Guia Didactica

ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Informática
SEGUNDO
BIMESTRE
SOLUCIONARIO
Modalidad Abierta y a Distancia
Auditoría Informática
Guía Didáctica
4 créditos
El contenido de esta obra aplica para las siguientes asignaturas:
Ciclo Titulaciones
¡ Contabilidad y Auditoría
10 ¡ Informática
La Universidad Católica de Loja
Facultad de Ingenieria y Arquitectura

ÍNDICE
MODALIDAD ABIERTA Y A DISTANCIA
PRELIMINARES
Facultad de Ingenierias y Arquitectura
Departamento de Ciencias de la Computación y Electrónica
BIMESTRE
PRIMER
Auditoría Informática
Guía didáctica
4 créditos
SEGUNDO
BIMESTRE
SOLUCIONARIO
El contenido de esta obra aplica para las siguientes asignaturas:
Titulaciones Ciclo
Contabilidad y Auditoría
Informática
Autora:
Ing. Karla Alexandra Romero González
La Universidad Católica de Loja

Asesoría virtual:
www.utpl.edu.ec
ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO
AUDITORÍA INFORMÁTICA
Guía didáctica
Karla Alexandra Romero González

Autor
UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
CC Ecuador 3.0 By NC ND
Diagramación y diseño digital:

EDILOJA Cía. Ltda.
Telefax: 593-7-2611418
San Cayetano Alto s/n
www.ediloja.com.ec
edilojainfo@ediloja.com.ec
Loja-Ecuador
Segunda edición
ISBN físico - 978-9942-08-585-6
ISBN digital - 978-9942-04-844-8
Esta versión digital ha sido acreditada bajo la licencia Creative Commons Ecuador 3.0 de reconocimiento -no comercial- sin obras
derivadas; la cual permite copiar, distribuir y comunicar públicamente la obra, mientras se reconozca la autoría original, no se utilice con fines
comerciales ni se realicen obras derivadas. http://www.creativecommons.org/licences/by-nc-nd/3.0/ec/
2 de octubre, 2015
2. Índice
ÍNDICE
PRELIMINARES
2. Índice............................................................................................................................................................. 4
3. Introducción............................................................................................................................................. 6
4. Bibliografía............................................................................................................................................... 7
4.1. Básica........................................................................................................................................... 7
BIMESTRE
PRIMER
4.2. Complementaria...................................................................................................................... 7
5. Orientaciones generales para el estudio.............................................................................. 9
6. Proceso de enseñanza-aprendizaje para el logro de competencias................. 11
SEGUNDO
BIMESTRE
PRIMER BIMESTRE
6.1. Competencias............................................................................................................................ 11
6.2. Planificación para el trabajo del alumno......................................................................... 11
6.3. Sistema de evaluación (primero y segundo bimestre)................................................ 13
SOLUCIONARIO
6.4. Orientaciones específicas para el aprendizaje por competencias............................ 14
UNIDAD 1. CONTROL INTENO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN.......................... 14

1.1. Introducción al control interno y auditoría de sistemas de información............... 14
1.2. Funciones de control interno y auditoría informática.................................................. 16
Autoevaluación 1................................................................................................................................. 20
UNIDAD 2. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE

SISTEMAS DE INFORMACIÓN............................................................................................................... 22
2.1. Introducción a las metodologías......................................................................................... 22
2.2. Metodologías de evaluación de sistemas........................................................................ 25
Autoevaluación 2................................................................................................................................. 38
UNIDAD 3. EL DEPARTAMENTO DE AUDITORÍA DE LOS SI Y ÉTICA DEL AUDITOR DE LOS SI. 40

3.1. Misión del departamento de auditoría de los SI........................................................... 40
3.2. Organización del departamento de auditoría de los SI............................................... 42
3.3. Planificación del trabajo de auditoría............................................................................... 44
3.4. El equipo de auditoría de SI.................................................................................................. 45
Autoevaluación 3................................................................................................................................. 48
SEGUNDO BIMESTRE
ÍNDICE
6.5. Competencias............................................................................................................................ 50
6.6. Planificación para el trabajo del alumno......................................................................... 50
6.7. Orientaciones específicas para el aprendizaje por competencias............................ 52
UNIDAD 4. AUDITORÍA DE OUTSOUCING DE TI................................................................................ 52
PRELIMINARES
4.1. Conceptos relativos al outsourcing de TI.......................................................................... 52
4.2. Auditoría del outsourcing de TI........................................................................................... 55
4.3. Acciones indispensables en la auditoría del outsourcing de TI................................. 57
4.4. Outsourcing y marcos de referencia................................................................................... 57
Autoevaluación 4................................................................................................................................. 60
BIMESTRE
PRIMER
UNIDAD 5. AUDITORÍA A LA SEGURIDAD FÍSICA............................................................................. 61
5.1. ¿Qué es seguridad física?....................................................................................................... 61
5.2. Objetivo de la seguridad física............................................................................................. 62
5.3. Auditoría de la seguridad física........................................................................................... 62
SEGUNDO
BIMESTRE
5.4. Fases de la auditoría de la seguridad física..................................................................... 67
Autoevaluación 5................................................................................................................................. 69
UNIDAD 6. GESTIÓN DE RIESGOS Y AUDITORÍA BASADA EN RIESGOS - COBIT......................... 70

6.1. ¿Cómo evaluar un riesgo tecnológico?............................................................................. 70
SOLUCIONARIO
6.2. Procesos claves de riesgos en COBIT.................................................................................. 71
Autoevaluación 6................................................................................................................................. 72
7. Solucionario.............................................................................................................................................. 73
Guía didáctica: Auditoría Informática PRELIMINARES
3. Introducción
ÍNDICE
Aquellos que dicen que algo no puede hacerse, suelen ser
interrumpidos por otros que lo están haciendo. Joel A. Baker.
PRELIMINARES
Auditoría Informática pretende ayudar al profesional en formación a desarrollar habilidades y destrezas
intelectuales como creativas, necesarias para ejecutar procesos de revisión o supervisión de un Sistema
de Información en ambientes tecnológicos.
Es un componente académico troncal de carrera de la titulación de INFORMÁTICA, del décimo ciclo,

válido por 4 créditos.
BIMESTRE
PRIMER
La importancia de este componente académico es que contribuirá en su desempeño como profesional,
en caso de que se especialice como Auditor Informático; puesto que adquirirá las bases necesarias de
conocimientos teóricos y prácticos, para que pueda realizar un examen con carácter objetivo, crítico,
sistemático y selectivo, evaluando la eficacia y eficiencia del uso adecuado de recursos informáticos y así
comprobar si las medidas evaluadas han brindado el soporte adecuado a los objetivos y metas de una
SEGUNDO
empresa.
BIMESTRE
El propósito principal es que Usted amplié su accionar, y se convierta en un auditor informático, dando
ideas para la correcta utilización de los amplios recursos que una organización pone en juego para
disponer de un eficiente y eficaz Sistema de Información y poner cumplir con los objetivos para la que
fue creada, incluso, puede actuar como consejero en la organización donde desempeña su labor.
SOLUCIONARIO
Lo animo estimado estudiante a desarrollar este campo casi nuevo de la informática y sobre todo a
analizar las posibilidades de innovación que existe en este ámbito.
La temática de este componente ha sido estructurada en 6 capítulos:
• En el primer bimestre estudiaremos: Control Interno y Auditoría de SI, Metodologías de

control Interno, seguridad y Auditoría de SI y El departamento de Auditoría de los SI – Ética
del auditor de los SI.
• En el segundo bimestre estudiaremos: Auditoría de Outsourcing de TI, Auditoría a la

Seguridad Física y Gestión de Riesgos – Auditoría Basada en Riesgos - COBIT.
La decisión que Usted ha tomado de capacitarse a través de la modalidad de estudios a distancia que
ofrece la UTPL, compromete nuestro esfuerzo conjunto para lograr el objetivo de preparar profesionales
competentes y competitivos.
6 MODALIDAD ABIERTA Y A DISTANCIA

4. Bibliografía
ÍNDICE
4.1. Básica
PRELIMINARES
• Piattini, M., Del Peso, E., & Del Peso, M. (2008). Auditoría de Tecnologías y Sistemas de Información.
México DF, México: RA-MA Editorial.
Este recurso presenta de forma clara y precisa los conceptos fundamentales sobre control interno
y auditoría de las tecnologías y sistemas de información, así como también da a conocer los
aspectos organizativos, jurídicos y deontológicos asociados a la auditoría, aportando con pautas
BIMESTRE
y experiencias.
PRIMER
• Romero, K. (2013). Guía Didáctica de Auditoría Informática. Loja, Ecuador: EdiLoja.
Esta guía pretende ser una herramienta de acompañamiento al estudiante durante todo el ciclo
de estudio. La misma contienen pautas de estudio para mejor comprensión de la materia.
SEGUNDO
BIMESTRE
4.2. Complementaria
• Carrió, G. (2011). Auditoría y Control Interno, Un Enfoque Actualizado. Recuperado de: http://
www.utu.edu.uy/Publicaciones/Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf
SOLUCIONARIO
Este trabajo investigativo pone a disposición una aproximación muy puntual al complejo tema de
auditoría y el control interno o de gestión.
• Erb, M. (2008a). Facilitando el acceso seguro de la información en las organizaciones sociales.

Gestión de Riesgo en la Seguridad Informática. Recuperado de: http://protejete.wordpress.com/
En este recurso un experto en Gestión de Riesgos explica detenidamente y de manera didáctica

cómo es la gestión de riesgo en la seguridad informática.
• Erb, M. (2008b). Facilitando el acceso seguro de la información en las organizaciones sociales.

gdr_principal/seguridad_informacion_proteccion/ejercicio/
En este recurso es un sitio web, donde puede encontrar un ejercicio sobre seguridad de la
información y protección de datos.
• Erb, M. (2008c). Facilitando el acceso seguro de la información en las organizaciones sociales.

gdr_principal/analisis_riesgo/
Este recurso es un sitio web, donde se explica el primer paso para la gestión de riesgos que es el
Análisis de Riesgos.
• Flores, C. (2009). ¡Pongámonos las Pilas! Reflexiones y acciones concretas para asegurar la
información en nuestras organizaciones sociales. Gestión de Riesgo en la Seguridad Informática.
Recuperado de: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.pdf

Este recurso, es un manual de instrucciones para usar herramientas informáticas específicas, que
disminuyen los riesgos y protegen la información.
ÍNDICE
• Information System Audit & Control Association. (2005). COBIT 4.0. EEUU.
Este marco de referencia internacional define los objetivos de control que permiten gobernar y
ejecutar operaciones controladas de tecnología de la información con el objetivo de alinearse al
PRELIMINARES
gobierno corporativo.
• Information System Audit & Control Association. (2009). Marco de Riesgos de TI. EEUU.
Este marco de referencia permite manejar indicadores de valor, costo y retorno de inversión para
una gestión más exacta y menos especulativa sobre los riesgos que pueden afectar a un ambiente
tecnológico. La mayoría de las empresas multinacionales tienen metodologías basadas en este
BIMESTRE
PRIMER
marco de referencia para el manejo de riesgos.
• Observatorio Iberoamericano de Protección de Datos. (2013). PYMES y ley orgánica de protección

de datos. España: Madrid. Recuperado de: http://oiprodat.com/2013/04/04/pequena-y-mediana-
empresa-y-ley-organica-de-proteccion-de-datos/
SEGUNDO
BIMESTRE
Este recurso, es un foro de encuentro , donde se comparte experiencias e ideas en el ámbito
jurídico y operacional de la privacidad y protección de datos.
• Pons, F. (2007, Abril). Auditoría Informática, Una aproximación a la mejora del Control Interno.
Auditoría Pública. Recuperado de: http://www.auditoriapublica.com/hemeroteca/200704_41_97.
SOLUCIONARIO
pdf
Este recurso, es una revista electrónica, en donde enmarca el papel de la auditoría informática
como una nueva herramienta para la mejora del control interno en las organizaciones.
• Stoner, J., Freeman, E., y Gilbert, D. (1996). Administración. México: Pretice Hall Hispanoamerica,
S.A.
En este libro encontrará conceptos básicos de administración, los mismos que son el punto de partida
para empezar un proceso de auditoría.

5. Orientaciones generales para el estudio
ÍNDICE
A continuación, estimado estudiante, se le ofrecen algunas estrategias para favorecer la comprensión
y contribuir a lograr un aprendizaje significativo de este componente académico. Usted dispone de un
PRELIMINARES
texto básico y una guía didáctica, materiales que ya se detalló en la bibliografía.
• Además, necesitará acudir a algunos recursos y técnicas de estudio como:
• Organizar el tiempo de manera que pueda avanzar secuencialmente en cada una de las unidades
y temas para no dejar acumular todo el contenido para el final del bimestre.
BIMESTRE
• Leer comprensivamente y de manera paralela la guía y el texto básico las veces que se requiera.
PRIMER
• Es muy importante resolver las actividades recomendadas en la guía didáctica y en el texto básico.
• Aplicar estrategias de aprendizaje como: elaborar resúmenes, esquemas, organizar formularios,

cuadros, etc. que le permitan a usted extraer lo esencial, sintetizar y asimilar la temática abordada.
SEGUNDO
BIMESTRE
• Desarrollar las autoevaluaciones que se incluyen en la guía didáctica.
• Participar activamente en el Entorno Virtual de Aprendizaje (EVA), en donde podrá interactuar

tanto con sus profesores – tutores y compañeros; dar criterios y opiniones en los foros de discusión
que en cada bimestre se le propondrán.
SOLUCIONARIO
• Utilizar los recursos web disponibles: videos, presentaciones, REAS, OCW, etc.
• Resolver las evaluaciones a distancia (una por cada bimestre) que sirven como estrategia de
aprendizaje y preparación para las evaluaciones presenciales.
• Si en el desarrollo de los contenidos surge alguna dificultad, usted puede comunicarse con
nosotros sus profesores – tutores, a través de los diferentes medios: telefónicamente de acuerdo
al horario establecido, el mismo que consta en la portada de las evaluaciones a distancia, y por el
correo electrónico o a través del EVA.
• Le recomiendo revisar la “Planificación para el trabajo del alumno”. Esta parte le permite obtener
una visión global del componente.
Se presentan los siguientes focalizadores en el desarrollo de toda la guía didáctica, con la finalidad de
que Usted identifique las acciones a realizar:
Texto Básico
El texto base está en ingles, pero lo puede encontrar en español en el enlace
mencionado en la bibliografía complementaria.
Actividad o Lectura Recomendada
Inquietudes

Actividad en el EVA
ÍNDICE
Autoevaluación del capítulo
PRELIMINARES
Respuesta a la autoevaluación
Apoyo tecnológico e Interactividad
BIMESTRE
Le recomiendo que de forma regular y constante, acceda al EVA (www.utpl.edu.ec) y consulte las
PRIMER
novedades que los profesores estaremos anunciando, semana a semana. Además, considere que las
actividades de interactividad están propuestas en las evaluaciones a distancia y tienen su respectiva
nota.
Estrategias de evaluación
SEGUNDO
BIMESTRE
El sistema de estudios de la Modalidad Abierta y a Distancia de la Universidad Técnica Particular de Loja
contempla los siguientes parámetros de evaluación:
La asignatura se encuentra dividida en dos bimestres, cada uno de los cuales se califica sobre 20 puntos,
en caso de que en algún estudiante no obtenga una nota mínima de 14 puntos, deberá presentarse a un
SOLUCIONARIO
examen supletorio calificado sobre 20 que reemplaza la nota bimestral correspondiente. Los estudiantes
aprueban cuando han logrado un mínimo de 28 puntos en total (sumando los dos bimestres).
En el presente cuadro constan los parámetros y puntajes que se tomarán en cuenta en el primer y
segundo bimestre.
Instrumento Puntaje
Trabajo a distancia: 2 puntos
• Objetiva 4 puntos
• Ensayo 1 punto, que ayudará a recuperar nota

de la parte de ensayo en caso de que se
• Interacción EVA (tutorías, foros, investigaciones, etc) necesite.
Evaluación presencial 14 puntos
TOTAL 20 PUNTOS

6. Proceso de enseñanza-aprendizaje para el logro de competencias
11
PRIMER BIMESTRE
6.1. Competencias
COMPETENCIAS GENÉRICAS DE LA UTPL

Guía didáctica: Auditoría Informática
üü Comportamiento ético III: Inclinarse hacia el bien moral de uno mismo o de los demás (es decir, hacia todo lo que eso significa bien, vivencia
del sentido, realización de la persona, sentido de justicia) y perseverar en dicho bien moral.
6.2. Planificación para el trabajo del alumno
COMPETENCIAS CONTENIDOS
COMPETENCIAS
ESPECÍFICAS DEL INDICADORES DE TIEMPO DE
ESPECÍFICAS DE ACTIVIDADES DE APRENDIZAJE
COMPONENTE APRENDIZAJE DEDICACIÓN
TITULACIÓN
EDUCATIVO UNIDADES
UNIDAD1. Control Interno • Estudiar de la unidad 1 de la guía • Diferencia las funciones de

y auditoría de Sistemas didáctica y realizar la actividad control interno y auditoría
de Información. recomendada, p.19. informática.
1.1. Introducción al • Realizar las lecturas recomendadas de la • Reconoce un sistema de Semana 1
Control Interno y unidad. información y sus
Desarrolla auditorias de elementos. • 4 horas de
Define los conceptos de Auditoría de Sistemas • Revisar el capítulo 1 del texto básico.
productos y procesos de Información. autoestudio y 4
control interno y de • Establece un sistema de
vinculados a la gestión • Desarrollar la autoevaluación de la horas de
auditoría informática. 1.2. Funciones del controles internos
de TIC’S. unidad 1. interacción.
Control Interno informáticos.
y de la Auditoría • Participar en el EVA, foro e
Informática. interacciones.
• Iniciar el desarrollo de la evaluación a
PRIMER BIMESTRE
distancia del componte.

SEGUNDO PRIMER
SOLUCIONARIO PRELIMINARES ÍNDICE
BIMESTRE BIMESTRE
COMPETENCIAS
12
ESPECÍFICAS DE ACTIVIDADES DE APRENDIZAJE
TITULACIÓN
EDUCATIVO UNIDADES
UNIDAD2. Metodologías • Estudio de la unidad 2 de la guía • Describe las diferentes

de control Interno, didáctica, capítulo 3 del texto básico y metodologías de control
seguridad y auditoría REAS del EVA. interno.
Distingue las diferentes Semana 2, 3 y 4
de SI. • Realizar las lecturas recomendadas de la • Identifica los riesgos en la
metodologías de control • 12 horas de estudio
2.1. Introducción a las unidad. seguridad informática.
interno, seguridad y personal
auditoría de un sistema Metodologías. • Participar en el EVA, foro e • Especifica un plan de
de información, tanto en 2.2. Metodologías de interacciones. contingencia • 12 horas de
objetivos como en evaluación de independientemente de la interacción
• Desarrollar de la autoevaluación unidad
herramientas. Sistemas. empresa en la que se
2 de la guía.
aplique.
• Continuar con el desarrollo de la
evaluación a distancia del componte.
UNIDAD3. El • Lectura de la unidad 3 de la guía • Reconoce la importancia del

Departamento de didáctica, capítulo 5 y 7 del texto básico. departamento de auditoría
auditoría de los SI y la de los SI en una empresa.
• Realizar las lecturas recomendadas de la
Ética del Auditor de los SI. unidad. • Identifica la ubicación del
Identifica los elementos
3.1. Misión del departamento de auditoría Semana 5 y 6
fundamentales que • Participar en el EVA, foro e
conforman un departamento de de los SI. • 8 horas de estudio
interacciones.
departamento de auditoría de los SI. • Describe el perfil exacto de personal
• Desarrollar la autoevaluación de la
auditoría de los sistemas 3.2. Organización del un auditor informático. • 8 horas de
de los SI. unidad 3 de la guía.
departamento de • Diferencia los principios interacción
Define el perfil de un auditoría de los SI. • Finalizar el desarrollo de la evaluación a
deontodológicos de un
auditor informático. distancia del componte.
3.3. Planificación del auditor informático.
trabajo de Auditoría.
3.4. El equipo de
auditoría de SI.
Unidades 1 a 3 • Revisión de contenidos como Semana 7 y 8

preparación para la evaluación
• 8 horas de estudio
presencial.
personal
• 8 horas de
PRIMER BIMESTRE
interacción

SEGUNDO PRIMER
BIMESTRE BIMESTRE
Guía didáctica: Auditoría Informática PRIMER BIMESTRE
6.3. Sistema de evaluación (primero y segundo bimestre)
ÍNDICE
Formas de evaluación 2. Heteroevaluación
Evaluación a Evaluación
1. Autoevaluación *
distancia ** presencial
3. Coevaluación
Interacción en el EVA
PRELIMINARES
Parte de ensayo
Prueba objetiva
Parte objetiva
Competencia: criterio
Comportamiento ético x x x x x
BIMESTRE
PRIMER
Cumplimiento, puntualidad,
x x x x x x
Actitudes
responsabilidad
Esfuerzo e interés en los trabajos x x x x x x
Respeto a las personas y a las
x x
normas de comunicación
SEGUNDO
x x x x x
BIMESTRE
Creatividad e iniciativa
Habilidades
Contribución en el trabajo
x x
colaborativo y de equipo
Presentación, orden y ortografía x x x x
SOLUCIONARIO
Emite juicios de valor
x
argumentadamente
Dominio del contenido x x x x x x
Conocimientos
Investigación (cita fuentes de

x x x
consulta)
Aporta con criterios y soluciones x x x
Análisis y profundidad en el
x
desarrollo de temas
Máximo 1 punto
PORCENTAJE 10% 20% 30% 70%

Estrategia de
aprendizaje
presenciales y en el
evaluación a
(completa la
distancia)
Puntaje 2 4 6 14
Actividades
EVA
TOTAL 20 puntos
Para aprobar la asignatura se requiere obtener un puntaje mínimo de 28/40 puntos, que equivale al 70%.
* Son estrategias de aprendizaje, no tienen calificación; pero debe responderlas con el fin de autocomprobar su
proceso de aprendizaje.
** Recuerde que la evaluación a distancia consta de dos partes: una objetiva y otra de ensayo, debe desarrollarla
y enviarla a través del EVA según las fechas establecidas.
Señor estudiante:
Tenga presente que la finalidad de la valoración cualitativa es

principalmente formativa.

6.4. Orientaciones específicas para el aprendizaje por competencias
ÍNDICE
UNIDAD 1. CONTROL INTENO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PRELIMINARES
Estimado estudiante, iniciamos el estudio del componente educativo mencionando temas fundamentales
que se requiere conocer dentro de Auditoría Informática, definiciones de Tecnología de Información,
Auditoría de Sistemas de Información, funciones de la Auditoría Informática y funciones de Control
Interno Informático; comenzamos revisando algunos conceptos básicos de Auditoría Informática; esto
le ayudará a comprender el objeto de estudio de la misma.
BIMESTRE
PRIMER
Para iniciar el estudio de este tema le recomiendo acudir al texto básico y revisar el capítulo primero
titulado Control Interno y Auditoría de Sistemas de Información, y el Video “Auditoría de un Sistema
de Información” , el cual lo puede encontrar en el siguiente enlace: http://www.youtube.com/
watch?v=IgN3hrS5rJ4
SEGUNDO
BIMESTRE
¿Cómo le fue con la lectura?. Si no comprendió algo. ¡Lea nuevamente puesto que el tema es clave para
SOLUCIONARIO
diferenciar entre Control Interno y Auditoría de sistemas de Información.
Si a su criterio está comprendido el tema planteado, ahora puede emitir sus ideas personales con
respecto a la lectura, acuda a su libro de trabajo y conteste las siguientes preguntas:
• ¿Qué es un control interno informático?
• ¿Qué tipos de controles internos hay?
• ¿Qué hace la auditoría de sistemas de información?
• ¿Principales diferencias entre control interno informático y auditoría informática?
Una vez que ha respondido las interrogantes planteadas, avancemos con el estudio de esta unidad.
1.1. Introducción al control interno y auditoría de sistemas de información
Definamos la información dentro de una organización moderna como los datos que han sido recogidos,
procesados, almacenados y recuperados con el propósito de la toma de decisiones en las diferentes
áreas que conforman una organización (económica, financiera, informática. de producción, etc ). Es por
esto que hoy en día la información es un recurso básico en una organización al igual que lo son las
personas, las materias primas y los equipos.
Una de las tareas principales de los directivos de una organización es la toma de decisiones. Y esta
depende directamente de la calidad de información de quien las soporta. Para ello es importante
tomar en cuenta estos requerimientos: Un profundo conocimiento de las circunstancias que rodean un
problema, conocimiento de soluciones disponibles y de estrategias.

Con todo esto entendemos que la información es un recurso crítico, que debe ser exacto y completo, debe
estar 100% disponible y su principal característica ser confidencial. Para lograr que la información tenga
ÍNDICE
cada uno de los atributos mencionados las organizaciones se vieron obligadas a implantar normativas o
estrategias que les ayude a la regulación o búsqueda de la eficiencia en los procesos internos.
En el capítulo 1 del libro básico, nos dan algunas razones de porqué la necesidad de implementar
controles en las diferentes actividades de la organización.
PRELIMINARES
Una de las principales razones nos habla de la creciente dependencia de las organizaciones, puesto
que hoy en día, todas estas constan con una estructura basada en un Sistema de Información cuyos
elementos se muestran en la siguiente figura
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO
.
Figura1: Elementos de un Sistema de información.
Fuente: Jesuja. (2008)
El control sobre un sistema de información complejo debe ser más riguroso, por lo que algunas
organizaciones optan por la aplicación de la “Auditoría Informática”.
Es primordial que se diferencie muy bien el control interno de los procesos de una organización y la
auditoría informática de la misma.
Lectura Recomendada:
Lea el REA que lo encuentra en el siguiente enlace: http://www.auditoriapublica.com/

hemeroteca/200704_41_97.pdf. Para comprender como se relaciona la auditoría informática y el
control interno.
Con la finalidad que comprenda cada tema relacionado con la materia, usaremos las cuestiones
de repaso que se encuentran al final de cada capítulo del texto básico del componente
académico. No olvide que se usarán muchos recursos colgados en el internet, los cuales serán
herramientas básicas para mejorar la comprensión de cada tema.

1.2. Funciones de control interno y auditoría informática
ÍNDICE
1.2.1. Control interno informático
El C.I. (Control Interno) controla la estructura, las políticas, el plan de la organización, el conjunto de
métodos y procedimientos y las cualidades del personal de la empresa que aseguren:
PRELIMINARES
• Que los activos estén protegidos.
• Que la información sea válida y confiable.
• Que las actividades se desarrollan eficazmente.
• Que se cumplan las políticas y directrices marcadas por la dirección.
BIMESTRE
PRIMER
Se debe tener claro que una organización no puede solamente tener C.I. en departamentos contables y
financieros, sino que abarca otros tipos de control, como los de gestión y eficiencia operativa, controles
informáticos, etc. Los controles aplicados son diferentes pero el fin es el mismo.
Seguidamente enlistamos los objetivos que se debe lograr al aplicar un control interno informático en
SEGUNDO
BIMESTRE
una organización:
Objetivos del control interno informático:
Establecer como prioridad la seguridad y protección de la información del sistema computacional y de
SOLUCIONARIO
los recursos informáticos de la empresa.
Promover la confiabilidad, oportunidad y veracidad de la captación de datos, su procesamiento en el

sistema y la emisión de informes en la empresa.
Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo
de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos
de sistemas en la empresa.
Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de
sistematización de la empresa.
Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas computarizados,
a fin de que permitan proporcionar eficientemente los servicios de procesamiento de información en la
empresa.
1.2.2. Auditoría Informática (AI)
Piattini (2008), nos dice que la “Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos,
lleva a cabo eficazmente las actividades de la organización y utiliza eficientemente los recursos” (p.7).
Recordemos las definiciones de PROCESO: es un conjunto de actividades o eventos (coordinados u

organizados) que se realizan o suceden (alternativa o simultáneamente) bajo ciertas circunstancias con
un fin determinado (Stoner, 1996).
En base a las definiciones anteriores podemos denominar a la Auditoría Informática, como un conjunto
de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar asuntos

relativos a la planificación, control eficacia, seguridad y adecuación del sistema de información de la

empresa. Se lo puede determinar como un examen metódico (o proceso), puntual, con vistas a mejorar
ÍNDICE
en: Rentabilidad, Seguridad y Eficacia.
Para que usted comprenda de mejor manera la diferencia entre control interno y auditoría
PRELIMINARES
informática debe revisar la figura 1.1 encontrada en el capítulo 1 del texto básico llamada
“Similitudes y diferencias entre control interno y auditoría informáticos”.
Las diferencias y similitudes del control interno y auditoría informática, nos ayudan a comprender de
mejor manera lo que es un sistema de control interno.
BIMESTRE
PRIMER
1.2.3. Sistema de control interno
Es el conjunto de acciones, actividades, planes, políticas, normas, registros, procedimientos y métodos,

incluido el entorno y actitudes que desarrollan autoridades y su personal a cargo, con el objetivo de
prevenir posibles riesgos que afectan a una organización.
SEGUNDO
BIMESTRE
Para asegurar la integridad, disponibilidad y eficacia de los sistemas se necesitan complejos mecanismos
de controles automáticos o manuales.
Tipos de controles de un sistema de control Interno:
SOLUCIONARIO
• Controles preventivos: Evita que suceda una circunstancia o hecho.
• Controles detectivos: Detectan los controles preventivos que no funcionaron.
• Controles correctivos: Funcionamiento con normalidad del sistema una vez que se
produjeron incidencias.
1.2.4. Implementación de un Sistema de controles internos informáticos
Los controles internos informáticos se pueden implantar en varios niveles del sistema, teniendo como
primer objetivo y el más importante, conocer la configuración del sistema, para identificar elementos,
productos y herramientas, con el fin de saber específicamente en dónde es necesario la implantación de
estos controles para evitar posibles riesgos.
Los niveles de control a tomar en cuenta para conocer la configuración del sistema de controles internos
informáticos, son:
• Entorno de red.
• Configuración del ordenador.
• Entorno de aplicaciones.
• Productos y herramientas.
• Seguridad del ordenador base.
• Gestión de sistemas de información.

• Administración de sistemas.
• Seguridad.
ÍNDICE
• Gestión de cambio.
• Dirección de negocio o de sistemas de información.
PRELIMINARES
• Dirección de informática.
• Control interno informático.
• Auditor interno/externo informático.
Existen algunos controles internos para sistemas de información que el equipo de Control Interno
BIMESTRE
PRIMER
Informático y Auditoría Informática deberían verificar para determinar su cumplimiento y validez en
la organización (Piattini, 2008). Estos controles internos se agrupan en 6 grandes grupos, enlistados a
continuación:
• Controles Generales Organizativos
SEGUNDO
BIMESTRE
• Controles de desarrollo, adquisición y mantenimiento de sistemas de información.
• Controles de explotación de sistemas de información
• Controles de Aplicaciones
SOLUCIONARIO
• Controles específicos de ciertas tecnologías
• Controles de Calidad
Lea detenidamente los “Controles Generales Organizativos ” del capítulo 1 del texto básico.
Debe ingresar al EVA y contestar el cuestionario propuesto para esta temática con el fin de
ayudarle a diferenciar cada uno de estos controles.
Toda empresa, pública o privada, que posea Sistemas de Información medianamente complejos, debe
de someterse a un control estricto de evaluación de eficacia y eficiencia de este sistema. El éxito de
una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con
personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e
inestable; nunca alcanzará los objetivos para los que fue creada.
El control interno comprende el plan de organización, los métodos y procedimientos que tiene
establecidos una empresa o negocio, constituidos en un todo para la obtención de tres objetivos
principales: a) la obtención de información financiera correcta y segura, b) la salvaguarda de los activos
y c) la eficacia de las operaciones. Es importante que estos tres objetivos funcionen adecuadamente en
las empresas puesto que permite el manejo adecuado de los bienes, funciones e información de una
empresa determinada, con el fin de generar una indicación confiable de su situación y sus operaciones
en el mercado.
Las auditorías informáticas se conforman obteniendo información y documentación de todo tipo. Los
informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad

o fortaleza de los diferentes medios. El trabajo del auditor consiste en obtener toda la información
necesaria para emitir un juicio global objetivo, siempre amparado con las evidencias comprobatorias o
ÍNDICE
pruebas necesarias que respalden su juicio.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un
procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en
los cuales se encuentra la información necesaria para auditar.
PRELIMINARES
La auditoría debe ampliar su enfoque no solo a la evaluación de controles sino también a la evaluación
de riesgos y de esta manera avanzar hacia una auditoría preventiva.
Para contribuir en la prevención de riesgos, es recomendable que las políticas en materia de administración
de reservas sean conocidas en forma oportuna por la auditoría interna y que segaranticen los mecanismos
institucionales necesarios para que ello ocurra, como podría ser el comité de inversiones.
BIMESTRE
PRIMER
ACTIVIDADES RECOMENDADAS
Para conocer mas las diferencias entre Auditoría y Control interno le recomiendo leer el
artículo que lo encontrará en el siguiente enlace: http://www.utu.edu.uy/Publicaciones/
SEGUNDO
Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf
BIMESTRE
Posteriormente ingrese al EVA para participar en el foro creado para esta temática.
SOLUCIONARIO

Autoevaluación 1
ÍNDICE
Conteste correctamente la siguiente autoevaluación (seleccione una respuesta correcta en cada
pregunta de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso):
PRELIMINARES
1. ( ) El Control Interno Informático asegura que las medidas de los mecanismos
implantados sean solamente correctas.
2. ( ) La Auditoría Informática es el proceso de recoger evidencias para determinar si un

control es válido.
BIMESTRE
PRIMER
3. ( ) Los informes del Control Interno Informáticos son enviados a la Dirección de
Departamento de Informática.
4. ( ) Los Controles Detectivos son usados para conocer donde está la falla porque el
control preventivo no funcionó.
SEGUNDO
BIMESTRE
5. ( ) Los Controles Correctivos son usados para evitar que ciertos riesgos del sistema de
información se ejecuten.
6. Cuál del los controles de la siguiente lista no es un control general organizativo.
SOLUCIONARIO
a. Estándares
b. Políticas
c. Metodología del Ciclo de Vida
d. Políticas del Personal
7. Dentro de los controles generales organizativos – planificación, a que planes se debe efectuar el
control:
a. Plan a corto, mediano y largo plazo.

b. Plan Estratégico de Información, Informático, General de Seguridad y de emergencia de
desastre.
c. Plan de gestión de recursos.
d. Plan de procedimientos de elección de sw y hw.
8. ( ) El auditor es el responsable de revisar e informar a la Dirección de Informática el

funcionamiento de los controles implantados.
9. ( ) La Dirección de Informática, define las directrices para los sistemas de información en
base a la exigencia del negocio, que podrán ser internas o externas.
10. ( ) El Plan Informático, garantiza la confidencialidad, integridad y disponibilidad de la

información.

ÍNDICE
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica,
compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le
recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún
tiene inquietudes no dude en preguntar al profesor.
PRELIMINARES
¡Hemos terminado la primera unidad!
Felicitaciones
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
Ir a solucionario
SOLUCIONARIO

UNIDAD 2. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN
ÍNDICE
Estimado alumno, empezamos el segundo capítulo de la asignatura, aquí estudiaremos que es una
metodología y las diferentes metodologías de control interno, así como, la seguridad de los sistemas de
información.
PRELIMINARES
Para iniciar el estudio de esta nueva unidad le recomendamos acudir al capítulo 2 del texto
básico “Auditoría de Tecnologías y sistemas de Información”.
BIMESTRE
PRIMER
¿Qué opina de la lectura? ¿Tienen dudas o inquietudes? ¡A continuación las iremos resolviendo!
2.1. Introducción a las metodologías
SEGUNDO
BIMESTRE
Antes de ampliar este tema, debemos saber la definición de METODOLOGÍA: ciencia del método; MÉTODO:
modo de hacer con orden una cosa (Real Academia Española).
SOLUCIONARIO
Sabemos que la informática es una materia compleja y que se han desarrollado metodologías para
entender ciertos ámbitos de la misma, y uno de estos ámbitos es la auditoría de sistemas de información
y la seguridad de sistemas de información.
El uso de una metodología en auditoría nos ayuda a obtener resultados homogéneos en grupos de
trabajo heterogéneos.
Ahora bien, la Seguridad de los Sistemas de Información es la doctrina que trata de los riesgos informáticos
y creados por la informática, por lo tanto, el nivel de seguridad informática es un gran objetivo a evaluar,
estando directamente relacionado con la calidad y eficiencia de un conjunto de acciones y medidas
destinadas a proteger y preservar la información de la organización. Para ello tenemos un soporte de
contramedidas para identificar los puntos débiles y poder mejorarlos, esta es la función del auditor
informático.
Según la Real Academia Española una contramedida es: una medida tomada para paliar (atenuar,
disminuir, suavizar, debilitar o aliviar) o anular otra medida. Está formada por varios factores, decritos en
la siguiente figura:

ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 2: Factores de una contramedida.
Fuente: Piattini, M., Del Peso, E., y Del Peso, M. (2008).
Presentamos detalladamente lo que es cada factor de una contramedida:
1. La Normativa: debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto
SEGUNDO
BIMESTRE
desde el punto de vista conceptual, como práctico, desde lo general a lo particular. Debe inspirarse
en estándares, políticas, marco jurídico, políticas y normas de empresa, experiencia y práctica
profesional. Desarrollando la normativa, debe alcanzarse el resto del “gráfico valor” mostrado en la
Figura 3. Se puede dar el caso en que una normativa y su carácter disciplinado sea el único control
de un riesgo ( aunque esto no sea frecuente).
SOLUCIONARIO
2. La Organización: la integran personas con funciones específicas y con actuaciones concretas,
procedimientos definidos metodológicamente y aprobados por la dirección de la empresa. Éste
es el aspecto más importante, dado que sin él, nada es posible. Se pueden establecer controles
sin alguno de los demás aspectos, pero nunca sin personas, ya que son éstas las que realizarán
los procedimientos y desarrollan los diversos planes (Plan de Seguridad, Plan de Contingencias,
Auditorías, etc).
3. Las Metodologías: son necesarias para desarrollar cualquier proyecto que nos propongamos de
manera ordenada y eficaz.
4. Los Objetivos de Control: son los objetivos a cumplir en el control de procesos. Este concepto es
el más importante después de “la organización”, y solamente de un planteamiento correcto de los
mismos, saldrán unos procedimientos eficaces y realistas.
5. Los Procedimientos de Control: son los procedimientos operativos de las distintas áreas de
la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios
objetivos de control y, por lo tanto, deben estar documentados y aprobados por la Dirección. La
tendencia habitual de los informáticos es la de dar más peso a la herramienta que al propio control
o contramedida, pero no se debe olvidar que una herramienta nunca es solución sino una ayuda
para conseguir un control mejor. Sin la existencia de estos procedimientos, las herramientas de
control son solamente una ‘anécdota’.
6. La Tecnología de Seguridad: dentro de este nivel, están todos los elementos (hardware y
software) que ayudan a controlar un riesgo informático. En este concepto están los cifradores,
autentificadores, equipos denominados ‘tolerantes al fallo’, las herramientas de control, etc.

7. Las Herramientas de Control: son elementos del software que permiten definir uno o varios
procedimientos de control para cumplir una normativa y un objetivo de control.
ÍNDICE
Todos estos factores están relacionados entre sí, así como la calidad de cada uno con la de los demás
(Piattini, 2008). Cuando se evalúa el nivel de Seguridad de Sistemas en una institución, se están evaluando
todos estos factores (mencionados antes), y se plantea un Plan de Seguridad nuevo que mejore factores,
aunque conforme vayamos realizando los distintos proyectos del plan, no irán mejorando todos por
PRELIMINARES
igual. Al finalizar el plan se habrá conseguido una situación nueva en la que el nivel de control sea
superior al anterior.
Entonces, ¿Qué es la Seguridad Informática?: La Seguridad Informática se refiere a las características

y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su
confidencialidad, integridad y disponibilidad.
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 3: Definición de Seguridad.
Fuente: Erb, M. (2008)
Entonces llamaremos Plan de Seguridad a una estrategia planificada de acciones y proyectos que lleven
a un sistema de información y sus centros de proceso de una situación inicial determinada (y a mejorar)
a una situación mejorada. En la siguiente figura puede visualizar la organización interna de la seguridad
informática en una organización o empresa:
Figura 4: Sistema de Seguridad Fuente:

Piattini, M., Del Peso, E., y Del Peso, M. (2008).

La organización interna de la seguridad informática estará formada por una parte por un comité que
estaría formado por el director de la estrategia y de las políticas; y por otra parte, el control interno
ÍNDICE
y la auditoría informática. La función del control interno se ve involucrada en la realización de los
procedimientos de control, y es una labor del día a día.
La función de la auditoría informática está centrada en la evaluación de los distintos aspectos que
designe su Plan Auditor, con unas características de trabajo que son las visitas concretas al centro, con
PRELIMINARES
objetivos concretos y, tras terminar su trabajo, la presentación del informe de resultados.
2.2. Metodologías de evaluación de sistemas
2.2.1. Conceptos fundamentales
BIMESTRE
• AMENAZA: es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede
PRIMER
producir un daño (material o inmaterial) sobre los elementos de un sistema de información.
Debido a que la seguridad informática tiene como propósito garantizar la confidencialidad,
integridad, disponibilidad y autenticidad de los datos e informaciones, en caso de que no se
controlen las amenazas, estás podrían afectar directamente a este propósito, afectando muchas
veces de manera irreparable a la organización o empresa. La siguiente figura presenta ejemplos
SEGUNDO
BIMESTRE
de amenazas:
SOLUCIONARIO
Figura 5: Definición de Amenazas.
• VULNERABILIDAD: es la capacidad, las condiciones y características del sistema mismo

(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado
de sufrir algún daño. En otras palabras, es la capacidad y posibilidad de un sistema de
responder o reaccionar a una amenaza o de recuperarse de un daño.
Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe
una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede
ocasionar un daño. La figura siguiente enlista algunos ejemplos de vulnerabilidades:

ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 6: Tipos de Vulnerabilidades.
SEGUNDO
BIMESTRE
• RIESGO: es la incertidumbre que ocurra un evento que podría tener un impacto en el logro
de los objetivos de la organización. Los riesgos cuando se materializan, se denominan errores,
irregularidades u omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la
organización o incumplimiento de normativa externa.
SOLUCIONARIO
• EXPOSICIÓN O IMPACTO: es la evaluación del efecto del riesgo. Se puede evaluar cuantitativamente
con la fórmula Riesgo = Impacto * Probabilidad. En donde, Impacto: es el efecto o consecuencia
cuando el riesgo se materializa y Probabilidad: representa la posibilidad que un evento dado
ocurra. En la figura visualizamos ejemplos de la medición de riesgos lógicos:
Figura 7: Ejemplo de Riesgo e Impacto.


Todos los riesgos que se presentan podemos (Piattini, 2008):
• Evitarlos (Ejemplo: no construir un centro donde hay peligro constante de inundaciones).
ÍNDICE
• Transferirlos (Ejemplo: uso de un centro de cálculo contratado).
• Reducirlos (Ejemplo: sistema de detección y extinción de incendios).
PRELIMINARES
• Asumirlos, que es lo que se hace si no se controla el riesgo en absoluto.
Para evitar, transferir y reducir riesgos, se actúa si se establecen controles o contramedidas. Todas las
metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un conjunto
de contramedidas que garantizan que la probabilidad de que las amenazas se materialicen en hechos
(por falta de control) sea lo más baja posible.
BIMESTRE
PRIMER
Existen dos tipos de metodologías desarrolladas y utilizadas en la auditoría y control informático para la
identificación de riesgos: Cuantitativas y Cualitativas.
2.2.2. Metodologías cuantitativas
SEGUNDO
• Basada en un modelo matemático numérico que ayuda a la realización del trabajo.
BIMESTRE
• Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con
facilidad por tener asignados unos valores numéricos.
• Debilidad de los datos de la probabilidad de ocurrencia por los pocos registros y poca
SOLUCIONARIO
significación de los mismos.
• Tienen la imposibilidad o dificultad de evaluar económicamente todos los impactos que

pueden suceder frente a la ventaja de poder usar un modelo matemático para el análisis.
2.2.3. Metodologías cualitativas
• Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para

seleccionar en base a la experiencia acumulada.
• Están basadas en métodos estadísticos.
• Precisan de la colaboración de un profesional experimentado.
• Requieren menos recursos humanos/tiempo que las metodologías cuantitativas.
Una vez conocidas las diferencias, debe conocer que las metodologías más comunes que podemos
encontrar de evaluación de sistemas son de ANÁLISIS DE RIESGOS o de DIAGNÓSTICOS DE SEGURIDAD.

2.2.4. Metodologías análisis de riesgos
Estas metodologías nos ayudan a la identificación de la falta de controles y el establecimiento de un plan
ÍNDICE
de contramedidas.
PRELIMINARES
Diríjase al capítulo 3 del texto básico, lea y comprenda los pro y contras de la metodologías
cuantitativas y cualitativas, colocados en la figura 3.3 llamada “Tipos de metodologías para el
análisis de riesgos”.
2.2.4.1. Gestión de riesgos en la seguridad informática
BIMESTRE
PRIMER
La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo o reducirlo, como lo indica la
siguiente figura:
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 8: Etapas de Gestión de Riesgo.
Un sistema de Gestión de Riesgos tienes 4 fases generales:
• Análisis: se determina los componentes de un sistema que requieren protección, las

vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado
de revelar su grado de riesgo al que está expuesto.
• Clasificación: se determina si los riesgos encontrados y los riesgos restantes son aceptables.
• Reducción: se define e implementa las medidas de protección. Además se sensibiliza y se

capacita a los usuarios conforme a las medidas.
• Control: se analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para

determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales, que
forman el marco operativo del proceso, con el propósito de:
ÍNDICE
• Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las
amenazas con el resultado de reducir el riesgo.
• Orientar el funcionamiento organizativo y funcional.
PRELIMINARES
• Garantizar comportamiento homogéneo.
• Garantizar corrección de conductas o prácticas que nos hacen vulnerables.
• Conducir a la coherencia entre lo que pensamos, decimos y hacemos.
BIMESTRE
2.2.4.2. Seguridad de la información y protección de datos
PRIMER
En la seguridad informática se debe distinguir dos propósitos de protección, la seguridad de la
información y la protección de datos.
Seguridad de la información: La seguridad de la información es el conjunto de medidas preventivas y
SEGUNDO
BIMESTRE
reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática,

ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede
SOLUCIONARIO
encontrarse en diferentes medios o formas, y no sólo en medios informáticos.
Protección de Datos: Se trata de la garantía o la facultad de control de la propia información frente a

su tratamiento automatizado o no, es decir, no sólo a aquella información albergada en sistemas
computacionales, sino en cualquier soporte que permita su utilización: almacenamiento, organización
y acceso.
Para reforzar más la diferencia entre Seguridad de la Información y Protección de datos puede
leer el siguiente ejercicio, que lo encontrará en el siguiente enlace: http://protejete.wordpress.
com/gdr_principal/seguridad_informacion_proteccion/ejercicio/
En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su
pérdida y modificación no autorizada. La protección debe garantizar en primer lugar la confidencialidad,
integridad y disponibilidad de los datos, sin embargo existen más requisitos como por ejemplo la
autenticidad entre otros (Erb, 2008).
El motivo para implementar medidas de protección en los datos, debe ser del propio interés de la
organización o persona que maneja los datos o puede ser una obligación jurídica, tomando en cuenta
que la pérdida o modificación de los mismos, puede causar daños permanentes.
En el caso de la protección de datos su objetivo no son los datos en sí mismo, sino el contenido de la
información que manejan las personas, para evitar el abuso de ésta.
En algunos países existen normas jurídicas que regulan el tratamiento de los datos personales, como
por ejemplo en España, donde existe la “Ley Orgánica de Protección de Datos de Carácter Personal” que

tiene por objetivo garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor,
ÍNDICE
intimidad y privacidad personal y familiar.
En el siguiente Observatorio Iberoamericano de Protección de Datos. (2013). http://oiprodat.
PRELIMINARES
com/2013/04/04/pequena-y-mediana-empresa-y-ley-organica-de-proteccion-de-datos/.
Encontrará una lectura que le dará una mejor comprensión de la relación entre la ley orgánica
de protección de datos y una empresa.
Existen algunos motivos por los que la Seguridad de la Información no se puede dar adecuadamente.
Podemos observarlos en la siguiente figura:
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 9: Restos de la Seguridad de la Información.
La Gestión de riesgo nos ayuda a implementar medidas de protección, evitando o reduciendo los daños
a un nivel aceptable, es decir a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daños
de la mejor manera posible.
Pero una buena Gestión de riesgos es un proceso dinámico y permanente que tiene que estar integrado
en los procesos (cotidianos) de la estructura institucional, que debe incluir a todas y todos los funcionarios
y que requiere el reconocimiento y apoyo de las directiva (Erb, 2008).
2.2.4.3. Análisis de riesgos
Es el primer paso del proceso de Gestión de Riesgos, tiene como propósito determinar los componentes
de un sistema que requieren protección, las vulnerabilidades que los debilitan y las amenazas que lo
ponen en peligro, con el fin de valorar su grado de riesgo.
Para ello se debe conocer el concepto más básico en todo este proceso que es la INFORMACIÓN y sus
elementos (base clave de toda organización). En la siguiente figura se presenta en forma resumida:

ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 10: Elementos de Información.
A estos elementos de información hay que clasificarlos y averiguar su flujo de información interna o
externa y así saber quién tiene acceso a esa información. Un resumen se presenta en la siguiente figura:
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 11: Clasificación y Flujo de Elementos de Información.
Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque
ambos influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de
protección. Sólo si se sabe quiénes tienen acceso a qué datos y su respectiva clasificación, se puede
determinar el riesgo de los datos al sufrir un daño causado por un acceso no autorizado.
Con esta clasificación procedemos al ya CUANTITATIVO – ANÁLISIS DE RIESGO, con su fórmula, mostrada
en la siguiente figura:

ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 12: Análisis de Riesgo - Fórmula.
Existen varios métodos de como valorar un riesgo y al final, todos tienen los mismos resultados y
conclusiones.
SEGUNDO
BIMESTRE
Erb, M. (2008), fundamenta que para poder analizar un riesgo es importante reconocer que cada riesgo
tiene sus características, estas pueden ser:
• Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad).
SOLUCIONARIO
• Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad).
• No siempre es percibido de igual manera entre los miembros de una institución por tanto es
importante que participen las personas especialistas de los diferentes elementos del sistema
(Coordinación, Administración financiera, Técnicos, Conserje, Soporte técnico externo, etc.)
Si una amenaza se convirtió en realidad se denomina Ataque, es decir cuando un evento se realizó. Pero
el ataque no especifica si los datos e informaciones fueron perjudicados respecto a su confidencialidad,
integridad, disponibilidad y autenticidad. Entonces, debemos saber cómo valorar la probabilidad de
amenaza, un ejemplo está en la siguiente figura:

ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 13: Para estimar la Probabilidad de Amenaza.
SEGUNDO
BIMESTRE
Existen algunas interrogantes o razones que ayudan a enfocar mejor la valoración una amenaza. Erb
(2008), enlista algunas de estas razones:
• ¿Cuál es el interés o la atracción por parte de individuos externos, de atacar la

organización? Algunas razones pueden ser que manejamos información que contiene
SOLUCIONARIO
novedades o innovación, información comprometedora, etc. Existe una probabilidad de
que nuestros competidores sean compañeros de la organización.
• ¿Cuáles son las vulnerabilidades de la organización? Es importante considerar todos los

grupos de vulnerabilidades. También se recomienda incluir los expertos, especialistas de las
diferentes áreas de trabajo para obtener una imagen más completa y más detallada sobre
la situación interna y el entorno.
• ¿Cuántas veces han tratado de atacar la organización? Ataques pasados nos sirven para
identificar una amenaza y si su ocurrencia es frecuente. En el caso de que ya se tenga
implementadas medidas de protección es importante llevar un registro, que muestra los
casos cuando la medida se aplicó exitosamente y cuando no.
• ¿Existen condiciones de incumplimiento de confidencialidad (interna y externa)?

Esto normalmente se da cuando personas no autorizadas tienen acceso a información y
conocimiento ajeno que pondrá en peligro la misión de la empresa.
• ¿Existen condiciones de incumplimiento de obligación jurídicas, contratos y convenios?

No cumplir con las normas legales fácilmente puede culminar en sanciones penales o
económicas, que perjudican nuestra misión, existencia laboral y personal.
• ¿Cuál es el costo de recuperación? No solo hay que considerar los recursos económicos,
tiempo, materiales, sino también el posible daño de la imagen pública y emocional.
Se habla de un impacto, cuando un ataque exitoso perjudicó la confidencialidad, integridad,

disponibilidad y autenticidad de los datos e informaciones.

ÍNDICE
Leer el capítulo “Aspectos principales para una política interna de seguridad de la información”,
página 28 a 35, donde se aborda los temas de flujo de datos (página 29 y 30): Flores, C. (2009).
Recuperado de: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.
pdf
PRELIMINARES
Para los siguientes pasos de la Gestión de Riesgos nos vamos a referir a un ejemplo para su entendimiento,
cabe recalcar que este ejemplo les ayudará a concluir con el estudio de este tema, ya que está basado
en datos donde claramente se especifica cómo se hacen paso a paso. Enlace: http://protejete.wordpress.
com/gdr_principal/matriz_riesgo/, al ir al final de esta página web debe dar clic en siguiente para que
dé continuidad al ejemplo.
BIMESTRE
PRIMER
A continuación se presenta una imagen donde resume el esquema básico-general de una metodología
de análisis de riesgo:
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 14: Metodología de Análisis de Riesgo.
Recomendación:
Si tiene algún problema en el desarrollo la comprensión del ejercicio no dude en

realizar preguntas en el foro de la materia.
2.2.4.4. Plan de contingencia
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo (en cuestiones de riesgos).
Presenta una estructura estratégica y operativa que ayudará a controlar una situación de emergencia y
a minimizar sus consecuencias negativas.
El plan de contingencia propone una serie de procedimientos alternativos al funcionamiento normal

de una organización, cuando alguna de sus funciones usuales se ve perjudicada por una contingencia
interna o externa.
Esta clase de plan, por lo tanto, intenta garantizar la continuidad del funcionamiento de la organización
frente a cualquier eventualidad, ya sean materiales o personales. Un plan de contingencia incluye cuatro
etapas básicas: la evaluación, la planificación, las pruebas de viabilidad y la ejecución, como se muestra
en la siguiente figura:

ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 15: Pasos de un Plan de contigencias.
2.2.4.4.1. Fases de un plan de contingencia
Piattini (2008), hace referencia a tres fases de un plan de contingencia, estas son:
SEGUNDO
BIMESTRE
• Análisis y Diseño: se estudia la problemática, las necesidades de recursos, las alternativas de
respaldo, y se analiza el coste/beneficio de las mismas. Es la fase más importante, pues nos
ayuda a verificar si es viable o es muy costoso su seguimiento.
SOLUCIONARIO
• Desarrollo del Plan: esta fase y la siguiente son similares en todas las metodologías. En ella
se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones
previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los
procedimientos de actuación generando, así, la documentación del plan.
• Pruebas y Mantenimiento: en esta fase se definen las pruebas, sus características y sus ciclos,
y se realiza la primera prueba como comprobación de todo el trabajo realizado, así como
mentalizar al personal implicado.
• Herramientas: en este caso, como en todas las metodologías, la herramienta es una

anécdota, y lo importante es tener y usar la metodología apropiada para desarrollar
más tarde la herramienta que se necesite. Toda herramienta debería tener, al menos, los
siguientes componentes: base de datos relacional, módulo de entrada de datos, módulo
de consultas, procesador de textos, generador de informes, ayudas on-line, hoja de cálculo,
gestor de proyectos y generador de gráficos.
2.2.5. Metodologías de auditoria informática
Las metodologías de auditoría informática son del tipo cualitativo/subjetivo (podemos decir que son
las subjetivas por excelencia). Por tanto, están basadas en profesionales de gran nivel de experiencia
y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen una gran
profesionalidad y formación continuada (Piattini, 2008). Solo así esta función se consolidará en las
entidades, esto es, por el “respeto profesional” a los que ejercen la función.
Las metodologías que podemos encontrar en la auditoría informática son dos familias distintas:
• Las auditorías de Controles Generales como producto estándar de las auditorias

profesionales.

• Las Metodologías de los auditores internos.
ÍNDICE
2.2.5.1. Las auditorías de controles generales y las metodologías de los auditores internos
El objetivo de las auditorías de controles generales es “dar una opinión sobre la fiabilidad de los datos
del ordenador para la auditoría financiera”. El resultado externo es un breve informe como parte del
informe de auditoría, donde se destacan las vulnerabilidades encontradas. Están basadas en pequeños
PRELIMINARES
cuestionarios estándares que dan como resultado informes muy generalistas (Piattini, 2008).
La metodología de auditor interno debe ser diseñada y desarrollada por el propio auditor, dependiendo
de su experiencia y habilidad para realizarla.
El esquema metodológico del auditor está definido por el “Plan de Auditor” (Piattini, 2008).
BIMESTRE
PRIMER
Lectura Recomendada
Diríjase a la capítulo 3 del texto básico y Lea por favor el ejemplo de metodología auditoria de
una aplicación. Le servirá mucho para comprender mejor la aplicación de una metodología de
auditor interno.
SEGUNDO
BIMESTRE
2.2.6. EL plan del auditor informático
El Plan de Auditor Informático es un esquema metodológico donde se describe todo sobre su función y
el trabajo que realiza en la organización.
SOLUCIONARIO
Seguidamente se presenta cuales son las partes básicas de un plan auditor informático, según (Piattini,
2008). :
• Funciones. Ubicación de la figura en el organigrama de la empresa
• Procedimientos para las distintas tareas de las auditorías. Entre ellos están el procedimiento
de apertura, el de entrega y discusión de debilidades, entrega de informe preliminar, cierre de
auditoría, redacción de informe final, etc.
• Tipos de auditorías que realiza. Metodologías y cuestionarios de las mismas. Existen dos tipos de
auditoría según su alcance: la Completa (Full) de un área y la Acción de Inspección Correctiva
(Corrective Action Review o CAR) que es la comprobación de acciones correctivas de auditorías
anteriores.
• Sistema de evaluación y los distintos aspectos que evalúa. Deben definirse varios aspectos a evaluar
como el nivel de gestión económica, gestión de recursos humanos, cumplimiento de normas, etc,
así como realizar una evaluación global de resumen para toda la auditoría. Esta evaluación final
nos servirá para definir la fecha de repetición de la misma auditoría en el futuro, según el nivel de
exposición que se le haya dado a este tipo de auditoría en cuestión.
• Nivel de exposición. Es un valor que permite definir la fecha de la repetición de la misma auditoría,
en base a la evaluación final de la última auditoría realizada sobre ese tema.
• Plan quinquenal. Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos
y deben repartirse en cuatro o cinco años de trabajo. Esta planificación, además de las repeticiones
y añadido de las auditorías no programadas que se estimen oportunas, deberá componer
anualmente el plan de trabajo (anual).

• Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario
que, una vez terminado, nos dé un resultado de horas de trabajo previstas y, por tanto, de los
ÍNDICE
recursos que se necesitarán.
• Herramientas. Que permita confeccionar los cuestionarios de las distintas auditorías.
Diríjase a la capítulo 3 del texto básico y Lea por favor el ejemplo de metodología auditoria de
PRELIMINARES
una aplicación. Le servirá mucho para comprender mejor la aplicación de una metodología de
auditor interno.
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO

Autoevaluación 2
ÍNDICE
Conteste correctamente la siguiente evaluación (seleccione una respuesta correcta en cada pregunta
de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso):
PRELIMINARES
1. ( ) El método es un conjunto de herramientas y técnicas, que juntas, dan como resultado
un producto en particular.
2. ( ) El factor más importante de una contramedida es la Organización, ya que sin él, nada
es posible.
BIMESTRE
PRIMER
3. Cuando hablamos de la situación creada por la falta de uno o varios controles, nos referimos a:
a. Amenaza
b. Vulnerabilidad
c. Riesgo
SEGUNDO
BIMESTRE
d. Impacto
4. Si la organización crea/tiene un sistema de detección y extinción de incendios, es para que el

riesgo sea:
SOLUCIONARIO
a. Evitado
b. Transferido
c. Reducido
d. Asumido
5. ( ) Las metodologías cualitativas son basadas en el criterio y raciocinio humano capaz de
definir un proceso de trabajo y seleccionar en base a la experiencia.
6. ( ) Las metodologías de Análisis de Riesgo están desarrolladas para la identificación de la

falta de controles y el establecimiento de un plan de contramedidas.
7. ( ) En este sentido, la Seguridad Informática sirve para la protección de la información,

en contra de amenazas o peligros, para evitar daños y para maximizar riesgos,
relacionados con ella.
8. ( ) La Gestión de Riesgo es un método solo para clasificar el riesgo y posteriormente

implementar mecanismos que permitan controlarlo.
9. ( ) En la Seguridad de la Información el objetivo de la protección son los datos mismos y

trata de evitar su perdida y modificación no-autorizado.
10. ( ) El objetivo de la protección de datos no son los datos en sí mismo, sino el contenido
de la información sobre personas, para evitar el abuso de ésta.
11. ( ) Los Elementos de información son todos los componentes que contienen, mantienen
o guardan información. También se los conoce como Activos o Recursos.

12. ( ) Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción

que no puede producir un daño.
ÍNDICE
13. ( ) Riesgo = Probabilidad de Amenaza x Vulnerabilidad.
14. ( ) Plan de Contingencias es una estrategia planificada constituida por un conjunto de

recursos, una organización de emergencia y unos procedimientos.
PRELIMINARES
15. Las fases de un Plan de Contingencias son:
a. Análisis y Diseño.
b. Desarrollo del Plan
c. Pruebas y Mantenimiento
BIMESTRE
d. Todas las anteriores
PRIMER
16. ( ) El Plan del Auditor Informático es el mismo que el Plan de Contingencias.
17. Cuando se habla de un valor definido que permite definir la fecha de la repetición de la misma
auditoría, en base a la evaluación final de la última auditoría realizada sobre ese tema, se refiere a :
SEGUNDO
BIMESTRE
a. Funciones
b. Procedimientos
c. Planes
d. Nivel de Exposición
SOLUCIONARIO
18. ( ) En el Plan de trabajo anual se debe estimar tiempos de manera racional y componer
un calendario que dé un resultado de horas de trabajo previstas y, por tanto, los
recursos que se necesitarán.
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica, vaya
y compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe
le recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si
aún tiene inquietudes no dude en preguntar al profesor.
¡Hemos terminado la segunda unidad!
Felicitaciones y ánimo con la siguiente unidad.
Ir a solucionario

UNIDAD 3. EL DEPARTAMENTO DE AUDITORÍA DE LOS SI Y ÉTICA DEL AUDITOR DE LOS SI
ÍNDICE
Estimado alumno, empezamos el tercer capítulo de la asignatura en el cual mostraremos las funciones o
responsabilidades de un Departamento de Auditoría de los Sistemas de Información, así como aspectos
para desarrollar esas funciones.
PRELIMINARES
Para iniciar el estudio de esta unidad, le recomendamos acudir al texto básico y revisar el
capítulo 5 titulado El Departamento de Auditoría de los SI: Organizaciones y Funciones; y el
capítulo 7 Ética del Auditor de los Sistemas de Información.
¿Comprendió todos los temas?, a continuación vamos a reforzar más la lectura que usted realizó:
BIMESTRE
PRIMER
3.1. Misión del departamento de auditoría de los SI
SEGUNDO
BIMESTRE
Antes de determinar cuál es la misión de este departamento, vamos a definir la palabra Misión, según
(Thompson, 2006):
Misión: es el motivo, propósito, fin o razón de ser de la existencia de una empresa u organización porque
SOLUCIONARIO
define:
1. Lo que pretende cumplir en su entorno o sistema social en el que actúa,
2. Lo que pretende hacer,
3. El para quién lo va a hacer; y es influenciada en momentos concretos por algunos elementos

como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios,
los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas.
La misión del departamento de auditoría de los SI (DASI) tiene la misma misión que la de la auditoría de
los SI. En la siguiente figura, está ampliamente descrita la misión del DASI:
Lectura Recomendada
Para entender el siguiente gráfico debe acudir al libro básico Auditoría de Tecnologías y
Sistemas de Información – capítulo 5 y leer la misión del departamento de auditoría de los SI.
Figura 16: Misión del Departamento de Auditoría de SI

FUENTE: Romero, K. (2013)

41
MISION
DEPARTAMENTO
DE AUDITORÍA DE
SI
¿Para quién
desarrolla si labor ¿Qué debe Sobre que debe
la función de realizar? actuar
auditoría SI
Órganos de Gestión de
Gobierno Organización Control Interno Datos Sw Aplicaciones Tecnología Instalaciones Personas
- Ejercicio por el
consejo de
- Dueño de la administración de
- Servicio de
Rentas Internas. organización. la entidad, los
gestores y otro
- Súper - Gerente General personal.
Intendencia de de la
Bancos. organización. Ofrece:
Efectividad y
- Instituto de - Departamento e ciencia de las SISTEMA DE INFORMACIÓN DE LA
Seguridad Social, Financiero, operaciones. ORGANIZACIÓN
etc. Informático de la Con abilidad de
organización. la información
- Consejo nanciera y
Superior de la Cumplimiento de
organización. las leyes y
regulaciones.
PRIMER BIMESTRE

SEGUNDO PRIMER
BIMESTRE BIMESTRE
3.2. Organización del departamento de auditoría de los SI
ÍNDICE
3.2.1. Objetivos y funciones
Una vez definida y entendida la misión vamos a ver algunos objetivos y funciones del DASI, según
(Piattini, 2008):
PRELIMINARES
• Elaborar planes de trabajo para llevar a cabo auditorías en informática y el desarrollo de
actividades apropiadas que permitan maximizar la eficacia del área de tecnologías de
información (TI).
• Implementar los planes de trabajo llevando un control de las actividades a realizar en tiempos
estimados reales; en cuanto a evaluación de sistemas de información, procedimientos,
BIMESTRE
equipos informáticos y redes de comunicación.
PRIMER
• Evaluar sistemas, procedimientos y equipos informáticos; así como la dependencia de éstos
y las medidas tomadas para garantizar su disponibilidad y continuidad
• Verificar el cumplimiento de las normas de auditoria gubernamental, políticas y normas de

seguridad de la Dirección de Tecnología que rigen la Institución en el área de TI.
SEGUNDO
BIMESTRE
• Comprobar que el área de tecnologías de información (TI) ha tomado las medidas correctivas
de los informes de la Auditoría Interna así como de las omisiones que al respecto se verifiquen
en el seguimiento de informes.
SOLUCIONARIO
• Evaluar los controles de seguridades lógicas y físicas que garanticen la integridad,
confidencialidad y disponibilidad de los datos en los sistemas de información de la institución.
• Evaluar los riegos y controles establecidos para la búsqueda e identificación de debilidades,

así como de las áreas de oportunidad.
• Revisar la existencia de políticas, objetivos, normas, metodologías, así como la asignación de

tareas y adecuada administración de los recursos humanos e informáticos.
• Evaluar la existencia de políticas, objetivos, normas, metodologías, así como la asignación de

tareas y adecuada administración de los recursos humanos e informáticos.
Lectura Recomendada
Revisar algunos objetivos y funciones descritas en el texto básico, capítulo 5 – “Organización

del Departamento de Auditoría de los SI”.I.
3.2.2. Ubicación en la organización
El DASI debe estar ubicado orgánicamente como se muestra en la figura 17, en el recuadro denominado
Auditor interno.

Junta Directiva
ÍNDICE
Auditor Interno
PRELIMINARES
Área de Área de Área de
Área de servicios abastecimientos y Prestación de Área de Gestión administración y
financieros operativa
equipamiento servicios logística
Sub área de Sub áreae de Sub área de Sub área de

ingresos y fiscalización de Sub área de administración y
BIMESTRE
abastecimiento y operación
PRIMER
egresos equipamiento los servicios logística
Figura 17: Posición de la Auditoría en la organización.

Fuente: García et al., (2008)
Se tiene que tener claro que el DASI:
SEGUNDO
BIMESTRE
• A mayor nivel jerárquico, mayor peso tiene en la organización y mayor respeto y autoridad
encontrará sobre los hallazgos u observaciones y aceptación a las recomendaciones o
sugerencias.
SOLUCIONARIO
• Puede reportar a diferentes niveles pero siempre será dependiendo de la empresa, su
tamaño y necesidades.
También es importante saber que recursos se necesitan en un DASI.
3.2.3. Recursos necesarios
Cada uno de los siguientes recursos son necesarios para que las funciones del Departamento de Auditoría
de los SI se lleven a cabo:
1. Recursos humanos: equipo de personas que llevarán a cabo la misión de la auditoría.
2. Recursos Técnicos: sistemas o herramientas técnicas que ayudarán a los recursos humanos.
3. Recursos Económicos: al inicio de cualquier auditoría se presenta un presupuesto, el mismo

que debe ser aprobado por el comité de auditoría.
RECUERDE: Las labores realizadas por un auditor no pueden ser sustituidas por ninguna
herramienta ni tecnología, solamente ayudan a mejorar y hacer más eficiente el trabajo del
auditor, el trabajo de auditoría recae netamente en la labor de los auditores.
3.2.4. Estructura del departamento de auditoría de SI
Piattini (2008), afirma que para la estructura del departamento de auditoría de SI se toman en cuenta
dos aspectos clave:
1. Dimensión del departamento: número de personas que forman parte del departamento.

2. Localización del departamento: lugares físicos donde contar con recursos del departamento.
Para establecer estos aspectos tenemos que tomar en cuenta 4 parámetros:
ÍNDICE
a. Tamaño de la organización: diversidad de procesos del negocio,
b. Dependencia de los negocios de la organización de las TI.
c. Topología de los sistemas de información.
PRELIMINARES
d. Ubicación geográfica.
Lectura Recomendada
Revisar a que se refiere cada uno de estos parámetros, que se encuentran descritos
detalladamente en el capítulo 5 del texto básico.
BIMESTRE
PRIMER
3.2.5. El estatuto de auditoría de SI
Un estatuto es una norma o una regla que tiene valor legal para una organización o empresa. El estatuto
SEGUNDO
de auditoría de SI, debe proporcionar autoridad sobre toda la organización e independencia al recurso
BIMESTRE
humano que trabajará en el departamento de auditoría de SI (Piattini, 2008).
En este estatuto debe estar establecido:
1. La posición de la función de auditoría interna dentro de la organización.
SOLUCIONARIO
2. Autorización de acceso a toda la información de la organización.
3. El alcance de la auditoría interna a realizar.
4. Se especificará que sus funciones son delegadas del Consejo y Comité de Auditoría.
El estatuto debe ser:
1. Público.
2. Divulgado entre los miembros de la dirección.
Con estos dos puntos se garantiza el entendimiento de la labor y las responsabilidades de la auditoría
interna.
3.3. Planificación del trabajo de auditoría
Para planificar el trabajo de auditoría y con ella evaluar el control interno de los recursos de información
de la organización necesitamos una metodología, la misma que se describe en la siguiente figura:
Definir el
Universo de Análisis de Plan a largo Plan a corto
Riesgos Plazo plazo
TI


¿Qué se va auditar? ¿Qué se analiza? ¿Cómo se audita?
ÍNDICE
•  Procesos •  Con los procesos •  Se define un plan a
Operativos enlistados: largo o corto plazo
•  Procesos •  Se usa una para evaluar si los
Informáticos metodología de sistemas de control
PRELIMINARES
•  La heterogeneidad análisis de riesgos establecidos en la
de las TI de la de esos procesos. organización son
organización. •  Clasificar los adecuados y
riesgos en: Riesgo suficientes para
•  Recursos de
de Negocio y mitigar los riesgos
Información.
Riesgo de identificados.
Auditoría.
BIMESTRE
PRIMER

Figura 18: Planificación del trabajo de auditoría de SI.

Fuente: Romero, K. (2013)
3.4. El equipo de auditoría de SI
SEGUNDO
BIMESTRE
Existen algunos elementos a considerar al momento de seleccionar al personal que compondrá la unidad
de auditoría de los SI:
1. Formación
SOLUCIONARIO
2. Trato con las personas
3. Desarrollo del trabajo
4. Honesto y reservado
Los cuatro elementos anteriores son muy importantes pero deben ir de la mano con el cumplimiento a
cabalidad de los principios éticos del auditor de los SI, estos principios son los que definen la ética del
auditor de los SI.
3.4.1. Ética del auditor de los SI
La ética del auditor de los SI está basada en algunos principios deontológicos, entiéndase por
DEONTOLOGÍA como: la rama de la ética cuyo objeto de estudio son aquellos fundamentos del deber y
las normas morales.
Piattini (2008), enlista algunos principios deontológicos que el auditor debe tomar en cuenta a la hora
de cumplir con su labor, estos principios no son reglas que se deban cumplir de carácter obligatorio, sino
que queda a criterio y valor personal del propio auditor.
PRINCIPIOS DEONTOLÓGICOS:
1. Principio de Capacidad Profesional
a. Auditor plenamente capacitado para realizar la auditoría.

b. El auditor puede incidir en la toma de decisiones del cliente.
c. Conocimientos del auditor evolucionarán según las TI.

2. Principio de Comportamiento Profesional
a. El auditor debe actuar conforme a las normas de dignidad de la profesión y de
ÍNDICE
corrección en el trato personal.
i. Evitará caer en exageraciones o atemorizaciones innecesarias, transmitiendo
una imagen de precisión y exactitud en sus comentarios.
b. Cuando precise del asesoramiento de otros expertos deberá acudir a ellos.
PRELIMINARES
c. Guardar respeto por la política empresarial del auditado.
3. Principio de confidencialidad
a. El auditor tiene la obligación de mantener la confidencialidad de la información

suministrada por el auditado.
BIMESTRE
PRIMER
b. No debe usar esta información para beneficio personal y no difundirla a terceras
personas.
c. Debe mantenerse un secreto profesional sobre la información obtenida entre el
auditor y su equipo.
d. El auditor debe establecer las medidas de seguridad y mecanismos necesarios para
SEGUNDO
BIMESTRE
garantizar al auditado, que la información se almacenará en entornos o soportes que
impidan la accesibilidad al mismo por terceras personas.
4. Principio de Independencia
a. El auditor debe actuar libremente según su leal saber y entender.
SOLUCIONARIO
b. Debe garantizar de que los intereses del auditado serán asumidos con objetividad.
c. Debe rechazar criterios con los que no esté de acuerdo.
5. Principio de beneficio del auditado
a. El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de

los medios informáticos de la empresa auditada (cliente).
i. Estará obligado a presentar RECOMENDACIONES.
ii. La actividad estará orientada a lograr el máximo provecho de su cliente.
iii. No puede anteponer intereses personales del auditor (actitud no ética).
iv. Debe ser independiente de marcas, productos, etc.
v. Deberán tener libre acceso a informes anteriores.
6. Principio de Información Suficiente
a. Es obligación del auditor de aportar, en forma detalladamente clara, precisa e

inteligible para el auditado, información sobre los aspectos de la auditoría con interés
para el auditado y sobre las conclusiones.
b. Evitar datos intrascendentes.
c. Compromiso con las conclusiones, líneas de actuación recomendadas y dudas que se
le plantean.
7. Principio de Veracidad
a. El auditor deberá asegurar la veracidad de sus manifestaciones al auditado, con los

límites impuestos por los deberes de respeto, corrección y secreto profesional.

8. Principio de Libre Competencia
a. El auditor deberá rechazar prácticas tendentes a impedir la legítima competencia de
ÍNDICE
otros profesionales y prácticas abusivas.
b. Evitar los aprovechamientos indebidos del trabajo y reputación de otros en beneficio
propio.
PRELIMINARES
9. Principio de Servicio Público
a. El auditor deberá hacer lo que esté en su mano para evitar daños sociales que puedan
propagarse a otros sistemas informáticos diferentes del auditado.
b. El auditor deberá advertir de la existencia de dichos virus (en caso de haber) para que
se tomen las medidas oportunas, pero sin descubrir la procedencia de su información.
BIMESTRE
PRIMER
10. Principio de Fortalecimiento y Respeto a la Profesión
a. Los auditores cuidarán del reconocimiento del valor de su trabajo y de la correcta

valoración de la importancia de los resultados obtenidos con el mismo.
b. Remuneración acorde con la preparación del auditor y con el valor añadido que
SEGUNDO
aporta el auditado con su trabajo.
BIMESTRE
c. Evitar la competencia desleal
d. Promover el respeto mutuo y la no confrontación entre compañeros
i. Denuncia de comportamientos indebidos.
SOLUCIONARIO
11. Principio de Legalidad
a. El auditor debe evitar utilizar sus conocimientos para facilitar la contravención de la

legalidad vigente.
b. No desactivar o eliminar dispositivos de seguridad, ni intentar obtener claves de
acceso a áreas restringidas de información.
Lectura recomendada
Revise todos los principios deontológicos expuestos en el texto básico “Auditoría de

Tecnologías y Sistemas de Información” – capítulo 7.
Antes de terminar el estudio de este primer bimestre, le invito a desarrollar la siguiente

autoevaluación; para determinar el nivel de conocimiento del tema estudiado.
Con entusiasmo sigamos aprendiendo!

Autoevaluación 3
ÍNDICE
Conteste correctamente la pregunta según sea el caso (conteste V si es Verdadero o F si es falso):
PRELIMINARES
1. ( ) Según COSO, el control interno es un proceso, ejercido por el consejo de administración
de la organización, diseñado para proporcionar seguridad razonable.
2. ( ) Los recursos de información son usados por la organización para soportar sus
procesos operativos o de negocios.
3. ( ) Un recurso de información son las PERSONAS.
BIMESTRE
PRIMER
4. ( ) El departamento de auditoría de los SI, puede estar ubicado en cualquier parte de la
organización.
5. ( ) No son necesarios los recursos económicos en el departamento de auditoría de los SI.
SEGUNDO
BIMESTRE
6. ( ) El estatuto de auditoría de los SI es cualquier documento donde solamente conste los
objetivos que se quieren lograr en la auditoría.
7. ( ) El estatuto debe ser privado y sólo debe conocerlo el auditor y el auditado.
SOLUCIONARIO
8. ( ) El primer paso para AUDITAR es establecer ¿Qué se debe auditar?.
9. ( ) El análisis de riesgo es establecer una medida de importancia relativa a cada uno de
los elementos de la organización a auditar.
10. ( ) Cualquier persona de cualquier perfil puede conformar el equipo de auditoria de SI.
11. ( ) Una de las características más importantes al seleccionar al personal del equipo de
auditoría de SI, es que tenga un magnífico trato con las personas.
12. ( ) Trato con las personas significa que debe ser paciente, prudente y flexible, y no
defender sus puntos de vista.
13. ( ) El principio de comportamiento profesional significa que el auditor debe estar

plenamente capacitado para la realización de la auditoría.
14. ( ) El auditor debe ser plenamente consciente del alcance de sus conocimientos y de su
capacidad para desarrollar la auditoría.
15. ( ) El auditor está en libertad de usar los conocimientos adquiridos en una auditoría y
usarlos en contra del auditado.
16. ( ) El auditor debe tener un secreto profesional sobre la información obtenida durante
la auditoría.
17. ( ) El auditor deberá actuar en la auditoría con criterio propio, así lo dictamina el principio
de independencia.

18. ( ) El auditor deberá proteger los derechos económicos del auditado.
19. ( ) Es necesario que el auditor sea veraz en la información que dé en la auditoría, aunque
ÍNDICE
ésta no esté respaldada.
20. ( ) El auditor no se puede negar a participar en actividades ilegales o impropias de la

auditoría.
PRELIMINARES
BIMESTRE
PRIMER
¡Hemos terminado la tercera unidad!
Felicitaciones
SEGUNDO
BIMESTRE
Estimado alumno, hemos terminado los temas del primer bimestre, espero que hayan sido entendidos y
comprendidos.
Le deseo mucha suerte en su examen presencial y mucho ánimo para empezar los temas del segundo
SOLUCIONARIO
bimestre
Ir a solucionario

SEGUNDO BIMESTRE
50
6.5. Competencias
COMPETENCIAS GENÉRICAS DE LA UTPL
• Comportamiento ético III: Inclinarse hacia el bien moral de uno mismo o de los demás (es decir, hacia todo lo que eso significa bien, vivencia
del sentido, realización de la persona, sentido de justicia) y perseverar en dicho bien moral.
6.6. Planificación para el trabajo del alumno

COMPETENCIAS
ESPECÍFICAS DE LA ACTIVIDADES DE APRENDIZAJE
TITULACIÓN UNIDADES
EDUCATIVO
UNIDAD4. Auditoría de • Estudiar la unidad 4 de la guía • Comprende los Semana 1 y 2

Outsourcing de TI. didáctica y realizar la actividad procedimientos implicados
• 4 horas de estudio
recomendada, p. 57. en el servicio de
4.1. Conceptos relativos a personal.
Outsourcing.
Outsourcing de TI. • Revisar el capítulo 9 del texto
• 4 horas de
4.2. Auditoría de Outsourcing de TI. básico. • Relaciona marcos de
interacción.
Audita la operación referencia con el
Define los conceptos y 4.3. Acciones indispensables de la • Realizar las lecturas recomendadas
de TI en base a las Outsourcing de TI.
marcos de referencia auditoría de Outsourcing de TI. de la unidad.
buenas prácticas de
los marcos de
aplicables en la auditoría 4.4. Outsourcing y Marcos de • Participar en el EVA, foro e
de outsourcing. Referencia. interacciones.
referencia.
• Desarrollar la autoevaluación de la
unidad 4.
• Iniciar el desarrollo de la
evaluación a distancia del
componte.
SEGUNDO BIMESTRE

SEGUNDO PRIMER
BIMESTRE BIMESTRE
COMPETENCIAS
51
ESPECÍFICAS DE LA ACTIVIDADES DE APRENDIZAJE
TITULACIÓN UNIDADES
EDUCATIVO
UNIDAD5. Auditoría a la Seguridad • Estudio de la unidad 5 de la guía • Verifica el cumplimiento de Semana 3 y 4

Física. didáctica, capítulo 10 del texto los procedimientos de
básico y REAS del EVA. control interno que se • 8 horas de estudio
5.1. ¿Qué es la Seguridad Física?
implantan en una personal
5.2. Objetivo de la Seguridad Física. • Realizar la actividad recomendada,
organización para preveer
p. 65. • 8 horas de
5.3. Auditoría de la Seguridad seguridad física en los SI.
interacción
Evalúa la seguridad física Física. • Participar en el EVA, foro e
• Analiza la estandarización
de los sistemas de interacciones.
5.4. Objetivos de la Auditoría de la de los procedimientos de
información. Seguridad Física. • Desarrollo de la autoevaluación control.
unidad 5 de la guía.
5.5. Áreas de Seguridad Física • Ejecuta la auditoría de la

5.6. Técnicas y Herramientas de la • Continuar con el desarrollo de la seguridad física
auditoría de la Seguridad Física. evaluación a distancia del independiente de la
componte. organización a la que se
5.7. Fases de la auditoría de la aplique.
Seguridad Física.
UNIDAD6. Gestión de Riesgos • Estudio de la unidad 6 de la guía • Conoce los conceptos, Semana 5 y 6
y auditoría Basada en Riesgos - didáctica. procesos y herramientas
COBIT para la evaluación de un • 8 horas de estudio
• Realizar las lecturas recomendadas
riesgo tecnológico. personal
6.1. ¿Cómo evaluar un riesgo en la unidad.
Identifica oportunidades tecnológico? • Aplica procedimientos y • 8 horas de
• Lectura de REAS en el EVA.
de mejora con la gestión técnicas para la interacción
6.2. Procesos Claves de riesgos
de riesgos de acuerdo al • Participar en el EVA, foro e implementación del modelo
COBIT.
marco de referencia interacciones. COBIT en la gestión de
COBIT. riesgos.
• Desarrollo de la autoevaluación
unidad 6 de la guía.
• Finalizar el desarrollo de la
evaluación a distancia del
componte.
Unidades 4 a 6 • Revisión de contenidos como Semana 7 y 8

preparación para la evaluación
presencial • 8 horas de estudio
personal
• 8 horas de
SEGUNDO BIMESTRE

interacción.
SEGUNDO PRIMER
BIMESTRE BIMESTRE
Guía didáctica: Auditoría Informática SEGUNDO BIMESTRE
6.7. Orientaciones específicas para el aprendizaje por competencias
ÍNDICE
UNIDAD 4. AUDITORÍA DE OUTSOUCING DE TI
PRELIMINARES
Estimado alumno, empezamos el cuarto capítulo de la asignatura abordando en detalle la Auditoría de
Outsourcing de TI.
Para iniciar el estudio del tema de auditoría de outsorcing de TI le recomendamos acudir

al texto básico y leer el capítulo donde se abordará el tema relacionado a definiciones de
Outsourcing.
BIMESTRE
PRIMER
¿Qué le pareció la lectura? ¿Tiene algunas dudas?
No se preocupe las vamos a ir resolviendo.
SEGUNDO
BIMESTRE
4.1. Conceptos relativos al outsourcing de TI
SOLUCIONARIO
4.1.1. Definición de outsourcing
Esta definición difiere según el entorno que se encuentra, sin embargo, podemos establecer ciertas
características para definirlo (Piattini et al., 2008).:
• No es una simple contratación, sino más bien, una alianza entre el cliente y el tercero para
alcanzar juntos las metas y compartir los riesgos.
• Las actividades del Outsourcing, muchas veces, no están consideradas dentro de las
actividades esenciales del negocio del cliente pero aun así son vitales para su supervivencia.
• Los medios y activos entre el Outsourcing y el negocio son diferentes para cada actividad.
El proceso de Outsourcing tiene algunas implicaciones a tomar en cuenta si una organización va a optar
por requerir ese servicio, algunas son:
• La organización pasa a ceder o compartir los derechos de propiedad del proceso y los activos
asociados, lo que logra que ciertas fases de los procesos ya no se controlan totalmente.
• La organización comienza a tener una dependencia a largo plazo por lo que los recursos se
vuelven difícilmente intercambiables.
• A partir de esto se empieza a considerar una serie de contratos donde se definen todos los
servicios que serán requeridos en la cadena de valor, y estos servicios serán manejados de
forma más eficiente ya que es el concepto real del Outsourcing.

• Actores secundarios
• Canal para los actores secundarios
ÍNDICE
4.1.2. El outsourcing de TI
Para Piattini (2008), el outsourcing de TI se puede ver involucrado en muchas áreas de alto y bajo riesgo
PRELIMINARES
dentro de la organización, por lo que podemos definir un mapa de servicios que se están llevando en la
actualidad:
• Gestión de aplicaciones: esto comprende todos los procesos desde el desarrollo de

aplicaciones hasta la gestión de proyectos, y esto se ha vuelto muy común en nuestros días,
donde las empresas necesitan sacar nuevos paquetes de software y tiene que contratar
terceros que tienen la experiencia para trabajar ese proyecto en forma rápida y eficiente.
BIMESTRE
PRIMER
Sin embargo, se debe considerar que muchas veces sucede que al finalizar ese proyecto, el
personal en calidad de tercero se tiene que retirar de la organización y se está perdiendo ese
conocimiento adquirido a lo largo del proyecto.
• Gestión y operación de la infraestructura: esto comprende el manejo de los elementos

en la infraestructura y operación de TI, desde supervisión, control de errores y la gestión de
SEGUNDO
BIMESTRE
cambios. Entre los ejemplos o casos que podemos encontrar en este tipo, se encuentran las
comunicaciones y la redes de datos, servidores y sus actividades de respaldo y recuperación,
elementos de integración de sistemas y de las bases de datos.
• Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a usuarios
SOLUCIONARIO
finales para resolver problemas, dudas, configuración de PC. Esto se puede realizar a través
de herramientas de conectividad remota que permitan brindar soluciones de manera más
ágil.
• Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de desarrollo o sobre

las actividades o funciones de TI se puede ofrecer como un proceso independiente. Se debe
considerar que el proveedor que ofrece servicios de aseguramiento de calidad sea diferente
al proveedor que ofrece el servicio que desea asegurar, para evitar conflictos de intereses.
• Gestión del centro de cómputo: muy frecuentemente usada donde ya existen estándares
para el manejo de los data centers y empresas muy especializadas para eso.
• Servicios de seguridad: que es la encargada de velar por toda la seguridad de la información

tanto para TI como para otras áreas de negocio.
• Investigación y desarrollo: es posible utilizar organizaciones externas con un alto

conocimiento en ciertas tecnologías o mercados a innovar.
4.1.3. Tipos de outsourcing
Existen diferentes tipos de outsourcing decritos en el texto base de esta guía, a continuación se resumen
para una mejor comprensión de los mismos:
• Outsourcing Informático tradicional: este es el soporte táctico que se presenta en la

organización, donde el proveedor asume parte de los activos físicos o personal. Son
actividades y activos gestionados por el proveedor. Ejemplos de ello son las gestiones de
redes, de aplicaciones o de seguridad.

• Outsourcing de Procesos de negocio: son los que pretende darle una transformación
a la organización en lo que se refiere a los procesos de negocio. Si por ejemplo se tiene
ÍNDICE
un sistema de nómina, se puede definir un contrato para que sea administrado en base a
ciertos parámetros y lineamientos.
• Proveedor Total o Parcial: el proveedor gestiona toda o una parte de los servicios
informáticos, dependiendo del riesgo que se maneje. Si es parcial, es posible encontrar en
PRELIMINARES
un servicio informático varios proveedores.
• Proveedor único: sólo un proveedor se encarga de un servicio informático exclusivo y se

contrata otro proveedor para los otros servicios en TI.
• Pseudo-outsourcing: es más una estrategia de grupos empresariales, donde estos crean

una empresa que se encargará de gestionar todos los procesos de todas las empresas del
BIMESTRE
PRIMER
grupo.
• Outsourcing de transición: los proveedores solucionan el problema o gestionan por un

tiempo de transición, como por ejemplo, cuando se requiere realizar un cambio de sistema
y se requiere personal ya sea para el sistema nuevo o el que va a salir.
SEGUNDO
BIMESTRE
• Outsourcing extraterritorial: estrategia que contrata a personal de otro país donde se
aprovecha la tecnología y las comunicaciones para poder disponer de centros de cómputo
en varios husos horarios. Se podría considerar un problema de este modelo, la diversidad de
culturas en términos de comunicación y coordinación.
SOLUCIONARIO
• Participación del capital: su uso es especial al momento de la creación de nuevas empresas
donde el proveedor podría ofrecer recursos humanos y conocimiento experto mientras el
cliente ofrece el músculo financiero para llevar a cabo sus proyectos.
• Multi aprovisionamiento: comprende la contratación de varios proveedores de servicio en

diferentes áreas para disponer un cierto grado de independencia del proveedor.
• Outsourcing estratégico: es también denominado Business Process Management y

pretende externalizar el proceso de negocio y todo lo que conlleva las estructuras de capital,
financiación y sobre todo el éxito o fracaso de la empresa.
Lectura recomendada
Revise todos los tipos de outsourcing expuestos en el texto básico “Auditoría de Tecnologías y
Sistemas de Información” – capítulo 9, aquí se expone detalladamente cada tipo de outsourcing.
4.1.4. Ciclo de vida del outsourcing
Piattini (2008) explica que se debe entender que el outsourcing es un proceso, y como tal tiene un final,
y que dependiendo de los resultados ese camino puede ser de ida y vuelta o sólo de ida. Se presenta el
modelo simplificado que se considera en todo proceso de outsourcing de TI:

Plan Gestión y Finalización y

Transición
ÍNDICE
estrategico Contratación Optimización renegociación
Figura 19: Ciclo de vida del Outsoursing.

Fuente: (Piattini et al., 2008)
PRELIMINARES
4.2. Auditoría del outsourcing de TI
Antes de iniciar una auditoría se debe conocer el entorno en el que se desarrolla el proceso y los posibles
agentes que participan en el mismo.
El outsourcing es un acuerdo entre partes por la prestación de un conjunto de servicios tecnológicos.
BIMESTRE
PRIMER
Aunque pueden existir diferentes tipos de acuerdos de outsourcing, podemos observar elementos
claves tales como: El contrato, SLAs, Participación activa de usuarios, Política Corporativa.
1. El contrato: acuerdo formal entre el proveedor del servicio y el cliente. Elemento de

referencia principal.
SEGUNDO
BIMESTRE
2. SLA: medida objetiva de calidad objetiva sobre el servicio acordado, fija los mínimos niveles
de calidad para cada uno de los servicios.
3. Participación activa de usuarios: el cliente dispone de canales para exigir y reclamar

mejoras del nivel de servicio cuando éste no se está cumpliendo.
SOLUCIONARIO
4. Política Corporativa: define responsabilidades frente al outsourcing tanto de los usuarios
como del personal propio de TI, desde la perspectiva de la supervisión y la comunicación.
4.2.1. El contrato del outsourcing
Piattini (2008) explica lo que es un contrato de outsourcing:
• No es más que un contrato profesional entre dos entidades donde cada cláusula es importante y
se debe de prestar mucha atención a cómo o por qué se han generado, en vista de que una falla
podría afectar la calidad de los servicios que se esperaban recibir.
• Desde la perspectiva del auditor se debe garantizar que se haya involucrado al equipo jurídico y
tener una participación activa y no actuar únicamente como elemento revisor.
• El contrato deberá recoger como mínimo los siguientes aspectos:
mm Responsabilidades y elementos de relación para gestionar el proceso.
mm Modelo de gestión que evite controversias y permita la revisión continua del contenido y
alcance, además de su adaptación a las circunstancias del momento de forma fácil.
mm Una descripción precisa de los productos que se esperan recibir y como se esperan recibir.
mm Vínculos para proveedor con objetivos concretos y establecer clausulas de penalización

para el supuesto de que no sean alcanzados.
mm Mecanismos necesarios para asegurar la continuidad del servicio en caso de rescisión.

• Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe “que se ha de
hacer” y se convierte en la herramienta fiable con la que cuenta una organización para recuperar
ÍNDICE
el control de sus sistemas de información bajo régimen de outsourcing.
• Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de Relación y los
Informes de Gestión.
PRELIMINARES
• El Modelo de Relación articula la capacidad de hacer evolucionar el contrato en el tiempo para
adaptarlo a las necesidades reales del negocio.
• El informe de Gestión es la herramienta básica para comunicar los resultados del servicio de
outsourcing.
4.2.2. El acuerdo de nivel de servicio ANS/SLA
BIMESTRE
PRIMER
Un ANS/SLA es el conjunto de medidas de rendimiento mínimo usadas para aceptar como válidos los
servicios prestados, tiene algunas características (Piattini, 2008):
• El SLA debe ser un documento vivo y puede ser revisado a petición de cualquiera de las partes,
adicionalmente se convierte en una herramienta con objetivos diferentes.
SEGUNDO
BIMESTRE
• Los SLAs se consideran un elemento complementario al contrato ya que el mismo regula el servicio
y en su contraparte el contrato regula todo el marco legal de la relación.
• En un SLA podemos identificar dos tipos de elementos:
SOLUCIONARIO
mm Los elementos del servicio: describen el contexto del servicio y los términos y condiciones
de la entrega del servicio.
mm Los elementos de gestión: describen los pasos a dar para asegurar la efectividad del servicio
y resolver cualquier problema que pudiera darse.
• La manera de asegurarse el cumplimiento de estos SLAs es a través del análisis de indicadores de

nivel de servicio.
4.2.3. El sistema de penalizaciones
El sistema de penalizaciones se articula para regular la falta de cumplimiento del SLA y los efectos
perjudiciales que el incumplimiento tiene para la empresa contratante.
Se debe verificar que por cada SLA existe un indicador de penalización y ante un incumplimiento de
servicio se recoge la penalización. Existe una menos-factura que reconoce el proveedor, y esta menos
–factura queda registrada en la contabilidad del cliente.
4.2.4. Los informes de gestión (IG)
Estos informes constituyen junto a los SLAs el núcleo de control efectivo sobre las actividades que
desarrollan los proveedores. Proporcionan información estructurada sobre los servicios contratados,
información que es valiosa para el seguimiento y funcionamiento no solo del servicio sino del negocio.

4.3. Acciones indispensables en la auditoría del outsourcing de TI
ÍNDICE
1. Identificar si existe una política para la definición de SLAs entre sus proveedores de servicios.
2. Identificar los contratos y SLAs y verificar la participación de los usuarios en la creación y

modificación de los mismos.
PRELIMINARES
3. Identificar claramente la relación entre el tercero y el cliente
4. Identificar las personas con roles y responsabilidades sobre la gestión de contratos y SLAs
5. Validar la existencia de claúsulas que permitan esta gestión alineado con la evolución del
negocio.
BIMESTRE
PRIMER
6. Identificar y validar el modelo de elaboración y aprobación de los SLAs y sus indicadores
7. Verificar si se llevan a cabo recalculos de los indicadores para su contraste con lo acordado
8. Identificar como se monitorean los SLAs y que reportes se generan para mostrar el
desempeño.
SEGUNDO
BIMESTRE
9. Identificar el proceso que considera las acciones a tomar en respuesta a un incumplimiento
de SLA.
10. Identificar como está articulada la obtención de la calidad percibida y las acciones que se
SOLUCIONARIO
toman tras su evaluación.
4.4. Outsourcing y marcos de referencia
Por la importancia que ha ganado el outsourcing de TI en los últimos tiempos se han creado modelos
de referencia para la gestión y gobierno de TI destinados a terceros, y adicionalmente se ha involucrado
ciertas regulaciones para el control de los procesos o funciones desarrolladas por los outsourcing.
Podemos destacar SOX (Ley Sarbanes-Oxley), Directiva europea de protección de datos personales,
HIPAA y GBLT (EEUU).
En la siguiente figura se mencionan los diferentes modelos de referencia y en cual enfoque está
representado:
Figura 20: Modelos de Referencia.

Fuente: (Piattini et al., 2008)

4.4.1. CMMI (Capability Maturity Model Integration)
Este modelo está basado en el concepto de madurez de un proceso que se concreta a través de varios
ÍNDICE
estados que CMMI define de forma acumulativa, o sea, que el nivel superior tiene características del nivel
inferior ampliando ciertos aspectos (Piattini , 2008). Los niveles son:
1. Inicial: en donde no se dispone de un ambiente estable para el desarrollo, más se confía en
PRELIMINARES
las habilidades del personal que en la seguridad de los procesos.
2. Gestionado (Repetible): el proceso es gestionado sin uniformidad donde dispone de

ciertas técnicas propias de gestión que son utilizadas discrecionalmente. La relación con los
subcontratistas y clientes es gestionada sistemáticamente.
3. Definido: la organización ha definido procesos formales para las diferentes actividades, que
BIMESTRE
PRIMER
son utilizadas concurrentemente.
4. Gestionado de forma cuantitativa: la organización ha establecido métricas para los

principales elementos que gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los procesos y se hacen revisiones a las
SEGUNDO
BIMESTRE
métricas.
CMMI se centra tanto en los procesos y las prácticas, políticas y procedimientos, donde en cada nivel de
madurez se observan diferentes elementos a gestionar para poder ser certificado.
SOLUCIONARIO
4.4.2. ISO 27001 / BS 7799
• Es el estándar de seguridad de la información, y está basado en la creación de sistemas de gestión

de la seguridad de la información similar a los estándares de calidad.
• La norma indica controles o grupos de controles codificados mediante un sistema numérico y

organizado por secciones. Cada sección resalta los factores que se deben tener en cuenta para
alcanzar un adecuado control, aunque no todos estos controles son obligatorios pero si son
necesarios para gestionar la seguridad de la información. La norma establece la necesidad de
evaluar los riesgos correspondientes cuando se utilicen servicios de outsourcing que puedan
impactar en la seguridad de la información (Piattini, 2008).
4.4.3. ITIL (IT infraestructura library)
El modelo de ITIL está basado en servicios y en la entrega de los mismos de manera efectiva, eficiente
y controlada pero no deja de lado la necesidad de creación de políticas, procedimientos o controles
directivos para la gestión de los servicios de TI (Piattini, 2008).
Su filosofía para el control del outsourcing puede resumirse en los siguientes principios:
a. Implantar una política que regule como adquirir servicios y selección de proveedores.
b. Estar alerta para mantener el know-how dentro de la empresa.
c. Documentar todas las actividades desarrolladas por outsourcing.
d. Establecer mecanismos de comunicación para la correcta comprensión del servicio prestado.
e. Mantener una relación estrecha y comunicación continua con el proveedor para verificar las
necesidades de servicio.
f. Mantenimiento y monitoreo de los contratos con los proveedores, con la finalidad de

identificar las posibles mejoras en todos los ámbitos.

Las principales herramientas de control que ITIL hace especial mención son los SLA (acuerdos de nivel de
ÍNDICE
servicio) y los OLA (acuerdos de nivel de operación), cada una descrita a continuación:
a. SLA: define la relación entre un proveedor de servicios y sus clientes. Este acuerdo describe
los productos, servicios o ambos, que se recibirán junto con las responsabilidades de cada
parte, las condiciones económicas, como será medido el servicio y el esquema de reporte.
PRELIMINARES
b. OLA: define las relaciones interdependientes de los grupos de soporte interno de TI que
trabajan para dar cobertura a los requerimientos de los SLA. Su objetivo es presentar la
gestión interna que desarrolla el proveedor para cumplir con lo indicado en el contrato SLA.
Este OLA tiende a ser más técnico que el SLA.
Lectura recomendada
BIMESTRE
PRIMER
Para reforzar más del tema sobre auditoría de outsourcing recomiendo acudir al texto básico
– Capítulo 9 y revisar el Programa de Auditoría al Outsourcing expuesto.
SEGUNDO
BIMESTRE
1. Tomando como base las actividades expuestas en la tabla 9.15 del texto básico Auditoría
de Tecnologías y Sistemas de Información – Cap 9. Una vez haya comprendido las
SOLUCIONARIO
actividades que se debe desarrollar para lograr cumplir los objetivos de un Programa de
Auditoría de Outsourcing, use esas tablas para identificar las actividades de una empresa
“X” (que usted escoja y que brinde servicio de Outsourcing a la empresa donde Usted
labora o a otra empresa que Usted tome como ejemplo).
Para medir sus conocimientos adquiridos le invito a desarrollar la siguiente autoevaluación.

Autoevaluación 4
ÍNDICE
Conteste correctamente las preguntas según sea el caso (V si es Verdadero o F si es falso):
PRELIMINARES
1. ( ) El outsourcing es una simple contratación de servicios que una empresa busca para
cubrir una necesidad.
2. ( ) La auditoría de outsorcing de TI se presenta como una herramienta de especial

utilidad para asegurar la discontinuidad del negocio.
3. ( ) El servicio de aseguramiento de la calidad que desee una empresa se lo puede tomar
BIMESTRE
PRIMER
como un proceso independiente. (outsourcing).
4. ( ) Para auditar el Outsourcing se debe conocer el entorno en que se desarrolla el proceso
y los agentes que participaron en ello.
5. ( ) Un elemento dentro del acuerdo de Outsourcing son los Acuerdos de nivel de servicio
SEGUNDO
BIMESTRE
SLA’s.
6. ( ) Contrato de Outsourcing es un contrato profesional, donde cada cláusula es

importante.
SOLUCIONARIO
7. ( ) La herramienta básica para comunicar los resultados del servicio en outsourcing es el
informe de gestión.
8. ( ) Los elementos de gestión en un SLA describen los pasos a dar para asegurar la
efectividad del servicio y resolver cualquier problema que pudiera darse.
9. ( ) Si no se cumple con el acuerdo de nivel de servicios no existen penalizaciones.
10. ( ) Una de las acciones indispensables en la Auditoría del Outsourcing de TI es identificar

claramente la relación entre el tercero, el cliente y los usuarios de la empresa.
11. ( ) Mantener una relación estrecha y de comunicación continua con el proveedor para
verificar las necesidades del servicio es una política, procedimiento o control del
modelo ITIL.
12. ( ) El modelo CMMI se centra sólo en las políticas, dejando de lado los procesos de los
diferentes elementos a gestionar para ser certificado.

¡Hemos terminado la cuarta unidad!

Felicitaciones

Ir a solucionario
UNIDAD 5. AUDITORÍA A LA SEGURIDAD FÍSICA
ÍNDICE
Estimado alumno, empezamos el quinto capítulo de la asignatura tomando temas fundamentales que
se requiere entender dentro de una auditoría de la Seguridad Física de una Organización.
PRELIMINARES
Para iniciar el estudio de este tema de seguridad, acuda al texto básico y realice una lectura
comprensiva del capítulo 10 del texto base titulado Auditoría de la Seguridad Física.
¿Qué opina de lo aprendido? ¿Tiene inquietudes o dudas? ¡A continuación las iremos resolviendo!
BIMESTRE
PRIMER
5.1. ¿Qué es seguridad física?
SEGUNDO
BIMESTRE
Por lo general, cuando se habla de seguridad informática siempre se piensa en errores de software, virus,
intrusos de red, etc. En definitiva, se piensa en software. La realidad es que la seguridad informática
también implica otro aspecto muy importante y que generalmente permanece desatendido, se trata de
la Seguridad Física de un sistema.
SOLUCIONARIO
¿De qué sirve que nadie pueda acceder de forma autorizada a los recursos lógicos del sistema, si cualquiera
puede entrar por la puerta y llevarse el equipo debajo del brazo?
Por lo tanto, se deben tomar medidas en lo que respecta a la seguridad física del sistema, y por supuesto,
cuando se definen dichas medidas hay que tener en cuenta a las personas que trabajan con los equipos
informáticos.
Una definición formal podría ser:
“… la seguridad física de los sistemas informáticos consiste en la aplicación de
barreras físicas y procedimientos de control como medidas de prevención y
contramedidas contra las amenazas a los recursos y la información confidencial”
(Sue Berg et al., 1988).
Por Seguridad Física se entiende todos aquellos mecanismos destinados a proteger físicamente cualquier
recurso del sistema. Estos recursos son desde un simple teclado hasta una cinta de backup con toda la
información de nuestra entidad, pasando por la propia CPU de la máquina, el cableado eléctrico o el
edificio al completo.

5.2. Objetivo de la seguridad física
ÍNDICE
Este tipo de seguridad está enfocado en cubrir las amenazas ocasionadas tanto por el hombre como por
la naturaleza del medio físico en que se encuentra ubicado el centro.
Los objetivos de la seguridad física se basan en prioridades con el siguiente orden:
PRELIMINARES
• Edificio
• Instalaciones
• Equipamiento y Telecomunicaciones
• Datos
BIMESTRE
PRIMER
• Personas
5.3. Auditoría de la seguridad física
SEGUNDO
BIMESTRE
Los sistemas informáticos existentes, manejados dentro de una empresa, surten efecto si se posee
instalaciones adecuadas acorde a la necesidad y capacidad de cada institución, por lo que requieren
cada cierto tiempo ser expuestas a análisis que reiteren su correcto funcionamiento; evitando así que los
equipos se encuentren en riesgo de deterioro o daños irremediables.
SOLUCIONARIO
Según Piattini (2008) la Auditoría Física es “Una auditoría parcial que garantiza la integridad de los activos
humanos lógicos y materiales, por lo que no difiere de la auditoría general más que en el alcance de la
misma.”
Para Matínez (2005) Auditoría Física es: “ La aplicación de barreras físicas y procedimientos de control,
como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”.
Se dice que una Auditoría a la Seguridad Física representa el análisis a las instalaciones con las que se
ha adecuado a un sistema informático, propias de un empresa; enmarcándose a todo lo tangible que
permita funcionar y evitar destrucciones a largo plazo de los equipos existentes.
5.3.1. Objetivos de la auditoría de la seguridad física
• Garantizar la integridad de los activos humanos, lógicos y material de un CPD (Centro de Proceso
de Datos).
• Cuando no están claros los límites, dominios y responsabilidades de los tres tipos de seguridad que
a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones.
• Tener medidas para atender los riesgos de fallos, local o general de la seguridad física de la
organización.
5.3.2. Medidas para atender los riesgos de fallos de la seguridad física
• Antes del desastre:
§§ El Objetivo es obtener y mantener un nivel adecuado de seguridad física sobre los activos.
El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones
utilizadas para evitar el fallo, o aminorar las consecuencias.

§§ Factores a tomar en cuenta para evitar los fallos:
–– Ubicación del edificio.
ÍNDICE
–– Ubicación del CPD.
–– Compartimentación.
–– Elementos de construcción.
PRELIMINARES
–– Potencia eléctrica.
–– Sistemas contra incendios.
–– Control de accesos.
–– Selección del personal.
–– Seguridad de los medios.
–– Medidas de protección.
BIMESTRE
PRIMER
–– Duplicación de los medios.
• Durante el desastre:
§§ El objetivo es tener y ejecutar un plan de contingencia adecuado. Recuerde que: Desastre:

es cualquier evento, que cuando ocurre, tiene la capacidad de interrumpir el proceso
SEGUNDO
BIMESTRE
normal de una empresa y se debe contar con los medios para afrontarlo cuando éste ocurra.
Los medios quedan definidos en el Plan de recuperación de desastres, junto con el centro
alternativo de proceso de datos, constituyen el Plan de Contingencia.
§§ El Plan de contingencia debe:
SOLUCIONARIO
–– Realizar un análisis de riesgos de sistemas críticos.
–– Establecer un período crítico de recuperación.
–– Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
–– Establecer prioridades de procesos por días del año de las aplicaciones y orden de los
procesos.
–– Establecer objetivos de recuperación que determinen el período de tiempo (horas, dias,
semanas) entre la declaración del desastre y el momento en que el centro alternativo
puede procesar las aplicaciones críticas.
–– Designar, entre los distintos tipos existentes, un centro alternativo de proceso de datos.
–– Asegurar la capacidad de las comunicaciones.
–– Asegurar la capacidad de los servicios de Back-up.
• Después del desastre:
§§ Un factor muy efectivo son los contratos de seguros, pueden compensar en mayor o menor
medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado
y corregido el fallo.
§§ Las empresas aseguradoras pueden compensar:
–– Centro de proceso y equipamiento.

–– Reconstrucción de medios de software.
–– Gastos extra (continuidad de las operaciones y permite compensar la ejecución del plan
de contingencia).

–– Interrupción del negocio (cubre pérdidas de beneficios netos causados por la caida de
sistemas).
ÍNDICE
–– Documentos y registros valiosos.
–– Errores y omisiones.
–– Cobertura de fidelidad.
–– Transporte de medios.
PRELIMINARES
–– Contratos con proveedores y de mantenimiento.
5.3.3. Áreas de seguridad física
Estas áreas son muy importantes a tomar en cuenta ya que el auditor las necesita para evaluar y dar su
opinión al respecto, nosotros debemos conocer cuáles son estas áreas en la organización (Piattini et al.,
2008).
BIMESTRE
PRIMER
5.3.3.1. Organigrama de la empresa
En este organigrama es donde se conocerán las dependencias orgánicas, funcionales y jerárquicas de

los departamentos y de los distintos cargos y empleos del personal, pudiendo analizar con ayuda de
SEGUNDO
documentación histórica, las deparación de funciones y rotación en el trabajo.
BIMESTRE
5.3.3.2. Auditoría interna
Se refiere al departamento independiente o subordinado al de auditoría financiera, si existe y es
SOLUCIONARIO
colaborador de éste en cualquier caso. Su función como departamento de auditoría interna es guardar
las auditorías pasadas – informes de: las normas, procedimientos y planes que sobre la seguridad física
y su auditoría se hayan realizado.
5.3.3.3. Administración de la seguridad
Para la administración de la seguridad se necesitan de varios recursos, a continuación se enlistan los más
importantes:
• Director o responsable de la seguridad integral.
• Responsable de la seguridad Informática.
• Administradores de Redes.
• Administradores de Base de Datos.
• Responsable de la seguridad activa y pasiva del entorno físico.
• Normas, procedimientos y planes que, desde su propia responsabilidad haya distribuido y

controlado el departamento.
5.3.3.4. Centro de proceso de datos (CPD) e instalaciones
Las instalaciones son elementos o accesorios que deben ayudar a la realización de la mencionada
función informática y a, la vez, proporcionar seguridad a las personas, al software y a los materiales,
seguidamente se enlista algunas de estas instalaciones tomadas en cuenta en una auditoría física:

• Sala de Host
• Sala de operaciones
ÍNDICE
• Sala de Impresoras
• Cámara Acorazada
PRELIMINARES
• Oficinas
• Almacenes
• Sala de a paramenta eléctrica
• Sala de aire acondicionado
BIMESTRE
PRIMER
• Área de descanso y servicios.
5.3.3.5. Equipos y comunicaciones
SEGUNDO
BIMESTRE
Son los elementos principales del CPD: Host, terminales, computadores personales, equipo de
almacenamiento masivo de datos, impresora, medios y sistemas de telecomunicaciones.
5.3.3.6. Computadores personales
SOLUCIONARIO
Son equipos necesarios para la conexión de los medios de comunicación.
5.3.3.7. Seguridad física del personal
Son los accesos y salidas seguras, así como medios y rutas de evacuación, extinción de incendios y
medios utilizados para ello (agua en lugares con conducciones y aparatos eléctricos, gases asfixiantes),
sistemas de bloqueo de puertas y ventanas, zonas de descanso y de servicio.
El Plan de contingencia inexcusablemente debe:
• Realizar un análisis de riesgos de sistemas críticos.
• Establecer un período crítico de recuperación.
• Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
• Establecer prioridades de procesos por días del año de las aplicaciones y orden de los
procesos.
5.3.4. Fuentes para la auditoría de la seguridad física
Las fuentes para la auditoría de la seguridad física, son los materiales que le permite extraer al auditor
información para validar su auditoría y realizar su informe final. A continuación se enlista algunas fuentes
que el auditor debe tomar en cuenta:
• Políticas, Normas y planes sobre seguridad.
• Auditorias anteriores generales y parciales referente a la seguridad física o cualquier otro

tipo de auditoría llevada a cabo en la organización.

• Contratos de seguros, de proveedores y de mantenimiento.
• Entrevistas con el personal de seguridad, personal informático y otros responsables.
ÍNDICE
• Actas e informes de técnicos y consultores.
• Plan de Contingencia y valoración de las pruebas.
PRELIMINARES
• Informes sobre accesos y visitas.
• Políticas de personal.
• Inventarios de Soporte (papel o magnético).
5.3.5. Técnicas y herramientas para la auditoría de la seguridad física
BIMESTRE
PRIMER
Las técnicas y las herramientas van a la par, es decir, un auditor puede aplicar una técnica con ayuda de
herramientas, pero no puede aplicar una herramienta sin utilizar una técnica. Para mejor comprensión
en auditoría las técnicas son los métodos o procedimientos que tiene como objetivo obtener resultados
verídicos de una auditoría realizada, los mismos tinen que estar expuestos en un informe final de
SEGUNDO
auditoría. Ejemplos de técnicas y herramientas más utilizadas en una auditoría:
BIMESTRE
mm Técnicas:
• Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos,

etc. ( tanto de espectador como actor).
SOLUCIONARIO
• Revisión analítica de:
§§ Documentación sobre construcción y preinstalaciones.
§§ Documentación sobre seguridad física.
§§ Políticas y normas de actividad de sala.
§§ Normas y procedimientos sobre seguridad física de los datos.
§§ Contratos de seguros y de mantenimiento.
• Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio).
• Consultas a técnicos y peritos que formen parte de la plantilla o independientes.
mm Herramientas:
• Cuaderno de campo/ grabadora de audio.
• Máquina fotográfica / cámara de video.
§§ Su uso debe ser discreto y con autorización.

5.4. Fases de la auditoría de la seguridad física
ÍNDICE
Considerando la metodología de ISACA (Informaction Systems Audit and Control Association), existen
10 fases en una auditoría de seguridad física, estas son:
Fase 1: Alcance de auditoría
PRELIMINARES
El alcance define con precisión el entorno y los límites en que va a desarrollarse la auditoría informática
y se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el informe final, de
modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales
materias fronterizas han sido omitidas.
Fase 2: Adquisición de información general
BIMESTRE
PRIMER
En esta fase se hace el estudio preliminar a la empresa y la determinación de la problemática de la
entidad. En esta fase se enmarca la acción de realizar una verificación de los procedimientos, políticas,
suministros, materiales y programas y otros requerimientos que son importantes para la auditoría.
Fase 3: Administración y planificación
SEGUNDO
BIMESTRE
Una planificación adecuada es el primer paso necesario para realizar auditorías Informáticas eficaces a la
seguridad. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar
la auditoría así como los riesgos del negocio y control asociado.
Fase 4: Plan de auditoría
SOLUCIONARIO
El plan de auditoría es la elaboración de una serie de pasos a seguir conforme a la necesidad del auditor,
requerimiento del examen y la distribución de actividades.
Fase 5: Resultado de las pruebas
Luego de la aplicación de los planes de auditoría se determinará el resultado de la aplicación de

métodos y técnicas que darán resultados posibilitando el análisis y la interpretación de la información.
Este resultado tendrá un sustento en los hallazgos obtenidos.
Fase 6: Conclusiones y comentarios
En base a los resultados obtenidos en la aplicación de Métodos de Investigación posibilitará en

determinar una conclusión coherente en base a los hallazgos y la verificación realizada.
Fase 7: Borrador del informe
Es el documento emitido por el auditor como resultado final de su examen, incluye información suficiente
sobre observaciones, conclusiones de hechos significativos, así como recomendaciones constructivas
para superar las debilidades en cuanto a políticas, procedimientos, cumplimiento de actividades y otras.
Fase 8: Discusión con los responsables del área
Con el personal responsable se determinará la ocurrencia del hecho que causa errores en el cumplimiento
de las actividades diarias. En esta fase se determina el cumplimiento de las funciones de cada funcionario,
además los avances que cada uno de ellos han tenido.

Fase 9: Informe final
Constituye la etapa final del proceso de auditoría, en el mismo se recogen todos los hallazgos detectados
ÍNDICE
para sustentar el dictamen emitido en un documento.
Fase 10: Seguimiento de las modificaciones acordadas
PRELIMINARES
Aquí se recogen todos los cambios que se deben realizar de acuerdo al informe final de auditoría que se
expuso al auditado.
Basado en el “Cuestionario de Seguridad Física” que puede encontrar en el texto básico

Auditoría de Tecnologías y sistemas de Información – Capítulo 10 , aplique este cuestionario
BIMESTRE
PRIMER
haciendo una Auditoría de la Seguridad Física en la empresa donde trabaja. Tomando en
cuenta:
a. ESTADO – Si existe o No el Control que le preguntan.
b. OBSERVACIÓN – Si existe, anote qué control es, y si No existe, debe dar una
recomendación.
SEGUNDO
BIMESTRE
Si no queda clara esta actividad no dude en comunicarse con el profesor mediante el EVA, en
horario de tutoría.
Antes de pasar al siguiente capítulo, pasemos a desarrollar la siguiente autoevaluación; para
SOLUCIONARIO
determinar el nivel de aprovechamiento del tema estudiado.

Autoevaluación 5
ÍNDICE
Conteste correctamente las preguntas según sea el caso (V si es verdadero o F si es falso):
PRELIMINARES
1. ( ) Seguridad física son todos los mecanismos destinados a proteger físicamente
cualquier recurso de un sistema.
2. ( ) Los recursos de un sistema pueden ser desde un simple mouse hasta un disco duro
con toda la información de la empresa.
3. ( ) La Seguridad Física está enfocada a cubrir solo amenazas ocasionadas por la naturaleza
BIMESTRE
PRIMER
del medio físico en que se encuentra la empresa.
4. ( ) No es necesario instalaciones adecuadas para que un sistema informático de cierta

empresa funcione correctamente.
5. ( ) Uno de los objetivos de la auditoría de la seguridad física es: tener medidas para
SEGUNDO
BIMESTRE
atender los riesgos de fallos, local o general de la seguridad física de la organización.
6. ( ) Una medida para atender riesgos de fallos de seguridad durante el desastre es
mantener un adecuado nivel de seguridad física sobre los activos, por ejemplo:
ubicación del edificio.
SOLUCIONARIO
7. ( ) Una medida para atender riesgos de fallos de seguridad después del desastre es hacer
efectivo el aseguramiento de la empresa.
8. ( ) Existen solamente 3 áreas de seguridad física que el auditor debe tomar en cuenta a
la hora de evaluar y dar su opinión.
9. ( ) La fase de la auditoría de la seguridad física donde se realiza una verificación de

los procedimientos, políticas, materiales y otros requerimientos es el alcance de la
auditoría.
10. ( ) La etapa final de la auditoría de la seguridad física es presentar el informe final donde
se recogen todos los hallazgos encontrados en la misma.

¡Hemos terminado la quinta unidad!
Felicitaciones
Ir a solucionario

UNIDAD 6. GESTIÓN DE RIESGOS Y AUDITORÍA BASADA EN RIESGOS - COBIT
ÍNDICE
Estimado estudiante, para desarrollar los contenidos de la presente unidad, es necesario leer y analizar
la siguiente bibliografía específica:
PRELIMINARES
Information System Audit & Control Association. (2005). COBIT 4.0 en español, Directrices
Gerenciales, Objetivos de Control, Niveles de Madurez. (3ra ed.). México DF. Estará subida en el
entorno virtual de aprendizaje EVA.
Posterior a su lectura vamos a enfatizar algunos puntos importantes para su aprendizaje.
BIMESTRE
PRIMER
Es importante conocer que la gestión de riesgos es una de las principales herramientas de los auditores
modernos ya que permite enfocarse en los puntos más críticos, es decir, los puntos de riesgo en un
SEGUNDO
BIMESTRE
negocio. De manera general, los puntos críticos de TI son aquellos que soportan a los procesos más
importantes de una empresa. Sin embargo, los activos de TI de este ámbito son demasiados y es necesario
priorizar sobre los que implican mayor nivel de exposición de riesgo.
Tal como se estudió en la unidad 2 de esta guía didáctica, en esta unidad se verá cómo evaluar un riesgo
SOLUCIONARIO
pero basada en marcos de referencia RISK IT – basado en COBIT – ISACA.
Para reforzar este capítulo es importante que recuerde lo que se estudio en la unidad 2 de esta
guía, para ello le invito a volver a revisar su contenido, así comprenderá mejor lo que se verá
en esta unidad.
6.1. ¿Cómo evaluar un riesgo tecnológico?
Ahora los invito a revisar y analizar las páginas 26 a 36 del documento “Marco de Riesgos” indicado en
la bibliografía de la unidad y que estará subido oportunamente en el entorno virtual de aprendizaje
EVA, ésta sección del documento nos permitirá entender de manera general, lo que es el riesgo y cómo
evaluarlo.
Es necesario entender que en el mundo de negocios actual la única manera de evitar que ocurran
eventos no deseados, o disminuir el impacto en caso de que éstos ocurran, es mantener un proceso
de gestión de riesgos que permitan alertar o implementar controles que disminuyan el peligro que
asecha a una empresa o entidad. En este sentido, al ser el ambiente tecnológico un puntal importante
para las empresas, es necesario que el ambiente tecnológico sea gestionado considerando los riesgos
relacionados.
Ahora analizaremos cómo podemos evaluar el riesgo tecnológico considerando la perspectiva de

auditoría: los riesgos requieren ser expresados en términos inequívocos, claros y relevantes para el
negocio. La gestión efectiva del riesgo requiere de la comprensión mutua entre TI y el negocio sobre
el que el riesgo debe ser gestionado y por qué. Todas las partes interesadas deben tener la capacidad
de comprender y expresar cómo los eventos adversos pueden afectar a los objetivos de negocio. Es
necesario tomar en cuenta que:

• Una persona de TI debe comprender cómo – los fallos relacionados o acontecimientos

relacionados con TI pueden afectar a los objetivos de la organización y causar pérdida
ÍNDICE
directa o indirecta a la organización.
• Una persona de negocios deben entender cómo – los fallos o eventos relacionados con TI
pueden afectar a los servicios y procesos clave.
PRELIMINARES
Para esto, es necesario identificar una vulnerabilidad y una amenaza que pueden generar que ocurra un
evento no deseado. Dicho evento debe tener asociado un impacto, es decir: qué puede ocurrir en caso
de que dicha amenaza se materialice? Este impacto debe estar definido en términos del negocio, por
ejemplo términos monetarios. Adicionalmente debemos asociar a cada riesgo la probabilidad de que
esto ocurra en las condiciones actuales.
A manera de ejemplo: Una amenaza de ataque informático puede materializarse en caso de que
BIMESTRE
PRIMER
tengamos una vulnerabilidad como falta de controles perimetrales sobre nuestra red informática. El
impacto que esto implica puede ser: caída de los sistemas y paralización de los procesos de negocio
hasta restablecer la infraestructura tecnológica. La probabilidad puede ser alta considerando que no
existen controles de seguridad o tomando en cuenta que incidentes como éste ya han ocurrido antes.
SEGUNDO
6.2. Procesos claves de riesgos en COBIT
BIMESTRE
Estimado estudiante, lo invito a revisar y analizar, las páginas 22 a 24 del documento “Cobit (1)” y las
páginas 64 a 67.del documento “COBIT 4.0” indicado en la bibliografía de la unidad y que estarán subidos
en el entorno virtual de aprendizaje EVA, esta sección del documento nos permitirá tener una visión de
SOLUCIONARIO
lo que dicta el marco de referencia COBIT sobre el riesgo tecnológico. Esto es muy útil porque nos indica
los controles que el auditor podría revisar para este ámbito.
Usted debe tener en cuenta para este estudio el objetivo del proceso de gestión de riesgos: La clave de
este proceso se centra en evaluar de forma recurrente la posibilidad e impacto de todos los riesgos
identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los
riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con base en el
portafolio de proyecto o funciones que pueda tener una empresa.
Debemos recordar que ISACA ha definido buenas prácticas que sirven a los gestores de riesgo a mejorar
sus procesos de riesgos. La consecuencia de una buena práctica de riesgos es que el auditor informático
podrá enfocar su trabajo de auditoría sobre los puntos más críticos del ambiente tecnológico, lo que
resulta en eficiencia del trabajo de auditoría.
RECOMENDACIÓN PARA REFORZAR EL CAPÍTULO
Para reforzar este capítulo:

1. Es importante que Usted ya esté familiarizado con COBIT.
2. En caso de no ser así, le invito a revisar el documento “Cobit (1)” subido en el entorno
virtual de aprendizaje EVA, revisar desde la página 9.
3. Si tiene alguna duda, puede comunicarse con su tutor mediante el EVA.
Le invito a desarrollar la siguiente autoevaluación; para determinar el nivel de

aprovechamiento del tema estudiado.

Autoevaluación 6
ÍNDICE
Conteste o seleccione la pregunta según sea el caso V o F:
PRELIMINARES
1. ( ) Un actor que genera una amenaza sólo pueden ser los humanos.
2. ( ) Un activo es cualquier objeto de valor de la organización que puede ser afectado por
un evento y crear un impacto en la organización.
3. ( ) Para identificar un riesgo primero debemos visualizar una vulnerabilidad o amenaza.
BIMESTRE
PRIMER
4. ( ) El impacto debe traducirse a términos del negocio.
5. ( ) Cada riesgo debe tener asociada una probabilidad de ocurrencia.
6. ( ) La magnitud del riesgo es igual a la probabilidad de ocurrencia únicamente.
SEGUNDO
BIMESTRE
7. ( ) El impacto es un indicador que compone el riesgo y que indica las consecuencias en
caso de que se materialice un riesgo.
8. ( ) La probabilidad e impacto son los 2 componentes que definen al riesgo.
SOLUCIONARIO
9. ( ) COBIT define los objetivos de control que componen el proceso de administración de
riesgos de TI.
10. ( ) El impacto puede definirse con métodos cuantitativos únicamente.

¡Hemos terminado la sexta unidad!
Ir a solucionario

Guía didáctica: Auditoría Informática SOLUCIONARIO
7. Solucionario
ÍNDICE
PRIMER BIMESTRE
PRELIMINARES
Autoevaluación 1
Pregunta Respuesta
1. F
2. F
BIMESTRE
PRIMER
3. V
4. F
5. Literal C
SEGUNDO
BIMESTRE
6. Literal B
7. F
SOLUCIONARIO
8. F
9. F
10. F
Ir a autoevaluación

Autoevaluación 2
ÍNDICE
Pregunta Respuesta
1. F
2. V
PRELIMINARES
3. Literal B
4. Liteeral C
5. F
BIMESTRE
PRIMER
6. V
7. F
8. F
SEGUNDO
BIMESTRE
9. V
10. V
11. V
SOLUCIONARIO
12. F
13. F
14. V
15. Literal D
16. F
17. Literal D
18. V

Autoevaluación 3
ÍNDICE
Pregunta Respuesta
1. V
2. V
PRELIMINARES
3. V
4. F
5. F
BIMESTRE
PRIMER
6. F
7. F
8. V
SEGUNDO
BIMESTRE
9. V
10. F
11. V
SOLUCIONARIO
12. F
13. F
14. V
15. F
16. V
17. V
18. V
19. F
20. F

FAutoevaluación 4
ÍNDICE
Pregunta Respuesta
1. F
2. F
PRELIMINARES
3. V
4. V
5. V
BIMESTRE
PRIMER
6. V
7. F
8. V
SEGUNDO
BIMESTRE
9. F
10. F
11. V
SOLUCIONARIO
12. F

Autoevaluación 5
ÍNDICE
Pregunta Respuesta
1. V
2. V
PRELIMINARES
3. F
4. F
5. V
BIMESTRE
PRIMER
6. F
7. V
8. F
SEGUNDO
BIMESTRE
9. F
10. V
SOLUCIONARIO

Autoevaluación 6
ÍNDICE
Pregunta Respuesta
1. F
2. V
PRELIMINARES
3. V
4. V
5. V
BIMESTRE
PRIMER
6. F
7. V
8. V
SEGUNDO
BIMESTRE
9. V
10. F
SOLUCIONARIO
KARG/yc/2014-03-01/79
rg/2018-01-10

ISBN: 978-9942-04-844-8

Guia Didactica

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Didactica

Cargado por

Copyright:

Formatos disponibles

ÍNDICE

La Universidad Católica de Loja

Facultad de Ingenieria y Arquitectura

La Universidad Católica de Loja

Karla Alexandra Romero González

UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

Diagramación y diseño digital:

UNIDAD 1. CONTROL INTENO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN.......................... 14

UNIDAD 2. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE

UNIDAD 3. EL DEPARTAMENTO DE AUDITORÍA DE LOS SI Y ÉTICA DEL AUDITOR DE LOS SI. 40

UNIDAD 4. AUDITORÍA DE OUTSOUCING DE TI................................................................................ 52

UNIDAD 6. GESTIÓN DE RIESGOS Y AUDITORÍA BASADA EN RIESGOS - COBIT......................... 70

Es un componente académico troncal de carrera de la titulación de INFORMÁTICA, del décimo ciclo,

La temática de este componente ha sido estructurada en 6 capítulos:

• En el primer bimestre estudiaremos: Control Interno y Auditoría de SI, Metodologías de

• En el segundo bimestre estudiaremos: Auditoría de Outsourcing de TI, Auditoría a la

6 MODALIDAD ABIERTA Y A DISTANCIA

• Erb, M. (2008a). Facilitando el acceso seguro de la información en las organizaciones sociales.

En este recurso un experto en Gestión de Riesgos explica detenidamente y de manera didáctica

• Erb, M. (2008b). Facilitando el acceso seguro de la información en las organizaciones sociales.

• Erb, M. (2008c). Facilitando el acceso seguro de la información en las organizaciones sociales.

7 MODALIDAD ABIERTA Y A DISTANCIA

• Observatorio Iberoamericano de Protección de Datos. (2013). PYMES y ley orgánica de protección

8 MODALIDAD ABIERTA Y A DISTANCIA

5. Orientaciones generales para el estudio

• Además, necesitará acudir a algunos recursos y técnicas de estudio como:

• Aplicar estrategias de aprendizaje como: elaborar resúmenes, esquemas, organizar formularios,

• Participar activamente en el Entorno Virtual de Aprendizaje (EVA), en donde podrá interactuar

Actividad o Lectura Recomendada

9 MODALIDAD ABIERTA Y A DISTANCIA

Apoyo tecnológico e Interactividad

Trabajo a distancia: 2 puntos

• Ensayo 1 punto, que ayudará a recuperar nota

Evaluación presencial 14 puntos

10 MODALIDAD ABIERTA Y A DISTANCIA

COMPETENCIAS GENÉRICAS DE LA UTPL

6.2. Planificación para el trabajo del alumno

UNIDAD1. Control Interno • Estudiar de la unidad 1 de la guía • Diferencia las funciones de

distancia del componte.

MODALIDAD ABIERTA Y A DISTANCIA

UNIDAD2. Metodologías • Estudio de la unidad 2 de la guía • Describe las diferentes

UNIDAD3. El • Lectura de la unidad 3 de la guía • Reconoce la importancia del

Unidades 1 a 3 • Revisión de contenidos como Semana 7 y 8

MODALIDAD ABIERTA Y A DISTANCIA

6.3. Sistema de evaluación (primero y segundo bimestre)

Investigación (cita fuentes de

PORCENTAJE 10% 20% 30% 70%

Tenga presente que la finalidad de la valoración cualitativa es

13 MODALIDAD ABIERTA Y A DISTANCIA

6.4. Orientaciones específicas para el aprendizaje por competencias

• ¿Qué es un control interno informático?

• ¿Qué tipos de controles internos hay?

• ¿Qué hace la auditoría de sistemas de información?

• ¿Principales diferencias entre control interno informático y auditoría informática?

1.1. Introducción al control interno y auditoría de sistemas de información

14 MODALIDAD ABIERTA Y A DISTANCIA

Lea el REA que lo encuentra en el siguiente enlace: http://www.auditoriapublica.com/

15 MODALIDAD ABIERTA Y A DISTANCIA

1.2. Funciones de control interno y auditoría informática

• Que la información sea válida y confiable.

• Que las actividades se desarrollan eficazmente.

• Que se cumplan las políticas y directrices marcadas por la dirección.

Objetivos del control interno informático: