1.

1 Conceptos generales de auditoria de sistemas

Auditoría de Sistemas de Información

Definición.

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales,

software e información utilizados en una empresa, sean individuales, compartidos y/o de redes,
así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás
componentes. Dicha revisión se realiza de igual manera a la gestión informática, el
aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios
para el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso
adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la
información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en
el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios
involucrados con los servicios que proporcionan los sistemas computacional esa la empresa. La
auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la
auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de la
auditoría:

 Objetivos de protección de activos e integridad de datos.

 Objetivos de gestión que abarcan, no solamente los de protección de activos, sino
también los de eficacia y eficiencia.

Características.

- Se necesita conocimientos especializados en Tecnología de la información.- Verifica el

cumplimiento de los controles internos, normativa y procedimientos establecidos por la Dirección
de Informática y la Dirección General para los sistemas de información.- Es el análisis de momento
informático determinado.- Informa a la Dirección General de la Organización- Se puede utilizar
personal interno o externo.- Tiene cobertura sobre todos los componentes de los sistemas de
información de la organización.

Importancia.

Es de vital importancia para salvaguardar los activos, procesos y mantener la integridad de los
datos mediante una revisión técnica y exhaustiva a los sistemas computacionales, software e
información que se utiliza en la empresa.

Tipos de Auditoría de Sistemas de Información

 La auditoría física Esta auditoría ya sea interna o externa no es más que una auditoria
parcial, por lo que no difiere dela auditoría general más que en el alcance de la misma.
Tiene como objetivo revisar el edificio, instalaciones, equipamiento y telecomunicaciones,
datos, personas. Las técnicas que puede utilizar el auditor son la observación, revisión
 analítica, entrevistas y consultas a técnicos y peritos. Como herramientas puede utilizar un
cuaderno de campo y/o grabadora de video y máquina fotográfica y/o cámara de video.

 Auditoría de la ofimática. Abarca la revisión al conjunto de herramientas de TI/SI que

generan, procesan, almacenan, recuperan, comunican y presentan los datos relacionados
con el funcionamiento de las oficinas. Los controles que se requieren para esta auditoria
debe tener las premisas de Economía, eficacia y eficiencia; seguridad y; normal vigente.

 Auditoría de la dirección. Se refiere a la auditoria de la dirección entendida como gestión.

Algunas actividades básicas de todo proceso de dirección son: Planificar, que trata de
prever la utilización delas tecnologías de la información en la empresa; Organizar y
Coordinas, donde este proceso sirve para estructurar los recursos, los flujos de
información y los controles que permitan alcanzar los objetivos marcados durante la
planificación y; y Controlar, en donde la tarea de dirigir no podría considerarse completa
sin esta faceta que forma parte indisoluble de tal responsabilidad.

 Auditoría de la explotación. Está dividida básicamente en 5 partes:

- Inicio: donde se revisa el contrato o carta de encargo.

- Planificación: donde se revisa la planificación estratégica, la planificación
administrativa y la planificación técnica.
- Realizar el trabajo: se revisa la actualización del programa de trabajo, las pruebas
de cumplimiento y pruebas sustantivas.
- Revisiones e informes: donde se realiza la revisión del trabajo, elaboración de
informes y distribución de informes.- Fin: en el que se archivan los papeles de
trabajo.
 Auditoría del desarrollo. Está orientada al desarrollo de sistemas de información en el
sentido tradicional, sin que hayan tenido en cuenta las peculiaridades del desarrollo de
otro tipo de software como puedan ser sistemas operativos, software de comunicaciones,
software empotrado, etc.
 Auditoría del mantenimiento. El factor crítico es la mantenibilidad ya que es el factor de
calidad que engloba todas aquellas características del software destinadas a hacer que el
producto sea más fácilmente mantenible y, en consecuencia, a conseguir una mayor
productividad duran tela etapa de mantenimiento.
 Auditoría de base de datos. La importancia de esta auditoria radica en que es el punto de
partida para poder realizarla auditoria de las aplicaciones que utilizan esta tecnología. En
esta auditoria el auditor debe verificar que todos los componentes necesarios trabajan
conjunta y coordinadamente para asegurar que los sistemas de bases de datos continúan
cumpliendo los objetivos de la empresa y que se encuentran controlados de manera
efectiva.
 Auditoría de técnica de sistemas. Técnica de sistemas consiste en la actividad a
desempeñar para instalar y mantener en adecuado orden de utilización la infraestructura
informática.
 Auditoría de la calidad. El objetivo es mostrar la situación real para aportar confianza y
destacar las áreas que pueden afectar adversamente esa confianza. Razones para realizar
una auditoría de la calidad:
-Establecer el estado de un proyecto
-Verificar la capacidad de realizar o continuar un trabajo específico
-Verificar qué elementos aplicables del programa o Plan de aseguramiento de la calidad
han sido desarrollados y documentados.
-Verificar la adherencia de esos elementos con el programa o Plan de Aseguramiento de la
calidad
 Auditoría de la seguridad. Es de vital importancia dado que cada día es mayor la
importancia de la información, especialmente relacionada con sistemas basados en el uso
de tecnologías de la información y comunicaciones, por lo que el impacto de los fallos, los
accesos no autorizados, la revelación de la información, y otras incidencias, tienen un
impacto mucho mayor que hace unos años.
 Auditoría de redes. Para poder auditar redes, lo primero y fundamental es utilizar el
mismo vocabulario que los expertos en comunicaciones que las manejan. Debido a la
constante evolución en este campo, un primer punto de referencia es poder referirse a un
modelo común mente aceptable como es el caso del modelo OSI.
 Auditoría de aplicaciones. Se trata de verificar si las aplicaciones en funcionamiento con
las que cuenta la empresa están cumpliendo los objetivos para los que las mismas fueron
construidas. Las herramientas más comunes en el uso de esta auditoria son las entrevistas,
las encuestas, la observación del trabajo realizado por los usuarios, las pruebas de
conformidad y las pruebas sustantivas y de evaluación.
 Auditoría Jurídica de entornos informáticos. Forma parte de la auditoria informática y
tiene como objeto comprobar que la utilización de la informática se ajusta a la legislación
vigente. Esta es esencialmente importante para evitar posibles reclamaciones de cualquier
clase contra el sujeto a auditar. Por ello es que el trabajo del auditor es la medida
preventiva idónea contra sanciones en el orden administrativo o incluso penal, así como
indemnizaciones en el orden civil por daños y perjuicios a los afectados, y ello referimos
tanto a las Administraciones públicas como a las empresas privadas.

Material de apoyo en video: https://www.youtube.com/watch?v=s1EsUoU8-bU para ejercicio

de estudiantes.

1.2 Deontología del auditor informático y códigos éticos

La ética profesional o deontología, es la rama de la ética cuyo propósito es establecer los
deberes y obligaciones morales y éticas que tienen que asumir quienes ejercen una
determinada profesión. Por lo general, se haya recogida en forma escrita en los llamados
códigos deontológicos, habituales en esferas como la medicina o el periodismo, pero que
deberían extenderse a cualquier otra disciplina en que se trate con seres humanos o seres
vivos.
 La deontología es conocida también bajo el nombre de "teoría del deber" y, al lado de la
axiología, es una de las dos ramas principales de la ética normativa. Un código deontológico es
un conjunto de criterios, apoyados en la deontología con normas y valores, que formulan y
asumen quienes llevan a cabo una actividad profesional.
La deontología trata del espacio de la libertad del hombre sólo sujeto a la responsabilidad que
le impone su conciencia. Asimismo, se considera que la base de la deontología se debe
sustentar en los principios filosóficos de la libertad y el utilitarismo, lo cual significa que los
actos buenos o malos de los hombres sólo se explican en función de la felicidad o bienestar
que puedan proporcionar asuntos estos muy humanistas. La deontología se entiende a partir
de sus fines (el mayor bienestar posible para la mayoría, y de la mejor forma posible)

CÓDIGO DEONTOLÓGICO. Es un conjunto de preceptos que establecen los derechos exigibles

a aquellos profesionales que ejerciten una determinada actividad.

FINALIDAD. Incidir en sus comportamientos profesionales estimulando que estos se ajusten a

determinados principios morales que deben servirles de guía.

PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES INFORMÁTICOS

Estos principios deben concordar con los del resto de profesionales y más con los de quienes cuya
actividad presenten mayores relaciones con la de la auditoria.

Los principios deontológicos son:

1. Principio de beneficio del auditado

2. Principio de calidad
3. Principio de capacidad
4. Principio de cautela
5. Principio de comportamiento profesional
6. Principio de concentración en el trabajo
7. Principio de confianza
8. Principio de criterio propio
9. Principio de discreción
10. Principio de economía
11. Principio de formación continuada
 12. Principio de fortalecimiento y respeto de la profesión
13. Principio de independencia
14. Principio de información suficiente
15. Principio de integridad moral
16. Principio de legalidad
17. Principio de libre competencia
18. Principio de no discriminación
19. Principio de no injerencia
20. Principio de precisión
21. Principio de publicidad adecuada
22. Principio de responsabilidad
23. Principio de secreto profesional
24. Principio de servicio público
25. Principio de veracidad

PRINCIPIO DE BENEFICIO DEL AUDITADO

El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios
informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del
reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas
detectados en el sistema informático de esta última, siempre y cuando las soluciones que se
adopten no violen la ley ni los principios éticos de las normas deontológicas.
En ningún caso está justificado que realice su trabajo el prisma del propio beneficio, sino que por
el contrario su actividad debe estar en todo momento orientada a lograr el máximo provecho de
su cliente.
Cualquier actitud que anteponga intereses personales del auditor a los del auditado deberá
considerarse como no ética, y que limitara necesariamente la aptitud del primero para prestar al
segundo toda la ayuda que, a tenor de su capacitación, puede y debe aportarle.
Para garantizar tanto el beneficio del auditado como la necesaria independencia del auditor, este
último deberá evitar estar ligado en cualquier forma, a intereses de determinadas marcas,
productos o equipos compatibles con los de su cliente, debiendo eludir hacer comparaciones,
entre el sistema o equipos del auditado con los de otros fabricantes, cuando las mismas solo se
realicen con la intención de influir en las decisiones de su cliente y provocar un cambio hacia esos
otros sistemas o productos bien por interese económicos particulares del auditor o bien por el
mayor conocimiento que tena de ellos o desee tener.
La adaptación del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo,
a fin de adquirir un conocimiento pormenorizado de sus características intrínsecas.
A partir de la adquisición de dicho conocimiento y con el grado de independencia indicado
anteriormente, estará en condiciones de indicar, si lo considerase pertinente en forma globalizada
o en forma particularizada, las ventajas y desventajas que el sistema ofrece respecto a otros
sistemas o marcas, debiendo obtener de dicha comparación una serie de conclusiones que
permitan mejorar la calidad y prestaciones del sistema auditado.
Únicamente en los casos en que el auditor dedujese la imposibilidad de que el sistema pudiera
acomodarse a las exigencias propias de su cometido o considerarse excesivamente onerosos los
cambios a introducir para obtener una suficiente fiabilidad a corto y medio plazo, este podría
proponer un cambio cualitativamente significativo de determinados elementos o del propio
sistema informático globalmente contemplado.
Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos
mínimos, aconsejables y óptimos para su adecuación a la finalidad para la que ha sido diseñado,
determinado en cada caso su adaptabilidad, fiabilidad, limitaciones, posibles mejoras y costes de
las mismas, con objeto de presentar al auditado una serie de opciones de actuación en función de
dichos parámetros a fin de que este pueda valorar las relaciones coste-eficacia-calidad-
adaptabilidad de las diferentes opciones, facilitándole un abanico de posibilidades de establecer
una política a corto, medio y largo plazo acorde con sus recursos y necesidades reales.
El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas,
dañinas o que generen riesgos injustificados para el auditado, e igualmente de proponer
modificaciones carentes de base científica contrastada, insuficientemente probada, o de
imprevisible futuro.
Una de las cuestiones más controvertidas, respecto de la aplicación de este principio, es la
referente a facilitar el derecho de las organizaciones auditadas a la libre elección del auditor, lo
que implica el deber moral de evitar generar dependencias de los primeros respecto de los
segundos, aunque dicho condicionante perjudique determinadas expectativas económicas de
estos últimos.
Igualmente, si el auditado decidiera encomendar posteriores auditorías a otros profesionales,
estos deberían poder tener acceso a los informes de os trabajos anteriormente realizados sobre el
sistema del auditado siempre y cuando con ello no se vulnerasen derecho de terceros protegidos
con el secreto profesional que el auditor debe en todo momento guardar.

PRINCIPIO DE CALIDAD
El auditor deberá prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su
alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condiciones
técnicas adecuadas para el idóneo cumplimiento de su labor.
En los casos en que la precariedad de medios puestos a su disposición impidan o dificulten
seriamente la realización de la auditoria, deberá negarse a realizarla hasta que se le garantice un
mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.
Cuando durante la ejecución de la auditoria, el auditor considerase conveniente recabar el
informe de otros técnicos más cualificados sobre algún aspecto o incidencia que superase su
capacitación profesional para analizarlo en idóneas condiciones, deberá remitir el mismo a un
especialista en la materia o recabar su dictamen para reforzar la calidad y fiabilidad global de la
auditoria.

PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realización de la auditoria encomendada,
máxime teniendo en cuenta que, en la mayoría de los casos, dada su especialización, a los
auditados en algunos casos les puede ser extremadamente difícil verificar sus recomendaciones y
evaluar correctamente la precisión de las mismas.
Hay que tener muy presente que el auditor, al igual que otros determinados profesionales
(médicos, abogados, educadores, etc.), puede incidir en la toma de decisiones de la mayoría de sus
clientes con un elevado grado de autonomía, dada la dificultad practica de los mismos de
contrastar su capacidad profesional y el desequilibrio de conocimientos técnicos existentes entre
el auditor y los auditados.
Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y
aptitud para desarrollar la auditoria evitando que una sobreestimación personal pudiera provocar
el incumplimiento parcial o total de la misma, aun en los casos en que dicho incumplimiento
parcial o total de la misma, aun en los casos en que dicho incumplimiento no pueda ser detectado
por las personas que le contraten dadas sus carencias cognitivas técnicas al respecto.
Conviene indicar que en los casos de producirse, por el contrario, una subestimación de su
capacidad profesional, esta circunstancia podría afectar negativamente en la confianza del
auditado sobre el resultado final de la auditoria, dejándole una innecesaria impresión de
inseguridad sobre las propuestas o decisiones a adoptar.
A efectos de garantizar, en la medida de lo posible, pertinencia de sus conocimientos, el auditor
deberá procurar que estos evolucionen, al unísono con el desarrollo de las tecnologías de la
información en una forma dinámica, evitando una perniciosa esteticidad técnico-intelectual que,
en este campo de la ciencia, origina una drástica reducción de las garantías de seguridad y una
obsolescencia de métodos y técnicas que pueden inhabilitarle para el ejercicio de su profesión.
Conviene por ultimo llamar la atención sobre la casuística de la acreditación de la capacitación de
los auditores con la pregunta clásica, adaptada a las circunstancias de esta profesión, de ¿Quién
audita a los auditores?
Es deseable que se fortalezca la certificación profesional de la aptitud de los auditores para realizar
unos trabajos de índole tan compleja.
Esta certificación que deber tener un plazo de validez acorde con la evolución de las nuevas
tecnologías de la información, debería estar avalada y garantizada, de los órganos,
necesariamente colegiados, que en las mismas se creen con la finalidad de apreciar la formación y
cualificación profesional de los solicitantes de la misma.

PRINCIPIO DE CAUTELA
El auditor debe en todo momento ser consciente de que sus recomendaciones deben estar
basadas en la experiencia contrastada que se le supone tiene adquirida, evitando que, por un
exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentados en simples
intuiciones sobre la posible evolución de las nuevas tecnologías de la información.
Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas tecnologías de la
información e informar al auditado de su previsible evolución, no es menos cierto que debe evitar
la tentación de creer que, gracias a sus conocimientos, puede aventurar, con un casi absoluto
grado de certeza, los futuros avances tecnológicos y transmitir, como medio de demostrar su
cualificada especialización, dichas previsiones como hechos incontestables incitando al auditado a
iniciar ilusorios e insuficientemente garantizados proyectos de futuro.
Debe, por tanto el auditor actuar con un cierto grado de humildad, evitando dar la impresión de
estar al corriente de una información privilegiada sobre el estado real de la evolución de los
proyectos sobre nuevas tecnologías y ponderar las dudas que le surjan en el transcurso de la
auditoria a fin de poner de manifiesto las diferentes posibles líneas de actuación en función de
previsiones reales y porcentajes de riesgo calculados de las mismas, debidamente fundamentadas.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

El auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en todo
momento, actuar conforme a las normas, implícitas o explicitas, de dignidad de la profesión y de
corrección en el trato personal.
Para ello deberá cuidar la moderación en la exposición de sus juicios u opiniones evitando caer en
exageraciones o atemorizaciones innecesarias procurando, en todo momento, trasmitir una
imagen de precisión y exactitud en sus comentarios que avalen su comportamiento profesional e
infundan una mayor seguridad y confianza a sus clientes.
El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos y
una clara percepción de sus carencias, debiendo eludir las injerencias no solicitadas por él, de
profesionales de otras áreas, en temas relacionados o que puedan incidir en el resultado de la
auditoria y, cuando precisase del asesoramiento de otros expertos, acudir a ellos, dejando en
dicho supuesto constancia de esa circunstancia y reflejando en forma diferenciada, en sus
informes y dictámenes, las opiniones y conclusiones propias y las emitidas por los mismos.
El auditor debe asimismo guardar un escrupuloso respeto por la política empresarial del auditado,
aunque esta difiera ostensiblemente de las del resto del sector en las que desarrolla su actividad,
evitar comentarios extemporáneos sobre la misma en tanto no estén relacionados o afecten al
objeto de la auditoria y analizar pormenorizadamente las innovaciones concretas puestas en
marcha por el auditado a fin de determinar sus especificas ventajas y riesgos, eludiendo evaluarlas
únicamente a tenor de los estándares medios del resto de empresas de su sector.
Igualmente debe evitar realizar actos que simulen aplicaciones de tratamientos ficticios, encubran
comportamientos no profesionales o den publicidad a metodologías propias o ajenas
insuficientemente contrastadas y garantizadas.

PRINCIPIO DE CONCENTRACIÓN EN EL TRABAJO

En su línea de actuación, el auditor deberá evitar que un exceso de trabajo supere sus
posibilidades de concentración y precisión en cada una de las tareas a él encomendadas, ya que la
saturación y dispersión de trabajos suele a menudo, si no está debidamente controlada, provocar
la conclusión de los mismos sin las debidas garantías de seguridad.
A este efecto, el auditor deberá sopesar las posibles consecuencias de una acumulación excesiva
de trabajos a fin de no asumir aquellos que objetivamente no tenga tiempo de realizar con las
debidas garantías de calidad, debiendo rechazar o posponer los que en dichas circunstancias se le
ofrezcan.
Asimismo deberá evitar la desaconsejable práctica de ahorro de esfuerzos basada en la
reproducción de partes significativas de trabajos o conclusiones obtenidas de trabajos previos en
otros posteriores elaborados como colofón de nuevas auditorías.
Por el contrario, si es admisible el que, una vez analizados en profundidad los aspectos a tener en
cuenta y obtenidas las correspondientes conclusiones, se contrasten las mismas a tenor de la
experiencia adquirida y reflejada en anteriores informes, ya que este modo de actuar permite
detectar posibles omisiones en el estudio, completar los trabajos sobre el objeto de la auditoría
incompletamente ejecutados y cubrir las imprevisiones detectadas por medio de esta
comparación.
Este comportamiento profesional permitirá al auditor dedicar a su cliente la mayor parte de los
recursos posibles obtenidos de sus conocimientos y experiencias previas con una completa
atención durante la ejecución de la auditoria sin injerencias o desatenciones originadas por
prestaciones ajenas a la misma.
PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de
transparencia en su actividad profesional. Para que haya confianza se requiere una disposición de
dialogo que permita aclarar las dudas por las dos partes. Debe adecuar su lenguaje a nivel de
comprensión del auditado, si es necesario detallar su explicación.

PRINCIPIO DE CRITERIO PROPIO

Este principio está relacionado con el principio de independencia. El auditor deberá actuar con
criterio propio y no permitir que este dependa de otros profesionales aún de reconocido prestigio.
En caso de que aprecie diferencias de criterio con otros profesionales deberá reflejar dichas
diferencias dejando de manifiesto su criterio.

PRINCIPIO DE DISCRECIÓN

El auditor deberá en todo momento mantener una cierta discreción en la divulgación de datos,
aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecución de la auditoría.

Este cuidado deberá extremarse cuando la divulgación de dichos datos pudiera afectar a derechos
relacionados con la intimidad o profesionalidad de las personas concernidas por los mismos o a
intereses empresariales, y mantenerse tanto durante la realización de la auditoría como tras su
finalización.

PRINCIPIO DE ECONOMÍA
Este principio generalmente enfocado a evitar gastos no justificados e innecesarios tanto
económicos, materiales, humano y así como de tiempo, evitando que sea ampliado lo ya planeado
al inicio de la auditoria, ya que dentro de lo establecido debe ser abarcado todo lo adecuado y
resolver situaciones o hallazgos encontrados y con lo cual el auditor va a demostrar su eficiencia y
conocimiento del área auditada.
El auditor no debe aceptar que sea ampliado el tiempo planificado aunque así sea solicitado por el
cliente que lo haya contratado ya que eso desvía la finalidad por la que fue contratado
oportunamente, no debe aceptar distracciones que lo puedan llevar a desviar o a inferir en las
conclusiones o recomendaciones, no aceptar invitaciones regalos o algo que pueda ser
considerado como soborno, debe enfocarse directamente por lo que fue contratado y si surge
algo adicional que no sea su área debe de encomendársele directamente a quien corresponda o a
profesional adecuado.

PRINCIPIO DE FORMACIÓN CONTINUA

El mundo actual es tan cambiante, la tecnología día a día avanza, por lo cual es auditor no debe
quedarse estancado ya que como ser humano y como profesional debe estar en una constante
actualización e investigación lo cual le da un valor agregado a la profesión y llenar las expectativas
del cliente y dar un valor agregado a la profesión y cotizarse de mejor forma en un mercado tan
exigente actualmente.

PRINCIPIO DE FORTALECIMIENTO Y RESPETO Y DE LA PROFESIÓN

Este principio se basa en la capacidad del auditor lo cual conlleva a que realiza un trabajo de alta
calidad y se obtengan los objetivos plasmados en las planeaciones.
Esto mismo conlleva a que el auditor sea cotizado con un valor adicional sus honorarios serán
acordes a sus habilidades y conocimientos que el mismo ha obtenido y siendo así un profesional
altamente reconocido en ejercicio de la profesión y evitar caer en pagos devaluados y que conlleve
a una confrontación entre compañeros al aceptar pagos inferiores, Debe evitar entre otras cosas la
competencia desleal llegando a rebajas de sus honorarios que lo hagan llegar a creer al cliente que
lo hace solo por cumplir y no con un fin profesional y por ningún motivo debe dar sus servicios
gratuitos como asesoramiento si no debe de ser solo una colaboración o aporte mínimo.

PRINCIPIO DE INDEPENDENCIA
Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si actúa
como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar
la auditoria informática, a exigir una total autonomía e independencia en su trabajo, condición
ésta imprescindible para permitirle actuar libremente según su leal saber y entender.
La independencia del auditor constituye, en su esencia, la garantía de que los intereses del
auditado serán asumidos con objetividad; en consecuencia el correcto ejercicio profesional de los
auditores es antagónico con la realización de su actividad bajo cualquier condición que no
permitan garantizarla.
La independencia implica asimismo el rechazo de criterios con los que no esté plenamente de
acuerdo, debiendo reflejar en su informe final tan solo aquellos que considere pertinentes,
evitando incluir en el mismo aquellos otros con los que disienta aunque sea impelido a ello.
El auditor igualmente deberá preservar su derecho y obligación de decir y poner de manifiesto
todo aquello que seguía su ciencia y conciencia considere necesario, y abstenerse de adoptar
métodos o recomendar líneas de actuación que, según su entender, pudieran producir perjuicios
al auditado, aunque este así se lo solicite.
A efectos de salvaguardar su independencia funcional, deberá eludir establecer dependencias con
firmas que la limiten a fin de evitar que, aun subjetivamente, pueda producir una reducción de su
libertad de actuación profesional.
Conviene, sin embargo, diferenciar esta independencia en su trabajo de la exigencia de utilizar el
resultado del mismo, lo que obviamente entra en el campo competencial de la potestad de
actuación del auditado, el cual puede seguir o ignorar, por las razones que estime convenientes,
sus informes, recomendaciones, orientaciones o consejos sin que ello suponga merma alguna en la
independencia del auditor.

PRINCIPIO DE INFORMACIÓN SUFICIENTE

Este principio de primordial interés para el auditado, obliga al auditor a ser plenamente consciente
de su obligación de aportar, en forma pormenorizadamente clara, precisa e inteligible para el
auditado, información tanto sobre todos y cada uno de los puntos relacionados con la auditoria
que puedan tener algún interés para él, como sobre las conclusiones a las que ha llegado, el
igualmente informarle sobre la actividad desarrollada durante la mismo que ha servido de base
para llegar a dichas conclusiones.
Dicha información deberá estar constituida por aquella que el auditor considere conveniente o
beneficiosa para los intereses o seguridad de su cliente y estar en consonancia con la utilidad que
pueda tener, en el presente o en el futuro, para el mismo. Junto a dicha información deberá
asimismo facilitar cualquier otra que le sea requerida por el auditado, aunque la considere
intranscendente o poco significativa, siempre y cuando esta tenga una relación directa y no
meramente circunstancial con el objeto de la auditoria y no afecte a datos nominativos cuyo deber
de secreto le sea exigible.
En dichas informaciones deberá evitar aportar datos intrascendentes para su cliente (datos que
solo afecten a su propia imagen comercial o profesional del auditor –auto propaganda-, datos
comerciales no pertinentes, etc.), que solo persigan incrementar el volumen del informe a
justificar la ausencia de determinadas precisiones de singular importancia mediante la aportación
de otras de menor interés y de más fácil elaboración para el auditor.
El auditor deberá asimismo comprometerse con sus conclusiones, debiendo indicar en ellas los
defectos observados en el sistema informático, las líneas de actuación que recomienda y las dudas
que respecto a las mismas se le plantean, indicando en este último caso si la causa excepcional
que las produce se deriva de una insuficiencia de datos sobre el propio sistema, de una falta de
conocimientos técnicos del propio auditor que le impide decidirse, con una mínima garantía de
fiabilidad, sobre la conveniencia de inclinarse preferentemente por alguna de ellas, o de una
incertidumbre sobre posibles evoluciones a medio o largo plazo de los avances tecnológicos.
Ciertamente el auditor debe ser consciente de que la explicitación de sus dudas afectará a la
confianza del auditado, pero en cualquier caso es preferible transmitir una información veraz,
entendida ésta como la que es exigible a todo buen profesional en el ejercicio de su actividad a
tenor de sus conocimientos, que transmitir, como opinión experta, una información de la que no
pueda garantizar personalmente su exactitud.
Es importante asimismo que la información trasmitida al auditado ponga de manifiesto una
prudencia y sentido de la responsabilidad, características estas que nunca deben ser reñidas con
los principios de suficiencia informativa y de veracidad, evitando recrear los aspectos negativos o
los errores humanos detectados que deben quedar reflejados con un cierto tacto profesional.
El auditor debe evitar hacer recaer la totalidad de inadaptaciones del sistema sobre algunos
elementos singulares (personas o materiales), ignorando aquellos otros que pudieran tener
incidencia en los fallos o anomalías detectadas, por simple comodidad en la elaboración de sus
informes, y huir del secretismo en cuanto a la explicitación de los métodos utilizados siendo
inadmisible que se aproveche para ello de la buena fe del auditado.
La labor informativa del auditor deberá, por tanto, estar basada en la suficiencia, autonomía y
máximo aprovechamiento de la misma que parte de su cliente, debiendo indicar junto a sus juicios
de valor, la metodología que le ha llevado a establecerlos para, de esta forma, facilitar el que, en
futuras auditorias, puedan aprovecharse los conocimientos extraídos de la así realizada, eludiendo
monopolios facticos y dependencias generadas por oscurantismo en la trasmisión de la
información.

PRINCIPIO DE INTEGRIDAD MORAL

Este principio, inherentemente ligado a la dignidad de persona, obliga al auditor a ser honesto, leal
y diligente en el desempeño de su misión, a ajustarse a las normas morales, de justicia y probidad,
y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupción personal o
de terceras personas.
El auditor no deberá, bajo ninguna circunstancia, aprovechar los conocimientos adquiridos
durante la auditoria para utilizarlos en contra del auditado o de terceras personas relacionadas
con el mismo.
Durante la realización de la auditoria, el auditor deberá emplear la máxima diligencia, dedicación y
precisión, utilizando para ello todo su saber y entender.

PRINCIPIO DE LEGALIDAD
En todo momento el auditor deberá evitar utilizar sus conocimientos para facilitar, a los auditados
o a terceras personas, la contravención de la legalidad vigente.
En ningún caso consentirá ni colaborara en la desactivación o eliminación de dispositivos de
seguridad ni intentara obtener los códigos o claves de acceso a sectores restringidos de
información generados para proteger los derechos, obligaciones o intereses de terceros (derecho
a la intimidad, secreto profesional, propiedad intelectual, etc.).
De igual forma los auditores deberán abstenerse de intervenir líneas de comunicación o controlar
actividades que puedan generar vulneración de derechos personales o empresariales dignos de
protección.
La primacía de esta obligación exige al auditor un comportamiento activo de oposición a todo
intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto
integrado en el derecho positivo.

PRINCIPIO DE LIBRE COMPETENCIA

La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de la
libre competencia, siendo rechazables, por tanto, las practicas colusorias tendentes a impedir o
limitar la legítima competencia de otros profesionales y la prácticas abusivas consistentes en el
aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones
predominantes.
En la comercialización de los servicios de auditoría informática deben evitarse tanto los
comportamientos parasitarios como los meramente desleales, entendidos los primeros como
aprovechamientos indebidos del trabajo y reputación de otros en beneficio propio, y los segundos
como intentos de confundir a los demandantes de dichos servicios mediante ambigüedades,
insinuaciones o puntualizaciones que solo tengan por objetivo enmascarar la calidad y fiabilidad
de la oferta.

PRINCIPIO DE NO DISCRIMINACIÓN
El auditor en su actuación previa, durante y posterior a la auditoria, deberá evitar inducir,
participar o aceptar situaciones discriminatorias de ningún tipo, debiendo ejercer su actividad
profesional sin prejuicios de ninguna clase y con independencia de las características personales,
sociales o económicas de sus clientes.
Deberá evitar cualquier tipo de condiciones personalizadas y actuar en todos los casos con similar
diligencia con independencia de los beneficios obtenidos del auditado, de las simpatías
personales que tenga hacia este o de cualquier otra circunstancia.
Su actuación deberá asimismo mantener una igualdad de trato profesional con la totalidad de
personas con las que en virtud de su trabajo tenga que relacionarse con independencia de
categoría, estatus empresarial o profesional, etc.

PRINCIPIO DE NO INJERENCIA
El auditor, dada la incidencia que puede derivarse de su tarea, deberá evitar inferencias en los
trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran
interpretarse como despreciativos de la misma o provocar comentarios que pudieran
interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su
cuantificación profesional, a no ser que, por necesidades de la autoría, tuviera que explicar
determinadas idoneidades que pudieran afectar a las conclusiones o el resultado de su dictamen.

Deberá igualmente evitar aprovechar los datos obtenidos de la auditoría para entrar en
competencia desleal con profesionales relacionados con ella de otras áreas del conocimiento. Esta
injerencia es mayormente reprobable en los casos en los que se incida en aquellos campos de
actividad para los que el auditor no se encuentre plenamente capacitado.
PRINCIPIO DE PRECISIÓN
Este principio estrechamente relacionado con el principio de calidad exige del auditor la no
conclusión de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus
propuestas, debiendo ampliar el estudio del sistema informático cuanto considere necesario, sin
agobios de plazos (con la excepción de lo ya indicado anteriormente respecto al principio de
economía) siempre que se cuente con la aquiescencia del auditado, hasta obtener dicho
convencimiento.

En la exposición de sus conclusiones deberá ser suficientemente crítico, no eludiendo poner de

manifiesto aquellos aspectos concretos de considere puedan tener una cierta incidencia en la
calidad y fiabilidad de la auditoria, ni quedándose en generalidades o indefiniciones que por su
amplitud o ambigüedad sólo pretendan cubrir al auditor de los riesgos derivados de toda
concreción en detrimento de los derechos e intereses del auditado.

Es exigible asimismo del auditor que indique como evaluado únicamente aquello que
directamente, o por medio de sus colaboradores, haya comprobado u observado de forma
exhaustiva, eludiendo indicar como propias y contrastadas las observaciones parciales o
incompletas o las recabadas de terceras personas.

PRINCIPIO DE PUBLICIDAD ADECUADA

La oferta y promoción de los servicios de auditoría deberán en todo momento ajustarse a las
características, condiciones y finalidad perseguidas, siendo contrataría a la ética profesional la
difusión de publicidad falsa o engañosa que tenga como objetivo confundir a los potenciales
usuarios de dichos servicios.

La defensa del prestigio de la profesión obliga asimismo a los auditores informáticos a evitar las
compañas publicitarias que, por su contenido, puedan desvirtuar la realidad de sus servicios,
enmascaren los límites de los mismos, oscurezcan sus objetivos o prometan resultados de
imprevisible, cuando no imposible, consecución.

PRINCIPIO DE RESPONSABILIDAD
El Auditor debe tener el máximo cuidado en el trabajo que realiza y en la elaboración de su
dictamen y conclusiones, su opinión debe estar presentada con total imparcialidad y en forma
objetiva y con evidencias claras y concretas.
El Auditor debe tener presente que tiene total responsabilidad por lo indicado en su informe,
por lo que es necesario que cuente con todas las pruebas concernientes a los casos
observados.

Para fines de sustentación y cuando sea requerido por las entidades fiscalizadoras, el Auditor debe
conservar sus papeles de trabajo por lo menos en un lapso de 5 años a partir de la realización del
trabajo de Auditoría.
Las conclusiones de los dictámenes e informes, por consiguiente, deben basarse exclusivamente
en las pruebas obtenidas y unificadas de acuerdo con las Normas Internacionales de Auditoría. Es
importante e imprescindible mantener la neutralidad e independencia de criterio.
Los Auditores deben evitar toda clase de relaciones con los directivos y el personal de la entidad
fiscalizada y otras personas que puedan influenciar en el trabajo que realiza. Los Auditores tienen
la obligación de actuar en todo momento de manera profesional y de aplicar elevados niveles
éticos y morales en la realización de su trabajo con el objeto de desempeñar sus responsabilidades
de manera competente y con total imparcialidad.
El Auditor es responsable del cumplimiento de las Normas de Auditoría establecidas, y a su vez
responsable del cumplimiento de las mismas por parte de los profesionales de su equipo de
Auditoría.
El Auditor es responsable de su informe y debe realizar su trabajo de acuerdo con las Normas
Internacionales de Auditoría. Su trabajo no está específicamente destinado a detectar siempre
irregularidades de todo tipo que hayan podido cometerse y, por lo tanto, no puede esperarse que
sea siempre uno de sus resultados. No obstante, el Auditor debe planificar su examen teniendo en
cuenta la posibilidad de que pudieran existir errores o irregularidades con un efecto significativo
para la Empresa.
El auditor deberá, como elemento intrínseco de todo comportamiento profesional,
responsabilizarse de lo que haga, diga o aconseje, la responsabilidad del auditor conlleva la
obligación de resarcimiento de los daños o perjuicios que pudieran derivarse de una actuación
negligente o culposa.

PRINCIPIO DE SECRETO PROFESIONAL

La confidencia y confianza con características esenciales de las relaciones entre el auditor y el
auditado e imponen al primero la obligación de guardar en secreto los hechos e informaciones que
conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podrá decaer
esa obligación. 1
Este principio obliga primero a no difundir a terceras personas ningún dato que haya visto, oído, o
deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente. Establecimiento
de las medidas y mecanismos de seguridad pertinentes para garantizar al auditado que la
información documentada, obtenida a lo largo de la auditoria, va a quedar almacenada en
entornos o soportes que impidan la accesibilidad a la misma por terceras personas no autorizadas.
El Auditor debe mantener la confidencialidad de la información obtenida en el curso de sus
actuaciones. El Auditor ha de mantener estricta confidencialidad sobre toda la información
adquirida en el transcurso de la Auditoría concerniente a los negocios de sus clientes y, excepto en
los casos previstos en la Ley, no revelará el contenido de la misma a persona alguna sin
autorización del cliente. No obstante, el Auditor deberá recoger en su informe cualquier negativa
del cliente a mostrar toda la información necesaria para expresar la imagen fiel de sus
operaciones.
El Auditor tiene, asimismo, el deber de garantizar el secreto profesional en las actuaciones de sus
ayudantes y colaboradores.
La información obtenida en el transcurso de sus actividades de Auditoría no podrá ser utilizada en
su provecho ni en el de terceras personas. El Auditor deberá conservar y custodiar durante cinco
años, a contar desde la fecha del informe, la documentación de la Auditoría realizada, incluidos los
1
papeles de trabajo del Auditor que constituyen las pruebas y el soporte de las conclusiones que
constan en el informe o dictamen emitido.

PRINCIPIO DE SERVICIO PÚBLICO

La aplicación de este principio debe incitar al auditor a hacer lo que esté en su mano y sin perjuicio
de los intereses de su cliente, para evitar daños sociales.
Deberá poner de manifiesto sus opciones personales cuando entren en contradicción con la ética
social que el auditado pueda presumir que esta implícitamente aceptada por el auditor.

PRINCIPIO DE VERACIDAD

El auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de
asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto,
corrección y secreto profesional.

Este principio no debe, sin embargo, considerarse como constreñido a expresar únicamente
aquello sobre lo que se tenga una absoluta y total certeza, sino que implica, con el grado de
subjetividad que esto conlleva, poner de manifiesto aquello que, a tenor de sus conocimientos y
de lo considerado como "buena práctica profesional", tenga el suficiente grado de fiabilidad como
para ser considerado comúnmente como veraz mientras no se aporten datos o pruebas que
demuestren lo contrario.

Información veraz significa información comprobada según los cánones de la profesionalidad

informativa, excluyendo invenciones, rumores o meras insidias, y que una cosa es efectuar una
evaluación personal, por desfavorable que sea, de una conducta y otra muy distinta es emitir
expresiones, afirmaciones o calificativos claramente vejatorios desvinculados de esa información,
y que resultan proferidos, gratuitamente, sin justificación alguna; que el derecho a la información
no puede restringirse a la comunicación objetiva y aséptica de los hechos, sino que incluye
también la investigación de la causación de hechos, la valoración probabilística de estas hipótesis y
la formulación de conjeturas sobre esa posible causación; que la descripción de hechos y
opiniones que ordinariamente se produce en las informaciones determina que la veracidad
despliegue sus efectos legitimadores en relación con los hechos, pero no respecto de las opiniones
que los acompañen o valoraciones que de los mismos se hagan, puesto que las opiniones,
creencias personales o juicios de valor no son susceptibles de verificación, y ello determina que el
ámbito de protección del derecho de información quede delimitado, respecto de esos elementos
valorativos, por la ausencia de expresiones injuriosas que resulten innecesarias para el juicio
crítico; y que la regla constitucional de la veracidad de la información no va dirigida tanto a la
exigencia de la total exactitud en la información cuanto a negar la garantía o protección
constitucional a quienes, defraudando el derecho de todos a recibir información veraz, actúan con
menosprecio de la veracidad o falsedad de lo comunicado, comportándose de manera negligente
o irresponsable.
Así pues, la aplicación de este principio exige que el auditor, en el marco de su obligación de
informar al auditado sobre el trabajo realizado, comunique a este último sus conclusiones,
diferenciando los hechos constatados de las opiniones, propuestas y valoraciones personales,
debiendo actuar en la comprobación de los primeros y en la fundamentación de las restantes con
una suficiente diligencia profesional para garantizar el cumplimiento de su obligación de informar
verazmente.
Material de apoyo en video: https://www.youtube.com/watch?v=nrkvUA3sFTg

1.3 Riesgos y Fraudes informáticos, como prevenirlos

Un riesgo para un sistema informático está compuesto por la terna de activo, amenaza y
vulnerabilidad, relacionados según la fórmula riesgo = amenaza + vulnerabilidad”, lo cual
significa que las empresas como poseen un conjunto de elementos que sirven como medio
para el respaldo y la conservación de la información, es decir, los activos, estos se ven a diario
expuestos a unos riesgos, los cuales van ligados a unas amenazas y vulnerabilidades.

Se puede decir, que una cosa lleva a la otra, debido a que, si un computador no tiene las
protecciones mínimas que deben tener, como por ejemplo los antivirus, actualizaciones del
sistema operativo, etc., es decir que ese equipo cuenta con vulnerabilidades que pueden llegar
a materializarse, ocasionando el acceso no autorizado de un atacante al servidor contable de
una empresa y tener así control total de la información.

La administración de las copias de seguridad de los sistemas de información juega un papel

fundamental en la seguridad de la información y en todo el proceso que garantice la
continuidad del servicio. Los buenos procedimientos en cuanto al almacenamiento de las
copias de seguridad garantizan que la empresa pueda reaccionar ante algún incidente
informático relacionado con robo o eliminación de la información.

Es muy importante que la organización cuente con políticas de almacenamiento de las copias
de seguridad, tan estrictas como lo crean pertinente, por ejemplo el servidor contable genera
una copia de seguridad diariamente, y esa copias quedan almacenadas en el disco duro del
mismo servidor contable, pero adicional se cuenta con servidor de almacenamiento en red
que diariamente extrae esa copia y la guarda, hasta este punto se tiene dos puntos de
respaldo, pero si se necesita un mayor respaldo ante un incidente informático o un desastre
natural se debe contar con un respaldo en la nube o con una empresa que preste servicio de
almacenamiento en la nube, de esta manera se garantiza la disponibilidad de la información.

Aunque en muchos casos se trate de implementar un sistema de seguridad para la

información contable y financiera, muchos de estos no han ayudado de manera integral
debido a que la empresa deja de lado una parte importante, que son los empleados, para la
obtención de conocimiento y manejo de este tipo de circunstancias en relación a su actuar, y
simplemente dicha responsabilidad o carga se la delegan a los expertos que contratan.
Es por ello la importancia de generar conciencia en seguridad informática, garantizando así
que se tomen los controles necesarios para la prevención de los riesgos informáticos a los que
se expone la organización. Cuando se realizan jornadas de capacitación en la que intervenga
todo el personal de la empresa, se estarán dando las instrucciones para poder atender,
reaccionar, reducir y evitar incidentes informáticos, que comprometa la seguridad de la
información.

Gestión de riesgos informáticos

ANÁLISIS DE RIESGOS
A continuación se presentan una serie de etapas propuestas para la Generación del análisis de
riesgos de las Entidades, basadas la norma ISO27005.

- IDENTIFICACIÓN DEL RIESGO

El propósito de la identificación del riesgo es determinar que podría suceder que cause una
perdida potencial, y llegar a comprender el cómo, donde, y por qué podría ocurrir está
perdida, las siguientes etapas deberían recolectar datos de entrada para esta actividad.

- IDENTIFICACIÓN DE LOS ACTIVOS

Según la norma ISO 27000:2013 un activo es todo aquello que tiene valor para la entidad y
que, por lo tanto, requiere de protección. La identificación de activos se debería llevar acabo
con un nivel adecuado de detalle que proporcione información suficiente para la valoración
del riesgo. Para realizar esta identificación es necesario revisar la guía de gestión de activos
adjunta al MSPI.

- IDENTIFICACIÓN DE LAS AMENAZAS

Una amenaza tiene el potencial de causar daños a activos tales como información, procesos y
sistemas y, por lo tanto, a la entidad. Las amenazas pueden ser de origen natural o humano y
podrían ser accidentales o deliberadas es recomendable identificar todos los orígenes de las
amenazas accidentales como deliberadas. Las amenazas se deberían identificar genéricamente
y por tipo (ej. Acciones no autorizadas, daño físico, fallas técnicas)

Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar
diferentes impactos dependiendo de los activos que se vean afectados.

A continuación se describen una serie de amenazas comunes.

D= Deliberadas, A= Accidentales, E= Ambientales

Para los riesgos tecnológicos que se identificaran, se tendrá en cuenta las posibles amenazas
comunes y las amenazas humanas que apliquen al INCI.

Fuentes de amenazas comunes:

TIPO AMENAZA ORIGEN
PERDIDA DE LOS Fallas en el sistema de DA
SERVICIOS ESENCIALES suministro de aire
acondicionado
Perdida de suministro de A
energía
Falla en equipo de DA
telecomunicaciones
Compromiso de la Hurto de equipo A
información Manipulación con hardware A
Manipulación con software A
Fallas técnicas Fallas del equipo AE
Mal funcionamiento del equipo A
Saturación del sistema de A
información
Mal funcionamiento del A
software
Incumplimiento en el DA
mantenimiento del sistema de
información

Acciones no autorizadas Uso no autorizado del equipo DA

Uso de software falso o DA
copiado
Corrupción de los datos DA
Procesamiento ilegal de datos DA
Copia fraudulenta del software DA

Fuentes de amenazas humanas

FUENTE DE AMENAZA MOTIVACION ACCIONES

AMENAZANTES
Pirata informático, intruso Reto • Piratería
ilegal Ego • Ingeniería Social
Rebelión • Intrusión, accesos
Estatus forzados al sistema
Dinero • Acceso no autorizado
Criminal de la computación Destrucción de la • Crimen por computador
información • Acto fraudulento
Divulgación ilegal de la • Soborno de la información
información • Suplantación de identidad
Ganancia monetaria • Intrusión en el sistema
Alteración no autorizada
de los datos
Terrorismo Chantaje • Penetración en el sistema
Destrucción • Manipulación en el
Explotación sistema
Intrusos (Empleados con Curiosidad Asalto a un empleado
entrenamiento deficiente, Ego Chantaje
 descontentos, Inteligencia
malintencionados, Ganancia monetaria
negligentes, deshonestos o Venganza
despedidos) Errores y omisiones no
intencionales (ej. Error en
el ingreso de datos, error
de programación )
Observar información
reservada
Uso inadecuado del
computador
Fraude y hurto
Soborno de información
Ingreso de datos falsos o
corruptos
Interceptación
Código malicioso
Venta de información
personal
Errores en el sistema
Intrusión al sistema
Sabotaje del sistema
Acceso no autorizado al
sistema.

IDENTIFICACIÓN DE LAS VULNERABILIDADES

Se identificara vulnerabilidades en el área “Hardware, software y equipos de
comunicaciones”.

NOTA: La sola presencia de una vulnerabilidad no causa daños por sí misma, dado que es
necesario que exista una amenaza presente para explotarla. Una vulnerabilidad que no tiene
una amenaza puede no requerir la implementación de un control.

TIPO DE ACTIVO EJEMPLOS DE EJEMPLOS DE AMENAZAS

VULNERABILIDADES

Pasos para análisis del Riesgo

Impacto:
o Activo (¿qué se trata de proteger?)
o Amenaza (¿que se teme que suceda?)
Probabilidad:
o Vulnerabilidad (¿cómo se puede ocurrir la amenaza?)
o Mitigación (¿cómo se reduce actualmente el riesgo?)
 Siguiendo el “Estándar AS/NZS 4360 de Análisis de Riesgos de la Metodología del
Ministerio de Comunicaciones (Gobierno Digital - MINTIC)
1. Establecer el contexto : Administración de riesgos

2. Identificar Riesgos: Los expuestos en este documento son de Tipo Tecnológico.

3. Analizar Riesgos
o Aplicar las medidas cualitativas de Impacto
o Aplicar las medidas cualitativas de probabilidad

4. Evaluar Riesgos:

o Comparar contra criterios

o Establecer prioridades de riesgo
o Tratar Riesgos : Aplicar los pasos dados en el estándar AS/NZS 4360

5. Matriz de Análisis de Riesgo Cualitativo

6. Aplicación de la Matriz de Análisis de Riesgo Cualitativo

Identificación y Análisis de Riesgos Informáticos

TIPO ACTIVO PROBABILIDAD / IMPACTO / AMENAZA

VULNERABILIDAD
SERVICIO DE INTERNET, Los ataques pueden ser internos o Accesos no autorizados por
SERVIDORES, SWITCH, externos por: parte de “delincuentes
ROUTER, REDES LAN, informáticos” u otros con
Wi-Fi. - Deficiencia o falta de una Política pretensiones de causar
de Seguridad Informática daños potenciales a la Red
Ataques a la plataforma institucional definida correctamente informática del INCI y datos
informática para el uso los Sistemas contenidos en estos,
Informáticos del INCI mediante ataques a los
sistemas que componen la
- Herramientas de Seguridad Plataforma Informática.
Perimetral poco eficaces en
hardware y software en la
construcción e implantación de
Políticas eficaces en el INCI

SERVIDORES - Falta de mantenimiento Daños físicos o lógicos en

INSTITUCIONALES preventivo y correctivo a los Sistemas los servidores
de : institucionales.
Pérdida de información en * Equipos Servidores
los Servidores * Sistema eléctrico regulado – - Caída de la red LAN
UPS´s y a la red LAN. - Fallo en el Fluido eléctrico
* Servidores que componen la
 TIPO ACTIVO PROBABILIDAD / IMPACTO / AMENAZA
VULNERABILIDAD
Planta Informática. regulado por UPS´s
- Propagación de virus o
- Desconocimiento de los programas basura como
Ingenieros SPAM
- Por desconfiguración en - Daños en aplicativos y/o
equipos. Base de datos.
- Ausencia de un sistema de - Daños físicos en discos
Backup´s duros.
- Falta tercerizar los servicios - Alteración de los
en la NUBE desarrollos de los
- Soportes poco idóneos. aplicativos
- Ausencia de Políticas de - Caídas del servicio de
Seguridad Informática para los Internet
Servidores.
- Desarrollos inadecuados de
aplicativos o implementaciones mal
realizadas.
EQUIPOS - Ausencia de Políticas claras y Estas se pueden dar por:
ELECTRÓNICOS Y definidas en el uso correcto de
HARDWARE. equipos electrónicos y de - Cumplimiento de vida útil
Hardware. de un equipo de cómputo.
Falla de equipos
electrónicos y hardware. - Planes de Mantenimiento - Uso continuo de equipo
preventivo y correctivo anuales a electrónico
la Planta Informática del INCI.
- Falta de Mantenimientos
- Adecuación completa de una red Preventivos y Correctivos
eléctrica regulada en el 100% del
INCI que cumpla con normas - No se cuenta con una red
vigentes para la protección entre eléctrica regulada o
otros de equipos electrónicos. completa en la Imprenta.

- Ineficiente cantidad de
UPS

- Mal uso por parte de los

responsables de los
equipos
UPS Y RED REGULADA. - Por falta de mantenimiento Se puede dar por:
preventivo y correctivo a la Planta
Fallas en el suministro de de UPS´s actuales y el sistema de - Deficiencia de UPS para
Energía Eléctrica tomas eléctricas de los puestos de mantener los servicios por
Regulada o UPS´s trabajo. un tiempo razonable en los
(Sistemas de Poder In- equipos.
interrumpido) y Red - Políticas no existentes o poco - Sistema de UPS poco
Alambrada CAT 6a claras en su uso. confiables
- Conexiones inadecuadas
- Inestabilidad de la UPS´s por en tomas eléctricas de
 TIPO ACTIVO PROBABILIDAD / IMPACTO / AMENAZA
VULNERABILIDAD
sobrecarga. puestos de trabajo
- Malas conexiones de las
- Latencias de energía eléctrica UPS
constante en subidas y bajadas en - Niveles de carga eléctrica
picos de voltaje. mayores a los soportados
por la Red Eléctrica o las
- Deficientes conexiones en tomas UPS
eléctricas reguladas. - Ausencia de Línea a
Tierra (GND)
- Calidad del cableado
eléctrico ineficiente o poco
confiable.

TELEFONÍA IP. Por falta de: Se puede dar por:

- Mantenimiento a los equipos - Caída del Servidor.
Caídas del servicio del servicio. - Fallo en la Fibra Óptica del
telefónico IP - Soporte al aplicativo Asterisk proveedor ETB o en los
Elastix y sus funcionalidades. equipos Router del
operador.
- Desconexiones de Red en
los teléfonos IP.
- Fallos en Red LAN.
RED DE DATOS Por falta de: Se puede dar por:
- Ausencia de una política de Red de - Corto en Puntos de Datos.
Fallos de la Red de Datos Datos. - Congelamiento de la red
por una mala instalación o - Certificación de la Red institucional. por daños.
cortos presentados en - Maquillaje o identificación de - Dispositivos Switch en mal
esta. puntos de red. estado.
- Organización correcta de puntos de - Cables en mal estado.
datos en el Centro de Datos. - Deficiente distribución por
- Mantenimiento a los dispositivos de pisos.
redes como Switch. - Passcord o Crossover
- Reorganización del cableado de hechos manualmente.
datos - Manipulación inadecuada
- Certificación de la red de datos de los cables.
- Redistribución de puntos
LIBROS DIGITALES - Se puede dar por no tener un - Perdida de datos por falta
Sistema de Copias de respaldo de Backup o respaldo de
Perdida de los archivos efectivo de todos los repositorios de los Libros Existentes.
que contienen los libros los Libros Digitales del INCI o en
digitales tenencia por otros medios o - Caída de servidor donde
convenios existentes. reposan actualmente los
- Tercerear con empresas Libros Digitales.
outsourcing
- No actualizar las copias con los - Daño en disco Duro donde
últimos libros se almacenan los libros
 TIPO ACTIVO PROBABILIDAD / IMPACTO / AMENAZA
VULNERABILIDAD
digitales.

- Daños lógicos en los

Repositorios (carpetas )
que contienen los Libros
Digitales
PÁGINA WEB - Pérdida de Control en el manejo de No habría control total de los
INSTITUCIONAL la página WEB. archivos fuentes y las bases
de datos
Manipulación indebida de - Accesos no autorizados
los archivos fuentes y
bases de datos de la - Manipulación de los datos
pagina WEB

INFORMACIÓN Puede ocurrir por: Se puede dar por:

INSTITUCIONAL - Falta de lineamientos en cuanto a
responsabilidades del manejo de la
Sustracción no autorizada información.
de Datos e información
institucional - Controles poco eficientes en
accesos no autorizados
- Exceso de confianza en el manejo
de las responsabilidades
HARDWARE Y Puede ocurrir por:
SOFTWARE
- Falta de políticas en el uso de
Daños en equipos y/o el Software
software por el ataque de - Ausencia de un programa antivirus
virus informáticos en los equipos
- Deficiente administración del
Antivirus
- Actualizaciones no realizadas
- Desactivación del antivirus
-Personal no autorizado
tiene acceso no autorizado a
los sistemas informáticos,
equipos de cómputo,
servidores, archivos
importantes, lo que convierte
la Plataforma Tecnológica
en algo muy sensible a
pérdidas, alteración, daño o
robos de información.
Propagación de programas o
rutinas dañinas que afecten
los sistemas informáticos.

SEGURIDAD PARA EL - Malversación o pérdida de Se puede dar por:

INGRESO, MANEJO Y información institucional causada
DISPOSICIÓN DE por préstamo de las claves de - Ausencias temporales de
INFORMACIÓN EN acceso. los servidores
EQUIPOS ASIGNADOS (enfermedad, accidente,
- Dificultad para consultar, manejar y encargos de puestos de
Fallas del manejo de disponer de la información por trabajo, retiro temporal por
claves de acceso y perdida de las claves de acceso. sanción disciplinaria).
manejo de equipos
 TIPO ACTIVO PROBABILIDAD / IMPACTO / AMENAZA
VULNERABILIDAD
- Retrasos en la gestión institucional - Ausencias definitivas de
por los reprocesos de reasignación los servidores (finalización
y definición de nuevas claves de de la vinculación laboral,
acceso para disponer de la renuncias, abandono del
información cargo, traslado definitivo
de puesto)

- Deficiencias en el manejo
de las claves de acceso
por olvido, manipulación o
intentos fallidos.
INFRAESTRUCTURA Deficiencias en el control de ingreso El Centro de Datos se
INFORMATICA no autorizados a los Centros de encuentra dispuesto en dos
Datos o equipos de red ubicados en espacios físicos diferentes
Sabotaje / vandalismo diferentes sitios a este y que carecen en la entidad, en razón a
de seguridad, lo que pueden ser esto, se dificulta controlar el
manipulables por cualquiera. acceso de personas que
puedan alterar el normal
funcionamiento de los
sistemas informáticos.

INFRAESTRUCTURA El Inci, no está exento de que se Incendios, inundaciones,

INFORMATICA pueden presentar cortos en las tomas movimientos telúricos que
eléctricas, por ende recalentamiento afecten la infraestructura
Desastres naturales / en equipos, o hechos más graves informática provocando
Conflagraciones, como conflagraciones que afecten daños en la misma (perdida
inundaciones, los equipos y redes informáticos. de información, daños en
movimientos telúricos que equipos que generen
afecten la infraestructura Los equipos de cómputo, la red parálisis en la gestión
informática. eléctrica regulada, la red LAN institucional)
(canaletas) puede sufrir daños,
causados por inundaciones al
presentarse rupturas en la tubería del
agua.

La presencia de los movimientos

telúricos es alta e impredecible, lo
que provocaría que en el INCI se
presente catástrofe en la
infraestructura física, de acuerdo a
estudio realizado por la Universidad
Nacional donde la edificación
principal no cumple con normas de
sismo resistencia, afectando por
ende la infraestructura informática

Material de apoyo en video: https://www.youtube.com/watch?v=BPJGzZASDi8

 1.4 Seguridad informática Física y Lógica

¿POR QUÉ ES TAN IMPORTANTE LA SEGURIDAD?

Por la existencia de personas ajenas a la información, también conocidas como piratas
informáticos o hackers, que buscan tener acceso a la red empresarial para modificar,
sustraer o borrar datos. Tales personajes pueden, incluso, formar parte del personal
administrativo o de sistemas, de cualquier compañía; de acuerdo con expertos en el área, más
de 70 por ciento de las violaciones e intrusiones a los recursos informáticos se realiza por el
personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la
información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede
afectar el buen funcionamiento de la organización. Esta situación se presenta gracias a los
esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel
mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de
seguridad eficiente que proteja los recursos informáticos de las actuales amenazas
combinadas. El resultado es la violación de los sistemas, provocando la pérdida o
modificación de los datos sensibles de la organización, lo que puede representar un
daño con valor de miles o millones de dólares.

SEGURIDAD INFORMATICA
En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o
actividades destinadas a prevenir, proteger y resguardar lo que es considerado como
susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial. En
este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro
de las redes empresariales. La computadora es un instrumento que estructura gran
cantidad de información, la cual puede ser confidencial para individuos, empresas o
instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta.
También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o
parcial de la actividad computacional. Esta información puede ser de suma importancia, y
el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la
actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay
que considerar: el llamado “virus” de las computadoras, el cual, aunque tiene diferentes
intenciones, se encuentra principalmente para paquetes que son copiados sin
autorización (”piratas”) y borra toda la información que se tiene en un disco. Al auditar los
sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al conectarnos
en red con otras computadoras, no exista la posibilidad de transmisión del virus. La
seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica.

Seguridad física:
 Es muy importante ser consciente que por más que la empresa sea la más segura
desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.); la
seguridad de la misma será nula si no se ha previsto como combatir un incendio o
cualquier otro tipo de desastre natural y no tener presente políticas claras de
recuperación. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Si bien algunos de los aspectos de seguridad física básicos se prevén,
otros, como la detección de un atacante interno a la empresa que intenta acceder
físicamente a una sala de cómputo de la misma, no. Esto puede derivar en que para un
atacante sea más fácil lograr tomar y copiar una cinta de backup de la sala de cómputo,
que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la
“aplicación de barreras físicas y procedimientos de control, como medidas de prevención y
contramedidas ante amenazas a los recursos e información confidencial”. Se refiere a los
controles y mecanismos de seguridad dentro y alrededor del centro de cómputo, así
como los medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.

Las principales amenazas que se prevén en Seguridad Física son:

1. Desastres naturales, incendios accidentales, tormentas e inundaciones
2. Amenazas ocasionadas por el hombre
3. Disturbios, sabotajes internos y externos deliberados.

Evaluar y controlar permanentemente la seguridad física de las instalaciones de cómputo

y del edificio es la base para comenzar a integrar la seguridad como una función
primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso físico permite:

 Disminuir siniestros
 Trabajar mejor manteniendo la sensación de seguridad
 Descartar falsas hipótesis si se produjeran incidentes
 Tener los medios para luchar contra accidentes

Seguridad lógica:

Luego de ver como el sistema puede verse afectado por la falta de seguridad física, es importante
recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los
medios físicos sino contra información por él almacenada y procesada. Así, la seguridad física
sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia
de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la
información, y por lo tanto deben existir técnicas, más allá de la seguridad física que la
asegure. Estas técnicas las brinda la Seguridad Lógica.

La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que resguarden el

acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para
hacerlo”. Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está
permitido debe estar prohibido” y esto es lo que debe asegurar la Seguridad Lógica.
Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.

3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el
procedimiento correcto.

4. Que la información transmitida sea recibida por el destinatario al cual ha sido enviada y
no a otro.

5. Que la información recibida sea la misma que ha sido transmitida.

6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Material de apoyo en video: https://www.youtube.com/watch?v=TXwJJn0U9B8

1.5 Normas de control interno Informático

CONTROL INTERNO INFORMATICO.

SUS METODOS Y PROCESAMIENTOS. LAS HERRAMIENTAS DE CONTROL

CONTROL INTERNO

Definiciones

El Control Interno Informático puede definirse como el sistema integrado al proceso

administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto
de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía,
eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática –
Aplicaciones en Producción – José Dagoberto Pinilla)

El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y
las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos
de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se
corregirán.
También se puede definir el Control Interno como cualquier actividad o acción realizada manual
y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática – Un Enfoque
Práctico – Mario G. Plattini) Tipos

En el ambiente informático, el control interno se materializa fundamentalmente en controles de

dos tipos:

• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.

• Controles Automáticos; son generalmente los incorporados en el software, llámense estos de

operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

• Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos,

como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.

• Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.

• Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.

Objetivos principales:

• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas

• Colaborar y apoyar el trabajo de Auditoría Informática interna/externa

• Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento

de los servicios informáticos.

• Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes

actividades que se realizan.

Control interno informático (función)

El Control Interno Informático es una función del departamento de Informática de una

organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas
de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y
disposiciones legales establecidas interna y externamente.

Entre sus funciones específicas están:

• Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de

programadores, técnicos y operadores.

• Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los

siguientes aspectos:

• Desarrollo y mantenimiento del software de aplicación.

• Explotación de servidores principales

• Software de Base

• Redes de Computación
• Seguridad Informática

• Licencias de software

• Relaciones contractuales con terceros

• Cultura de riesgo informático en la organización

Control interno informático (áreas de aplicación)

Controles generales organizativos

Son la base para la planificación, control y evaluación por la Dirección General de las actividades
del Departamento de Informática, y debe contener la siguiente planificación:

• Plan Estratégico de Información realizado por el Comité de Informática.

• Plan Informático, realizado por el Departamento de Informática.

• Plan General de Seguridad (física y lógica).

• Plan de Contingencia ante desastres.

Controles de desarrollo y mantenimiento de sistemas de información

Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de
recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de
Vida de Desarrollo de aplicaciones.

Controles de explotación de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del
hardware así como los procedimientos de, instalación y ejecución del software.

Controles en aplicaciones

Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización,
salida, validez y mantenimiento completos y exactos de los datos.

Controles en sistemas de gestión de base de datos

Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y
seguridad.

Controles informáticos sobre redes

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las
redes instaladas en una organización sean estas centrales y/o distribuidos.

Controles sobre computadores y redes de área local

Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como
del software de usuario, así como la seguridad de los datos que en ellos se procesan.

Función de Control

En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los
auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la
seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.

Control interno informático; Cumplen funciones de control dual en los diferentes departamentos,
que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes
determinar los propietarios y los perfiles según la clase de información, permitir a dos personas
intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad
informática, controla la calidad de software, los costos, los responsables de cada departamento,
control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y de
controles, es clara que esta medida permite la seguridad informática.

Metodologías de clasificación de información y de obtención de procedimientos de control;

Es establecer cuáles son las entidades de información a proteger, dependiendo del grado de
importancia de la información para el establecimiento de contramedidas.

Herramientas de control;

Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas
que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del
sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos,
control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control de
impresión y envío de listados por red, control de proyectos y versiones , gestión de independencia
y control de cambios. Y físicos los cifradores.

CONTROL INTERNO INFORMATICO

El control interno informático controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la
dirección de la organización y/o la dirección informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del departamento de
informática y está dotado de las personas y medios materiales proporcionados a los cometidos
que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías externas al
grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso
adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los
mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la
función de control interno, si no que cada responsable de objetivos y recursos es responsable de
esos niveles, así como de la implantación de los medios de medida adecuados.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si

un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
los eficazmente los fines de la organización y utiliza eficiente mente los recursos.

CONTROL INTERNO INFORMATICO AUDITOR INFORMATICO

SIMILITUDES PERSONAL INTERNO
Conocimientos especializados en tecnologías de información verificación del
cumplimiento de controles internos, normativa y procedimientos
establecidos por la dirección informática y la dirección general para los
sistemas de información.
DIFERENCIAS Análisis de los controles en el día a día Análisis de un momento
Informa a la dirección del departamento informático determinado Informa
de informática sólo personal interno el a la dirección general de la
enlace de sus funciones es únicamente organización Personal interno y/o
sobre el departamento de informática externo tiene cobertura sobre
todos los componentes de los
sistemas de información de la
organización

DEFINICION Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como «cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.

Los controles internos se clasifican en los siguientes:

 Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que

impida los accesos no autorizados al sistema.
  Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones. etc.

 Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido

incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red,
así como los distintos niveles de control y elementos relacionados:

 Entorno de red: esquema de la red, descripción de la configuración hardware de

comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los ordenadores de entornos de
base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.

 Configuración del ordenador base: Configuración del soporte físico, en torno del sistema
operativo, software con particiones, entornos ( pruebas y real ), bibliotecas de programas
y conjunto de datos.

 Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos

y entornos de procesos distribuidos.

 Productos y herramientas: Software para desarrollo de programas, software de gestión de

bibliotecas y para operaciones automáticas.

 Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e

información, integridad del sistema, controles de supervisión, etc.

Para la implantación de un sistema de controles internos informáticos habrá que definir:

 Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base

para el diseño y la implantación de los sistemas de información y de los controles
correspondientes.

 Administración de sistemas: Controles sobre la actividad de los centros de datos y otras

funciones de apoyo al sistema, incluyendo la administración de las redes.

 Seguridad: incluye las tres clases de controles fundamentales implantados en el software

del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

 Gestión del cambio: separación de las pruebas y la producción a nivel del software y

controles de procedimientos para la migración de programas software aprobados y
probados.

Material de apoyo en video: https://www.youtube.com/watch?v=wqysB92nFxI