Tares Semana 1

Alvaro Figueroa

Evaluación de Procesos Informáticos

Instituto IACC

14 de Septiembre de 2020
 Desarrollo

Este ejercicio consiste en elaborar un cuadro descriptivo de las fases de una auditoría

informática. El entregable puede realizarlo en una planilla Excel o una tabla de Word,

como una tabla de doble entrada en la cual se identifiquen las etapas solicitadas, con un

descriptor explicativo de cada una, y una diferenciación entre auditoría informática y

auditoría de seguridad informática.

La descripción de las características y/o funcionalidades de cada etapa deberá ser de

elaboración propia, es decir, no puede estar copiada literalmente del documento con el

contenido de la semana.

Primero definiré que es una Auditoría, es un proceso sistemático , independiente y documentado

permitiendo obtener evidencias objetivas sobre un proceso en particular y evaluarlas de manera

objetiva para determinar el grado el cual se cumplen los criterios definidos de la misma.-

La Auditoría Informática es un proceso de revisión y evaluación de controles y medidas de

seguridad aplicables a recursos informáticos físicos o lógicos de una Organización.- Es decir,

recursos de tecnología, personal, software o procedimientos utilizados en los sistemas de

información de la Empresa.- Más allá de ser un sistema para la detección de errores, debe

entregar sugerencias para ser implementadas y a su vez, eviten la repetición de estos.-

El principal Objetivo de una auditoría informática es garantizar la continuidad y la operatividad

de los procesos informáticos, además, genera temas de calidad al buscar el perfeccionamiento de

los procesos informáticos.-

Los sistemas Informáticos (TI) se han transformado en las herramientas más poderosas para

materializar los conceptos mas escenciales y necesarios para una Organización.- Es así como la
informática se encuentra integrada en la gestión organizacional de una Empresa.-

FASES Planificación de Descripción del Modo Operación

desarrollo
Fase 1
CONOCIMIENTO DE Aspectos, Estos elementos constituyen el marco
SISTEMAS generales y de referencia sobre el cual está
políticas internas construido el sistema, por lo tanto es la
base sobre que evaluar.

Característica del Establecer un organigrama del área que

sistema participa.
organizacional y Crear un manual de funciones de los
operativo del participantes.
recurso humano. Obtener informes de auditorías
anteriores si existiesen.
Características del Manuales de aplicación del sistema.
equipamiento Estadística de usuarios autorizados
computacional para administrar las aplicaciones.
Seguridad de las aplicaciones (claves de
acceso).
Procedimientos para almacenamientos
de archivos de aplicación.
Inventario de equipos utilizados.

Fase 2 Planificación de Descripción del modo operación

desarrollo
ANALISIS DE Definir las Dependiendo del tamaño del sistema,
TRANSACCIONES Y transacciones las transacciones se dividen en
RECURSOS procesos y estos en subprocesos.
La importancia de las transacciones
deberá ser asignada con los
administradores.

Analizar las Establecer el flujo de los documentos

transacciones Hacer uso de flujogramas para facilitar
la visualización del funcionamiento y
recorrido de los procesos.

Analizar los Identificar y codificar los recursos de

recursos sistema que participan en el desarrollo.
 Relacionar las transacciones y recursos.
Fase 3 Planificación de Descripción del modo operación
desarrollo
ANALISIS DE RIESGO Y Identificar los Evaluar daños del equipamiento o
AMENAZAS riesgos destrucción de los recursos
Pérdida por fraude o desfalco
Extravío de documentos fuente,
archivos o informes
Robo de dispositivos o medios de
almacenamiento
Interrupción de las operaciones del
negocio
Pérdida de integridad de los datos
Ineficiencia de operaciones
Errores
Identificar las Amenazas sobre los equipos:
amenazas Amenazas sobre documentos fuente
Amenazas sobre programas de
aplicaciones.

Relación entre Establecer la relación entre estos

recursos, elementos, observando los recursos en
amenazas o su ambiente de funcionamiento.
riesgos
Fase 4 Planificación de Descripción del modo operación
desarrollo
ANALISIS DE CONTROLES Codificar los Estos controles se aplican a los grupos
controles que utilizan los recursos,
posteriormente se realiza una
codificación que indique el grupo al que
pertenezca el recurso protegido.

Relación entre La relación con los controles debe

recurso, amenaza establecerse para cada tema
o riesgo (Recurso/Amenaza/Riesgo)
identificado.
Por cada ítem deberá establecerse uno
o más controles.
Análisis de Un análisis de carácter determinante
cobertura de los procura identificar si los controles
controles aplicados o auditados como necesarios
requeridos entregan una adecuada protección a
los recursos.
Fase 5 Planificación de Descripción del modo operación
 desarrollo
EVALUACIÓN DE Objetivos de la Verificar la existencia de los controles
CONTROLES evaluación requeridos.
Procurar la operatividad y suficiencia de
los controles existentes

Planificar un plan Seleccionar el tipo de prueba a realizar.

de pruebas de los
controles Solicitar a las áreas respectivas los
elementos necesarios para la
realización de pruebas de control.
Fase 6 Planificación de Descripción del modo operación
desarrollo
INFORME DE AUDITORIAS Informe detallado
de
recomendaciones.
Evaluación de los
resultados.
Informe resumen Una vez obtenidas y analizadas las
para gerencia respuestas de compromiso de las áreas,
preparar un informe a alta gerencia.
Introducción: objetivo y contenido del
informe de auditoria.
Objetivos de la auditoría.
Alcance: cobertura de la evaluación
realizada.
Opinión: con relación a la suficiencia
del control interno del sistema
evaluado
Hallazgos.
Recomendaciones.

Fase 7 Planificación de Descripción del modo operación

desarrollo
SEGUIMIENTO DE Informes de Revisión
RECOMENDACIONES seguimiento. Evaluación
Evaluación de los Controles y Medidas de Seguridad que
controles se Aplican a los Recursos de un Sistema
implementados de Información
Auditoría Informática
Objetivos
Cabe destacar las diferencias entre Auditoría Informática y Auditoría de Seguridad Informática.-

 Auditoría Informática.- Ésta, evalúa los recursos informáticos y tecnológicos de una

organización.- Su objetivo es la valoración y la eficiencia del uso de los sistemas

informáticos, resultando un informe que muestra el nivel de uso de los recursos

informáticos.- También valida que la configueración del equipamiento esté dentro de la

legislación y regulación de cada país.-

 Auditoría de Seguridad Informática.- También llamada “Auditoría de seguridad de

sistemas de información (SI)”, analiza las vulnerabilidades que existan en los recursos

informáticos de las distintas capas de la Organización.-Se contempla lo siguiente:

 Los equipos instalados (servidores, aplicaciones, sistemas operativos, etc.)

 La evaluación de los distintos procedimientos en uso.

 El análisis de la seguridad existente a nivel de equipos y de la red informática.

 El análisis del uso eficiente de los sistemas y aplicaciones.

 La gestión de los sistemas en uso.

 La revisión de vulnerabilidades que pudieran resultar de la revisión realizada en

estaciones de trabajo, redes de comunicaciones, servidores, etc.

 La revisión de los protocolos de seguridad existentes que podrían ser usados ante una

amenaza.

La auditoría de seguridad permite entender la situación de la organización en protección,

control y medidas de seguridad, viéndose reflejado en la confidencialidad, integridad y

disponibilidad de los datos.-

 Bibliografía

Auditoría informática. https://economipedia.com/definiciones/auditoria-informatica.html

Fases de la auditoria Informática.

https://www.academia.edu/35354616/Fases_de_la_auditoria_Informatica

IACC (2020). Los procesos informáticos y la auditoría informática . Evaluación de Procesos

Informáticos . Semana 1

Norma ISO 19011-2018, Directrices para la auditoría de los sistemas de gestión