Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRELIMINARES
BIMESTRE
PRIMER
Informática
SEGUNDO
BIMESTRE
SOLUCIONARIO
Modalidad Abierta y a Distancia
Auditoría Informática
Guía Didáctica
4 créditos
El contenido de esta obra aplica para las siguientes asignaturas:
Ciclo Titulaciones
¡ Contabilidad y Auditoría
10 ¡ Informática
PRELIMINARES
Facultad de Ingenierias y Arquitectura
Departamento de Ciencias de la Computación y Electrónica
BIMESTRE
PRIMER
Auditoría Informática
Guía didáctica
4 créditos
SEGUNDO
BIMESTRE
SOLUCIONARIO
El contenido de esta obra aplica para las siguientes asignaturas:
Titulaciones Ciclo
Contabilidad y Auditoría
Informática
Autora:
Ing. Karla Alexandra Romero González
CC Ecuador 3.0 By NC ND
Segunda edición
ISBN físico - 978-9942-08-585-6
ISBN digital - 978-9942-04-844-8
Esta versión digital ha sido acreditada bajo la licencia Creative Commons Ecuador 3.0 de reconocimiento -no comercial- sin obras
derivadas; la cual permite copiar, distribuir y comunicar públicamente la obra, mientras se reconozca la autoría original, no se utilice con fines
comerciales ni se realicen obras derivadas. http://www.creativecommons.org/licences/by-nc-nd/3.0/ec/
2 de octubre, 2015
2. Índice
ÍNDICE
PRELIMINARES
2. Índice............................................................................................................................................................. 4
3. Introducción............................................................................................................................................. 6
4. Bibliografía............................................................................................................................................... 7
4.1. Básica........................................................................................................................................... 7
BIMESTRE
PRIMER
4.2. Complementaria...................................................................................................................... 7
5. Orientaciones generales para el estudio.............................................................................. 9
6. Proceso de enseñanza-aprendizaje para el logro de competencias................. 11
SEGUNDO
BIMESTRE
PRIMER BIMESTRE
6.1. Competencias............................................................................................................................ 11
6.2. Planificación para el trabajo del alumno......................................................................... 11
6.3. Sistema de evaluación (primero y segundo bimestre)................................................ 13
SOLUCIONARIO
6.4. Orientaciones específicas para el aprendizaje por competencias............................ 14
ÍNDICE
6.5. Competencias............................................................................................................................ 50
6.6. Planificación para el trabajo del alumno......................................................................... 50
6.7. Orientaciones específicas para el aprendizaje por competencias............................ 52
PRELIMINARES
4.1. Conceptos relativos al outsourcing de TI.......................................................................... 52
4.2. Auditoría del outsourcing de TI........................................................................................... 55
4.3. Acciones indispensables en la auditoría del outsourcing de TI................................. 57
4.4. Outsourcing y marcos de referencia................................................................................... 57
Autoevaluación 4................................................................................................................................. 60
BIMESTRE
PRIMER
UNIDAD 5. AUDITORÍA A LA SEGURIDAD FÍSICA............................................................................. 61
5.1. ¿Qué es seguridad física?....................................................................................................... 61
5.2. Objetivo de la seguridad física............................................................................................. 62
5.3. Auditoría de la seguridad física........................................................................................... 62
SEGUNDO
BIMESTRE
5.4. Fases de la auditoría de la seguridad física..................................................................... 67
Autoevaluación 5................................................................................................................................. 69
SOLUCIONARIO
6.2. Procesos claves de riesgos en COBIT.................................................................................. 71
Autoevaluación 6................................................................................................................................. 72
7. Solucionario.............................................................................................................................................. 73
Guía didáctica: Auditoría Informática PRELIMINARES
3. Introducción
ÍNDICE
Aquellos que dicen que algo no puede hacerse, suelen ser
interrumpidos por otros que lo están haciendo. Joel A. Baker.
PRELIMINARES
Auditoría Informática pretende ayudar al profesional en formación a desarrollar habilidades y destrezas
intelectuales como creativas, necesarias para ejecutar procesos de revisión o supervisión de un Sistema
de Información en ambientes tecnológicos.
BIMESTRE
PRIMER
La importancia de este componente académico es que contribuirá en su desempeño como profesional,
en caso de que se especialice como Auditor Informático; puesto que adquirirá las bases necesarias de
conocimientos teóricos y prácticos, para que pueda realizar un examen con carácter objetivo, crítico,
sistemático y selectivo, evaluando la eficacia y eficiencia del uso adecuado de recursos informáticos y así
comprobar si las medidas evaluadas han brindado el soporte adecuado a los objetivos y metas de una
SEGUNDO
empresa.
BIMESTRE
El propósito principal es que Usted amplié su accionar, y se convierta en un auditor informático, dando
ideas para la correcta utilización de los amplios recursos que una organización pone en juego para
disponer de un eficiente y eficaz Sistema de Información y poner cumplir con los objetivos para la que
fue creada, incluso, puede actuar como consejero en la organización donde desempeña su labor.
SOLUCIONARIO
Lo animo estimado estudiante a desarrollar este campo casi nuevo de la informática y sobre todo a
analizar las posibilidades de innovación que existe en este ámbito.
La decisión que Usted ha tomado de capacitarse a través de la modalidad de estudios a distancia que
ofrece la UTPL, compromete nuestro esfuerzo conjunto para lograr el objetivo de preparar profesionales
competentes y competitivos.
4. Bibliografía
ÍNDICE
4.1. Básica
PRELIMINARES
• Piattini, M., Del Peso, E., & Del Peso, M. (2008). Auditoría de Tecnologías y Sistemas de Información.
México DF, México: RA-MA Editorial.
Este recurso presenta de forma clara y precisa los conceptos fundamentales sobre control interno
y auditoría de las tecnologías y sistemas de información, así como también da a conocer los
aspectos organizativos, jurídicos y deontológicos asociados a la auditoría, aportando con pautas
BIMESTRE
y experiencias.
PRIMER
• Romero, K. (2013). Guía Didáctica de Auditoría Informática. Loja, Ecuador: EdiLoja.
Esta guía pretende ser una herramienta de acompañamiento al estudiante durante todo el ciclo
de estudio. La misma contienen pautas de estudio para mejor comprensión de la materia.
SEGUNDO
BIMESTRE
4.2. Complementaria
• Carrió, G. (2011). Auditoría y Control Interno, Un Enfoque Actualizado. Recuperado de: http://
www.utu.edu.uy/Publicaciones/Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf
SOLUCIONARIO
Este trabajo investigativo pone a disposición una aproximación muy puntual al complejo tema de
auditoría y el control interno o de gestión.
En este recurso es un sitio web, donde puede encontrar un ejercicio sobre seguridad de la
información y protección de datos.
Este recurso es un sitio web, donde se explica el primer paso para la gestión de riesgos que es el
Análisis de Riesgos.
• Flores, C. (2009). ¡Pongámonos las Pilas! Reflexiones y acciones concretas para asegurar la
información en nuestras organizaciones sociales. Gestión de Riesgo en la Seguridad Informática.
Recuperado de: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.pdf
Este recurso, es un manual de instrucciones para usar herramientas informáticas específicas, que
disminuyen los riesgos y protegen la información.
ÍNDICE
• Information System Audit & Control Association. (2005). COBIT 4.0. EEUU.
Este marco de referencia internacional define los objetivos de control que permiten gobernar y
ejecutar operaciones controladas de tecnología de la información con el objetivo de alinearse al
PRELIMINARES
gobierno corporativo.
• Information System Audit & Control Association. (2009). Marco de Riesgos de TI. EEUU.
Este marco de referencia permite manejar indicadores de valor, costo y retorno de inversión para
una gestión más exacta y menos especulativa sobre los riesgos que pueden afectar a un ambiente
tecnológico. La mayoría de las empresas multinacionales tienen metodologías basadas en este
BIMESTRE
PRIMER
marco de referencia para el manejo de riesgos.
SEGUNDO
BIMESTRE
Este recurso, es un foro de encuentro , donde se comparte experiencias e ideas en el ámbito
jurídico y operacional de la privacidad y protección de datos.
• Pons, F. (2007, Abril). Auditoría Informática, Una aproximación a la mejora del Control Interno.
Auditoría Pública. Recuperado de: http://www.auditoriapublica.com/hemeroteca/200704_41_97.
SOLUCIONARIO
pdf
Este recurso, es una revista electrónica, en donde enmarca el papel de la auditoría informática
como una nueva herramienta para la mejora del control interno en las organizaciones.
• Stoner, J., Freeman, E., y Gilbert, D. (1996). Administración. México: Pretice Hall Hispanoamerica,
S.A.
En este libro encontrará conceptos básicos de administración, los mismos que son el punto de partida
para empezar un proceso de auditoría.
ÍNDICE
A continuación, estimado estudiante, se le ofrecen algunas estrategias para favorecer la comprensión
y contribuir a lograr un aprendizaje significativo de este componente académico. Usted dispone de un
PRELIMINARES
texto básico y una guía didáctica, materiales que ya se detalló en la bibliografía.
• Organizar el tiempo de manera que pueda avanzar secuencialmente en cada una de las unidades
y temas para no dejar acumular todo el contenido para el final del bimestre.
BIMESTRE
• Leer comprensivamente y de manera paralela la guía y el texto básico las veces que se requiera.
PRIMER
• Es muy importante resolver las actividades recomendadas en la guía didáctica y en el texto básico.
SEGUNDO
BIMESTRE
• Desarrollar las autoevaluaciones que se incluyen en la guía didáctica.
SOLUCIONARIO
• Utilizar los recursos web disponibles: videos, presentaciones, REAS, OCW, etc.
• Resolver las evaluaciones a distancia (una por cada bimestre) que sirven como estrategia de
aprendizaje y preparación para las evaluaciones presenciales.
• Si en el desarrollo de los contenidos surge alguna dificultad, usted puede comunicarse con
nosotros sus profesores – tutores, a través de los diferentes medios: telefónicamente de acuerdo
al horario establecido, el mismo que consta en la portada de las evaluaciones a distancia, y por el
correo electrónico o a través del EVA.
• Le recomiendo revisar la “Planificación para el trabajo del alumno”. Esta parte le permite obtener
una visión global del componente.
Se presentan los siguientes focalizadores en el desarrollo de toda la guía didáctica, con la finalidad de
que Usted identifique las acciones a realizar:
Texto Básico
El texto base está en ingles, pero lo puede encontrar en español en el enlace
mencionado en la bibliografía complementaria.
Inquietudes
Actividad en el EVA
ÍNDICE
Autoevaluación del capítulo
PRELIMINARES
Respuesta a la autoevaluación
BIMESTRE
Le recomiendo que de forma regular y constante, acceda al EVA (www.utpl.edu.ec) y consulte las
PRIMER
novedades que los profesores estaremos anunciando, semana a semana. Además, considere que las
actividades de interactividad están propuestas en las evaluaciones a distancia y tienen su respectiva
nota.
Estrategias de evaluación
SEGUNDO
BIMESTRE
El sistema de estudios de la Modalidad Abierta y a Distancia de la Universidad Técnica Particular de Loja
contempla los siguientes parámetros de evaluación:
La asignatura se encuentra dividida en dos bimestres, cada uno de los cuales se califica sobre 20 puntos,
en caso de que en algún estudiante no obtenga una nota mínima de 14 puntos, deberá presentarse a un
SOLUCIONARIO
examen supletorio calificado sobre 20 que reemplaza la nota bimestral correspondiente. Los estudiantes
aprueban cuando han logrado un mínimo de 28 puntos en total (sumando los dos bimestres).
En el presente cuadro constan los parámetros y puntajes que se tomarán en cuenta en el primer y
segundo bimestre.
Instrumento Puntaje
• Objetiva 4 puntos
TOTAL 20 PUNTOS
11
PRIMER BIMESTRE
6.1. Competencias
üü Comportamiento ético III: Inclinarse hacia el bien moral de uno mismo o de los demás (es decir, hacia todo lo que eso significa bien, vivencia
del sentido, realización de la persona, sentido de justicia) y perseverar en dicho bien moral.
COMPETENCIAS CONTENIDOS
COMPETENCIAS
ESPECÍFICAS DEL INDICADORES DE TIEMPO DE
ESPECÍFICAS DE ACTIVIDADES DE APRENDIZAJE
COMPONENTE APRENDIZAJE DEDICACIÓN
TITULACIÓN
EDUCATIVO UNIDADES
12
ESPECÍFICAS DE ACTIVIDADES DE APRENDIZAJE
COMPONENTE APRENDIZAJE DEDICACIÓN
TITULACIÓN
EDUCATIVO UNIDADES
2 de la guía.
aplique.
• Continuar con el desarrollo de la
evaluación a distancia del componte.
interacción
ÍNDICE
Formas de evaluación 2. Heteroevaluación
Evaluación a Evaluación
1. Autoevaluación *
distancia ** presencial
3. Coevaluación
Interacción en el EVA
PRELIMINARES
Parte de ensayo
Prueba objetiva
Parte objetiva
Competencia: criterio
Comportamiento ético x x x x x
BIMESTRE
PRIMER
Cumplimiento, puntualidad,
x x x x x x
Actitudes
responsabilidad
Esfuerzo e interés en los trabajos x x x x x x
Respeto a las personas y a las
x x
normas de comunicación
SEGUNDO
x x x x x
BIMESTRE
Creatividad e iniciativa
Habilidades
Contribución en el trabajo
x x
colaborativo y de equipo
Presentación, orden y ortografía x x x x
SOLUCIONARIO
Emite juicios de valor
x
argumentadamente
Dominio del contenido x x x x x x
Conocimientos
presenciales y en el
evaluación a
(completa la
distancia)
Puntaje 2 4 6 14
Actividades
EVA
TOTAL 20 puntos
Para aprobar la asignatura se requiere obtener un puntaje mínimo de 28/40 puntos, que equivale al 70%.
* Son estrategias de aprendizaje, no tienen calificación; pero debe responderlas con el fin de autocomprobar su
proceso de aprendizaje.
** Recuerde que la evaluación a distancia consta de dos partes: una objetiva y otra de ensayo, debe desarrollarla
y enviarla a través del EVA según las fechas establecidas.
Señor estudiante:
ÍNDICE
UNIDAD 1. CONTROL INTENO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PRELIMINARES
Estimado estudiante, iniciamos el estudio del componente educativo mencionando temas fundamentales
que se requiere conocer dentro de Auditoría Informática, definiciones de Tecnología de Información,
Auditoría de Sistemas de Información, funciones de la Auditoría Informática y funciones de Control
Interno Informático; comenzamos revisando algunos conceptos básicos de Auditoría Informática; esto
le ayudará a comprender el objeto de estudio de la misma.
BIMESTRE
PRIMER
Para iniciar el estudio de este tema le recomiendo acudir al texto básico y revisar el capítulo primero
titulado Control Interno y Auditoría de Sistemas de Información, y el Video “Auditoría de un Sistema
de Información” , el cual lo puede encontrar en el siguiente enlace: http://www.youtube.com/
watch?v=IgN3hrS5rJ4
SEGUNDO
BIMESTRE
¿Cómo le fue con la lectura?. Si no comprendió algo. ¡Lea nuevamente puesto que el tema es clave para
SOLUCIONARIO
diferenciar entre Control Interno y Auditoría de sistemas de Información.
Si a su criterio está comprendido el tema planteado, ahora puede emitir sus ideas personales con
respecto a la lectura, acuda a su libro de trabajo y conteste las siguientes preguntas:
Una vez que ha respondido las interrogantes planteadas, avancemos con el estudio de esta unidad.
Definamos la información dentro de una organización moderna como los datos que han sido recogidos,
procesados, almacenados y recuperados con el propósito de la toma de decisiones en las diferentes
áreas que conforman una organización (económica, financiera, informática. de producción, etc ). Es por
esto que hoy en día la información es un recurso básico en una organización al igual que lo son las
personas, las materias primas y los equipos.
Una de las tareas principales de los directivos de una organización es la toma de decisiones. Y esta
depende directamente de la calidad de información de quien las soporta. Para ello es importante
tomar en cuenta estos requerimientos: Un profundo conocimiento de las circunstancias que rodean un
problema, conocimiento de soluciones disponibles y de estrategias.
Con todo esto entendemos que la información es un recurso crítico, que debe ser exacto y completo, debe
estar 100% disponible y su principal característica ser confidencial. Para lograr que la información tenga
ÍNDICE
cada uno de los atributos mencionados las organizaciones se vieron obligadas a implantar normativas o
estrategias que les ayude a la regulación o búsqueda de la eficiencia en los procesos internos.
En el capítulo 1 del libro básico, nos dan algunas razones de porqué la necesidad de implementar
controles en las diferentes actividades de la organización.
PRELIMINARES
Una de las principales razones nos habla de la creciente dependencia de las organizaciones, puesto
que hoy en día, todas estas constan con una estructura basada en un Sistema de Información cuyos
elementos se muestran en la siguiente figura
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO
.
Figura1: Elementos de un Sistema de información.
Fuente: Jesuja. (2008)
El control sobre un sistema de información complejo debe ser más riguroso, por lo que algunas
organizaciones optan por la aplicación de la “Auditoría Informática”.
Es primordial que se diferencie muy bien el control interno de los procesos de una organización y la
auditoría informática de la misma.
Lectura Recomendada:
Con la finalidad que comprenda cada tema relacionado con la materia, usaremos las cuestiones
de repaso que se encuentran al final de cada capítulo del texto básico del componente
académico. No olvide que se usarán muchos recursos colgados en el internet, los cuales serán
herramientas básicas para mejorar la comprensión de cada tema.
ÍNDICE
1.2.1. Control interno informático
El C.I. (Control Interno) controla la estructura, las políticas, el plan de la organización, el conjunto de
métodos y procedimientos y las cualidades del personal de la empresa que aseguren:
PRELIMINARES
• Que los activos estén protegidos.
BIMESTRE
PRIMER
Se debe tener claro que una organización no puede solamente tener C.I. en departamentos contables y
financieros, sino que abarca otros tipos de control, como los de gestión y eficiencia operativa, controles
informáticos, etc. Los controles aplicados son diferentes pero el fin es el mismo.
Seguidamente enlistamos los objetivos que se debe lograr al aplicar un control interno informático en
SEGUNDO
BIMESTRE
una organización:
SOLUCIONARIO
los recursos informáticos de la empresa.
Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo
de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos
de sistemas en la empresa.
Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de
sistematización de la empresa.
Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas computarizados,
a fin de que permitan proporcionar eficientemente los servicios de procesamiento de información en la
empresa.
Piattini (2008), nos dice que la “Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos,
lleva a cabo eficazmente las actividades de la organización y utiliza eficientemente los recursos” (p.7).
En base a las definiciones anteriores podemos denominar a la Auditoría Informática, como un conjunto
de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar asuntos
ÍNDICE
en: Rentabilidad, Seguridad y Eficacia.
Lectura Recomendada:
Para que usted comprenda de mejor manera la diferencia entre control interno y auditoría
PRELIMINARES
informática debe revisar la figura 1.1 encontrada en el capítulo 1 del texto básico llamada
“Similitudes y diferencias entre control interno y auditoría informáticos”.
Las diferencias y similitudes del control interno y auditoría informática, nos ayudan a comprender de
mejor manera lo que es un sistema de control interno.
BIMESTRE
PRIMER
1.2.3. Sistema de control interno
SEGUNDO
BIMESTRE
Para asegurar la integridad, disponibilidad y eficacia de los sistemas se necesitan complejos mecanismos
de controles automáticos o manuales.
SOLUCIONARIO
• Controles preventivos: Evita que suceda una circunstancia o hecho.
• Controles correctivos: Funcionamiento con normalidad del sistema una vez que se
produjeron incidencias.
Los controles internos informáticos se pueden implantar en varios niveles del sistema, teniendo como
primer objetivo y el más importante, conocer la configuración del sistema, para identificar elementos,
productos y herramientas, con el fin de saber específicamente en dónde es necesario la implantación de
estos controles para evitar posibles riesgos.
Los niveles de control a tomar en cuenta para conocer la configuración del sistema de controles internos
informáticos, son:
• Entorno de red.
• Entorno de aplicaciones.
• Productos y herramientas.
• Administración de sistemas.
• Seguridad.
ÍNDICE
• Gestión de cambio.
PRELIMINARES
• Dirección de informática.
Existen algunos controles internos para sistemas de información que el equipo de Control Interno
BIMESTRE
PRIMER
Informático y Auditoría Informática deberían verificar para determinar su cumplimiento y validez en
la organización (Piattini, 2008). Estos controles internos se agrupan en 6 grandes grupos, enlistados a
continuación:
SEGUNDO
BIMESTRE
• Controles de desarrollo, adquisición y mantenimiento de sistemas de información.
• Controles de Aplicaciones
SOLUCIONARIO
• Controles específicos de ciertas tecnologías
• Controles de Calidad
Lectura Recomendada:
Lea detenidamente los “Controles Generales Organizativos ” del capítulo 1 del texto básico.
Debe ingresar al EVA y contestar el cuestionario propuesto para esta temática con el fin de
ayudarle a diferenciar cada uno de estos controles.
Toda empresa, pública o privada, que posea Sistemas de Información medianamente complejos, debe
de someterse a un control estricto de evaluación de eficacia y eficiencia de este sistema. El éxito de
una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con
personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e
inestable; nunca alcanzará los objetivos para los que fue creada.
El control interno comprende el plan de organización, los métodos y procedimientos que tiene
establecidos una empresa o negocio, constituidos en un todo para la obtención de tres objetivos
principales: a) la obtención de información financiera correcta y segura, b) la salvaguarda de los activos
y c) la eficacia de las operaciones. Es importante que estos tres objetivos funcionen adecuadamente en
las empresas puesto que permite el manejo adecuado de los bienes, funciones e información de una
empresa determinada, con el fin de generar una indicación confiable de su situación y sus operaciones
en el mercado.
Las auditorías informáticas se conforman obteniendo información y documentación de todo tipo. Los
informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad
o fortaleza de los diferentes medios. El trabajo del auditor consiste en obtener toda la información
necesaria para emitir un juicio global objetivo, siempre amparado con las evidencias comprobatorias o
ÍNDICE
pruebas necesarias que respalden su juicio.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un
procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en
los cuales se encuentra la información necesaria para auditar.
PRELIMINARES
La auditoría debe ampliar su enfoque no solo a la evaluación de controles sino también a la evaluación
de riesgos y de esta manera avanzar hacia una auditoría preventiva.
Para contribuir en la prevención de riesgos, es recomendable que las políticas en materia de administración
de reservas sean conocidas en forma oportuna por la auditoría interna y que segaranticen los mecanismos
institucionales necesarios para que ello ocurra, como podría ser el comité de inversiones.
BIMESTRE
PRIMER
ACTIVIDADES RECOMENDADAS
Para conocer mas las diferencias entre Auditoría y Control interno le recomiendo leer el
artículo que lo encontrará en el siguiente enlace: http://www.utu.edu.uy/Publicaciones/
SEGUNDO
Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf
BIMESTRE
Posteriormente ingrese al EVA para participar en el foro creado para esta temática.
SOLUCIONARIO
Autoevaluación 1
ÍNDICE
Conteste correctamente la siguiente autoevaluación (seleccione una respuesta correcta en cada
pregunta de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso):
PRELIMINARES
1. ( ) El Control Interno Informático asegura que las medidas de los mecanismos
implantados sean solamente correctas.
BIMESTRE
PRIMER
3. ( ) Los informes del Control Interno Informáticos son enviados a la Dirección de
Departamento de Informática.
4. ( ) Los Controles Detectivos son usados para conocer donde está la falla porque el
control preventivo no funcionó.
SEGUNDO
BIMESTRE
5. ( ) Los Controles Correctivos son usados para evitar que ciertos riesgos del sistema de
información se ejecuten.
SOLUCIONARIO
a. Estándares
b. Políticas
c. Metodología del Ciclo de Vida
d. Políticas del Personal
7. Dentro de los controles generales organizativos – planificación, a que planes se debe efectuar el
control:
9. ( ) La Dirección de Informática, define las directrices para los sistemas de información en
base a la exigencia del negocio, que podrán ser internas o externas.
ÍNDICE
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica,
compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le
recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún
tiene inquietudes no dude en preguntar al profesor.
PRELIMINARES
¡Hemos terminado la primera unidad!
Felicitaciones
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
Ir a solucionario
SOLUCIONARIO
ÍNDICE
Estimado alumno, empezamos el segundo capítulo de la asignatura, aquí estudiaremos que es una
metodología y las diferentes metodologías de control interno, así como, la seguridad de los sistemas de
información.
PRELIMINARES
Para iniciar el estudio de esta nueva unidad le recomendamos acudir al capítulo 2 del texto
básico “Auditoría de Tecnologías y sistemas de Información”.
BIMESTRE
PRIMER
¿Qué opina de la lectura? ¿Tienen dudas o inquietudes? ¡A continuación las iremos resolviendo!
SEGUNDO
BIMESTRE
Antes de ampliar este tema, debemos saber la definición de METODOLOGÍA: ciencia del método; MÉTODO:
modo de hacer con orden una cosa (Real Academia Española).
SOLUCIONARIO
Sabemos que la informática es una materia compleja y que se han desarrollado metodologías para
entender ciertos ámbitos de la misma, y uno de estos ámbitos es la auditoría de sistemas de información
y la seguridad de sistemas de información.
El uso de una metodología en auditoría nos ayuda a obtener resultados homogéneos en grupos de
trabajo heterogéneos.
Ahora bien, la Seguridad de los Sistemas de Información es la doctrina que trata de los riesgos informáticos
y creados por la informática, por lo tanto, el nivel de seguridad informática es un gran objetivo a evaluar,
estando directamente relacionado con la calidad y eficiencia de un conjunto de acciones y medidas
destinadas a proteger y preservar la información de la organización. Para ello tenemos un soporte de
contramedidas para identificar los puntos débiles y poder mejorarlos, esta es la función del auditor
informático.
Según la Real Academia Española una contramedida es: una medida tomada para paliar (atenuar,
disminuir, suavizar, debilitar o aliviar) o anular otra medida. Está formada por varios factores, decritos en
la siguiente figura:
ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 2: Factores de una contramedida.
Fuente: Piattini, M., Del Peso, E., y Del Peso, M. (2008).
1. La Normativa: debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto
SEGUNDO
BIMESTRE
desde el punto de vista conceptual, como práctico, desde lo general a lo particular. Debe inspirarse
en estándares, políticas, marco jurídico, políticas y normas de empresa, experiencia y práctica
profesional. Desarrollando la normativa, debe alcanzarse el resto del “gráfico valor” mostrado en la
Figura 3. Se puede dar el caso en que una normativa y su carácter disciplinado sea el único control
de un riesgo ( aunque esto no sea frecuente).
SOLUCIONARIO
2. La Organización: la integran personas con funciones específicas y con actuaciones concretas,
procedimientos definidos metodológicamente y aprobados por la dirección de la empresa. Éste
es el aspecto más importante, dado que sin él, nada es posible. Se pueden establecer controles
sin alguno de los demás aspectos, pero nunca sin personas, ya que son éstas las que realizarán
los procedimientos y desarrollan los diversos planes (Plan de Seguridad, Plan de Contingencias,
Auditorías, etc).
3. Las Metodologías: son necesarias para desarrollar cualquier proyecto que nos propongamos de
manera ordenada y eficaz.
4. Los Objetivos de Control: son los objetivos a cumplir en el control de procesos. Este concepto es
el más importante después de “la organización”, y solamente de un planteamiento correcto de los
mismos, saldrán unos procedimientos eficaces y realistas.
5. Los Procedimientos de Control: son los procedimientos operativos de las distintas áreas de
la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios
objetivos de control y, por lo tanto, deben estar documentados y aprobados por la Dirección. La
tendencia habitual de los informáticos es la de dar más peso a la herramienta que al propio control
o contramedida, pero no se debe olvidar que una herramienta nunca es solución sino una ayuda
para conseguir un control mejor. Sin la existencia de estos procedimientos, las herramientas de
control son solamente una ‘anécdota’.
6. La Tecnología de Seguridad: dentro de este nivel, están todos los elementos (hardware y
software) que ayudan a controlar un riesgo informático. En este concepto están los cifradores,
autentificadores, equipos denominados ‘tolerantes al fallo’, las herramientas de control, etc.
7. Las Herramientas de Control: son elementos del software que permiten definir uno o varios
procedimientos de control para cumplir una normativa y un objetivo de control.
ÍNDICE
Todos estos factores están relacionados entre sí, así como la calidad de cada uno con la de los demás
(Piattini, 2008). Cuando se evalúa el nivel de Seguridad de Sistemas en una institución, se están evaluando
todos estos factores (mencionados antes), y se plantea un Plan de Seguridad nuevo que mejore factores,
aunque conforme vayamos realizando los distintos proyectos del plan, no irán mejorando todos por
PRELIMINARES
igual. Al finalizar el plan se habrá conseguido una situación nueva en la que el nivel de control sea
superior al anterior.
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 3: Definición de Seguridad.
Fuente: Erb, M. (2008)
Entonces llamaremos Plan de Seguridad a una estrategia planificada de acciones y proyectos que lleven
a un sistema de información y sus centros de proceso de una situación inicial determinada (y a mejorar)
a una situación mejorada. En la siguiente figura puede visualizar la organización interna de la seguridad
informática en una organización o empresa:
La organización interna de la seguridad informática estará formada por una parte por un comité que
estaría formado por el director de la estrategia y de las políticas; y por otra parte, el control interno
ÍNDICE
y la auditoría informática. La función del control interno se ve involucrada en la realización de los
procedimientos de control, y es una labor del día a día.
La función de la auditoría informática está centrada en la evaluación de los distintos aspectos que
designe su Plan Auditor, con unas características de trabajo que son las visitas concretas al centro, con
PRELIMINARES
objetivos concretos y, tras terminar su trabajo, la presentación del informe de resultados.
BIMESTRE
• AMENAZA: es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede
PRIMER
producir un daño (material o inmaterial) sobre los elementos de un sistema de información.
Debido a que la seguridad informática tiene como propósito garantizar la confidencialidad,
integridad, disponibilidad y autenticidad de los datos e informaciones, en caso de que no se
controlen las amenazas, estás podrían afectar directamente a este propósito, afectando muchas
veces de manera irreparable a la organización o empresa. La siguiente figura presenta ejemplos
SEGUNDO
BIMESTRE
de amenazas:
SOLUCIONARIO
Figura 5: Definición de Amenazas.
Fuente: Erb, M. (2008)
Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe
una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede
ocasionar un daño. La figura siguiente enlista algunos ejemplos de vulnerabilidades:
ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 6: Tipos de Vulnerabilidades.
Fuente: Erb, M. (2008)
SEGUNDO
BIMESTRE
• RIESGO: es la incertidumbre que ocurra un evento que podría tener un impacto en el logro
de los objetivos de la organización. Los riesgos cuando se materializan, se denominan errores,
irregularidades u omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la
organización o incumplimiento de normativa externa.
SOLUCIONARIO
• EXPOSICIÓN O IMPACTO: es la evaluación del efecto del riesgo. Se puede evaluar cuantitativamente
con la fórmula Riesgo = Impacto * Probabilidad. En donde, Impacto: es el efecto o consecuencia
cuando el riesgo se materializa y Probabilidad: representa la posibilidad que un evento dado
ocurra. En la figura visualizamos ejemplos de la medición de riesgos lógicos:
ÍNDICE
• Transferirlos (Ejemplo: uso de un centro de cálculo contratado).
PRELIMINARES
• Asumirlos, que es lo que se hace si no se controla el riesgo en absoluto.
Para evitar, transferir y reducir riesgos, se actúa si se establecen controles o contramedidas. Todas las
metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un conjunto
de contramedidas que garantizan que la probabilidad de que las amenazas se materialicen en hechos
(por falta de control) sea lo más baja posible.
BIMESTRE
PRIMER
Existen dos tipos de metodologías desarrolladas y utilizadas en la auditoría y control informático para la
identificación de riesgos: Cuantitativas y Cualitativas.
SEGUNDO
• Basada en un modelo matemático numérico que ayuda a la realización del trabajo.
BIMESTRE
• Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con
facilidad por tener asignados unos valores numéricos.
• Debilidad de los datos de la probabilidad de ocurrencia por los pocos registros y poca
SOLUCIONARIO
significación de los mismos.
Una vez conocidas las diferencias, debe conocer que las metodologías más comunes que podemos
encontrar de evaluación de sistemas son de ANÁLISIS DE RIESGOS o de DIAGNÓSTICOS DE SEGURIDAD.
ÍNDICE
de contramedidas.
Lectura Recomendada:
PRELIMINARES
Diríjase al capítulo 3 del texto básico, lea y comprenda los pro y contras de la metodologías
cuantitativas y cualitativas, colocados en la figura 3.3 llamada “Tipos de metodologías para el
análisis de riesgos”.
BIMESTRE
PRIMER
La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo o reducirlo, como lo indica la
siguiente figura:
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 8: Etapas de Gestión de Riesgo.
Fuente: Erb, M. (2008)
• Clasificación: se determina si los riesgos encontrados y los riesgos restantes son aceptables.
Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales, que
forman el marco operativo del proceso, con el propósito de:
ÍNDICE
• Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las
amenazas con el resultado de reducir el riesgo.
PRELIMINARES
• Garantizar comportamiento homogéneo.
BIMESTRE
2.2.4.2. Seguridad de la información y protección de datos
PRIMER
En la seguridad informática se debe distinguir dos propósitos de protección, la seguridad de la
información y la protección de datos.
SEGUNDO
BIMESTRE
reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
SOLUCIONARIO
encontrarse en diferentes medios o formas, y no sólo en medios informáticos.
Lectura Recomendada:
Para reforzar más la diferencia entre Seguridad de la Información y Protección de datos puede
leer el siguiente ejercicio, que lo encontrará en el siguiente enlace: http://protejete.wordpress.
com/gdr_principal/seguridad_informacion_proteccion/ejercicio/
En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su
pérdida y modificación no autorizada. La protección debe garantizar en primer lugar la confidencialidad,
integridad y disponibilidad de los datos, sin embargo existen más requisitos como por ejemplo la
autenticidad entre otros (Erb, 2008).
El motivo para implementar medidas de protección en los datos, debe ser del propio interés de la
organización o persona que maneja los datos o puede ser una obligación jurídica, tomando en cuenta
que la pérdida o modificación de los mismos, puede causar daños permanentes.
En el caso de la protección de datos su objetivo no son los datos en sí mismo, sino el contenido de la
información que manejan las personas, para evitar el abuso de ésta.
En algunos países existen normas jurídicas que regulan el tratamiento de los datos personales, como
por ejemplo en España, donde existe la “Ley Orgánica de Protección de Datos de Carácter Personal” que
tiene por objetivo garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor,
ÍNDICE
intimidad y privacidad personal y familiar.
Lectura Recomendada:
PRELIMINARES
com/2013/04/04/pequena-y-mediana-empresa-y-ley-organica-de-proteccion-de-datos/.
Encontrará una lectura que le dará una mejor comprensión de la relación entre la ley orgánica
de protección de datos y una empresa.
Existen algunos motivos por los que la Seguridad de la Información no se puede dar adecuadamente.
Podemos observarlos en la siguiente figura:
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 9: Restos de la Seguridad de la Información.
Fuente: Erb, M. (2008)
La Gestión de riesgo nos ayuda a implementar medidas de protección, evitando o reduciendo los daños
a un nivel aceptable, es decir a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daños
de la mejor manera posible.
Pero una buena Gestión de riesgos es un proceso dinámico y permanente que tiene que estar integrado
en los procesos (cotidianos) de la estructura institucional, que debe incluir a todas y todos los funcionarios
y que requiere el reconocimiento y apoyo de las directiva (Erb, 2008).
Es el primer paso del proceso de Gestión de Riesgos, tiene como propósito determinar los componentes
de un sistema que requieren protección, las vulnerabilidades que los debilitan y las amenazas que lo
ponen en peligro, con el fin de valorar su grado de riesgo.
Para ello se debe conocer el concepto más básico en todo este proceso que es la INFORMACIÓN y sus
elementos (base clave de toda organización). En la siguiente figura se presenta en forma resumida:
ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 10: Elementos de Información.
Fuente: Erb, M. (2008)
A estos elementos de información hay que clasificarlos y averiguar su flujo de información interna o
externa y así saber quién tiene acceso a esa información. Un resumen se presenta en la siguiente figura:
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 11: Clasificación y Flujo de Elementos de Información.
Fuente: Erb, M. (2008)
Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque
ambos influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de
protección. Sólo si se sabe quiénes tienen acceso a qué datos y su respectiva clasificación, se puede
determinar el riesgo de los datos al sufrir un daño causado por un acceso no autorizado.
Con esta clasificación procedemos al ya CUANTITATIVO – ANÁLISIS DE RIESGO, con su fórmula, mostrada
en la siguiente figura:
ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 12: Análisis de Riesgo - Fórmula.
Fuente: Erb, M. (2008)
Existen varios métodos de como valorar un riesgo y al final, todos tienen los mismos resultados y
conclusiones.
SEGUNDO
BIMESTRE
Erb, M. (2008), fundamenta que para poder analizar un riesgo es importante reconocer que cada riesgo
tiene sus características, estas pueden ser:
SOLUCIONARIO
• Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad).
• No siempre es percibido de igual manera entre los miembros de una institución por tanto es
importante que participen las personas especialistas de los diferentes elementos del sistema
(Coordinación, Administración financiera, Técnicos, Conserje, Soporte técnico externo, etc.)
Si una amenaza se convirtió en realidad se denomina Ataque, es decir cuando un evento se realizó. Pero
el ataque no especifica si los datos e informaciones fueron perjudicados respecto a su confidencialidad,
integridad, disponibilidad y autenticidad. Entonces, debemos saber cómo valorar la probabilidad de
amenaza, un ejemplo está en la siguiente figura:
ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 13: Para estimar la Probabilidad de Amenaza.
Fuente: Erb, M. (2008)
SEGUNDO
BIMESTRE
Existen algunas interrogantes o razones que ayudan a enfocar mejor la valoración una amenaza. Erb
(2008), enlista algunas de estas razones:
SOLUCIONARIO
novedades o innovación, información comprometedora, etc. Existe una probabilidad de
que nuestros competidores sean compañeros de la organización.
• ¿Cuántas veces han tratado de atacar la organización? Ataques pasados nos sirven para
identificar una amenaza y si su ocurrencia es frecuente. En el caso de que ya se tenga
implementadas medidas de protección es importante llevar un registro, que muestra los
casos cuando la medida se aplicó exitosamente y cuando no.
• ¿Cuál es el costo de recuperación? No solo hay que considerar los recursos económicos,
tiempo, materiales, sino también el posible daño de la imagen pública y emocional.
Lectura Recomendada:
ÍNDICE
Leer el capítulo “Aspectos principales para una política interna de seguridad de la información”,
página 28 a 35, donde se aborda los temas de flujo de datos (página 29 y 30): Flores, C. (2009).
Recuperado de: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.
pdf
PRELIMINARES
Para los siguientes pasos de la Gestión de Riesgos nos vamos a referir a un ejemplo para su entendimiento,
cabe recalcar que este ejemplo les ayudará a concluir con el estudio de este tema, ya que está basado
en datos donde claramente se especifica cómo se hacen paso a paso. Enlace: http://protejete.wordpress.
com/gdr_principal/matriz_riesgo/, al ir al final de esta página web debe dar clic en siguiente para que
dé continuidad al ejemplo.
BIMESTRE
PRIMER
A continuación se presenta una imagen donde resume el esquema básico-general de una metodología
de análisis de riesgo:
SEGUNDO
BIMESTRE
SOLUCIONARIO
Figura 14: Metodología de Análisis de Riesgo.
Fuente: Erb, M. (2008)
Recomendación:
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo (en cuestiones de riesgos).
Presenta una estructura estratégica y operativa que ayudará a controlar una situación de emergencia y
a minimizar sus consecuencias negativas.
Esta clase de plan, por lo tanto, intenta garantizar la continuidad del funcionamiento de la organización
frente a cualquier eventualidad, ya sean materiales o personales. Un plan de contingencia incluye cuatro
etapas básicas: la evaluación, la planificación, las pruebas de viabilidad y la ejecución, como se muestra
en la siguiente figura:
ÍNDICE
PRELIMINARES
BIMESTRE
PRIMER
Figura 15: Pasos de un Plan de contigencias.
Fuente: Erb, M. (2008)
Piattini (2008), hace referencia a tres fases de un plan de contingencia, estas son:
SEGUNDO
BIMESTRE
• Análisis y Diseño: se estudia la problemática, las necesidades de recursos, las alternativas de
respaldo, y se analiza el coste/beneficio de las mismas. Es la fase más importante, pues nos
ayuda a verificar si es viable o es muy costoso su seguimiento.
SOLUCIONARIO
• Desarrollo del Plan: esta fase y la siguiente son similares en todas las metodologías. En ella
se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones
previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los
procedimientos de actuación generando, así, la documentación del plan.
• Pruebas y Mantenimiento: en esta fase se definen las pruebas, sus características y sus ciclos,
y se realiza la primera prueba como comprobación de todo el trabajo realizado, así como
mentalizar al personal implicado.
Las metodologías de auditoría informática son del tipo cualitativo/subjetivo (podemos decir que son
las subjetivas por excelencia). Por tanto, están basadas en profesionales de gran nivel de experiencia
y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen una gran
profesionalidad y formación continuada (Piattini, 2008). Solo así esta función se consolidará en las
entidades, esto es, por el “respeto profesional” a los que ejercen la función.
Las metodologías que podemos encontrar en la auditoría informática son dos familias distintas:
ÍNDICE
2.2.5.1. Las auditorías de controles generales y las metodologías de los auditores internos
El objetivo de las auditorías de controles generales es “dar una opinión sobre la fiabilidad de los datos
del ordenador para la auditoría financiera”. El resultado externo es un breve informe como parte del
informe de auditoría, donde se destacan las vulnerabilidades encontradas. Están basadas en pequeños
PRELIMINARES
cuestionarios estándares que dan como resultado informes muy generalistas (Piattini, 2008).
La metodología de auditor interno debe ser diseñada y desarrollada por el propio auditor, dependiendo
de su experiencia y habilidad para realizarla.
El esquema metodológico del auditor está definido por el “Plan de Auditor” (Piattini, 2008).
BIMESTRE
PRIMER
Lectura Recomendada
Diríjase a la capítulo 3 del texto básico y Lea por favor el ejemplo de metodología auditoria de
una aplicación. Le servirá mucho para comprender mejor la aplicación de una metodología de
auditor interno.
SEGUNDO
BIMESTRE
2.2.6. EL plan del auditor informático
El Plan de Auditor Informático es un esquema metodológico donde se describe todo sobre su función y
el trabajo que realiza en la organización.
SOLUCIONARIO
Seguidamente se presenta cuales son las partes básicas de un plan auditor informático, según (Piattini,
2008). :
• Procedimientos para las distintas tareas de las auditorías. Entre ellos están el procedimiento
de apertura, el de entrega y discusión de debilidades, entrega de informe preliminar, cierre de
auditoría, redacción de informe final, etc.
• Tipos de auditorías que realiza. Metodologías y cuestionarios de las mismas. Existen dos tipos de
auditoría según su alcance: la Completa (Full) de un área y la Acción de Inspección Correctiva
(Corrective Action Review o CAR) que es la comprobación de acciones correctivas de auditorías
anteriores.
• Sistema de evaluación y los distintos aspectos que evalúa. Deben definirse varios aspectos a evaluar
como el nivel de gestión económica, gestión de recursos humanos, cumplimiento de normas, etc,
así como realizar una evaluación global de resumen para toda la auditoría. Esta evaluación final
nos servirá para definir la fecha de repetición de la misma auditoría en el futuro, según el nivel de
exposición que se le haya dado a este tipo de auditoría en cuestión.
• Nivel de exposición. Es un valor que permite definir la fecha de la repetición de la misma auditoría,
en base a la evaluación final de la última auditoría realizada sobre ese tema.
• Plan quinquenal. Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos
y deben repartirse en cuatro o cinco años de trabajo. Esta planificación, además de las repeticiones
y añadido de las auditorías no programadas que se estimen oportunas, deberá componer
anualmente el plan de trabajo (anual).
• Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario
que, una vez terminado, nos dé un resultado de horas de trabajo previstas y, por tanto, de los
ÍNDICE
recursos que se necesitarán.
Diríjase a la capítulo 3 del texto básico y Lea por favor el ejemplo de metodología auditoria de
PRELIMINARES
una aplicación. Le servirá mucho para comprender mejor la aplicación de una metodología de
auditor interno.
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
SOLUCIONARIO
Autoevaluación 2
ÍNDICE
Conteste correctamente la siguiente evaluación (seleccione una respuesta correcta en cada pregunta
de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso):
PRELIMINARES
1. ( ) El método es un conjunto de herramientas y técnicas, que juntas, dan como resultado
un producto en particular.
2. ( ) El factor más importante de una contramedida es la Organización, ya que sin él, nada
es posible.
BIMESTRE
PRIMER
3. Cuando hablamos de la situación creada por la falta de uno o varios controles, nos referimos a:
a. Amenaza
b. Vulnerabilidad
c. Riesgo
SEGUNDO
BIMESTRE
d. Impacto
SOLUCIONARIO
a. Evitado
b. Transferido
c. Reducido
d. Asumido
5. ( ) Las metodologías cualitativas son basadas en el criterio y raciocinio humano capaz de
definir un proceso de trabajo y seleccionar en base a la experiencia.
10. ( ) El objetivo de la protección de datos no son los datos en sí mismo, sino el contenido
de la información sobre personas, para evitar el abuso de ésta.
11. ( ) Los Elementos de información son todos los componentes que contienen, mantienen
o guardan información. También se los conoce como Activos o Recursos.
ÍNDICE
13. ( ) Riesgo = Probabilidad de Amenaza x Vulnerabilidad.
PRELIMINARES
15. Las fases de un Plan de Contingencias son:
a. Análisis y Diseño.
b. Desarrollo del Plan
c. Pruebas y Mantenimiento
BIMESTRE
d. Todas las anteriores
PRIMER
16. ( ) El Plan del Auditor Informático es el mismo que el Plan de Contingencias.
17. Cuando se habla de un valor definido que permite definir la fecha de la repetición de la misma
auditoría, en base a la evaluación final de la última auditoría realizada sobre ese tema, se refiere a :
SEGUNDO
BIMESTRE
a. Funciones
b. Procedimientos
c. Planes
d. Nivel de Exposición
SOLUCIONARIO
18. ( ) En el Plan de trabajo anual se debe estimar tiempos de manera racional y componer
un calendario que dé un resultado de horas de trabajo previstas y, por tanto, los
recursos que se necesitarán.
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica, vaya
y compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe
le recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si
aún tiene inquietudes no dude en preguntar al profesor.
Ir a solucionario
ÍNDICE
Estimado alumno, empezamos el tercer capítulo de la asignatura en el cual mostraremos las funciones o
responsabilidades de un Departamento de Auditoría de los Sistemas de Información, así como aspectos
para desarrollar esas funciones.
PRELIMINARES
Para iniciar el estudio de esta unidad, le recomendamos acudir al texto básico y revisar el
capítulo 5 titulado El Departamento de Auditoría de los SI: Organizaciones y Funciones; y el
capítulo 7 Ética del Auditor de los Sistemas de Información.
¿Comprendió todos los temas?, a continuación vamos a reforzar más la lectura que usted realizó:
BIMESTRE
PRIMER
3.1. Misión del departamento de auditoría de los SI
SEGUNDO
BIMESTRE
Antes de determinar cuál es la misión de este departamento, vamos a definir la palabra Misión, según
(Thompson, 2006):
Misión: es el motivo, propósito, fin o razón de ser de la existencia de una empresa u organización porque
SOLUCIONARIO
define:
La misión del departamento de auditoría de los SI (DASI) tiene la misma misión que la de la auditoría de
los SI. En la siguiente figura, está ampliamente descrita la misión del DASI:
Lectura Recomendada
Para entender el siguiente gráfico debe acudir al libro básico Auditoría de Tecnologías y
Sistemas de Información – capítulo 5 y leer la misión del departamento de auditoría de los SI.
¿Para quién
desarrolla si labor ¿Qué debe Sobre que debe
la función de realizar? actuar
auditoría SI
Guía didáctica: Auditoría Informática
Órganos de Gestión de
Gobierno Organización Control Interno Datos Sw Aplicaciones Tecnología Instalaciones Personas
- Ejercicio por el
consejo de
- Dueño de la administración de
- Servicio de
Rentas Internas. organización. la entidad, los
gestores y otro
- Súper - Gerente General personal.
Intendencia de de la
Bancos. organización. Ofrece:
Efectividad y
- Instituto de - Departamento e ciencia de las SISTEMA DE INFORMACIÓN DE LA
Seguridad Social, Financiero, operaciones. ORGANIZACIÓN
etc. Informático de la Con abilidad de
organización. la información
- Consejo nanciera y
Superior de la Cumplimiento de
organización. las leyes y
regulaciones.
PRIMER BIMESTRE
ÍNDICE
3.2.1. Objetivos y funciones
Una vez definida y entendida la misión vamos a ver algunos objetivos y funciones del DASI, según
(Piattini, 2008):
PRELIMINARES
• Elaborar planes de trabajo para llevar a cabo auditorías en informática y el desarrollo de
actividades apropiadas que permitan maximizar la eficacia del área de tecnologías de
información (TI).
• Implementar los planes de trabajo llevando un control de las actividades a realizar en tiempos
estimados reales; en cuanto a evaluación de sistemas de información, procedimientos,
BIMESTRE
equipos informáticos y redes de comunicación.
PRIMER
• Evaluar sistemas, procedimientos y equipos informáticos; así como la dependencia de éstos
y las medidas tomadas para garantizar su disponibilidad y continuidad
SEGUNDO
BIMESTRE
• Comprobar que el área de tecnologías de información (TI) ha tomado las medidas correctivas
de los informes de la Auditoría Interna así como de las omisiones que al respecto se verifiquen
en el seguimiento de informes.
SOLUCIONARIO
• Evaluar los controles de seguridades lógicas y físicas que garanticen la integridad,
confidencialidad y disponibilidad de los datos en los sistemas de información de la institución.
Lectura Recomendada
El DASI debe estar ubicado orgánicamente como se muestra en la figura 17, en el recuadro denominado
Auditor interno.
Junta Directiva
ÍNDICE
Auditor Interno
PRELIMINARES
Área de Área de Área de
Área de servicios abastecimientos y Prestación de Área de Gestión administración y
financieros operativa
equipamiento servicios logística
BIMESTRE
abastecimiento y operación
PRIMER
egresos equipamiento los servicios logística
SEGUNDO
BIMESTRE
• A mayor nivel jerárquico, mayor peso tiene en la organización y mayor respeto y autoridad
encontrará sobre los hallazgos u observaciones y aceptación a las recomendaciones o
sugerencias.
SOLUCIONARIO
• Puede reportar a diferentes niveles pero siempre será dependiendo de la empresa, su
tamaño y necesidades.
Cada uno de los siguientes recursos son necesarios para que las funciones del Departamento de Auditoría
de los SI se lleven a cabo:
2. Recursos Técnicos: sistemas o herramientas técnicas que ayudarán a los recursos humanos.
RECUERDE: Las labores realizadas por un auditor no pueden ser sustituidas por ninguna
herramienta ni tecnología, solamente ayudan a mejorar y hacer más eficiente el trabajo del
auditor, el trabajo de auditoría recae netamente en la labor de los auditores.
Piattini (2008), afirma que para la estructura del departamento de auditoría de SI se toman en cuenta
dos aspectos clave:
1. Dimensión del departamento: número de personas que forman parte del departamento.
2. Localización del departamento: lugares físicos donde contar con recursos del departamento.
ÍNDICE
a. Tamaño de la organización: diversidad de procesos del negocio,
b. Dependencia de los negocios de la organización de las TI.
c. Topología de los sistemas de información.
PRELIMINARES
d. Ubicación geográfica.
Lectura Recomendada
Revisar a que se refiere cada uno de estos parámetros, que se encuentran descritos
detalladamente en el capítulo 5 del texto básico.
BIMESTRE
PRIMER
3.2.5. El estatuto de auditoría de SI
Un estatuto es una norma o una regla que tiene valor legal para una organización o empresa. El estatuto
SEGUNDO
de auditoría de SI, debe proporcionar autoridad sobre toda la organización e independencia al recurso
BIMESTRE
humano que trabajará en el departamento de auditoría de SI (Piattini, 2008).
SOLUCIONARIO
2. Autorización de acceso a toda la información de la organización.
4. Se especificará que sus funciones son delegadas del Consejo y Comité de Auditoría.
1. Público.
Con estos dos puntos se garantiza el entendimiento de la labor y las responsabilidades de la auditoría
interna.
Para planificar el trabajo de auditoría y con ella evaluar el control interno de los recursos de información
de la organización necesitamos una metodología, la misma que se describe en la siguiente figura:
Definir el
Universo de Análisis de Plan a largo Plan a corto
Riesgos Plazo plazo
TI
ÍNDICE
• Procesos • Con los procesos • Se define un plan a
Operativos enlistados: largo o corto plazo
• Procesos • Se usa una para evaluar si los
Informáticos metodología de sistemas de control
PRELIMINARES
• La heterogeneidad análisis de riesgos establecidos en la
de las TI de la de esos procesos. organización son
organización. • Clasificar los adecuados y
riesgos en: Riesgo suficientes para
• Recursos de
de Negocio y mitigar los riesgos
Información.
Riesgo de identificados.
Auditoría.
BIMESTRE
PRIMER
SEGUNDO
BIMESTRE
Existen algunos elementos a considerar al momento de seleccionar al personal que compondrá la unidad
de auditoría de los SI:
1. Formación
SOLUCIONARIO
2. Trato con las personas
4. Honesto y reservado
Los cuatro elementos anteriores son muy importantes pero deben ir de la mano con el cumplimiento a
cabalidad de los principios éticos del auditor de los SI, estos principios son los que definen la ética del
auditor de los SI.
La ética del auditor de los SI está basada en algunos principios deontológicos, entiéndase por
DEONTOLOGÍA como: la rama de la ética cuyo objeto de estudio son aquellos fundamentos del deber y
las normas morales.
Piattini (2008), enlista algunos principios deontológicos que el auditor debe tomar en cuenta a la hora
de cumplir con su labor, estos principios no son reglas que se deban cumplir de carácter obligatorio, sino
que queda a criterio y valor personal del propio auditor.
PRINCIPIOS DEONTOLÓGICOS:
ÍNDICE
corrección en el trato personal.
i. Evitará caer en exageraciones o atemorizaciones innecesarias, transmitiendo
una imagen de precisión y exactitud en sus comentarios.
b. Cuando precise del asesoramiento de otros expertos deberá acudir a ellos.
PRELIMINARES
c. Guardar respeto por la política empresarial del auditado.
3. Principio de confidencialidad
BIMESTRE
PRIMER
b. No debe usar esta información para beneficio personal y no difundirla a terceras
personas.
c. Debe mantenerse un secreto profesional sobre la información obtenida entre el
auditor y su equipo.
d. El auditor debe establecer las medidas de seguridad y mecanismos necesarios para
SEGUNDO
BIMESTRE
garantizar al auditado, que la información se almacenará en entornos o soportes que
impidan la accesibilidad al mismo por terceras personas.
4. Principio de Independencia
SOLUCIONARIO
b. Debe garantizar de que los intereses del auditado serán asumidos con objetividad.
c. Debe rechazar criterios con los que no esté de acuerdo.
7. Principio de Veracidad
ÍNDICE
otros profesionales y prácticas abusivas.
b. Evitar los aprovechamientos indebidos del trabajo y reputación de otros en beneficio
propio.
PRELIMINARES
9. Principio de Servicio Público
a. El auditor deberá hacer lo que esté en su mano para evitar daños sociales que puedan
propagarse a otros sistemas informáticos diferentes del auditado.
b. El auditor deberá advertir de la existencia de dichos virus (en caso de haber) para que
se tomen las medidas oportunas, pero sin descubrir la procedencia de su información.
BIMESTRE
PRIMER
10. Principio de Fortalecimiento y Respeto a la Profesión
SEGUNDO
aporta el auditado con su trabajo.
BIMESTRE
c. Evitar la competencia desleal
d. Promover el respeto mutuo y la no confrontación entre compañeros
i. Denuncia de comportamientos indebidos.
SOLUCIONARIO
11. Principio de Legalidad
Lectura recomendada
Autoevaluación 3
ÍNDICE
Conteste correctamente la pregunta según sea el caso (conteste V si es Verdadero o F si es falso):
PRELIMINARES
1. ( ) Según COSO, el control interno es un proceso, ejercido por el consejo de administración
de la organización, diseñado para proporcionar seguridad razonable.
2. ( ) Los recursos de información son usados por la organización para soportar sus
procesos operativos o de negocios.
BIMESTRE
PRIMER
4. ( ) El departamento de auditoría de los SI, puede estar ubicado en cualquier parte de la
organización.
5. ( ) No son necesarios los recursos económicos en el departamento de auditoría de los SI.
SEGUNDO
BIMESTRE
6. ( ) El estatuto de auditoría de los SI es cualquier documento donde solamente conste los
objetivos que se quieren lograr en la auditoría.
7. ( ) El estatuto debe ser privado y sólo debe conocerlo el auditor y el auditado.
SOLUCIONARIO
8. ( ) El primer paso para AUDITAR es establecer ¿Qué se debe auditar?.
9. ( ) El análisis de riesgo es establecer una medida de importancia relativa a cada uno de
los elementos de la organización a auditar.
10. ( ) Cualquier persona de cualquier perfil puede conformar el equipo de auditoria de SI.
11. ( ) Una de las características más importantes al seleccionar al personal del equipo de
auditoría de SI, es que tenga un magnífico trato con las personas.
12. ( ) Trato con las personas significa que debe ser paciente, prudente y flexible, y no
defender sus puntos de vista.
14. ( ) El auditor debe ser plenamente consciente del alcance de sus conocimientos y de su
capacidad para desarrollar la auditoría.
15. ( ) El auditor está en libertad de usar los conocimientos adquiridos en una auditoría y
usarlos en contra del auditado.
16. ( ) El auditor debe tener un secreto profesional sobre la información obtenida durante
la auditoría.
17. ( ) El auditor deberá actuar en la auditoría con criterio propio, así lo dictamina el principio
de independencia.
19. ( ) Es necesario que el auditor sea veraz en la información que dé en la auditoría, aunque
ÍNDICE
ésta no esté respaldada.
PRELIMINARES
Las respuestas a esta autoevaluación se encuentran al final de la presente guía didáctica,
compare las respuestas, si no logró un buen resultado en la autoevaluación, no se preocupe le
recomiendo leer nuevamente el/los capítulos confusos y reforzar sus conocimientos. Y si aún
tiene inquietudes no dude en preguntar al profesor.
BIMESTRE
PRIMER
¡Hemos terminado la tercera unidad!
Felicitaciones
SEGUNDO
BIMESTRE
Estimado alumno, hemos terminado los temas del primer bimestre, espero que hayan sido entendidos y
comprendidos.
Le deseo mucha suerte en su examen presencial y mucho ánimo para empezar los temas del segundo
SOLUCIONARIO
bimestre
Ir a solucionario
50
6.5. Competencias
• Comportamiento ético III: Inclinarse hacia el bien moral de uno mismo o de los demás (es decir, hacia todo lo que eso significa bien, vivencia
del sentido, realización de la persona, sentido de justicia) y perseverar en dicho bien moral.
COMPETENCIAS CONTENIDOS
COMPETENCIAS
ESPECÍFICAS DEL INDICADORES DE TIEMPO DE
ESPECÍFICAS DE LA ACTIVIDADES DE APRENDIZAJE
COMPONENTE APRENDIZAJE DEDICACIÓN
TITULACIÓN UNIDADES
EDUCATIVO
51
ESPECÍFICAS DE LA ACTIVIDADES DE APRENDIZAJE
COMPONENTE APRENDIZAJE DEDICACIÓN
TITULACIÓN UNIDADES
EDUCATIVO
UNIDAD6. Gestión de Riesgos • Estudio de la unidad 6 de la guía • Conoce los conceptos, Semana 5 y 6
y auditoría Basada en Riesgos - didáctica. procesos y herramientas
COBIT para la evaluación de un • 8 horas de estudio
• Realizar las lecturas recomendadas
riesgo tecnológico. personal
6.1. ¿Cómo evaluar un riesgo en la unidad.
Identifica oportunidades tecnológico? • Aplica procedimientos y • 8 horas de
• Lectura de REAS en el EVA.
de mejora con la gestión técnicas para la interacción
6.2. Procesos Claves de riesgos
de riesgos de acuerdo al • Participar en el EVA, foro e implementación del modelo
COBIT.
marco de referencia interacciones. COBIT en la gestión de
COBIT. riesgos.
• Desarrollo de la autoevaluación
unidad 6 de la guía.
• Finalizar el desarrollo de la
evaluación a distancia del
componte.
SEGUNDO PRIMER
SOLUCIONARIO PRELIMINARES ÍNDICE
BIMESTRE BIMESTRE
Guía didáctica: Auditoría Informática SEGUNDO BIMESTRE
ÍNDICE
UNIDAD 4. AUDITORÍA DE OUTSOUCING DE TI
PRELIMINARES
Estimado alumno, empezamos el cuarto capítulo de la asignatura abordando en detalle la Auditoría de
Outsourcing de TI.
BIMESTRE
PRIMER
¿Qué le pareció la lectura? ¿Tiene algunas dudas?
SEGUNDO
BIMESTRE
4.1. Conceptos relativos al outsourcing de TI
SOLUCIONARIO
4.1.1. Definición de outsourcing
Esta definición difiere según el entorno que se encuentra, sin embargo, podemos establecer ciertas
características para definirlo (Piattini et al., 2008).:
• No es una simple contratación, sino más bien, una alianza entre el cliente y el tercero para
alcanzar juntos las metas y compartir los riesgos.
• Las actividades del Outsourcing, muchas veces, no están consideradas dentro de las
actividades esenciales del negocio del cliente pero aun así son vitales para su supervivencia.
• Los medios y activos entre el Outsourcing y el negocio son diferentes para cada actividad.
El proceso de Outsourcing tiene algunas implicaciones a tomar en cuenta si una organización va a optar
por requerir ese servicio, algunas son:
• La organización pasa a ceder o compartir los derechos de propiedad del proceso y los activos
asociados, lo que logra que ciertas fases de los procesos ya no se controlan totalmente.
• La organización comienza a tener una dependencia a largo plazo por lo que los recursos se
vuelven difícilmente intercambiables.
• A partir de esto se empieza a considerar una serie de contratos donde se definen todos los
servicios que serán requeridos en la cadena de valor, y estos servicios serán manejados de
forma más eficiente ya que es el concepto real del Outsourcing.
• Actores secundarios
ÍNDICE
4.1.2. El outsourcing de TI
Para Piattini (2008), el outsourcing de TI se puede ver involucrado en muchas áreas de alto y bajo riesgo
PRELIMINARES
dentro de la organización, por lo que podemos definir un mapa de servicios que se están llevando en la
actualidad:
BIMESTRE
PRIMER
Sin embargo, se debe considerar que muchas veces sucede que al finalizar ese proyecto, el
personal en calidad de tercero se tiene que retirar de la organización y se está perdiendo ese
conocimiento adquirido a lo largo del proyecto.
SEGUNDO
BIMESTRE
cambios. Entre los ejemplos o casos que podemos encontrar en este tipo, se encuentran las
comunicaciones y la redes de datos, servidores y sus actividades de respaldo y recuperación,
elementos de integración de sistemas y de las bases de datos.
SOLUCIONARIO
finales para resolver problemas, dudas, configuración de PC. Esto se puede realizar a través
de herramientas de conectividad remota que permitan brindar soluciones de manera más
ágil.
• Gestión del centro de cómputo: muy frecuentemente usada donde ya existen estándares
para el manejo de los data centers y empresas muy especializadas para eso.
Existen diferentes tipos de outsourcing decritos en el texto base de esta guía, a continuación se resumen
para una mejor comprensión de los mismos:
• Outsourcing de Procesos de negocio: son los que pretende darle una transformación
a la organización en lo que se refiere a los procesos de negocio. Si por ejemplo se tiene
ÍNDICE
un sistema de nómina, se puede definir un contrato para que sea administrado en base a
ciertos parámetros y lineamientos.
• Proveedor Total o Parcial: el proveedor gestiona toda o una parte de los servicios
informáticos, dependiendo del riesgo que se maneje. Si es parcial, es posible encontrar en
PRELIMINARES
un servicio informático varios proveedores.
BIMESTRE
PRIMER
grupo.
SEGUNDO
BIMESTRE
• Outsourcing extraterritorial: estrategia que contrata a personal de otro país donde se
aprovecha la tecnología y las comunicaciones para poder disponer de centros de cómputo
en varios husos horarios. Se podría considerar un problema de este modelo, la diversidad de
culturas en términos de comunicación y coordinación.
SOLUCIONARIO
• Participación del capital: su uso es especial al momento de la creación de nuevas empresas
donde el proveedor podría ofrecer recursos humanos y conocimiento experto mientras el
cliente ofrece el músculo financiero para llevar a cabo sus proyectos.
Lectura recomendada
Revise todos los tipos de outsourcing expuestos en el texto básico “Auditoría de Tecnologías y
Sistemas de Información” – capítulo 9, aquí se expone detalladamente cada tipo de outsourcing.
Piattini (2008) explica que se debe entender que el outsourcing es un proceso, y como tal tiene un final,
y que dependiendo de los resultados ese camino puede ser de ida y vuelta o sólo de ida. Se presenta el
modelo simplificado que se considera en todo proceso de outsourcing de TI:
ÍNDICE
estrategico Contratación Optimización renegociación
PRELIMINARES
4.2. Auditoría del outsourcing de TI
Antes de iniciar una auditoría se debe conocer el entorno en el que se desarrolla el proceso y los posibles
agentes que participan en el mismo.
BIMESTRE
PRIMER
Aunque pueden existir diferentes tipos de acuerdos de outsourcing, podemos observar elementos
claves tales como: El contrato, SLAs, Participación activa de usuarios, Política Corporativa.
SEGUNDO
BIMESTRE
2. SLA: medida objetiva de calidad objetiva sobre el servicio acordado, fija los mínimos niveles
de calidad para cada uno de los servicios.
SOLUCIONARIO
4. Política Corporativa: define responsabilidades frente al outsourcing tanto de los usuarios
como del personal propio de TI, desde la perspectiva de la supervisión y la comunicación.
• No es más que un contrato profesional entre dos entidades donde cada cláusula es importante y
se debe de prestar mucha atención a cómo o por qué se han generado, en vista de que una falla
podría afectar la calidad de los servicios que se esperaban recibir.
• Desde la perspectiva del auditor se debe garantizar que se haya involucrado al equipo jurídico y
tener una participación activa y no actuar únicamente como elemento revisor.
mm Modelo de gestión que evite controversias y permita la revisión continua del contenido y
alcance, además de su adaptación a las circunstancias del momento de forma fácil.
mm Una descripción precisa de los productos que se esperan recibir y como se esperan recibir.
• Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe “que se ha de
hacer” y se convierte en la herramienta fiable con la que cuenta una organización para recuperar
ÍNDICE
el control de sus sistemas de información bajo régimen de outsourcing.
• Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de Relación y los
Informes de Gestión.
PRELIMINARES
• El Modelo de Relación articula la capacidad de hacer evolucionar el contrato en el tiempo para
adaptarlo a las necesidades reales del negocio.
• El informe de Gestión es la herramienta básica para comunicar los resultados del servicio de
outsourcing.
BIMESTRE
PRIMER
Un ANS/SLA es el conjunto de medidas de rendimiento mínimo usadas para aceptar como válidos los
servicios prestados, tiene algunas características (Piattini, 2008):
• El SLA debe ser un documento vivo y puede ser revisado a petición de cualquiera de las partes,
adicionalmente se convierte en una herramienta con objetivos diferentes.
SEGUNDO
BIMESTRE
• Los SLAs se consideran un elemento complementario al contrato ya que el mismo regula el servicio
y en su contraparte el contrato regula todo el marco legal de la relación.
SOLUCIONARIO
mm Los elementos del servicio: describen el contexto del servicio y los términos y condiciones
de la entrega del servicio.
mm Los elementos de gestión: describen los pasos a dar para asegurar la efectividad del servicio
y resolver cualquier problema que pudiera darse.
El sistema de penalizaciones se articula para regular la falta de cumplimiento del SLA y los efectos
perjudiciales que el incumplimiento tiene para la empresa contratante.
Se debe verificar que por cada SLA existe un indicador de penalización y ante un incumplimiento de
servicio se recoge la penalización. Existe una menos-factura que reconoce el proveedor, y esta menos
–factura queda registrada en la contabilidad del cliente.
Estos informes constituyen junto a los SLAs el núcleo de control efectivo sobre las actividades que
desarrollan los proveedores. Proporcionan información estructurada sobre los servicios contratados,
información que es valiosa para el seguimiento y funcionamiento no solo del servicio sino del negocio.
ÍNDICE
1. Identificar si existe una política para la definición de SLAs entre sus proveedores de servicios.
PRELIMINARES
3. Identificar claramente la relación entre el tercero y el cliente
4. Identificar las personas con roles y responsabilidades sobre la gestión de contratos y SLAs
5. Validar la existencia de claúsulas que permitan esta gestión alineado con la evolución del
negocio.
BIMESTRE
PRIMER
6. Identificar y validar el modelo de elaboración y aprobación de los SLAs y sus indicadores
7. Verificar si se llevan a cabo recalculos de los indicadores para su contraste con lo acordado
8. Identificar como se monitorean los SLAs y que reportes se generan para mostrar el
desempeño.
SEGUNDO
BIMESTRE
9. Identificar el proceso que considera las acciones a tomar en respuesta a un incumplimiento
de SLA.
10. Identificar como está articulada la obtención de la calidad percibida y las acciones que se
SOLUCIONARIO
toman tras su evaluación.
Por la importancia que ha ganado el outsourcing de TI en los últimos tiempos se han creado modelos
de referencia para la gestión y gobierno de TI destinados a terceros, y adicionalmente se ha involucrado
ciertas regulaciones para el control de los procesos o funciones desarrolladas por los outsourcing.
Podemos destacar SOX (Ley Sarbanes-Oxley), Directiva europea de protección de datos personales,
HIPAA y GBLT (EEUU).
En la siguiente figura se mencionan los diferentes modelos de referencia y en cual enfoque está
representado:
Este modelo está basado en el concepto de madurez de un proceso que se concreta a través de varios
ÍNDICE
estados que CMMI define de forma acumulativa, o sea, que el nivel superior tiene características del nivel
inferior ampliando ciertos aspectos (Piattini , 2008). Los niveles son:
PRELIMINARES
las habilidades del personal que en la seguridad de los procesos.
3. Definido: la organización ha definido procesos formales para las diferentes actividades, que
BIMESTRE
PRIMER
son utilizadas concurrentemente.
SEGUNDO
BIMESTRE
métricas.
CMMI se centra tanto en los procesos y las prácticas, políticas y procedimientos, donde en cada nivel de
madurez se observan diferentes elementos a gestionar para poder ser certificado.
SOLUCIONARIO
4.4.2. ISO 27001 / BS 7799
El modelo de ITIL está basado en servicios y en la entrega de los mismos de manera efectiva, eficiente
y controlada pero no deja de lado la necesidad de creación de políticas, procedimientos o controles
directivos para la gestión de los servicios de TI (Piattini, 2008).
Su filosofía para el control del outsourcing puede resumirse en los siguientes principios:
a. Implantar una política que regule como adquirir servicios y selección de proveedores.
b. Estar alerta para mantener el know-how dentro de la empresa.
c. Documentar todas las actividades desarrolladas por outsourcing.
d. Establecer mecanismos de comunicación para la correcta comprensión del servicio prestado.
e. Mantener una relación estrecha y comunicación continua con el proveedor para verificar las
necesidades de servicio.
f. Mantenimiento y monitoreo de los contratos con los proveedores, con la finalidad de
ÍNDICE
servicio) y los OLA (acuerdos de nivel de operación), cada una descrita a continuación:
a. SLA: define la relación entre un proveedor de servicios y sus clientes. Este acuerdo describe
los productos, servicios o ambos, que se recibirán junto con las responsabilidades de cada
parte, las condiciones económicas, como será medido el servicio y el esquema de reporte.
PRELIMINARES
b. OLA: define las relaciones interdependientes de los grupos de soporte interno de TI que
trabajan para dar cobertura a los requerimientos de los SLA. Su objetivo es presentar la
gestión interna que desarrolla el proveedor para cumplir con lo indicado en el contrato SLA.
Este OLA tiende a ser más técnico que el SLA.
Lectura recomendada
BIMESTRE
PRIMER
Para reforzar más del tema sobre auditoría de outsourcing recomiendo acudir al texto básico
– Capítulo 9 y revisar el Programa de Auditoría al Outsourcing expuesto.
SEGUNDO
BIMESTRE
ACTIVIDADES RECOMENDADAS
1. Tomando como base las actividades expuestas en la tabla 9.15 del texto básico Auditoría
de Tecnologías y Sistemas de Información – Cap 9. Una vez haya comprendido las
SOLUCIONARIO
actividades que se debe desarrollar para lograr cumplir los objetivos de un Programa de
Auditoría de Outsourcing, use esas tablas para identificar las actividades de una empresa
“X” (que usted escoja y que brinde servicio de Outsourcing a la empresa donde Usted
labora o a otra empresa que Usted tome como ejemplo).
Autoevaluación 4
ÍNDICE
Conteste correctamente las preguntas según sea el caso (V si es Verdadero o F si es falso):
PRELIMINARES
1. ( ) El outsourcing es una simple contratación de servicios que una empresa busca para
cubrir una necesidad.
3. ( ) El servicio de aseguramiento de la calidad que desee una empresa se lo puede tomar
BIMESTRE
PRIMER
como un proceso independiente. (outsourcing).
4. ( ) Para auditar el Outsourcing se debe conocer el entorno en que se desarrolla el proceso
y los agentes que participaron en ello.
5. ( ) Un elemento dentro del acuerdo de Outsourcing son los Acuerdos de nivel de servicio
SEGUNDO
BIMESTRE
SLA’s.
SOLUCIONARIO
7. ( ) La herramienta básica para comunicar los resultados del servicio en outsourcing es el
informe de gestión.
8. ( ) Los elementos de gestión en un SLA describen los pasos a dar para asegurar la
efectividad del servicio y resolver cualquier problema que pudiera darse.
11. ( ) Mantener una relación estrecha y de comunicación continua con el proveedor para
verificar las necesidades del servicio es una política, procedimiento o control del
modelo ITIL.
12. ( ) El modelo CMMI se centra sólo en las políticas, dejando de lado los procesos de los
diferentes elementos a gestionar para ser certificado.
ÍNDICE
Estimado alumno, empezamos el quinto capítulo de la asignatura tomando temas fundamentales que
se requiere entender dentro de una auditoría de la Seguridad Física de una Organización.
PRELIMINARES
Para iniciar el estudio de este tema de seguridad, acuda al texto básico y realice una lectura
comprensiva del capítulo 10 del texto base titulado Auditoría de la Seguridad Física.
¿Qué opina de lo aprendido? ¿Tiene inquietudes o dudas? ¡A continuación las iremos resolviendo!
BIMESTRE
PRIMER
5.1. ¿Qué es seguridad física?
SEGUNDO
BIMESTRE
Por lo general, cuando se habla de seguridad informática siempre se piensa en errores de software, virus,
intrusos de red, etc. En definitiva, se piensa en software. La realidad es que la seguridad informática
también implica otro aspecto muy importante y que generalmente permanece desatendido, se trata de
la Seguridad Física de un sistema.
SOLUCIONARIO
¿De qué sirve que nadie pueda acceder de forma autorizada a los recursos lógicos del sistema, si cualquiera
puede entrar por la puerta y llevarse el equipo debajo del brazo?
Por lo tanto, se deben tomar medidas en lo que respecta a la seguridad física del sistema, y por supuesto,
cuando se definen dichas medidas hay que tener en cuenta a las personas que trabajan con los equipos
informáticos.
Por Seguridad Física se entiende todos aquellos mecanismos destinados a proteger físicamente cualquier
recurso del sistema. Estos recursos son desde un simple teclado hasta una cinta de backup con toda la
información de nuestra entidad, pasando por la propia CPU de la máquina, el cableado eléctrico o el
edificio al completo.
ÍNDICE
Este tipo de seguridad está enfocado en cubrir las amenazas ocasionadas tanto por el hombre como por
la naturaleza del medio físico en que se encuentra ubicado el centro.
PRELIMINARES
• Edificio
• Instalaciones
• Equipamiento y Telecomunicaciones
• Datos
BIMESTRE
PRIMER
• Personas
SEGUNDO
BIMESTRE
Los sistemas informáticos existentes, manejados dentro de una empresa, surten efecto si se posee
instalaciones adecuadas acorde a la necesidad y capacidad de cada institución, por lo que requieren
cada cierto tiempo ser expuestas a análisis que reiteren su correcto funcionamiento; evitando así que los
equipos se encuentren en riesgo de deterioro o daños irremediables.
SOLUCIONARIO
Según Piattini (2008) la Auditoría Física es “Una auditoría parcial que garantiza la integridad de los activos
humanos lógicos y materiales, por lo que no difiere de la auditoría general más que en el alcance de la
misma.”
Para Matínez (2005) Auditoría Física es: “ La aplicación de barreras físicas y procedimientos de control,
como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”.
Se dice que una Auditoría a la Seguridad Física representa el análisis a las instalaciones con las que se
ha adecuado a un sistema informático, propias de un empresa; enmarcándose a todo lo tangible que
permita funcionar y evitar destrucciones a largo plazo de los equipos existentes.
• Garantizar la integridad de los activos humanos, lógicos y material de un CPD (Centro de Proceso
de Datos).
• Cuando no están claros los límites, dominios y responsabilidades de los tres tipos de seguridad que
a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones.
• Tener medidas para atender los riesgos de fallos, local o general de la seguridad física de la
organización.
§§ El Objetivo es obtener y mantener un nivel adecuado de seguridad física sobre los activos.
El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones
utilizadas para evitar el fallo, o aminorar las consecuencias.
ÍNDICE
–– Ubicación del CPD.
–– Compartimentación.
–– Elementos de construcción.
PRELIMINARES
–– Potencia eléctrica.
–– Sistemas contra incendios.
–– Control de accesos.
–– Selección del personal.
–– Seguridad de los medios.
–– Medidas de protección.
BIMESTRE
PRIMER
–– Duplicación de los medios.
• Durante el desastre:
SEGUNDO
BIMESTRE
normal de una empresa y se debe contar con los medios para afrontarlo cuando éste ocurra.
Los medios quedan definidos en el Plan de recuperación de desastres, junto con el centro
alternativo de proceso de datos, constituyen el Plan de Contingencia.
SOLUCIONARIO
–– Realizar un análisis de riesgos de sistemas críticos.
–– Establecer un período crítico de recuperación.
–– Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
–– Establecer prioridades de procesos por días del año de las aplicaciones y orden de los
procesos.
–– Establecer objetivos de recuperación que determinen el período de tiempo (horas, dias,
semanas) entre la declaración del desastre y el momento en que el centro alternativo
puede procesar las aplicaciones críticas.
–– Designar, entre los distintos tipos existentes, un centro alternativo de proceso de datos.
–– Asegurar la capacidad de las comunicaciones.
–– Asegurar la capacidad de los servicios de Back-up.
§§ Un factor muy efectivo son los contratos de seguros, pueden compensar en mayor o menor
medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado
y corregido el fallo.
–– Interrupción del negocio (cubre pérdidas de beneficios netos causados por la caida de
sistemas).
ÍNDICE
–– Documentos y registros valiosos.
–– Errores y omisiones.
–– Cobertura de fidelidad.
–– Transporte de medios.
PRELIMINARES
–– Contratos con proveedores y de mantenimiento.
Estas áreas son muy importantes a tomar en cuenta ya que el auditor las necesita para evaluar y dar su
opinión al respecto, nosotros debemos conocer cuáles son estas áreas en la organización (Piattini et al.,
2008).
BIMESTRE
PRIMER
5.3.3.1. Organigrama de la empresa
SEGUNDO
documentación histórica, las deparación de funciones y rotación en el trabajo.
BIMESTRE
5.3.3.2. Auditoría interna
SOLUCIONARIO
colaborador de éste en cualquier caso. Su función como departamento de auditoría interna es guardar
las auditorías pasadas – informes de: las normas, procedimientos y planes que sobre la seguridad física
y su auditoría se hayan realizado.
Para la administración de la seguridad se necesitan de varios recursos, a continuación se enlistan los más
importantes:
• Administradores de Redes.
Las instalaciones son elementos o accesorios que deben ayudar a la realización de la mencionada
función informática y a, la vez, proporcionar seguridad a las personas, al software y a los materiales,
seguidamente se enlista algunas de estas instalaciones tomadas en cuenta en una auditoría física:
• Sala de Host
• Sala de operaciones
ÍNDICE
• Sala de Impresoras
• Cámara Acorazada
PRELIMINARES
• Oficinas
• Almacenes
BIMESTRE
PRIMER
• Área de descanso y servicios.
SEGUNDO
BIMESTRE
Son los elementos principales del CPD: Host, terminales, computadores personales, equipo de
almacenamiento masivo de datos, impresora, medios y sistemas de telecomunicaciones.
SOLUCIONARIO
Son equipos necesarios para la conexión de los medios de comunicación.
Son los accesos y salidas seguras, así como medios y rutas de evacuación, extinción de incendios y
medios utilizados para ello (agua en lugares con conducciones y aparatos eléctricos, gases asfixiantes),
sistemas de bloqueo de puertas y ventanas, zonas de descanso y de servicio.
• Establecer prioridades de procesos por días del año de las aplicaciones y orden de los
procesos.
Las fuentes para la auditoría de la seguridad física, son los materiales que le permite extraer al auditor
información para validar su auditoría y realizar su informe final. A continuación se enlista algunas fuentes
que el auditor debe tomar en cuenta:
ÍNDICE
• Actas e informes de técnicos y consultores.
PRELIMINARES
• Informes sobre accesos y visitas.
• Políticas de personal.
BIMESTRE
PRIMER
Las técnicas y las herramientas van a la par, es decir, un auditor puede aplicar una técnica con ayuda de
herramientas, pero no puede aplicar una herramienta sin utilizar una técnica. Para mejor comprensión
en auditoría las técnicas son los métodos o procedimientos que tiene como objetivo obtener resultados
verídicos de una auditoría realizada, los mismos tinen que estar expuestos en un informe final de
SEGUNDO
auditoría. Ejemplos de técnicas y herramientas más utilizadas en una auditoría:
BIMESTRE
mm Técnicas:
SOLUCIONARIO
• Revisión analítica de:
mm Herramientas:
ÍNDICE
Considerando la metodología de ISACA (Informaction Systems Audit and Control Association), existen
10 fases en una auditoría de seguridad física, estas son:
PRELIMINARES
El alcance define con precisión el entorno y los límites en que va a desarrollarse la auditoría informática
y se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el informe final, de
modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales
materias fronterizas han sido omitidas.
BIMESTRE
PRIMER
En esta fase se hace el estudio preliminar a la empresa y la determinación de la problemática de la
entidad. En esta fase se enmarca la acción de realizar una verificación de los procedimientos, políticas,
suministros, materiales y programas y otros requerimientos que son importantes para la auditoría.
SEGUNDO
BIMESTRE
Una planificación adecuada es el primer paso necesario para realizar auditorías Informáticas eficaces a la
seguridad. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar
la auditoría así como los riesgos del negocio y control asociado.
SOLUCIONARIO
El plan de auditoría es la elaboración de una serie de pasos a seguir conforme a la necesidad del auditor,
requerimiento del examen y la distribución de actividades.
Es el documento emitido por el auditor como resultado final de su examen, incluye información suficiente
sobre observaciones, conclusiones de hechos significativos, así como recomendaciones constructivas
para superar las debilidades en cuanto a políticas, procedimientos, cumplimiento de actividades y otras.
Con el personal responsable se determinará la ocurrencia del hecho que causa errores en el cumplimiento
de las actividades diarias. En esta fase se determina el cumplimiento de las funciones de cada funcionario,
además los avances que cada uno de ellos han tenido.
Constituye la etapa final del proceso de auditoría, en el mismo se recogen todos los hallazgos detectados
ÍNDICE
para sustentar el dictamen emitido en un documento.
PRELIMINARES
Aquí se recogen todos los cambios que se deben realizar de acuerdo al informe final de auditoría que se
expuso al auditado.
ACTIVIDADES RECOMENDADAS
BIMESTRE
PRIMER
haciendo una Auditoría de la Seguridad Física en la empresa donde trabaja. Tomando en
cuenta:
a. ESTADO – Si existe o No el Control que le preguntan.
b. OBSERVACIÓN – Si existe, anote qué control es, y si No existe, debe dar una
recomendación.
SEGUNDO
BIMESTRE
Si no queda clara esta actividad no dude en comunicarse con el profesor mediante el EVA, en
horario de tutoría.
SOLUCIONARIO
determinar el nivel de aprovechamiento del tema estudiado.
Autoevaluación 5
ÍNDICE
Conteste correctamente las preguntas según sea el caso (V si es verdadero o F si es falso):
PRELIMINARES
1. ( ) Seguridad física son todos los mecanismos destinados a proteger físicamente
cualquier recurso de un sistema.
2. ( ) Los recursos de un sistema pueden ser desde un simple mouse hasta un disco duro
con toda la información de la empresa.
3. ( ) La Seguridad Física está enfocada a cubrir solo amenazas ocasionadas por la naturaleza
BIMESTRE
PRIMER
del medio físico en que se encuentra la empresa.
5. ( ) Uno de los objetivos de la auditoría de la seguridad física es: tener medidas para
SEGUNDO
BIMESTRE
atender los riesgos de fallos, local o general de la seguridad física de la organización.
6. ( ) Una medida para atender riesgos de fallos de seguridad durante el desastre es
mantener un adecuado nivel de seguridad física sobre los activos, por ejemplo:
ubicación del edificio.
SOLUCIONARIO
7. ( ) Una medida para atender riesgos de fallos de seguridad después del desastre es hacer
efectivo el aseguramiento de la empresa.
8. ( ) Existen solamente 3 áreas de seguridad física que el auditor debe tomar en cuenta a
la hora de evaluar y dar su opinión.
10. ( ) La etapa final de la auditoría de la seguridad física es presentar el informe final donde
se recogen todos los hallazgos encontrados en la misma.
Felicitaciones
Ir a solucionario
ÍNDICE
Estimado estudiante, para desarrollar los contenidos de la presente unidad, es necesario leer y analizar
la siguiente bibliografía específica:
PRELIMINARES
Information System Audit & Control Association. (2005). COBIT 4.0 en español, Directrices
Gerenciales, Objetivos de Control, Niveles de Madurez. (3ra ed.). México DF. Estará subida en el
entorno virtual de aprendizaje EVA.
BIMESTRE
PRIMER
Es importante conocer que la gestión de riesgos es una de las principales herramientas de los auditores
modernos ya que permite enfocarse en los puntos más críticos, es decir, los puntos de riesgo en un
SEGUNDO
BIMESTRE
negocio. De manera general, los puntos críticos de TI son aquellos que soportan a los procesos más
importantes de una empresa. Sin embargo, los activos de TI de este ámbito son demasiados y es necesario
priorizar sobre los que implican mayor nivel de exposición de riesgo.
Tal como se estudió en la unidad 2 de esta guía didáctica, en esta unidad se verá cómo evaluar un riesgo
SOLUCIONARIO
pero basada en marcos de referencia RISK IT – basado en COBIT – ISACA.
Para reforzar este capítulo es importante que recuerde lo que se estudio en la unidad 2 de esta
guía, para ello le invito a volver a revisar su contenido, así comprenderá mejor lo que se verá
en esta unidad.
Ahora los invito a revisar y analizar las páginas 26 a 36 del documento “Marco de Riesgos” indicado en
la bibliografía de la unidad y que estará subido oportunamente en el entorno virtual de aprendizaje
EVA, ésta sección del documento nos permitirá entender de manera general, lo que es el riesgo y cómo
evaluarlo.
Es necesario entender que en el mundo de negocios actual la única manera de evitar que ocurran
eventos no deseados, o disminuir el impacto en caso de que éstos ocurran, es mantener un proceso
de gestión de riesgos que permitan alertar o implementar controles que disminuyan el peligro que
asecha a una empresa o entidad. En este sentido, al ser el ambiente tecnológico un puntal importante
para las empresas, es necesario que el ambiente tecnológico sea gestionado considerando los riesgos
relacionados.
ÍNDICE
directa o indirecta a la organización.
• Una persona de negocios deben entender cómo – los fallos o eventos relacionados con TI
pueden afectar a los servicios y procesos clave.
PRELIMINARES
Para esto, es necesario identificar una vulnerabilidad y una amenaza que pueden generar que ocurra un
evento no deseado. Dicho evento debe tener asociado un impacto, es decir: qué puede ocurrir en caso
de que dicha amenaza se materialice? Este impacto debe estar definido en términos del negocio, por
ejemplo términos monetarios. Adicionalmente debemos asociar a cada riesgo la probabilidad de que
esto ocurra en las condiciones actuales.
A manera de ejemplo: Una amenaza de ataque informático puede materializarse en caso de que
BIMESTRE
PRIMER
tengamos una vulnerabilidad como falta de controles perimetrales sobre nuestra red informática. El
impacto que esto implica puede ser: caída de los sistemas y paralización de los procesos de negocio
hasta restablecer la infraestructura tecnológica. La probabilidad puede ser alta considerando que no
existen controles de seguridad o tomando en cuenta que incidentes como éste ya han ocurrido antes.
SEGUNDO
6.2. Procesos claves de riesgos en COBIT
BIMESTRE
Estimado estudiante, lo invito a revisar y analizar, las páginas 22 a 24 del documento “Cobit (1)” y las
páginas 64 a 67.del documento “COBIT 4.0” indicado en la bibliografía de la unidad y que estarán subidos
en el entorno virtual de aprendizaje EVA, esta sección del documento nos permitirá tener una visión de
SOLUCIONARIO
lo que dicta el marco de referencia COBIT sobre el riesgo tecnológico. Esto es muy útil porque nos indica
los controles que el auditor podría revisar para este ámbito.
Usted debe tener en cuenta para este estudio el objetivo del proceso de gestión de riesgos: La clave de
este proceso se centra en evaluar de forma recurrente la posibilidad e impacto de todos los riesgos
identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los
riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con base en el
portafolio de proyecto o funciones que pueda tener una empresa.
Debemos recordar que ISACA ha definido buenas prácticas que sirven a los gestores de riesgo a mejorar
sus procesos de riesgos. La consecuencia de una buena práctica de riesgos es que el auditor informático
podrá enfocar su trabajo de auditoría sobre los puntos más críticos del ambiente tecnológico, lo que
resulta en eficiencia del trabajo de auditoría.
Autoevaluación 6
ÍNDICE
Conteste o seleccione la pregunta según sea el caso V o F:
PRELIMINARES
1. ( ) Un actor que genera una amenaza sólo pueden ser los humanos.
2. ( ) Un activo es cualquier objeto de valor de la organización que puede ser afectado por
un evento y crear un impacto en la organización.
3. ( ) Para identificar un riesgo primero debemos visualizar una vulnerabilidad o amenaza.
BIMESTRE
PRIMER
4. ( ) El impacto debe traducirse a términos del negocio.
SEGUNDO
BIMESTRE
7. ( ) El impacto es un indicador que compone el riesgo y que indica las consecuencias en
caso de que se materialice un riesgo.
SOLUCIONARIO
9. ( ) COBIT define los objetivos de control que componen el proceso de administración de
riesgos de TI.
Ir a solucionario
7. Solucionario
ÍNDICE
PRIMER BIMESTRE
PRELIMINARES
Autoevaluación 1
Pregunta Respuesta
1. F
2. F
BIMESTRE
PRIMER
3. V
4. F
5. Literal C
SEGUNDO
BIMESTRE
6. Literal B
7. F
SOLUCIONARIO
8. F
9. F
10. F
Ir a autoevaluación
Autoevaluación 2
ÍNDICE
Pregunta Respuesta
1. F
2. V
PRELIMINARES
3. Literal B
4. Liteeral C
5. F
BIMESTRE
PRIMER
6. V
7. F
8. F
SEGUNDO
BIMESTRE
9. V
10. V
11. V
SOLUCIONARIO
12. F
13. F
14. V
15. Literal D
16. F
17. Literal D
18. V
Ir a autoevaluación
Autoevaluación 3
ÍNDICE
Pregunta Respuesta
1. V
2. V
PRELIMINARES
3. V
4. F
5. F
BIMESTRE
PRIMER
6. F
7. F
8. V
SEGUNDO
BIMESTRE
9. V
10. F
11. V
SOLUCIONARIO
12. F
13. F
14. V
15. F
16. V
17. V
18. V
19. F
20. F
Ir a autoevaluación
FAutoevaluación 4
ÍNDICE
Pregunta Respuesta
1. F
2. F
PRELIMINARES
3. V
4. V
5. V
BIMESTRE
PRIMER
6. V
7. F
8. V
SEGUNDO
BIMESTRE
9. F
10. F
11. V
SOLUCIONARIO
12. F
Ir a autoevaluación
Autoevaluación 5
ÍNDICE
Pregunta Respuesta
1. V
2. V
PRELIMINARES
3. F
4. F
5. V
BIMESTRE
PRIMER
6. F
7. V
8. F
SEGUNDO
BIMESTRE
9. F
10. V
SOLUCIONARIO
Ir a autoevaluación
Autoevaluación 6
ÍNDICE
Pregunta Respuesta
1. F
2. V
PRELIMINARES
3. V
4. V
5. V
BIMESTRE
PRIMER
6. F
7. V
8. V
SEGUNDO
BIMESTRE
9. V
10. F
SOLUCIONARIO
KARG/yc/2014-03-01/79
Ir a autoevaluación
rg/2018-01-10