UdeM

Universidad de Managua
El más alto nivel.

Auditoria de Sistemas.

o Controles de las Tecnologías de Información.

o Controles de implementación.
o Controles sobre el mantenimiento.
o Controles sobre la operación del computador.
o Controles sobre la seguridad de programas.
o Controles sobre la seguridad de archivos de datos.
o Controles sobre el software de sistemas.
o Controles sobre la conversión de archivos.

Docente: Josué García

Grupo: MI10B

Carrera: Ingeniería en Sistemas.

Fecha: 29 de enero del 2023.

Integrantes:

Steven Isaac Guerrero Mairena.

Norge Francisco Obando Lopez.
Kevin Eliecer Cornejo Velázquez.
Deiner Alberto Lopez Vasquez.
 Controles de las Tecnologías de Información.

La Auditoría de Tecnologías de Información, mejor conocida como “Auditoría

de TI” o “Auditoría Informática”, es una actividad de control que comprende la
evaluación de las Tecnologías de Información (TI), así como de la Seguridad de
la Información (SI), dentro de una organización.
Está basada en buenas prácticas y normas nacionales e internacionales, que
son utilizadas para revisar y calificar el diseño, desempeño y cumplimiento de
los controles implementados en el ambiente de TI.
Permite contar con una evaluación objetiva e independiente respecto a los
procesos, servicios, aplicaciones, infraestructura e información, identificando los
principales riesgos de negocio relacionados con TI, resultado de posibles
debilidades de control.
Principales beneficios de la auditoría de tecnologías de la información
o Verificar que los servicios de TI se encuentran al nivel que la organización
necesita para habilitar, potenciar y soportar de manera efectiva y eficiente
sus funciones sustantivas.
o Determinar si el ambiente de control en TI, cumple con las regulaciones y
requerimientos normativos.
o Contar con las recomendaciones necesarias para mitigar posibles riesgos
que pongan en peligro a los activos de información y a la continuidad del
negocio.
¿Por qué es importante llevarla a cabo?
Actualmente muchas organizaciones invierten recursos significativos en
tecnología para desarrollar sus capacidades de negocio, todas ellas están
expuestas a riesgos e impactos potenciales debido a vulnerabilidades en sus
controles, procesos y proyectos de negocio habilitados por TI. Por ello la
relevancia de hacer una adecuada planeación y verificar que se preserve el valor
generado por negocio y sus inversiones.
Los procesos de auditoría de Tecnologías de la Información deben
realizarse por una persona, departamento u organización, que mantenga una
posición independiente de los auditados, es por ello que las empresas han
optado por contratar los servicios de Consultoras especializadas en Auditoría de
tecnologías de la información y, en algunos casos; han optado por tercerizar de
manera completa o parcial las funciones.
 Controles de implementación.

Cuando se establece un programa de auditoría y se determinan los recursos, es

necesario realizar la implementación operacional y la coordinación de todas las
actividades dentro del programa de auditoría, según establece la norma ISO
19011.
Las personas que son las responsables de la gestión del programa de
auditoría deberán:
o Comunicar las partes pertinentes del programa de auditoría, incluyendo
los riesgos y oportunidades implicados, a las partes interesadas, además
de informales de forma periódica sobre el progreso.
o Definir todos los objetivos, el alcance y los criterios para cada auditoría.
o Seleccionar los métodos de auditoría.
o Coordinar y programar las auditorías.
o Asegurarse de que los equipos auditores tienen la competencia necesaria.
o Proporcionar los recursos necesarios a los equipos auditores.
o Asegurarse de que se lleven a cabo las auditorías según el programa de
auditoría, gestionando todos los riesgos, oportunidades y cuestiones
o Asegurarse de que la información documentada relativa a las actividades
de auditoría se gestiona y se mantiene de forma adecuada.
o Definir e implementar todos los controles operacionales que resulten
necesarios para el seguimiento del programa de auditoría.
o Revisar el programa de auditoría con el fin de identificar oportunidades
para que se mejore.

Según la norma ISO 19011 en cada auditoría se deberán basar en los objetivos,
alcance y criterios de auditoría que se encuentren definidos. Estos deberán ser
coherentes con los objetivos generales del programa de auditoría.
o Los objetivos de la auditoría se encuentran definidos para conseguir que
en la auditoría individual se pueda incluir lo siguiente:
o Determinar el grado de conformidad del sistema de gestión que se quiere
auditar.
o La evaluación de la capacidad del sistema de gestión para ayudar a la
empresa a que cumpla con los requisitos legales.
o La evaluación de la eficacia del sistema de gestión para conseguir los
resultados
o Identificar las oportunidades para la mejora potencial del sistema de
gestión.
o Evaluar la idoneidad y la adecuación del sistema de gestión con respecto
al contexto y a la dirección estratégica del auditado.
o Evaluar la capacidad que presenta el sistema de gestión de establecer y
alcanzar todos los objetivos, además de abordar de forma eficaz todos los
riesgos y oportunidades.
o El alcance que presenta la auditoría deberá ser coherente con el
programa de auditoría y con los objetivos de dicha auditoría. Se incluyen
factores como la ubicación, las funciones, las actividades y los procesos
que se van a auditar, así como el periodo de tiempo cubierto por la
auditoría.
 Controles sobre el mantenimiento.

¿Qué es?
En definitiva, prevé la ejecución del mantenimiento de principio a fin, realizando
la gestión estratégica de todos los procesos y recursos. Al final, el objetivo
siempre será mejorar el funcionamiento y asegurar el perfecto funcionamiento
de los activos.

Ventajas de usar PCM.

Son innumerables las ganancias generadas por la planificación y el control del
mantenimiento. Entre ellos se encuentran la optimización de tiempos, el aumento
de la productividad, la garantía de disponibilidad de equipos mediante paradas
programadas y el logro de metas mediante planes correctivos.

¿En qué tipos de mantenimiento puede aplicar PCM?

Hay tres tipos principales de mantenimiento: mantenimiento correctivo,
preventivo y predictivo. Aunque el primero es el más recurrente, es el menos
beneficioso para la operación. El segundo y el tercero son los más deseados y,
por tanto, deben estar incluidos en su plan de mantenimiento.

Controles sobre la operación del computador.

Todo el personal del centro de cómputo, especialmente los operadores, deben

tener una supervisión directa. Los supervisores establecen las prioridades de
los trabajos y correr el programa de trabajo de cada día, y los operadores
deberán firmar la bitácora de operación de la computadora al inicio y al final de
cada turno. El supervisor deberá solicitar reportes de todas las operaciones
realizadas dentro de su área durante el día y el auditor deberá revisar los
reportes periódicamente.
El operador debe de ser el único que pueda operar la computadora; se debe
tener un control sobre los operadores cuando estos tengan accesos a cintas,
discos, programas o documentos importantes.
El acceso al área de computadoras deberá estar restringido, esto con el fin de
tener un control más exacto de las operaciones realizadas y las personas que
las realizan. Se debe dar mantenimiento periódico al equipo de cómputo, así
como a las instalaciones

Controles sobre la seguridad de programas

Encriptación de datos: El software de encriptación o cifrado de datos mejora la

seguridad de los datos utilizando un algoritmo que hace que los datos sean
ilegibles y sólo pueden ser descifrados con una clave o con los permisos
adecuados. En caso de que los datos sean violados, quedarán inutilizados para
quien acceda a ellos.
Enmascaramiento de datos: El software de enmascaramiento de datos oculta
los datos ocultando las letras y los números con caracteres proxy. Este es otro
método de encriptación que deja los datos inútiles para cualquiera que intente
violarlos.
Borrado de datos: Hay ocasiones en las que los datos ya no son necesarios y
deben ser borrados de todos los sistemas. Esta puede ser una gran manera de
eliminar la responsabilidad. Los datos que no existen no pueden ser violados.
Resistencia de los datos: La creación de copias de seguridad y de datos es
una gran manera de mitigar el riesgo de pérdida o destrucción accidental de
datos. Todas las organizaciones
deberían tener una copia de seguridad de sus almacenes de datos.

Las organizaciones suelen tener una combinación de los controles de seguridad

de datos mencionados anteriormente para explorar la mejor seguridad de datos
posible

Controles sobre la seguridad de archivos de datos.

La seguridad de datos, también conocida como seguridad de la información

o seguridad informática, es un aspecto esencial de TI en organizaciones de
cualquier tamaño y tipo. Se trata de un aspecto que tiene que ver con la
protección de datos contra accesos no autorizados y para protegerlos de una
posible corrupción durante todo su ciclo de vida.
Seguridad de datos incluye conceptos como encriptación de datos, tokenización
y prácticas de gestión de claves que ayudan a proteger los datos en todas las
aplicaciones y plataformas de una organización.
Hoy en día, organizaciones de todo el mundo invierten fuertemente en la
tecnología de información relacionada con la ciberdefensa con el fin de proteger
sus activos críticos: su marca, capital intelectual y la información de sus clientes.
En todos los temas de seguridad de datos existen elementos comunes que
todas las organizaciones deben tener en cuenta a la hora de aplicar sus medidas:
las personas, los procesos y la tecnología.

Controles sobre el software de sistemas

Los programas de control constituyen la parte del sistema operativo dedicada a

coordinar el funcionamiento de todos los recursos y elementos de la
computadora, es decir, el procesador, la memoria, las operaciones de
entrada/salida, la información y en definitiva todo el entorno del sistema
incluidos los periféricos.
Los programas de control están especialmente desarrollados para que puedan
ayudar con éxito a la computadora, se cual fuese la modalidad con que trabaje:
mono programación, multiprogramación, proceso distributivo, etc.,
consiguiendo así la utilización óptima de los recursos disponibles.
En general, un sistema operativo tiene englobados estos programas en un
conjunto denominado núcleo (kernel) que se divide en los siguientes núcleos.
 Controles sobre la conversión de archivos.

El objetivo del control de versiones de documentos es llevar un registro de todos

estos cambios, de manera que en todo momento se sepa cuál es la versión más
actual y se pueda volver rápida y fácilmente a alguna versión anterior si se
necesita (por ejemplo, si se ha detectado un fallo en algún momento).

En caso de tareas colaborativas, además, el control de versiones también

permite conocer la identidad de quien haya creado cada versión y el momento
concreto en que lo hizo, lo que sirve si necesitas pedir las responsabilidades
correspondientes por algo que no sea correcto… o felicitar al autor de un trabajo
particularmente bien desempeñado.

Herramientas de control de versiones

Para que el control de versiones de documentos sea eficaz se ha desarrollado
una serie de herramientas de uso habitual. Te enumeramos algunas de ellas:

Seguimiento de cambios. Es una característica fundamental en todo sistema

de control de versiones de documentos. Se trata de un listado en el que se va
recogiendo quién ha modificado cada cosa dentro de un documento, de manera
que en cualquier momento se pueda volver atrás. Así evitas que la información
anterior se pierda o se altere, ya que siempre es recuperable.
Historial de versiones. Esta característica almacena todas las versiones que se
vayan generando del documento y permite regresar a cualquiera de las previas.
Dependiendo de las necesidades de tu empresa, puede aceptar una cantidad
ilimitada de versiones o tener un tope de almacenamiento que vaya borrando las
más antiguas a medida que se generan nuevas.
Notificación de cambios. Es un sistema que avisa a todos los usuarios implicados
en un documento de cualquier modificación que haga alguno de sus compañeros.
Es particularmente útil para conocer con precisión hasta qué punto se ha
avanzado en áreas concretas y evitar duplicidades y pérdidas de tiempo.
Comparación de documentos. Es una funcionalidad que permite detectar
rápidamente las diferencias entre dos versiones de un mismo documento. Es
conveniente que este proceso esté automatizado, sobre todo cuando se trata de
variaciones pequeñas (las “segundas versiones menores” citadas antes) en las
que una detección manual de las partes diferentes te podría llevar mucho tiempo.
Un buen programa de gestión documental debe incluir todas o la mayoría de
estas herramientas, permitiendo a los usuarios beneficiarse de ellas en su trabajo
cotidiano a través de la red.