Auditoría Informática

Cuestionario Unidades del V al X

Ing. Wanda Castillo
Tema V DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS
ÉTICOS

1. ¿Qué es Deontología?

Como deontología se denomina la ciencia que trata sobre el conjunto de deberes y

principios éticos que conciernen a cada profesión, oficio o ámbito laboral. Parte de la
ética que trata de los deberes y principios que afectan a una profesión.

2. ¿Qué es el “Código Deontológico”?

Es un documento que recoge un conjunto más o menos amplio de criterios, apoyados en

la deontología con normas y valores que formulan y asumen quienes llevan a cabo
correctamente una actividad profesional.

3. Mencione todos los principios Deontológicos y defina tres de ellos.

· Principios de calidad

· Principios de capacidad

· Principios de cautelas

· Principios de comportamiento profesional

· Principio de concentración en el trabajo

· Principios de confianza

· Principio de criterio propio

· Principio de discreción.

· Principio de formación continuada

· Principio de fortalecimiento y respeto de la profesión.

· Principio de integridad moral

· Principio de legalidad

· Principio de responsabilidad

· Principio de secreto profesional

· Principio de veracidad

Confidencialidad

Respetará el carácter confidencial de la información que conozca en razón de su

actividad, no la utilizará en beneficio propio o de terceros ni la divulgará ni permitirá
que otros lo hagan, salvo en los casos contemplados por la ley o con el consentimiento
de su mandante.

Legalidad

Actuará siempre conforme a las normas legales, a los códigos de conducta de la

profesión y a las normas de la institución en la que trabaja o con la que colabora.

Responsabilidad

En todo momento asumirá la responsabilidad por sus propias acciones y por las de sus
colaboradores, y estará siempre dispuesto a dar cuenta de sus decisiones y criterios ante
su empleador y ante quienes tengan derecho a conocerlas

Tema VI PRINCIPALES AREAS DE LA AUDITORIA INFORMATICA

1. ¿Qué es Seguridad?
Seguridad (del latín securitas)1 cotidianamente se puede referir a la ausencia
de riesgo o a la confianza en algo o en alguien. Sin embargo, el término puede
tomar diversos sentidos según el área o campo a la que haga referencia en la
seguridad. En términos generales, la seguridad se define como "el estado de
bienestar que percibe y disfruta el ser humano".

2. Menciones los tres (3) tipos de seguridad y defínalas.

Seguridad de hardware: La seguridad de hardware se puede relacionar con un

dispositivo que se utiliza para escanear un sistema o controlar el tráfico de red.
Los ejemplos más comunes incluyen cortafuegos o firewalls de hardware y
servidores proxy.

Seguridad de software: La seguridad de software se utiliza para proteger el

software contra ataques maliciosos de hackers y otros riesgos, de forma que
nuestro software siga funcionando correctamente con este tipo de riesgos
potenciales. Esta seguridad de software es necesaria para proporcionar integridad,
autenticación y disponibilidad.

Seguridad de red: La seguridad de red se refiere a cualesquiera actividades

diseñadas para proteger la red. En concreto, estas actividades protegen la
facilidad de uso, fiabilidad, integridad y seguridad de su red y datos. La seguridad
 de red efectiva se dirige a una variedad de amenazas y la forma de impedir que
entren o se difundan en una red de dispositivos.

3. Mencione 5 de las principales amenazas que se prevén en la seguridad física.

4. Describa los aspectos básicos del antes, durante y después de una amenaza en la
seguridad física.

5. ¿Qué es el CPD? (centro de procesamiento de datos)

6. Defina Auditoría Física.  LA AUDITORIA FISICA se encarga de comprobar la

existencia de los medios físicos así como su funcionalidad, racionalidad y
seguridad

7. Menciones los objetivos de la Auditoría Física.

 Edificio• Instalaciones• Equipamiento y telecomunicaciones• Datos• Personas

8. ¿Qué es un plan de contingencia? es un instrumento de gestión para el manejo

de las Tecnologías de la Información y las Comunicaciones en el dominio del
soporte y el desempeño (delivery and support, véase ITIL).

Tema VII AUDITORIA DEL DESARROLLO

9. Importancia de la Auditoría de Desarrollo.

 Los avances en tecnologías de los computadores han hecho que actualmente el

desafío más importante y el principal factor de éxito de la informática sea la
mejora de la calidad del software.
 El gasto destinado a software es cada vez superior al que se dedica a hardware.

 El software como producto es muy difícil de validar. Un mayor control en el

proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de
mantenimiento.

 El índice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota

la inexistencia o mal funcionamiento de los controles en este proceso.

 Las aplicaciones informáticas, que son el producto principal obtenido al final del
desarrollo, pasan a ser la herramienta de trabajo principal de las áreas
informatizadas, convirtiéndose en un factor esencial para la gestión y la toma de
decisiones.
 10.Mencione las Etapas del Desarrollo de un Sistema, defínalos y resalte sus
objetivos principales.
Análisis de requisitos: Extraer los requisitos de un producto de software es la
primera etapa para crearlo. 

Diseño y arquitectura: Se refiere a determinar como funcionará de forma general

sin entrar en detalles. Consiste en incorporar consideraciones de la implementación
tecnológica, como el hardware, la red, etc. 

Programación: Reducir un diseño a código puede ser la parte más obvia del trabajo
de ingeniería de software, pero no es necesariamente la porción más larga. La
complejidad y la duración de esta etapa está íntimamente ligada al o a los lenguajes de
programación utilizados.

Pruebas: Consiste en comprobar que el software realice correctamente las tareas

indicadas en la especificación. Una técnica de prueba es probar por separado cada
módulo del software, y luego probarlo de forma integral, para así llegar al objetivo.

Documentación: Todo lo concerniente a la documentación del propio desarrollo del

software y de la gestión del proyecto, pasando por modelaciones (UML), diagramas,
pruebas, manuales de usuario, manuales técnicos, etc; todo con el propósito de
eventuales correcciones, usabilidad, mantenimiento futuro y ampliaciones al sistema.

Mantenimiento: Mantener y mejorar el software para enfrentar errores descubiertos y

nuevos requisitos. Esto puede llevar más tiempo incluso que el desarrollo inicial del
software.
Tema VIII Auditoría de Base de Datos.

11. ¿Qué es una Base de Datos?

Una base de datos es un conjunto de datos pertenecientes a un mismo contexto
y almacenados sistemáticamente para su posterior uso, para evitar redundancias.

12.¿Qué es Auditoría de Base de Datos?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos
a la información almacenada en las bases de datos incluyendo la capacidad de
determinar:

 Quién accede a los datos.

 Cuándo se accedió a los datos.
 Desde qué tipo de dispositivo/aplicación.
 Desde que ubicación en la Red.
 Cuál fue la sentencia SQL ejecutada.
 Cuál fue el efecto del acceso a la base de datos.

13.Site las dos (2) Metodologías para la auditoria de base de datos.

 Metodología tradicional
 Metodología de Evaluación de Riesgos

14. ¿En qué consiste la Metodología tradicional?

Metodología Tradicional El auditor revisa el entorno con la ayuda de una lista de
control, que consta de una serie de cuestiones S cuando la respuesta es
afirmativa, N en caso contrario y NA no aplicable.

15.¿En qué consiste la Metodología de Evaluación de Riesgos?

 METODOLOGIA DE EVALUACION DE RIESGOS En este tipo de
metodología se deben seguir una secuencia de pasos los cuales son: Objetivo de
Control Fijar los objetivos de Control minimizan y Técnica de Control.

16.¿Cuáles son los objetivos de control que minimizan los riesgos potenciales a
los que está sometida una base de datos en la Metodología de evaluación de
riesgos? Y explique en qué consisten cada uno de ellos.
Los objetivos de Control minimizan los riesgos potenciales a los que se somete
el entorno. Técnica de Control Se establece los tipos de Usuario, perfiles y
Privilegios necesarios para controlar el acceso a la base de datos.

17.Site los objetivos y técnicas de control a tener en cuenta a lo largo del ciclo
de vida de una base de datos. Puede hacer referencia al cuadro.

Técnica de Control Se establece los tipos de Usuario, perfiles y Privilegios

necesarios para controlar el acceso a la base de datos.

18.Diga brevemente en qué consisten cada uno de los cinco (5) objetivos de
control del ciclo de vida de una base de datos.

 Estudio Previo y Plan de Trabajo Se elabora un estudio tecnológico de

viabilidad en el cual se contemplen distintas alternativas para alcanzar los
objetivos del proyecto acompañados de un análisis coste-beneficio para cada una
de las opciones.

 Concepción de la BD Y Selección del Equipo En esta etapa se empieza a

diseñar la base de datos. La metodología de diseño determina si es o no
aceptable, y luego comprueba su correcta utilización.

 DISEÑO Y CARGA Se llevan a cabo los diseños lógico y Físico de la BD, el

auditor tendrá que examinar si estos diseños se han realizado correctamente;
determinando si la definición de los datos contempla además de su estructura, las
asociaciones y las restricciones oportunas, así como las especificaciones de
almacenamiento de datos y las cuestiones relativas a la seguridad.

 EXPLOTACION Y MANTENIMIENTO Se comprueba que se establezcan

los procedimientos de explotación y mantenimiento que aseguren que los datos
se tratan de forma congruente y exacta y que el contenido solo tendrá
modificaciones mediante la autorización adecuada.

 REVISION POST-IMPLANTACION En bastantes organizaciones omiten esta

fase pos falta de tiempo o recursos, pero es necesario contar con una revisión
post-implantación del sistema nuevo o modificado con el fin de evaluar: Se han
conseguido los resultados esperados. Se satisfacen las necesidades de los
usuarios. Los costes y beneficios coinciden con los previstos.
 19.¿Qué es un Sistema de gestión de bases de datos?
Un sistema gestor de base de datos (SGBD) es un conjunto de programas que
permiten el almacenamiento, modificación y extracción de la información en
una base de datos .Los usuarios pueden acceder a la información usando
herramientas específicas de consulta y de generación de informes, o bien
mediante aplicaciones al efecto.

20.¿Para qué sirven los Softwares de Auditoría?

Los Softwares de Auditoría son paquetes que sirven o facilitan la labor del
auditor, en cuanto a la extracción de datos de la BD, el seguimiento de las
transacciones, datos de prueba, etc.

21.¿Para qué se utiliza una Herramienta CASE?

Estas herramientas nos pueden ayudar en todos los aspectos del ciclo de vida de
desarrollo del software en tareas como el diseño de proyectos, cálculo de costes,
implementación de parte del código automáticamente con el diseño dado,
Compilación automática, documentación o detección de errores entre otras.

22.¿Qué es un Diccionario de datos?

Un diccionario de datos, o repositorio de metadatos, como lo define el IBM

Dictionary of Computing, es un repositorio centralizado de información sobre
datos tales como significado, relación con otros datos, origen, uso y formato

23.¿Qué ofrecen las Herramientas de Minería de Datos?

Utiliza los métodos de la inteligencia artificial, aprendizaje

automático, estadística y sistemas de bases de datos. El objetivo general del
proceso de minería de datos consiste en extraer información de un conjunto de
datos y transformarla en una estructura comprensible para su uso posterior.

Tema IX- Auditoría en Redes

24.¿Cuál es el modelo más común de referencia para la Auditoría en Redes?
El modelo OSI.

25.¿De cuántas capas consta el Modelo OSI y cuáles son?

De 7: aplicación, presentación, sesión, transporte, red, vinculo de datos y física.

26.Defina la capa de Aplicación y mencione sus características principales

 Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás
capas y define los protocolos que utilizan las aplicaciones para intercambiar
datos, como correo electrónico (Post Office Protocol y SMTP), gestores de bases
de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones
distintas y puesto que continuamente se desarrollan nuevas aplicaciones el
número de protocolos crece sin parar.

27.Defina la capa de Presentación y mencione sus características principales.

Esta capa es la primera en trabajar más el contenido de la comunicación que el
cómo se establece la misma. En ella se tratan aspectos tales como la semántica y
la sintaxis de los datos transmitidos, ya que distintas computadoras pueden tener
diferentes formas de manejarlas. El objetivo es encargarse de
la representación de la información, de manera que aunque distintos equipos
puedan tener diferentes representaciones internas de caracteres, los datos lleguen
de manera reconocible.

28.Defina la capa de Sesión y mencione sus características principales.

Esta capa es la que se encarga de mantener y controlar el enlace establecido entre
dos computadores que están transmitiendo datos de cualquier índole. Por lo tanto,
el servicio provisto por esta capa es la capacidad de asegurar que, dada una sesión
establecida entre dos máquinas, la misma se pueda efectuar para las operaciones
definidas de principio a fin, reanudándolas en caso de interrupción.10 En muchos
casos, los servicios de la capa de sesión son parcial o totalmente prescindibles.

29.Defina la capa de Transporte y mencione sus características principales.

Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la
máquina origen a la de destino, independientemente del tipo de red física que esté utilizando.

30.Defina la capa de Red y mencione sus características principales.

Se encarga de identificar el enrutamiento existente entre una o más redes. Las unidades de datos se
denominan paquetes, y se pueden clasificar en protocolos enrutables y protocolos de enrutamiento. En
este nivel se realiza el direccionamiento lógico y la determinación de la ruta de los datos hasta su
receptor final.

31.Defina la capa de Enlace de Datos y mencione sus características

principales.
Transforma los paquetes de información en tramas adaptadas a los dispositivos
físicos sobre los cuales se realiza la transmisión

32.Defina la capa Física y mencione sus características principales.

Es la capa más baja del modelo OSI. Es la que se encarga de la topología de red y
de las conexiones globales de la computadora hacia la red, se refiere tanto al
medio físico como a la forma en la que se transmite la información.
Sus principales funciones se pueden resumir como:
 Definir el medio o medios físicos por los que va a viajar la comunicación: cable
de pares trenzados (o no, como en RS232/EIA232), cable coaxial, guías de onda,
aire, fibra óptica.

33.¿En qué consisten los Métodos de Caja Negra y Caja Blanca?

Estos métodos de Caja Negra y Caja Blanca consisten en la vulnerabilidad:
• Vulnerabilidades de implementación
• Vulnerabilidades de configuración
• Vulnerabilidades de dispositivo
• Vulnerabilidades de protocolo
• Vulnerabilidades de aplicación

34.Mencione las principales vulnerabilidades que afectan las Redes.

 Vulnerabilidades de implementación
 Vulnerabilidades de configuración
 Vulnerabilidades de dispositivo
 Vulnerabilidades de protocolo
 Vulnerabilidades de aplicación

35.Describa los pasos para detectar un vulnerabilidad.

 Acuerdo de confidencialidad entre las partes
 Establecer las reglas de juego
 Reunión de información
 Test interior
 Test exterior
 Documentación e informe

36.Mencione las características de los protocolos.

 Detección de la conexión física subyacente (con cable o inalámbrica), o la

existencia de otro punto final o nodo.
 Handshaking.
 Negociación de varias características de la conexión.
 Cómo iniciar y finalizar un mensaje.
 Procedimientos en el formateo de un mensaje.
 Qué hacer con mensajes corruptos o formateados incorrectamente (corrección de
errores).
 Cómo detectar una pérdida inesperada de la conexión, y qué hacer entonces.
 Terminación de la sesión y/o conexión.
 37.Mencione los protocolos más comunes.
• Los protocolos más comunes son: IP, UDP, TCP, DHCP, FTP, TELNET, SSH,
POP3, SMTP, IMAP y SOAP.

38.Mencione dos (2) de las áreas que deben auditarse en la Gerencia de

Comunicaciones.
Ha de verse las siguientes áreas:
a. La gestión de red, los equipos y su conectividad.
b. La monitorización de las comunicaciones.

39.Mencione dos (2) de los objetivos de control con los que debe cumplir la
Gerencia de Comunicaciones.
Cumpliendo como objetivos de control:
a. Tener una gerencia de comunicaciones con plena autoridad de voto y
acción.
b. Llevar un registro actualizado de módems, controladores, terminales, líneas
y todo equipo relacionado con las comunicaciones.

40.Site tres (3) de las situaciones que deben ser monitoreadas en la red (lógica)
para evitar anomalías que puedan causar daños internos en la red.
Es necesario monitorizar la red, revisar los errores o situaciones anómalas que se
producen, para evitar un daño interno. Para evitar estas situaciones anómalas se
debe:
a. Dar contraseñas de acceso.
b. Controlar los errores.
c. Cambiar la ruta de acceso de la información a la red.
´

41.Site tres (3) de los controles de la “Lista de control de Acceso” a tomar en

cuenta en una red lógica.
a. Solicita usuario y contraseña para cada sesión.
b. No permitir acceso a ningún programa sin identificar ni autenticar.
c. Inhabilitar al usuario después de n intentos fallidos.

42.¿Cuáles aspectos (controles) de forma general deben tomarse en cuenta para

garantizar la seguridad de una red física?
 Generar estadísticas de errores y transmisión.
 Crear protocolos con detección de errores.
 Identificación de los mensajes lógicos.
 Contar con rutas alternativas de comunicación.
 Protección de datos sensibles.
 Asegurar que exista un mecanismo de cifrado.
 Implantar políticas de prohibición para instalar programas o equipos personales.
  La propia empresa se generará auto ataques.

Tema X Auditoría de la Calidad.

43.¿Qué es calidad?
La calidad es una propiedad inherente de cualquier cosa que permite que la misma sea valorada con
respecto a cualquier otra de su misma especie. La palabra calidad tiene múltiples significados. De forma
básica, se refiere al conjunto de propiedades inherentes a un objeto que le confieren capacidad para
satisfacer necesidades implícitas o explícitas

44. ¿Qué es Auditoría según la EEA?

Es la herramienta de valoraciones. Es un documento interpersonal de examen y

análisis de evidencia objetivas.

45.¿Cuál es el objetivo principal de la Auditoría?

Evaluar los aspectos productivos, administrativos, contables, económicos y

financieros relativos a la actividad desarrollada por la Asociación Cooperadora
(AC) de la Estación Experimental Agropecuaria (EEA) Misiones y el
cumplimiento de la normativa vigente.

46.Describa las razones para realizar una Auditoría.

En ocasiones es conveniente realizar una evaluación más específica, para
certificar que las acciones y los resultados obtenidos a través de los procesos de
calidad son los esperados, comprobar que el sistema de gestión se ejecuta según
lo planificado y asegurar si el sistema es realmente eficaz para alcanzar los
objetivos de calidad definidos. Este análisis y valoración se realiza a través de
una auditoría de calidad.

47.Mencione y defina las características de calidad del software según el

modelo definido en la norma ISO 9126.

MANTENIBILIDAD: hacer modificación.

PORTABILIDAD: habilidad del software para ser transferido a otro entorno.
USABILIDAD: esfuerzo necesario para usuarios.
EFICIENCIA: nivel de rendimiento del software y la cantidad mínima de
recursos.