UNIVERSIDAD NACIONAL DE SAN MARTIN

FACULTAD DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA

TEMA : INTRODUCCION A LA
AUDITORÍA DE SISTEMAS

DOCENTE: ING. DR. CARLOS ENRIQUE LÓPEZ RODRÍGUEZ

mail: celopez@unsm.edu.pe
1
 Primera clase

 Elegir delegad@

2
 Sobre el examen…
Sobre el Examen

3
 INTRODUCCIÓN
La Auditoría de Sistemas de Información, es el
mecanismo de control efectuado por un grupo
independiente del sistema a auditar, con la
finalidad de

valorar y
evaluar LA CONFIANZA

que se puede depositar en

los sistemas de información

Auditar es efectuar el control y la revisión de

una situación pasada. Es observar lo que pasó
en una entidad y contrastarlo con normas
internas y/o externas. 4
 AUDITORIA DE SISTEMAS

Proceso metodológico que se desarrolla

permanentemente en las organizaciones, que
tiene como propósito evaluar los recursos
humanos, tecnológicos, materiales y financieros,
relacionados con la información, para garantizar
que dicho conjunto de elementos operen con un
criterio de integración y desempeño de niveles
altamente satisfactorios para que apoyen la
productividad y rentabilidad de la organización.

5
La AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIÓN
y UTILIZA EFICIENTEMENTE los RECURSOS
6
Miguel Angel Ramos
Miembro de la O.A.I
 La define como la revision de la propia
informatica y de su entorno:
 Analisisde riesgos.
 Planes de contingencia.
 Desarrollo de aplicaciones.
 Asesoramiento en paquetes de seguridad.
 Revision de controles y cumplimiento de los
mismos, asi como de las normas legales aplicables.
 Evaluacion de la gestion de los recursos
informaticos.
7
 Importancia de la Auditoría de
Sistemas
En la actualidad, todas las empresas necesitan información:

• segura y precisa
Tomar decisiones certeras

• Cuando éstas
sean requeridas

Es más económico para el negocio realizar una auditoria preventiva

que realizar una auditoria correctiva, ya que la auditoria correctiva
aparte de tener pérdidas económicas, hay pérdida de credibilidad 8
en los clientes internos y externos
Tipos de auditorías

9
:: Qué se debe asegurar ?
Siendo que la información debe considerarse como un recurso con el que
cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual
que el resto de los activos, debe estar debidamente protegida.

10
:: Contra qué se debe proteger la Información ?

La Seguridad de la Información, protege a ésta de una

amplia gama de amenazas, tanto de orden fortuito como
destrucción, incendio o inundaciones, como de orden
deliberado, tal como fraude, espionaje, sabotaje, vandalismo,
etc.

11
 :: Qué se debe garantizar ?

Confidencialidad: Se garantiza que la información es accesible

sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la
información y los métodos de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tienen
acceso a la información y a los recursos relacionados con la
misma toda vez que se requiera.

12
:: Por qué aumentan las amenazas ?

Las Organizaciones son cada vez mas dependientes de sus Sistemas y

Servicios de Información, por lo tanto podemos afirmar que son cada
vez mas vulnerables a las amenazas concernientes a su seguridad.

13
:: Por qué aumentan las amenazas ?

Crecimiento exponencial de las Redes y

Usuarios Interconectados
Profusión de las BD On-Line

Algunas Inmadurez de las Nuevas Tecnologías

Causas Alta disponibilidad de Herramientas
Automatizadas de Ataques
Nuevas Técnicas de Ataque Distribuido
Técnicas de Ingeniería Social

14
:: Cuáles son las amenazas ?
Accidentes: Averías, Catástrofes, Interrupciones, ...
Errores: de Uso, Diseño, Control, ....
Intencionales Presenciales: Atentado con acceso físico no autorizado
Intencionales Remotas: Requieren acceso al canal de comunicación

:: Amenazas Intencionales Remotas

•Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD).

•Corrupción o destrucción de la información (amenaza a la INTEGRIDAD).
•Suplantación de origen (amenaza a la AUTENTICACIÓN).

15
 :: Estructura de Seguridad – Análisis de Riesgos

Análisis de Riesgos
Se considera Riesgo Informático, a todo factor que pueda generar una
disminución en:
Confidencialidad – Disponibilidad - Integridad
•Determina la probabilidad de ocurrencia
•Determina el impacto potencial

16
 :: Análisis de Riesgos – Modelo de Gestión

Activos Amenazas

Impactos Vulnerabilidades

Reduce Reduce
Riesgos

Función Función
Correctiva Preventiva

17
La responsabilidad en último extremo, en
una empresa sobre la optimización de la
calidad de los SI, y la rentabilidad de los
recursos informáticos la tiene:

1. La Dirección de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologías de la
Información
4. El vendedor del software y el hardware
18
Un Auditor de Sistemas de Información
debe, entre sus responsabilidades,
realizar:

1. La redacción de los procedimientos de

control en el área de seguridad lógica
2. La aprobación de nuevos sistemas de
gestión
3. Evaluar los riesgos de los sistemas de
información
4. Las pruebas del plan de continuidad del
negocio 19
PARA QUE LA AUDITORÍA DE SISTEMAS TENGA ÉXITO
SE REQUIERE:
•Compromiso de todos los funcionarios relacionados
•Continuidad en el proceso de evaluación y control

•Especialización de quienes llevan a cabo la función de

auditoría
•Conocimiento de la entidad a través de la etapa de planeación
•Enfoque preventivo, no correctivo
•Facilitar soluciones, no recomendando exceso de controles
•Estudio del medio tecnológico y organizacional

20
PARA QUE LA AUDITORÍA DE SISTEMAS TENGA ÉXITO
SE REQUIERE:

•Lograr que el personal advierta que las medidas preventivas

son parte del trabajo diario y que incumben a todos por igual

•Evaluar para resolver y proteger, sin entorpecer ni burocratizar

•Trabajar con base en requerimientos y riesgos propios, y no

según los criterios del mercado

21
22
 Preguntas … ?

Lectura:
Auditoría Interna/Externa

23