Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TABAJO MONOGRÁFICO
ESTUDIANTE :
Barreto Sangama, Marilia
Tuesta Laithon, Annie
Vela Mori, Karla Isabel
IQUITOS – LORETO
2022
ÍNDICE
DEDICATORIA................................................................................................................................4
AGRADECIMIENTO........................................................................................................................5
INTRODUCCIÓN.............................................................................................................................6
1. El Uso de la Computadora por el Auditor..................................................................................7
1. 1 Objetivos de la auditoria computarizada............................................................................8
2. Control interno en los sistemas de cómputo.............................................................................9
2.1. Control interno..................................................................................................................9
2.2 Clasificación de los controles internos informáticos...........................................................10
3. Revisión y Evaluación del Control Interno Como Soporte del Trabajo del Auditor...................10
4. Ejemplos de Pruebas de funcionamiento y de Validación en un Ambiente de Información
computarizado............................................................................................................................12
5. Auditoría de Sistemas..............................................................................................................22
6. Controles Administrativos en un Ambiente de Procesamiento Electrónico de Datos...............25
7. Revisión del Centro de Cómputo.............................................................................................32
8. Evaluación de Seguridad..........................................................................................................33
8.1 ¿Qué implica una evaluación de seguridad?......................................................................33
8.2 ¿Cuál es el objetivo de una evaluación de seguridad y cuáles son sus beneficios?.............34
8.3 Pasos del diseño de un Plan de Seguridad Integral............................................................35
8.4 Ciclo de Seguridad.............................................................................................................36
9. Aplicación de procedimiento de validación mediante software especializadas.......................37
9.1 Software de auditoría........................................................................................................38
9. 2 Rutinas de Auditoría embebidas en Programas de aplicación:..........................................39
10. Preguntas de Repaso y Problemas.........................................................................................40
Conclusiones...............................................................................................................................46
Recomendaciones.......................................................................................................................47
Bibliografía..................................................................................................................................48
Referencias Bibliográficas............................................................................................................49
DEDICATORIA
4
AGRADECIMIENTO
AGRADEZCO A NUESTROS
PADRES POR EL APOYO Y AL
PROFESOR POR LA GUÍA Y
ORIENTACIÓN DURANTE CLASE
PARA ASÍ LOGRAR EL
PRESENTE TRABAJO.
5
INTRODUCCIÓN
6
la administración y su toma de decisiones enfocados hacia la mejora continua de
los procesos auditados.
7
de la entidad auditada. Incluyen métodos y procedimientos empleados para
efectuar su trabajo, que pueden ser administrativos, analíticos, informáticos, entre
otros; los cuales, son de suma importancia para el auditor informático cuando este
realiza una auditoría, sin dejar a un lado las técnicas tradicionales como son la
inspección, observación, confirmación, revisión, etc.
Las TAAC’s incluyen distintos tipos de herramientas y de técnicas, las que más
se utilizan son los softwares de auditoría generalizado, software utilitario, los datos
de prueba y sistemas expertos de auditoría. Se pueden utilizar para realizar varios
procedimientos de auditoría incluyendo:
8
evaluar todo: informática, organización de centros de información, hardware y
software.
9
Diagnóstico informático. El Diagnóstico Informático tiene por
objetivo, proporcionarnos una panorámica de cómo la empresa percibe y practica
la informática, a través de su administración, y de los usuarios primarios y
secundarios.
10
3. Revisión y Evaluación del Control Interno Como Soporte del Trabajo del
Auditor.
La auditoría en informática debe evaluar todo (informática, organización del
centro de cómputo, computadoras, comunicación y programas), con auxilio de los
principios de la auditoria administrativa, auditoría interna, auditoría
contable/financiera y, a su vez, puede proporcionar información a esos tipos de
auditoría. Las computadoras deben ser una herramienta para la realización de
cualquiera de las auditorias.
11
La evaluación administrativa del área de informática. esto comprende la
evaluación de:
12
Productividad.
Derechos de autor y secretos industriales.
13
Evidencia de las pruebas deberán incluir, límites de los parámetros de
sistema, límites de los datos y errores durante la ejecución.
14
Los cálculos se deben ejecutar con la precisión exhibida en la pantalla o en
informes. Las formulaciones se deben también proteger contra entrada accidental
en del tipo de datos apropiado (texto en un campo numérico y o de un formato
decimal en el campo numérico entero).
Sistema
Deberá existir un listado de los sistemas, localización y uso y riesgo.
Registro de cambios
Seguridad ambiental
Descripción escrita del sistema y diagrama de flujo
Interacción con otros sistemas
Límites del sistema
Entradas y salidas
Almacenamiento de data principal
Requisitos de programas
Medidas de seguridad
Programas (“Software”)
Data
15
La Gerencia de Control debe ser diseñado para asegurar la integridad de
datos y la grabación irrefutable de la identidad de los operadores (es decir el
rechazo de contraseñas compartidas)
Seguridad
El uso de llaves,
Tarjetas del paso
Códigos personales con contraseñas
Biométrica
Acceso restricto al material informático
Almacenes de datos.
Los accesos a usos, carpetas, los archivos y los datos deben ser
controlados vía los permisos detallados dentro del sistema de seguridad de
información. Debe existir métodos que registren la entrada desautorizada y/o o
modificaciones de datos. Estos métodos pueden incluir la hora que limita la
16
registración, la inscripción, y el reingreso del identificador único para los datos
críticos.
Verificación de exactitud
17
Un plan de validaciones es un documento formal donde se indica cómo se
llevará a cabo el ciclo de vida de la validación del sistema computadorizado. El
mismo deberá incluir:
Propósito
Alcance
Políticas y procedimientos
Estrategia de Validaciones
Estructura, referencias
Localización documentos de validaciones
Descripción de las facilidades, productos, operaciones, equipos de proceso
Registros Sistemas Computadorizados
Evaluación y racional de Validaciones
Programa priorización Validaciones
Justificación de sistemas a no ser validados
Responsabilidades y organización
Adiestramientos
Periodos de revisión
Programas de soporte y documentos de referencia
Análisis de riesgo y criticabilidad
Ciclo de validación
Claros
Concisos
Consistentes
No duplicados
Enfoque en funciones y no en implementación de métodos
18
“Functional Requirements Specification” (FRS)
Hardware y software
Traceability Matrix
Diseño de Pruebas
19
Prueba el programa mediante “inputs” y ““outputs” a situaciones típicas y
extremas.
Particularmente incluye “inputs” que describen excepciones o errores en la
descripción del problema.
IQ
Instalación Eléctrica
Ambiente (temperatura y humedad)
Componentes del hardware › Instalación de instrumentos y calibración
Suplido eléctrico y protección de los circuitos
Suplido de aire
Circuitos eléctricos
Instalación del programa
Backus del programa
“Grouding”
Protecciones
Número de Modelo
Número de Serie
Piezas de reemplazo
Manuales de operación
Registros de Calibración
Verificación de versiones y configuraciones del programa.
Inspección general del sistema
OQ
20
Interface de operación
Entrada y salida de datos
Almacenamiento de datos
Niveles de acceso de la seguridad
Registros y firmas electrónicas
Proceso y secuencia de operación
Lógica e interacción de control con el equipo
Interfaces a otros sistemas
Exhibiciones de la pantalla
Impresión de reportes
Mensajes de error y alarmas
Informes y datos
Respaldo y recuperación (“Back Up”)
PQ
Debe proporcionar una supervisión intensiva del sistema, en un ambiente
operacional, sobre un período de tiempo fijo representativo. Esto debe
concentrarse en el uso de procedimientos para permitir el acceso, respaldo y
recuperación, operación correcta, integridad de datos del uso, la dirección de los
errores de sistema y la supervisión/investigación en cualquier abertura de la
seguridad.
21
Operaciones lógicas y secuencias automáticas
Verificación SOPs
Reportes de data
Perdida de potencia y recobro
Procedimiento de Mantenimiento
5. Auditoría de Sistemas
22
centros de proceso de datos, instalaciones y unidades informáticas de las
organizaciones, con objeto de facilitar la consecución de los objetivos que
persiguen, tanto los del área informática como, primordialmente los del conjunto
de la organización. Verificar la calidad de los sistemas de información de la
organización y proponer mejoras de los mismos, coherentes con el proyecto de
calidad adoptado por la organización (cumplimiento de normas de calidad o
modelo de excelencia en gestión).
23
Control del uso de las TIC
Consecuencias de las pérdidas de datos
Valor del hardware, del software y del personal
Privacidad de los datos personales
Fraude informático
Función
Velar por la eficacia y eficiencia del SI, de forma que éste alcance con el
menor costo posible los objetivos.
Verificar el cumplimiento de las normas y estándares vigentes en la
organización (leyes de firma electrónica, de protección de datos de carácter
personal, de propiedad intelectual del software, etc.).
Supervisar el control interno ejercido sobre los SI conducente a la
protección de los activos de información de información de la organización:
recursos humanos, locales e instalaciones, infraestructuras tecnológicas,
sistemas y aplicaciones, información tributaria.
24
funcionen. En consecuencia, el auditor deberá revisar estos controles y su
funcionamiento. Las metodologías de auditoría de SI son de tipo
cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están
basadas en profesionales de gran nivel de experiencia y formación, capaces de
dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran
profesionalidad y formación continua.
Controles de Preinstalación
Controles de Organización y Planificación
Controles de Sistemas en Desarrollo y Producción
Controles de Procesamiento
25
Controles de Operación
Controles de uso de Microcomputadores
Controles de Preinstalación
Objetivos:
Acciones a seguir:
26
Se refiere a la definición clara de funciones, línea de autoridad y
responsabilidad de las diferentes unidades del área PAD, en labores tales como:
Diseñar un sistema
Elaborar los programas
Operar el sistema
Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operación.
Acciones a seguir:
27
Se debe justificar que los sistemas han sido la mejor opción para la
empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva
información, que los sistemas se han desarrollado bajo un proceso planificado y se
encuentren debidamente documentados.
Acciones a seguir:
28
Implantar procedimientos de solicitud, aprobación y ejecución de cambios a
programas, formatos de los sistemas en desarrollo.
El sistema concluido será entregado al usuario previo entrenamiento y
elaboración de los manuales de operación respectivos
Controles de Procesamiento
Acciones a seguir:
29
Los procesos interactivos deben garantizar una adecuada interrelación
entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando todas las
seguridades para garantizar la integridad de la información y el
buen servicio a
usuarios.
Controles de Operación
Abarcan todo el ambiente de la operación del equipo central de
computación y dispositivos de almacenamiento, la administración de la operación
de terminales y equipos de comunicación por parte de los usuarios de sistemas
online.
Acciones a seguir:
30
Mantener un registro permanente (bitácora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones de
procesos.
Los operadores del equipo central deben estar entrenados para recuperar o
restaurar información en caso de destrucción de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben
guardarse en lugares seguros y adecuados, preferentemente en bóvedas
de bancos.
Se deben implantar calendarios de operación a fin de establecer prioridades
de proceso.
Todas las actividades del Centro de Computo deben normarse mediante
manuales, instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deberá proporcionar lo siguiente:
Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso,
de fácil explotación, pero los controles que se implanten ayudaran a garantizar la
integridad y confidencialidad de la información.
Acciones a seguir:
31
Adquisición de equipos de protección como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisición del
equipo
Vencida la garantía de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
Establecer procedimientos para obtención de backups de paquetes y de
archivos de datos.
Revisión periódica y sorpresiva del contenido del disco para verificar la
instalación de aplicaciones no relacionadas a la gestión de la empresa.
Mantener programas y procedimientos de detección e inmunización
de virus en
copias no autorizadas o datos procesados en otros.
Propender a la estandarización del Sistema Operativo, software utilizado
como procesadores de palabras, hojas electrónicas, manejadores de base
de datos y mantener actualizadas las versiones y la capacitación sobre
modificaciones incluidas.
32
Revisión de controles ambientales
Se hace para verificar que existan formas adecuadas de organizar los archivos
en el computador, que estén respaldados, así como asegurar que el uso que le
dan es el autorizado.
8. Evaluación de Seguridad
33
8.1 ¿Qué implica una evaluación de seguridad?
34
trabajadores, la maquinaria y los insumos. Entonces, ¿cómo se realiza una
evaluación de seguridad? La cuestión radica en comparar las observaciones
realizadas con las recomendaciones existentes en los requisitos legales y
los niveles de exposición a riesgos laborales. Por otra parte, el control de uso y
mantenimiento de los fabricantes de máquinas y equipos es sumamente
necesario, además de etiquetar productos químicos o frágiles que puedan generar
algún inconveniente.
35
8.3 Pasos del diseño de un Plan de Seguridad Integral
Existen diferentes instancias que normalmente son necesarias para realizar una
evaluación del sistema de seguridad de un recinto en particular y diseñar un plan
que posteriormente sea implantado:
36
El área a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
Las Técnicas de Auditoría Asistida por Computadora pueden usarse para llevar
a cabo varios procedimientos de auditoría como los siguientes:
38
Pruebas de cumplimiento de los controles de aplicación de PED. Por
ejemplo, el uso de los datos de prueba para verificar el funcionamiento de
un procedimiento programado.
39
creación e impresión de archivos. Estos programas generalmente no están
diseñados para propósitos de auditoría y, por lo tanto, pueden no contener
características tales como conteo automático de registros o totales de
control.
Los programas de administración del sistema: Son herramientas de
productividad sofisticadas que son típicamente parte de los sistemas
operativos sofisticados, por ejemplo, software para recuperación de datos o
software para comparación de códigos. Como en el caso anterior, estas
herramientas no son específicamente diseñadas para usos de auditoría y
deben ser utilizadas con cuidado.
40
Traceo: Indica por dónde pasa el programa cada vez que se ejecuta
una instrucción. Imprime o muestra en la pantalla el valor de las
variables, en una porción o en todo el programa.
Mapeo: Son características del programa tales como tamaño en
bytes, localización en memoria, fecha de última modificación, etcétera.
Comparación de código: Involucra los códigos fuentes y códigos
objetos.
Job Accounting Software: Es un Informe de Contabilidad del
Sistema. Utilitario del sistema operativo que provee el medio para
acumular y registrar la información necesaria para facturar a los
usuarios y evaluar el uso del sistema.
Alcance
Objetivo
Recursos
Etapas de Trabajo
41
Una semana antes del comienzo de la auditoria se envía un
cuestionario a los gerentes o responsables de las distintas áreas de
la empresa. El objetivo de este cuestionario es saber los equipos que
usan y los procesos que realizan en ellos.
3. Objetivos de control
42
Se evaluarán la existencia y la aplicación correcta de las políticas de
seguridad, emergencia y disaster recovery de la empresa.
43
Uso restringido de medios removibles (USB, CD-ROM, discos
externos etc.).
5. Pruebas a realizar
7. Conclusiones y comentarios
44
como por ejemplo normativas de uso de passwords, formularios de
adquisición de equipos, y estudios previos a las adquisiciones para
comprobar el beneficio que los mismos aportarían. Finalmente se
verán los temas de organización empresarial, como son partes
responsables de seguridad, mantenimiento y supervisión de las otras
áreas
Marca
Modelo
Número de Serie
Problema encontrado
Solución recomendada
45
de los auditores. Mientras que en el resumen se verán las posibles
soluciones de esos puntos críticos y fallas, así como
recomendaciones para el buen uso y también recomendaciones
sobre la forma incorrecta de realizar algunos procedimientos.
46
Conclusiones
47
Recomendaciones
48
Bibliografía
49
Referencias Bibliográficas
https://ingenieriayeficiencia.com/evaluacion-de-seguridad/
https://cursos.clavijero.edu.mx/cursos/087_aa/modulo5/contenidos/tema5.3.html
https://1library.co/document/zpx65goq-ejemplo-de-auditoria-de-sistemas.html
https://www.uv.mx/personal/artulopez/files/2012/10/07-Auditoria-de-SI.pdf
https://es.slideshare.net/smileinfected/validacin-de-sistemas-computarizados
50