Auditoria Informática 1415 v8 Rev

AUDITORIA INFORMÁTICA
Tecnología del Proceso de Software.
Máster en Ingeniería y Tecnología del Software.
Curso 2014-2015
Autores:
Manuel Arenillas Luna
Rafael Manuel Reina Ramírez
MITS-TPS [Auditoría Informática] Página 1

ÍNDICE
0. INTRODUCCIÓN ...................................................................................................................................................... 3
1. CONCEPTO DE AUDITORÍA. ..................................................................................................................................... 5
2. FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA,................................................................................................. 9
3. METODOLOGÍA DE AUDITORÍA INFORMÁTICA. .....................................................................................................15
5. CONTRATO DE AUDITORÍA INFORMÁTICA. ............................................................................................................22
6. MARCO LEGAL Y ÉTICO DE LA AUDITORÍA INFORMÁTICA. .....................................................................................29
7. AUDITORÍA DE OUTSOURCING DE TI. ....................................................................................................................32
8. AUDITORÍA DURANTE EL DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN...............................38
9. AUDITORÍA DE LA VIDEOVIGILANCIA. ....................................................................................................................43
10. AUDITORÍA DE LOS DATOS DE CARÁCTER PERSONAL...........................................................................................49
11. AUDITORÍA DE PROCESOS....................................................................................................................................53
12. AUDITORÍA DE CALIDAD ......................................................................................................................................62
13. AUDITORÍA DE DIRECCIÓN INFORMÁTICA. ..........................................................................................................66
14. AUDITORÍA DE LA BASE DE DATOS .......................................................................................................................71
15 AUDITORÍA INFORMÁTICA DE EXPLOTACIÓN. ......................................................................................................78
16. AUDITORÍA DE APLICACIONES INFORMÁTICAS. ...................................................................................................87
17. AUDITORÍA DE REDES INFORMÁTICAS. ..............................................................................................................101
18. AUDITORÍA DE SEGURIDAD FÍSICA. ....................................................................................................................106
19. AUDITORÍA DE LA SEGURIDAD LÓGICA. .............................................................................................................109
20. CONCLUSIONES ..................................................................................................................................................114
REFERENCIAS ...........................................................................................................................................................117
ANEXOS CHECKLIST DE VERIFICACIÓN DESARROLLO DE SOFTWARE. .......................................................................120

0. Introducción
El objetivo de este trabajo es dar una visión global del concepto de Auditoría informática y cómo se
lleva a cabo en las diferentes áreas en las que actúa.
La información se ha convertido en un activo fundamental para las organizaciones. Un mercado

global cada vez más competitivo y cambiante en el que se manejan grandes volúmenes de información
es fundamental una adecuada toma de decisiones por parte de las organizaciones para asegurar su
supervivencia y posición competitiva en el mismo.
En este contexto las empresas tienen la necesidad de contar con un sistema de información que
genere información exacta, completa, confidencial y disponible a partir de los datos obtenidos del exterior y
del interior de la organización, para la toma de decisiones estratégicas y en muchos casos que permitan una
reducción de costes y un incremento de beneficios mejorando la productividad de su actividad económica.
Las Tecnologías de la Información y la Comunicación han ayudado a los sistemas de información

con la automatización del tratamiento y comunicación de grandes volúmenes de datos.
Esta necesidad ha provocado que las organizaciones se interesen por la gestión de la seguridad
(como por ejemplo la protección de los datos de carácter personal) y por la gestión total de la calidad (como
por ejemplo garantizar la satisfacción de los clientes).
Como hemos visto el entorno de la organización influye en las decisiones internas a la misma, en
concreto, el entorno económico-financiero determina la actividad económica de los mercados (tanto el de
productos/servicios como el de los factores de producción) a través de la ley de oferta y demanda y a través
de las fuentes externas de financiación de las empresas. Escándalos en este mercado son los responsables de
las prácticas y regulaciones actuales. Una de estas prácticas es la auditoría de cuentas.
El origen de la auditoría de cuentas tenemos que buscarlo en los escándalos contables surgidos a
finales del siglo XX y principios del siglo XXI. En esta situación de inestabilidad económica y financiera, las
organizaciones han tenido que hacer uso de la auditoría financiera para poner orden en sus estados contables
y balances. La auditoría informática ha surgido como apoyo a este control contable con el objetivo de
mejorar las actividades de las organizaciones y el control de las mismas.
Según la RAE, la auditoría contable es “Revisión de la contabilidad de una empresa, de una sociedad, etc.,
realizada por un auditor.”

En primer lugar se hará una exposición de conceptos fundamentales respecto a la auditoría
informática y el control interno en las organizaciones. A continuación se describirá como se aplica la
auditoría en las diferentes áreas funcionales de los sistemas de información y por último se expondrán casos
de aplicación de algunas de estas auditorías.
Los objetivos de este trabajo son los siguientes:
 Presentar los conceptos sobre auditoría en sistemas y tecnologías de la información.
 Describir como se lleva el control interno en las diferentes áreas de un sistemas informático.
 Mostrar el marco jurídico y ético que afecta a la auditoría informática.
 Proporcionar herramientas de ayuda a la tarea del auditor.
 Describir experiencias en auditoría informática.

1. Concepto de Auditoría.
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado, que puede ser una persona, organización, sistema, proceso, proyecto o
producto.
Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la
«auditoría externa de estados financieros», que es una auditoría realizada por un profesional experto en
contabilidad, de los libros y registros contables de una entidad, para opinar sobre la razonabilidad de la
información contenida en ellos y sobre el cumplimiento de las normas contables.
El origen está en la inspección de los elementos contables.
Los estados financieros, también denominados estados contables, informes financieros o cuentas
anuales, son informes que utilizan las instituciones para dar a conocer la situación económica y financiera y
los cambios que experimenta la misma a una fecha o periodo determinado. Esta información resulta útiles
para la Administración, gestores, reguladores y otros tipos de interesados como los accionistas, acreedores o
propietarios.
La mayoría de estos informes constituyen el producto final de la contabilidad y son elaborados de

acuerdo a principios de contabilidad generalmente aceptados, normas contables o normas de información
financiera. La contabilidad es llevada adelante por contadores públicos que, en la mayoría de los países del
mundo, deben registrarse en organismos de control públicos o privados para poder ejercer la profesión.
El objetivo de los estados financieros, es proveer información sobre el patrimonio del emisor a una
fecha y su evolución económica y financiera en el período que abarcan, para facilitar la toma de decisiones
económicas. Se considera que la información a ser brindada en los estados financieros debe referirse a los
siguientes aspectos del ente emisor:
 Su situación patrimonial a la fecha de los estados
 Un resumen de las causas del resultado asignable a ese lapso;
 La evolución de su patrimonio durante el período;
 La evolución de su situación financiera por el mismo período,
 Otros hechos que ayuden a evaluar los montos, momentos e incertidumbres de los futuros flujos de
fondos de los inversores

Además a través de los estados financieros, las empresas pueden tener una idea real de sus utilidades,
funcionamientos económicos y movimientos contables.
Los Estados financieros obligatorios dependen de cada país, siendo los componentes más habituales los
siguientes:
• Estado de situación patrimonial (también denominado Estado de Situación Financiera, Balance

General o Balance de Situación)
• Estado de resultados (también denominado Estado de Pérdidas y Ganancias o cuenta de pérdidas y

ganancias)
• Estado de evolución de patrimonio neto (también denominado Estado de Cambios en el Patrimonio

Neto)
Los Estados Financieros resultan útiles para los usuarios ya que contienen datos que
complementados con otras informaciones como por ejemplo; las condiciones del mercado en que se opera,
permiten diagnosticar las políticas a seguir considerando nuevas tendencias (limitaciones de los estados
financieros).así mismo se dice que para la presentación de los estados financieros se deberá considerar
información real para ser más exactos con los resultados.
La información financiera debe reunir determinadas características cualitativas con el fin de

proporcionar el cumplimiento de sus objetivos y, en consecuencia garantizar la eficacia en su utilización por
parte de sus diferentes destinatarios (usuarios).
Las características que deben reunir los estados financieros son:
• Comprensibilidad: la información debe ser de fácil comprensión para todos los usuarios, no obstante
también se deben agregar notas que permitan el entendimiento de temas complejos, para la toma de
decisiones.
• Relevancia: la información será de importancia relativa, cuando al presentarse dicha información y

omitirse por error, puede perjudicar e influir en las decisiones tomadas.
• Confiabilidad: la información debe estar libre de errores materiales, debe ser neutral y prudente, para
que pueda ser útil y transmita la confianza necesaria a los usuarios.
• Comparabilidad: esta información se debe presentar siguiendo las normas y políticas contables, de
manera que permita la fácil comparación con periodos anteriores para conocer la tendencia, y
también permitirá la comparación con otras empresas.

Concepto de AUDITORIA
Contenido Una opinión.
Condición Profesional
Justificación Sustentada en procedimientos: planificación y seguimiento de los planes.
Objeto Información almacenada
Finalidad Determinar si presenta adecuadamente la realidad o ésta responde a las

espectativas que le son atribuídas, es decir, su finalidad.
Clasificación  Financiera: el objetivo son las cuentas contables.
 Informática: el objetivo son los sistemas informáticos, planes de

contingencia,...
 Gestión: objetivo la dirección.
Concepto de CONSULTORÍA
Contenido Asesoramiento o consejo.
Condición Especializada.
Justificación Sustentada en exámen o análisis.
Objeto Una actividad o cuestión.
Finalidad Establecer la manera de llevarla a cabo adecuadamente.
Clasificación  Financiera: el objetivo son los planes de cuentas, los

procedimientos administrativos.
 Informática: el objetivo son los sistemas informáticos, planes de

contingencia,...
Concepto de CONTROL INTERNO
Contenido Actividad o acción.
Condición Profesional
Justificación Sustentada en los continuos cambios de procedimientos del negocio,

información financiera, operaciones.

Objeto Cambios en la organización.
Finalidad Corregir errores o irregularidades. Hacer frente a los retos futuros y

asegurar la integridad de las organizaciones.
Clasificación  Preventivos: destinados a evitar el hecho.
 Detectivos: tratar de conocer cuanto antes el evento.
 Correctivos: facilitar la vuelta a la normalidad cuando se han

producido incidencias.

2. Fundamentos de la Auditoría Informática.
Introducción
La Auditoría informática sirve como apoyo a la auditoría financiera surgida de la necesidad de

controlar la contabilidad de las organizaciones. A finales siglo XX es indiscutible ver la información como
un activo de las organizaciones que le permiten tener una posición competitiva en un entorno globalizado y
dinámico.
La toma de decisiones requiere el uso de Sistemas de Información que generen y comuniquen la

información de forma eficiente, segura y sin errores con el fin de que la empresa gestione sus "negocios" de
forma rápida y eficiente con el fin de obtener beneficios económicos y de costes. En este marco es evidente
la importancia de las Tecnologías de la Información y Comunicación para las empresas y por tanto la
necesidad de una Auditoría Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado

como una evaluación cuyo único fin es detectar errores y señalar fallas. El concepto de auditoría es mucho
más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección,
un organismo, una entidad, etc.
Los principales objetivos que constituyen a la auditoría Informática son el control de la función
informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del
cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los
recursos materiales y humanos informáticos.
Al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos,
etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La
importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:
 Las computadoras y los Centros de Proceso de Datos se convirtieron en objetivos para el espionaje,
la delincuencia y el terrorismo. Por eso surge la Auditoría Informática de Seguridad.
 Las computadoras creadas para procesar y difundir resultados o información elaborada pueden
producir resultados o información errónea si dichos datos son, a su vez, erróneos. Por eso surge la
Auditoría Informática de Datos.
La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus
conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos
de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer

sugerencias y planes de acción para eliminar las disfunciones y debilidades antes mencionadas; estas
sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.
Existen dos tipos de auditoría:
 La auditoría interna: es la realizada con recursos materiales y personas que pertenecen a la empresa
auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría
interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en
cualquier momento.
 La auditoría externa: es realizada por personas afines a la empresa auditada; es siempre remunerada.
Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento
entre auditores y auditados.
En este punto se puede plantear la pregunta ¿es la auditoría informática un control interno? Por un
lado tienen puntos en común pero también diferencias.
El Control Interno Informático controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la Dirección de
la Organización y/o el Departamento de Informática, así como los requerimientos legales.
La Auditoría Informática recoge, agrupa y evalúa evidencias para determinar si un sistema

informático protege los activos, asegura la integridad de los datos, usa eficientemente los recursos y lleva a
cabo los fines de la organización.

CONTROL INTERNO AUDITORÍA INFORMÁTICA
INFORMÁTICO
SIMILITUDES Lo realiza el personal interno a la organización.

Conocimientos en TIC.
Verificación del cumplimiento de controles internos, normativa, procedimientos
establecidos por la Dirección de la Organización y/o el Departamento de Informática
para los sistemas de información.
DIFERENCIAS Análisis de controles día a día. Análisis de un momento informático

Informa a la Dirección del determinado.
Departamento de Informática. Informa a la Dirección General de la
Sólo por personal interno. Organización.
Sólo en el ámbito del Departamento de Puede ser llevado a cabo por personal
Informática. interno y/o externo.
Se realiza sobre todos los componentes de
los sistemas de información de la
Organización

Pero, ¿Qué es el control interno?
El objetivo es prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un

sistema informático, por lo que afectará a la consecución de los objetivos fijados para dicho sistema.
La complejidad de los sistemas informáticos, ha convertido estos controles en procesos integrados.

Por ejemplo al hablar de seguridad del sistema nos referimos tanto a la seguridad del programa, como de los
datos.
Algunos ejemplos de controles internos son:
 Controles generales organizativos: los objetivos son las políticas de Dirección, la planificación, los
estándares.
 Controles de desarrollo, adquisición y mantenimiento de sistemas de información: los objetivos son

la metodología de desarrollo, explotación y mantenimiento del software.
 Controles en aplicaciones: los objetivos son las entradas de datos, los tratamientos de datos y las
salidas de datos.
 Controles sobre los Sistemas de Gestión de Bases de Datos: los objetivos son el acceso, la
concurrencia, los errores, las transacciones, la integridad de datos.
 Controles sobre los sistemas distribuidos y redes: los objetivos son la compatibilidad de datos,
seguridad en la conexión, inventario de elementos de red, cifrado de datos…
 Controles sobre el hardware: los objetivos son las políticas de adquisición, mantenimiento, seguridad
física y lógica, inventario,…
 Controles de calidad: los objetivos son la existencia de un Plan de Calidad basado en el Plan de la
Entidad a Largo Plazo y el Plan a Largo Plazo de Tecnología, el esquema de Garantía de la
Calidad,…
Y… ¿qué es la Auditoría informática?
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se
refiere a todo aquel que tiene la virtud de oír.
El objetivo de la Auditoría Informática es, teniendo en cuenta unas normas, técnicas y buenas
prácticas:

• evaluar y asegurar la calidad, seguridad, razonabilidad, y disponibilidad de la INFORMACION
tratada y almacenada a través del computador y equipos afines,
• evaluar la eficiencia, eficacia y economía con que la administración de un ente están manejando
dicha INFORMACION y todos los recursos físicos y humanos asociados para su adquisición,
captura, procesamiento, transmisión, distribución, uso y almacenamiento.
Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de
auditoría de general aceptación y conocimiento técnico específico.
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
• Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de
seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujos de
datos entre programas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los
datos.
• Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad,

confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de

riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de

información.
• Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los

sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
La Auditoría es más fácil y efectiva si la organización ha implantado un marco de buenas prácticas

respecto a las TIC. Un ejemplo de buenas prácticas es COBIT.

Departamento de Auditoría informática
El departamento de auditoría de sistemas de información tiene como misión proveer a los

órganos de gobierno y a los de gestión de un sistema de control interno de recursos
informáticos bien definido que ayuden a crear valor en la organización.
De la definición anterior se pueden extraer las respuestas a las siguientes preguntas:
 ¿para quién se crea el departamento de auditoría informática?
 ¿sobre qué recursos se aplica?
 ¿con qué objetivos?
El departamento de auditoría informática será el encargado de revisar, evaluar y validar la

consecución de los objetivos de negocio respecto a los recursos informáticos e identificar los
riesgos relativos a las TIC (Tecnologías de la Información y comunicación) para minimizar sus
efectos sobre la organización.
Este departamento depende del Consejo de Administración, no asumirá responsabilidades

operativas en la organización y tendrá acceso a toda la información d ella misma.
El departamento estará formado por:
 Personal técnico auditor.
 Sistemas de información para auditar.
 Recursos económicos necesarios.
La ubicación del departamento será en aquellas zonas geográficas importantes para el negocio.
Su tamaño dependerá de la organización.
Además del departamento será necesario un Estatuto de Auditoría que recoja las normas
internacionales al respecto, el propósito, autoridad y responsabilidad de la auditoría. Este estatuto
debe ser público y debe divulgarse entre los miembros de la organización.

3. Metodología de Auditoría Informática.
Cuando se va a realizar un trabajo con una cierta complejidad y de un tamaño determinado es

imprescindible disponer de una metodología que permita abordar el trabajo a realizar. La metodología se
define como el conjunto de métodos (modo de decir o hacer con orden una cosa) que permiten abordar éste
de forma ordenada y consecuente.
Las metodologías surgen como resultado a la experiencia humana en un campo de trabajo.
Hay dos tipos de metodologías:
 las de control general que son llevadas a cabo por auditorías externas, normalmente homologadas a
nivel internacional.
 Las de auditores internos a la propia organización.
El objetivo de las metodologías es detectar las vulnerabilidades del sistema a auditar y emitir un
informe final con los controles a realizar y las recomendaciones.
Un ejemplo de metodología podría ser el siguiente:
1. Identificar el área a revisar y el responsable de la misma.
2. Identificar la información relevante desde el punto de vista de la auditoría.
3. Identificar los objetivos y alcance de la auditoría y los usuarios específicos afectados por la misma.
4. Comprender el sistema de forma detallada, para ello se pueden usar cuestionarios y entrevistas con
los usuarios identificados en el paso anterior.
5. Identificar los puntos de control críticos.
6. Diseñar y elaborar los procedimientos de Auditoría.
7. Ejecutar pruebas sobre los puntos de control críticos.
8. Evaluar los resultados obtenidos de las pruebas.
9. Realizar los informes y recomendaciones de acuerdo a los resultados obtenidos.
Los puntos de control críticos a los que nos hemos referido anteriormente son los siguientes:
1. Controles sobre las entradas, tratamientos y salidas de datos. El objetivo de este punto de control es

detectar accesos no permitidos, controlar los logs de acceso y estudiar la repercusión que tienen los
redondeos sobre las operaciones matemáticas.
2. Controles de documentación. El objetivo es comprobar la corrección de los documentos generados.
3. Controles de backups y rearranque. El objetivo es verificar la existencia de un plan de Contingencias

que garantice la seguridad del sistema.
4. Controles sobre los propios programas de auditoría. El software específico de auditoría debe ser
utilizado por personal autorizado.
5. Control de la satisfacción del cliente respecto al acceso a la información, calidad de los resultados,
participación del cliente en el ciclo de vida del software, resolución de problemas, errores e
irregularidades.
El objetivo es asegurar la calidad del sistema a auditar.
El éxito de una auditoría depende de la existencia de un Plan de Auditoría con la siguiente información:
 Descripción de la organización y funciones del departamento responsable de la auditoría

informática. En este punto tiene lugar la asignación de responsabilidades en los diferentes perfiles
profesionales que intervienen en el proceso de auditoría.
 Procedimientos a aplicar en las diferentes áreas a auditar.
 Metodología de trabajo a aplicar.
 Sistema de evaluación y aspectos a evaluar.
 Calendario de auditoría.
 Seguimiento de las acciones correctoras.
 Plan quincenal.
 Plan anual.
Como resultado de la auditoría se obtiene un informe final dirigido a las partes interesadas en la
auditoría. En este informe se especifican cada uno de los descubrimientos realizados y se especifican las
observaciones relevantes según el auditor. Este informe recoge las recomendaciones y conclusiones a las que
ha llegado el auditor. Los puntos básicos que aborda el informe son: alcance, objetivo, período de cobertura,
naturaleza, metodología empleada, organización, partes interesadas, restricciones de aplicación. La estructura

del informe contiene al menos las siguientes partes: título, resultados, conclusiones, riesgos,
recomendaciones, valoración del auditor.

4. Herramientas para Auditar.
Para auditar se pueden utilizar cualquiera de las siguientes herramientas de uso general en cualquier
observación de la realidad:
 Observación
 Realización de cuestionarios
 Entrevistas a auditados y no auditados
 Muestreo estadístico
 Flujogramas
 Listas de chequeo
 Mapas conceptuales
Entre los tipos de herramientas principales para la auditoría, destacan:
1. EAM (Enterprise Asset Management): herramientas embebidas cuyo objetivo es el mantenimiento

de activos: automatización de plantas, monitoreo, reparaciones remotas de equipos, intercambio de
información en línea y masificación de compras electrónicas.
2. GAT/CAAT: son herramientas verticales de auditoría. Sus referentes son IDEA y ACL.
3. Hacking ético, herramientas para detectar vulnerabilidades.
4. Compliance son herramientas que permiten prevenir riesgos que puedan ocurrir en la organización.
Para la Auditoría de Sistemas de Información y TIC (ASITIC) tenemos una serie de herramientas
que se clasifican atendiendo a diversos criterios.
 Herramientas según la procedencia:
o Del entorno de adquisición-construcción: lenguajes de programación debuggers,…
o De prueba: ITF (Integrated Test Facilities)
o Del entorno de explotación-operación como accesos a la información.

o Del software del sistema como accesos no permitidos en modo privilegiado.
o De TCP/IP e internet para realizar el hacking ético: AD Mutate, Back Oriffice, Explore Zip,
HTT Port …
o Específicas de auditoría y ofimática.
 Herramientas según su función:
o De captura de datos: muestreo, vigilancia o forense (Guiadance Software, X-Ways Software)
o De análisis.
 Herramientas según el uso o propósito:
o Para auditoría.
o Para otros usos legítimos (detección de fraudes, investigaciones, demoscopias…)
o Para usos ilegítimos (perfilado de clientes,…)
 Herramientas según su ubicación:
o Embebidas en la aplicación o sistema (EAM).
o Exentas, que interactúan con el resto del software. Las exentas pueden ser:
▪ Exentas Horizontales: ofimática (Groupware y GRC, Governance, Risk and

Compliance)
▪ Exentas Verticales: Audinfor, BindView, Paisley, Protiviti Inc, RVR Systems,

Sistemas Expertos, Team Mate, TripWire.
▪ Exentas Verticales Técnicas: ACL, IDEA, SAS, SPSS.
o Gratuitas: Novell [ http://www.novell.com/products/zenworks/assetmanagement/ ]
 [http://www.gesia.es/ ] este es un software específico para la auditoría de cuentas de una

organización.

Ficha del producto GESIA
REALIZA Crea un archivo por cada cliente y año de auditoría.
Rellena automáticamente todas las cédulas contables, sumarias y auxiliares al importar el Balance de
Comprobación del Cliente o el diario de contabilidad.
Confecciona automáticamente el Balance de Situación, la Cuenta de Resultados, etc.
Actualiza automáticamente todos los ratios necesarios para la Revisión Analítica.
Calcula la cifra de Importancia Relativa y el Error Tolerable.
ORGANIZA Normaliza papeles y referencias de trabajo.
Sistematiza la labor del auditor.
Modeliza los trabajos por tipos y sectores.
Prepara auditorías recurrentes.
GESTIONA Introducción de cuentas y saldos.
Manejo del Diario y visualización de Mayores.
Preparación y emisión de cédulas de trabajo.
Ajustes y reclasificaciones propuestos.
Sencilla navegación a través de todos sus módulos.
Inclusión de comentarios y conclusiones.
Más de 80 listados diferentes.
Exportación de las Cuentas Anuales a XBRL.
CONTROLA El grado de avance de los trabajos.
La cumplimentación de programas.
Controla la calidad de los procedimientos aplicados.
 [http://winaudit.codeplex.com/] es un software libre para realizar la auditoría de sistemas operativos

windows. Al ejecutar la aplicación, recoge información del sistema operativo.

Ilustración 1. Interfaz de usuario ejecutando Winaudit sobre un Windows 7

5. Contrato de auditoría informática.
La auditoría informática puede entenderse desde dos puntos de vista:
 como arrendamiento de servicio que se desarrolla en un período de tiempo. En este caso el resultado
del servicio no se puede pactar y por lo tanto no queda recogido en el contrato.
 Como arrendamiento de obra por lo que debe materializarse el contrato en el informe de auditoría.
Todo contrato debe tener los siguientes elementos básicos:
 Empresa auditada.
 Proveedor de la Auditoría.
 Los objetivos de la auditoría.
 Las cláusulas del contrato.
Un modelo de contrato de servicio de auditoría se podría estructurar de la siguiente manera:
• Datos del cliente y el proveedor.
• Exposición de motivos que dan lugar al contrato.
• Cláusulas por las que se regula el contrato.
• Firmas de ambas partes.
• Anexos que complementen las claúsulas anteriores con las penalizaciones, responsabilidades
penales,… que se puedan derivar del incumplimiento de las cláusulas.

MODELO DE CONTRATO DE AUDITORIA INFORMÁTICA
En (…), a (…) de (…) de (…)

REUNIDOS
DE UNA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y representación de
(…), en adelante, el “CLIENTE”, domiciliada en (…), calle (…) nº (…), C.P. (…) y C.I.F. (…).
DE OTRA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y representación de la
mercantil (…), en adelante, el “PROVEEDOR”, domiciliada en (…), calle (…) nº (…), C.P. (…) y C.I.F.
(…).
El CLIENTE y el PROVEEDOR, en adelante, podrán ser denominadas, individualmente, “la Parte”

y, conjuntamente, “las Partes”, reconociéndose mutuamente capacidad jurídica y de obrar suficiente para la
celebración del presente Contrato
EXPONEN
PRIMERO: Que el CLIENTE está interesado en la contratación de los servicios de:

a) Auditoria de los sistemas informáticos.
b) Realización de un informe detallado sobre la situación de los sistemas informáticos, con un plan que
garantice el óptimo nivel de los sistemas informáticos.
c) Otros servicios consistentes en (…) [citar todos y cada uno de los servicios adicionales en su caso]
El CLIENTE está interesado en contratar dichos servicios para conocer la situación y la operatividad de
sus sistemas informáticos, software y hardware. [indicar la necesidad del cliente]
SEGUNDO: Que el PROVEEDOR es una empresa especializada en la prestación de servicios de

Auditoria, seguimiento, conservación de sistemas informáticos y formación.
TERCERO: Que las Partes están interesadas en celebrar un contrato de PRESTACIÓN DE SERVICIOS
INFORMÁTICOS en virtud del cual el PROVEEDOR preste al CLIENTE los servicios de:
a) Auditoria de los sistemas informáticos.
b) Realización de un informe detallado sobre la situación de los sistemas informáticos, con un plan que
garantice el óptimo nivel de los sistemas informáticos.
c) Otros servicios consistentes en (…) [citar todos y cada uno de los servicios adicionales en su caso]
Que las Partes reunidas en la sede social del CLIENTE, acuerdan celebrar el presente contrato de

PRESTACIÓN DE SERVICIOS INFORMÁTICOS, en adelante, el “Contrato”, de acuerdo con las
siguientes
CLÁUSULAS
PRIMERA.- OBJETO
En virtud del Contrato el PROVEEDOR se obliga a prestar al CLIENTE los servicios de auditoría de los
sistemas informáticos del CLIENTE y la realización posterior de un informe detallado para conocer la
situación y la operatividad de sus sistemas informáticos, software y hardware, con un plan que garantice el
óptimo nivel de los sistemas informáticos. [citar todos los servicios] en adelante, “los Servicios”, en los
términos y condiciones previstos en el Contrato y en todos sus Anexos.
SEGUNDA.- TÉRMINOS Y CONDICIONES GENERALES Y ESPECÍFICOS DE PRESTACIÓN

DE LOS SERVICIOS
1. Los Servicios se prestarán en los siguientes términos y condiciones generales:
1. El PROVEEDOR responderá de la calidad del trabajo desarrollado con la diligencia exigible a
una empresa experta en la realización de los trabajos objeto del Contrato.
2. El PROVEEDOR se obliga a gestionar y obtener, a su cargo, todas las licencias, permisos y
autorizaciones administrativas que pudieren ser necesarias para la realización de los Servicios.
3. El PROVEEDOR se hará cargo de la totalidad de los tributos, cualquiera que sea su naturaleza y
carácter, que se devenguen como consecuencia del Contrato, así como cualesquiera operaciones
físicas y jurídicas que conlleve, salvo el Impuesto sobre el Valor Añadido (IVA) o su
equivalente, que el PROVEEDOR repercutirá al CLIENTE.
4. El PROVEEDOR guardará confidencialidad sobre la información que le facilite el CLIENTE en
o para la ejecución del Contrato o que por su propia naturaleza deba ser tratada como tal. Se
excluye de la categoría de información confidencial toda aquella información que sea divulgada
por el CLIENTE, aquella que haya de ser revelada de acuerdo con las leyes o con una
resolución judicial o acto de autoridad competente. Este deber se mantendrá durante un plazo de
tres años a contar desde la finalización del servicio.
5. En el caso de que la prestación de los Servicios suponga la necesidad de acceder a datos de
carácter personal, el PROVEEDOR, como encargado del tratamiento, queda obligado al
cumplimiento de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal y del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999 y demás normativa aplicable.
El PROVEEDOR responderá, por tanto, de las infracciones en que pudiera incurrir en el caso de
que destine los datos personales a otra finalidad, los comunique a un tercero, o en general, los
utilice de forma irregular, así como cuando no adopte las medidas correspondientes para el
almacenamiento y custodia de los mismos. A tal efecto, se obliga a indemnizar al CLIENTE,
por cualesquiera daños y perjuicios que sufra directamente, o por toda reclamación, acción o
procedimiento, que traiga su causa de un incumplimiento o cumplimiento defectuoso por parte
del PROVEEDOR de lo dispuesto tanto en el Contrato como lo dispuesto en la normativa
reguladora de la protección de datos de carácter personal.
A los efectos del artículo 12 de la Ley 15/1999, el PROVEEDOR únicamente tratará los datos
de carácter personal a los que tenga acceso conforme a las instrucciones del CLIENTE y no los
aplicará o utilizará con un fin distinto al objeto del Contrato, ni los comunicará, ni siquiera para

su conservación, a otras personas. En el caso de que el PROVEEDOR destine los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones del Contrato, será
considerado también responsable del tratamiento, respondiendo de las infracciones en que
hubiera incurrido personalmente.
El PROVEEDOR deberá adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida,
tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de
los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o
del medio físico o natural. A estos efectos el PROVEEDOR deberá aplicar los niveles de
seguridad que se establecen en el Real Decreto 1720/2007 de acuerdo a la naturaleza de los
datos que trate.
6. El PROVEEDOR responderá de la corrección y precisión de los documentos que aporte al
CLIENTE en ejecución del Contrato y avisará sin dilación al CLIENTE cuando detecte un error
para que pueda adoptar las medidas y acciones correctoras que estime oportunas.
7. El PROVEEDOR responderá de los daños y perjuicios que se deriven para el CLIENTE y de las
reclamaciones que pueda realizar un tercero, y que tengan su causa directa en errores del
PROVEEDOR, o de su personal, en la ejecución del Contrato o que deriven de la falta de
diligencia referida anteriormente.
8. Las obligaciones establecidas para el PROVEEDOR por la presente cláusula serán también de
obligado cumplimiento para sus posibles empleados, colaboradores, tanto externos como
internos, y subcontratistas, por lo que el PROVEEDOR responderá frente al CLIENTE si tales
obligaciones son incumplidas por tales empleados.
2. El PROVEEDOR prestará los Servicios en los siguientes términos y condiciones específicos:

1. El PROVEEDOR realizará una auditoria de los sistemas informáticos del CLIENTE para
conocer la situación exacta en que se encuentran los sistemas informáticos del CLIENTE,
software y hardware.
2. Una vez realizada la auditoria, los técnicos encargados de la misma realizarán un informe
detallado de la situación, con un plan que garantice el óptimo nivel de los sistemas informáticos
en el día a día y que planifique las necesidades que van surgiendo en el CLIENTE, atendiendo a
las nuevas tecnologías y su constante evolución. Dicho plan podrá llevar a la contratación de
otros servicios prestados por el PROVEEDOR.
3. Para la realización de la auditoria se desplazarán a la sede del CLIENTE dos técnicos del
PROVEEDOR, uno como analista de sistemas y otro como asesor informático.
4. Los técnicos del PROVEEDOR realizarán su trabajo durante el horario comercial del CLIENTE
[indicar horario e incluir cuando proceda fines de semana y festivos].
5. El CLIENTE con la asistencia del PROVEEDOR realizará las copias necesarias de la
programación, información, etc., para evitar su desaparición en el transcurso de la auditoria.
6. El PROVEEDOR realizará controles remotos, para elaborar un diagnóstico a través de soporte
con P.C. o por teléfono, de los sistemas informáticos del CLIENTE.
7. El encargado de los sistemas informáticos del CLIENTE estará en todo momento a disposición
de los técnicos del PROVEEDOR para la realización de la auditoria y facilitará las claves y
passwords necesarios para comprobar todos los sistemas y la descripción de los mismos.
8. Realizada la auditoria y antes de finalizar el informe completo, sin el plan para garantizar el
óptimo nivel, se entregará al CLIENTE una copia del informe, en su estado, para su estudio.
9. Una vez estudiado por el CLIENTE el informe y antes de elaborar el plan que garantice el
óptimo nivel de los sistemas, el encargado de los sistemas informáticos del CLIENTE tendrá las
reuniones necesarias con los técnicos del PROVEEDOR para concretar las necesidades del

CLIENTE. Cada parte llevará a las reuniones una propuesta. Una vez concretadas las
necesidades, los técnicos del PROVEEDOR realizarán el plan.
10. Los plazos de entrega del informe y del plan se entregarán conforme la cláusula 5ª de este
contrato. Una vez entregado el informe incluyendo el plan, el contrato estará cumplido
11. El contrato podrá ser ampliado para realizar los servicios necesarios para llevar el plan a buen
término. Dicha ampliación será por acuerdo escrito entre las partes y el documento se unirá al
presente contrato.
12. El PROVEEDOR ejecutará el Contrato realizando de manera competente y profesional los
Servicios, cumpliendo los niveles de calidad exigidos y cuidando diligentemente los materiales
del CLIENTE que tuviera que utilizar como consecuencia del Contrato.
TERCERA.- POLÍTICA DE USO

1.1. El CLIENTE es el único responsable de determinar si los servicios que constituyen el objeto de
este Contrato se ajustan a sus necesidades, por lo que el PROVEEDOR no garantiza que los servicios
contratados se ajuste a las necesidades específicas del CLIENTE.
CUARTA.- PRECIO Y FACTURACIÓN.-

1.1. El precio del Contrato es de (…) [indicar el precio de cada servicio] IVA excluido.
1.2. El pago de las facturas se realizará, tras la aceptación de los trabajos por el CLIENTE, mediante
transferencia bancaria a los 30 días de la fecha de recepción de la factura a la siguiente cuenta
corriente titularidad del PROVEEDOR: (…) [indicar nº de cuenta].
QUINTA.- DURACIÓN DEL CONTRATO

1. El plazo de realización de la auditoria es de (…)
2. El plazo de entrega del informe para su estudio es de (…)
3. El plazo de entrega del informe definitivo es de (…) a partir de la fecha referida en el encabezamiento
del Contrato.
SEXTA.- ACUERDO DE NIVEL DE SERVICIO

1.1. Todos los Servicios prestados por el PROVEEDOR se realizarán por personal especializado en cada
materia. El personal del PROVEEDOR acudirá previsto de todo el material necesario, adecuado y
actualizado, para prestar los Servicios.
1.2. El PROVEEDOR deberá cumplir los plazos de entrega que se acuerden con el CLIENTE. Se
considerará un incumplimiento de los plazos cuando se supere [indicar el plazo máximo que se puede
superar] y en ese caso el CLIENTE podrá exigir al PROVEEDOR el pago de los daños y perjuicios que
corresponda.
SÉPTIMA.- MODIFICACIÓN
Las Partes podrán modificar el contrato de mutuo acuerdo y por escrito.
OCTAVA.- RESOLUCIÓN

Las Partes podrán resolver el Contrato, con derecho a la indemnización de daños y perjuicios causados, en
caso de incumplimiento de las obligaciones establecidas en el mismo.
NOVENA.- NOTIFICACIONES
Las notificaciones que se realicen las Partes deberán realizarse por correo con acuse de recibo [o cualquier
otro medio fehaciente que acuerden las Partes] a las siguientes direcciones:
 CLIENTE (…)
 PROVEEDOR: (…)
DÉCIMA.- REGIMEN JURÍDICO
El presente contrato tiene carácter mercantil, no existiendo en ningún caso vínculo laboral alguno entre el
CLIENTE y el personal del PROVEEDOR que preste concretamente los Servicios.
Toda controversia derivada de este contrato o que guarde relación con él –incluida cualquier cuestión relativa
a su existencia, validez o terminación- será resuelta mediante arbitraje DE DERECHO, administrado por la
Asociación Europea de Arbitraje de Madrid (Aeade), de conformidad con su Reglamento de Arbitraje
vigente a la fecha de presentación de la solicitud de arbitraje. El Tribunal Arbitral que se designe a tal efecto
estará compuesto por un único árbitro experto y el idioma del arbitraje será el (elegir entre:
castellano/catalán/euskera/gallego). La sede del arbitraje será (elegir entre: Madrid/Barcelona).
POR EL CLIENTE POR EL PROVEEDOR
Fdo.: Fdo.:
Y en prueba de cuanto antecede, las Partes suscriben el Contrato, en dos ejemplares y a un solo efecto, en el
lugar y fecha señalados en el encabezamiento

ANEXO
CLÁUSULA PENAL, CONVENIENTE EN CASO DE PODER SER NEGOCIADA
En virtud de la presente cláusula penal que tiene carácter cumulativo y no sustitutivo a los efectos de lo
dispuesto en el artículo 1152 del Código Civil, el CLIENTE podrá aplicar las siguientes penalizaciones por
incumplimiento del acuerdo de nivel de servicio.
A los efectos de lo previsto en el artículo 1.153 del Código Civil, el PROVEEDOR no podrá eximirse del
cumplimiento de sus obligaciones pagando la pena. Asimismo, el PROVEEDOR, además de satisfacer la
pena establecida, deberá cumplir las obligaciones cuyo incumplimiento se penaliza.
Las penalizaciones se detraerán del importe pendiente de pago al PROVEEDOR

6. Marco legal y ético de la Auditoría Informática.
Una vez vistos los conceptos básicos relacionados con la auditoría informática y con la metodología
de trabajo, conviene hacer una descripción del marco legislativo que afecta a la Auditoría Informática antes
de formular el contrato de la misma.
Como referencia se toma el marco jurídico de la Auditoría de Cuentas teniendo en cuenta que el
auditor informático tiene un perfil determinado diferente al auditor fiscal.
El marco jurídico viene determinado por los activos de la organización susceptibles de auditar. Para
el ámbito de la informática son:
 Información que maneja de organización (datos, documentos, informes,...).

LORTAD, Ley Orgánica 5/1992 de 29 de octubre sobre la Regulación del Tratamiento
Automatizado de Datos de carácter personal.
LOPD, Ley Orgánica 15/1999 sobre Protección de Datos de carácter personal.
 Software utilizado.
TRPI, Real Decreto Legislativo 1/1996 de 12 de abril por el que se regula la Ley de propiedad
intelectual.
 Las bases de datos se pueden considerar desde dos puntos de vista: como producto creativo por la
estructura (protegidas por derechos de autor) y como valor económico por la información que
contienen (protegidas por la Directiva Europea 96/9/CE de 11 de marzo de 1996).
 Los contratos para el comercio electrónico. Existen tres tipos de comercio electrónico: B2C
(relaciones comerciales con los clientes), B2B (relaciones con los proveedores), B2A (relaciones
con las Administraciones), C2C (relaciones comerciales entre clientes).
La firma electrónica ha permitido autentificar a los participantes en el intercambio comercial.
 Los contratos de bienes y servicios informáticos.

Hardware, redes de comunicación, software, servicios de apoyo a la labor informática como
consultorías,...
 Las transferencias electrónicas de fondos.

Uso de las tarjetas de plástico como medio de pago en entornos electrónicos.
 El outsourcing: la contratación de un servicio de informática externo a la empresa debe especificar

en el propio contrato una cláusula que permita la auditoría informática sobre el outsourcing. De esta

forma será posible el seguimiento de la prestación del servicio y asegurar la garantía del mismo.
 Delitos informáticos: virus, hackers, robo, fraudes, implantación de personalidad.
ÉTICA DEL AUDITOR.
Las características de un auditor constituyen el elemento principal dentro de un proceso de auditoría,

ya que sobre el auditor recaen todas las responsabilidades de la auditoria, y logrará todos los resultados
necesarios para proponer medidas para elevar el desempeño de la organización Es recomendable apreciar
algunos de los siguientes niveles de formación, referente al perfil de un auditor:
 Formación académica: Estudios a niveles técnicos, formación en TIC, cualquier grado en

informática, ingeniería en sistemas derecho…
 Formación Complementaria: Instrucción en la materia obtenida a lo largo de su vida profesional a

través de conferencias, talleres, seminarios, foros o cursos
 Formación Empírica: Conocimiento resultante de la implementación de auditorías en diferentes, con

o sin contar con un grado académico.
Las habilidades y destrezas que pueda tener un auditor, harán que consiga desenvolverse con
naturalidad dentro de su trabajo y sepa enfrentar con mayor facilidad obstáculos que se encuentre a la hora
de desarrollar su trabajo. Entre esas habilidades que deben tener se pueden nombrar las siguientes:
 Actitud positiva
 Saber escuchar
 Mente analítica
 Capacidad de negociación
 Iniciativa
 Facilidad de trabajaren equipo
 ….
La ejecución del trabajo en un auditor, puede estar destinado como auditor interno o externo. El

auditor interno se encuentra como parte de la organización en gestión, y en donde tendrá un papel importante
ya que deberá ser capaz de responde retos de acuerdo a la visión de la organización. En el caso de un auditor
externo su participación es valiosa ya que tiene una apreciación objetiva de los hechos además de estar
limitados en el tiempo de realización de la auditoria.
Respecto a la ética del auditor se esperan los siguientes puntos:
 Formación y Capacidad Profesional, garantizando así una mayor calidad de la auditoría.
 Independencia, Integridad y objetividad. El auditor no deberá tener intereses particulares en la

organización, el auditor deberá actuar libremente y con eficacia respecto al riesgo-control-coste del
mismo.
 Diligencia Profesional. El auditor deberá asegurar la veracidad de la información y garantizar al

auditado unos mínimos de seguridad en el marco legal y normativo vigente.
 Responsabilidad respecto a los resultados y recomendaciones realizadas en base a los mismos. Deberá
huir de catastrofismos innecesarios y ayudar al auditado a resolver sus vulnerabilidades.
 Secreto Profesional con respecto a la información que maneja. Información muy sensible para la
organización que no deberá hacerla pública a cualquier miembro de la organización. El auditor deberá
actuar con cautela respecto las relaciones con el personal de la organización.
El auditor tiene a su alcance un conjunto de herramientas que le ayudarán en su tarea, mejorando su

productividad y aumentando la cobertura de estudio, disminución del riesgo / error y aumentando la
automatización e integración del proceso auditor. Estas herramientas se exponen a continuación.

7. Auditoría de Outsourcing de TI.
Antes de explicar la auditoría de outsourcing tenemos que analizar el concepto de outsourcing ya que
es objeto de muchas confusiones. Outsourcing puede tener conceptos distintos según el punto de vista en
concreto en el ámbito del TI.
El concepto de outsourcing va más allá de una simple contratación de servicios externo. La empresa
externa también es la responsable tanto de éxitos como de los fracasos del proceso llegando a implicarse de
lleno en el proceso, por lo que no se toman tantos riesgos. Se pueden externalizar un proceso o partes del
mismo.
La subcontratación, externalización de la mercadotecnia o tercerización (outsourcing) es el proceso

económico empresarial en el que una sociedad mercantil delega los recursos orientados a cumplir ciertas
tareas a una sociedad externa, empresa de gestión o subcontrata, dedicada a la prestación de diferentes
servicios especializados, por medio de un contrato. Para ello, estas últimas, pueden contratar sólo al personal,
caso en el cual los recursos los aportará el cliente y (instalaciones, hardware y software), o contratar tanto el
personal como los recursos. Por ejemplo, una compañía dedicada a las demoliciones puede subcontratar a
una empresa dedicada a la evacuación de residuos para la tarea de deshacerse de los escombros de las
unidades demolidas, o una empresa de transporte de bienes puede subcontratar a una empresa especializada
en la identificación o empaquetación.
Los términos asociados deslocalización y fronteriza implican la trasferencia de empleos a otros

países, si es que se subcontratan servicios con empresas extranjeras, o bien estableciendo una base en sitios
fuera del país. La diferencia se encuentra en la relativa proximidad del país en cuestión (fronteriza) o su
lejanía (deslocalización).
Dentro del outsourcing TI, podemos distinguir distintos servicios: gestión de aplicaciones, gestión y
operación de la infraestructura, servicio de Helpdesk, aseguramiento de la calidad, gestión de centros de
cómputo, servicios de seguridad e Investigación y desarrollo.
Actualmente es posible realizar un despliegue del outsourcing en la nube. La aparición IaaS, PaaS,
facilitan la gestión y operación de la infraestructura y gestión de centros de cómputos, actualmente la
tendencia es separar esto del proceso inicial, lo que permite que un agente externo se pueda encargar con
menos riesgo de estos partes del proceso.
Tipos de outsourcing, existen definidos distintos tipos de outsourcing de TI, la mayoría de estos tipos
tienen peculiaridades propias y se configuran como un servicio único. Debemos destacar que el outsourcing
es un proceso y que un servicio puede pasar por distintas modalidades en su ciclo de vida:

 OUTSOURCING INFORMATICO TRADICIONAL: Es la transferencia de la gestión a un
proveedor externo que podría llegar a asumir activos físicos de la compañía e incluso, a parte de los
empleados de la misma.
 OUTSOURCING DE PROCESO DE NEGOCIO: Pretende transformar la organización de una
forma sustancial, donde se delega uno o más procesos de negocio a un proveedor externo que
administra y gestiona estos procesos.
 OUTSOURCING TOTAL: El proveedor gestiona todos los servicios informáticos de la organización.
 OUTSOURCING PARCIAL: El proveedor gestiona algunos de los servicios y sistemas informáticos
de la organización.
 PROVEEDOR UNICO: Es una mezcla entre el outsourcing total y el parcial.
 PSEUDO-OUTSOURCING: Estrategia desarrollada por grupos empresariales y que consiste en
crear empresas dedicadas específicamente a gestionar la informática de todas las empresas del grupo.
 OUTSOURCING DE TRANSICION: Soluciona un problema temporal, como la transición a un
nuevo sistema. El proveedor gestiona el sistema antiguo mientras que el personal informático del
comprado implementa un nuevo sistema, o al revés.
 OUTSOURCING EXTRATERRITORIAL: Estrategia que contrata a profesionales en otros países
sacando ventajas de aspectos económicos, tecnológicos, etc.
 PARTICIOPACION DEL CAPITAL: Usado para crear nuevas empresas o uniones temporales de
empresas para un fin determinado.
 MULTIPROVISIONAMIENTO: Comprende la contratación de varios proveedores de servicio en
una o diferentes áreas para disponer de mayor flexibilidad e independencia del proveedor
especialmente en servicios que sean menos maduros y menos probados dentro de la empresa.
 OUTSOURINCG ESTRATEGICO: Contiene un enfoque totalmente estratégico dado que no sólo
pretende externalizarse el proceso de negocio sino que también se comparte con el proveedor
estructuras de capital.
Como beneficio del outsourcing podemos destacar la disminución del servicio cuando éste es
subcontratado. Sin embargo podemos destacar las siguientes críticas:
 Los trabajadores subcontratados no son empleados pagados de la empresa que de hecho presta el
servicio, por lo cual no tienen un incentivo de lealtad hacia ésta.
 Normalmente se contrata a los trabajadores con contrato de obra, a pesar de que la tarea realizada
suele ser continua. Dada la precariedad total producida y el abuso que se suele dar de esta figura
contractual, a veces incluso para realizar despidos arbitrarios, es normal la "huida" de los
trabajadores si encuentran un empleo de mayor calidad, con lo cual la calidad del servicio se suele
resentir.

 La subcontratación (especialmente seguida de la externalización o la deslocalización) elimina
puestos de trabajo.
 La naturaleza jurídica del outsourcing es la de un contrato, concebido como el “acuerdo de
voluntades, mediante el cual una empresa cliente encarga al outsourcer la prestación de servicios
especializados, en forma autónoma y duradera, que le permitirá la realización de su core business”
– En este sentido, sus características estructurales son :
– Contrato nominado: Su nomen juris más utilizado es outsourcing.
– Contrato atípico: Fuera de lo común.
– Contrato de organización: Supone la redefinición de la estructura organizativa de la empresa
cliente.
– Contrato de duración: Las prestaciones se extienden en el tiempo.
– Contrato de resultados: El outsourcer suele estar obligado a conseguir los resultados que
inicialmente planteó la empresa cliente (como metas cuantificables en el mercado).
– Contrato principal: Goza de autonomía y está acompañado de otros contratos, que son
accesorios a él.
– Contrato consensual: Al ser atípico, no existe solemnidad alguna para su celebración, siendo
suficiente el acuerdo de voluntades de las partes contratantes.
Un ejemplo de contrato de outsourcing lo podemos ver en los contratos SLA (Acuerdos a Nivel de
Servicio, Service Level Agreement) de las empresas que ofrecen servicios en la nube. En este contrato se
recogen no sólo las características del servicio, garantías del servicio y las penalizaciones en caso de
incumplimiento de las garantías.
La auditoría de outsourcing se centra en auditar el ciclo de vida del outsourcing. El outsourcing es un

proceso son las siguientes fases:
1. Plan estratégico.
2. Contratación.
3. Transición.
4. Gestión y optimización.
5. Finalización y renegociación.

La auditoría del outsourcing tiene por objeto el contrato SLA. El auditor debe garantizar que se cumplan
las cláusulas del mismo. Los elementos de la auditoría son los elementos del servicio, los elementos de
gestión y el sistema de penalización. Para auditar son imprescindibles los informes de gestión que
proporcionan información estructurada sobre los servicios contratados, información útil para el seguimiento
de los servicios y del negocio.
Como podemos observar en la siguiente imagen, el outsourcing sobre las aplicaciones basadas en
Acuerdos de Nivel de Servicios se divide en tres partes: modelo de gestión y seguimiento, prestación del
servicio, calidad obtenida de la prestación de ese servicio.
Ilustración 2. Ciclo de vida de outsourcing de aplicaciones.
Auditoria del outsourcing de TI
Uno de los principios de desarrollar una auditoria es conocer el entorno en el que se desarrolla el
proceso y los posibles agentes que participan en el mismo. El outsourcing tecnológico es un acuerdo entre
partes por el que se fija la presentación de un conjunto de servicios tecnológicos,. En este contrato existe un
cliente y un proveedor. Este contrato es igual que cualquier otro tipo de contrato, y es un muro proyectos ,
que protege todos los implicados en tal asunto.
Para terminar presentamos el esqueleto de lo que consideramos un contrato valido para realizar la

auditoria de outsourcing:
Clausulas Aspectos a considerar
Validez del contrato Detalle de las empresas receptoras del servicio.
Vigencia del contrato Fechas de inicio y fin del contrato
Transición Periodo de despliegue del nuevo proveedor
Inventario de servicio proporcionados Existencia de un listado de servicio a ser prestados
Obligaciones del proveedor y el cliente Compromisos y responsabilidades de los pares
Aspectos económicos Tarifas establecidas.
Impuestos aplicables.
Revisión de los precios
Control de calidad Capacidad para auditar el servicio.
Benchmarking de servicios y precios.
Satisfacción de cliente.
Confidencialidad, seguridad y publicidad de la Información confidencial y publica.

información
Derechos de propiedad Intelectual e Industrial Propiedad de herramientas y software utilizado en el

servicio.
Ley aplicable y resolución de conflictos Legislación aplicable en la prestación del servicio.
Ley aplicable y resolución de conflictos El proveedor deberá notificar formalmente al cliente

posibles subcontratación de servicios prestados y solicitar
su aprobación
Subcontrataciones Causas que pueden implicar motivo de finalización del

contrato con/sin cargo.

Resolución del contrato Descripción del servicio.
Actividades detalladas.
Horario de prestación.
Responsabilidades y obligaciones de las partes.
Descripción de los servicios Indicadores de Nivel de servicio con su procedimiento de

cálculo.
Revisión del cumplimiento del ANS.
Esquema de penalizaciones .
Obtención de resultados.
Informes de Gestión.
Términos económicos Distribución temporal del precio a lo largo de la vida del

contrato
Modelo de relación Contactos del proveedor y clientes con sus cometidos.
Vías de comunicación entre el proveedor y el cliente y

propósito.
Para ayudarnos a realizar esta auditoría, el auditor debe de poseer amplios conocimientos sobre los
estándares que se emplean para el tratamiento y conservación de la información. Estos estándares son
CMMI, ISO 27001/BS7799 e ITIL.

8. Auditoría durante el desarrollo y mantenimiento de
Sistemas de Información.
El desarrollo y mantenimiento del software es un proceso costoso que debe ser controlado de forma
adecuada. La auditoría se encarga de comprobar que existen procedimientos de control para detectar
deficiencias y riesgos.
El software es un producto difícil de validar. Se ha convertido en una pieza fundamental de las áreas
informatizadas por lo que el mantenimiento es la parte del ciclo de vida que ocupa más tiempo y consume
más recursos. Una gran parte de los proyectos generan un software de baja calidad al no alcanzar los
objetivos planteados, es frecuente las desviaciones presupuestarias y temporales.
Para llevar a cabo la auditoría con éxito, es necesario delimitar el área a auditar. Podemos destacar
las siguientes áreas:
 Planificación.
 Desarrollo de nuevos sistemas y mantenimiento de los existentes.
 Estudio de nuevos lenguajes, técnicas, metodologías, estándares, herramientas de desarrollo.
 Plan de formación.
 Normas y controles de las actividades.
En este trabajo se propone como metodología de auditoría a aplicar la de ISACA basada en COBIT sobre los
objetivos de control definidos en la metodología Métrica v3 de desarrollo de sistemas.
Tipos de auditoría:
 Auditoría de la organización y gestión del área de desarrollo y mantenimiento.
 Auditoría de la planificación y gestión del proyecto.
 Auditoría de la fase de estudio de viabilidad.
 Auditoría de la fase de análisis.
 Auditoría de la fase de diseño.
 Auditoría de la fase de construcción.

 Auditoría de la fase de implantación y aceptación.
 Auditoría de la fase de mantenimiento.
Cada auditoría tiene unos objetivos de control.
• Objetivos de control de la Auditoría de la organización y gestión del área de desarrollo y

mantenimiento.
o Procesos, organización y relaciones: funciones del área, organigrama de puestos de trabajo,

relaciones con el exterior.
o Gestión de RRHH TIC: contratación objetiva, formación continua, protocolo para

incorporar/ retirar/ cambiar al personal de un puesto de trabajo, documentación útil accesible
por el personal, motivación, evaluación del rendimiento periódica.
o Plan estratégico TIC de área a corto, medio y largo plazo coherente con el plan director TIC
de la organización que sirva de referente para los nuevos proyectos.
o Dirección de la política tecnológica acorde a la normativa y reglamentos.
o Gestión de las inversiones en TIC, realización de presupuestos con el objetivo de maximizar

el ROI y que permitan comparar los costes con lo presupuestado.
o Gestión de la calidad a través del uso de registro de problemas surgidos en los proyectos de
software y accesible a todos los miembros del área, realizar modificaciones periódicas del
plan de área con el fin de introducir mejora continua.
o Utilización de herramientas CASE para el desarrollo de software.
o Creación y actualización un registro de buenas prácticas.
o Uso de estándares de calidad, desarrollo y mantenimiento, monitorización del cumplimiento

de estándares.
o Reutilización software, optimización del uso de información, homologación de herramientas

usadas en el desarrollo y mantenimiento.
• Objetivos de control de la Auditoría de la planificación y gestión del proyecto.
o Aprobación, definición y planificación del proyecto.

o Gestión del proyecto teniendo en cuenta restricciones temporales y de recursos, controlar
cambios / impacto y reajustar el plan cuando sea necesario, seguimiento temporal del
mismo, seguimiento del orden de las etapas, gestión del cierre del proyecto.
• Objetivos de control de la Auditoría de la fase de estudio de viabilidad.
o Gestión del alcance del proyecto, situación actual, objetivos, alternativas de solución,
documentación de requisitos.
• Objetivos de control de la Auditoría de la fase de análisis.
o Especificación detallada del sistema, catálogo detallado de requisitos, subsistemas de

análisis, modelo conceptual del sistema, prototipado de interfaces, plan de pruebas.
• Objetivos de control de la Auditoría de la fase de diseño.
o Definición de la arquitectura del sistema, de los elementos físicos, de las excepciones, de los
módulos y de las estructuras de datos de forma correcta.
o Especificación del diseño: componentes, datos, carga inicial y migración de datos,

especificación técnica del plan de pruebas.
o Aprobación formal del diseño por el comité de dirección.
• Objetivos de control de la Auditoría de la fase de construcción.
o Preparación del entorno de desarrollo: bases de datos creadas y en explotación, entornos de

desarrollo instalados correctamente, procedimientos de copias de seguridad y restauración
establecidos.
o Preparación del entorno de pruebas, realización de pruebas unitarias, de integración y del

sistema.
o Formación de usuarios, definición de perfiles.
o Definición de los recursos necesarios para la explotación del sistema respetando los
estándares del área.
• Objetivos de control de la Auditoría de la fase de implantación y aceptación.
o Adaptación del plan de implantación y aceptación al proyecto final.
o Realización de pruebas de implantación y aceptación, evaluación de resultados.

o Aceptación formal de la implantación antes de la explotación.
o Preparación del entorno de explotación y migración del sistema antiguo al nuevo.
o Supervisión del trabajo de los usuarios con el nuevo sistema.
• Objetivos de control de la Auditoría de la fase de mantenimiento.
o Gestión del cambio para mitigar el riesgo, registrar las peticiones de cambio. Todo cambio
supone un nuevo proyecto.
o Clasificación del cambio (correctivo o evolutivo) y análisis del impacto sobre la

organización.
o Selección de la mejor solución.
o Identificación de los elementos afectados.
o Seguimiento del cambio y de las modificaciones realizadas.

En el Anexo CHECKLIST de verificación desarrollo de software se muestran ejemplos de checklists para
verificar requisitos, construcción de código, usabilidad y accesibilidad de la interfaz.

9. Auditoría de la Videovigilancia.
Todos los sistemas de cámaras de TV (CCTV) y Video Vigilancia según la nueva ley de mayo de
2014, están obligados a pasar inspecciones periódicas trimestrales en caso de no estar conectados a central de
alarmas y Auditorías anuales según lo estipula la LOPD (Ley Orgánica de Protección de Datos).
¿Porque una Inspección y también una Auditoría?
La inspección técnica se centra principalmente en el correcto funcionamiento de todos los equipos

como cámaras, grabadores, cableado, etc., todo lo que compone físicamente el sistema de grabación.
La Auditoría se centra en todos los componentes externos al sistema de grabación como pueden ser
las placas identificativas, los contratos que el propietario tiene que tener actualizados con el personal o
empresas que trabajan o acceden a las fincas, la ubicación de las cámaras y su posible manipulación, la
educación del personal que visualiza o manipula las imágenes para evitar cesiones de imágenes no
permitidas, etc., en conclusión todo aquello que rodea a una instalación de CCTV o Video Vigilancia
(recordemos que la llamemos como la llamemos está obligada a cumplir la Ley de Protección de Datos)
Algunos ejemplos:
Es habitual que con el paso del tiempo, los sistemas de video vigilancia se vean afectados por incidencias ya
no solo en su sistema de grabación sino en los elementos externos que les afectan, a continuación se detalla
un claro ejemplo de reubicación de cámaras:
Existe una finca con un muro de seto de unos tres metros de altura, este no permite ver a la vía
pública, se instala un sistema de cámaras para controlar el interior de la parcela que está rodeada por el
seto, mientras el seto exista la instalación cumple con la normativa, pero cuando el seto sea cortado y este
se sustituya por una alambrada, entonces la ubicación de las cámaras no es la correcta dado que se está
grabando la vía pública. Hay que proceder al traslado de las cámaras ya que incumplen la ley de Seguridad
Privada y la LOPD.
Por estas y otras razones las instalaciones de CCTV y Video Vigilancia precisan de una Inspección
trimestral (del equipo y sistemas de grabación) y de una Auditoría anual (de los elementos que componen y
rodean a la instalación).

Inspecciones en Sistemas de Video Vigilancia
Tanto la normativa de Seguridad Privada como la Agencia de Protección de Datos obligan a la

inspección de las instalaciones de Video Vigilancia por lo menos una vez al año.
Estas inspecciones deberán ser realizadas por personal especializado y cualificado, en su caso por
Empresas de Seguridad auditoras de dichos sistemas.
Hay que resaltar que existen muchos tipos de Empresas de Seguridad. Solo una empresa de
seguridad registrada como Instaladora y Mantenedora de sistemas de Video Vigilancia y además Consultora
y Auditora de Sistemas de Seguridad puede realizar estas inspecciones.
Es muy corriente que se de el caso de un centro comercial que tiene en propiedad una instalación de
Video Vigilancia y ha contratado a una empresa de seguridad que le alquila a personal de seguridad para
proceder al control de dicho centro.
En este caso la empresa de seguridad solo se limita a ceder personal y además abunda en que la
instalación no es propiedad de la empresa de seguridad sino de una entidad o persona física que no dispone
de las autorizaciones legales para la gestión y mantenimiento de dicha instalación, por lo que la empresa de
seguridad que le cede el personal al no ser Auditora de Sistemas de Video Vigilancia no puede prestar los
servicios de auditoría según el reglamento de Seguridad Privada y el propietario de dicha instalación está
obligado por ley a pasar las correspondientes inspecciones por empresa Auditora de Sistemas de Seguridad,
más aún cuando en el centro comercial está instalado un CENTRO DE CONTROL.
Obligatoriedad de inspección:
El Reglamento para el mantenimiento de los sistemas de Seguridad Privada y Video Vigilancia

(Ministerio del Interior) establece que para mantener el funcionamiento de las medidas de seguridad
previstas, la dirección de cada entidad o establecimiento que disponga de medidas de seguridad electrónicas
dispondrá la puesta a punto trimestralmente de dichas medidas, por personal especializado de empresas de
seguridad, o propio si dispone de medios adecuados, no debiendo transcurrir más de 4 meses entre dos
revisiones sucesivas, y anotará en el libro-catálogo las revisiones y puestas a punto que se realicen de las
instaladas. Este libro-catálogo será también obligatorio para las empresas industriales, comerciales o de
servicios, conectadas o no a centrales de alarma.
Cuando las instalaciones permitan la comprobación del estado y del funcionamiento de los elementos
del sistema desde la central de alarmas, las revisiones preventivas tendrán una periodicidad anual, no
pudiendo transcurrir más de 14 meses entre dos sucesivas.

Obligatoriedad de inspección anual:
En el año 2009 la Agencia Española de Protección de Datos, consciente del problema existente con
los sistemas de Video Vigilancia y las cámaras Web IP instaladas en la mayoría de comunidades de vecinos,
comercios, etc., publicó una Guía en la que profundizaba en la reglamentación de estos sistemas de
grabación para disipar dudas sobre su correcta instalación y utilización.
Principios básicos de la videovigilancia:
 La captación y/o la grabación de imágenes de personas identificadas, o identificables, con fines de

vigilancia mediante cámaras, videocámaras o cualquier otro medio técnico análogo, constituye un
tratamiento de datos personales sometido a la Ley Orgánica de Protección de Datos (LOPD).
 Está excluido de la LOPD el tratamiento de imágenes en el ámbito exclusivamente personal y

doméstico (privado o familiar).
 La videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen
menos impacto en la privacidad.
 No se podrán obtener imágenes de espacios públicos, actividad que está reservada en exclusiva a las
Fuerzas y Cuerpos de Seguridad en el ejercicio de sus funciones, salvo imágenes parciales y
limitadas que resulten imprescindibles para la vigilancia o sea imposible evitarlas. Tampoco se
pueden captar imágenes en baños, vestuarios o lugares análogos, ni de espacios ajenos.
Ficheros de registros de imágenes obtenidas mediante videovigilancia: inscripción y notificación.
 La utilización de sistemas de videovigilancia que se limiten a una mera reproducción o emisión de

imágenes en tiempo real, sin ser grabadas ni almacenadas, no exigirá la notificación de la creación
de ficheros ni, por tanto, su notificación a la Agencia Española de Protección de datos (AEPD).
 Sólo cuando el sistema de videovigilancia permita la grabación o el almacenamiento de imágenes se

exigirá la creación de un fichero y su notificación previa a la AEPD para la inscripción en su
Registro General (la AEPD dispone en su web de un modelo predefinido para la inscripción de
ficheros de videovigilancia).
 La inscripción deberá incluir, entre otros datos, quién es el responsable del fichero, que
normalmente será el titular del establecimiento o lugar donde se instala el sistema de
videovigilancia.
Deber de información.

 En todos los casos se deberá informar de la existencia de un sistema de videovigilancia. A este fin se
colocará un cartel suficientemente visible en los accesos a las zonas vigiladas, que indicará de forma
clara la identidad del responsable de la instalación y, si constituye un fichero, ante quién y dónde
dirigirse para ejercer los derechos que prevé la normativa de protección de datos. La AEPD pone a
su disposición un modelo de cartel.
 Igualmente, se pondrá a disposición de los afectados la información sobre la existencia, en su caso,

del fichero, las finalidades de la captación y/o la grabación de imágenes y la restante exigida por la
normativa de protección de datos. La AEPD pone a su disposición un modelo para su descarga y
cumplimentación.
Servicio de instalación de videovigilancia.
 La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un

tercero no exime a su titular del cumplimiento de la legislación de protección de datos.
Seguridad y secreto de las imágenes capturadas con videovigilancia.
 El responsable deberá adoptar las medidas de seguridad que resulten adecuadas para evitar la
alteración, pérdida, tratamiento o acceso no autorizado a las imágenes que, con carácter general,
serán las correspondientes al nivel básico.
 El responsable deberá informar a quién tenga acceso a las imágenes sobre sus obligaciones de
seguridad (reserva, confidencialidad y sigilo) y de su deber de guardar secreto.
 Se deberán adoptar medidas que impidan el acceso a las imágenes por parte de personal no
autorizado.
Conservación de las imágenes.
 Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.
 Cuando se produjese la grabación de un delito o infracción administrativa que deba ser puesta en
conocimiento de una autoridad deberán conservarse las imágenes con el único fin de ponerlas a
disposición de la citada autoridad sin que puedan ser utilizadas para ningún otro propósito.
La normativa en materia de videovigilancia en España a noviembre de 2014 es la mostrada a continuación:
 Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las
Fuerzas y Cuerpos de Seguridad en lugares públicos.

 Ley 5/2014, de 4 de abril, de Seguridad Privada.
 Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de Seguridad

Privada.
 Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el

tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o
videocámaras.
La videovigilancia se puede utilizar en los siguientes casos:
 Comunidades de propietarios, previa autorización de la Junta de Propietarios, en las zonas comunes

y garantizando la privacidad de los propietarios.
 Mi vivienda es una utilización privada por lo que no está afectada por la LOPD.
 Mi plaza de garaje si es un garaje compartido con otros propietarios, le afectará la LOPD respecto a
comunidades de propietarios.
 Establecimientos públicos. Siempre que vayan a grabarse imágenes de personas, y previamente a su

captura, se procederá a la inscripción del fichero en el Registro General de Protección de Datos de la
Agencia Española de Protección de Datos (AEPD), que se realizará mediante el sistema NOTA.
 Control empresarial.
o El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime
más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes
laborales, que deberán guardar la consideración debida a la dignidad humana y tener en
cuenta la capacidad real de los trabajadores con discapacidad.
o Los sistemas de videovigilancia para control empresarial sólo se adoptarán cuando exista
una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las
imágenes y no haya otra medida más idónea.
o Se tendrá en cuenta el derecho a la intimidad y a la propia imagen de los trabajadores.

Siempre que vayan a grabarse imágenes de personas, y previamente a su captura, se
procederá a la inscripción del fichero en el Registro General de Protección de Datos de la
Agencia Española de Protección de Datos (AEPD), que se realizará mediante el sistema
NOTA.
Modelos:

Modelo a que se refiere el apartado 1 del anexo de la Instrucción 1/2006 de 8 de noviembre.
Modelo de Cláusula Informativa a que se refiere el Art. 3, apartado B. Instrucción 1/2006, de 8 de

noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con
fines de vigilancia a través de sistemas de cámaras o videocámaras.

10. Auditoría de los datos de carácter personal.
Según la Agencia Estatal de Protección de Datos de España, un dato de carácter personal es

cualquier información que permita identificarte o hacerte identificable.
El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de controlar sus

datos personales y la capacidad para disponer y decidir sobre los mismos.
La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el
cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la
protección de datos personales.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, recoge

una serie de derechos fundamentales de los ciudadanos. En esta sección se ofrece información detallada
sobre los mismos y sobre cómo ejercer los derechos ARCO.
• Derecho de información. En el momento en que se procede a la recogida de los datos personales, el

interesado debe ser informado previamente de modo expreso, preciso e inequívoco de, entre otros, la
existencia de un fichero, de la posibilidad de ejercitar sus derechos y del responsable del
tratamiento.
• Derecho de acceso. El derecho de acceso permite al ciudadano conocer y obtener gratuitamente

información sobre sus datos de carácter personal sometidos a tratamiento.
• Derecho de rectificación. Este derecho se caracteriza porque permite corregir errores, modificar los
datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de
tratamiento.
• Derecho de cancelación. El derecho de cancelación permite que se supriman los datos que resulten
ser inadecuados o excesivos sin perjuicio del deber de bloqueo recogido en la LOPD.
• Derecho de oposición. El derecho de oposición es el derecho del afectado a que no se lleve a cabo el
tratamiento de sus datos de carácter personal o se cese en el mismo.
• Derechos relacionados con el ámbito de la publicidad
o Derecho de exclusión de guías de teléfonos
o Derecho a no recibir publicidad no deseada
o Derechos de los abonados y usuarios de servicios de telecomunicaciones

o Derechos de los destinatarios de servicios de comunicaciones electrónicas
• Otros derechos
o Derecho de acceso al sistema Schengen (es un sistema de información común que permite a
las autoridades competentes de los Estados miembros disponer de información relativa a
algunas categorías de personas y objetos).
o Derecho de acceso datos acuerdo TFTP (es un acuerdo relativo al tratamiento y la

transferencia de datos de mensajería financiera de la Unión Europea a los Estados Unidos a
efectos del Programa de seguimiento de la financiación del terrorismo).
o Derecho de indemnización por incumplimiento de la LOPD.
o Derecho de consulta al RGPD (Registro General de Protección de Datos).
La normativa española a nivel estatal sobre la protección de datos a noviembre de 2014 es la siguiente:
 Constitución Española de 1978.
 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
 Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social.
 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de

la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
 Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de
Protección de Datos.
Normas de carácter reglamentario:
1.- Resoluciones:
 Resolución de 24 de mayo de 2010, de la Agencia Española de Protección de Datos, por la que se

regula el Registro Electrónico de la Agencia Española de Protección de Datos.
 Resolución de 18 de marzo de 2010, de la Agencia Española de Protección de Datos, por la que se

crea la Sede Electrónica de la Agencia Española de Protección de Datos.
 Resolución de marzo de 2011, de la Agencia Española de Protección de Datos, por la que se crea el
sello electrónico para su utilización por la Agencia Española de protección de Datos.

 Resolución de 27 abril de 2011, de la Agencia Española de Protección de Datos, para la utilización
de un código seguro de verificación en las actuaciones automatizadas que se hayan publicado en su
Sede Electrónica.
 Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se

crea el Registro Telemático de la Agencia Española de Protección de Datos.
 Resolución de 1 de septiembre de 2006, de la Agencia Española de Protección de Datos, por la que

se determina la información que contiene el Catálogo de ficheros inscritos en el Registro General de
Protección de Datos.
 Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se

aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de
inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y
requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o
telemático.
 Resolución de 22 de junio de 2001, de la Subsecretaría de Justicia, por la que se dispone la

publicación del Acuerdo de Consejo de Ministros por el que se concreta el plazo para la
implantación de medidas de seguridad de nivel alto en determinados sistemas de información.
 Resolución de 30 de mayo de 2000, de la Agencia de Protección de Datos, por la que se aprueban los
modelos normalizados en soporte papel, magnético y telemático, a través de los que deberán
efectuarse las solicitudes de inscripción en el Registro General de Protección de Datos.
2.- Instrucciones:
 Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el

tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o
videocámaras. (Texto consolidado. Última modificación: sin modificaciones).
 Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre

publicación de sus Resoluciones. (Texto consolidado. Última modificación: sin modificaciones).
 Instrucción 2/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros

automatizados establecidos con la finalidad de controlar el acceso a los casinos y salas de bingo.
(Texto consolidado. Última modificación: sin modificaciones).

 Instrucción 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso a los edificios. (Texto
consolidado. Última modificación: sin modificaciones).
 Instrucción 2/1995, de 4 de mayo, de la Agencia de Protección de Datos, sobre medidas que

garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de
un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personal. (Texto
consolidado. Última modificación: sin modificaciones).

11. Auditoría de Procesos.
Un proceso es un conjunto de actividades mutuamente relacionadas o que al interactuar transforman

elementos de entrada y los convierten en resultados.
A la hora de auditar los procesos tenemos que tener en cuenta los siguientes elementos que se
extraen de la definición anterior:
- Auditoría de los datos de entrada.
- Auditoría de las transformaciones, operaciones, transacciones llevadas a cabo dentro del proceso
sobre los datos de entrada.
- Auditoría de los datos de salida resultantes de la aplicación del proceso sobre los datos de entrada.
En el ámbito de la informática un proceso puede informalmente entenderse como un programa en

ejecución. Formalmente un proceso es "Una unidad de actividad que se caracteriza por la ejecución de una
secuencia de instrucciones, un estado actual, y un conjunto de recursos del sistema asociados".
Cada proceso tiene su contador de programa, registros y variables, aislados de otros procesos, aun
siendo el mismo programa en ejecución 2 veces. Cuando este último caso sucede, el sistema operativo usa la
misma región de memoria de código, debido a que dicho código no cambiará, a menos que se ejecute una
versión distinta del programa.
Los procesos son gestionados por el sistema operativo y están formados por:
- Las instrucciones de un programa destinadas a ser ejecutadas por el microprocesador.
- Su estado de ejecución en un momento dado, esto es, los valores de los registros de la unidad central
de procesamiento para dicho programa.
- Su memoria de trabajo (memoria crítica), es decir, la memoria que ha reservado y sus contenidos.
- Otra información que permite al sistema operativo su planificación.
Todo lo anterior será necesario tenerlo en cuenta si se quiere auditar el proceso desde el punto de
vista informático. Sin embargo existen muchos más procesos relacionados directa e indirectamente con los
sistemas de información y las tecnologías de la información y de la comunicación que deben ser tenidos en
cuenta a la hora de realizar una auditoría informática en una organización.
Una clasificación de procesos para llevar a cabo una Auditoría de PROCESOS es la siguiente:

- Procesos de gestión de proyectos.
- Procesos de Sistemas de Información.
- Procesos de gestión de riesgos.
- Procesos de Gestión de Incidencias.
- Procesos PRODUCTIVOS.
- Procesos ADMINISTRATIVOS para la Gestión Empresarial.
- Procesos de implantación de ERP.
- Procesos de Calidad.
Procesos de Desarrollo de Sistemas de Información.
Teniendo en cuenta la propuesta metodológica de Métrica v3 del gobierno de España y el Marco de

Desarrollo de la Junta de Andalucía (MADEJA), los procesos fundamentales para el desarrollo de software
son:
Según Métrica v3 existen 3 grandes grupos de procesos principales:
- Procesos de planificación: definir catálogo de requisitos y planificar el proyecto.
- Procesos de desarrollo: estudiar la viabilidad, análisis, diseño, construcción y mantenimiento de

productos.
- Procesos de mantenimiento: gestionar el cambio surgido durante la producción del sistema software.
- Gestión de proyectos, de configuración, de seguridad, de aseguramiento de la calidad.
En MADEJA se definen 3 grandes grupos de procesos:
- Procesos de Gestión: gestión de proyectos, requisitos y riesgos.
- Procesos de Ingeniería: definición de requisitos, arquitectura, análisis, diseño, desarrollo,

integración, verificación y validación de productos.
- Procesos de Soporte: formación, gestión de la configuración, gestión del cambio, gestión de

defectos.
Como se puede observar, ambas metodologías comparten en esencia los mismos procesos, aunque agrupados

de forma distinta.
Por la tanto podemos decir que los procesos comunes al desarrollo de productos software son:
- Gestión de proyectos.
- Gestión de requisitos.
- Gestión de riesgos.
- Gestión de cambios.
- Gestión de defectos.
- Gestión de configuración.
- Análisis, diseño, desarrollo, integración, verificación y validación de productos.
- Aseguramiento de la calidad.
Procesos de Gestión de Proyectos
Teniendo en cuenta las metodologías de referencia para la gestión de proyectos CMMI, PRINCE2, PMBOK
se establecen los siguientes procesos comunes en la gestión de proyectos:
- Procesos de iniciación del proyecto: al comienzo de un proyecto se deben determinar los objetivos
del mismo, hacer una planificación global de los recursos necesarios, hacer un presupuesto
económico estimado del mismo.
- Dirección del proyecto: controlar la totalidad del proyecto, tomar decisiones claves.
- Inicio del proyecto: realizar la planificación del trabajo a realizar, se debe conocer muy bien lo que
hay que hacer.
- Control de una fase: asignar trabajos, monitorizar y controlar los trabajos a realizar, manejar los
problemas y defectos, informar de los progresos en el proyecto, tomar decisiones sobre las acciones
correctivas que permitan respetar las tolerancias definidas sobre el proyecto.
- Gestión de la entrega de Productos: establecer mecanismos para aceptar, ejecutar y entregar el

producto.
- Gestión de los Límites de Fase: revisar el éxito de la fase, aprobar el plan de la fase siguiente,
confirmar la justificación del negocio y la aceptabilidad del riesgo.

- Cierre de un proyecto: aceptar el producto de acuerdo a los objetivos fijados al comienzo del
proyecto.
A continuación se muestran en una tabla los elementos a tener en cuenta para auditar los procesos de gestión
de proyectos basados en PRINCE2 o PMBOK.
Procesos de Entradas Salidas Tareas

Gestión de
Proyectos
Puesta en Descripción del - Plan de inicio - Definir y nombrar al Equipo de Gestión del
marcha del negocio. proyecto Proyecto.
proyecto.
- Expediente - Recopilar lecciones aprendidas de proyectos
proyecto. anteriores.
Necesidades del
negocio. - Equipo de gestión - Elaborar el Expediente del Proyecto.
de proyecto.
- Planificar la Fase de Inicio.
Inicio del - Plan de inicio - Registro de - Preparar la estrategia de Gestión del Riesgo.
proyecto proyecto riesgos.
- Preparar la estrategia de Gestión de la
- Expediente - Registro de Configuración.
proyecto. cuestiones.
- Preparar la Estrategia de Gestión de la
- Equipo de gestión - Registro de Calidad.
de proyecto. calidad.
- Preparar la Estrategia de Gestión de la
- Documentación de Comunicación.
Inicio del
- Configurar el Control del Proyecto.
Proyecto (PID).
- Crear el Plan de Proyecto.
- Plan de Revisión
de Beneficios. - Refinar el Business Case.
- Preparar la Documentación de Inicio del
Proyecto (PID).

Dirección de Plan de proyecto Recomendaciones. - Autorizar inicio.
proyecto (Objetivos,
Autorización - Autorizar proyecto.
presupuesto,
siguiente fase.
planificación, - Autorizar excepciones.
estrategia de gestión Autorización
- Monitorizar y controlar fases.
de riesgos y cambios.
presupuesto de - Autorizar cierre del proyecto.
Autorización cierre
riesgos). del proyecto.
Plan de fase
siguiente.
Expediente
proyecto.
Equipo de gestión
de proyecto.
Informes final de
fase, de Excepción,
de desarrollo.
Informe final del
proyecto.
Informe final el
proyecto.
Lecciones
aprendidas.
Plan de lecciones
Aprendidas.
Registro de riesgos,
de calidad.
Revisión de
beneficios.

Control de Recomendaciones. Plan de Fase - Gestionar los límites de fase.
fase Siguiente o Plan de
Autorización - Crear trabajos nuevos.
Excepción.
siguiente fase.
- Comunicar Excepciones.
Informe de
Autorización
Desarrollo. - Registrar riesgos.
cambios.
Paquetes de trabajo. - Gestionar cambio.
Trabajo completado.
- Gestionar calidad.
- Diseñar Plan de fase siguiente.
- Informar sobre el desarrollo.
- Actualizar PID
Entrega de Paquetes de trabajo. Plan de Equipo. - Asignar Paquete de Trabajo.

productos
Informe control. - Ejecutar Paquete de Trabajo.
Registro de calidad. - Entregar Paquete de Trabajo.
Cierre del Autorización cierre Informe final el - Preparar el cierre planificado.

proyecto del proyecto. proyecto.
- Preparar el cierre prematuro.
Lecciones
- Entregar los productos.
aprendidas.
- Evaluar el proyecto.
Plan de lecciones
Aprendidas. - Recomendar el cierre del proyecto.
Registro de riesgos,
de calidad.
Revisión de
beneficios.
Procesos de gestión de riesgos.
La Metodología MAGERIT, es un método formal para investigar los riesgos que soportan los
Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar
estos riesgos. Fue desarrollado por el Ministerio de Hacienda y Administraciones Públicas del Gobierno de
España.
Los objetivos de la gestión de riesgos son:
- Identificar riesgos, fuentes y categorías de riesgos que puedan afectar al proyecto, estableciendo los
planes y acciones necesarias para poner en marcha si un riesgo se materializa.

- Establecer indicadores que permitan decidir cuando un riesgo se materializa.
- Monitorizar los riesgos detectados, y si es posible, solucionarlos o mitigarlos, llevando a cabo las
acciones o planes previstos para mitigarlos, de forma que impacten lo menos posible en el proyecto
Es interesante tener datos relativos a los riesgos de un proyecto, para ello se proponen las siguientes
métricas como datos resultantes del proceso de gestión de riesgos:
- Número de riesgos detectados en el proyecto, a lo largo de toda la vida de éste.
- Número de riesgos materializados
- Número de riesgos materializados y gestionados con un plan de mitigación
- Número de actualizaciones, al informe de seguimiento y control de riesgos, a lo largo de toda la vida

del proyecto.
Procesos Productivos.
Los objetivos de los procesos productivos están encaminados a la producción industrial de forma
masiva de un producto para satisfacer las necesidades de los consumidores. Los procesos productivos más
relevantes se muestran a continuación:
- Diseño e infraestructura
- Estudio de los procesos productivos
- Revisión de la planificación de la producción
- Verificación de la logística aplicada al proceso productivo
- Revisión del flujo de proceso
- Análisis Personal operativo
- Verificación del control de rendimientos
Algunos de los objetivos de la Auditoría de procesos productivos son los que se enumeran a continuación:
- Identificar las condiciones y características actuales del proceso productivo.
- Analizar las condiciones y factores administrativos y directivos que inciden sobre la gestión de
producción en la empresa.

- Identificar fortalezas y debilidades de los procesos productivos y los costos de no Calidad
asociados.
- Proponer programas de mejoramiento y posibles herramientas de gestión para ayudar a corregir las
desviaciones y/o falencias detectadas.
- Generar y presentar informe de auditoría dando cuenta de la gestión productiva.
Como resultado de la auditoría se esperan los siguientes resultados y beneficios que permitan mejorar los
procesos productivos:
- Conocer la realidad del proceso productivo y su gestión.
- Identificar los factores y elementos de producción que afectan a la productividad y calidad de los
procesos.
- Conocer y dimensionar los Costos de No Calidad asociados a los procesos productivos.
- Identificar eficacia de los puntos y mecanismos de control existentes en los procesos productivos.
- Conocer e identificar responsabilidades y funciones de cargos.
- Obtener un informe de Fortalezas - Debilidades de los procesos productivos.
Procesos Administrativos para la Gestión empresarial.
Los procesos administrativos tienen relación con la planificación, organización, dirección y control.
Los procesos administrativos están presentes en todas las áreas funcionales de las organizaciones y dependen
de cómo se realicen los procesos en las mismas.
- Procesos de Gestión de Almacén.
- Procesos de Gestión de compras.
- Procesos de Gestión de Recursos Humanos.
- Procesos de Gestión Financiera.
- Procesos de Gestión Contable.
- Procesos de Gestión de Clientes (CRM).
En estos procesos se puede aplicar la Auditoría de Cuentas o Financiera en cuanto a la información.

En cambio para los procesos de gestión automatizados se debería aplicar una Auditoría Informática que
auditase las entradas, los tratamientos automáticos y las salidas de los mismos corroborando que los
resultados obtenidos satisfacen los objetivos fijados por la Auditoría de Cuentas.
Procesos de implantación de ERP.
Los sistemas de planificación de recursos empresariales (ERP, por sus siglas en inglés, enterprise
resource planning) son sistemas de información gerenciales que integran y manejan muchos de los negocios
asociados con las operaciones de producción y de los aspectos de distribución de una compañía en la
producción de bienes o servicios.
La planificación de recursos empresariales es un término derivado de la planificación de recursos de

manufactura (MRPII) y seguido de la planificación de requerimientos de material (MRP); sin embargo los
ERP han evolucionado hacia modelos de suscripción por el uso del servicio (SaaS, cloud computing).
Los sistemas ERP típicamente manejan la producción, logística, distribución, inventario, envíos,
facturas y contabilidad de la compañía de forma modular. Sin embargo, la planificación de recursos
empresariales o el software ERP puede intervenir en el control de muchas actividades de negocios como
ventas, entregas, pagos, producción, administración de inventarios, calidad de administración y la
administración de recursos humanos.
- Procesos de Análisis de las necesidades administrativas y de control de la empresa.
- Procesos de Análisis de los módulos del ERP.
- Procesos de Valor añadido del ERP a las áreas de la empresa.
- Procesos de Selección del ERP e implantación.
- Procesos de Medición del impacto de implantación del ERP.
- Procesos de Consultoría.
- Procesos de Implantación final.

12. Auditoría de Calidad
La calidad se define como “grado en que un conjunto de características inherentes cumple con unos
requisitos” [ISO 9000:2000]. El Aseguramiento de la Calidad pretende dar confianza en que el producto
reúne las características necesarias para satisfacer todos los requisitos del Sistema de Información.
Por tanto, para asegurar la calidad de los productos resultantes el equipo de calidad deberá realizar
un conjunto de actividades que servirán para:
- Reducir, eliminar y lo más importante, prevenir las deficiencias de calidad de los productos a
obtener.
- Alcanzar una razonable confianza en que las prestaciones y servicios esperados por el cliente o el
usuario queden satisfechas.
Para conseguir estos objetivos, es necesario desarrollar un plan de aseguramiento de calidad

específico que se aplicará durante la planificación del proyecto de acuerdo a la estrategia de desarrollo
adoptada en la gestión del proyecto. En el plan de aseguramiento de calidad se reflejan las actividades de
calidad a realizar (normales o extraordinarias), los estándares a aplicar, los productos a revisar, los
procedimientos a seguir en la obtención de los distintos productos durante la gestión del proyecto, y durante
el desarrollo y puesta en marcha del producto.
El grupo de aseguramiento de calidad participa en la revisión de los productos seleccionados para

determinar si son conformes o no a los procedimientos, normas o criterios especificados, siendo totalmente
independiente del equipo de desarrollo. Las actividades a realizar por el grupo de aseguramiento de calidad
vienen gobernadas por el plan. Sus funciones están dirigidas a:
- Identificar las posibles desviaciones en los estándares aplicados, así como en los requisitos y
procedimientos especificados.
- Comprobar que se han llevado a cabo las medidas preventivas o correctoras necesarias.
Las revisiones son una de las actividades más importantes del aseguramiento de la calidad, debido a
que permiten eliminar defectos lo más pronto posible, cuando son menos costosos de corregir. Además
existen procedimientos extraordinarios, como las auditorías, aplicables en desarrollos singulares y en el
transcurso de las cuales se revisarán tanto las actividades de desarrollo como las propias de aseguramiento de
calidad. La detección anticipada de errores evita el que se propaguen a los restantes procesos de desarrollo,
reduciendo substancialmente el esfuerzo invertido en los mismos. En este sentido es importante destacar que
el establecimiento del plan de aseguramiento de calidad comienza en el Estudio de Viabilidad del Sistema y

se aplica a lo largo de todo el desarrollo, en los procesos de Análisis, Diseño, Construcción, Implantación y
Aceptación del Sistema y en su posterior Mantenimiento.
Respecto al software la gestión de la calidad se puede llevar a cabo en 3 dimensiones: productos,

procesos y proyectos. La calidad de los productos está directamente relacionada con la forma en que se
desarrollan y mantienen, es decir, con la calidad de los procesos. La calidad de los procesos depende de la
calidad de los proyectos y tiene como objetivo la mejora de los mismos para disminuir coste e incrementar la
satisfacción de los clientes.
Los procesos para la gestión de calidad de un proyecto son tres:
1. Planificar la calidad.
2. Realizar el aseguramiento de la calidad.
3. Realizar el control de la calidad.
Para realizar la auditoría de estos procesos será necesario analizar las entradas, salidas y tareas
realizadas. Las tareas dependerán del marco de referencia tomado para la gestión de los proyectos.
Con carácter general podemos enumerar las siguientes entradas y salidas para estos procesos.
Proceso de Calidad Entradas Salidas
1. Planificar la calidad. Línea Base de Alcance. Plan de Gestión de Calidad.
Registro de Interesados. Métricas de Calidad.
Línea Base de Rendimiento de Lista de Comprobación de la Calidad.

costes.
Plan de Mejora del Proceso.
Línea Base de Calendario.
Actualizaciones de los Documentos del
Registro de Riesgos. Proyecto.
Factores del Entorno de la

Empresa.
Activos de los Procesos de

Organización.

2. Realizar el aseguramiento Plan de Gestión de Calidad. Actualizaciones de los Activos de los
de la calidad. Procesos de Organización.
Métricas de Calidad.
Solicitudes de Cambio.
Información Rendimiento del
Trabajo. Actualizaciones Plan de Gestión de
Proyectos.
Mediciones de Control de
Calidad. Actualizaciones de los Documentos del
Proyecto.
3. Realizar el control de la Plan de Gestión de Proyecto. Medición de Control de Calidad.

calidad.
Métricas de Calidad. Cambios validados.
Lista de Comprobación de la Entregables validados.

Calidad.
Actualizaciones de los Activos de los
Información Rendimiento del Procesos de Organización.
Trabajo.
Actualizaciones Plan de Gestión de
Aprobadas Entregables.
Proyectos.
Activos de los Procesos de
Actualizaciones de los Documentos del
Organización.
Proyecto.
CMMI e ISO 15504 (conocida también como SPICE, Software Process Improvement and Capability
Determination) están liderando la certificación de las normativas en organizaciones de tamaño medio-alto
que ofrecen servicios en software. ISO 15504 se está convirtiendo como el estándar escogido por las
empresas europeas para la evaluación de la capacidad de los procesos (nivel de madurez). Así lo indica el
detallado estudio realizado por INTECO en 2010. El alcance de la norma ISO 15504 es el de Ejecutar,
planificar, gestionar, controlar y mejorar los procesos de: adquisición, suministro, desarrollo, operación,
soporte, mantenimiento y organización. ISO 15504 es independiente del tipo de organización, modelo de
ciclo de vida, metodología de desarrollo y de la tecnología utilizada
ISO/IEC 15504 desarrolla un modelo 2-D de evaluación de la capacidad del proceso, donde se valora
la organización de desarrollo software en la dimensión del proceso contra los atributos del proceso en la
dimensión de capacidad. Desde 2003 se ha ido desarrollando la familia, estando éstas en continua evolución.

Familia Normas ISO 15504
- ISO/IEC 15504-1:2004 Conceptos y Vocabulario.
- ISO/IEC 15504-2:2003 Realizando una Evaluación (Requisitos, normativa).
- ISO/IEC 15504-3:2004 Guía para Realización de Evaluaciones.
- ISO/IEC 15504-4:2004 Guía para el Uso de Resultados de Evaluaciones.
- ISO/IEC 15504-5:2008 Un Modelo de Evaluación de Procesos Ejemplar.
- ISO/IEC 15504-7:2008. Evaluación del nivel de madurez.
Los procesos a los que ISO 15504 hace mención están estandarizados en Software life cycle
processes. ISO/IEC 12207 IEEE Std 12207-2008.
La Auditoría de Calidad tiene como objetivos:
- Identificar buenas y las mejores prácticas.
- Compartir buenas prácticas.
- Asesorar para mejorar los procesos e incrementar la productividad del equipo.
- Incrementar las lecciones aprendidas.
- Reducir costes de calidad.
- Incrementar la calidad de los productos.
Como resultado de la auditoría de calidad, se pueden proponer cambios, acciones correctivas, reparación
de defectos y acciones preventivas encaminadas todas ellas a la consecución de los objetivos enumerados
anteriormente.

13. Auditoría de Dirección Informática.
Una organización es un claro reflejo de su dirección. Lo modos y maneras de actuar de aquella están
influenciados por la filosofía y la personalidad de esta. Los departamentos informáticos no son ninguna
excepción, debido a este motivo auditar la dirección informática, es la principal solución para resolver
futuros problemas, y evitar que estos aparezcan.
Dentro de la dirección, se pueden identificar varias responsabilidades de las que se encargan el

departamento de dirección. Estas serian: planificar, organizar, coordinar y controlar.
Vamos a separar esta funcionalidades en tres grupos, y vamos a comentar que líneas y que
soluciones se han propuesto para auditar la dirección del departamento informático.
Planificar
Consiste en prever la utilización de las tecnologías de la información en la empresa. Esta

planificación viene plasmada en documentos llamados planes, esto es fundamental para realizar la auditoría,
ya que el auditor tiene que conocer como se prevé que se empleen los recursos, según el ejecutivo.
El plan nos demuestra que se ha reflexionado sobre el objeto del documento y, por tanto, por lo que
existe una actividad consciente de organización y análisis de las alternativas para emplear esto, y que se
evalúan posibles riesgos.
Además con el plan nos marca el camino, pone objetivos, adjudica responsabilidades y tareas, y
coloca los plazos para estas tareas. Estos son fundamentales para calcular el avance que toma el proyecto, y
conocer la fortaleza de la organización que los creo. Existen una gran variedad de planes.
En primer lugar hablaremos del plan estratégico de Sistema de Información, este es el marco básico
de actuación de los sistemas de información en la empresa, debe de asegurar el alineamiento de los mismos
con los objetivos del negocio. En algunas organizaciones, transformar los objetivos del negocio, en objetivos
del sistema de información, es muy complicado y para nada algo lineal.
La responsabilidad de estos planes, no reside en exclusiva en la dirección del departamento de TI.

Estos planes como ya vimos en metodologías como prince2, deben de ser aprobados por la junta de proyecto.
Sin embargo es el jefe de proyecto el encargado de realizar el plan.
La vigencia del plan estratégico es muy variable, ya que en un entorno informático, esto varía
continuamente, pudiendo llegar a durar un plan 3 o 4 años, o llegando a durar únicamente meses, la duración
de estos planes depende de muchas factores, entrando la cultura empresaria, el sector de la empresa, sector
financiero y otros tantos mas. El auditor deberá de ser el encargado de comprobar que estos plazos se

adecuan al proyecto.
El auditor debe de examinar el proceso de planificación del sistema de información y evaluar si

cumple los objetivos para el mismo, para ello debe de evaluar:
 Si se presta la atención correspondiente al plan estratégico por parte de la empresa, y hay

mecanismos para comprobar que se alcanzan los hitos correspondientes, y si se tienen en cuenta
posibles cambios organizativos, y como estos podrían impactar en la organización, también se debe
comprobar que se presta atención por parte de la empresa, en la aparición de nuevas tecnologías
informáticas que mejoren su empresa.
 También debe de comprobar que las tareas y actividades que presenta el plan, se adecuan a las
asignación de recursos para llevarlas a cabo, y la coherencias de estas en el contexto que se mueve la
empresa, por lo que el auditor pretende evaluar con detalle, la correspondencia de estas a la realizad.
Otros planes relacionados con la planificación de la dirección son los siguientes:
– Plan operativo anual

– Plan de dirección tecnológica
– Plan de arquitectura de la información
– Plan de recuperación ante desastres.

Muchos de estos planos muchas veces vienen adjunto al plan estratico como son el plan de
arquitectura de la información y plan de dirección tecnológico. El plan operativo anual, es un plan con el
mismo enfoque el plan estratégico, pero con vistas a un año.
Por último el plan de recuperación ante desastres, lo que indicaran las medidas que se tomaran en
caso de desastres, en este plan el auditor lo que se centrara, en comprobar que las medidas que se tomarían
son correctas, y en qué medida se subsanaría los posibles desastres, y comprobar que se asignan suficientes
recursos a estas medidas.
Organizar y Coordinar
Estos procesos sirven para estructurar los recursos y los flujos de información y los controles que nos
permitirá alcanzar los objetivos marcados para la planificación.
Para esta labor es muy importante explicar el comité de Informática. uno de las problemas más
grande dentro de la informática, es la falta de comunicación y entendimientos entre el departamento de TI y
el resto de la empresa, este es el lugar donde se debaten los grandes asuntos de la informática que afectan a
toda la empresa y permite a los usuarios conocer las necesidades del conjunto de la organización y participar
en la fijación de prioridades.
No hay ninguna regla fija que establezca como se forma el comité, pero si es muy frecuente, que este
esté formado por pocas personas, y que este presidido por el director mas sénior dentro de la empresa, este
será el responsable final de las tecnologías de información. Este comité se podría asemejar a la junta de
proyecto que nos marca prince2.
Las principales funcionalidades del comité son las siguientes:
 Aprobación del plan estratégico de sistema de Información

 Aprobación de inversiones tecnológicas.
 Fijación de prioridades.
 Lugar para discusiones entre informática y sus usuarios.
 Vigila y realiza el seguimiento de la actividad del departamento TI.
Debido que este es el mayor órgano decisorio sobre el papel de las TI, ningún auditor debería de
sobrepasar el control y evaluación del comité. Para ello debe de evaluar las decisiones tomadas por el comité,
y ponerlas a evaluación. Para ello el auditor debe de realizar una lectura de la normativa interna y entrevistar
a los miembros del comité, para comprobar si estás de acuerdo con las decisiones que esta toma.
Después de recapitular toda la información relacionada con el comité, este debe de comprobar que
las funciones que este toma, son llevadas a cabo correctamente. Para ello es necesario tener las actas de las

reuniones y comprobar los acuerdos a los que se llega después de cada una de las actas.
Otras de las funcionalidades que debe de llevar a cabo el auditor es comprobar los siguientes puntos:
Posición del departamento de TI dentro de la empresa, para ello el auditor deberá de revisar el
emplazamiento organizativo del departamento TI, y evaluar su independencia frente a la empresa, para este
proceso lo mejor será realizar entrevistas.
El auditor también que descripción de funciones y responsabilidades del departamento de

Informática, para ello el auditor examinara el organigrama del departamento de TI, identificando las
unidades organizativas, revisara la documentación existente, y realizara entrevista a los directores o
responsables de las distintas unidades organizativas.
El auditor deberá de comprobar que se cumple los estándares de funcionamiento y procedimientos,

para ello el auditor debe de estar especializado en estos estándares para poder comprobar si los cumple, estos
estándares pueden ser Prince2 o PMBok.
También y menos común es que el auditor compruebe los recursos humanos, en esta parte lo que
debe de comprobar que el personal contratado, cumple con la formación y experiencia para poder llevar a
cabo las tareas que se le han sido asignadas.
Controlar
La dirección sin un control y un seguimiento, no se podría llevar a cabo. Por este motivo la dirección
debe de tener un control y efectuar un seguimiento permanente de la actividad en todo momento. Por lo que
hay que comprobar y vigilar que se lleva a cabo la elaboración del plan estratégico y operativo, la ejecución
d estos, y la evolución de los costes y los planes de evolución.
Para esta función es fundamental que existan estándares de rendimientos, para poder evaluar la
evolución de un proyecto. Para gobernar y controlar los acuerdos entre usuarios y departamento de TI, se
emplea los llamados acuerdos del nivel de Servicio ANS.
El ANS es un conjunto de documentos que reflejan acuerdos entre dos partes, permite medir como se
cumplen estos acuerdos, en medida de un estándar. Debido a lo subjetivos que puede ser tal tarea, esto nos
permite objetivar las relaciones.
Para ellos el auditor se debe de encargar de estudiar y analizar los procesos existentes para la
negociación de los ANS, el auditor no es el encargado de comprobar lo justo que es el acuerdo, sino mas
bien que existen y que cumplen sus funciones, y que pone de acuerdo a ambos interesados del acuerdo.
Conclusiones

La auditoría de la dirección de informática es una tarea difícil, sin embargo la contribución que dicha
dirección realiza, al ambiente de control de las operaciones es esencial. La calidad del marco de controles
impulsado e inspirado por la dirección de informática tiene una gran influencia sobre el probable
comportamiento de los sistemas de información. En algunos aspectos el auditor tiene que tener una
formación muy específica para que este pueda evaluar los estándares empleados por la empresa.

14. Auditoría de la Base de Datos
Debido a la gran implantación de los sistemas de Gestión de Bases de Datos SGBD, junto a la
importancia que tienen los datos, llegando a ser en gran parte de las empresas los recursos fundamentales de
las empresas, hacen que los temas relacionados con el control interno y la auditoría cobren cada día más
interés. Las bases de datos son el centro de los sistemas de información de la organización, por lo que el
buen funcionamiento de estas, es una de las necesidades básicas para que una empresa funcione
correctamente.
Además de por motivos económicos y empresariales, la auditoría de bases de datos a sufrido un

impulso muy elevado en algunos países, debido a la entrada de muchas leyes de proyección de datos, como
es el caso de España, que a partir de la entrada en vigor de la Ley Orgánica 5/1992 de regulación del
tratamiento automatiza de datos de carácter personal y del reglamento correspondiente, así como la sucesora
de la Ley orgánica 15/1999, DE LA LEY DE PROYECCION DE LOS DATOS DE CARACTER
PERSONAL. que traspone la directiva 95/94/CE del parlamento Europeo y del consejo, relativa a la
proyección de las personas físicas en lo que respecta al tratamiento de datos personales.
Por último, el control interno y la auditoría de bases de datos, son muy beneficiosos para el control y
auditoría de las aplicaciones que acceden a las mismas, por lo que es un motivo primordial para poder
confiar en el correcto funcionamiento de todo sistema de información.
Metodologías para auditar bases de datos
Para comenzar la auditoría fijará los objetivos de control que garantizan la confidencialidad,
integridad y calidad de los datos de la base de datos, se determinarán las técnicas de control a aplicar y se
diseñarán las pruebas a realizar.
El marco de referencia COBIT para la auditoría recomienda los siguientes objetivos de control:
Objetivo de control PO2-Definir una Arquitectura de Información (área Planificación y

Organización)
 PO2.1 – Modelo Corporativo de Arquitectura de Información
 PO2.2 – Diccionario de datos Corporativo y Reglas de Sintaxis de Datos

 PO2.3 – Esquema de Clasificación de Datos
 PO2.4 – Gestión de Integridad
Objetivo de control DS11-Gestionar Datos (área Entrega y Soporte):
 DS11.1 – Requisitos de Negocio para la Gestión de Datos
 DS11.2 – Planes de Almacenamiento y Retención de Datos
 DS11.3 – Sistema de Gestión de Bibliotecas de Medios
 DS11.4 – Eliminación de Datos
 DS11.5 - Copia de Respaldo y Restauración
 DS11.6 – Requisitos de Seguridad para Gestión de Datos
Para cada uno de estos objetivos de control se definen diferentes subojetivos y métricas.
ITGI (Information Technologies Governance Institute) también ha detallado divers y pruebas de

diseño y control para dichos objetivos y subojetivos.
Antes de realizar cualquier auditoría es necesario llevar a cabo un estudio de viabilidad con un análisis de
coste-beneficio del proyecto de auditoría. Una vez aceptado el proyecto será necesario elaborar un Plan
Director que hay que seguir. En este plan deben fijarse los objetivos de control siguientes:
 Existencia de separación lógica (medios, documentos y responsabilidades) entre el administrador de

datos (diseño conceptual BD, formador, diseña documentación, diseña procesos...) y el administrados
de la base de datos (diseño físico BD, estadísticas, duplicados, seguridad, software gestor...)
 Existencia de separación de funciones entre personal de desarrollo y el de explotación
 Ídem entre explotación y control de datos
 Ídem entre administración BD y desarrollo
 Otras separaciones de funciones...

Respecto a las bases de datos pueden llevarse a cabo diferentes tipos de auditorías:
Tipos de Auditorías Objetivos

de BD
Auditoría de la  Se debería verificar si ha existido diseño conceptual + diseño

Concepción de la BD y lógico + diseño físico
de la selección del
 Verificar objetivos de control relativos a arquitectura de la
equipo
información:
o Modelo de arquitectura de información elegido (centralizado,

distribuido.)
o Existencia y complitud del diccionario de datos
o Esquema de clasificación de datos a nivel de seguridad (LOPD)
o Niveles de seguridad para las anteriores clasificaciones
Auditoría del diseño y  Verificar corrección diseño lógico + diseño físico (en especial
carga de la BD asociaciones de elementos, restricciones oportunas,
especificaciones almacenamiento y seguridad)
 Los diseños deben estar autorizados, al menos por los usuarios,

pero es recomendable que también por la dirección
 Si la carga proviene de una migración de otro entorno, se debe

establecer un paralelo durante cierto tiempo para ver que
resultados son iguales
 Si ha habido entrad manual de datos, hay que establecer controles

que aseguren la integridad de los mismos
 Si el proceso de carga es mixto (como casi siempre), dobles

controles anteriores
 Control de errores de entrada en el proceso de carga. Siempre

existen problemas. Cuando se detecten, los datos de corregidos
deben proceder lo más cerca posible del punto de origen.
Auditoría de la  Verificar que existen procedimientos de explotación aprobados y

explotación y el que el contenido / mantenimiento de los sistemas sólo se realizan
mantenimiento mediante la autorización adecuada

 Es muy recomendable realizar pruebas de rendimiento, y
comprobar que el administrador de la BD ha respondido
adecuadamente a los posibles mensajes de degradación que haya
presentado el sistema
 Objetivos de control COBIT para la gestión de datos:
o Procedimientos de preparación
o Manejo de errores de entrada
o Integridad del procesamiento de datos
o Manejo de errores de salidas
o Distribución de salidas
o Protección de la información sensible (p.e. planes negocio)
Revisión post- Aunque se hace en pocas entidades, se debería hacer una evaluación
implantación a posteriori de los beneficios conseguidos con la implantación de la
BD:
 ¿Son los resultados los esperados?
 ¿Necesidades de los usuarios satisfechas?
 ¿Son los costes (y el coste-beneficio) los previstos?
Revisión otros procesos  ¿Existen manuales?

auxiliares
 ¿Se ha realizado la formación oportuna a usuarios (y
desarrolladores)?
 Revisión de toda la documentación generada en el proceso

de implantación
 Apoyo a sistemas de medición de calidad (p.e. ISO 9001)
Auditoría y Control Interno en un entorno BD ya implantado

Es muy importante señalar que muchos de los procesos de verificación cuando se desea implantar
una BD sirven a posteriori cuando se intenta auditar una BD ya implantada. Cada vez es más importante
auditar también el entorno alrededor de la BD (p.e, también el SO sobre el que está soportado, los usuarios
definidos, los paquetes de seguridad a su alrededor, las huelas para auditoría...).
En la tabla siguiente se muestran los elementos de la base de datos a auditar.
Componentes de la BD
Auditoría del
 Kernel
SGBD
 Catálogo
 Utilidades de administración (descarga / recarga, rearranques, logs...)
 Pistas de auditoría (no sólo logs)
 Lenguajes de cuarta generación sobre ella
 Herramientas de minería de datos.
Auditoría del
 Software de auditoría (extracción de datos-pistas, seguimiento
entorno
transacciones...)
SGBD
 Monitorización y ajuste (estadísticas, tiempos, avisos degradación...)
 Sistema Operativo subyacente (control de memoria, gestión buffer,

dead-lock...)
 Sistemas distribuidos (asegurar al menos funciones de administración de

datos y de bases de datos centralizadas y fuertes)
 Paquetes de seguridad (mejor si integrado en SGBD, pero se venden

también como ad-in sobre BD comerciales –a veces es malo: interface
entre ellos vulnerable)
 Diccionario de datos (ahora lo llevan todos los SGBD, pero antes había
algunos que no. Que lo lleven no significa que se use..., ni que se use
bien...)
 Herramientas CASE (si existen, comprobar que se han utilizado según la

metodología y niveles de calidad/seguridad aprobados)
 L4G externos (las aplicaciones generadas con L4G externos tienen que

seguir los mismos procedimientos de petición de desarrollo y autorización
–muchos utilitarios que no es así-. Cuidado con el rendimiento –suele ser
malo-. Revisar que hacerlo en L4G ha sacado ventajas sobre L3G)
 Facilidades y aplicaciones de usuario (sobre todo las de interface

gráfica). Realmente desconexionan al usuario de la estructura de datos que
hay detrás, por lo que muchas veces los usuario sólo están preocupados de
que lo que tienen que hacer cuele con independencia de lo que hayan
hecho en realidad (hay que proteger al usuario de sus propios errores)
 Herramientas de minería de datos (controlar la política de si acceden a

la propia BD o se hace con carga en otro entorno. Si lo segundo –habitual-
, control de la política de carga y refresco de la información, control de
accesos, de usuarios y de que no se modifica la BD original (salvo
petición) por retroalimentación)
Técnicas para el control de BD en un entorno complejo
La dirección de la empresa tiene responsabilidad en lo que se refiere a la coordinación de los

distintos elementos del entorno de la BD (sobre todo si provienen de distintas empresas) y a la aplicación
correcta y coherente de los controles de seguridad. Hay que fijar responsables y procedimientos y, en la
medida de lo posible, que éstos faciliten una auditoría posterior
Las técnicas no difieren mucho de las de cualquier otra área de la auditoría informática.
Técnica de matrices de control
 Es la técnica básica.
 Matriz que por un lado lleva el elemento a controlar y, por la otra, los tipos de controles de seguridad
(preventivos, detectivos y correctivos) que se han diseñado para ellos. En su cruce llevará la
enumeración de dichos controles y la opinión del auditor sobre su funcionamiento. Si no hay, casilla
en blanco.

Técnica de los caminos de acceso
 Se documentan todas las fases (flujo) por las que pasa un dato desde su introducción por un ente
(usuario / máquina) hasta que se almacena en la BD, identificando los componentes por los que pasa
y los controles asociados (definidos por la entidad)
 Esto mismo se realiza con los datos que se obtienen del procesado de otros (por qué componentes
pasan -programas, cadenas, almacenamientos transitorios- y a qué controles es sometido.
 Esta técnica permite detectar debilidades del sistema que pongan a los datos en riesgo a nivel de:
o Integridad
o Confidencialidad
o Seguridad
 Hay que poner especial cuidado en el análisis de los interfaces entre componentes y los
almacenamientos transitorios (debilidades de seguridad).
Conclusiones
Como hemos podido comprobar el entorno que rodea al SGDB, se ha vuelto cada vez más grande y
complejo, por lo que el auditoría requiere de un controlo personal especializado, ya que el entorno no es
trivial, y en ningún caso es igual, por lo que realizar al pruebas requiere de un estudio más detallado de toda
la arquitectura que rodea al SGBD, como hemos visto el SGDB es el corazón de los sistemas de información,
y como sabemos este puede llegar a ser los recursos más importante de una organización..

15 Auditoría informática de explotación.
La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados

impresos, archivos soportados magnéticamente, órdenes automatizadas para lanzar o modificar procesos
industriales, etc. Para realizar la Explotación informática se dispone de una materia prima, los Datos, que es
necesario transformar, y que se someten previamente a controles de integridad y calidad. Explotación debe
recepcionar solamente programas fuente, los cuales hayan sido aprobados por Desarrollo.
La Auditoría de explotación es el control que se realiza sobre las funciones del Sistema de
Información para asegurar que las mismas se efectúen de forma regular, ordenada y que satisfagan los
requisitos empresariales.
El nivel de competencia que existe, hoy en día, entre las empresas les obliga a tomar decisiones
rápidas y acertadas. Es necesario, para ello el funcionamiento adecuado de los sistemas informáticos
(mediante la incorporación de las nuevas tecnologías) y su continua actualización.
Combinando los nuevos avances tecnológicos con una adecuada organización y una gestión
eficiente, las empresas podrán alcanzar sus objetivos de manera satisfactoria. La auditoría informática
periódica es uno de los instrumentos más eficaces con que cuentan las empresas para asegurar su existencia y
superar a sus competidores. La detección oportuna de las debilidades del sistema permite mejorarlo
racionalizando los recursos.
Objetivos de la Auditoría de Explotación
 Controlar los manuales de instrucciones y procedimientos de explotación.

 Controlar los inicios de los procesos y otra documentación de funcionamiento.
 Revisar la agenda de trabajo.
 Verificar la continuidad del proceso.
 Realizar controles sobre la explotación remota.
 Comprobar que en ningún caso los operadores acceden a documentación de programas que no sea la
exclusiva para su explotación.
 Revisar que existen procedimientos que impidan que puedan correrse versiones de programas no
activos.
 Verificar los procedimientos según los cuales se incorporan nuevos programas a las librerías
productivas.
 Examinar los lugares en donde se almacenan cintas y discos, así como la perfecta y visible
identificación de estos medios.
 Verificar los planes de mantenimiento preventivo de la instalación.

 Comprobar que existen normas escritas que regulen perfectamente todo lo relativo a copias de
seguridad: manejo, autorización de obtención de datos, destrucción, etc.

Componentes de la Auditoría de Explotación.
Componente Descripción
Carta de Encargo En este documento debe quedar reflejado de la forma más clara posible,
entre otros aspectos, cuál será el alcance del trabajo del auditor.
Planificación Es una revisión global que permite conocer la empresa, el sistema de

Estratégica información y su control interno con la intención de hacer una primera
evaluación de riesgos. Según los resultados de esa evaluación se
establecerán los objetivos de la auditoría y se podrá determinar su alcance
y las pruebas que hayan de aplicarse, así como el momento de realizarla.
Para llevar a cabo esta tarea es necesario conocer entre otros aspectos los
siguientes:
 Las características de los equipos informáticos

 El sistema o los sistemas operativos
 Características de los ficheros o de las base de datos
 La organización de la empresa
 La organización del servicio de explotación.
 Las aplicaciones que el Sistema de información de la empresa que
se esté auditando o que se vaya a auditar estén en explotación.
 El sector donde opera la empresa.
 Información comercial.
Componentes del  Datos: En general se consideraran datos tanto los estructurados

Sistema de como los no estructurados, las imágenes y los sonidos.
Información  Aplicaciones: Se incluyen las aplicaciones manuales y las
según el informáticas.
proyecto COBIT  Tecnología: El software y el hardware, los sistemas operativos,
los sistemas de gestión de base de datos, los sistemas de red, etc.
 Instalaciones: En ellas se ubican y se mantienen los sistemas de
información.
 Personal: Los conocimientos específicos que h de tener el
personal de los sistemas de información para planificarlos,
organizarlos, administrarlos y gestionarlos.

Procedimiento de la Auditoría de Explotación
La instalación de un sistema informático introduce nuevos elementos de control y origina cambios en

los procedimientos tradicionales de control de procesamiento de datos. Estos cambios pueden ser
clasificados como:
 Nuevos controles son necesarios para la automatización del procesamiento.

 Controles que sustituyen a aquellos que en los sistemas manuales están basados en el criterio
humano y en la división de labores.
 Se necesitan nuevos controles debido a la automatización. Su objeto es detectar y controlar errores
derivados del uso del equipo informático y de los métodos de procesamiento del equipo.

En un sistema manual, el control interno depende de factores como la vigilancia humana, el cuidado,
la aceptación de responsabilidad y la división de labores. Sin embargo, un sistema informático debe
proporcionar seguridad en la explotación del mismo. Por ello, se debe detectar errores e irregularidades
rápidamente y asegurar una acción correctiva apropiada.
Los controles necesarios en este tipo de sistema pueden dividirse en los de carácter general y en
relacionados con la aplicación. En la tabla siguiente se describen ambos tipos:
Controles  Planificación y Recepción de Aplicaciones: Se auditarán las normas de

generales entrega de Aplicaciones por parte de Desarrollo, verificando su
cumplimiento y su calidad de interlocutor único. Deberán realizarse
muestreos selectivos de la Documentación de las Aplicaciones explotadas.
Se inquirirá sobre la anticipación de contactos con Desarrollo para la
planificación a medio y largo plazo.
 Controles operativos y de organización: Se intentarán analizar las
relaciones personales y la coherencia de cargos, así como la equidad en la
asignación de turnos de trabajo. Se verificará la existencia de un responsable
de Sala en cada turno de trabajo. Se analizará el grado de automatización de
comandos, se verificara la existencia y grado de uso de los Manuales de
Operación. Se analizará no solo la existencia de planes de formación, sino el
cumplimiento de los mismos y el tiempo transcurrido para cada Operador
desde el último Curso recibido. Para hacer más eficiente este control será
necesario la separación de roles respecto al sistema informático. En nuestro
caso la siguiente:
FUNCION DE PUESTO
PROCESAMIENTO
Análisis y Diseño de Sistemas Analista de Sistemas
Programación Programador
Operación del Equipo Operador
Control Encargado de Control, Grupo de

Control, Auditor, etc.

 Controles sobre los Programas y los Equipos:
o Características para detectar, de manera automática, errores.
o Hacer mantenimientos preventivos periódicos
o Procedimientos para salir de los errores de los equipos (Hardware)
o Control y autorización Adecuada en la implementación de sistemas
y en las modificaciones de los mismos.
 Controles de acceso: Sirven para detectar y/o prevenir errores accidentales
o deliberados, causados por el uso o la manipulación inadecuada de los
ficheros de datos y por el uso incorrecto o no autorizado de los programas.
 Controles sobre los procedimientos y los datos:
o Manuales escritos como soporte de los procedimientos y los sistemas de
aplicación.
o Controles de las conciliaciones entre los datos fuente y los datos
informáticos.
o Capacidad para restaurar ficheros perdidos, deteriorados o incorrectos.

Controles  Control de Entrada de Datos: Se analizará la captura de la información en
de soporte compatible con los Sistemas, el cumplimiento de plazos y
aplicaciones calendarios de tratamientos y entrega de datos; la correcta transmisión de
datos entre entornos diferentes. Se verificará que los controles de integridad
y calidad de datos se realizan de acuerdo a las Normas. Los controles que se
llevan a cabo sobre la captura de Datos son:
o Altas de movimientos
o Modificaciones de movimientos.
o Consultas de movimientos
o Mantenimiento de ficheros
 Controles de Proceso: Normalmente se incluyen en los programas. Se

diseñan para detectar o prevenir los siguientes tipos de errores:
o Entradas de datos repetidos.
o Procesamiento y actualización de fichero o ficheros equivocados.
o Entrada de datos ilógicos
o Pérdida o distorsión de datos durante el proceso.
o Controles de salida y distribución
Los controles de salida se diseñan para asegurarse de que el resultado del

proceso es exacto y que los informes y demás salidas los reciben sólo las
personas que estén autorizadas.
Una vez establecidos los controles, es necesario hacer el seguimiento y comprobar que el sistema de
información está actuando como es preceptivo, éste habrá de disponer de un control interno que prevenga los
eventos no deseados o en su defecto los detecte y los corrija.
Es función del auditor evaluar el nivel de control interno; también es de responsabilidad juzgar si los
procedimientos establecidos son los adecuados para salvaguardar el sistema de información.
Para evaluar los controles es necesario buscar evidencia sobre:
 La terminación completa de todos los procesos.

 La separación física y lógica de los programas fuentes y objetos de las bibliotecas de desarrollo, de
pruebas y de producción.
 Las estadísticas de funcionamiento, donde al menos se incluya:

o Capacidad y utilización del equipo central y de los periféricos.
o Utilización de la memoria.
o Utilización de las telecomunicaciones.
 Las normas del nivel de servicios de los proveedores.
 Los estándares de funcionamiento interno.
 El mantenimiento y revisión de los diarios de explotación.
 La realización del mantenimiento periódico de todos los equipos.
 La evidencia de la rotación de los turnos de los operadores y de las vacaciones tomadas.
La metodología a seguir es la siguiente:
1. Planificación Administrativa : En esta fase se asignan los recursos de personal, tiempo y se

determina la documentación que se utilizara.
2. Planificación Técnica: En esta fase se indican los métodos, los procedimiento, las herramientas y
las técnicas que se utilizaran para alcanzar los objetivos de la auditoría.
3. Realización del trabajo:
a. Pruebas de Cumplimiento.
Si se confirma que realmente no existen manuales, no se pueden hacer pruebas de cumplimiento,

pues las pruebas de cumplimiento consisten en comprobar que se están cumpliendo las normas
establecidas.
El objetivo de las pruebas de cumplimiento consiste en analizar el nivel de cumplimiento de las

normas de control que tiene establecidas el auditado. Se supone que esas normas de control
establecidas son eficientes y efectivas.
b. Pruebas Sustantivas.
Este tipo de pruebas se realizan cuando no existen normas o manuales, por lo cual es necesario
realizar cálculos y utilizar técnicas para comprender y evaluar los riesgos.
El objetivo de las pruebas sustantivas consiste en realizar las pruebas necesarias sobre los datos para
que proporcionen la suficiente seguridad a la dirección sobre si se ha alcanzado su objetivo
empresarial.
Habrá que realizar el máximo número de pruebas sustantivas si:
 No existen instrumentos de medida de los controles.

 Los instrumentos de medida que existen se considera que no son los adecuados.
 Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han
aplicado de manera consistente y continua.

Conclusiones
La labor del auditor de sistemas de información es esencial para garantizar la adecuación de los
sistemas de información; para ello el auditor debe realizar su trabajo ateniéndose a las normas de Auditoría
de sistemas de información generalmente aceptadas, como requisito necesario de garantice la calidad del
trabajo realizado y que la evidencia de este trabajo quede documentada.

16. Auditoría de Aplicaciones Informáticas.
El objetivo de la Auditoría de aplicaciones es analizar y evaluar la eficacia de los controles

existentes, estos controles deben asegurar que solo se ingresan y actualizan datos completos,
exactos y válidos en un sistema, que el procesamiento de estos datos sea el correcto, que los
resultados del procesamiento cumplen las expectativas; y que los datos se mantengan seguros.
En resumen podemos enunciar que el objetivo de la auditoría de aplicaciones es evaluar la

efectividad de los controles existentes y sugerir nuevos controles con el fin de minimizar
riesgos y fortalecer el control de dichas aplicaciones.
Los posibles riesgos son errores voluntarios e involuntarios y la posibilidad de fallos de

cualquiera de los elementos que intervienen en el proceso informático. También, la conexión de la
empresa a entornos abiertos como Internet multiplica los riesgos que amenazan la confidencialidad
e integridad de la información de los sistemas de la empresa.
Todas estas amenazas y cualquier otra que pueda ser identificada contra el correcto
funcionamiento de las aplicaciones y la consecución de los objetivos han de ser objeto de un
análisis minucioso.
La auditoría de aplicaciones se realiza para tomar medidas que eliminen o al menos

reduzcan los riegos a las que están expuestas las aplicaciones. Dichas medidas consisten en
procedimientos para verificar, evaluar y tratar de garantizar que todo funcione como se espera, de
acuerdo con las políticas, normas y procedimientos establecidos.
Objetivo de la Auditoría de Aplicaciones
 Evaluar la efectividad de los controles existentes y sugerir nuevos controles con el fin de
minimizar riesgos y fortalecer el control de dichas aplicaciones.
 Controlar los ingresos de datos
 Detectan posibles errores en la digitación
 Ingresos de datos incompletos

 Ingresos repetidos u omisiones
 Controles en el procesamiento de datos: Los controles en el procesamiento de datos permiten

identificar las transacciones que son actualizadas en forma incorrecta o incompleta
 Controles en la salida : Los controles en la salida sirven para verificar la exactitud, funcionalidad,
además del adecuado uso y distribución de los reportes
Controles Manuales y Automáticos
En el terreno de una aplicación informática, el control interno se materializa

fundamentalmente en controles de dos tipos:
Controles manuales : a realizar normalmente por parte del personal del área usuaria:
actuaciones previstas para asegurar que -en su caso- se preparan, autorizan y procesan todas las
operaciones, se subsanan adecuadamente todos los errores, son coherentes los resultados de salida
respectos a referencias disponibles sobre los datos de entrada, y las bases de datos que dan soporte a
la aplicación mantienen en los niveles debido diferentes indicadores de medición de su integridad y
totalidad (números de registros en ficheros y/o tablas, de relaciones o índices, totales de magnitudes
numéricas, conciliaciones, etc. )
Controles Automáticos: incorporados a los programas de la aplicación que sirvan de ayuda

para tratar de asegurar que la información se registre y mantenga completa y exacta, los procesos de
todo tipo sobre la misma sean correctos y su utilización por parte de los usuarios respete los ámbitos
de confidencialidad establecidos y permita poner en práctica principios generales de control interno
como el referente a la segregación de funciones.
Según su finalidad estos controles se suelen clasificar en :
 Controles preventivos: Tratan de ayudar e evitar la producción de errores a base de exigir el ajuste
de los datos introducidos a patrones de formato y estructura (dato numérico, fecha válida, etc.),
pertenencia a una lista de valores válidos , rango entre límites determinados, incorporación de dígitos
de control en datos clave (códigos de identificación, referencias de documentos, nomenclaturas, etc.)
y , en general, cualquier criterio que ayude a asegurar la corrección formal de y verosimilitud de los
datos (la exactitud sólo puede garantizarla el usuario).

 Controles detectivos: Tratan de descubrir a posteriori errores que no hay sido posible evitar.
 Controles correctivos: Tratan de asegurar que se subsanen todos los errores identificados mediante
controles detectivos.
Y pueden ser utilizados:
 En las transacciones de recogida o toma de datos.
 En todos los procesos de información que la aplicación realiza.
 En la generación de informes y resultados de salida.

Etapas de la Auditoría de una Aplicación Informática.
Etapas de la Descripción
Auditoría de una
Aplicación
Informática.
Programa de Revisión 1. Identificar el área a revisar (por ejemplo a partir del calendario de
revisiones) notificar al responsable del área y prepararse
utilizando papeles de trabajo de auditorías anteriores.
2. Identificar y obtener información necesaria para la auditoría y

para las pruebas. En esta etapa, se definen los objetivos y el
alcance de la auditoría y se identifican los usuarios específicos
que estarían afectados por la auditoría (plan de entrevistas).
3. Identificar los puntos de control críticos del sistema, esto se

realiza mediante entrevistas con los usuarios. El auditor debe
identificar los peligros y los riesgos que podrían aparecer en cada
punto. Los puntos de control critico son aquellos en donde el
riesgo es más grave, es decir, donde la necesidad de un control es
más importante.
4. Ejecución de pruebas en los puntos críticos de control. Estas

pruebas pueden ser:
a. Pruebas de Conformidad: Estas pruebas son orientada

específicamente a comprobar que determinados procedimientos,
normas o controles internos se cumplen o funcionan de acuerdo
con lo previsto y esperado, según lo descrito en la documentación
oportuna.
b. Pruebas substantivas o de Validación: Orientadas a detectar la

presencia o ausencia de errores o irregularidades en procesos,
actividades, transacciones o controles internos. Están
especialmente indicadas en situaciones en las que no hay
evidencia de que existan controles internos relevantes, suficientes

como para garantizar el correcto funcionamiento del proceso o
elemento considerado.

 Cuando sea necesario, verificar que todos los datos de entrada
Controles de Entrada
de datos. en un sistema pasan por validación antes de su tratamiento.
 Revisar los procedimientos de corrección de errores.
 Para sistemas interactivos, verificar el uso de métodos
preventivos para evitar la entrada incorrecta de datos, por medio
de funciones de ayuda en pantalla, formatos fijos, el uso de
menús y mensajes para el operador.
 Determinar la grabación de datos de entrada con fecha y hora
actual, así como la identificación del usuario/terminal y
ubicación.
 Revisar los programas para determinar si contiene procesos
internos de validación de datos y así evaluar su exactitud.
 Verificar que los datos se verifican en el momento de su entrada
en el sistema.
 Control de secuencia: Los registros de las transacciones llevan un
número que los identifica y son consecutivos, por lo que no
pueden haber duplicidades ni intervalos vacíos de secuencia.
 Control de límite: Se verifican los límites de valores que puede
asumir una variable de entrada y que se rechazara o advertirá en
caso no cumpla con los límites establecidos.
 Control de validez: Consiste en considerar como válidos aquellos
campos codificados con valores predeterminados
 Búsquedas en tablas: Se valida un campo con el contenido de una
tabla de datos, por ejemplo una tabla de códigos de países y los
nombres de países se utiliza para validar el campo país de una
pantalla de ingreso de datos.
 Control de integridad: consiste en que un campo siempre debe
contener datos, no puede estar vacío, etc. Dígito de control:
Consiste en agregar al dato ingresado un dígito, el que se calcula
matemáticamente por un algoritmo sobre los dígitos del dato
ingresado, los más comunes son el módulo 10 o módulo 11.
 Verificar que las aprobaciones corresponden al personal

responsable y autorizados.
 Verificar que se registra la estación y el operador que ingresa los

datos.
 Comprobar que una persona no realice más de una de estas tareas:
o Generación de datos.
o Entrada de datos.
o Procesamiento de datos.
o Distribución de datos.
 Determinar que las terminales asignadas al Ingreso de datos sean

perfectamente identificables y supervisados.
 Efectuar un control sobre todas las claves asignadas.

Validación y edición  Comprobar la validación de datos de entrada :
de datos
o Código de aprobación de autorización.
o Validación de códigos.
o Valores numéricos o alfanuméricos.
o Tamaño de los campos.
o Rango.
 Cotejo de registros.
 Revisar la documentación relacionada con los procedimientos de

identificación , corrección y entrada de datos rechazados y
determinar si los errores son listados inmediatamente después de
detectados y registrados en el archivo de asuntos pendientes.
 Determinar si los supervisores revisan y aprueban las correcciones

antes de su reentrada.
 Realizar un control estadístico de los errores de entrada.
Control del Integridad del procesamiento de datos

procesamiento de
 Verificar que el procesamiento de datos esta adecuadamente
datos
documentado.
 Identificar el personal involucrado y verificar que no intervengan

en la generación entrada y distribución de datos.
 Determinar si existen bitácoras que permiten la reconstrucción de

archivos.
 Verificar si se llevan a cabo actividades de control como:
o Control de la actividad de las terminales.
o Investigar cualquier intervención del operados en la

desviación.
o Asegurarse que los reinicios se realicen adecuadamente.
o Balance de los contadores de lotes y datos procesados.
 Determinar si los programas de aplicación :
o Impiden la actualización concurrente de datos.

o Identifican los tipos de datos de entrada.
o Generan totales de control y llevan a cabo el proceso.
o Si verifican las etiquetas de archivos antes de su
procesamiento.
Los errores y el operador
 Revisar los procedimientos de control de errores de

procesamientos y verificar que los errores se registren en el
archivo de pendientes.
 Determinar que los procedimientos estándar especifiquen las

limitaciones de la intervención de un operador en cuanto a las
condiciones de errores.
 Verificar el registro del sistema para controlar las intervenciones

del operador.
 Cerciorarse que solo los operadores tiene acceso a la

documentación de los sistemas, programas, datos y software del
sistema.

 Determinar si el control de datos revisa los informes de salida
Controles de salidas
de datos (listados) para detectar errores evidentes tales como campos de
datos que faltan, valores no razonables o datos incorrectos.
 Verificar que se hace una identificación adecuada de los informes
como por ejemplo, nombre y número de informe, fecha de

salida, nombre del área/ departamento, etc.
 Compara la lista de distribución de informes con los usuarios que
los reciben en realidad.

 Verificar que los informes que pasan de aplicabilidad se
destruyen, y que no pasan simplemente a la basura, sin
seguridad de destrucción.
 Revisar la justificación de informes, que existe una petición
escrita para cada uno y que se utilizan realmente, así como que
está autorizada la petición.
 Revisar los procedimientos de corrección de datos de salida.
Revisión de las salidas

 Se deben revisar los procedimientos relacionados con el
balance y conciliación de salidas.
 Verificar que el control de salida se realice antes de que la

información sea distribuida.
 Revisar si las transacciones pueden rastrearse tanto hacia

las salidas finales, como hacia los documentos fuentes.
 Establecer si se reportan las excepciones en las salidas.
Distribución de los resultados

 Se deben revisar los métodos de distribución de las salidas.
 Detectar errores de distribución.
 Verificar el control de acceso a los informes de salida que

esperan ser distribuidos.

Otros controles respecto a las aplicaciones informáticas son:
Controles de Documentación
 Verificar que dentro de las actividades de desarrollo y mantenimiento de aplicaciones se produce la

documentación de sistemas, programas, operaciones, funciones y procedimientos de usuario.
 Existencia de una persona especifica encargada de la documentación y que mantiene un archivo de

documentos ya distribuidos y a quienes.
 Comprobar que los jefes de ara se informen de faltas de documentación adecuada para sus empleados.
 Destrucción de toda la documentación de antiguos sistemas.
 Que los usuarios no acepten una nueva aplicación sin su documentación correcta.
 Actualización en la documentación al mismo tiempo que los cambios y modificaciones en los

sistemas.
 La existencia de documentación de sistemas, programas, de operación y de usuario por cada

aplicación ya implantada.
Controles de Backup y Rearranque.
Resulta necesario estudiar medidas para salvar circunstancia de tipo accidental o intencional que
impida la continuidad de la operatoria.
 Backup de equipos: se trata de abarcar todas las posibilidades que podrían presentarse en un
centro de cómputos. Las variantes frente a esta situación son:
o Tener equipo de repuesto: El equipo de repuesto puede ser total (lo que implica duplicar el
hardware) o limitarse a ciertas unidades en función de un análisis previo, elementos que
deberían situarse en un lugar no muy próximo al centro de procesamiento.
o Posibilidad a efectuar el procesamiento en equipos similares: Conviene llevar a cabo

investigaciones para determinar la posibilidad de realizar el procesamiento en
computadoras similares, para el caso de una interrupción prolongada.
 Backup de archivos maestros o base de datos: La necesidad de contar con elementos de respaldo
está motivada por cinco clases de circunstancias:

o Errores en la programación
o Errores en el software de base (sistema operativo)
o Fallas del hardware
o Errores de procedimientos.
o Acontecimientos naturales.
o Acciones humanos intencionales.
 Pautas para el establecimiento de un sistema de Backup: Todas las tareas referentes al estudio de
las medidas a adoptar para la estrategia de “backup” y recuperación, planeamiento y
documentación de todas las normas a emitirse y la revisión periódica son responsabilidad del
Administrador de la Base de Datos.
Un elemento importante es la realización de pruebas para verificar que las estrategias adoptadas
funcionan, técnica y administrativamente.
Para construir una norma para el resguardo de los archivos maestros se deben considerar los siguientes
puntos:
o Establecimiento de cuáles son los procedimientos “críticos” de la entidad.
o Determinación de la metodología o estrategia para el back up.
o Determinación del lugar donde se almacenarán los medios magnéticos.
o Actualización periódica del resguardo.
o Realización de inventarios periódicos sobre los elementos de backup.
El auditor realizará una exhaustiva inspección del lugar de “backup” y determinará el nivel de protección
que proporciona contra robo, accesos no autorizados y destrucción de la totalidad de los elementos
almacenados (esta observación está ligada con la documentación del software y otros elementos que
también se guardan en el lugar del backup.)

Aspectos a tener en consideración :
 Existencia de procedimientos de backup y rearranque documentados y comprobados para cada

aplicación en uso actualmente.
 Procedimientos escritos para la transferencia de materiales y documentos de backup entre el Centro

de Procesamiento de Datos y el sitio de backup (centro alternativo). Mantenimiento de un
inventario de estos materiales.
 Existencia de un plan de contingencia.
 Identificación de aplicaciones y ficheros de datos críticos para el plan de contingencia.
 Pruebas de aplicaciones criticas en el entorno de backup, con los materiales del plan de
contingencia (soporte magnético, documentación, personal, etc)
 Grabación de todas las transacciones realizadas durante el día por teleproceso, para facilitar la
reconstrucción de ficheros actualizados durante el día en caso de fallo del sistema.
Controles sobre Programas de Auditoría
Consiste en determinar que metodología se utilizara para probar los datos o procesos del sistema,
generalmente se usa lo siguiente:
 Software de auditoría generalizado. Módulos de auditoría incorporados.
 Transferencia de información (downloading) a una Pc para tratarla con software de análisis.
 Uso de sistemas expertos.
Con la ayuda de este software o técnica asistida por computador, se realizan pruebas de auditoría, estas
pruebas incluyen por ejemplo:
 Muestreo estadístico, con el cual se selecciona la muestra de transacciones o del universo de

datos que serán probados.
 Pruebas de rangos, se usan para probar que los datos en prueba son válidos porque están en
un rango de valores adecuado.
 Pruebas de excepciones, se usan para verificar que el procesamiento de las transacciones es correcto
que no existen excepciones en los datos con los que trabaja el sistema

 Distribución de políticas y procedimientos escritos a auditores y responsables de áreas sobre la
adquisición, desarrollo y uso de software de auditoría.
 Uso de software de auditoría únicamente por personas autorizadas.
 Participación del auditor en la adquisición, ,odoficacion, instalación de paquetes de software de

auditoría.
 Participación únicamente del auditor en la planificación, diseño, desarrollo e implantación de

software de auditoría desarrollado internamente.
 Verificación que los programas de utilidad se utilizan correctamente (cuando no se puede utilizar
software de auditoría).
Controles de la satisfacción de los usuarios
 Disponibilidad de políticas y procedimientos sobre el acceso y uso de la información.
 Resultados fiables, completos, puntuales y exactos de las aplicaciones (integridad de datos).
 Comprensión por los usuarios de los informes e informaciones de salida de las aplicaciones.
 Revisión de los controles de recepción, archivo, protección y acceso de datos guardados sobre todo
tipo de soporte.
 Resolución fácil de problemas, errores, irregularidades y omisiones por buenos contacto=s entre
usuarios y el personal de Centro de Procesamiento de Datos.
 Evaluación de la revisión y/o resultados de pruebas. En esta etapa se identifican y evalúan los puntos
fuertes y débiles de los procedimientos y prácticas de control interno con su adecuación, eficiencia y
efectividad. Cuando se identifique una debilidad de determinara su causa.
 Preparación del informe. Recomendaciones.

17. Auditoría de redes informáticas.
Existen diversos tipos de auditorías de redes debido fundamentalmente al grado de escalabilidad y

personalización obtenidos. De forma sintética, se puede hablar de tres tipos básicos de auditorías en redes,
que pueden ser complementadas mediante auditorías ad-hoc.
AUDITORÍA DE LA ARQUITECTURA DE REDES
La finalidad principal de este tipo de auditorías es la obtención de un mapa básico de topología de

red como punto de partida del diseño del entorno de red en su conjunto. Por otro lado, la utilidad de este tipo
de auditorías es la generación de recomendaciones para las áreas susceptibles de cambio y/o actualización de
la empresa u organización, evitando los puntos potenciales de criticidad y fallo en la red auditada.
La primera fase de una auditoría de la arquitectura de redes es la recopilación de información sobre

las necesidades empresariales o corporativistas y de datos técnicos sobre los equipos de red activos.
Mediante un proceso específico de entrevistas al equipo de recursos humanos dedicado a la gestión-
administración, provisión y mantenimiento de la red, se identifican las necesidades empresariales
relacionadas con la red. Además, se recolecta la información pertinente sobre los procesos aplicativos que se
ejecutan en la red y los planes de crecimiento futuro. Para la recogida de datos técnicos sobre los equipos
activos de red, se utilizan herramientas software y hardware de red seguras. La utilidad de esta auditoría se
desglosa en el informe que incluye la siguiente información:
 Un listado de los equipos activos en la red WAN/LAN

 Un mapa de la topología de red física.
 Un resumen analítico de ingeniería donde destacan los puntos potenciales de fallo y/o mejora de la
red auditada.
AUDITORÍA DE RENDIMIENTO DE REDES
La finalidad principal de este tipo de auditoría es proporcionar datos del rendimiento, siendo la utilidad de la
misma la generación de recomendaciones en forma de informes que ayuden a determinar las mejoras que
precisa la red para garantizar las necesidades de los usuarios de los aplicativos, tanto en el presente como en
el futuro.
Se debe contar con un mapa de la topología de red, como punto de partida para la primera de las
fases de este tipo de auditoría, el análisis del rendimiento. Como resultado, se obtendrá principalmente una
solución ERP (Enterprise Resource Planning o Planificación de Recursos Empresariales). Un ERP es un

software de gestión integral de empresa cuyas características fundamentales son:
 Resuelve todas las necesidades de flujos de información dentro de la organización.

 La aplicación posee naturaleza estándar, con la disponibilidad de un entorno propio de desarrollo a
disposición de la empresa, facilitando las adaptaciones necesarias en el sistema de gestión para
responder a los cambios de su entorno.
La siguiente fase de la auditoría, es la Evaluación de planes de crecimiento futuro de la red y/o

planes de cambios necesarios en el entorno de aplicaciones críticas de la empresa. A continuación, se elige el
momento más adecuado para realizar la recopilación de datos del rendimiento de la red, mediante la
implantación de herramientas que recojan datos de rendimiento de la red a través de los siguientes ítems:
 Uso comparativo.
 Salud de la red en aspectos globales.
 Análisis de errores.
 Determinación de los diez principales emisores de tráfico en la red.
 Determinación de los diez principales receptores de tráfico en la red.
 Distribución y uso de los protocolos de comunicaciones.

Finalmente, se realiza el informe ad-hoc a la red auditada, donde se incluye un resumen para la
dirección de la empresa u organización, describiendo los resultados de la auditoría de rendimiento y
ofreciendo las recomendaciones oportunas de toma de decisiones.
Complementariamente, se adjunta el informe resumido de ingeniería que interpreta los datos de

rendimiento y proporciona un resumen de referencia del rendimiento del entorno de reden su conjunto, las
recomendaciones para mejorar el rendimiento actual en base a las necesidades empresariales, las
recomendaciones para prever el crecimiento futuro de la red, datos indicadores de problemas potenciales
afectando al tiempo de retorno y tiempo de respuesta de los procesos y un apéndice con todos los datos del
rendimiento en formato gráfico. De forma opcional, se suele fijar una reunión-presentación con el equipo
directivo, para ofrecer una presentación interactiva de observaciones y recomendaciones relativas al
rendimiento del entorno en relación a las necesidades empresariales.
AUDITORÍA DE LA DISPONIBILIDAD DE REDES
La finalidad de esta auditoría es la comprensión profunda de los requerimientos para alcanzar y

mantener la disponibilidad y fiabilidad de la red que la empresa u organización precisa. El desarrollo de este
tipo de auditoría se basa en una serie de entrevistas a miembros clave de la plantilla de la empresa u
organización en sus propias dependencias, que versan sobre los siguientes aspectos:
 Planificación de servicios: objetivos de alta disponibilidad, gestión de niveles y acuerdos de

servicios (SLA, Service Level Agreement), aplicaciones y sistemas críticos de la red.
 Estructura de la organización: personal encargado de la red, necesidades de formación y
conocimientos específicos, funciones, dependencias y responsabilidades.
 Relaciones con el proveedor: comunicaciones, contratos de soporte y tipos de soporte (presencial,
remoto, 24x7, etc).
 Gestión de cambios: traslados, incorporaciones y cambio; verificación previas de la red antes de
actualizar la red y procedimientos de actualización de software.
 Gestión de fallos e incidencias: procedimientos de control de incidencias en el servicio,
procedimientos de escalado técnico, procedimientos de escalado gerencial, procedimientos de
seguimiento y análisis, prevención y estrategias de aislamiento de fallos en la red.
 Entorno físico: seguridad física, consideraciones ambientales, estrategia de cableado estructural y
etiquetado, accesos a los emplazamientos a mantenedores y suministradores.
 Planificación de contingencias: copias de seguridad y respaldo, recuperación proactivas y reactivas
de la información.
 Seguridad: revisión de reglas en firewalls, políticas y procedimientos, acceso remoto autentificación
de métodos y políticas de intranet y extranet.

Para concluir, se planifica una presentación con el personal directivo y con personal clave encargado
de la red, donde se realiza una comparación entre los objetivos empresariales con estrategias de operaciones
TIC y sus planes de implantación, indicando las vulnerabilidades de la red, obstáculos y factores críticos.
TÉCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORÍADE REDES
 Entrevistas
 Cuestionarios
 Encuestas
 Levantamiento de inventario
 Técnicas de observación
 Técnicas de revisión documental
 Matriz FODA
 Listas de chequeo
 Técnicas de muestreo
 Trazas o Huellas
 Log’s
 Modelos de simulación
HERRAMIENTAS SOFTWARE UTILIZADAS
Las principales herramientas de software libre empleadas en las auditorías de redes son las
siguientes:
Para el análisis de red:
a. Scotty : herramienta de monitorización de agentes que incluye capacidades de gestión de

dispositivos SNMP. Está implementado en Tcl/Tk con extensiones propias, e incluye un navegador
MIBs.
b. Tcpdump: herramienta de adquisición y análisis de tráfico. Es una fuente de la librería libpcap.
c. Ethereal/Wireshark : herramienta de adquisición y análisis de tráfico con un entorno gráfico de
alto nivel. Se pueden realizar distintos tipos de filtrado de la información capturada.
d. Kismet : es un sniffer, un husmeador de paquetes, y un sistema de detección de intrusiones para
redesinalámbricas802.11.
e. Aircrack -ng: es una suite de seguridad inalámbrica que consiste en un packet sniffer de red, un
crackeador de redes WEP y WPA/WPA2-PSK y otro conjunto de herramientas de auditoría
inalámbrica.

f. Mrtg: herramienta con interfaz WWW que permite una lectura en tiempo real de estadísticas de
distintos elementos, entre otros, dispositivos SNMP. Es una de las herramientas más conocidas para
monitorización de tráfico, y una de las más extendidas.
g. Cheops: herramienta sustitutiva de scotty para la gestión de elementos de red, también incluye
soporte SNMP, además es tremendamente gráfica e intuitiva.
h. Mon: se trata de una herramienta integrada para la gestión de red, soportando múltiples sistemas en
los que, a través de agentes, se pueden monitorizar las aplicaciones de éstos y su rendimiento. Tiene
soporte SNMP y ofrece la posibilidad de definir muchos niveles de alertas, desde correo electrónico
a notificaciones con voz en tiempo real.
i. Iptraf : es un monitor de red a nivel IP. Permite la obtención del ancho debanda consumido,
monitorizar todas las conexiones relativas a una máquina, comprobación de checksums errors y
detectar ciertas operaciones no permitidas por parte de los usuarios.
Para la realización de gráficos y esquemas:
a. Tkined : es la interfaz gráfica de la herramienta scotty.

b. ArgoUML: software que facilita la comunicación entre desarrolladores, clientes, analistas y demás
personas que intervienen en un proyecto utilizando un lenguaje gráfico denominado UML.
c. Xfig: Herramienta de dibujo vectorial en 2D.
d. Dia: Herramienta de propósito general para la creación de diagramas.

18. Auditoría de Seguridad Física.
En la auditoría de seguridad física nos vamos a centrar en estudiar los riesgos y vulnerabilidades que
pueden afectar a la seguridad física en concreto, a si como a las medidas o pautas que se deben seguir para
proteger nuestros sistemas.
Para la evaluación del nivel de Seguridad Física que tienen los sistemas de información es necesario
analizar los riesgos y amenazas principales.
Por ejemplo, si un empleado de una gran entidad, que en principio puede parecer poco importante,
maneja información relevante o importante, como puede ser la gestión de nóminas, y la almacena en su PC,
realizando o no copias en el servidor de datos, estaríamos hablando de un problema de gestión o formación,
pero en cualquier caso perteneciente al ámbito de la seguridad lógica.
Obviamente, dependerá de la entidad en concreto y de las necesidades y criticidad de los datos o

sistemas. En este trabajo se va a hacer una revisión general de los sistemas más comunes para una entidad de
un tamaño medio o grande.
Hemos hablado ya del centro computacional o centro de cómputo, que es donde en una entidad se
disponen los elementos informáticos más críticos para ésta, como las consolas de administración, los
dispositivos de red, los servidores de datos y aplicaciones, etc. por tanto nuestros esfuerzos se centraran en
revisar la Seguridad Física de este lugar, haciendo una revisión general y más relajada del resto de equipos o
sistemas, llamados de usuario final, y que siguiendo una buena política de seguridad lógica, su pérdida no
deberá suponer para la entidad más que su valor económico.
Preparación
Como en toda auditoría informática, debe existir un trabajo previo, que debe de constar de los puntos
que hemos comentado en el capítulo anterior. Para el caso de la Auditoría Informática de la Seguridad Física
no se dan unos requisitos o características concretas de este trabajo, por lo este proceso seguirá ya expuesto
sobre el trabajo preparatorio, y contará, por tanto, con las siguientes fases.
a) Encargo del trabajo

b) Planificación
c) Programa de trabajo
d) Recopilación de información
Vamos a ver, de las distintas fuentes de las que podemos obtener información, como son la
documentación, el personal, las revisiones y pruebas y las fuentes externas a la entidad, las que más nos

pueden interesar en cada caso, así como cómo podemos obtener la información concreta para nuestra
revisión de la Seguridad Física.
La observación
Como ya hemos comentado, la observación es muy importante y debe desarrollarse a lo largo de

todo el proceso de auditoría. Lo situamos en primer lugar porque existen ciertas revisiones o verificaciones
que exigen un alto grado de factor sorpresa, ya que es Proyecto de Fin de Carrera Auditoría Informática de la
Seguridad Física normal que cuando los empleados saben que se está realizando la auditoría, traten de seguir
mejor las normas.
Por ello, intentaremos recabar la máxima información realizando observaciones, que no constarán en
los planes de trabajo, pero que quedarán a juicio del auditor. De esta manera, simplemente deambulando por
las instalaciones de la entidad, podremos recabar la máxima información posible.
a) Acceso al edificio:
Se deberá intentar acceder a las instalaciones sin identificarnos como auditores, tanto por la entrada principal
como por otras que pudiéramos encontrar. Se deberán anotar todos los controles por los que pasamos, y si
finalmente conseguimos acceder. Es posible que en entidades grandes exista la posibilidad de que en la
entrada principal nos den el alto y podamos acceder como visitantes. No debemos revelar nuestra identidad
para así proseguir con nuestra investigación
b) Interior del edificio:
Si hemos conseguido acceder al edificio, tanto si lo hemos hecho como intrusos como si lo hemos hecho
como visitantes, deberemos realizar algunas comprobaciones más en el interior de éste. Si por el contrario no
hemos podido tener acceso a las instalaciones, los puntos que detallamos a continuación los deberemos
comprobar, en la medida de lo posible, durante el proceso de auditoría.
 Dispositivos eléctricos.
 Dispositivos de red.
 Limpieza.
 Sistema antiincendio.
c) El entorno del hardware:
Es posible, y deseable, que el acceso al entorno más directo del hardware no nos haya sido permitido, no

obstante se deben levar a cabo ciertas observaciones que, de no poder realizarse en este momento se deben
realizar a lo largo del proceso de auditoría. De cualquier manera, vamos a ver los puntos más importantes
que debemos revisar.
 Puertas abiertas.
 Temperatura.
 Comida y bebida.
 Limpieza.
La documentación
La documentación que se debe solicitar a la entidad auditada dependerá en función de los objetivos,
ámbito y profundidad de la auditoría en concreto, pero a rasgos generales, se deben solicitar los siguientes
documentos para más adelante proceder a su análisis y revisión. Más adelante los principales aspectos que se
deben analizar de cada documento solicitado.
Análisis del entorno de las instalaciones.
Como hemos comentado en el capítulo de Seguridad Física, el entorno de las instalaciones nos va a
determinar el nivel de riesgo que suponen las distintas amenazas. Por tanto, se deberá realizar un estudio del
entorno de las instalaciones para conocer ante qué amenazas debemos hacer un mayor esfuerzo en seguridad
y cuales nos van a afectar poco o muy poco, y por lo tanto podremos instalar sistemas de seguridad más
relajados. No obstante, al margen de este pequeño estudio, se podrá recabar más información al respecto
incluyendo preguntas relacionadas en cuestionarios y entrevistas.
Los posibles riesgos son, tanto naturales como artificiales:
– Naturales: Terremotos, tormentas electicas, temperatura, humedad o lluvias.

– No naturales: Vibraciones, polvo, incendios e interferencias.
Los mejores métodos para obtener información puedan ser a través de cuestionarios o entrevistas,
o revisiones o pruebas.
Por último tenemos que realizar un informe que ponga en común todo lo analizado y
encontrado.

19. Auditoría de la Seguridad lógica.
La auditoría de seguridad lógica de un sistema comprende el análisis y gestiones de sistemas es el

estudio que comprende el análisis y gestión de sistemas para determinar y corregir las diversas
vulnerabilidades que se pueden presentar.
Para realizar una auditoría se debe realizar una planificación de la misma; y un estudio preliminar de
la misma. También tenemos que tener en cuenta los estándares que existe sobre el tratamiento de los datos.
Planeación de la auditoría en informática
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos
previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus
sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde
el punto de vista de los dos objetivos:
1. Evaluación de los sistemas y procedimientos.
2. Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la
organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación
preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá
incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo
de la misma.
Investigación preliminar
Se deberá observar el estado general del área, su situación dentro de la organización, si existe la
información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las
áreas basándose en los siguientes puntos:
ADMINISTRACIÓN: Se recopila la información para obtener una visión general del departamento por medio
de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y
alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática

objetivos a corto y largo plazo, recursos materiales y técnicos, solicitar documentos sobre los equipos,
número de ellos, localización y características, estudios de viabilidad, número de equipos, localización y las
características (de los equipos instalados y por instalar y programados), fechas de instalación de los equipos
y planes de instalación, contratos vigentes de compra, renta y servicio de mantenimiento, contratos de
seguros, convenios que se tienen con otras instalaciones, configuración de los equipos y capacidades actuales
y máximas, planes de expansión, ubicación general de los equipos, políticas de operación, políticas de uso de
los equipos.
SISTEMAS: Descripción general de los sistemas instalados y de los que estén por instalarse que contengan
volúmenes de información, manual de formas, manual de procedimientos de los sistemas, descripción
genérica, diagramas de entrada, archivos, salida, salidas, fecha de instalación de los sistemas, proyecto de
instalación de nuevos sistemas.
En el momento de hacer la planeación de la auditoría o bien su realización, se debe evaluar que

pueden presentarse las siguientes situaciones.
Se solicita la información y se ve que:
 No tiene y se necesita.
 No se tiene y no se necesita.
Se tiene la información pero:
 No se usa.
 Es incompleta.
 No está actualizada.
 No es la adecuada.
 Se usa, está actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el

caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y
con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar
por qué no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es
la adecuada y si está completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
 Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
 Investigar las causas, no los efectos.
 Atender razones, no excusas.

 No confiar en la memoria, preguntar constantemente.
 Criticar objetivamente y a fondo todos los informes y los datos recabados.
Personal participante
Una de las partes más importantes dentro de la planeación de la auditoría en informática es el

personal que deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que
intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de
recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y
capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que
hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la
auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas
requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un
grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi
imposible obtener información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento que se
solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen
aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo
el punto de vista de la dirección de informática, sino también el del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener
personas con las siguientes características:
 Técnico en informática.
 Experiencia en el área de informática.
 Experiencia en operación y análisis de sistemas.
 Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en
áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los
conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características
apuntadas.
Una vez que se ha hecho la planeación, se puede utilizar un formato en el que figura el organismo,
las fases y subfases que comprenden la descripción de la actividad, el número de personas participantes, las
fechas estimadas de inicio y terminación, el número de días hábiles y el número de días/hombre estimado. El
control del avance de la auditoría se puede llevar mediante un informe, el cual nos permite cumplir con los
procedimientos de control y asegurar que el trabajo se está llevando a cabo de acuerdo con el programa de
auditoría, con los recursos estimados y en el tiempo señalado en la planeación.
Pasos a seguir
Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos
globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de
auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna
evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que
prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la
gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el
trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por
la gerencia.
Informe
Después de realizar los pasos anteriores y de acuerdo a los resultados obtenidos, el auditor realizará
un informe resultante con observaciones y/o aclaraciones para llevar a cabo dentro de las áreas involucradas
para el mejor funcionamiento del sistema.
ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN
ISO/IEC 27000-series: La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la
Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar,
implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información
(SGSI).
COBIT: Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en inglés: Control
Objectives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de

información creado por la Asociación para la Auditoría y Control de Sistemas de Información, (ISACA, en
inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las
Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control

generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con
autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también
directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les
ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de
seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un
modelo de administración de las tecnologías de la información.
ITIL: La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologías de

Información"), frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prácticas destinadas a
facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso
conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia
en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados
para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI.

20. Conclusiones
Existen una gran confusión entre auditoría, consultoría y control interno. Una auditoría es un examen
crítico y sistemático de un sistema con el objetivo de localizar vulnerabilidades y riesgos e identificar los
cambios e impactos en el sistema. Como resultado de auditoría se obtiene una opinión profesional que
mejore la eficiencia y eficacia del sistema. Sin embargo la consultoría es un análisis de una actividad
encaminada a dar un consejo sobre la forma mejor de llevarla a cabo. Toda auditoría requiere de controles
internos que permitan identificar los cambios y corregir los errores e irregularidades. Por el contrario un
control interno no implica necesariamente una auditoría.
Como vemos la auditoría está muy relacionada con la gestión de riesgos de una organización y con la
gestión de la calidad total de la misma.
Concretando en la auditoría informática, aunque tenga su origen en la auditoría de cuentas, la forma

de llevarla a cabo es completamente diferente ya que el objeto (los sistemas de información) es de una
naturaleza distinta a la información contable. El objeto de la auditoría informática es el hardware, software,
aplicaciones, redes, seguridad, calidad, personal, procesos, procedimientos, información.
Existen varias razones por las que una organización decide someterse a una auditoría:
 Toma de decisiones incorrectas.
 Reducir el costo de los errores.
 Control del uso de las TIC.
 Consecuencias de las pérdidas de datos.
 Valorar el hardware, software y personal.
 Privacidad de los datos personales.
 Fraude informático.
De acuerdo a estos objetivos, se establecen los siguientes objetivos generales para la auditoría
informática:
 El establecimiento y mantenimiento de sistemas de gestión de la seguridad.
 La reducción de los riesgos inherentes a la utilización de los sistemas de información.
 El incremento de la confianza de los usuarios internos y externos de los sistemas de información.

Por todo ello se requiere que el auditor informático tenga conocimientos técnicos en hardware,
lenguajes de consultas de datos, lenguajes de programación, sistemas operativos, estándares de desarrollo de
sistemas de información, control de tareas, herramientas de auditoría, marco legal de la protección de datos
personales, regulación del comercio electrónico, regulación transferencias electrónicas, regulación del
outsourcing, delitos informáticos. Además, el auditor debe tener actitud positiva, saber escuchar, mente
analítica, capacidad de negociación, capacidad de trabajar en grupo, ser independiente, profesional y
responsable respecto a los resultados obtenidos, entre otras cualidades.
Como cualquier actividad profesional debe diseñarse una metodología para llevar a cabo la auditoría
informática. En este trabajo hemos echado en falta una metodología específica para la auditoría informática,
sin embargo, hay bastante literatura respecto a la financiera. Los organismos internacionales que se ocupan
del control y auditoría de sistemas de información son referentes para los estándares:
 ISACA – Asociación de Auditoría y Control de Sistemas de Información.
 ISO – Organización Internacional para la estandarización.
 NIST – Instituto Nacional de Estándares y Tecnologías de EEUU.
En todas las metodologías se aplican principalmente dos herramientas: las entrevistas cara a cara con
los diferentes responsables de la organización, las listas de comprobación de items y las matrices de
trazabilidad de objetos.
Otros de los puntos a destacar es el contrato de auditoría, ya sea como servicio o como obra.
Respecto a este contrato comentar los problemas jurídicos que tienen tanto cliente como proveedores para
reclamar en los juzgados las garantías de los mismos. Esto es debido a la naturaleza de los contratos de
auditoría informática. Como indicamos al principio, este tipo de auditoría tiene una naturaleza muy diferente
a la auditoría financiera por lo que se necesita una regulación jurídica específica. En este punto se abre un
nuevo campo profesional para los ingenieros informáticos además de ser auditor, consultor, analista o
programador, sería forense informático al que se le exigirían además de conocimientos técnicos,
conocimientos para el peritaje de auditorías.
Como podemos observar queda mucho por hacer en este campo desde proponer una metodología
estándar hasta un marco legal que regule la contratación, ejecución y finalización de la auditoría. Es
importante que se puedan garantizar en un estado de derecho responsabilidades y derechos de consumidores
y proveedores en el marco de un contrato comercial.
Respecto a las diferentes auditorías existentes, podemos distinguir que existen auditorias con

similitudes en su naturaleza, y donde el perfil profesional del auditor es similar en ambas auditorias, como
puede ser un perfil de auditor más especializado en informática, o un auditor con un perfil más empresarial o
jurídico.
Algunas auditorias como la de Outsoucing TI, el auditor debe de tener una mentalidad mas jurídica,
y tener conocimientos más amplios sobre legislación, ya que lo que debe de auditar son unos contratos, y
comprobar que estos se cumplen, otras auditorias como la dirección informática, el auditor debe de tener una
mentalidad mas empresarial, ya que debe de evaluar si la dirección de la empresa se basa en unos estándares
o puntos de buenas prácticas. Aquí entraría el perfil de auditor de estándares como Prince2 o Pmbook. Donde
el auditor debe de comprobar si la empresa cumple los estándares correctamente.
Por otro lado, hay otras auditorias como la de seguridad lógica, redes o aplicación donde el auditor
debe de tener mayor experiencia como informático, y una especialidad mas remarcada, ya que debe de
conocer las distintas tecnologías que se aplican para desplegar una red en un ambiente empresarial, o el
software empleado para realizar un sistema de información, y los distintos SGBD.
Otras auditorias como es la seguridad física, necesita un perfil de auditor completamente especifico
para auditar la materia, ya que lo que consiste en evaluar los mecanismo de seguridad ante problemas de tipo
físico, por lo que requiere una formación más específica sobre prevención de riesgos.
También podemos comprobar que hay muchos puntos en común entre las distintas auditorias, como
puede ser el uso de los estándares para el tratamiento y almacenamiento de datos de índole personal, las
auditorias que comparten esto, son las de base de datos, explotación, seguridad lógica, y algunas auditorias
en menor medidas.
Un punto a destacar dentro de algunas auditorias, es que algunas necesitan de un tratamiento previo a
la auditoria, por ejemplo logs o diario de trabajo, ya que para auditar una dirección de informática, es muy
importante comprobar los planes de trabajos y como se han ido cumpliendo, así que si la empresa carece de
estos puntos es imposible hacer una auditoria de esta índole.
Todas las auditorias tienen una serie de prácticas propias para realizar la auditoria, pero casi ninguna
tiene un estándar a seguir, por lo que cada auditor actúa bajo su experiencia, o bajo los estándares
establecidos por la empresa. También podemos destacar que muchas empresas encargadas de desarrollar
SGBD como Oracle, ponen a la mano de los auditores directivas y algunas herramientas de como poder
realizar las auditorias. Pero fuera de estos puntos todas las auditorias el auditor no tiene un camino marcado
para actuar, solo una serie de puntos a seguir para realizar la auditoria.

Referencias
 Piattini M., del Peso E., del Peso M. Auditoría de Tecnologías y Sistemas de Información. Ra-
Ma 2008.
 Piattini, M., E. Del Peso, Auditoría Informática: un enfoque práctico, Ra-Ma, 1997.
 Expansión, Control Interno, Auditoría y Seguridad Informática. Tomos II-IV, 1996.
 Govindan, Marshal, John Y. Picard, Manifest on Information Systems Control and

Management, McGraw-Hill, 1990.
 ERP: Guía práctica para la selección e implantación. Luis Muñiz. Editorial Gestión 2000. 2004
 Dolado, J. J; Fernández, l. y otros. Medición para la gestión en la Ingeniería del Software. Ra-Ma, 2000
 Piattini, Mario; García, Felix; García, Ignacio; Pino, Francisco. Calidad de los Sistemas de
Información. 2ª Edición Actualizada. Ra-Ma, 2011.
 Marco de Desarrollo de la Junta de Andalucía (MADEJA):

http://www.juntadeandalucia.es/servicios/madeja/
 Metodología de Planificación, Desarrollo y Mantenimiento de Sistemas de Información

(Métrica v3):
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_M
etrica_v3.html#.VI3mSNKG_ng
 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT v3):

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_M
agerit.html#.VI3mxtKG_ng
Grupos de Trabajo
- UCLM - Escuela Superior de Informática (Univ. Castilla - La Mancha):

http://webpub.esi.uclm.es/investigacion/grupos/gsya
http://gsya.esi.uclm.es/

- Univerdidad de Vigo - Grupo SING: http://sing.ei.uvigo.es/
- ISACA: www.isaca.org
o Grupo de trabajo AUD de ISACA-Madrid:

http://www.isaca.org/chapters7/Madrid/AboutourChapter/Pages/Comisiones.aspx
Foros de interés
- https://www.incibe.es/enise/ - ENISE, el Encuentro Internacional de Seguridad de la Información
- Noviembre 5 al 6 de 2014: Jornadas Técnicas de ISACA Madrid 2014 (Madrid - España):

http://www.isaca.org/chapters7/Madrid/Events/Eventos/Pages/Jornadas-Tecnicas.aspx
- Febrero 9 al 11 de 2015: 1st International Conference on Information Systems Security and Privacy
ICISSP 2015 (Angers - Francia): http://www.icissp.org/
Enlaces de interés
 COBIT: http://www.itil.org/en/vomkennen/cobit/index.php
 ISACA-COBIT: http://www.isaca.org/cobit/pages/default.aspx
 Agencia Estatal de Protección de Datos: http://www.agpd.es/portalwebAGPD/index-ides-

idphp.php
 Asociación Española para la Calidad: www.aec.es
 American Society for Quality: www.asq.org
 Instituto Jurán: www.juran.com Web de Philip Crosby y asociados: www.philipcrosby.com
 ISO: www.iso.org
 Agencia Española de Normalización y Certificación: www.aenor.es
 http://es.wikipedia.org/wiki/Auditoría
 https://www.academia.edu/7185577/FACULTAD_DE_CIENCIAS_BASICAS_E_INGENIERIA_MOD
ULO_AUDITORIA_DE_SISTEMAS

 http://www.monografias.com/trabajos11/siste/siste.shtml
 http://www.ati.es/gt/seguridad/PtoEncuentroAreas/MTTAuditoria_2000-11-07.pdf
 http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatic
a/auditoria_informatica.pdf
 http://www.auditoria.com.mx/auditoria-de-sistemas-de-informacion

Anexos CHECKLIST de verificación desarrollo de software.
CheckList para verificar los requisitos.
La verificación de requisitos consiste en un conjunto organizado de comprobaciones para evaluar si un

producto es acorde a un modelo de calidad definido para él.
La verificación de requisitos propuesta en MADEJA incluye preguntas sobre las características de calidad
que son competencia del responsable de calidad durante el desarrollo de la actividad verificación de
requisitos. El resto de las características de calidad incluidas en el modelo de calidad de requisitos propuesto
en MADEJA serán comprobadas durante la validación de requisitos y el análisis de requisitos del sistema.
Uso en MADEJA
A continuación se enumeran las verificaciones que se tienen en cuenta durante la ejecución de los servicios
de Testing Temprano, Revisión de Requisitos y Revisión del Análisis, y que deben ser aplicadas sobre los
documentos de Especificación de Requisitos del Sistema y Análisis del Sistema, respectivamente.
Tareas de la verificación de la especificación de requisitos SI NO Pendiente
Comprobar que se ha entregado documentación a cerca de los

requisitos del sistema: ERS (como propone MADEJA).
Comprobar que el documento tiene la sección obligatoria

"Introducción al dominio del problema", según lo que especifica la
plantilla publicada.

"Necesidades de negocio", según lo que especifica la plantilla
publicada.

"Requisitos generales del sistema", según lo que especifica la
Comprobar que el documento tiene la sección obligatoria "Casos de

uso del sistema", según lo que especifica la plantilla publicada.


"Requisitos funcionales del sistema", según lo que especifica la

"Requisitos no funcionales del sistema", según lo que especifica la

"Requisitos de integración del sistema", según lo que especifica la

"Restricciones técnicas del sistema", según lo que especifica la

"Información sobre trazabilidad", según lo que especifica la
Comprobar que el contenido de las secciones del documento es

acorde a lo especificado en la plantilla publicada.
Comprobar que se han especificado los atributos obligatorios de cada

elemento del documento (objetivos de negocio, procesos de negocio,
requisitos generales, casos de uso, requisitos de información, etc), según
la plantilla publicada.
Por ejemplo, es obligatorio especificar el código del elemento -<999>
Comprobar que el documento tiene la sección "Pros y contras de la

situación actual", según lo que especifica la plantilla publicada.
Comprobar que el documento tiene la sección "Modelo de procesos

de negocio actuales", según lo que especifica la plantilla publicada.
Comprobar que el documento tiene la sección "Entorno tecnológico

actual", según lo que especifica la plantilla publicada.
Comprobar que el documento de Especificación de Requisitos del

Sistema no contiene requisitos ni otra información que dé lugar a
contradicciones.


Sistema no contiene requisitos ni otra información que dé lugar a
redundancias innecesarias.

Sistema no contiene requisitos ni otra información inconsistente
con otros documentos del proyecto como el Pliego de
Prescripciones Técnicas, la Oferta Seleccionada o el Estudio de
Viabilidad del Sistema (si existieran)
Comprobar que el documento no contiene requisitos ni otra

información que dé lugar a redundancias con otros documentos de
la organización para la que se desarrolla y que deben tenerse en
cuenta: manuales, procedimientos, etc.
Comprobar que la redacción del documento es correcta gramatical

y ortográficamente.
Comprobar que la redacción del documento es fácilmente

compresible por todos los participantes en el proyecto.
Comprobar que el glosario de términos contiene la descripción de

todos los terminos que aparecen en el documento y que pertenecen
al dominio del problema.
Comprobar que la interpretación del requisito no es ambigua, y que

su significado no depende de la subjetividad del lector
Comprobar que la descripción del requisito hace posible definir

pruebas para comprobar su cumplimiento: su descripción es
cuantitativa, con valores numéricos (siempre que sea posible)
Comprobar que todos los objetivos del negocio están cubiertos por
algún requisito general
Comprobar que todos los procesos del negocio están cubiertos por
algún requisito general
Comprobar que todos los requisitos generales están cubiertos por

algún caso de uso

Comprobar que todos los requisitos generales están cubiertos por

algún requisito, ya sea funcional (regla de negocio, requisito de
información, o requisito de conducta), no funcional, de integración
o restricción técnica
En el caso de que existan varias versiones de la documentación a

cerca de los requisitos, comprobar que cada requisito tiene asociado
el estado según el ciclo de vida adoptado por el proyecto.

Tareas de la verificación del análisis de requisitos SI NO Pendiente
Debe contener una representación gráfica de la arquitectura lógica que se

propone para el sistema a desarrollar.
Todos los elementos de la arquitectura lógica debes ser descritos.
Contiene un diagrama de clases con todas las clases definidas de manera

clara y comprensible.
Para las clases que lo necesiten, se presentará un diagrama de transición de

estados.
Deben existir los diagramas de secuencia/ digramas de flujos de trabajo

necesarios para describir cada caso de uso o requisitos de consulta del
documento de Especificación de Requisitos del Sistema.
Los diagramas de secuencia/ digramas de flujos de trabajo deben ser claros

y es necesario describir todos sus elementos.
El documento debe contener un diagrama de navegación del sistema.
El documento debe contener los prototipos de pantallas, descritos con

claridad.
El documento debe aportar toda la información que se considere

conveniente sobre la interfaz de usuario y que ayude al desarrollador.
Los servicios de la capa lógica del sistema deben ser representados

mediante diagramas de componentes.
El documento debe contener un listado de los servicios que van a ser

consumidos por el sistema.
Se incluye una trazabilidad que contenga la relación existente entre clases y

requisitos (de información y reglas del negocio).
Se incluye una trazabilidad que contenga la relación existente entre

diagramas de secuencia y requisitos (casos de uso y requisitos de conducta).

Tareas de la verificación del análisis de requisitos SI NO Pendiente

pantallas e informes y requisitos (casos de uso y requisitos de conducta).

servicios y requisitos (requisitos de integración y restricciones técnicas).

CheckList de la construcción del sistema.
La siguiente checklist se podrá completar con cuestiones referentes a los lenguajes de programación
utilizados en la construcción del sistema.
Tareas de la verificación de la codificación de requisitos SI NO Pendiente
Comprobar que la nomenclatura de los métodos de una aplicación cumple con lo

establecido
Comprobar la nomenclatura de las variables
Comprobar que la nomenclatura de los constantes de una aplicación cumple con lo

establecido
Se comprueba el tamaño del código fuente para asegurar que el desarrollo se

mantiene dentro de unos límites de complejidad. El código no debe superar las
2000 líneas de código
Comprobar que no existen métodos con un tamaño excesivo
Comprobar que el tamaño de la línea no superan los 80 caracteres
Comprobar el conjunto de otras recomendaciones que se realizan en la pauta
Comprobar el uso de la alineación
Comprobar el formato del código con respecto al uso de las líneas en blanco
Comprobar el formato del código con respecto al uso del espacio en blanco
Uso de variables booleanas en las estructuras de decisión
Uso de estructuras de control
Eliminar el uso de los números mágicos. Comprobar que no se incluyen números

para realizar comprobaciones y condicionales en el código
Comprobar que no se dota de excesiva funcionalidad a un método controlando el

número máximo de parámetros

Búsquedas de texto, que no distinga por tildes ni por mayúsculas
Comprobar que todos los ficheros están codificados bajo UTF-8
Crea un código que sea lo más auto documentado posible
Controlar la calidad de los comentarios
Comprobar que los comentarios se realizan por bloques
Comprobar que los elementos son comentados
Comprobar que no existen más de una instrucción por línea
En Drupal se utilizan los siguientes principios para el manejo de las etiquetas de

apertura y cierre de código PHP:
* Siempre se utiliza la etiqueta de apertura <?php

* La etiqueta de apertura simplificada, <? nunca debe de usarse
Comprobar que no se usa la etiqueta de cierre, ?> en el código Drupal
El código debe de tener dos espacios en blanco para la alineación, que no sean
tabulaciones
Comprobar que los nombres de las funciones incluyen el nombre de grupo
Comprobar que se listan todos los parámetros por defectos
Debe existir un espacio simple antes y después del operador (=,<,>,etc...)
Comprobar que se incluye un espacio en blanco entre el tipo y la variable en una

transformación
Comprobar que la longitud de las líneas del código no es superior a 80 caracteres
Los arrays están formateados con espacios separados para cada elemento y cada
operador de asignación. Si el bloque de un array tiene más de 80 caracteres, cada
elemento debe moverse a su propia línea

Comprobar que la llamada al constructor sin parámetros de la clase se incluyen los

paréntesis
Comprobar que se deja un espacio en blanco antes y después de utilizar el

operador de concatenación
Comprobar que se incluye ';' al final de cada línea, incluso de los bloques de
código
Comprobar que las clases son nombradas usando la nomenclatura "CamelCase."

Los métodos y propiedades de clases usarán "lowerCamelCase"
Comprobar que la nomenclatura de las clases de una aplicación cumple con lo

establecido
Comprobar que el sufijo en la nomenclatura de las clases e interfaces cumple con

lo establecido
Comprobar la nomenclatura de los identificadores
Comprobar el uso de los métodos “get” y “set” para obtener o establecer los
atributos de la clase
Comprobar que se incluyen comentarios en el código
Comprobar que la nomenclatura de los paquetes de una aplicación cumple con lo

establecido
Comprobar que se incluye una de las capas especificadas para la nomenclatura de

los paquetes
Comprobar que se incluye uno de los tipos especificados para la nomenclatura de

los paquetes
Comprobar que la nomenclatura de los parámetros y variables de una aplicación

cumple con lo establecido
Comprobar que la estructura de los ficheros es la correcta
Comprobar la alineación del código de acuerdo a la convención de programación

Comprobar el correcto uso de las llaves
Comprobar la nomenclatura de los ficheros
Comprobar la nomenclatura de las variables
Comprobar el uso de la alineación
Comprobar el buen uso de las comillas simples
Comprobar el buen uso de las comillas dobles
Comprobar que el índice de los arrays no es negativo
Comprobar que se documentan los elementos del código
Comprobar que se usan plantillas para favorecer la legibilidad del código
Comprobar el uso de caracteres no permitidos
Comprobar la alineación
Comprobar la estructura del bloque anónimo
Comprobar las estructuras de las condiciones
Comprobar que las estructuras de los bucles
Comprobar que la estructura de las sentencias select es correcta
Comprobar que la estructura de la sentencia Insert, Delete, Update es correcta
Comprobar que los documentos son bien formados y en ocasiones son válidos

Comprobar que la estructura de los documentos es buena. Los documentos han de

seguir una estructura estrictamente jerárquica con lo que respecta a las etiquetas
que delimitan sus elementos. Una etiqueta debe estar correctamente incluida en
otra, es decir, las etiquetas deben estar correctamente anidadas. Los elementos con
contenido deben estar correctamente cerrados
Comprobar que no se han creado clases extraordinarias, es decir que no existen

clases superfluas
Comprobar que las funcionalidades asociadas a una clase no son excesivas.
Comprobar que las clases no dependan entre sí en exceso
Comprobar que no se declaran las clases como finales, a no ser que sea por un
motivo excepciona
Comprobar que los atributos no están definidos como protected
Controlar el grado de acoplamiento de las clases
Comprobar que las clases están inicializadas
Comprobar que se realiza un buen uso de la herencia en la programación
Comprobar que se usan las interfaces para describir la visión externa de los objetos
Comprobar que existen diferentes interfaces adaptadas a los diferentes tipos de

usuarios si así fueran requeridas
Comprobar que se utilizan interfaces en lugar de clases abstractas
Comprobar que las subclases no implementan un interfaz si la clase padre ya lo

hace
Comprobar que se hace un buen uso de la API
Comprobar que se implementa la interfaz serializable de acuerdo a las normas

establecidas

Comprobar que no se crean métodos que no se utilicen y sean innecesarios
Comprobar que no se dota de excesiva funcionalidad a un método
Comprobar que se utilizan de forma correcta
Comprobar que se construyen los métodos constructores de manera que sólo hagan
lo necesario y no se excedan en la funcionalidad
Comprobar que se permite la construcción sin parámetros. Con esto facilitamos la

carga dinámica de clases de tipo desconocido en tiempo de compilación mejorando
el rendimiento de nuestra aplicaciones. Este constructor siempre tiene que ser
comentado
Comprobar que los métodos que no quieren ser sobrescritos se encuentran

declarados como finales.
Comprobar que no se crean atributos públicos
Comprobar que sólo se declaran como privados los atributos restringidos
Comprobar que se minimiza el uso de atributos static
Comprobar que los atributos estáticos tengan valores válidos
Comprobar que aquellas variables que no cambian de valor están definidas como
final
Comprobar el buen uso de las variables
Comprobar el tipo de las variables de tipo monetario
En ocasiones, se estructura código introduciendo varios conectores de decisión

booleanos, que se van anidando, provocando una disminución significativa en
rendimiento y en el mantenimiento de la aplicación. Se recomienda no anidar más
de tres operadores booleanos para manejar una condición dentro del código
Es necesario comprobar la complejidad del código del desarrollo. Es recomendable

comprobar la complejidad ciclomática contra un límite especificado

Es recomendable que las instrucciones de tipo if sigan las siguientes

recomendaciones:
* No puede establecer un bloque de código vacío

* No se deben utilizar para sentencias que siempre van a ser verdadero o falso
* No introducir instrucciones if que sean colapsables entre sí mismas. Sustituirlas
por un operador lógico para manejar la condición
* Evitar asignar una literal booleano (true or false)a una variable booleana dentro
de un if, lo más probable es que se trate de un intento de comparación.
Es recomendable que las instrucciones de tipo Switch
* tengan un caso por defecto

* No permitan bloques de código vacíos
Comprobar que no se utilizan expresiones invariables en los bucles
Comprobar el buen uso de las cadenas de caracteres

CheckList de usabilidad:
Cumple
Conceptos de Usabilidad
Sí No
Identidad Corporativa
1 ¿La portada del Sitio refleja la identidad y pertenencia de la institución?
¿Existen elementos de la imagen corporativa del Gobierno en la Portada de su Sitio? ¿Se

2
repiten en todas las páginas?
¿El logotipo del Gobierno ha sido incluido en un lugar importante en la Portada y en las
3
páginas interiores del Sitio?
¿Todas las páginas cuentan con un título que indique el nombre de la institución e información
4
de contactos virtuales y físicos al pie de la página?
Utilidad del Sitio Web
¿El Sitio ofrece información sobre las actividades y servicios más recientes e importantes que
1
está llevando a cabo la institución?
¿Los usuarios pueden encontrar fácilmente en la portada la información acerca de las

2
actividades y servicios más importantes de la institución?
Navegación
1 ¿El diseño del Sitio es eficiente, rápido e intuitivo?
2 ¿Aparece el menú de navegación en un lugar destacado? ¿Se ve fácilmente?
3 ¿Verificó la consistencia de todos los enlaces?
4 ¿El Sitio cuenta con un mapa o buscador que facilite el acceso directo a los contenidos?
5 ¿El Sitio mantiene una navegación consistente y coherente en todas las pantallas?
Visibilidad del estado del sistema

Cumple
Sí No
1 ¿Se informa al usuario claramente el área del Sitio que está visitando?
2 ¿El Sitio Web diferencia entre enlaces visitados y enlaces por visitar?
En caso de servicios o trámites en línea, ¿ofrece información de cuántos pasos faltan para
3
terminar?
Atención de errores
1 ¿Usa Javascript para validar formularios durante su llenado y antes de enviarlos?
2 ¿Usa elementos destacados para indicar los campos obligatorios dentro de un formulario?
¿Después de que ocurre un error, es fácil volver a la página donde se encontraba antes que se
3
produjese o entrega recomendaciones de los pasos a seguir?
Estética y diseño
1 ¿Usa jerarquías visuales para determinar lo importante con una sola mirada?
2 ¿Las imágenes tienen tamaños adecuados que no dificultan el acceso a las páginas?
3 ¿Las imágenes tienen etiqueta ALT en el código HTML para facilitar la navegación?
Ayuda ante errores
En caso de errores de consistencia dentro del sitio, ¿se ofrece un mensaje de personalizado
1
mediante una página explicativa?, (Por ejemplo: Error 404 para página inexistente)
2 ¿Ofrece área de Preguntas Frecuentes con datos de ayuda a usuarios?
3 ¿Ofrece páginas de ayuda que explican cómo usar el Sitio?
Retroalimentación (Feedback)
¿Puede el usuario ponerse en contacto con el encargado del Sitio Web para hacer sugerencias
1
o comentarios?

Cumple
Sí No
2 ¿Funcionan correctamente los formularios de contacto?, ¿Ha probado cada uno de ellos?
3 ¿Hay alguien encargado de recibir y contestar estos mensajes?

CheckList de Accesibilidad:
[Prioridad 1]
Un desarrollador de contenidos de páginas Web tiene que satisfacer este punto de verificación. De
otra forma, uno o más grupos de usuarios encontrarán imposible acceder a la información del
documento. Satisfacer este punto de verificación es un requerimiento básico para que algunos grupos
puedan usar los documentos Web.
[Prioridad 2]
Un desarrollador de contenidos de páginas Web debe satisfacer este punto de verificación. De otra
forma, uno o más grupos encontrarán dificultades en el acceso a la información del documento.
Satisfacer este punto de verificación eliminará importantes barreras de acceso a los documentos
Web.
[Prioridad 3]
Un desarrollador de contenidos de páginas Web puede satisfacer este punto de verificación. De otra
forma, uno o más grupos de usuarios encontrarán alguna dificultad para acceder a la información del
documento. Satisfacer este punto de verificación mejorará la accesibilidad de los documentos Web.
Algunos puntos de verificación tienen especificado un nivel de prioridad que puede variar bajo ciertas
condiciones (que se indican).
Puntos de verificación Prioridad 1
En general (Prioridad 1) Sí No N/A
1.1 Proporcione un texto equivalente para todo elemento no textual (Por ejemplo, a
través de "alt", "longdesc" o en el contenido del elemento). Esto incluye: imágenes,
representaciones gráficas del texto, mapas de imagen, animaciones (Por ejemplo, GIFs
animados), "applets" y objetos programados, "ascii art", marcos, scripts, imágenes
usadas como viñetas en las listas, espaciadores, botones gráficos, sonidos (ejecutados
con o sin interacción del usuario), archivos exclusivamente auditivos, banda sonora del
vídeo y vídeos.
2.1 Asegúrese de que toda la información transmitida a través de los colores también
esté disponible sin color, por ejemplo mediante el contexto o por marcadores.
4.1 Identifique claramente los cambios en el idioma del texto del documento y en
cualquier texto equivalente (por ejemplo, leyendas).
6.1 Organice el documento de forma que pueda ser leído sin hoja de estilo. Por
ejemplo, cuando un documento HTML es interpretado sin asociarlo a una hoja de
estilo, tiene que ser posible leerlo.

6.2 Asegúrese de que los equivalentes de un contenido dinámico son actualizados
cuando cambia el contenido dinámico.
7.1 Hasta que las aplicaciones de usuario permitan controlarlo, evite provocar destellos
en la pantalla.
14.1 Utilice el lenguaje apropiado más claro y simple para el contenido de un sitio.
Y si utiliza imágenes y mapas de imagen (Prioridad 1) Sí No N/A
1.2 Proporcione vínculos redundantes en formato texto para cada zona activa de un
mapa de imagen del servidor.
9.1 Proporcione mapas de imagen controlados por el cliente en lugar de por el servidor,
excepto donde las zonas sensibles no puedan ser definidas con una forma geométrica.
Y si utiliza tablas (Prioridad 1) Sí No N/A
5.1 En las tablas de datos, identifique los encabezamientos de fila y columna.
5.2 Para las tablas de datos que tienen dos o más niveles lógicos de encabezamientos de
fila o columna, utilice marcadores para asociar las celdas de encabezamiento y las
celdas de datos.
Y si utiliza marcos ("frames") (Prioridad 1) Sí No N/A
12.1 Titule cada marco para facilitar su identificación y navegación.
Y si utiliza "applets" y "scripts" (Prioridad 1) Sí No N/A
6.3 Asegure que las páginas sigan siendo utilizables cuando se desconecten o no se
soporten los scripts, applets u otros objetos programados. Si esto no es posible,
proporcione información equivalente en una página alternativa accesible.
Y si utiliza multimedia (Prioridad 1) Sí No N/A
1.3 Hasta que las aplicaciones de usuario puedan leer en voz alta automáticamente el
texto equivalente de la banda visual, proporcione una descripción auditiva de la
información importante de la banda visual de una presentación multimedia.

1.4 Para toda presentación multimedia tempodependiente (por ejemplo, una película o
animación) sincronice alternativas equivalentes (por ejemplo, subtítulos o
descripciones de la banda visual) con la presentación.
Y si todo lo demás falla (Prioridad 1) Sí No N/A
11.4 Si, después de los mayores esfuerzos, no puede crear una página accesible,
proporcione un vínculo a una página alternativa que use tecnologías W3C, sea
accesible, tenga información (o funcionalidad) equivalente y sea actualizada tan a
menudo como la página (original) inaccesible.
Puntos de verificación Prioridad 2
En general (Prioridad 2) Sí No N/A
2.2 Asegúrese de que las combinaciones de los colores de fondo y primer plano tengan
el suficiente contraste para que sean percibidas por personas con deficiencias de
percepción de color o en pantallas en blanco y negro [Prioridad 2 para las imágenes.
Prioridad 3 para los textos].
3.1 Cuando exista un marcador apropiado, use marcadores en vez de imágenes para
transmitir la información.
3.2 Cree documentos que estén validados por las gramáticas formales publicadas.
3.3 Utilice hojas de estilo para controlar la maquetación y la presentación.
3.4 Utilice unidades relativas en lugar de absolutas al especificar los valores en los
atributos de los marcadores de lenguaje y en los valores de las propiedades de las hojas
de estilo.
3.5 Utilice elementos de encabezado para transmitir la estructura lógica y utilícelos de

acuerdo con la especificación.
3.6 Marque correctamente las listas y los ítems de las listas.
3.7 Marque las citas. No utilice el marcador de citas para efectos de formato tales como
sangrías.
6.5 Asegúrese de que los contenidos dinámicos son accesibles o proporcione una
página o presentación alternativa.

7.2 Hasta que las aplicaciones de usuario permitan controlarlo, evite el parpadeo del
contenido (por ejemplo, cambio de presentación en periodos regulares, así como el
encendido y apagado).
7.4 Hasta que las aplicaciones de usuario proporcionen la posibilidad de detener las
actualizaciones, no cree páginas que se actualicen automáticamente de forma periódica.
7.5 Hasta que las aplicaciones de usuario proporcionen la posibilidad de detener el

redireccionamiento automático, no utilice marcadores para redirigir las páginas
automáticamente. En su lugar, configure el servidor para que ejecute esta posibilidad.
10.1 Hasta que las aplicaciones de usuario permitan desconectar la apertura de nuevas
ventanas, no provoque apariciones repentinas de nuevas ventanas y no cambie la
ventana actual sin informar al usuario.
11.1 Utilice tecnologías W3C cuando estén disponibles y sean apropiadas para la tarea
y use las últimas versiones que sean soportadas.
11.2 Evite características desaconsejadas por las tecnologías W3C.
12.3 Divida los bloques largos de información en grupos más manejables cuando sea
natural y apropiado.
13.1 Identifique claramente el objetivo de cada vínculo.
13.2 Proporcione metadatos para añadir información semántica a las páginas y sitios.
13.3 Proporcione información sobre la maquetación general de un sitio (por ejemplo,

mapa del sitio o tabla de contenidos).
13.4 Utilice los mecanismos de navegación de forma coherente.
Y si utiliza tablas (Prioridad 2) Sí No N/A
5.3 No utilice tablas para maquetar, a menos que la tabla tenga sentido cuando se
alinee. Por otro lado, si la tabla no tiene sentido, proporcione una alternativa
equivalente (la cual debe ser una versión alineada).
5.4 Si se utiliza una tabla para maquetar, no utilice marcadores estructurales para
realizar un efecto visual de formato.

Y si utiliza marcos ("frames") (Prioridad 2) Sí No N/A
12.2 Describa el propósito de los marcos y cómo éstos se relacionan entre sí, si no
resulta obvio solamente con el título del marco.
Y si utiliza formularios (Prioridad 2) Sí No N/A
10.2 Hasta que las aplicaciones de usuario soporten explícitamente la asociación entre
control de formulario y etiqueta, para todos los controles de formularios con etiquetas
asociadas implícitamente, asegúrese de que la etiqueta está colocada adecuadamente.
12.4 Asocie explícitamente las etiquetas con sus controles.
Y si utiliza "applets" y "scripts" (Prioridad 2) Sí No N/A
6.4 Para los scripts y applets, asegúrese de que los manejadores de eventos sean
independientes del dispositivo de entrada.
7.3 Hasta que las aplicaciones de usuario permitan congelar el movimiento de los
contenidos, evite los movimientos en las páginas.
8.1 Haga los elementos de programación, tales como scripts y applets, directamente
accesibles o compatibles con las ayudas técnicas [Prioridad 1 si la funcionalidad es
importante y no se presenta en otro lugar; de otra manera, Prioridad 2].
9.2 Asegúrese de que cualquier elemento que tiene su propia interfaz pueda manejarse
de forma independiente del dispositivo.
9.3 Para los "scripts", especifique manejadores de evento lógicos mejor que
manejadores de evento dependientes de dispositivos.

Auditoria Informática 1415 v8 Rev

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Informática 1415 v8 Rev

Cargado por

Copyright:

Formatos disponibles

AUDITORIA INFORMÁTICA

Tecnología del Proceso de Software.

Máster en Ingeniería y Tecnología del Software.

Manuel Arenillas Luna

Rafael Manuel Reina Ramírez

MITS-TPS [Auditoría Informática] Página 1

MITS-TPS [Auditoría Informática] Página 2

La información se ha convertido en un activo fundamental para las organizaciones. Un mercado

Las Tecnologías de la Información y la Comunicación han ayudado a los sistemas de información

MITS-TPS [Auditoría Informática] Página 3

Los objetivos de este trabajo son los siguientes:

 Presentar los conceptos sobre auditoría en sistemas y tecnologías de la información.

 Mostrar el marco jurídico y ético que afecta a la auditoría informática.

 Proporcionar herramientas de ayuda a la tarea del auditor.

 Describir experiencias en auditoría informática.

MITS-TPS [Auditoría Informática] Página 4

El origen está en la inspección de los elementos contables.

La mayoría de estos informes constituyen el producto final de la contabilidad y son elaborados de

 Su situación patrimonial a la fecha de los estados

 Un resumen de las causas del resultado asignable a ese lapso;

 La evolución de su patrimonio durante el período;

 La evolución de su situación financiera por el mismo período,

MITS-TPS [Auditoría Informática] Página 5

• Estado de situación patrimonial (también denominado Estado de Situación Financiera, Balance

• Estado de resultados (también denominado Estado de Pérdidas y Ganancias o cuenta de pérdidas y

• Estado de evolución de patrimonio neto (también denominado Estado de Cambios en el Patrimonio

La información financiera debe reunir determinadas características cualitativas con el fin de

Las características que deben reunir los estados financieros son:

• Relevancia: la información será de importancia relativa, cuando al presentarse dicha información y

MITS-TPS [Auditoría Informática] Página 6

Contenido Una opinión.

Justificación Sustentada en procedimientos: planificación y seguimiento de los planes.

Objeto Información almacenada

Finalidad Determinar si presenta adecuadamente la realidad o ésta responde a las

Clasificación  Financiera: el objetivo son las cuentas contables.

 Informática: el objetivo son los sistemas informáticos, planes de

 Gestión: objetivo la dirección.

Contenido Asesoramiento o consejo.

Justificación Sustentada en exámen o análisis.

Objeto Una actividad o cuestión.

Finalidad Establecer la manera de llevarla a cabo adecuadamente.

Clasificación  Financiera: el objetivo son los planes de cuentas, los

 Informática: el objetivo son los sistemas informáticos, planes de

Concepto de CONTROL INTERNO

Contenido Actividad o acción.

Justificación Sustentada en los continuos cambios de procedimientos del negocio,

MITS-TPS [Auditoría Informática] Página 7

Finalidad Corregir errores o irregularidades. Hacer frente a los retos futuros y

Clasificación  Preventivos: destinados a evitar el hecho.

 Detectivos: tratar de conocer cuanto antes el evento.

 Correctivos: facilitar la vuelta a la normalidad cuando se han

MITS-TPS [Auditoría Informática] Página 8

La Auditoría informática sirve como apoyo a la auditoría financiera surgida de la necesidad de

La toma de decisiones requiere el uso de Sistemas de Información que generen y comuniquen la

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado

MITS-TPS [Auditoría Informática] Página 9

Existen dos tipos de auditoría:

La Auditoría Informática recoge, agrupa y evalúa evidencias para determinar si un sistema

MITS-TPS [Auditoría Informática] Página 10

SIMILITUDES Lo realiza el personal interno a la organización.

DIFERENCIAS Análisis de controles día a día. Análisis de un momento informático

MITS-TPS [Auditoría Informática] Página 11