Auditoría Del Sistema de Información

AUDITORÍA DE
SISTEMAS DE
INFORMACIÓN
¿Por qué estudiar los sistemas de información y
la tecnología de información? Eso es lo mismo
que preguntar por qué se debería estudiar
contabilidad, finanzas, administración de
operaciones, mercadotecnia, administración de
recursos humanos o cualquier otra función
principal de negocios. Los sistemas y las
tecnologías de información son un elemento vital
de las organizaciones y negocios exitosos. Por
eso, constituyen un área esencial de estudio en
la administración y dirección de un negocio.
●11/10/2021 ●Prof. Jesús Orna 2
Las tecnologías de información, incluyendo los sistemas de información
basados en Internet, tienen una función vital y creciente en los negocios.
La tecnología de información puede ayudar a todo tipo de negocios a
mejorar la eficiencia y la efectividad de sus procesos de negocios, la toma
gerencial de decisiones y la colaboración entre los grupos de trabajo,
mediante el fortalecimiento de sus posiciones competitivas en un
mercado rápidamente cambiante.
Esto es evidente, tanto si la tecnología de información se utiliza para
apoyar equipos de desarrollo de productos, procesos de apoyo al cliente,
transacciones de comercio electrónico o cualquier otra actividad de
negocio. Las tecnologías y sistemas de información basados en Internet
se han convertido en un ingrediente necesario para el éxito de los
negocios en el ambiente global dinámico de la actualidad.
Si tenemos que entender los sistemas de información y sus funciones,
primero es necesario aclarar el concepto de sistema. En su forma más
sencilla, un sistema es un conjunto de componentes interrelacionados
con un límite claramente definido, que trabajan juntos para lograr una
serie de objetivos en común.
Un sistema de información (SI) puede ser cualquier combinación
organizada de personas, hardware, software, redes de comunicación y
recursos de información que almacene, recupere, transforme y
disemine información en una organización. Las personas han confiado
en los sistemas de información para comunicarse entre sí mediante una
variedad de dispositivos físicos (hardware), instrucciones y
procedimientos de procesamiento de información (software), canales de
comunicación (redes) y datos almacenados (recursos de información).
SISTEMAS DE INFORMACIÓN
• Es un conjunto de elementos interrelacionados

con el propósito de prestar atención a las
demandas de información de una organización,
para elevar el nivel de conocimientos que
permitan un mejor apoyo a la toma de
decisiones y desarrollo de acciones.

Aunque los términos sistemas de información y tecnologías de
información se usan a veces de manera indistinta, son dos conceptos
diferentes. Como se definió con anterioridad, el término sistema de
información describe todos los componentes y recursos necesarios
para proveer su información y sus funciones a la organización. Por el
contrario, el término tecnología de información se refiere a los diversos
componentes de hardware necesarios para que el sistema opere. En
teoría, un sistema de información podría utilizar componentes sencillos
de hardware como un lápiz y papel o carpetas de archivo para capturar
y almacenar sus datos. Sin embargo, para nuestros propósitos, nos
concentraremos en los sistemas de información basados en
computadoras y el uso de las siguientes tecnologías de información:

• Tecnologías informáticas de hardware, que incluyen microcomputadoras,
servidores de tamaño medio, grandes sistemas centrales (mainframe), y los
dispositivos de entrada, salida y almacenamiento que los apoyan.
• Tecnologías informáticas de software, que incluyen el software del sistema
operativo, navegadores de Web, paquetes de software de productividad y
software para aplicaciones de negocios, como administración de las relaciones
con los clientes y administración de la cadena de suministro.
• Tecnologías de redes de telecomunicaciones, que incluyen los medios de
telecomunicaciones, procesadores y software necesarios para proporcionar
acceso y apoyo, tanto por cable como inalámbrico, para Internet y para redes
privadas basadas en Internet como intranets y extranets.
• Tecnologías de administración de recursos de información, que comprenden
software de sistemas de administración de bases de datos para el desarrollo,
acceso y mantenimiento de las bases de datos de una organización.

Existen tres razones básicas para todas las aplicaciones de
negocio de la tecnología de información. Se hallan en las
tres funciones vitales que los sistemas de información
pueden desempeñar para una empresa.
• Apoyo a sus procesos y operaciones de negocio.
• Apoyo a sus empleados y directivos en la toma de

decisiones.
• Apoyo a sus estrategias para conseguir una ventaja
competitiva.

Apoyo a los procesos de negocio
Como consumidor, usted a menudo encuentra sistemas de información
que apoyan los procesos y operaciones de negocio en muchas de las
tiendas minoristas en las que compra. Por ejemplo, la mayoría de este
tipo de tiendas utilizan ahora sistemas de información basados en
computadoras para ayudarse a registrar las compras de los clientes,
tener al día el inventario, pagar a los empleados, comprar nuevas
mercancías y evaluar las tendencias de las ventas. Las operaciones de las
tiendas se detendrían sin el apoyo de dichos sistemas de información.

Apoyo en la toma de decisiones
Los sistemas de información también ayudan a los gerentes de las
………….. y a otros profesionales de los negocios a tomar mejores
decisiones. Por ejemplo, las decisiones acerca de qué líneas de
mercancías tienen que añadirse o descontinuarse, o qué tipo de
inversión requieren, son realizadas por lo general después de un análisis
proporcionado por los sistemas de información basados en cómputo.
Esto no sólo apoya la toma de decisiones de los gerentes de las tiendas,
compradores y demás, sino que también los ayuda a buscar formas de
ganar ventaja sobre otros minoristas en la competencia por los clientes.

Apoyo en la ventaja competitiva
Lograr una ventaja competitiva sobre los competidores requiere una aplicación
innovadora de las tecnologías de información. Por ejemplo, la dirección de una
cadena de tiendas puede tomar la decisión de instalar estaciones con pantallas
digitales en todas sus sucursales, con vínculos a su sitio Web de comercio
electrónico, para la compra en línea. Esto podría atraer a nuevos clientes y crear
una lealtad del cliente debido a la comodidad de ir a tiendas y comprar mercancía
suministrada por dichos sistemas de información. Por eso, los sistemas de
información estratégica pueden ayudar a proveer productos y servicios que dan a
un negocio una ventaja competitiva sobre sus competidores.

AUDITORÍA
Es el proceso que comprende las tareas de evaluar y

analizar ciertos procesos, dependiendo el área al que se
aplique, donde el auditor debe estar encaminado a la
búsqueda de problemas existentes, y a la vez buscar
soluciones para estos problemas.

La informática en la Empresa
• Hoy, la informática está incluida totalmente en la

gestión integral de las empresas.
• Es por ello que las empresas deben someterse a las
normas y estándares propiamente informáticos.
• Se aclara sí que la Informática no gestiona
propiamente la empresa más bien ayuda a la toma
de decisiones en beneficio de las organizaciones.
• Es por ello que deben existir normas que regulen su
funcionamiento entonces, nace la Auditoría
Informática.

INFORMATICA
Es un neologismo creado en Francia en
1962 por Philippe Dreyfus.
Etimológicamente se deriva del francés
informatique: information + automatique “En la informática convergen los fundamentos de las
para representar al concepto de “proceso ciencias de la computación, la programación y las
de datos”. metodologías para el desarrollo de software, así como
Se suele utilizar los conceptos de proceso determinados temas de electrónica. “ Se entiende por
electrónico, computadora e informática informática a la unión sinérgica del cómputo y las
como sinónimos, pero la informática es comunicaciones.
más amplia ya que considera el total del
sistema y el manejo de la información,
pudiendo utilizar equipos electrónicos
como una de sus herramientas.

Auditoría Informática
Es la revisión técnica, especializada y exhaustiva que se

realiza a los sistemas Informáticos, software,
información, redes, instalaciones, comunicaciones,
mobiliario, seguridad y todo el entorno computacional,
a fin de analizar, evaluar, verificar y recomendar
asuntos relativos a la planificación, control, eficacia,
seguridad y adecuación del servicio informático en la
empresa.

Objetivos generales de la Auditoría en Informática
• Asegurar la integridad, confidencialidad y confiabilidad de

la información.
• Minimizar existencias de riesgos en el uso de Tecnología
de información
• Conocer la situación actual del área informática para
lograr los objetivos. ¿Qué objetivos? ……………………
• Seguridad, utilidad, confianza, privacidad y disponibilidad
en el ambiente informático, así como también seguridad
del personal, los datos, el hardware, el software y las
instalaciones.
●11/10/2021 ●Prof. Jesús Orna

Objetivos generales de la Auditoría en Informática
• Incrementar la satisfacción de los usuarios de los

sistemas informáticos.
• Capacitación y educación sobre controles en los
Sistemas de Información.
• Buscar una mejor relación costo-beneficio de los
sistemas automáticos y tomar decisiones en cuanto
a inversiones para la tecnología de información.
●11/10/2021 ●Prof. Jesús Orna

La auditoría informática surge por cambios en el paradigma de la fiscalización, la auditoría
estuvo clasificada según la actividad que se realizaba, según los elementos que intervenían y
actualmente es por el objetivo planteado. En la actualidad se ha clasificado en Financiera,
Operativa, Socio-laboral, Medioambiental, Ética, Informática, De Procesos de Calidad. La
tendencia actual, en el ámbito de la auditoría informática direcciona a participar en todos los
proyectos relacionados, y en todos los aspectos de la tecnología relacionada. El personal
auditor informático no solo realiza este tipo de auditoría, sino también pruebas sustantivas en
apoyo en otras áreas, donde haya flujo de información electrónica. Su rol requiere de
competencia especializada en la función informática, conocimientos de auditoría y de gestión
empresarial. Es decir, que la auditoría informática permite conocer la realidad de una
organización en todos sus niveles relacionado con sus sistemas establecidos para gestionar la
información. Esta auditoría requiere de profesionales certificados en esta ciencia, quienes,
como investigadores, se deben preparar constantemente para enfrentar retos.

De acuerdo con la experiencia, se considera que la auditoría informática es un
proceso en evolución, ya que cada vez hay nuevos riesgos asociados a la
materialización sobre la tecnología que está en constante movimiento; que
también es cambiante e innovadora; ahora bien, mediante técnicas y
metodologías, el personal informático especializado -independiente de criterio
en la ejecución de sus tareas- es una pieza importante para el control, para
brindar valor agregado, para evaluar, emitir una opinión y recomendar, a fin de
coadyuvar a la organización al cumplimiento de los objetivos.
Por lo tanto, es necesario que se establezcan los controles internos adecuados
para proteger los recursos informáticos; considerando que un buen control
debe contar con características como: completo, simple, revisable, adecuado,
fiable, actualizado, rentable.
Definición de Auditoria informática
Es el conjunto de técnicas, procedimientos y actividades, destinados a

analizar y evaluar el funcionamiento de los sistemas informáticos de un
ente, por lo que comprende un examen metódico, puntual y discontinuo,
con el propósito de mejorar aspectos como: Control y seguridad de los
sistemas informáticos; Cumplimiento de la normativa tecnológica del ente;
Control de planes de contingencia; Eficacia y rentabilidad en el manejo de
los sistemas.

Auditoría de sistemas de información
¨Es el conjunto de técnicas, actividades y procedimientos destinados a

analizar, verificar y recomendar en asuntos relativos a la planificación,
control, eficacia, seguridad y adecuación del servicio informático en una
empresa…¨
“Cualquier auditoría que abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes”.

Características de una Auditoria de Sistemas
Realizada con criterios de eficiencia, eficacia y economía

Empleo de técnicas y enfoques apropiados en el plan de auditoría y al
determinar prioridades para la asignación de los recursos.
Emplea un enfoque de auditoría basado en riesgos
Identificar y evaluar riesgos relevantes
Labor de auditoría de SI debe ser supervisada
Basada en evidencia suficiente, confiable y pertinente
Que permita alcanzar los objetivos de auditoría y obtener conclusiones
objetivas y razonables del resultado de la auditoría
Determinar la naturaleza, plazos y alcance de los procedimientos de
auditoría que adelantará.
Realizada con actitud de escepticismo profesional
Considerar la materialidad de la auditoría y su relación con el riesgo de
auditoría
OBJETIVOS
Apoyo de función informática a las metas y objetivos de

la organización.
Capacitación y educación sobre controles en los

Sistemas de Información.
 Evitar decisiones de inversión y gastos innecesarios.

Estándares y marcos de referencia de la auditoría de SI
COBIT: Control Objectives for Information and related Technology

ITIL: The Information Technology Infrastructure Library
ISO 20000 Estándar internacional en gestión de servicios de TI
COSO: Committee of Sponsoring Organizations of the Treadway
Commission
ISO 27001 Estándar internacional para la implementación de SGSI
Un estándar es un documento establecido por consenso, aprobado por un cuerpo reconocido, y
que ofrece reglas, guías o características para que se use repetidamente.
Un framework, entorno de trabajo o marco de trabajo es un conjunto estandarizado de
conceptos, prácticas y criterios para enfocar un tipo de problemática particular que sirve como
referencia, para enfrentar y resolver nuevos problemas de índole similar.

OBJETIVOS DEL EQUIPO DE A. S.
• Participación en el desarrollo de nuevos sistemas:

– Evaluación de controles
– Cumplimiento de la metodología.
• Evaluación de la seguridad en el área informática.
• Evaluación de suficiencia en los planes de

contingencia.
– Respaldos, anricipar qué va a pasar: si se presentan fallas.

OBJETIVOS DEL EQUIPO DE AS
• Opinión de la utilización de los recursos informáticos.
• Control de modificación a las aplicaciones existentes.

– Fraudes
– Control a las modificaciones de los programas.
• Participación en la negociación de contratos con los proveedores.
• Revisión de la utilización del sistema operativo y los programas

utilitarios.

OBJETIVOS DEL EQUIPO DE AS
• Auditoria de la base de datos.

– Estructura sobre la cual se desarrollan las
aplicaciones.
• Auditoria de la red de teleprocesos.
• Desarrollo de software de auditoría.

OBJETIVO FINAL
• Es el objetivo final de una auditoría de sistemas bien
implementada, determinar software capaz de estar
ejerciendo un control continuo de las operaciones
del área de procesamiento de datos.

¿Cómo realizar una Auditoría de SI ?
• TOMA DE CONTACTO: momento en que la organización se da
cuenta de su necesidad de auditoría y procede a llamar al auditor.
• PLANIFICACIÓN DE LA OPERACIÓN: determina los objetivos, las

fechas, ámbitos de estudios y posibles problemas, inventario de
puntos a estudiar,
• DESARROLLO DE LA AUDITORÍA: Su objetivo es buscar evidencias

que puedan conducir a conclusiones certeras en el diagnóstico.

PROCEDIMIENTOS
Conocimiento de la empresa
Revisión de los controles generales
Revisión detallada de los sistemas y documentación
Pruebas
Evaluación del sistema
Informes

Características del control interno
Falta de rastro de las transacciones

Procesamiento uniforme de transacciones
Falta de segregación de funciones
Potencial de errores e irregularidades
Disminución de involucramiento humano
Transacciones automáticas
Dependencia de otros controles
Potencial de incremento de la supervisión por parte
de la administración
Potencial uso de TAACs
•Naturaleza del procesamiento
Ausencia de documentación de entrada

Falta de rastro visible de transacciones
Falta de datos de salida visibles
Factibilidad de acceso a datos y programas de
computadora

•Controles generales
Controles de organización y administración

Desarrollo de sistemas de aplicación y controles de
mantenimiento
Controles de operación de computadoras
Controles de software de sistemas
Controles de entrada de datos y programas
Otras salvaguardas
Procedimientos de recuperación

Controles de aplicación
Controles sobre datos de entrada

Controles sobre el procesamiento y sobre archivos
de datos de la computadora
Controles sobre los datos de salida del sistema
Revisión de controles de aplicación
Controles manuales ejercidos por el usuario

Procedimientos de control programados

Elementos del plan de auditoría:
Alcance
Plan de trabajo
Procedimientos
Opinión preliminar
Presentación de conclusiones
Informe con conclusiones a autoridades
Revisión final

Necesidad de información del auditor:
Disponibilidad, confiabilidad y origen de los registros

electrónicos
Existencia de controles internos y de seguridad
Documentación de los cambios de sistema
Reportes del sistema
Disponibilidad del auditor de hardware y software para
conducir la auditoría
Disposición de los sectores auditoría interna, procesamiento de
datos, etc.

Funciones de control interno
• Evaluación de amenazas del sistema y análisis de

riesgo
• Acceso limitado a los registros electrónicos
• Autorización de acceso con códigos de seguridad
• Inalterabilidad de fechas y archivos
• Revisión periódica de accesos
• Archivos de registros electrónicos
• Preservación de integridad de los datos
• Almacenamiento histórico de las transacciones
• Políticas de seguridad y/o procedimientos manuales
Políticas y procedimientos
• Análisis de confianza en los sistemas

• Confidencialidad de la información
• Políticas relativas a la integridad de las
transacciones
• Políticas de integridad vinculadas con el personal
• Monitoreo

• SÍNTESIS Y DIAGNÓSTICO:
. FODA
• PRESENTACIÓN DE CONCLUSIONES
• REDACCIÓN DEL INFORME Y

FORMACIÓN DEL PLAN MEJORA

HERRAMIENTAS
• Entrevista
 Analizar primero si la información buscada no
está disponible en otros medios.
 Identificar previamente a las personas a
entrevistar.
 Preparar la entrevista.
 Planificar el tiempo y definir el lugar.
 Toma de notas
 Análisis de la entrevista.

HERRAMIENTAS
• Cuestionario
 Definir si se quieren conocer hechos, opiniones o
ambas cosas
 Si el auditor va a estar presente o no.
 Preguntas concretas.
 Evitar usar la jerga de la auditoría y la informática.
 Las preguntas no deben conducir indirectamente a
las respuestas.
 Evitar cuestiones hipotéticas.
 Reflexionar sobre el rango con que se estimarían
las posibles respuestas.

¿Cómo debe ser el perfil de un auditor de SI ?
• Conocimientos técnicos de la informática.
• Conocimientos de auditoría: psicología, redacción de
informes, dirección, etc.
• Cualidades personales: atención, equilibrio emocional,
intuición profesional, dinamismo, capacidad de
escuchar, etc.
• Conociminto de Estándares de Auditoría de Sistemas
de Información:
• Independencia.

• Punto de vista imparcial que le permita obrar objetiva e ……………
• El Auditor no sólo debe ser independiente, sino también guardar

las apariencias.
• El Auditor y la dirección deben evaluar continuamente la

independencia.
• El trabajo e informe del Auditor deben representar grandes

responsabilidades profesionales, lo que ejemplifica la integridad y
la objetividad.

ÁREAS DE APLICACIÓN
1. Auditoría de Outsorcing
2. Auditoría de Seguridad Física y Lógica
3. Auditoría de la Dirección
4. Auditoria de Base de Datos
5. Auditoría de Redes
6. Auditoría de Explotación
7. Auditoría de Desarrollo

Auditoría de Outsorcing
El Outsourcing de TI, también llamada la externalización de servicios TI, es
la ejecución de procesos y actividades relacionadas con TI de una
organización por parte de una empresa externa que cuenta con su propia
estructura, recursos, capacidad de decisión y gestión.

Auditoría de Outsorcing
¿Cuáles son las ventajas del Outsourcing de TI

para las empresas?

Reducción de Costos
Al externalizar TI, la empresa elimina los costos asociados a la

contratación del personal, cursos de actualización, seguros de salud,
impuestos y planes de jubilación, entre otros. El ahorro obtenido al
eliminar el costo de contratar un equipo de TI es interesante. A
menudo este equipo no cuenta con todo el conocimiento necesario
para la solución de problemas, por lo que la empresa realiza gastos
eventuales para la contratación de expertos para la solución de
problemas. Así, al contratar una firma de outsourcing de TI, la empresa
no tendrá que preocuparse más por la contratación de técnicos, el
pago de colaboradores, los cargos laborales, la solución de problemas,
la optimización de problemas, etc. Todo esto resultará en una
reducción de los costos.
Enfoque en los principales negocios de la empresa
En la externalización de TI, el proveedor es

quien realiza la administración del equipo que
desarrollará las soluciones para la empresa
(administrar, integrar y automatizar los
procesos de TI). Esto garantiza que la empresa
se dedique exclusivamente a sus negocios
centrales, enfocándose en la estrategia para
mantenerse altamente competitiva.

Reducción de riesgos y aumento de eficiencia
A través de la mejora de los procesos de TI, garantizada por un

equipo subcontratado competente y capaz de aportar soluciones
que cubran las necesidades de la empresa, es posible reducir riesgos
y aumentar la eficiencia de la empresa. Los riesgos siempre está
presente en cualquier organización. Las variaciones del mercado, la
competitividad, nuevas reglamentaciones gubernamentales, gastos e
inversiones en tecnologías, todos estos factores cambian
constantemente. En la externalización de TI, el proveedor del servicio
asume y administra los riesgos

Equipo especializado
Las empresas del día de hoy utilizan equipos, tecnologías y
sistemas desarrollados por diversos fabricantes y marcas,
lo que exige una amplia gama de conocimientos. Por lo
tanto, es casi imposible que los profesionales de TI sean
expertos en todo los relacionado al área. Esto significa que
tener un equipo propio tal vez no valga la pena para
empresas que no pueden capacitar constantemente a sus
colaboradores.

Desventajas del Outsourcing de TI para las empresas
• Dependencia del proveedor

Dependiendo del tipo de servicio contratado, la empresa no puede cambiar a
los proveedores con relativa facilidad y rapidez. En algún modo, el proveedor
pasa a ser parte de la organización y la habilidad de ésta depende de la
habilidad de sus proveedores, pudiéndose crear una relación riesgosa.
• Externalización de una actividad vital
El proveedor puede no tener un sentido de responsabilidad tan confiable, son
relativamente menos leales a la organización y es menos probable que realicen
un esfuerzo extra si fuese necesario, por lo tanto, externalizar una actividad vital
podría ser crítico.
• Oposición del personal

Los sindicatos suelen oponerse a la externalización, argumentando que
contratistas abusan de sus trabajadores, pegándoles salarios bajos, no
cumpliendo con las leyes laborales y previsionales, ni tampoco con normas de
seguridad
Auditoría de Seguridad Física y Lógica
Seguridad Física: adecuación de instalaciones
Seguridad Lógica: salvaguarda de acreditación de

usuarios, secreto de archivos y transacciones

Auditoría de Seguridad Física y Lógica
• Está encargada de detectar intromisiones no autorizadas (intrusos).
• También se encarga de prevenir dichas intromisiones.
• Se preocupa de detectar y prevenir delitos frecuentes como:
– Espionaje cibernético a computadoras.

– Espionaje a redes computacionales.
– Intromisión en las CPDs.
– Etc.

Auditoría de la Dirección de la TI
- Conocer y evaluar los planes del CPD y su nivel de integración
con la empresa
- Revisión de planes informáticos y desarrollo de software
- Evaluar el nivel de participación y compromiso de directivos en
la elaboración de los planes
- Analizar que el responsable del Centro de Procesamiento de
Datos organiza, dirige y controla los recursos del mismo.

Auditoría de Base de Datos
Se define una base de datos como una serie de datos organizados y
relacionados entre sí, los cuales son recolectados y explotados por
los sistemas de información de una empresa o negocio en particular.
Las bases de datos proporcionan la infraestructura requerida para los

sistemas de apoyo a la toma de decisiones y para los sistemas de
información estratégicos, ya que estos sistemas explotan la información
contenida en las bases de datos de la organización para apoyar
el proceso de toma de decisiones o para lograr ventajas competitivas. Por
este motivo es importante conocer la forma en que están estructuradas las
bases de datos y su manejo.

Un sistema de base de datos tiene cuatro componentes:

a. Datos: Los datos son la Base de Datos propiamente dicha.
b. Hardware: El hardware se refiere a los dispositivos de
almacenamiento en donde reside la base de datos, así como a los
dispositivos periféricos (unidad de control, canales de comunicación,
etc.) necesarios para su uso.
c. Software: Está constituido por un conjunto de programas que se
conoce como Sistema Manejador de Base de Datos (DMBS: Data Base
Management System). Este sistema maneja todas las solicitudes
formuladas por los usuarios a la base

• Usuarios: Existen tres clases de usuarios relacionados
con una Base de Datos:
1. El programador de aplicaciones, quien crea programas de

aplicación que utilizan la base de datos.
2. El usuario final, quien accesa la Base de Datos por medio de
un lenguaje de consulta o de programas de aplicación.
3. El administrador de la Base de Datos (DBA: Data Base
Administrator), quien se encarga del control general del Sistema
de Base

Es el proceso que permite medir, asegurar, demostrar,
monitorear y registrar los accesos a la información
almacenada en las bases de datos incluyendo la
capacidad de determinar:
– Quién accede a los datos.

– Cuándo se accedió a los datos.
– Desde qué tipo de dispositivo/aplicación.
– Desde que ubicación en la Red.
– Cuál fue el efecto del acceso a la base de datos.
Objetivos Generales de la Auditoría de BD
Disponer de mecanismos que permitan tener trazas de
auditoría completas y automáticas relacionadas con el
acceso a las bases de datos incluyendo la capacidad de
generar alertas con el objetivo de:
–Mitigar los riesgos asociados con el manejo inadecuado de
los datos.
–Apoyar el cumplimiento regulatorio.
–Satisfacer los requerimientos de los auditores.
– Evitar acciones criminales.
La Auditoría de BD es importante porque:
– Toda la información financiera de la organización reside en bases de
datos y deben existir controles relacionados con el acceso a las mismas.
– Se debe poder demostrar la integridad de la información almacenada
en las bases de datos.
– Las organizaciones deben mitigar los riesgos asociados a la pérdida de
datos y a la fuga de información.
– La información confidencial de los clientes, son responsabilidad de las
organizaciones.
– Los datos convertidos en información a través de bases de datos y
procesos de negocios representan el negocio.

Auditoría de Redes
(También llamada red de ordenadores o Red informática )
Conjunto de equipos (computadoras y/o dispositivos)

conectados por medio de cables, señales, ondas o
cualquier otro método de transporte de datos

Un router es un dispositivo de
hardware que permite la
interconexión de ordenadores
en red. Así, permite que
varias redes u ordenadores
se conecten entre sí y, por
ejemplo, compartan una
misma conexión de Internet.

Un switch o conmutador
es un dispositivo de
interconexión utilizado
para conectar equipos en
red formando lo que se
conoce como una red de
área local (LAN. El switch
puede agregar mayor
ancho de banda, acelerar
la salida de paquetes,
reducir tiempo de espera y
bajar el costo por puerto.
Auditoría de Redes
Una auditoria en redes es un mecanismo de prueba de

una red informatica, con el fin de evaluar el
desempeño, seguridad de la misma, logrando asi la
utilizacion mas eficiente y segura de la red. Hay que
primeramente identificar la estructura fisica/hardware
y la estructura logica/software del sistema.

Una red informática tiene distintos tipos de
clasificación dependiendo de su estructura
o forma de transmisión, entre los
principales tipos de redes están los
siguientes:

REDES POR ALCANCE
Este tipo de red se nombra con siglas según su área de cobertura: una red de área
personal o PAN (Personal Área Network) es usada para la comunicación entre
dispositivos cerca de una persona; una LAN (Local Área Network), corresponde a una
red de área local que cubre una zona pequeña con varios usuarios, como un edificio u
oficina. Para un campus o base militar, se utiliza el término CAN (Campus Área
Network). Cuando una red de alta velocidad cubre un área geográfica
extensa, hablamos de MAN (Metropolitan Área Network) o WAN (Wide Área
Network). En el caso de una red de área local o LAN, donde la distribución de los datos
se realiza de forma virtual y no por la simple direccionalidad del cableado, hablamos
de una VLAN (Virtual LAN). También cabe mencionar las SAN (Storage Área Network),
concebida para conectar servidores y matrices de discos y las Redes Irregulares,
donde los cables se conectan a través de un módem para formar una red.

REDES POR TIPO DE CONEXION
Cuando hablamos de redes por tipo de
conexión, el tipo de red varía
dependiendo si la transmisión de datos
es realizada por medios guiados como
cable coaxial, par trenzado o fibra óptica,
o medios no guiados, como las ondas de
radio, infrarrojos, microondas u otras
transmisiones por aire.

REDES POR RELACION FUNCIONAL
Cuando un cliente o usuario solicita la
información a un servidor que le da respuesta
es una Relación Cliente/Servidor, en cambio
cuando en dicha conexión una serie de nodos
(computadoras) operan como iguales entre sí,
sin cliente ni servidores, hablamos de
Conexiones Peer to Peer o P2P.

Una red P2P (Peer-to-peer), también conocida en español como
red entre pares, es en la actualidad una de las formas más
importantes y populares de compartir todo tipo de material entre
usuarios de Internet, sin importar la plataforma de software
utilizada ni el lugar o momento en que se encuentren.
Básicamente, las redes P2P son una red de computadoras que
funciona sin necesidad de contar ni con clientes ni con servidores
fijos, lo que le otorga una flexibilidad que de otro modo sería
imposible de lograr. Esto se obtiene gracias a que la red trabaja en
forma de una serie de nodos que se comportan como iguales
entre sí. Esto en pocas palabras significa que las computadoras
conectadas a la red P2P actual al mismo tiempo como clientes y
servidores con respecto a las demás computadores conectadas.
REDES POR TOPOLOGIA
La Topología de una red, establece su clasificación en
base a la estructura de unión de los distintos nodos o
terminales conectados. En esta clasificación
encontramos las redes en bus, anillo, estrella, en malla,
en árbol y redes mixtas.

SEGÚN GRADO DE DIFUSIÓN
Por Grado de Difusión, puede ser Intranet o
Internet. Una intranet, es un conjunto de equipos
que comparte información entre usuarios validados
previamente, Internet en cambio, es una red de
alcance mundial gracias a que la interconexión de
equipos funcionan como una red lógica única, con
lenguajes y protocolos de dominio abierto y
heterogéneo.
Auditoría de Explotación
Examinar los procedimientos seguidos en el
Centro de Procesamiento de Datos en su
operatividad diaria.

¿Qué es la explotación informática?
La explotación informática se ocupa de producir

resultados informáticos de todo tipo: listados impresos,
ficheros soportados magnéticamente para otros
informáticos, órdenes automatizadas para lanzar o
modificar procesos industriales, etc. La materia prima de
la explotación informática son los datos, los cuales se
transforman y se someten a controles de integridad y
calidad.
Al final los resultados son distribuidos al cliente o usuario.
¿Qué es la auditoría de la explotación?
La Auditoría de la Explotación consiste en auditar

las secciones que componen la explotación
informática y sus interrelaciones.
Ésta se divide en tres grandes áreas: Planificación,
Producción y Soporte Técnico.

Área de Explotación
• Observa los resultados que se producen como salida en los computadores.
• Generalmente dependen directamente de los datos con que los

alimentamos.
• Por lo tanto, si los datos son erróneos va a producirse información resultante

errónea.
• Las empresas no se preocupan de la calidad de los datos de entrada, los
cuales si están errados provocan un “efecto cascada”, es decir afectan
incluso a aplicaciones independientes.
Datos Resultado
Proceso
Erróneos Erróneo

Auditoría de Desarrollo
La función de Desarrollo es una evolución del llamado Análisis y Programación

de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como
sectores tenga una empresa y deseen ser informatizados.
El desarrollo de un software debe estar sometido a un exhaustivo control de
cada una de sus fases, ya que en caso contrario, además del habitual disparo
de los costes, podría producirse una total insatisfacción del usuario si
finalmente no cumple las funcionalidades necesarias así como la ergonomía de
los interfaces de la misma. Además, la auditoría deberá comprobar la
seguridad del software desarrollado al objeto de garantizar que el resultado de
su ejecución sea exactamente el previsto, y que no interfiere con el resto de
aplicaciones de la empresa.

Una auditoria de Desarrollo pasa sin lugar a dudas por la observación y el análisis de cuatro
consideraciones fundamentales:
• Examen de las metodologías utilizadas: Se analizaran estas, de modo que se asegure la
modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las
mismas.
• Revisión Interna de las Aplicaciones: Se deberá controlar las mismas fases que presuntamente
ha debido seguir el área correspondiente de Desarrollo:
• Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá
considerarse una pérdida si no sirve a los intereses del usuario que la solicitó, o resulta
ergonómicamente insuficiente. La aprobación del usuario proporciona grandes ventajas posteriores,
ya que evitará reprogramaciones y disminuirá el mantenimiento posterior de la Aplicación.
• Control de Procesos y Ejecuciones Críticas: El auditor no debe descartar la posibilidad de que se
esté ejecutando un módulo que no se corresponde con el programa fuente que se desarrolló,
codificó y probó el grupo de Desarrollo de la Aplicación. Se ha de comprobar la correspondencia
biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los
programas módulo no coincidieran se podría provocar, desde errores de bulto (bugs) que
producirían graves y altos costes de mantenimiento, hasta fraudes, pasando por acciones de
●11/10/2021 Prof. Jesús Orna
sabotaje, espionaje industrial/informativo, ●etc. 77
Conclusión
• Para asegurar que el Desarrollo de un Software o Sistema nuevo, desde su inicio hasta
su finalización pasando por todas las etapas descritas, va a terminar con éxito, depende
del grado de control de cada una de ellas a través del sistema de eficacia de una
Auditoría de Desarrollo.
• En el inicio de la etapa de desarrollos a medida, cuando la informática estaba en su
primitivo estado de sistemas aislados, era el propio usuario el que testeaba y con buena
voluntad probaba los nuevos sistemas. Pero en la época actual, donde por pequeño que
sea un desarrollo casi siempre interactúa con otros sistemas externos, se hace
indispensable incorporar en la planificación del desarrollo la etapa de la Auditoría, y
sopesando los pros y los contras de las dos clases, qué duda cabe que apoyarse en
profesionales externos garantizará el éxito del desarrollo.

¿Por qué una
Auditoría del Sistema de Información?
Existen muchas causas para realizar auditorías, alguna

de ellas, aunque parezcan sin importancia son:
– Cambios en la gerencia.
– Mayor cantidad de funciones dentro de la organización
que están siendo computarizadas.
– Problemas con los activos.
– Compras de empresas.
– Existencia de grandes volúmenes de datos que pueden ser
accesados por varios programas.
– Implementación de procesamiento de datos distribuidos.
– El uso de computadores personales cuyas características
los hacen más vulnerables
●11/10/2021
a la fuga de información.
●Prof. Jesús Orna 79
– Etc.
Justificación
Aumento de la
vulnerabilidad
Beneficios
Automatización
para
de los procesos
alcanzar
y prestación de
los
servicios
objetivos
Recursos
TIC´s
Información
Aumento de la
como recurso
productividad
estratégico
Magnitud de
los costos e
inversiones
TIC
Factores que propician la Auditoría Informática
Leyes gubernamentales.
Políticas internas de la empresa.
Necesidad de controlar el uso de equipos computacionales.
Altos costos debido a errores.
Pérdida de información y de capacidades de procesamiento
de datos, aumentando así la posibilidad de toma de decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y confidencialidad de las
transacciones de la organización.
SÍNTOMAS DE NECESIDAD DE UNA
AUDITORIA INFORMÁTICA:
• Las empresas acuden a las auditorias cuando

existen síntomas bien perceptibles de debilidad.
Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:
No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos

habitualmente.
No coinciden los objetivos de la Informática de la Compañía y de la propia
Compañía.
Los estándares de productividad se desvían sensiblemente de los

promedios conseguidos habitualmente.

Síntomas de debilidades
económico-financiero:
- Incremento desmesurado de costos.
- Necesidad de justificación de Inversiones Informáticas (la
empresa no está absolutamente convencida de tal necesidad y
decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costos y plazos de nuevos proyectos (deben auditarse
simultáneamente a Desarrollo de Proyectos y al órgano que
realizó la petición).
11/10/2021 Prof. Jesús Orna 84

Síntomas de mala imagen e insatisfacción de los usuarios:
-No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de
Software en los terminales de usuario, variación de los aplicaciones que deben
ponerse diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la
actividad del usuario, en especial en los resultados de Aplicaciones críticas y
sensibles.

En la actualidad toda organización competitiva que actúa en
un entorno de tecnologías de información (TI) debe
establecer en sus procedimientos el uso de estándares de TI
y buenas prácticas con el fin de adaptarse a los requisitos
individuales de sus clientes potenciales. La creciente
adopción de mejores prácticas de TI ha sido impulsada para
el establecimiento y cumplimiento de ciertos requisitos en la
industria de TI con la finalidad de mejorar la gestión de la
calidad y la fiabilidad de la información.
87
El éxito de una organización depende en gran parte de la

correcta gestión de la seguridad de su información, el
objetivo de dicha gestión es proteger la información y
garantizar su correcto uso, por supuesto, la seguridad de
los sistemas informáticos y los procedimientos juegan un
papel muy importante en la consecución de dicho
objetivo.
88
Las empresas que utilizan la TI deben utilizar estándares

enfocados a la seguridad, como: ISO/IEC, COBIT e ITIL y
basándose en el círculo de Deming que permitan aplicar a un
proceso cualquiera una acción cíclica con el fin de asegurar la
mejora continua de dichas actividades. El uso de estándares
permite cumplir con los requisitos, especificaciones técnicas y
otros criterios precisos que garantizan que los productos y
servicios se ajusten a su propósito, permitiendo un mayor grado
de fiabilidad y efectividad de los bienes y servicios.
Importancia de la ASI
89
 Los Sistemas de Información están sometidos al control correspondiente, circunstancia que no se debe
olvidar. La importancia de llevar un control se puede deducir de varios aspectos que a continuación se
detallaran:
- Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo
para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria de
Seguridad.
- Las sistemas creados para procesar y difundir resultados o información elaborada pueden producir
resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a
veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los
datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada
y afecte a Aplicaciones independientes. En este caso interviene la Auditoria de Base de Datos.
- Un Sistema de Infomación mal diseñado puede convertirse en una herramienta peligrosa para
la empresa: como los SW´s obedecen ciegamente a las órdenes recibidas y la modelización
de la empresa, la gestión y la organización de la empresa no puede depender de un Software
mal diseñado.
Gracias por la atención
91

Auditoría Del Sistema de Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoría Del Sistema de Información

Cargado por

Copyright:

Formatos disponibles

AUDITORÍA DE

• Es un conjunto de elementos interrelacionados

●11/10/2021 ●Prof. Jesús Orna 5

●11/10/2021 ●Prof. Jesús Orna 6

●11/10/2021 ●Prof. Jesús Orna 7

• Apoyo a sus empleados y directivos en la toma de

●11/10/2021 ●Prof. Jesús Orna 8

●11/10/2021 ●Prof. Jesús Orna 9

●11/10/2021 ●Prof. Jesús Orna 10

●11/10/2021 ●Prof. Jesús Orna 11

Es el proceso que comprende las tareas de evaluar y

●11/10/2021 ●Prof. Jesús Orna 12

• Hoy, la informática está incluida totalmente en la

●11/10/2021 ●Prof. Jesús Orna 13

●11/10/2021 ●Prof. Jesús Orna 14

Es la revisión técnica, especializada y exhaustiva que se

●11/10/2021 ●Prof. Jesús Orna 15

• Asegurar la integridad, confidencialidad y confiabilidad de

●11/10/2021 ●Prof. Jesús Orna

• Incrementar la satisfacción de los usuarios de los

●11/10/2021 ●Prof. Jesús Orna

●11/10/2021 ●Prof. Jesús Orna 18

Es el conjunto de técnicas, procedimientos y actividades, destinados a

●11/10/2021 ●Prof. Jesús Orna 20

¨Es el conjunto de técnicas, actividades y procedimientos destinados a

●11/10/2021 ●Prof. Jesús Orna 21

Realizada con criterios de eficiencia, eficacia y economía

Apoyo de función informática a las metas y objetivos de

Capacitación y educación sobre controles en los

 Evitar decisiones de inversión y gastos innecesarios.

●11/10/2021 ●Prof. Jesús Orna 23

COBIT: Control Objectives for Information and related Technology

●11/10/2021 ●Prof. Jesús Orna 24

• Participación en el desarrollo de nuevos sistemas:

• Evaluación de la seguridad en el área informática.

• Evaluación de suficiencia en los planes de

●11/10/2021 ●Prof. Jesús Orna 25

• Opinión de la utilización de los recursos informáticos.

• Control de modificación a las aplicaciones existentes.

• Participación en la negociación de contratos con los proveedores.

• Revisión de la utilización del sistema operativo y los programas

●11/10/2021 ●Prof. Jesús Orna 26

• Auditoria de la base de datos.

• Auditoria de la red de teleprocesos.

• Desarrollo de software de auditoría.

●11/10/2021 ●Prof. Jesús Orna 27

●11/10/2021 ●Prof. Jesús Orna 28

• PLANIFICACIÓN DE LA OPERACIÓN: determina los objetivos, las

• DESARROLLO DE LA AUDITORÍA: Su objetivo es buscar evidencias

●11/10/2021 ●Prof. Jesús Orna 29

●11/10/2021 ●Prof. Jesús Orna 30

Falta de rastro de las transacciones

Ausencia de documentación de entrada

●11/10/2021 ●Prof. Jesús Orna 32

Controles de organización y administración

●11/10/2021 ●Prof. Jesús Orna 33

Controles sobre datos de entrada

Controles manuales ejercidos por el usuario

●11/10/2021 ●Prof. Jesús Orna 34

●11/10/2021 ●Prof. Jesús Orna 35

Disponibilidad, confiabilidad y origen de los registros

●11/10/2021 ●Prof. Jesús Orna 36

• Evaluación de amenazas del sistema y análisis de