AUDITORÍA INFORMÁTICA

SEMANA 2
Fundamentos generales de
la auditoría informática.
Parte II

Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni 1
utilizarDOCUMENTO
ESTE los contenidos paraCONTIENE
fines comerciales
LAdeSEMANA
ninguna clase.
2
ÍNDICE ............................................................................................................................................ 1
FUNDAMENTOS GENERALES DE LA AUDITORÍA INFORMÁTICA. PARTE II .......................................... 3
OBJETIVOS ESPECÍFICOS ........................................................................................................................... 3
INTRODUCCIÓN ...................................................................................................................................... 3
1. PERFIL DEL AUDITOR EN INFORMÁTICA .............................................................................................. 4
1.1. FORMACIÓN ........................................................................................................................ 5
1.2. CERTIFICACIONES ................................................................................................................ 6
1.3. ASPECTOS FUNDAMENTALES DE UN AUDITOR INFORMÁTICO .......................................... 8
2. MARCOS DE TRABAJO Y ESTÁNDARES APLICADOS A LA AUDITORÍA INFORMÁTICA.................................... 8
2.1. INTRODUCCIÓN A LOS MARCOS DE TRABAJO Y ESTÁNDARES ........................................... 8
2.2. MARCOS DE TRABAJO Y ESTÁNDARES ACTUALES Y EMERGENTES APLICADOS A LA
AUDITORÍA INFORMÁTICA .............................................................................................................. 9
2.2.1. ISO 19011 .................................................................................................................... 9
2.2.2. COSO.......................................................................................................................... 11
2.2.3. COBIT ......................................................................................................................... 12
2.2.4. ITIL ............................................................................................................................. 13
2.2.5. ISO 27001 .................................................................................................................. 15
COMENTARIO FINAL.......................................................................................................................... 17
REFERENCIAS........................................................................................................................................ 18

2
ESTE DOCUMENTO CONTIENE LA SEMANA 2
FUNDAMENTOS GENERALES DE LA AUDITORÍA
INFORMÁTICA. PARTE II

OBJETIVOS ESPECÍFICOS
 Comprender las características del perfil del auditor en informática.

 Conocer los estándares y las normativas existentes en el desarrollo de auditorías

informáticas.

INTRODUCCIÓN
A medida que avanza el tiempo, las empresas adquieren herramientas e implementan procesos
que deben ser verificados y controlados, para ello, demandan la contratación de personas
especializadas que ofrezcan juicios profesionales confiables de acuerdo a las evidencias
encontradas. Los profesionales del área, para ofrecer las conclusiones adecuadas, deben poseer
un conjunto de conocimientos dependiendo del negocio abordado y asumir un rol apropiado para
ejecutar la auditoría.

Esta semana se revisarán las características del perfil del auditor en informática, su rol ante
diversas situaciones y la formación que debe poseer dependiendo del ambiente de contratación.

Es importante señalar que para llevar a cabo el proceso de auditoría, el auditor requiere la
aplicación de estándares y normas para garantizar que las conclusiones obtenidas sean confiables.
Es por ello que existen organizaciones especializadas que han desarrollado normas y estándares
para mejorar y garantizar la veracidad del trabajo del auditor, como por ejemplo ISO 19011, ITIL,
COSO, COBIT, ISO 27001, entre otras.

3
ESTE DOCUMENTO CONTIENE LA SEMANA 2
 1. PERFIL DEL AUDITOR EN INFORMÁTICA
Antes de describir el perfil o rol de un auditor en informática, es necesario considerar los
principales temas técnicos que deben ser cubiertos por una auditoría desde el punto de vista
informático o de sistemas (Gantz, 2014):

 Instalaciones de centro de procesamiento de datos (data4center): consiste

principalmente en el edificio físico donde se alojan los recursos necesarios para el
procesamiento de información de una organización, o donde reside el servidor que
almacena el sistema en revisión.
 Redes: permiten que otros sistemas y usuarios se comuniquen con el sistema en revisión.
Esta capa incluye dispositivos básicos de red, tales como firewalls, switches y routers.
 Plataforma de sistemas (sistema operativo): proporciona el entorno operativo básico
sobre el que la aplicación de nivel superior se ejecuta. Ejemplo: Windows, Unix, Linux.
 Base de datos: esta herramienta organiza y provee acceso a la información que es
utilizada por la aplicación o sistema bajo revisión.
 Aplicaciones: programa final al cual acceden los usuarios finales del sistema. Por ejemplo,
un sistema de planificación de recursos empresariales (ERP), una aplicación de correo
electrónico o un sistema que proporciona funciones básicas de negocio.

Todos estos temas técnicos dan soporte a uno o más procesos de negocio de la compañía.

De acuerdo a lo establecido por Davis y Schiller (2011), existe una variedad de interpretaciones
respecto al perfil o rol de un auditor en informática dentro de la función de auditoría global,
siendo los principales los siguientes:

 Auditores de aplicaciones de sistemas.

 Especialistas en extracción y análisis de datos.
 Auditores de tecnologías de la información.

Los auditores de aplicaciones de sistemas corresponden generalmente a personas que conocen del
negocio de la compañía. Estos equipos de auditoría se centran en la capa de aplicación y realizan
un trabajo minucioso para asegurar que el acceso al sistema sea controlado adecuadamente y que
exista una correcta segregación de funciones. También se aseguran de que no se puedan realizar
cambios no autorizados en la aplicación y que existan controles para asegurar la integridad de los
datos que se introducen en el sistema. Sin embargo, no se focalizan en el resto de las capas de
revisión, y por lo tanto no revisan los controles fundamentales de los que todos los sistemas
dependen, tales como la seguridad de la red y del entorno del sistema operativo. Es posible
explotar las debilidades de seguridad en esas otras capas de muchas maneras y alterar la
integridad, fiabilidad y la seguridad de los sistemas de aplicación.

Los especialistas en extracción y análisis de datos deben tener habilidades en herramientas de

software de auditoría, tales como Audit Command Language (ACL) o IDEA. Estos especialistas

4
ESTE DOCUMENTO CONTIENE LA SEMANA 2
generalmente reciben requerimientos de los auditores financieros. Por ejemplo, en una revisión
del proceso de cuentas por cobrar, los auditores financieros podrían solicitar a los especialistas de
datos obtener una lista de todas las facturas de más de 90 días de mora. Sus actividades también
incluyen análisis de modelos que permitan el monitoreo continuo de pruebas de fraude,
violaciones al control interno, incumplimiento de políticas, entre otros. Por ejemplo, el monitoreo
puede ser configurado para buscar evidencias de pagos duplicados a proveedores, pagos
parcializados a proveedores (para eludir límites de aprobación del gasto), empleados configurados
como proveedores, etc. Los eventos específicos a ser monitoreados dependen de cada compañía.

En estos casos, es importante disponer de un acceso continuo a las bases de datos que almacenan
la información a revisar, ya que esto permite realizar pruebas bajo demanda, en lugar de tener
que solicitar los datos cada vez que se quiera realizar una prueba, lo cual a su vez representa un
riesgo de que la información pueda ser manipulada antes de ser entregada a los auditores.

Los auditores de tecnologías de información se focalizan principalmente en las capas que están por
debajo de la capa de aplicación. Se aseguran de que la infraestructura básica que soporta a los
sistemas de la compañía sea segura y que tenga los controles apropiados para garantizar la
seguridad y confiabilidad. Generalmente tienen un perfil más técnico que de negocio.
Adicionalmente, también pueden participar en la revisión de controles generales de TI, como
control de cambios y gestión de accesos a los sistemas que se encuentran bajo revisión.

En lo anterior se evidencia que el auditor informático debe cumplir con un conjunto de requisitos
que garanticen la excelencia en el desempeño de sus funciones. Es por ello que resulta oportuno
mencionar la formación que debiera tener un auditor en informática.

1.1. FORMACIÓN
Delgado (1998) explica que se han realizado diversas discusiones sobre qué formación debería
tener el auditor: si es conveniente que sea un profesional de la tecnología o si debe provenir de la
rama de la auditoría. Si se realiza una verificación de las actividades que debe llevar a cabo un
auditor en informática, se evidencia que la mayoría no se llevan a cabo dentro del computador,
siendo su enfoque principal la verificación de los controles generales para determinar si se ha
diseñado de acuerdo con las normas internas y los requerimientos legales aplicables.

Su labor consistirá en conducir a la mejora continua de los procesos que se llevan a cabo dentro de
la compañía y la optimización de los recursos.

La formación del auditor debe contener aspectos de auditoría financiera, técnicas y controles
sobre tecnologías, es decir, debe contar con conocimientos básicos en: desarrollo de sistemas de
información, sistemas operativos, telecomunicaciones, administración de bases de datos, redes
locales, seguridad física, administración de datos y comercio electrónico. De lo anterior, se infiere
que el auditor debe usar herramientas y manejar la terminología para lograr una comunicación
efectiva con el departamento de informática e interpretar la documentación diseñada para los

5
ESTE DOCUMENTO CONTIENE LA SEMANA 2
usuarios, desarrolladores, consultores o bien contar con personal que le ayude a realizar las
pruebas requeridas.

Por otro lado, en el área de auditoría financiera y controles, el auditor debe manejar técnicas de
administración de empresas para que las recomendaciones estén alineadas con los objetivos que
tiene la organización. En este aspecto, Delgado (óp. cit.) menciona que parte de la formación del
auditor debe estar centrada en el conocimiento de las actividades de administración y producción
de las empresas, de manera que entienda de contabilidad, administración de inventarios,
administración de bodegas, procesos de facturación, controles de producción, control de costo y
cualquier otro concepto requerido para entender cualquier sistema de aplicación que se le
presente.

Por las consideraciones anteriores, se deduce que el auditor en informática debe ser capaz de
manejar y evaluar los controles para cada actividad. Los conocimientos académicos para ello se
obtienen mediante el estudio de auditoría en la carrera de contador auditor, diplomados y cursos
en esta área. La idea es lograr una formación adecuada que incluya aspectos financieros y de toda
la normativa que rige la auditoría.

Cabe descatar que un profesional titulado como contador público deberá realizar estudios
específicos de tecnologías para familiarizarse con los términos usados en este ámbito, los cuales
pueden ser muy complejos, en especial para profesionales que no son del área.

Por otra parte, para el caso de los especialistas en tecnología, existen varias opciones que ofertan
las instituciones acádemicas para adquirir los conocimientos financieros, normas, técnicas y
procedimientos de acatamiento obligatorio o recomendado en la ejecución de auditoría.

En ambos casos, si el auditor posee formación de contador o de informático, deberá

complementar sus conocimientos para poder cumplir con los requisitos propios de un proceso de
auditoría.

1.2. CERTIFICACIONES
Existen varias certificaciones relevantes para los profesionales que se dedican a la auditoría
informática o de sistemas, otorgadas por la Asociación de Auditoría y Control de Sistemas de
Información (Information Systems Audit and Control Association, Isaca), siendo una de las más
importantes la certificación CISA (Certified Information Systems Auditor), la cual fue establecida en
1978, debido a las siguientes razones (Erribarren y Morales, 2014):

 Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las
competencias de los individuos al realizar auditorías de sistemas.
 Proveer una herramienta motivacional para los auditores de sistemas de información para
mantener sus habilidades y monitorizar la efectividad de los programas de
mantenimiento.
 Proveer criterios de ayuda y gestión en la selección de personal.

6
ESTE DOCUMENTO CONTIENE LA SEMANA 2
CISA ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo
digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de
carrera innovadores y de primera clase.

Los beneficios de obtener una certificación CISA, según Canon (2008, p. 6), son:

a) Progreso profesional: con la certificación se demuestra la experiencia previa que posee el

auditor, aprobando un examen riguroso que pone a prueba sus conocimientos de
auditoría.
b) Proporcionar un valor añadido al empleador: con la certificación se espera la adquisición
de nuevos métodos que mejoren sus habilidades en el trabajo.
c) Proporciona seguridad de calidad a sus clientes: el destino de la organización puede
descansar en los resultados que se detallen en el informe del auditor, debido a que la
certificación garantizará que el auditor es una persona en la cual se puede confiar para
obtener los resultados precisos.
d) Proporciona una mayor oportunidad para el avance: las empresas se interesan por
contratar a un buen profesional que esté motivado, en constante actualización y que
demuestre su capacidad con credenciales.
e) Construye respeto y la confianza de otras personas: existen muchas empresas que están
dedicadas a la auditoría y buscan confianza en la gestión de negocio por medio de la
certificación CISA. Es un paso importante hacia la credibilidad que se desea demostrar.

De acuerdo a lo expresado por Canon (óp. cit., p. 14), los requisitos para obtener la certificación
CISA son:

a) Aprobar el Examen CISA.

b) Aportar evidencias verificables de una experiencia laboral de al menos 5 años en el ámbito
de la auditoría, control o seguridad de TI.
c) Enviar la solicitud CISA dentro de los 5 años posteriores a la aprobación del examen.
d) Adherirse al Código de Ética Profesional de Isaca.
e) Cumplir los estándares de auditorías de los sistemas de información adoptados por Isaca.
f) Cumplir con el programa de educación profesional continua.

El auditor de tecnología debe proveer razonable seguridad de que los objetivos de la auditoría se
realizan utilizando las normas.

Otra certificación que está cobrando relevancia es la certificación CISSP (Certified Information
Systems Security Professional), de alto nivel profesional, creada con el objetivo de ayudar a las
empresas a reconocer a los profesionales con formación en el área de seguridad de la información.

7
ESTE DOCUMENTO CONTIENE LA SEMANA 2
 1.3. ASPECTOS FUNDAMENTALES DE UN AUDITOR INFORMÁTICO
Según Davis y Schiller (2011), las características claves que debe tener un auditor informático son
las siguientes:

 Capacidad para profundizar en aspectos técnicos, sin perderse en los detalles.

 Capacidad de análisis. Es muy importante para el auditor no solo saber de tecnologías,
sino que también utilizar ese conocimiento para descubrir riesgos en el negocio y para
aplicar juicio respecto al grado de criticidad de estos riesgos.
 Habilidades de comunicación (oral y escrita). Un auditor informático debe ser capaz de
comunicarse y entenderse con personas con los más diversos cargos dentro de la
compañía, desde cargos muy técnicos hasta los más altos cargos gerenciales.
 Capacidad de aprender rápidamente nuevas tecnologías e identificar puntos de riesgos
clave dentro de estas tecnologías.
 Habilidades para construir relaciones de confianza. Los auditores informáticos deben ser
capaces de construir relaciones basadas en la confianza que sean sólidas. Esto incluye la
capacidad de sentir empatía con los clientes.

2. MARCOS DE TRABAJO Y ESTÁNDARES APLICADOS A LA

AUDITORÍA INFORMÁTICA
2.1. INTRODUCCIÓN A LOS MARCOS DE TRABAJO Y ESTÁNDARES
En la medida que las tecnologías de información evolucionan y maduran en el tiempo, los
departamentos de informática de cada compañía desarrollan sus propios métodos para la gestión
de operaciones. Los marcos de trabajo y estándares surgieron para proporcionar directrices para
la gestión y evaluación de los procesos asociados a la tecnología de la información.

De acuerdo a lo establecido por Davis y Schiller (óp. cit.), en la década de 1970, debido al aumento
de quiebras de empresas y de colapsos financieros, comenzó una preocupación por una mayor
responsabilidad y transparencia de aquellas compañías que cotizan en la bolsa. La Foreign Corrupt
Practices Act (FCPA) —que es una ley bajo la cual cualquier empresa extranjera subsidiaria de una
corporación de Estados Unidos o que transe sus acciones en ese país puede ser investigada, e
incluso multada— fue la primera regulación que requirió que las compañías implementasen
programas de control interno para mantener extensos registros de transacciones para fines de
divulgación e investigación.

Cuando la industria de los préstamos y ahorros se derrumbó a mediados de la década de 1980,

hubo una mayor demanda de supervisión gubernamental de las normas de contabilidad y de la
profesión de la auditoría. En un esfuerzo para disuadir a la intervención gubernamental, una

8
ESTE DOCUMENTO CONTIENE LA SEMANA 2
iniciativa del sector privado, más adelante denominada Comité de Organizaciones Patrocinadoras
(Committee of Sponsoring Organizations, COSO), se inició en 1985 para evaluar la mejor manera
de mejorar la calidad de la información financiera. COSO formalizó los conceptos de control
interno y de marco de trabajo en el año 1992, cuando se emitió la publicación de referencia
“Control Interno – Marco de referencia integrado”.

Desde entonces, otras asociaciones profesionales han seguido desarrollando nuevos marcos de
trabajo y nuevos estándares, para proporcionar una guía y mejores prácticas a la comunidad
informática en general.

2.2. MARCOS DE TRABAJO Y ESTÁNDARES ACTUALES Y EMERGENTES

APLICADOS A LA AUDITORÍA INFORMÁTICA

2.2.1. ISO 19011

La norma ISO 19011 detalla los requisitos para realizar las auditorías de un sistema de gestión.
Surgió en el año 2002 con el fin de evitar la proliferación de normas internacionales que abarcaran
el mismo tema. Su nueva revisión 2011 tiene un mayor alcance que su predecesora, porque
considera su aplicabilidad para cualquier sistema de gestión y anteriormente se limitaba a
sistemas de gestión de calidad y sistemas de gestión ambiental, según lo afirma TÜV Rheinland (s.
f.). Con esta expansión de funciones, la auditoría es aplicable a cualquier sistema de gestión,
permitiendo ser auditado de manera independiente o de forma conjunta e integrada.

Esta norma es una guía para la gestión del programa de auditoría, la planeación y desarrollo de la
misma, y adicionalmente para las competencias y supervisiones que se deben realizar al equipo
auditor. Para ISO (2011), la norma es aplicable a todas las organizaciones que requieren llevar a
cabo auditorías internas o externas a sistemas de gestión o manejar un programa de auditoría. La
aplicación de esta norma internacional a otros tipos de auditoría es posible, en tanto se dé
consideración especial a la competencia específica requerida.

En el siguiente cuadro se presenta un resumen de la estructura de la norma ISO 19011 realizado

por Pulgarin (2011). El primer aspecto a considerar es la base conceptual, en la cual se encuentran
los capítulos que hacen mención a los términos y definiciones usados en la norma.
Adicionalmente, se describen los principios en los que se basa la auditoría.

9
ESTE DOCUMENTO CONTIENE LA SEMANA 2
 Fuente: Pulgarin (2011)

Estos principios son usados para lograr que la auditoría sea una herramienta eficaz y fiable a través
del apoyo de las políticas y controles de gestión. ISO (2011, p. 4) señala que la auditoría se
caracteriza por depender de varios principios que proporcionarán información que permitirá
mejorar el desempeño de las organizaciones. A continuación se mencionan:

a) Integridad: el fundamento del profesionalismo.

b) Presentación ecuánime: obligación de reportar con veracidad y exactitud.
c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar.
d) Confidencialidad: seguridad de la información.
e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las
conclusiones de la auditoría.
f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de
auditoría fiables y reproducibles en un proceso de auditoría sistemático.

En la planeación se proveen los lineamientos sobre la gestión de un programa de auditoría,

estableciendo los objetivos de los programas y coordinando sus actividades. Finalmente, en la
aplicación se orientan las actividades que se deben llevar de una auditoría a un sistema de gestión
y las directrices asociadas a la evaluación de los auditores de un sistema de gestión y de los
equipos que conforman la auditoría.

10
ESTE DOCUMENTO CONTIENE LA SEMANA 2
 2.2.2. COSO

De acuerdo a lo expresado por Institute of Management Accountants (2015), COSO (Committee of

Sponsoring Organizations) se formó para patrocinar la Comisión Nacional de Información
Financiera Fraudulenta, en respuesta a la creciente crisis financiera de Estados Unidos y a la
demanda de una mayor supervisión gubernamental de las prácticas contables y de auditoría.
COSO es una iniciativa que estudió los factores causales que pueden conducir a una información
financiera fraudulenta, y está orientado a ayudar a una empresa a definir los riesgos de
organización a nivel empresarial.

COSO publicó en 1992 la guía “Control Interno – Marco de referencia integrado”. Esta publicación
establece una definición común para el control interno y un marco contra el cual las
organizaciones pueden evaluar y mejorar sus sistemas de control.

COSO es considerado como la piedra angular de las prácticas de gestión de riesgos y control
interno de las empresas modernas. Revolucionó las profesiones de contabilidad y de auditoría al
establecer una definición común de control interno, gestión de riesgo empresarial, entre otros
conceptos.

Según Harris (2010), el control interno definido por COSO consiste en los siguientes conceptos
interrelacionados:
a) Ambiente de control: filosofía y estilo operativo de la gestión; la cultura de la empresa en
lo que respecta a la ética y el fraude.
b) Evaluación de riesgos: establecimiento de objetivos de riesgo; la capacidad de gestionar el
cambio interno y externo.
c) Las actividades de control: políticas, procedimientos y prácticas se ponen en marcha para
mitigar el riesgo.
d) Información y comunicación: estructura que garantiza que las personas adecuadas
reciban la información correcta en el momento preciso.
e) Monitoreo: detectar, responder y controlar las deficiencias.

COSO introduce el concepto de controles sobre los sistemas de información. Establece que debido
a la confianza generalizada que se tiene sobre los sistemas de información, es necesaria la
existencia de controles sobre los sistemas significativos. Clasifica las actividades de control sobre
los sistemas de información en dos grandes grupos. El primer grupo se refiere a los controles
generales, que incluye controles sobre la gestión de las tecnologías de información, sobre la
infraestructura de tecnologías de información, gestión de seguridad, y sobre los procesos de
adquisición, desarrollo y mantención de software. El segundo grupo se refiere a los controles de
aplicación, que incluyen actividades automáticas al interior de la aplicación para controlar reglas
de negocio a través de los sistemas de información. Estos controles permiten asegurar la
integridad, exactitud y validez de la información.

11
ESTE DOCUMENTO CONTIENE LA SEMANA 2
 2.2.3. COBIT

COBIT (Control Objectives for Information Systems and Related Technology, en español Objetivos
de Control para Sistemas de Información y Tecnologías Relacionadas) es un marco de trabajo para
el gobierno y la gestión de empresas de tecnología de información, que consolida y armoniza
estándares de fuentes globales prominentes en un recurso crítico para la gerencia. Es un modelo
para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los
sectores de una organización, es decir, administradores IT, usuarios y, por supuesto, los auditores
involucrados en el proceso.

La misión de COBIT es investigar, desarrollar, hacer público y promover un marco de control de

gobierno de tecnologías de información autorizado, actualizado y aceptado internacionalmente
para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio,
profesionales de tecnologías de información y profesionales de aseguramiento.

COBIT abarca controles específicos de tecnología de información desde una perspectiva de

negocios por medio de modelos de evaluación y monitoreo. El uso de sus recursos debe usarse
como guía para aplicar las mejores prácticas.

De acuerdo con lo indicado por Peña (2012), COBIT se basa en 5 principios básicos, que son los
siguientes:

1. Satisfacción de las necesidades de las partes interesadas. Las necesidades de las partes
interesadas deben ser transformadas en una estrategia accionable para la organización.
Las metas en cascada de COBIT traducen las metas corporativas de alto nivel en otras
metas más manejables, específicas, relacionadas con TI y mapeándolas con procesos y
prácticas específicas.
2. Cobertura de toda la empresa. Las organizaciones deben de cambiar su visión, con el
objetivo de considerar el área de tecnologías de la información como un activo y no un
costo. Los directivos deben tomar la responsabilidad de gobernar y gestionar los activos
relacionados con las tecnologías de la información dentro de sus propias funciones.
3. Aplicación de un marco de referencia único e integrado. Hay muchos estándares y
mejores prácticas relacionadas con tecnologías de la información, cada uno de los cuales
suministra orientación con respecto a un subconjunto de actividades de tecnologías de la
información. COBIT se alinea con otros estándares y marcos relevantes a un nivel alto y, de
este modo, puede servir como el marco de referencia global para la gestión y el gobierno
de tecnologías de la información de la empresa.
4. Habilitación de un enfoque holístico. El gobierno de tecnologías de la información de la
empresa requiere de un enfoque holístico que tome en cuenta muchos componentes,
también conocidos como habilitadores. Los habilitadores influyen en que algo vaya a
funcionar o no. COBIT incluye siete habilitadores para mejorar el gobierno de tecnologías
de la información, como los principios, las políticas y marcos, los procesos, la cultura, la
información y la gente.

12
ESTE DOCUMENTO CONTIENE LA SEMANA 2
 5. Separación de gobierno y gestión. El gobierno asegura que se evalúen las necesidades,
condiciones y opciones de las partes interesadas para determinar objetivos equilibrados y
acordados; se determine la dirección a través de la priorización y la toma de decisiones; y
se monitoree el desempeño y cumplimiento en relación con la dirección y los objetivos
acordados. La gerencia planifica, construye, ejecuta y monitorea actividades en alineación
con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la
empresa.

De forma conjunta, estos cinco principios permiten que la empresa desarrolle un marco eficaz de
gobierno y gestión que optimiza la inversión en información y tecnología y su uso para beneficio
de las partes interesadas.

De acuerdo a lo indicado por Peña (2012), los lineamientos y estándares internacionales conocidos
como COBIT, definen un marco de referencia que clasifica los procesos de las unidades de
tecnología de información de las organizaciones en cuatro dominios principales:

1. Planificación y organización: abarca las directrices, tácticas y forma en que la tecnología

de información ayuda al logro de la visión estratégica planeada, comunicada y
administrada desde las diferentes perspectivas del negocio y consecución de los objetivos
estratégicos.
2. Adquisición e implantación: para ejecutar la estrategia de tecnologías de la información,
las soluciones deben ser identificadas, desarrolladas o adquiridas, además de
implementadas e integradas dentro del proceso de negocio. Este dominio cubre cambios o
mantenimientos realizados a sistemas existentes.
3. Soporte y servicios: abarca los servicios requeridos desde operaciones tradicionales hasta
el entrenamiento, tomando en cuenta la seguridad y aspectos de continuidad. Para la
definición de servicios se deben establecer los procesos de soporte necesarios.
4. Monitoreo: todos los procesos deben ser evaluados constantemente para verificar su
calidad y suficiencia en cuanto a los requerimientos de control.

El marco COBIT, en su versión 4.1, establece 34 objetivos de control de alto nivel y 215 objetivos
de control detallados, los que se encuentran agrupados según estos 4 dominios, de acuerdo a lo
establecido por el documento COBIT 4.1 publicado por el IT Governance Institute el año 2007.

Los dominios y los objetivos de control facilitan que la generación y procesamiento de la

información cumplan con las características de calidad sobre eficiencia, efectividad, integridad,
confidencialidad; adicionalmente disponibilidad y cumplimiento. Resulta importante señalar que
COBIT ayuda a una empresa a definir objetivos de riesgo a nivel operativo.

2.2.4. ITIL

La Biblioteca de Infraestructura de Tecnologías de Información (IT Infrastructure Library, ITIL) fue

desarrollada por el gobierno del Reino Unido a mediados de la década de 1980, y se ha convertido

13
ESTE DOCUMENTO CONTIENE LA SEMANA 2
en un estándar de facto para las mejores prácticas en la provisión de gestión de infraestructura de
tecnologías de la información y prestación de servicios.

ITIL proporciona una serie de referencias prácticas y normas específicas que son adaptables
prácticamente a cualquier organización. En su versión 3, consta de 5 libros basados en el ciclo de
vida del servicio:

1. Estrategia del servicio. Se enfoca en el estudio de mercado y nuevas posibilidades

mediante la búsqueda de servicios innovadores que satisfagan al cliente tomando en
cuenta la real factibilidad de su puesta en marcha. Asimismo, se analizan las posibles
mejoras para los servicios ya existentes, se verifican los contratos en base a las nuevas
ofertas de proveedores antiguos y posibles nuevos proveedores, lo que incluye la
renovación o revocación de los contratos vigentes. Este libro cubre los siguientes
procesos: gestión financiera, gestión del portafolio y gestión de la demanda.

2. Diseño del servicio. Una vez identificado un posible servicio, el siguiente paso consiste en
analizar su viabilidad. Para ello se toman factores tales como infraestructura disponible,
capacitación del personal, y se planifican aspectos como seguridad y prevención ante
desastres. Para la puesta en marcha se toman en consideración la reasignación de cargos,
la infraestructura y software a implementar. Este libro cubre los siguientes procesos:
gestión del catálogo de servicios, gestión de niveles de servicio, gestión de la
disponibilidad, gestión de la capacidad, gestión de la continuidad de los servicios, gestión
de proveedores, gestión de la seguridad de la información y coordinación del diseño.

3. Transición del servicio. Antes de poner en marcha el servicio se deben realizar pruebas.
Para ello se analiza la información disponible acerca del nivel real de capacitación de los
usuarios, estado de la infraestructura, recursos de tecnologías de la información
disponibles, entre otros. Luego se prepara un escenario para realizar pruebas: se replican
las bases de datos, se preparan planes de rollback (reversión) y se realizan las pruebas.
Luego de ello se limpia el escenario hasta el punto de partida y se analizan los resultados,
de los cuales dependerá la implementación del servicio. Este libro cubre los siguientes
procesos: gestión de la configuración y activos, gestión del cambio, gestión del
conocimiento, planificación y apoyo a la transición, gestión de release y despliegue,
gestión de validación y pruebas, y evaluación del cambio.

4. Operación del servicio. En este punto se monitoriza activa y pasivamente el

funcionamiento del servicio, se registran eventos, incidencias, problemas, peticiones y
acceso al servicio. Este libro cubre los siguientes procesos: gestión de incidentes, gestión
de problemas, cumplimiento de solicitudes, gestión de eventos y gestión de accesos.

5. Mejora continua del servicio. Se utilizan herramientas de medición y feedback para

documentar la información referente al funcionamiento del servicio, los resultados

14
ESTE DOCUMENTO CONTIENE LA SEMANA 2
 obtenidos, problemas ocasionados, soluciones implementadas, etc. Para ello, se debe
verificar el nivel de conocimiento de los usuarios respecto al nuevo servicio, fomentar el
registro e investigación referentes al servicio y disponer de la información al resto de los
usuarios.

2.2.5. ISO 27001

Desde su creación en 1947, la Organización Internacional de Normalización (International

Organization for Standarization, ISO) ha creado una serie de normas para la gestión de la
seguridad de las redes, desarrollo de software y control de calidad, entre otras.

La ISO 27001 es un conjunto de normas básicas que tratan varios aspectos relacionados a prácticas
de seguridad de la información, gestión de seguridad de la información, y gestión del riesgo de
seguridad de la información. Esta norma forma parte de una familia de normas denominada ISO
27000.

Para Castellano (2015, p. 12), el objetivo de la familia de normas ISO 27000 es establecer los
requisitos mínimos con los que debe cumplir un Sistema de Gestión de la Seguridad de la
Información (SGSI) en una organización.

El SGSI es un conjunto de políticas de administración de la información para gestionarla

eficientemente, buscando asegurar su confidencialidad, integridad y disponibilidad para evitar los
riesgos en su seguridad.

Según el portal de ISO27000.es (s. f.), existen tres términos que constituyen la base de la seguridad
de la información:

 Confidencialidad: la información no se pone a disposición ni se revela a individuos,

entidades o procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos
de proceso.
 Disponibilidad: acceso y utilización de la información y sus sistemas de tratamiento por
parte de los individuos, entidades o procesos autorizados cuando lo requieran.

El portal de ISO27000.es (óp. cit.) especifica que la norma se basa en el ciclo PDCA (del inglés plan-
do-check-act, esto es, planificar-hacer-verificar-actuar) para la mejora del SGSI en la organización.
Lo que se busca es demostrar que la entidad cumple con los requisitos mínimos para asegurar la
seguridad de la información.

 Plan (planificar): establecer el SGSI.

 Do (hacer): implementar y utilizar el SGSI.

 Check (verificar): monitorizar y revisar el SGSI.

15
ESTE DOCUMENTO CONTIENE LA SEMANA 2
  Act (actuar): mantener y mejorar el SGSI.

En este sentido, Castellano (2015) presenta la familia de normas de la ISO 27000:

 ISO 27001: especifica los requisitos para la implantación del SGSI.

 ISO 27002: código de buenas prácticas para la gestión de seguridad de la información.

 ISO 27003: directrices para la implementación del SGSI.

 ISO 27004: métricas para la gestión de seguridad de la información.

 ISO 27005: gestión de riesgo en seguridad de la información.

 ISO 27006: requisitos para acreditación de organizaciones que proporcionan

certificaciones de SGSI.

 ISO 27007: es una guía para auditar al SGSI.

 ISO 27799: es una guía para implementar ISO 27002 en la industria de la salud.

 ISO 27035: actividades de detección, reporte y evaluación de incidentes de seguridad y sus

vulnerabilidades.

La norma ISO 27001 establece 133 controles en 11 áreas de la disciplina de la seguridad de la

información. De acuerdo a Davis y Schiller (2011), las 11 áreas son las siguientes:

 Política de seguridad.

 Organización de la seguridad de la información.

 Gestión de activos.

 Seguridad de los recursos humanos.

 Seguridad física y ambiental.

 Comunicaciones y gestión de operaciones.

 Control de acceso.

 Adquisición, desarrollo y mantención de sistemas.

 Gestión de incidentes de seguridad de la información.

 Gestión de la continuidad del negocio.

 Cumplimiento.

16
ESTE DOCUMENTO CONTIENE LA SEMANA 2
COMENTARIO FINAL
En esta semana se ha revisado el perfil del auditor en informática, su formación, estándares y
marcos de trabajo aplicados en la auditoría en informática. Dependiendo del alcance de esta
última, se revisaron los distintos roles que debe tomar el auditor, cuya formación viene tanto de
las carreras de auditoría o gestión como de las carreras de informática. En este aspecto, toman
especial relevancia las certificaciones que otorgan un reconocimiento internacional en este
campo, como por ejemplo las certificaciones CISA y CISSP otorgadas por Isaca. Se evidenció que
dependiendo de su base profesional, debe educarse para adquirir los conocimientos faltantes para
llevar a cabo un proceso de auditoría. También se revisaron los aspectos claves que debe tener un
auditor en informática para lograr el éxito.

En cuanto a los marcos de trabajo y estándares en la auditoría informática, se revisaron los

orígenes de estos conceptos y sus objetivos. En particular, se revisaron los marcos de trabajo y
estándares más reconocidos actualmente en el uso de tecnologías de información. Se revisó la
norma ISO 19011 que está destinada a fijar estándares para aplicar una auditoría a cualquier
sistema de gestión. Se revisó el marco de trabajo COSO, que es considerado como la piedra
angular de las prácticas de gestión de riesgos y control interno de las empresas modernas, al
establecer una definición común de control interno, gestión de riesgo empresarial, entre otros
conceptos. También se revisó el marco de trabajo COBIT, el cual se enfoca en el gobierno y la
gestión de empresas de tecnología de información. Finalmente se revisó el marco de trabajo ITIL,
el cual proporciona una guía de mejores prácticas para la gestión de servicios de tecnologías de
información, y la norma ISO 27001 orientada a la gestión de seguridad de la información.

17
ESTE DOCUMENTO CONTIENE LA SEMANA 2
REFERENCIAS
Castellano, L. (2015). Normas ISO 27000: ¿para qué sirven? Recuperado de:
http://es.slideshare.net/luiscastellanos/iso-27000-26281812

Canon, D. (2008). CISA. Certified Information Systems Auditor. Studyguide. Segunda edición.
Indiana, EE. UU.: Wiley Publishing Inc.

Carreras, M. (2012). Estándares formales de usabilidad y su aplicación práctica en una evaluación

heurística. Recuperado de: http://olgacarreras.blogspot.com.es/2012/03/estandares-
formales-de-usabilidad-y-su.html.

Davis, C. & Schiller, M. (2011). IT Auditing, Using Controls to Protect Information Assets. Segunda
edición. EE. UU.: McGraw-Hill.

Dankers, C. (2004). Las normas sociales y ambientales, la certificación y el etiquetado de cultivos

comerciales. Recuperado de: https://goo.gl/InOAYc

Delgado, X. (1998). Auditoría Informática. Recuperado de:

https://www.scribd.com/doc/211397435/Auditoria-Informatica-Xiomar-Delgado-Rojas-
UNED

Erribarren, R. & Morales, J. (2014). Sistema de información empresarial. Cisa, Certified Information
Systems Auditor. Recuperado de: http://es.slideshare.net/jpmorales/trabajo-cisa-9458610

Gantz, S. (2014). The Basic of IT Audit. EE. UU.: Editorial Elsevier.

Harris, Sh. (2010). Regulatory Requirements and Risk. Recuperado de:

http://www.pearsonitcertification.com/articles/article.aspx?p=1594876&seqNum=2

IT Governance Institute (2007). Cobit 4.1. Recuperado de:

http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

ISO27000.es (s. f.). Sistema de gestión de la seguridad de la información. Recuperado de:

http://www.iso27000.es/download/doc_sgsi_all.pdf

18
ESTE DOCUMENTO CONTIENE LA SEMANA 2
Organización Internacional de Normalización, ISO (2011). Norma Internacional ISO 19011. Segunda
Edición. Recuperado de
http://www.cucsur.udg.mx/SGC/sites/default/files/SGC/Norma/ISO%20ISO-19011-2011.pdf

Peña, J. (2012). COBIT 5. Evento Técnico 3 de mayo de 2012. Recuperado de:

http://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20CobiT%205.p
df

Pulgarin, D. (2011). GTI 2 mapa 1 Estruct. ISO 19011. Recuperado de:

http://gticostos.blogspot.com/2011_08_01_archive.html

TÜV Rheinland (s. f.). “ISO 19011:2011. Directrices para la auditoría de los sistemas de gestión”.
Boletín Técnico Nro. 10. Recuperado de: http://goo.gl/CCft9e

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2015). Fundamentos generales de la auditoría informática. Parte II. Auditoría Informática.

Semana 2.

19
ESTE DOCUMENTO CONTIENE LA SEMANA 2
 20
ESTE DOCUMENTO CONTIENE LA SEMANA 2