CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA

CREAD-CESAR
Actividad

PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad

ACTIVIDAD 2:
Junto con su grupo de trabajo discuta y de respuesta a los siguientes interrogantes:

1. ¿Qué diferencias y similitudes existen entre las metodologías cualitativas y

cuantitativas? ¿Qué ventajas y que inconvenientes tiene?

RTA/: Todas las metodologías existentes desarrolladas y utilizadas en la auditoria y el

control informáticos se pueden agrupar en dos grandes familias: Cuantitativas y
Cualitativas, encontrando las siguientes diferencias a continuación:

 Cuantitativas: basadas en un modelo matemático numérico que ayuda a la

realización del trabajo.
 Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo y seleccionar en base la experiencia acumulada.

Las similitudes entre las metodologías cualitativas y cuantitativas existentes en seguridad

de sistemas se encaminan esencialmente a establecer y mejorar un entramado de
contramedidas que garanticen que la probabilidad de que las amenazas se materialicen
en hechos (por falta de control) sea lo más baja posible o al menos quede reducida de
una forma razonable costo-beneficio.

CUANTITATIVA CUALITATIVA
 Enfoca pensamientos  Enfoque lo
mediante el uso de amplio que se
números. desee.

 Facilita la comparación  Plan de trabajo

de vulnerabilidades muy flexible reactivo.
VENTAJAS distintas.

 Se concentra en
 Proporciona una cifra la identificación
justificable para cada de eventos.
contramedida.
 Incluye factores
intangibles.

 Estimación de  Depende
probabilidad de fuertemente de
INCONVENIENTES estadísticas fiables la habilidad y
inexistentes. calidad del
personal
 Estimación de las involucrado.
pérdidas potenciales
1
 CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad

PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad

solo si son valores  Pueden excluir

cuantificables. riesgos
significantes
desconocidos
 Metodología (depende de la
estándares. capacidad del
profesional para
 Difíciles de mantener o usar el check-
modificar. list/guía).

 Dependencia de un  Identificación de
profesional. eventos reales
más claros al no
tener que
aplicarles
probabilidades
complejas de
calcular.

 Dependencia de
un profesional.

2. ¿Qué metodologías de auditoria informática existen? ¿Para qué se usa cada una?

RTA/: Las metodologías de auditoria informática son del tipo cualitativo/subjetivo; están
basadas en profesionales de experiencia y formación.

Existen dos metodologías de auditoria informática:

- Auditorias de controles generales y

- Metodologías de auditores internos

 Auditoria de controles generales: “Dan una opinión sobre la habilidad de los

datos del computador para la Auditoria Financiera” cuyo resultado es un informa
donde se destacan las vulnerabilidades encontradas.
 Auditorías Internas: Está formada por recomendaciones de plan de trabajo;
deberá hacer cuestionarios y definir cuentas pruebas estime oportunas; además,
debe crear sus metodologías necesarias para auditar áreas o aspectos que defina
en el plan auditor.

Las metodologías más comunes que podemos encontrar de evaluación de sistemas son
de análisis de riesgos o de diagnósticos de seguridad, las de plan de contingencias y las
de auditoria de control generales.
1
 CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad

PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad

Entre las más utilizadas tenemos las siguientes metodologías: NALIZY, BDSS, BIS RISK
ASSESOR, BUDDY SYSTEM, COBRA, CRAMM, DDIS MARION AP+, MELISA, RISAN,
RISKPAC, RISKWATCH, MARGERIT, Octave, PRIMA, etc.

3. ¿Cuáles son los objetivos de control en el acceso lógico?

RTA/: Los objetivos de control de acceso lógico son:

 Segregación de funciones entre los usuarios del sistema: productores de software,

jefe de proyectos (si existe un proceso metodológico así), técnicos de sistemas,
operadores de explotación, operadores de telecomunicaciones, grupos de
usuarios de aplicaciones (con perfiles definidos por la Clasificación de la
información), administrador de la seguridad lógica (en control dual al ser de alto
riesgo), auditoria y tantos como se designen.
 Integridad de los “log” e imposibilidad de desactivarlos por ningún perfil para poder
revisarlos. Fácilmente legibles e interpretables por control informático.
 Gestión centralizada de la seguridad o al menos única (por control informático).
 Contraseña única (a ser posible) para los distintos Sistemas de la red. Y la
autentificación de entrada una sola vez. Y una vez dentro, controlar los derechos
de uso.
 La contraseña y archivos con perfiles y derechos inaccesibles a todos, incluso a
los administradores de seguridad.
 El sistema debe rechazar a los usuarios que no usan la clave o los derechos de
uso correctamente, inhabilitando y avisando a control, que tomara las medidas
oportunas.
 Separación de entornos. Significa que los distintos usuarios pueden hacer
solamente lo que y como se ha autorizado que hagan para su función. Habrá
tantos entonces como se precisen y el control tendrá que estar en situación normal
como en emergencia y no entorpecer la operatoria.
 El log, o los log´s, de actividad no podrán desactivarse a voluntad, y si se duda de
su integridad o carencia, resolver con un terminal externo controlado.
 El sistema debe obligar al usuario a cambiar la contraseña, de forma que solo lo
conozca el, que es la única garantía de autenticidad de sus actos.
 Es frecuente encontrar mecanismos de auto-logout, que expulsan del sistema a la
terminal que permanece inactiva más de un tiempo determinado, que son ayudas
adicionales a la seguridad.

Muchos de estos objetivos se pueden sacar de los propios estándares (ISO, Libro
Naranja, ITSEC, etc.).
1
 CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad

PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad

4. ¿Qué diferencia existe entre prueba de cumplimiento y prueba sustantivo?

RTA/: La diferencia que existe entre las prueba de cumplimiento y sustantivo es que en la
primera si se confirma que realmente no existen manuales, no se pueden hacer pruebas
de cumplimiento, pues las pruebas de cumplimiento consisten en comprobar que se están
cumpliendo las normas establecidas. El procedimiento podría ser como sigue:

Comprobar que las normas para pasar un programa de desarrollo a explotación son
adecuadas y que la empresa las está cumpliendo.

La inexistencia de manuales no implica, forzosamente, que los traspasos se llevan a cabo

inadecuadamente. Para confirmarlo, al no existir normas, se tendrían que realizar pruebas
sustantivas.

Una prueba sustantiva fundamenta la integridad de un procesamiento real. Provee

evidencia de la validez e integridad de los saldos en los estados financieros y de las
transacciones que respaldan dichos saldos.

Una prueba sustantiva para determinar si los registros del inventario son correctos. Pan
realizar esta prueba, el auditor de SI podría realizar un inventario completo o podría usar
una muestra estadística, que le permita llegar a una conclusión respecto de la exactitud
de todo el inventario.

Existe una correlación directa entre el nivel de los controles internos y la cantidad de
pruebas sustantivas requeridas.

Si los resultados de las pruebas a los controles (pruebas de cumplimiento) revelaran la

presencia de controles internos adecuados, entonces el auditor de SI tiene una
justificación para minimizar los procedimientos sustantivos. Por el contrario, si la prueba a
los controles revelara debilidades en los controles que podrían generar dudas sobre la
completitud, exactitud o validez de las cuentas, las pruebas sustantivas pueden responder
esas dudas.

Algunos ejemplos de pruebas de cumplimiento de controles en las cuales se podrían

considerar las muestras incluyen derechos de acceso de usuarios, procedimientos de
control de cambio de programas, procedimientos de documentación, documentación de
programas, excepciones de seguimiento, revisión de registros.

Algunos ejemplos de pruebas sustantivas en las cuales se podrían considerar las

muestras incluyen el desempeño de un cálculo complejo (por ejemplo, interés) en una
muestra de cuentas o una muestra de transacciones para garantizar una documentación
de respaldo, etc.
1
 CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad

PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad

El auditor de SI podría también decidir, durante la evaluación preliminar de los controles,

incluir algunas pruebas sustantivas

Si los resultados de esta evaluación preliminar indican que los controles implementados
no son confiables o no existen.

La figura muestra la relación entre las pruebas de cumplimiento y las pruebas sustantivas
y describe las dos categorías de pruebas sustantivas.

5. ¿Qué diferencia hay entre auditor interno y auditor externo?

RTA/:

1
 CENTRO REGIONAL DE EDUCACIÓN A DISTANCIA
CREAD-CESAR
Actividad

PROGRAMA: Contaduría
ASIGNATURA: Sistemas de auditoria y seguridad

Integrantes:

María Camila Díaz Viana- Luis José López Quintero- María José González Carrillo.
Antonio José Ustariz Ahumada.