UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

DEPARTAMENTO DE SISTEMAS DE INFORMACIÓN, CONTROL Y EVALUACIÓN DE
RECURSOS INFORMÁTICOS

PROGRAMA DE CONTENIDO

ASIGNATURA: AUDITORÍA DE REDES

PRE-REQUSITO:
CÓDIGO: 0763 CREDITOS: 4
HORAS DE CLASES: 3 HORAS DE LAB.: 2

1. OBJETIVOS
General:
 Explicar el concepto general de auditoría y su importancia, el proceso de control, los
tipos de auditoría, su relación dentro de las diferentes estructuras organizacionales,
el rol y perfil del auditor, así como el análisis de las técnicas de evaluación de
control.
 Conocer los mecanismos necesarios para auditar una red informática, evaluando la
seguridad y el desempeño de la misma para lograr una mayor eficiencia y
seguridad de la información, aplicando para ello una metodología de auditoría
informática.

2. COMPETENCIAS

Una vez culminado el curso Auditoria de Redes, el estudiante será capaz de:
a. Comprender y apoyar los procesos de auditorías que ocurran a lo interno de una
organización.
b. Identificar oportunamente riesgos potenciales e impactos dentro de los ambientes
de redes.
c. Aplicar conceptos y mecanismos de control en los entornos de redes y de
comunicaciones en los que se desempeñe.
d. Apoyar en la evaluación y el control de los planes de contingencia que existan
dentro de una organización.

3. CONTENIDOS DE LA ASIGNATURA

CAPÍTULO I. IMPORTANCIA DE LA AUDITORIA (3 SEMANAS)

Objetivo Específico: Explicar los conceptos básicos de la Auditoría de Red para
fundamentar la estructura de una Auditoria.

1.0 Introducción
1.1 El proceso Administrativo y la Auditoria Informática
1.2 Conceptos Básicos de la Auditoría Informática
1.3 Importancia de la auditoría informática en una organización.
1.4 Tipos de Auditorias
1.4.1 Auditoría Interna (AI)
 1.4.2 Auditoría Externa (AE)
1.4.3. Diferencias y similitudes entre un tipo de auditoría y otra (AI vs AE)
1.5 Auditoría Informática
1.5.1 Auditoria de Redes
1.1.1 Auditoría Física
1.5.2 Auditoría de Sistemas Operativos
1.5.3 Auditoría de Sistemas en Producción
1.5.4 Auditoría de Bases de Datos
1.5.5 A la seguridad de los sistemas computacionales
1.5.6 Otras auditorías
CAPÍTULO II. ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA (1 SEMANA)
Objetivo Específico: Explicar las normativas que regulan la Auditoría de Redes, así
como la estructura organizacional de las empresas ejecutoras, para la aplicación de las
buenas prácticas en la gestión de la Auditoria.

2.0 Introducción
2.1 Normas Ético – Morales que Regulan la Actuación del Auditor
2.1.1 Marco Conceptual de la Ética
2.1.2 Principios de Axiología y Valores Éticos
2.1.3 Criterios y Responsabilidades del Auditor
2.1.4 Análisis del Perfil del Auditor Informático en Redes
2.2 Guía y estándares de la Profesión de Auditoría
2.2.1 Normas de Auditoría generalmente Aceptadas (GAAS)
2.2.2 COBIT
2.2.3 ISACA
2.2.4 VAL IT
2.3 Estructura de Organización de las Empresas y áreas dedicadas a la Auditoria
Informática.
2.3.1. Estructura de Organización de las Empresas dedicadas a la Auditoria
Externa.
2.3.2. Estructura de Organización de las Empresas dedicadas a la Auditoría
Interna.

CAPÍTULO III. METODOLOGÍA PARA REALIZAR AUDITORÍA INFORMÁTICA (2

SEMANAS)
Objetivo Específico: Definir una Metodología para la ejecución de la Auditoria

3.0 Introducción
3.1 Marco Conceptual de la metodología
3.2 Planeación de la Auditoría
3.2.1. Origen de la auditoría
3.2.2. Definición de los objetivos y definición del alcance.
3.2.3. Determinar los puntos a evaluar
3.2.4. Elaboración del plan y programas de auditoría.
3.2.5. Selección de las herramientas para la auditoría
Departamento de Sistemas de Información, Control y Evaluación de Recursos Informáticos 2
 3.2.6. Asignar los recursos y sistemas computacionales
3.3 Ejecución de la Auditoría
3.3.1 Conceptos básicos sobre papeles de trabajos
3.3.2 Ejecutar las acciones programas
3.3.3 Aplicar los instrumentos y herramientas para la auditoría
3.3.4 Elaborar los documentos de desviaciones
3.3.5 Integración de los documentos de trabajos
3.3.6 Preparación y discusión del borrador de auditoría.
3.4 Dictamen de la Auditoría
3.4.1 Elaboración final del informe de la auditoría
3.4.2. Presentación del informe de auditoría
3.4.3. Procesos post-auditoría. (Seguimientos).

CAPÍTULO IV. INSTRUMENTOS DE RECOPILACION DE DATOS Y TECNICAS DE

EVALUACION APLICABLES A UNA AUDITORIA DE RED. (1 SEMANA)
Objetivo Específico: Aplicar los Instrumentos de recopilación de datos y las Técnicas de
Auditoria Redes para el diagnóstico del cumplimento del control informático.

4.0 Introducción
4.1. Instrumentos de recopilación de datos
4.1.1. Entrevista
4.1.2. Cuestionario
4.1.3. Encuesta
4.1.4. Observación
4.1.5. Inventario
4.1.6. Muestreo
4.1.7. Experimentación
4.2. Técnicas de evaluación
4.2.1. El Examen
4.2.2. La Inspección
4.2.3. Confirmación
4.2.4. Comparación
4.2.5. Revisión Documental
4.2.6. Matriz de Evaluación
4.2.7. Otros

CAPÍTULO V. EL CONTROL Y RIESGOS EN EL USO DE LAS REDES

(2 SEMANAS)
 Objetivos Específicos: Explicar los principales mecanismos en el proceso de
evaluación de la estructura de control para validar el control en las auditorias de
redes.
 Identificar los riesgos inherentes a los distintos tipos de redes en los sistemas de
información para la propuesta de los correctivos del control.

Departamento de Sistemas de Información, Control y Evaluación de Recursos Informáticos 3

 Entender la forma de diseñar y poner en práctica los procedimientos de medidas
de control para gestionar eficazmente los riesgos en las redes.

5.0 Introducción
5.1 Evaluación de control en redes
5.1.1 Modelo OSI (Open Systems Interconection)
5.1.2 Topologías de Redes
5.1.3 Control en la Creación de la Red
5.1.3.1. Estación de Redes
5.1.3.2 Servidores
5.1.3.3 Hardware de Comunicaciones
5.2.1 Control en la Configuración de la Red
5.2.1.1 Físicos
5.2.1.2 Lógicos
5.3.1 Control en el Funcionamiento de la Red
5.3.2 Control de Personal
5.3.2.1. Usuario del Sistema
5.3.2.2. Perfiles de Usuarios
5.3.2.3 Capacitación
5.2 Análisis de Riesgos en el uso de las Redes
5.2.1 Definición de Riesgo
5.2.2 Amenazas
5.2.3 Tipos de Ataques
5.2.3.1 Troyanos
5.2.3.2 Anonimato
5.2.3.3 Spyware y web-bug
5.2.3.4 Espías en Programas
5.2.3.5 Net BIOS, otros
5.2.4 Técnicas que Mitigan las Amenazas
5.2.4.1 Divulgación y Concienciar
5.2.4.2 Control de Calidad: Auditoría, Pruebas, Vigilancia
5.2.4.3 Normas
5.2.4.4 Organización de la Seguridad y Pruebas
5.2.4.5 Escaneo estado de puertos
5.2.4.6 Test
5.2.4.7 Privacidad
5.2.4.8 Otros
5.3 Metodologías de Análisis de riesgos.
5.3.1 Identificación del Riesgo
5.3.2 Análisis del Riesgo
5.3.3 Descomposición del Riesgo
5.3.4 Reducción del Riesgo

Departamento de Sistemas de Información, Control y Evaluación de Recursos Informáticos 4

CAPÍTULO VI. PLAN DE CONTINGENCIA Y DE CONTINUIDAD DEL NEGOCIO
(2 SEMANAS)
 Objetivo Específico: Explicar la importancia y los parámetros de una Auditoria de
Red para aplicarlo a un plan de contingencia y de continuidad del negocio.

6.0 Introducción
6.1 Conceptos de un plan de contingencia y de continuidad del negocio
6.2 Impacto del plan de contingencia y de continuidad del negocio
6.3 El Ciclo de Auditoría a un plan de contingencia y de continuidad del negocio
con énfasis en la Red

CAPÍTULO VII. APLICACIÓN PRACTICA UTILIZANDO UNA METODOLOGIA DE

AUDITORIA PARA AUDITAR LOS SISTEMAS DE RED (5 SEMANAS)

Objetivo Específico: Aplicar una Metodología para la ejecución de la Auditoria de Redes

(En este punto el estudiante debe utilizar una metodología de auditoría de Redes
para el desarrollo del proyecto final aplicándola en diferentes tipos de auditoría.)

7.0. Introducción
7.1. Diseño de un programa de auditoria de Redes
7.2 Auditoría de Red Física
7.2.1Planeación de Auditoria de Red Física (Hardware y Topología)
7.2.2 Ejecución de Auditoria de Red Física.
7.2.3 El Informe de la Auditoría

7.3 Auditoría de Red Lógica

7.3.1. Planeación y Ejecución de Auditoria de Red Lógica (Software y
Aplicaciones)
7.3.2 Ejecución de Auditoria de Red Lógica.
7.3.3 El Informe de la Auditoría

4. TAREAS, INVESTIGACIONES Y PROYECTOS SUGERIDOS:

Tareas:
 Preparar mapa conceptual sobre diferencias y similitudes entre Auditoría Interna y
Externa.
 Enumerar en orden de importancia, según su criterio, habilidades reconocidas para
ejercer el rol de auditor.
Investigaciones:
 Revisar y presentar estructuras organizacionales a nivel de país que posean áreas
dedicadas a la Auditoría Informática (interna y externa)
Proyectos:
 Aplicar una metodología de auditoría sobre entornos o componentes de redes.
Departamento de Sistemas de Información, Control y Evaluación de Recursos Informáticos 5
OBSERVACIONES:
Considerar como requisito para los trabajos escritos y de investigación:
 Referencias bibliográficas: especificar nombre del libro, autor, edición, editorial,
fecha.
 Internet: Autores responsables, título del documento, URL del sitio, fecha de
creación o actualización del sitio, fecha de la consulta.
 Uso de un formato internacional aceptado (Ejemplo APA

5. EVALUACIÓN SUGERIDA:

CRITERIOS DE EVALUACIÓN PORCENTAJE

PARCIALES (MIN 2 MAX 4)* : %<=33 20%
SEMESTRAL (33 < % < 50)* 33%
PROYECTO FINAL 20%
LABORATORIOS TALLERES, EJERCICIOS CORTOS 15%
TAREAS 10%
PORTAFOLIO 2%
TOTAL : 100%

6. BIBLIOGRAFÍA RECOMENDADA
7. AUTOR AÑO LIBRO PAÍS EDITORIAL
*Muñoz Razo, Auditoría en Sistemas México Prentice Hall
2002
Carlos Computacionales (Pearson)
Gomez Vieites, Enciclopedia de la Seguridad México Alfaomega –
2011
Alvaro Informática Ra-Ma
España Limusa,
Aceituno Canal,
2006 Seguridad de la Información Noriega
Vicente
Editores
Piattini, Mario. Auditoría Informática. Un enfoque México Alfaomega
2001
Del Peso, Emilio práctico Grupo Editor
Piattini, Mario. Auditoría de Tecnologías y México Alfaomega –
2011
Del Peso, Emilio Sistemas de Información Ra-Ma
Laudon, Kenneth C. Sistemas de Información México
2012 Pearson
y Laudon, Jane P Gerencial
Sistemas de información para la Argentina
gestión empresarial.
Lardent, Alberto 2001 Prentice Hall
Procedimientos, Seguridad y
Auditoría
Fundamentos de Seguridad de México
Maiwald, Eric 2005 McGraw-Hill
Redes.
Fraud Risk Assessment. Building U.S.A John Wiley &
Vona, Leonard W 2008
a Fraud Audit Program. Sons
Coderre, David 2009 Computer Aided Fraud. Canadá John Wiley &
Prevention & Detection. A Step- Sons.
Departamento de Sistemas de Información, Control y Evaluación de Recursos Informáticos 6
 by-Step Guide.
Echenique, José 2001 Auditoría en Informática México Mc Graw-Hill

Referencias BIBLIOTECA on line (lecturas complementarias).

https://nuestrofuturo12061.wordpress.com/el-auditor-informatico/
http://site.ebrary.com/lib/utpanama/reader.action?docID=10460650&ppg=16

TESIS:

Auditoría de Tecnologías de
Información para Identificar Panamá
Chang, Israel 2016 Controles y Realizar Pruebas de
Diseño, Implementación y
Efectividad Operativa
Auditoria y Mantenimiento de la Red Panamá
Pérez, Juan Carlos 2009 Informática de la Región de Salud
de Herrera

Realización de Auditorías de Panamá

Obaldía, Luis Miguel 2016 Tecnología de Información y
Asesorías Tecnológicas en KPMG

OTRAS REFERENCIAS:
Sobre funciones y perfil del auditor:
http://icci-auditoria-informatica.blogspot.com/p/explica-cual-es-el-rol-de-un-auditor.html
http://es.slideshare.net/ivanvelascog/perfil-del-auditor-informtico-26584593
http://es.slideshare.net/stefanyveraq/perfil-del-auditor-informatico-y-sus-conocimiento

Sobre Metodologías de auditoría informática.

https://prezi.com/ggyex6ok6y7l/metodologia-de-auditoria-informatica/
http://es.slideshare.net/AcostaEscalanteJesus/metodologa-de-auditora-informtica-
57987659

Sobre Ética del auditor.

http://es.slideshare.net/SamanthaJhona/valores-eticos-del-auditor-de-sistemas-
informaticos
https://www.isaca.org/About-ISACA/History/Espanol/Documents/ISACA-Code-of-Ethics-
Spanish.pdf

Sobre Análisis de riesgos.

https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico

Sobre Herramientas de auditar redes

http://www.welivesecurity.com/la-es/2015/04/20/auditorias-de-redes/

Departamento de Sistemas de Información, Control y Evaluación de Recursos Informáticos 7