REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL DE LAS FUERZAS ARMADAS
NACIONAL BOLIVARIANA
NÚCLEO: MIRANDA –EXTENSIÓN SANTA TERESA DEL TUY
CARRERA: INGENIERÍA DE SISTEMAS
SECCIÓN: 08S-2615-D01
ASIGNATURA: AUDITORIA DE SISTEMAS

Estánd
ares de
docume
ntación PROFESORA:
BACHILLER:

y ERIKA PARACO VOLCAN ANDERSON RONDON

ROGER MIJARES

segurid MARZO 2020

YALETZA MARTÍNEZ

ad LISTA DE VERIFICACIÓN

informá Una lista de verificación, en inglés: checklist, es una

herramienta que se utiliza en diversos ámbitos de la

tica gestión de las organizaciones para extraer una

serie de propiedades de aquello que se somete a
estudio.
La lista de verificación es una de las formas más objetivas de valorar el estado de
aquello que se somete a control. El carácter cerrado de las respuestas
proporciona esta objetividad, pero también elimina información que puede ser útil
porque no recoge todos los matices, detalles, y singularidades.

Instrumento que contiene criterios o indicadores a partir de los cuales se miden y

evalúan las características del objeto, comprobando si cumple con los atributos
establecidos. La lista de verificación se utiliza básicamente en la práctica de la
investigación que forma parte del proceso de evaluación.

INSTRUMENTOS DE RECOPILACIÓN DE INFORMES

 Experimentación

Al utilizar estas herramientas, métodos y procedimientos en auditoria de sistemas,

lo que se hace es utilizar lo mejor de ellas para adecuarlas a las necesidades
específicas de evaluación requerida.

 Entrevista

Es la principal actividad de un auditor sin importar el tipo de auditoria que se

realice, es la recopilación de conformación sobre el aspecto que va auditar, pues
concentra y tabular esa conformación en cuadros Y estadísticas analiza sus
resultados y emite un juicio sobre lo que evaluó. Una entrevista consta de inicio,
apertura, cima y cierre.

 Cuestionarios:
Es la recopilación de datos mediante preguntas impresas en la que el encuestado
responde mediante su criterio. Que luego el auditor convierte en información
valiosa para realizar su trabajo.

Ventajas: Facilitan la recopilación de información y no necesitan muchas

explicaciones Permiten la rápida fabulación e interpretación. Evitan la dispersión
de la información requerida. Son fáciles de aplicar y ayudan a recopilar mucha
información en poco tiempo. Hacen impersonal las respuestas por lo tanto en una
auditoria ayuda a recopilar información valiosa. Desventajas: Falta de profundidad
en las respuestas y no puede ir más allá del cuestionario.

 Encuesta:
Las encuestas constituyen una de las técnicas más populares y de mayor uso en
la auditoria.

 Observación:
Es la acción de observar y mirar detenidamente, esta técnica es muy utilizada por
los auditores ya que les permite recolectar directamente la información necesaria.
La acción de observar es el hecho de examinar, analizar, advertir, o estudiar algo
en este caso el auditor observa todo lo relacionado con los sistemas de una
empresa.

 Inventario
Esta forma de recopilación de información consiste en hacer un recuento físico de
lo que se está auditando a fin de saber la cantidad existente de algún producto en
una fecha determinada y comprarla con la que debía haber según los documentos
en esa misma fecha. Consiste en comprar las cantidades reales existentes con las
que beberían haber para ver si son iguales o no.

 Muestreo
Para emitir una opinión fundamentada sobre los funcionamientos de las
operaciones un auditor debe tener información segura pero se le hace imposible e
inoperante revisar todas las transacciones, razón por la cual debe tomar una
muestra representativa de cada una de las labores de la población auditada. El
cual consiste en una muestra representativa del total de la población.
  Experimentación
Es una de las técnicas que más ayudan al auditor a recopilar información la
experimentación es quien lleva a cabo la auditoria puede participar activamente o
no en la observación de fenómenos. Entre los tipos de experimentos que daremos
a conocer están: Experimentos exploratorios

Experimento confirmatorios
Experimento cruciales

Papeles de trabajo (para la auditoría de sistemas computaciones)

A lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas

evidentes de lo realizado, no solo como recordatorio fundado de su actuación con
las necesarias matizaciones para emitir el informe, sino como medio de demostrar,
en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar
los procedimientos de auditoría utilizados, así como la interpretación dada en cada
caso a los hechos, con las conclusiones obtenidas.

Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de

documentos preparados por un auditor, que le permite disponer de una
información y de pruebas efectuadas durante su actuación profesional en la
empresa, así como las decisiones tomadas para formar su opinión.

Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la

supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a
cabo para respaldar la opinión del auditor.

OBJETIVOS DE LOS PAPELES DE TRABAJOS

 Servir como evidencia del trabajo realizado y de soporte de las
conclusiones del mismo.
 Presentar informes a las partes interesadas.
  Facilitar los medios para organizar, controlar, administrar y supervisar el
trabajo ejecutado en las oficinas del cliente.
 Facilitar la continuidad del trabajo en el caso de que un área deba ser
terminada por persona distinta de la que la inició.
 Facilitar la labor de revisiones posteriores y servir para la información y
evaluación personal.

AUDITORÍA A UN SISTEMA EN DESARROLLO

Uno de los aspectos más importantes dentro de este tipo de auditoría es la

evaluación del sistema de control interno, que permite conocer la situación actual
del área de desarrollo de pruebas de auditoría, orientadas a levantar la evidencia
requerida para sustentar las sugerencias de control interno dirigidas a la alta
dirección.

Como se trata de la auditoria operacional al área de informática, este estudio debe

hacerse sobre la base de comprobar la aplicación permanente de los siguientes
parámetros: economicidad, eficiencia y efectividad, lo cual implica una evaluación
evidentemente con visión gerencial.

Procedimientos de auditoría

Con base en los resultados de la evaluación del sistema de control interno,

definirán los procedimientos de pruebas de auditoría de tipo cumplimiento,
sustantivas y de doble finalidad que se consideran pertinentes en las distintas
circunstancias.

Para guiar el diseño y ejecución de las pruebas de auditoría, se toman como

puntos de referencia los elementos de control interno, en la forma expresada a
continuación:

Objetivos definidos:

1. Analice los objetivos del área de desarrollo de sistemas y emita su opinión

sobre su coherencia, alcance y posibilidad de cumplimiento.

2. Compruebe que se produjeron sistemas eficientes y efectivos.

3. Verifique si los usuarios están satisfechos con el trabajo del personal de
sistema.

4. Examine y evalué el sistema de control de calidad al desarrollo de sistemas.

5. Cerciórese si los objetivos están actualizados y debidamente documentados.

Estructura de Organización Sólida:

1. Verifique si la estructura organizacional se adapta a las reales necesidades de

la unidad de desarrollo de sistemas y de la entidad en general.

2. Analice los niveles jerárquicos y las líneas de autoridad y de responsabilidad.

3. Evalué el grado de segregación funcional, en el área de desarrollo de sistemas.

4. Analice los estándares vigentes para el desarrollo de sistemas.

5. Compruebe que la estructura organizacional está cuidadosamente

documentada.

¿Qué es una auditoría interna de desarrollo?

La auditoría de desarrollo, o "fundraising audit" en inglés, se refiere a un
autoanálisis institucional para evaluar la eficacia de los esfuerzos actuales de
procuración de fondos de la organización y para identificar capacidades y
debilidades en sus sistemas de desarrollo (personal, junta directiva, políticas
internas, y prácticas). La auditoría sirve para evaluar la preparación de la
organización para emprender nuevas inciativas de desarrollo de fondos y recursos.

AUDITORIA EN CENTRO DE COMPUTO

 La tecnología sobre la computación abunda y se utiliza en varias formas que
van desde lo visible hasta lo invisible, y de loe espectacular a lo rutinario.
En los negocios también las computadoras y los sistemas de información ocupan
un lugar muy especial, ya que hacen posible  la funcionalidad de las oficinas,
áreas, departamentos, entre otras incontables aplicaciones.Tanto como empresas
grandes como pequeñas, cuentan con diversos tipos de aplicaciones, y el algún
caso se requiere invertir muchas horas  de trabajo.
Función del centro de cómputo:
 Funciones básicas de un Centro de Cómputo
son servicios a diferentes áreas de una organización. Captura de datos para un
mejor manejo de información. Realización de estudios de factibilidad.
1.
Desarrollo de Sistemas incluyendo: Análisis, diseño, implementación, control y
documentación.
2. Operar el sistema de computación central y mantener el sistema disponible
para los usuarios.
3. Brindar la capacitación necesaria a los usuarios para el correcto uso de las
aplicaciones.
4. Realizar labores de mantenimiento y limpieza de los equipos.
5. Tener como prioridad el funcionamiento del equipo de cómputo.
6. Realizar las evaluaciones de las necesidades técnicas en Software y
Hardware

Formas de operar un centro de computo

Las formas de operar un centro de computo son consideradas por varios

autores como simples restricciones, es decir, el encargado del centro de
computo debe decidir (de acuerdo a las jerarquías existentes en el centro
de computo) quienes tendrán acceso a todo tipo de información y quienes
no lo tendrán de acuerdo al área del centro de computo en que
desempeñan sus labores.

Departamento de operación

Este departamento es el encargado de operar y/ó manipular el sistema, los

datos del mismo, y el equipo con que cuenta la empresa; en otras palabras
el software y el hardware.Esta área se encarga de brindar los servicios
requeridos para el proceso de datos, como son el preparar los datos y
suministros necesarios para la sala de cómputo, manejar los equipos
periféricos y vigilar que los elementos del sistema funcionen
adecuadamente.
 En esencia el personal del área operativa se encarga de alimentar datos a
la computadora, operar el "hardware" necesario y obtener la información
resultante del proceso de datos.
Los operadores de computadoras preparan y limpian todo el equipo que se
utiliza en el proceso de datos, mantienen y vigilan las bitácoras e informes
de la computadora, montan y desmontan discos y cintas durante los
procesos y colocan las formas continuas para la impresión.
También documentan las actividades diarias, los suministros empleados y
cualquier condición anormal que se presente.

Departamento de producción y control

Este departamento se encarga de verificar que los programas o sistemas
que se producen en el departamento de sistemas de cómputo estén
correctamente estructurados. Así mismo le compete a este departamento, probar
el sistema ó programa tantas veces como sea necesario hasta estar seguro de su
correcto funcionamiento. Tanto la Producción como el Control de Calidad de la
misma, son parte de las funciones de este Departamento.

Funciones.

 Construir soluciones integrales (aplicaciones) a las necesidades de

información de los usuarios.
 Usar las técnicas de construcción de sistemas de información orientadas
netamente a la productividad del personal y a la satisfacción plena del usuario.
 Construir equipos de trabajo con la participación del usuario y del personal
técnico de acuerdo a metodologías establecidas.
 Mantener comunicados a los usuarios y a sus colaboradores de los avances,
atrasos y problemas que se presentan rutinariamente y cuando sea necesario
a través de medios establecidos formalmente, como el uso de correo
electrónico, mensajes relámpagos o flash.
Control de calidad de procesamiento

La calidad del procesamiento depende definitivamente en la habilidad del centro

de datos para procesar todas las entradas recibidas para utilizar los archivos
correctos y para distribuir las salidas apropiadamente. Cuando estos controles
básicos de calidad están ausentes, la entrada es extraviada o sólo parcialmente
procesada, son usados los archivos incorrectos o posiblemente hasta destruidos, y
las salidas son procesadas inapropiadamente, distribuidas incorrectamente o
hasta perdidas.
Seguridad en centros de cómputo

Seguridad es el conjunto de normas preventivas y operativas, con apoyo de

procedimientos, programas, sistemas, y equipos de seguridad y protección,
orientados a neutralizar, minimizar y controlar los efectos de actos ilícitos o
situaciones de emergencia, que afecten y lesionen a las personas o los bienes de
la misma.

1. Controles de Implementación: auditan el proceso de desarrollo de sistemas en

diversos puntos para asegurarse que esté adecuadamente controlado y
administrado.
2. Controles para el software: sirven para asegurar la seguridad y confiabilidad del
software.
3. Controles para el hardware: controles que aseguran la seguridad física y el
correcto funcionamiento del hardware de cómputo.
4. Controles de operaciones de cómputo: se aplican al trabajo del departamento
de cómputo para asegurar que los procedimientos programados sean consistentes
y correctamente aplicados al almacenamiento y procesamiento de los datos.
5. Controles de seguridad de los datos: aseguran que los archivos de datos en
disco o medios secundarios no se expongan a accesos, cambios o destrucción no
autorizados.
6. Controles administrativos: son normas, reglas, procedimientos y disciplinas
formales para asegurar que los controles de la institución se ejecuten y se
respeten de manera adecuada.
LA SEGURIDAD EN EL AREA DE LA INFORMATICA
Una auditoría de seguridad informática o auditoría de seguridad de
sistemas de información (SI) es el estudio que comprende el análisis y gestión de
sistemas llevados a cabo por profesionales para identificar, enumerar y
posteriormente describir las diversas vulnerabilidades que pudieran presentarse
en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones
o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los
responsables quienes deberán establecer medidas preventivas de refuerzo y/o
corrección siguiendo siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas aprendiendo de los errores
cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su
realización cuál es la situación exacta de sus activos de información en cuanto a
protección, control y medidas de seguridad.

POLITICAS DE SEGURIDAD
• Identificar y seleccionar lo que se debe proteger (información sensible).
• Establecer niveles de prioridad e importancia sobre esta información.
• Conocer las consecuencias que traería a la compañía, en lo que se refiere a
costos y productividad, la pérdida de datos sensibles.
• Identificar las amenazas, así como los niveles de vulnerabilidad de la red.
• Realizar un análisis de costos en la prevención y recuperación de la
información, en caso de sufrir un ataque y perderla.
• Implementar respuesta a incidentes y recuperación para disminuir el
impacto.
FASES DE UNA AUDITORÍA
Los servicios de auditoría constan de las siguientes fases:
• Enumeración de redes, topologías y protocolos
•Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT, etc.
• Identificación de los sistemas operativos instalados
• Análisis de servicios y aplicaciones
• Detección, comprobación y evaluación de vulnerabilidades
• Medidas específicas de corrección
• Recomendaciones sobre implantación de medidas preventivas.
TIPOS DE AUDITORÍA
Los servicios de auditoría pueden ser de distinta índole:
•Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de
seguridad y privacidad de las redes locales y corporativas de carácter interno
•Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red
local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en
las entradas exteriores
• Test de intrusión. El test de intrusión es un método de auditoría mediante
el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a
la intrusión no deseada. Es un complemento fundamental para la auditoría
perimetral.
• Análisis forense. El análisis forense es una metodología de estudio ideal
para el análisis posterior de incidentes, mediante el cual se trata de reconstruir
cómo se ha penetrado en el sistema, a la par que se valoran los daños
ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis
se denomina análisis postmortem.
• Auditoría de páginas web. Entendida como el análisis externo de la web,
comprobando vulnerabilidades como la inyección de código sql, Verificación de
existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
• Auditoría de código de aplicaciones. Análisis del código tanto de
aplicaciones páginas Web como de cualquier tipo de aplicación,
independientemente del lenguaje empleado
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de
seguridad aplicados a los sistemas de información. Acciones como el constante
cambio en las configuraciones, la instalación de parches, actualización de los
softwares y la adquisición de nuevo hardware hacen necesario que los sistemas
estén continuamente verificados mediante auditoría.
ESTÁNDARES DE AUDITORÍA INFORMÁTICA Y DE SEGURIDAD
Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas
prácticas sugeridas. Existen estándares orientados a servir como base para
auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la
Tecnologías de la Información), dentro de los objetivos definidos como parámetro,
se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este
estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un
código internacional de buenas prácticas de seguridad de la información, este
puede constituirse como una directriz de auditoría apoyándose de otros
estándares de seguridad de la información que definen los requisitos de auditoría
y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
 BIBLIOGARAFIA

Fuentes web consultadas

Https://scribbs/document/338156081/La-seguridad-en-el-area-de-la-
informatica.dock
http://auditoriadeuncentrodecomputo.blogspot.com/
msnseguridad.blogspot.com/2012/08/Control_y_seguridad_de_un_centro_de_cóm
puto