FACULTAD DE CIENCIAS INFORMÁTICAS

Carrera de Ingeniería en Sistemas Período 2020(1)

Asignatura: Evaluación y Auditoría de Sistemas Noveno Nivel
Profesor: José Arteaga Vera Calificación de Componente
Componente Estrategia evaluativa – Primer Parcial Ponderación / Semana
Acreditación Portafolio: Identificación los principales riesgos de un área específica Calificación: 10 puntos (30% al promedio).
objeto de auditoría informática. Ponderación: 3.0 ptos.
Fundamentos Auditoría, Marcos de Referencias, Gestión de Semana: 8
Operaciones y Riesgos, y del área seleccionado objeto de estudio

Unidades de aprendizajes 1

Instrucciones:
1. Revisar la bibliografía disponible en el aula virtual sobre el área auditar, componentes, tipo de activo, riesgos, controles
2. Asumir una postura técnica sobre el tema seleccionado en cuanto al área auditar, sus componentes, procesos de control asociados algún
marco de referencia.
3. Establecer un diagnóstico inicial sobre los elementos de inseguridad al componente o activo seleccionado para el estudio
4. Seleccionar los controles desde un marco de referencia
5. Revisar los trabajos previos
6. Subir el trabajo aula virtual en la plantilla adjunta.

Mecanismo de valoración:
- Se valoran las iniciativas, la formalidad y el respeto a la estructura
- La actividad es calificada sobre 10 puntos con una ponderación del 30% al promedio que equivale a 3.0 puntos.
- Se adjunta criterios de evaluación.
Bibliografía
- Descargar las fuentes bibliográficas del aula virtual.

1
 FACULTAD DE CIENCIAS INFORMÁTICAS

AUDITORÍA DE SISTEMAS
CARATULA

<Propuesta de Elementos >

Plan de Auditoría de Aplicación

<Autores>
• Anchundia Anchundia Katiuska Ximena.
• Medranda Toala Jose Enrique.
• Reyes Acosta Anthony Javier.
• Rivas López Pedro Axel.

Memoria de Proyecto

2
 FACULTAD DE CIENCIAS INFORMÁTICAS

Registro

Información General

Institución EPAM
Proyecto Auditoría de aplicaciones

Tipo Auditoría Control de entrada de datos: procedimientos de

conversión de entrada, validación y corrección de
datos.
Organización Departamento de TI
Tipo de Organización Servicio Público básicos
Componente Académico Asignatura Evaluación y Auditoría de Sistemas
Tiempo de Ejecución del
Proyecto
Fecha de Presentación Julio 2020

Autores
No. Apellidos y Nombres No. Cédula
1 Anchundia Anchundia Katiuska Ximena 131419095-8
2 Medranda Toala José Enrique 131485866-1
3 Reyes Acosta Anthony Javier 131609813-4
4 Rivas López Pedro Axel 131359412-7

3
 FACULTAD DE CIENCIAS INFORMÁTICAS

1. Introducción

En el presente trabajo se aplica una auditoría de aplicaciones en el control de entrada de

datos: que consiste en los procedimientos de conversión y de entrada, validación y
corrección de datos al área de Gerencia de Gestión de Tecnologías de Información y
Comunicación de la Empresa Pública Aguas de Manta (EPAM), la importancia de este tipo
de auditoria es que los datos se transmitan de manera segura en la red y las aplicaciones para
minimizar los riesgos y proteger los datos de una organización.

Los sistemas informáticos que se encuentran expuestos a riesgos por mal manejo de las
aplicaciones y faltas de políticas de usos, toda esta mala práctica puede cambiar si se
interviene para realizar un control de entrada de datos ya que regulan el tipo de información
que puede entrar y que permisos tiene para la utilización de la misma, todo esto es para la
seguridad de la integridad y confidencialidad de los datos.

El propósito de esta auditoria es evaluar la efectividad de los controles de entrada de datos

existentes, de tal forma que se pueda minimizar los riesgos y fortalecer el control del ciclo
de vida del software.

4
 FACULTAD DE CIENCIAS INFORMÁTICAS

2. Reconocimiento Organizacional (tipo)

Caracterización del Sector o segmento.

Ilustración 1: Estructura Organizacional de la EPAM.

Justificación del proyecto.

La Empresa Pública Aguas de Manta es la encargada de brindar el servicio de agua potable
para el cantón manabita, entre muchas de sus áreas organizacionales se encuentra la de
Gerencia de Gestión de Tecnologías de Información y Comunicación, en este departamento
se llevan a cabo los procesos relacionados a las aplicaciones internas de la organización.
Debido a que es de alta importancia mantener un alto nivel de seguridad en los sistemas
informáticos para evitar problemas relacionados con la seguridad de la información, es
necesario implantar y posteriormente implementar controles que ayuden a mitigar o reducir
posibles problemas que comprometan datos de usuarios o de la organización.
A fin de precautelar la integridad de la información obtenida, generada, procesada o
ingresada a través del software informático, es necesario tomar acciones preventivas y
correctivas en beneficio de la organización y más específicamente del área de Tics de la
EPAM.
En este trabajo se realizará una auditoria de aplicaciones, en donde, cada aplicación debe
llevar controles incorporados para garantizar la entrada, validez, mantenimiento completo y

5
 FACULTAD DE CIENCIAS INFORMÁTICAS

exacto de los datos. Esta auditoría de aplicaciones consta de tres apartados: control de
entrada de datos, controles de tratamientos de datos y los controles de salida de datos. Se
enfoca en el control de entrada de datos en la Gerencia de Gestión de Tecnologías de
Información y Comunicación, con respecto al procedimiento de conversión de entrada,
validación y corrección de datos.

3. Marco Teórico/Referencial y Legal

Auditoría de aplicaciones
Los sistemas informáticos son uno de los recursos más críticos y estratégicos para las
organizaciones, cada vez de mayor tamaño, más sofisticados y complejos. Este aumento de
complejidad y la necesidad de su correcto funcionamiento, dentro de los niveles de calidad que
se precisen según su finalidad, hace que hoy las auditorías de aplicación sean una herramienta
imprescindible (Piattini & Del Peso, 2015).
Este tipo de auditoría evalúa los métodos y procedimientos que se encuentra en funcionamiento
en una entidad, ya que estas siempre están expuestas a riesgos por el mal manejo, errores y
omisiones involuntarios o intencionados y fallas en cualquier elemento que interviene en el
proceso informático.
Los sistemas de información o aplicaciones son la infraestructura tecnológica informática en
las entidades, son productos finales por lo cual son aspecto de mayor visibilidad.

El objetivo de la auditoria a aplicaciones en funcionamiento es evaluar la efectividad de los

controles existentes y sugerir nuevos controles, de tal forma que se pueda minimizar los riesgos
y fortalecer el control de dichas aplicaciones

Los componentes de los sistemas de aplicación instalados comprenden funciones de captura e

ingreso de datos, funciones de procesamiento, funciones de almacenamiento y funciones de
salida de información.

6
 FACULTAD DE CIENCIAS INFORMÁTICAS

Control de entrada de datos

La mayoría de las transacciones de procesamiento de datos en las aplicaciones comienza con

procedimientos de entrada de datos. En términos generales, cualquiera que sea el ambiente en
que se procesan los datos, se hace necesario efectuar el control de ingreso para asegurar que
cada transacción a ser procesada cumpla con los siguientes requisitos:

Se debe recibir y registrar con exactitud e íntegramente.

Se deben procesar solamente datos válidos y autorizados.
Se deben ingresar los datos una vez por cada transacción.

Procedimientos de conversión de entrada, validación y corrección de datos.

En el mundo de las aplicaciones informáticas, el control interno se lo realiza mediante tres tipos
de revisiones o controles.

➢ Controles manuales

Se lo realizar normalmente por parte de personal del área usuaria: actuaciones previstas para
asegurar que, en su caso se preparan, autorizan y procesan todas las operaciones.

➢ Controles automáticos

Incorporados a los programas de la aplicación que sirvan de ayuda para tratar de asegurar que
la información se registre y mantenga completa y exacta, los procesos de todo tipo sobre la
misma sean correctos y su utilización por parte de los usuarios respete los ámbitos de
confidencialidad establecidos.

➢ Controles preventivos

Tratan de ayudar a evitar la producción de errores a base de exigir el ajuste de los datos
cualquier criterio que ayude a asegurar la corrección formal y verosimilitud de los datos (la
exactitud solo la garantiza el usuario).

➢ Controles detectivos

Tratan de descubrir a posteriores errores que no haya sido posible evitar.

➢ Controles correctivos

Tratan de asegurar que se subsanen todos los errores identificados mediante controles
detectivos. Se pasará a definir las amenazas, vulnerabilidades y riesgos según (Tejada, 2014)
en su libro de auditoría y seguridad informática con respecto al control de entrada de datos en
las aplicaciones.

7
 FACULTAD DE CIENCIAS INFORMÁTICAS

Amenaza

Una amenaza es cualquier evento que puede afectar al activo de un sistema de información,
provocando un incidente de seguridad y produciendo efectos adversos (materiales o
inmateriales) o pérdidas de información.

Las amenazas afectan directamente a las propiedades de la información: integridad,

disponibilidad, confidencialidad y autenticidad.

Las amenazas pueden ser de origen externo o interno: mientras que las de origen interno
provienen de procesos internos, del propio personal o de las condiciones técnicas del sistema
de información, las de origen externo provienen de agresiones humanas, técnicas o de agentes
de carácter natural.

Además, las amenazas se clasifican en tres grupos, descritos en la tabla siguiente:

Tabla 1: Tipos de amenazas.

Vulnerabilidades

Una vulnerabilidad es la probabilidad de que una amenaza se materialice sobre un activo.

Para identificar y estimar una vulnerabilidad, debe participar un profesional que conozca
profundamente los distintos activos del sistema de información y las amenazas y riesgos que
pueden sufrir.

• Vulnerabilidad intrínseca: vulnerabilidad que proviene directa y exclusivamente del

activo y de la amenaza.

8
 FACULTAD DE CIENCIAS INFORMÁTICAS

• Vulnerabilidad efectiva: que se ha generado a raíz de una salvaguarda ya existente en

el sistema de información.

• Vulnerabilidad residual: generada por la aplicación de salvaguardas implantadas

siguiendo el resultado del proceso de análisis y gestión de riesgos.

Algunos ejemplos de vulnerabilidades:

• Vulnerabilidades de seguridad física:

- Accesos de personal no autorizado al recinto.

- Desastres naturales (rayos, inundaciones, etc.).

- Incendios.

• Vulnerabilidades en las conexiones de red:

- Fallos en el cortafuegos o firewall.

- Intrusiones y accesos no autorizados a través de la red.

Riesgos

Es estimación de las probabilidades de que una amenaza se materialice sobre los activos de la
organización, causando efectos negativos o pérdidas.

Análisis de riesgos: proceso y metodología utilizados para estimar la magnitud de los riesgos
a los que se expone una organización.

Tratamiento del riesgo: procesos realizados para modificar los riesgos de una organización.

Ilustración 2: Apreciación de los riesgos.

9
 FACULTAD DE CIENCIAS INFORMÁTICAS

• ISO 27001 - Seguridad de la información y datos:

Para poder realizar un correcto análisis de riesgo es preciso definir un contexto
de la organización y comprender las necesidades y expectativas de todas las
partes interesadas:
• Proveedores de servicios de información y de equipamientos de Tecnologías
de la Información (TICs).
• Clientes, poniendo especial cuidado en la gestión de datos de protección
personal.
• Fuerzas de seguridad de cada estado y autoridades jurídicas para tratar los
aspectos legales.
• Participación en foros profesionales.

• COBIT 5 – DSS05 Gestionar servicios de seguridad:

Proteger la información de la empresa para mantener aceptable el nivel de riesgo de
seguridad de la información de acuerdo con la política de seguridad. Establecer y
mantener los roles de seguridad y privilegios de acceso de la información y realizar
la supervisión de la seguridad. (COBIT5, 2012)
- 10. Seguridad de la información, infraestructura de procesamiento y
aplicaciones:

• Numero de servicios de TI con los requisitos de seguridad pendientes.

• Tiempo para otorgar, modificar y eliminar los privilegios de acceso, comparado con
los niveles de servicio acordados.
• Frecuencia de evaluación de seguridad frente a los últimos estándares y guías.

10
 FACULTAD DE CIENCIAS INFORMÁTICAS

• ISO 25012 - Calidad del producto de datos.

Ilustración 3: Calidad de los datos ISO 27012

(ISO25012, 2019) establece que las características de Calidad de Datos están

clasificadas en dos grandes categorías:

Calidad de Datos Inherente: Se refiere al grado con el que las características de

calidad de los datos tienen el potencial intrínseco para satisfacer las necesidades
establecidas y necesarias cuando los datos son utilizados bajo condiciones específicas.
Desde el punto de vista inherente, la Calidad de Datos se refiere a los mismos datos, en
particular a:
• Valores de dominios de datos y posibles restricciones (e.g., Reglas de
Negocio gobernando la calidad requerida por las características en una
aplicación dada).
• Relaciones entre valores de datos (e.g., Consistencia).
• Metadatos.

Calidad de Datos Dependiente del Sistema: Se refiere al grado con el que la Calidad
de Datos es alcanzada y preservada a través de un sistema informático cuando los datos
son utilizados bajo condiciones específicas.
Desde el punto de vista dependiente del sistema, la Calidad de Datos depende del
dominio tecnológico en el que los datos se utilizan, y se alcanza mediante las
capacidades de los componentes del sistema informático tales como: dispositivos
hardware (e.g., Respaldo Software para alcanzar la Recuperabilidad), y otro software.

11
 FACULTAD DE CIENCIAS INFORMÁTICAS

• APO01.06 Definir la propiedad de la información(datos) y del sistema: Definir y

mantener las responsabilidades de la propiedad de la información (datos) y los sistemas
de información. Asegurar que los propietarios toman decisiones sobre la clasificación
de la información y los sistemas y su protección de acuerdo con esta clasificación.
(COBIT5, 2012)
Salidas:
- Directrices para la clasificación de datos.
- Directrices para el control y seguridad de datos.
- Procedimientos de integridad de datos.
• 410-12 Administración de soporte de tecnología de información
La Unidad de Tecnología de Información definirá, aprobará y difundirá procedimientos
de operación que faciliten una adecuada administración del soporte tecnológico y
garanticen la seguridad, integridad, confiabilidad y disponibilidad de los recursos y
datos, tanto como la oportunidad de los servicios tecnológicos que se ofrecen. En el
aspecto a considerar es:
- Administración adecuada de la información, librerías de software, respaldos y
recuperación de datos. (CONTRALORIA GENERAL DEL ESTADO, 2014)

4. Diagnóstico Inicial (sobre el objeto y proceso auditar)

Compartir datos confidenciales por canales no

autorizados.

RIESGOS Comprometer la integridad de los datos

La información generada a partir de los datos se
encuentre incompleta
Exposición de datos confidenciales
AMENAZAS Persona malintencionada encuentra falla en el diseño del
software
Datos almacenados de forma incompleta
Personal que tiene acceso al ingreso de información
VULNERABILIDADES Defectos en el desarrollo lógico del software
Guardado de información sin validar su correcto
almacenamiento
Tabla 2: Diagnostico.

12
 FACULTAD DE CIENCIAS INFORMÁTICAS

5. COMPONENTES PROPUESTA

• ISO 27001 - Seguridad de la información y datos.

• Cobit 5 – DSS05 Gestionar servicios de seguridad. (COBIT5)
• ISO 25012 - Calidad del producto de datos.
• APO01.06 Definir la propiedad de la información(datos) y del sistema. (COBIT5)
• 410-12 Administración de soporte de tecnología de información (contraloría general
del estado)

6 CONTROLES INDICADORES/ ESTÁNDARES (INICIALES)

Contrato de confidencialidad con el personal

CONTROLES Revisiones periódicas del funcionamiento del software
Ejecutar disparadores en la base de datos para que la
información sea almacenada de forma completa.

Otros controles para el tratamiento de entrada de datos:

• Aplicar normas y políticas para:
o Autenticar a los tipos de usuarios
o Autenticar la red
o Autenticar los equipos
o Cambios de usuarios y contraseñas periódicos

7 OBJETIVOS (APROXIMACIÓN)

Objetivo General
• Determinar los controles básicos para optimizar la gestión entrada de datos en el
departamento de Gerencia de Gestión de TIC en la empresa pública EPAM.
Objetivos Específicos
• Identificar las amenazas que se presentan en la entrada de datos en
aplicaciones.
• Determinar las vulnerabilidades que se presenta en la entrada de datos
• Seleccionar los controles para que sean implementados en una
aplicación de entradas de datos.

13
 FACULTAD DE CIENCIAS INFORMÁTICAS

8 Bibliografía

COBIT5. (2012). Procesos Catalizadores. ISACA .

CONTRALORIA GENERAL DEL ESTADO. (2014). NORMAS DE CONTROL INTERNO
DE LA CONTRALORIA. Quito. Obtenido de
https://www.oas.org/juridico/PDFs/mesicic5_ecu_ane_cge_12_nor_con_int_400_cge.
pdf
ISO25012. (2019). Obtenido de https://iso25000.com/index.php/normas-iso-25000/iso-25012
ISOTools. (2020). La norma ISO 27001. Obtenido de www.isotools.org
Piattini, M., & Del Peso, E. (2015). AUDITORÍA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN. Madrid, España: RA-MA.
Tejada, E. C. (2014). Auditoría y seguridad informática. ic editorial.
Vanessa, R., Saavedra, F., & Urbano, J. (2020). Auditotía de aplicativos en funcionamiento.
Obtenido de https://audcontrolgrp4.weebly.com/index.html

14
 FACULTAD DE CIENCIAS INFORMÁTICAS

9 Anexos
- NORMA DE CONTROL INTERNO 410-12

MÉTRICAS DE SEGURIDAD DE LA INFORMACION, INFRAESTRUCTURA DE

PROCEASMIENTO Y APLICACIONES:

15
 FACULTAD DE CIENCIAS INFORMÁTICAS

ISO/IEC 25012

16
 FACULTAD DE CIENCIAS INFORMÁTICAS

ISO27001:

17

Criterios de Evaluación
No. Criterios de Evaluación
1 Estructura: Introducción,
referencia teórica
2 Diagnóstico (riesgos)
3 Componentes (área auditar) y
controles (implementar)
Satisfactorio
Realiza una introducción al
trabajo, identifica el tipo de
organización y se marca en
sustento teórico – técnico con
precisión y rigurosidad.
Valor 2.0 puntos.
Describe un diagnóstico
situacional – inicial, sobre los
amenazas, vulnerabilidades y
riesgos, resaltando señales o
síntomas de Inseguridad (Eje.
Evaluación del nivel de riesgos,
seguridad lógica, seguridad
física, confidencialidad,
integridad, disponibilidad
entre otros).
Valor 2.0 puntos.
Los componentes
seleccionados corresponden al
área auditar y se relaciona
correctamente con los
controles especificados
(preferencia de un marco de
referencia).
Valor 2.0 puntos.
FACULTAD DE CIENCIAS INFORMÁTICAS
Parcialmente Satisfactorio Poco Satisfactorio Total
Realiza una introducción al Presenta una introducción y una
trabajo, identifica el tipo de referencia teórica incompleta.
organización y se marca en 2.0
sustento teórico – técnico.
Valor 1.9 – 1.0 puntos. Valor 0.9 – 0.1 puntos.
Describe parcialmente un
diagnóstico situacional – inicial, El diagnóstico presentado es 2.0
sobre los amenazas, incompleto y no tiene revela
vulnerabilidades y riesgos, identificación de riesgos.
resaltando señales o
síntomas de Inseguridad (Eje.
Evaluación del nivel de riesgos,
seguridad lógica, seguridad
física, confidencialidad,
integridad, disponibilidad entre
otros).
Valor 1.9 – 1.0 puntos. Valor 0.9 – 0.1 puntos.
Los componentes seleccionados 2.0
corresponden al área auditar y Los componentes seleccionados
se relaciona parcialmente con no guardan mayor
los controles especificados correspondencia con los
(preferencia de un marco de controles.
referencia).
Valor 1.9 – 1.0 puntos. Valor 0.9 – 0.1 puntos.
18

4 Objetivos
Se plantean objetivos
orientados a identificar los
activos sujetos auditoría, a la
identificación de los riesgos, y
la selección de controles.
Valor 2.0 puntos.
5 Bibliografía y Anexos Se asienta la bibliografía
pertinente y se adjunta
documentos de soporte a la
presente documento.
Valor 2.0 puntos.
Se plantean objetivos
parcialmente orientados a conciben adecuadamente, no
identificar los activos sujetos
auditoría, a la identificación de
los riesgos, y la selección de
controles.
Valor 1.9 – 1.0 puntos.
Se específica algunas
bibliografías y se adjuntan, se
adjunta parcialmente
documentos tipo anexos.
Valor 1.9 – 1.0 puntos.
FACULTAD DE CIENCIAS INFORMÁTICAS
2.0
Los objetivos planteados no se
tienen una secuencia para la
selección de controles para
gestionar los riesgos.
Valor 0.9 - 0.1 puntos.
La bibliografía es incompleta y no 2.0
guarda relación con el trabajo.
Valor 0.9 - 0.1 puntos.
10
19