Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA DE SISTEMAS
Autores Grupo
Maria Fernanda Zuleta Camacho (51167)
Daniel Mateo Casallas Cepeda (56660)
German Esteban Salas Giraldo (56660)
Henry Delgado Cortez (56660)
Docente
Katherine Astrid Romero Ussa
Bogotá, Colombia
Diciembre 2022
Introducción
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables
quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo
siempre un proceso secuencial que permita a los administradores mejorar la seguridad de
sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de
seguridad de SÍ permiten conocer en el momento de su realización cuál es la situación
exacta de sus activos de información en cuanto a protección, control y medidas de
seguridad
En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales
y corporativas de carácter interno.
Para auditar la empresa de energía Randhelth se requiere seguir varios pasos. El auditor de
sistemas debe hacer una evaluación de los riesgos globales pero también desarrollar un
programa de auditoría que contiene unos objetivos de control y procedimientos de auditoría
que sirvan para satisfacer esos objetivos.
Planificación de la auditoría
Es importante que el auditor cuente con un programa de auditoría, que es conocido como
un conjunto de procedimientos establecidos para alcanzar los objetivos planificados
Esquema programa de auditoría incluye:
*Objetivos específicos:
*Planificación: Los recursos físicos y financieros, las habilidades con los que se cuenta
para realizar la auditoría así como las fuentes de información para pruebas o revisión,
lugares físicos e instalaciones donde se va a auditar:
1.Recopilación de la información
8.Procedimientos de seguimiento.
El programa de auditoría se convierte también en una guía para documentar los diversos
pasos de auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene
la siguiente estructura:
General Detalle L M M J V S D
Auditoría 1 Activador 1
Auditoría 1 Actividad 2
Auditoría 1 Actividad 3
Auditoría 2 Actividad 1
Auditoría 2 Actividad 2
Para la realización de este proyecto de auditoría se pretende utilizar las fases del ciclo
PDCA (Plan-Do-Check-Act) para dar cumplimiento al objetivo principal que es la auditoría
en seguridad de la información. Como complemento se utiliza MAGERIT que es una
metodología de análisis y gestión de riesgos de los sistemas de información elaborada por
el Consejo Superior de Administración Electrónica de España y el modelo SSE-CMM
(Systems Security Engineering – Capability Maturity Model) como parte del desarrollo de
la primera etapa del ciclo PDCA, donde se elabora y aplica los diferentes instrumentos para
recopilar la información, se evalúan los controles de seguridad de la información existentes,
y se crean las respectivas medidas de seguridad que permitan proteger los activos de
información de la Empresa caso de estudio
Una de las ventajas más significativas de externalizar este tipo de auditoría es que la
empresa puede centrar sus esfuerzos y tiempos en sus propios proyectos, sin invertir más
horas y recursos internos en la realización de una auditoría de segunda parte.
Realizar la revisión de los controles generales del área de seguridad de TI con el que cuenta
actualmente la empresa de energía Randhelth, validando el diseño e implementación en
torno al funcionamiento de los diferentes controles a nivel de seguridad de TI, con el fin de
evaluar el ambiente de seguridad de la información, e identificar oportunidades de
mejoramiento.
Alcance y metodología
Para la ejecución de estos procedimientos, se realizan las siguientes actividades, como arte
de la metodología aplicada:
eficiencia y/o eficacia en el logro del objetivo de control que se persigue. Estas
circunstancias están relacionadas con actividades de ajuste que
buscan fortalecer los procesos y, por tanto, conllevan acciones de adopción
potestativa por parte de la Institución.
No tomar medidas correctivas mitigantes a corto plazo sobre los hallazgos presentados
podría llevar al Revisor Fiscal a calificar o generar una salvedad sobre el dictamen de los
Estados Financieros.
Las auditorías de sistemas de calidad más conocidas se realizan de acuerdo con la norma
internacional ISO 9001. Estos son certificados del sistema de calidad, pero también son
posibles los certificados de productos y servicios.
Las auditorías brindan una comparación del "es" y el "debería", por lo que se convierten en
la base para lograr el proceso de mejora continua de la empresa.
Las auditorías son uno de los instrumentos que nos proporciona la gestión de la calidad
para el logro de la mejora continua. (esta mejora puede explicarse empleando el ciclo
PDCA que aparece en la figura anterior).
Alcance y metodología
3. Inspección: Es la verificación física de las cosas materiales en las que se tradujeron las
operaciones, se aplica a las cuentas cuyos saldos tienen una representación material,
(efectivos, mercancías, bienes, etc.).
4. Confirmación: Es la ratificación por parte del Auditor como persona ajena a la empresa,
de la autenticidad de un saldo, hecho u operación, en la que participó y por la cual está en
condiciones de informar válidamente sobre ella.
Conclusiones
Esta será la indicada para evaluar de manera más profunda, la empresa de Energía del Valle
del Cauca Randhelth a través de su sistema de información automatizado, de ahí su
importancia y relevancia, ya que este consiste en lograr obtener toda la información
necesaria para emitir un juicio global objetivo, siempre amparando las evidencias
comprobatorias.
Por otra parte, cabe aclarar que siempre habrá factores que aumenten los niveles de riesgo
de los activos de información, los cuales son el desconocimiento o la falta de conciencia
por parte del personal, para evitar aquellas situaciones que puedan afectar la disponibilidad,
integridad y confidencialidad de la información.
Sin embargo se pueden llegar a evidenciar determinadas causas, las cuales pueden llegar a
afectar la gestión de la información, tal sería como la unificación de la red de datos que
genera un retardo en la transmisión de la información, debido a no documentar los distintos
procesos y procedimientos realizados en la empresa.
Por último cabe mencionar, que el principal beneficio para mayor eficiencia en el trabajo,
es contar con una base de conocimiento, la cual pueda llegar a retroalimentar a los auditores
y apoyar sus funciones, tales como la flexibilidad de los procesos, la estandarización y
control, la mayor comunicación, entre otros.
Bibliografía.
https://www.ambit-bst.com/blog/qu%C3%A9-es-una-auditor%C3%ADa-de-seguridad-
inform%C3%A1tica-tipos-y-fases#:~:text=Una%20auditor%C3%ADa%20de
%20seguridad%20inform%C3%A1ti,pol%C3%ADticas%20de%20seguridad%20se
%20cumplen.
Piattini Velthuis, Mario, Mar del Peso Ruiz, and Navarro Emilio del Peso. Auditoría de
Tecnologías y Sistemas de Información. Alfaomega: 1378. Alfaomega, 2008.
https://search.ebscohost.com/login.aspx?
direct=true&db=cat09355a&AN=dcun.KOHA.CUN.1280&lang=es&site=eds-live.
AENOR (2000): Norma UNE-EN ISO 9001. Sistemas de gestión de la calidad. Requisitos.
Asociación Española de Normalización y Certificación.
https://www.iso.org/obp/ui/#iso:std:iso:9000:ed-4:v1:es
https://www.uv.mx/iiesca/files/2017/03/11CA201602.pdf