua permite a los auditores internos comprender en profundidad los puntos de
control crítico, las reglas, y las excepciones, con análisis de datos frecuentes y automatizados,
pueden realizar evaluaciones de riesgos y controles prácticamente en tiempo real.

Herramientas de monitoreo y Administración

Cobit: es un marco de gestión de TI desarrollado por ISACA para ayudar a las empresas a
desarrollar, organizar e implementar estrategias en torno a la gestión de la información y la
gobernanza. Se basa en el seguimiento de los siguientes principios:

 Cumplir con las necesidades clave de los interesados

  Cubrir la empresa de extremo a extremo
 Integrar múltiples marcos bajo un paraguas
 Fomentar un enfoque holístico para los negocios
 Alejar el gobierno de la administración

Nmap: es el programa gratuito por excelencia para descubrir todos los hosts que hay en una o
varias redes, así como qué puertos tiene abiertos un determinado host, y también nos permite
saber qué servicio hay detrás de dicho puerto abierto, ya que analiza todo el tráfico que
devuelve para intentar «adivinar» el programa utilizado, con la finalidad de explotar alguna
vulnerabilidad. Este programa también es capaz de detectar el tipo de sistema operativo y la
versión del sistema operativo que tenemos en un determinado host, y todo ello de manera
muy fácil y rápida. Se utiliza usado para pruebas de penetración y tareas de seguridad
informática en general.

SE Audit es un software planificado para ayudar a las organizaciones a administrar la amplia

gama de actividades, datos y procesos relacionados con las auditorías en un ambiente único y
amplio. Proporciona la flexibilidad de soportar todos los tipos de auditoría, incluyendo
auditorías internas, operacionales, de TI, de proveedores, de riesgos/controles y auditorías de
calidad. El sistema también ofrece funcionalidades para administrar el ciclo de vida completo
de una auditoría – incluyendo planificación, programación, preparación, desarrollo de planes
de auditoría estándar y checklists, colecta de datos, ejecución, informes y monitoreo.

SQLAut: es un software que hace uso de eventos extendidos para permitirle auditar todo lo
que pasa en su servidor, desde cambios en la configuración del servidor hasta quién modificó
un valor en una tabla específica de la base de datos. Esta información es luego escrita en el
registro de seguridad de Windows, el registro de la aplicación Windows o un archivo plano.
 Referencias Bibliograficas
ISOTools EXCELLENCE (2008) ¿Cuál es la terminología que utiliza la nueva ISO 31000?
Recuperado de: https://www.isotools.org/2018/02/28/la-terminologia-utiliza-la-nueva-iso-
31000/

Riesgo Informatico (2014) Riesgo informatico: Riesgo informatico. Recuperado de:

http://uniminutocontaduriapublica343875.blogspot.com/p/riesfgo-informatico.html

Ealde (2017) 7 herramientas para la evaluación de riesgos. Recuperado de:

https://www.ealde.es/herramientas-evaluacion-de-riesgos/

Escuela Europea de Excelencia (2017) Cómo realizar una Evaluación del Riesgo de Auditoría.
Recuperado de: https://www.escuelaeuropeaexcelencia.com/2017/09/realizar-una-
evaluacion-del-riesgo-de-auditoria/

CNE (1997) Modulo de Capacitación - Desastres y Emergencias Tecnológicas. Recuperado de:

http://helid.digicollection.org/en/d/Jcne05/1.1.html

(2013). Riesgo Tecnológico definiciones y origen. Recuperado de:

http://riesgotecnologico.blogspot.com/

equipo DATADEC (2019) CLAVES PARA IDENTIFICAR LOS RIESGOS TECNOLÓGICOS TIC.
Recuperado de: https://www.datadec.es/blog/claves-para-identificar-los-riesgos-tecnologicos-
tic

Equipo Auditool (2016) Técnicas de Auditoría Asistidas por Computador – TAAC. Recuperado
de: https://www.auditool.org/blog/auditoria-externa/4560-tecnicas-de-auditoria-asistidas-
por-computador-taac

Escuela Europea de Excelencia (2018) 5 Herramientas de auditoría interna de calidad

Recuperado de: https://www.escuelaeuropeaexcelencia.com/2018/06/5-herramientas-de-
auditoria-interna-de-calidad/

Nahun Frett( 2015) 5 Herramientas indispensables para un auditor interno en la era digital.
Recuperado de: https://www.auditool.org/blog/auditoria-interna/3685-5-herramientas-
indispensables-para-un-auditor-interno-en-la-era-digital

Sergio De Luz (2019) Nmap: Descarga, instalación y manual de uso paso a paso. Recuperado
de: https://www.redeszone.net/seguridad-informatica/nmap/

(2017) HERRAMIENTAS DEL AUDITOR DE SISTEMAS. Recuperado de:

http://auditoriasistemaseinfo.blogspot.com/2017/06/herramientas-del-auditor-de-
sistemas.html

Sarah K. White (2017)¿Qué es COBIT? Un marco para la alineación y la gobernanza.

Recuperado de: https://www.networkworld.es/archive/que-es-cobit-un-marco-para-la-
alineacion-y-la-gobernanza

Exintec Solutions, redacción (S.F) SE AUDIT. Recuperado de: https://exintec.com/contenido/se-

audit/
Minette Steynberg. (2016) Entendiendo SQL Server Audit. Recuperado de:
https://www.sqlshack.com/es/entendiendo-sql-server-audit/