UNIVERSIDAD DE GUAYAQIIL

FACULTAD DE CIENCIAS ADMINISRATIVAS

ESCUELA DE CONTADURIA PUBLICA
AUDITORIA DE SISTEMAS AUTOMATIZADOS
7MO. SEMESTRA – CPA

2020-2021
 AUDITORIA DE SISTEMAS
AUTOMATIZADOS

POLITICAS DE SEGURIDAD Y
CONCLUSIONES
DR. SIXTO RONQUILLO BRIONES, Msc.
OBJETIVOS GENERALES DE LA AUDITORÍA EN
INFORMÁTICA
• Incrementar la satisfacción de los usuarios
de los sistemas informáticos.
• Capacitación y educación sobre controles en
los Sistemas de Información.
• Buscar una mejor relación costo-beneficio
de los sistemas automáticos y tomar decisiones
en cuanto a inversiones para la tecnología de
información.
 Riesgo Informático
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la Gestión de la
Seguridad) como:
La probabilidad de que una amenaza se
materialice de acuerdo al nivel de
vulnerabilidad existente de un activo,
generando un impacto específico, el
cual puede estar representado por
pérdidas y daños para una organización.
 Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
 Vulnerabilidad

Condiciones inherentes a los activos

o presentes en su entorno que
facilitan que las amenazas se
materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento del
usuario, tecnología inadecuada,
fallas en la transmisión, inexistencia
de antivirus, entre otros.
 Impacto

Consecuencias de la ocurrencia
de las distintas amenazas:
financieras o no financieras.
Perdida de dinero, deterioro de la
imagen de la empresa, reducción
de eficiencia, fallas operativas a
corto o largo plazo, pérdida de
vidas humanas, etc.
 Administración de Riesgos
Luego de efectuar el análisis de riesgo-impacto, el
ciclo de administración de riesgo finaliza con la
determinación de las acciones a seguir respecto:
•Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informática).
•Aceptar el riesgo, determinando el nivel de
exposición y afectación probable.
 REVISION DE LAS
POLITICAS DE SEGURIDAD
DE INFORMACION.
 DEFINICIONES GENERALES

Estas políticas están dirigidas a los colaboradores de la organización

sobre la importancia y sensibilidad de la información y servicios críticos
que permiten a la empresa crecer y mantenerse competitiva en el tiempo.
Ante esta situación, el proponer o identificar una política de seguridad
requiere un alto compromiso con la organización, agudeza técnica para
establecer fallas y debilidades, y constancia para renovar y actualizar
dichas políticas en función del dinámico ambiente que rodea las
organizaciones modernas en el ámbito informático.
CARACTERISTICAS DE LAS POLITICAS
El termino general, política de seguridad se suele definir como el
conjunto de requisitos definidos por los responsables directos o indirectos
de un sistema(PED) que indica en términos generales que esta y que no
esta permitido en el área de seguridad durante la operación general de
dicho sistema.
Una política de seguridad informática es una forma de comunicarse con
los usuarios FINALES, ya que las mismas establecen un canal formal de
actuación del personal, en relación con los recursos y servicios
informáticos de la organización.
STANDARES (ISO, COSO, COBIT, ETC)

La orientación empresarial del COBIT consiste en vincular los objetivos de negocio

para los objetivos de laTI, brindando métricas y modelos de madurez para medir sus
logros, e identificando las responsabilidades asociadas de los negocios y de procesos de
TI con los propietarios.
El enfoque hacia procesos de COBIT se ilustra como un modelo de procesos, el cual
se subdivide en cuatro dominios ( planificar y organizar, adquirir e implementar,
entrega y soporte, y seguimiento y evaluación ) y 34 procesos en línea con las áreas de
responsabilidad de planear, construir, ejecutar y controlar. Se coloca a un alto nivel y se
ha alineado y armonizado con otros, normas mas detalladas de TI y las buenas
practicas de procesos, tales como COSO, ITIL, ISO 27000, CMMI, TOGAF Y
PMBOK.
 Normas de Auditoría Informática disponibles
Guía de auditoria del
Modelo de evaluación del sistema de gestión de
control interno en los sistemas, • COSO (Committee of Sponsoring
seguridad de la
funciones, procesos o Organizations of the Treadway información para su
actividades en forma íntegra. Commission, EEUU 1992). protección.
• ITIL (Information Technology
Infrastructure Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000). Marco referencial que
evalúa el proceso de
• COBIT (Control Objectives for gestión de los Servicios de
Information and Related Technology IT, tecnología de información y
EE.UU 1998). de la infraestructura
tecnología.
 Marco de Trabajo de Control COBIT

Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la

dirección debe implantar un sistema de control interno o un marco de trabajo.
El marco de trabajo de control COBIT contribuye a estas necesidades de la
siguiente manera:
•Estableciendo un vínculo con los requerimientos del negocio.
•Organizando las actividades de TI en un modelo de procesos generalmente
aceptado.
•Identificando los principales recursos de TI utilizados.
•Definiendo los objetivos de control gerencial a ser considerados.
 Auditoria ISO-9000

• Es la revisión exhaustiva, sistemática y especializada que realizan únicamente

los auditores especializados y certificados en las normas y procedimientos
ISO-9000, aplicando exclusivamente los lineamientos, procedimientos e
instrumentos establecidos por esta asociación. El propósito fundamental de
esta revisión es evaluar, dictaminar y certificar que la calidad de los sistemas
computacionales de una empresa se apegue a los requerimientos del ISO-
9000
 PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS( DOMINIO 1).

PLANEAR Y ORGANIZAR
Estrategias y tácticas. Identificar la manera en
que TI pueda contribuir de la mejor manera al
logro de los objetivos del negocio.
La visión estratégica requiere ser planeada,
comunicada y administrada.
Implementar una estructura organizacional y
una estructura tecnológica apropiada.
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE REQUIEREN
SER ADMINISTRADOS.

PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos típicos de la gerencia:
¿Están alineadas las estrategias de TI y del negocio?
¿La empresa está alcanzando un uso óptimo de sus recursos?
¿Entienden todas las personas dentro de la organización los
objetivos de TI?
¿Se entienden y administran los riesgos de TI?
¿Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS( DOMINIO 2).

ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la
implementación e integración en los procesos del negocio.
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS.
ADQUIRIR E IMPLEMENTAR
Además para garantizar que las soluciones sigan cubre
los siguientes cuestionamientos de la gerencia:
¿Los nuevos proyectos generan soluciones que
satisfagan las necesidades?
¿Los nuevos proyectos son entregados a tiempo y dentro
del presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una
vez se han implementados?
¿Los cambios afectarán las operaciones actuales del
negocio?
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE REQUIEREN
SER ADMINISTRADOS (DOMINIO 3).

ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega en sí de los servicios requeridos, lo
que incluye la prestación del servicio, la administración de la seguridad
y de la continuidad, el soporte del servicio a los usuarios, la
administración de los datos y de las instalaciones operacionales.
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS (DOMINIO 4).

ENTREGAR Y DAR SOPORTE

Aclara las siguientes preguntas de la gerencia:
•¿Se están entregando los servicios de TI de
acuerdo con las prioridades del negocio?
•¿Están optimizados los costos de TI? •¿Es
capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y
segura? •¿Están implantadas de forma
adecuada la confidencialidad, la integridad y
la disponibilidad?
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS ( DOMINIO 5).

MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los
requerimientos de control.
Este dominio abarca la administración del
desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del
gobierno.
PARA GOBERNAR EFECTIVAMENTE LA TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS.

MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la gerencia:
•¿Se mide el desempeño de TI para detectar los
problemas antes de que sea demasiado tarde? •¿La
Gerencia garantiza que los controles internos son
efectivos y eficientes? •¿Puede vincularse el
desempeño de lo que TI ha realizado con las metas
del negocio? •¿Se miden y reportan los riesgos,
el control, el cumplimiento y el desempeño?
LINEAMIENTOS PARA LA ADQUISICION DE BIENES
INFORMATICOS.
1.- Toda adquisición de tecnología informática se efectuara a través del Comité, que
esta conformado por el personal de la Administración de Informática.
2.- La adquisición de bienes de informática, quedara sujeta a los lineamientos
establecidos en este documento.
PROCEDIMIENTOS
Un procedimiento de seguridad es la definición detallada de los pasos a ejecutar para llevar a
cabo unas tareas determinadas. Los procedimientos de seguridad permiten aplicar e implantar
las políticas de seguridad que han sido aprobadas por la organización.
Se describe como se implementan, en las áreas a proteger, las políticas generales que han
sido definidas para la entidad, en correspondencia con las necesidades de protección e cada
una de ellas, atendiendo sus formas de ejecución, periodicidad, personal participante y medios
disponibles.
Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de
seguridad alcanzados se elaborara un programa de seguridad informática, que incluya las
acciones a realizar por etapas para lograr niveles superiores.
 CLASIFICACION DE LOS TIPOS DE
AUDITORIAS

• POR SU LUGAR DE APLICACIÓN:

AUDITORIA INTERNA
AUDITORIA EXTERNA
AUDITORÍAS POR SU ÁREA DE
APLICACIÓN
• Auditoría financiera
• Auditoría administrativa
• Auditoría operacional
• Auditoría integral
• Auditoría gubernamental
• Auditoría de sistemas
 AUDITORÍAS ESPECIALIZADAS EN
ÁREAS ESPECÍFICAS
• Auditoria al área medica(evaluación médico-sanitaria)
• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
• Auditoría fiscal-Tributaria
• Auditoría laboral
• Auditoría de proyectos de inversión
• Auditoría a la caja chica o caja mayor(arqueos)
• Auditoría al manejo de mercancías(inventarios)
• Auditoría ambiental
• Auditoría de sistemas Automatizados.
• Etc, Etc.
 CONCLUSIONES DE LA AUDITORIA INFORMATICA.

Al realizar este trabajo, se ha podido comprobar que cada vez es mas

evidente la necesidad de centralizar las políticas de seguridad
informática para cubrir virtualmente todo lo que sucede en dicho
campo.
Afortunadamente, se ha logrado que muchas organizaciones empiecen
a entender la importancia de este tipo de seguridad, porque a su
alrededor existen proyectos que dependen de manera critica de un
sistema con reglas claramente articuladas. Sin este tipo de políticas
informáticas, no se puede garantizar que los sistemas informáticos
sean operados de manera segura.
CONCLUSIONES DE LA AUDITORIA INFORMATICA…

En muchísimos casos la mejor herramienta de seguridad somos

nosotros y nuestro sentido común, ya que se ha podido comprobar que
los descuidos o imprudencias son la principal fuente de las brechas de
seguridad, tanto desde el punto de vista del usuario personal como de
las empresas.
También es evidente que se debe pensar en la forma de castigar
dichos abusos en contra de la seguridad de la información, y como así
también, algo mucho mas importante es como lograr probar el delito.
Este sigue siendo el principal inconveniente a la hora de legislar por el
carácter intangible de la información.
Dr. Sixto Ronquillo Briones