REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA

ARMADA NACIONAL BOLIVARIANA

UNEFA

NÚCLEO: LOS TEQUES-EDO. MIRANDA

AUDITORIA DE SISTEMAS

TRABAJO Nº 1

Integrantes:

Jogerman Martínez C.I: 24461802

Ing. De sistemas
 INTRODUCCIÓN

El principal objetivo de la auditoría informática reside en la valoración de los

sistemas informáticos de una organización en particular. Al mismo tiempo mide
que estos sean empleados de manera eficiente. Como resultado, tendrá que
elaborar un informe de auditoría que muestre en a que nivel estos actúan de
manera eficiente y ofrecen la suficiente seguridad para la información de una
empresa o institución analizada.

Esto es que sus equipamientos estén configurados de acuerdo a la

legislación o regulación existente para cada territorio y sector. A demás debe
comprobar que cada paquete de software empleado por una organización esté
correctamente actualizado y validado para cada actividad económica a desarrollar.
Alternativamente su uso debe adecuarse a ciertos estándares de eficiencia.

En otras palabras, la informática con la que cuente una empresa debe

asegurar que se empleen los recursos eficientemente de cara a la consecución de
sus metas u objetivos marcados. Y más allá, estos recursos deben favorecer la
consecución de la mayor rentabilidad posible.
 AUDITORIA DE SISTEMAS

Según Zurita Lara, Wilmer Rolando (Fecha desconocida). “Si se entiende

que la auditoria de sistemas comprende las tareas de evaluar, analizar los
procesos informáticos, el papel de auditor debe estar encaminado hacia la
búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez
proponer soluciones para estos problemas”.

Según Gómez Ramírez, Víctor Manuel (2014). “La Auditoría Informática es

un proceso llevado a cabo por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si
un Sistema de Información salvaguarda el activo empresarial, mantiene la
integridad de los datos ya que esta lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, cumple con las leyes y
regulaciones establecidas”.

La auditoría de sistemas supone la revisión y evaluación de los controles y

sistemas de informática, así como su utilización, eficiencia y seguridad en la
empresa, la cual procesa la información. Gracias a la auditoría de sistemas como
alternativa de control, seguimiento y revisión, el proceso informático y las
tecnologías se emplean de manera más eficiente y segura, garantizando una
adecuada toma de decisiones.

CARACTERÍSTICAS

Al ser una modalidad de auditoría concerniente a un ámbito tan específico,

cuenta con una serie de características propias respecto a otros tipos de
mediciones o análisis.

Los profesionales auditores no solamente deben tener capacitación para la

realización de trabajos de auditoría, sino que también formación específica
relacionada con un contexto tecnológico o informático. Una correcta auditoría de
este tipo debe servir para mostrar una imagen fiel sobre la adaptación al entorno
digital y tecnológica de una compañía

La evaluación no solamente requiere de estudio de los activos informáticos

físicos de una compañía, sino que debe ir más allá abarcando la práctica y el uso
de las plantillas. Los trabajadores deben estar cualificados y preparados para el
máximo aprovechamiento de estas herramientas

Debe existir un constante seguimiento a las actualizaciones informáticas del

mercado y su aplicación empresarial

Es importante destacar que, con la proliferación de nuevas metodologías y

aplicaciones tecnológicas en la empresa, los informes de auditoría de tipo
informático son cada vez más frecuentemente requeridos.

TIPOS DE AUDITORIAS

 AUDITORIA INTERNA: Es aquella que se hace desde el ambiente interno

la empresa, es decir, sin empleados ajenos a la misma, ya sea por
empleados que fueron directamente contratados o alguna subsidiaria a esta
y la entidad tiene el poder de decisión sobre el proceso llevado a cabo para
realizarla.
 AUDITORIA EXTERNA: Se realiza por personal ajeno a la empresa ya sea
remunerado o no y la organización no tiene poder de decisión sobre el
proceso llevado a cabo por el ente que audita.

CLASES DE AUDITORIAS

 Auditoría de la gestión: la contratación de bienes y servicios,

documentación de los programas, etc.
 Auditoría legal del Reglamento de Protección de Datos: Cumplimiento
legal de las medidas de seguridad exigidas por el Reglamento de desarrollo
de la Ley Orgánica de Protección de Datos.
 Auditoría de los datos: Clasificación de los datos, estudio de las
aplicaciones y análisis de los flujogramas.
 Auditoría de las bases de datos: Controles de acceso, de actualización,
de integridad y calidad de los datos.
 Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
 Auditoría de la seguridad física: Referido a la ubicación de la
organización, evitando ubicaciones de riesgo, y en algunos casos no
revelando la situación física de esta. También está referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
 Auditoría de la seguridad lógica: Comprende los métodos de
autenticación de los sistemas de información.
 Auditoría de las comunicaciones. Se refiere a la auditoría de los
procesos de autenticación en los sistemas de comunicación.
 Auditoría de la seguridad en producción: Frente a errores, accidentes y
fraudes.
 Auditoría a empleados: Frente a errores, accidentes y fraudes, accesos no
autorizados y vulnerabilidad de claves.

PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA EFECTUAR UNA

AUDITORÍA DE SISTEMAS

En la realización de una auditoría informática el auditor puede realizar las

siguientes pruebas:

• PRUEBAS SUSTANTIVAS: Verifican el grado de confiabilidad del SO del

organismo. Se suelen obtener mediante observación, cálculos, muestreos,
entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican
asimismo la exactitud, integridad y validez de la información.
• PRUEBAS DE CUMPLIMIENTO: Verifican el grado de cumplimiento de lo
revelado mediante el análisis de la muestra. Proporciona evidencias de que los
controles claves existen y que son aplicables efectiva y uniformemente.

METODOLOGÍAS

La auditoría de sistemas es una parte fundamental de la Seguridad

Computacional que permite medir y controlar riesgos informáticos que pueden
ser aprovechados por personas o sistemas ajenos a nuestra organización o
que no deben tener acceso a nuestros datos.

En este sentido, identificar los riesgos de manera oportuna ayudará a

implementar de manera preventiva, las medidas de seguridad. Para facilitar
esta actividad, existen diferentes metodologías que ayudan en el proceso de
revisión de riesgos informáticos. Dos de las más utilizadas son Octave y
Magerit.

 OCTAVE: La metodología Octave, es una evaluación que se basa en

riesgos y planeación técnica de seguridad computacional. Es un proceso
interno de la organización, significa que las personas de la empresa
tienen la responsabilidad de establecer la estrategia de seguridad una
vez que se realice dicha evaluación, y es precisamente lo interesante de
esta metodología que la evaluación se basa en el conocimiento del
personal de la empresa para capturar el estado actual de la seguridad.
De esta manera es más fácil determinar los riesgos críticos. A diferencia
de las evaluaciones típicas enfocadas en la tecnología, OCTAVE está
dirigida a riesgos organizacionales y está enfocada en temas
estratégicos relacionados con la práctica, es flexible y puede aplicarse a
la medida para la mayoría de las organizaciones. En esta revisión es
necesario que las empresas manejen el proceso de la evaluación y
tomen las decisiones para proteger la información. El equipo de análisis,
integrado por personas de los departamentos de TI, de negocios, etc.,
 lleva a cabo la evaluación, debido a que todas las perspectivas son
cruciales para controlar los riesgos de seguridad computacional.
 MAGERIT - METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS
DE LOS SISTEMAS DE INFORMACIÓN: La metodología Magerit fue
desarrollada en España debido al rápido crecimiento de las tecnologías
de información con la finalidad de hacerle frente a los diversos riesgos
relacionados con la seguridad informática. La CSAE (Consejo Superior
de Administración Electrónica) promueve la utilización de esta
metodología como respuesta a la creciente dependencia de las
empresas para lograr sus objetivos de servicio.

OBJETIVOS DE LA AUDITORÍA DE SISTEMAS

La presencia de la tecnología cada vez en más ámbitos empresariales,

hace necesario un sistema de control, seguimiento y análisis, tal como la
auditoría de sistemas. En primer lugar, se precisa garantizar la seguridad a la
hora de tratar los datos, dotándolos de privacidad y buen uso. En segundo
lugar, para hacer del sistema informático, un proceso mucho más eficiente y
rentable, permitiendo detectar errores y tomando decisiones de manera
inmediata. Así, podemos decir que los objetivos de la auditoría de sistemas
son:

 Mejorar la relación coste-beneficio de los sistemas de información.

 Incrementar la satisfacción y seguridad de los usuarios de dichos
sistemas informatizados.
 Garantizar la confidencialidad e integridad a través de sistemas de
seguridad y control profesionales.
 Minimizar la existencia de riesgos, tales como virus o hackers, por
ejemplo.
 Optimizar y agilizar la toma de decisiones.
 Educar sobre el control de los sistemas de información, puesto que se
trata de un sector muy cambiante y relativamente nuevo, por lo que es
preciso educar a los usuarios de estos procesos informatizados.
 CONCLUSIÓN

La auditoría de sistemas es fundamental para garantizar el desempeño y

seguridad de los sistemas informáticos de una empresa, que sean confiables a la
hora de usarlos y garanticen la máxima privacidad posible

Por tanto, es un modo de control y evaluación no sólo de los equipos

informáticos en sí. Su ámbito de actuación gira también en torno al control de los
sistemas de entrada a dichos equipos (pensemos por ejemplo en claves y códigos
de acceso), archivos y seguridad de los mismos, etc.