EVALUACION DE PROCESOS INFORMATICOS

SEMANA 1

Ricardo Montero
21 de noviembre de 2022
Ingeniería en Informática
DESARROLLO
En primer lugar, definiré qué es una auditoría, que es un proceso sistemático, independiente y
documentado que permite obtener evidencia objetiva sobre un proceso en particular y evaluarlo
objetivamente para determinar en qué medida se cumplen los criterios definidos. - La auditoría
informática es el proceso de revisión y evaluación de los controles y medidas de seguridad aplicados a los
recursos informáticos físicos o lógicos de una organización. - Es decir, recursos técnicos, personas,
software o procedimientos utilizados en los sistemas de información de una empresa. - Además de ser un
sistema que detecta errores, debe dar recomendaciones para su implementación, evitando así la
repetición de estos errores. - El objetivo principal de la auditoría informática es garantizar la continuidad y
operatividad de los procesos informáticos, además, genera problemas de calidad cuando se busca
mejorar los procesos informáticos.

FASES Planificación de desarrollo Descripción del Modo Operación

Fase 1    

Estos elementos forman el marco de

Aspectos, generales y
políticas internas
Característica del sistema
organizacional y operativo
referencia para la construcción del
sistema y por lo tanto es la base para la
evaluación.
Crear un organigrama de las áreas
participantes.
Crear un libro de funciones para los
participantes.

CONOCIMIENTO DE del recurso humano.

Obtenga informes de auditoría anteriores
SISTEMAS (si corresponde).

Manuales de aplicación del sistema.

Administrar estadísticas de usuarios
autorizados para la aplicación.
Características del Seguridad para las claves de acceso de las
equipamiento computacional aplicaciones
Mecanismos para el almacenamiento de
archivos de aplicación.
Inventario del equimamiento utilizado
Fase 2 Planificación de desarrollo Descripción del modo operación
ANALISIS DE Va a depender del tamaño del sistema, las
TRANSACCIONES Y Definir las transacciones transacciones se dividen en procesos, que
RECURSOS a su vez se dividen en subprocesos

Analizar las transacciones
Analizar los recursos
Fase 3 Planificación de desarrollo
Identificar los riesgos
ANALISIS DE RIESGO Y
AMENAZAS
Identificar las amenazas
Relación entre recursos,
amenazas o riesgos
Fase 4 Planificación de desarrollo
La relevancia de las transacciones sera
asignada con los administradores.
Determinar el flujo de los documentos
Utilice diagramas de flujo para facilitar el
flujo de procesos y la visualización de las
funciones y los procesos.
Identificar y codificar los recursos del
sistema involucrado en el desarrollo.
Vincular las transacciones y recursos.
Descripción del modo operación
Verificar daños de los equipos o
destrucción de los recursos
Pérdida por fraude o desfalco
Perdida de documentos fuente, archivos
o informes
Robo de dispositivos o medios de
almacenamiento
Interrupción de las operaciones del
negocio
Pérdida de integridad de los datos
Ineficiencia de operaciones
Errores
Amenazas sobre los equipos:
Amenazas sobre documentos fuente
Amenazas sobre programas de
aplicaciones.
Crear relaciones entre estos elementos,
observe los recursos en su entorno
operativo.
Descripción del modo operación

Estas comprobaciones se aplican al grupo

que utiliza el recurso, luego se realiza la
Codificar los controles
codificación para indicar el grupo al que
ANALISIS DE pertenece el recurso protegido.
CONTROLES

Para cada problema

Relación entre recurso,
(recurso/amenaza/riesgo) identificado, se
amenaza o riesgo
debe establecer una relación de control.

Análisis de cobertura de los los controles aplicados o revisados según
controles requeridos
Fase 5 Planificación de desarrollo
Objetivos de la evaluación
EVALUACIÓN DE
CONTROLES
Planificar un plan de pruebas Solicitar a las áreas respectivas los
de los controles
Fase 6 Planificación de desarrollo
Informe detallado de
recomendaciones.
Evaluación de los resultados.
INFORME DE
AUDITORIAS
Informe resumen para
gerencia
Fase 7 Planificación de desarrollo
Informes de seguimiento. Revisión
Evaluación de los controles
implementados
SEGUIMIENTO DE  
RECOMENDACIONES
 
 
Por cada ítem se establecerá uno o más
controles.
El propósito del análisis es determinar si
sea necesario brindan suficiente
protección a los recursos.
Descripción del modo operación
Corroborar la existencia de los controles
requeridos.
Conseguir la operatividad y suficiencia de
los controles existentes
Seleccionar el tipo de prueba a realizar.
elementos necesarios para la realización
de pruebas de control.
Descripción del modo operación
 
Cuando se obtengan y analizan las
respuestas de compromiso de las áreas,
se prepara un informe a alta gerencia.
Introducción: objetivo y contenido del
informe de auditoría.
Objetivos de la auditoría.
Alcance: cobertura de la evaluación
realizada.
Opinión: con relación a la suficiencia del
control interno del sistema evaluado
Hallazgos.
Recomendaciones.
Descripción del modo operación
Evaluación
Controles y Medidas de Seguridad que se
aplican a los Recursos de un Sistema de
Información
Auditoría Informática
Objetivos
    

Se destacan las diferencias entre la auditoria informática y la auditoria de seguridad en informática:

 Auditoria Informática: Evalúa los recursos informáticos y tecnológicos de la organización. - Su

finalidad es evaluar el uso y eficiencia de los sistemas informáticos, dando como resultado un
informe que muestra el nivel de consumo de los recursos informáticos. - También comprueba si el
dispositivo configurado cumple con las leyes y normativas de cada país.
 Auditoria de Seguridad Informática: También conocida como "Auditoría de seguridad de los
sistemas de información (IS)", analiza los recursos informáticos en varios niveles de una
organización para identificar vulnerabilidades. - Considera lo siguiente:
 Los equipos instalados (servidores, aplicaciones, sistemas operativos, etc.)
 La evaluación de los distintos procedimientos en uso.
 El análisis de la seguridad existente a nivel de equipos y de la red informática.
 El análisis del uso eficiente de los sistemas y aplicaciones.
 La gestión de los sistemas en uso.
 La revisión de vulnerabilidades que pudieran resultar de la revisión realizada en estaciones de
trabajo, redes de comunicaciones, servidores, etc.
 La revisión de los protocolos de seguridad existentes que podrían ser usados ante una
amenaza.

Una auditoría de seguridad proporciona información sobre la posición de una organización en relación
con la protección, los controles y las medidas de seguridad, que se reflejan en la confidencialidad,
integridad y disponibilidad de los datos.

Ejemplo de auditoria informática:

Se realizará el auditoria a una empresa dedicada a seguros:

INFORME DE AUDITORIA

 Fecha del Informe:   24 / 10 / 2022 

 Nombre de la Entidad:   Compañía de seguros Ltda. 

 AUDITORIA DE UNA BASE DE DATOS 

Objetivo

Controlar la definición y existencia de los objetos necesarios para la normal utilización de una BD
y para mejorar su performance. 

Lugar de la Auditoría:  Área de Sistemas 

Grupo de Trabajo de Auditoría:  Auditor 1
                                                     Auditor 2

Fecha de Inicio de la Auditoría:  17 / 10 / 2022 

Tiempo estimado del proceso de revisión:  30hs 

Fecha de Finalización de la Auditoría:  19 / 10 / 2022

Herramientas utilizadas

-  Metodología de auditoría de objetivos de control

- Utilitarios estándar 

Alcance

Controlar la definición y existencia de todos los objetos que son necesarios en la BD y que son
utilizados por los distintos sistemas de la empresa. 

Procedimientos a aplicar: 

Objetos

     -  ¿Las tablas definidas en el diseño coinciden con las fueron creadas en la BD
teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las
columnas?
- ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla
existente?
- ¿Existen las secuencias (sequences) correspondientes a la clave primaria
(PK) de c/ tabla definida?
- ¿La BD tiene vistas (views) respecto de algunas tablas?
- Para mejorar el performance del sistema, ¿el DBA definió que sean
necesarios según los casos?
- ¿Existe documentación actualizada respecto del diseño e implementación de
la BD?
 Datos 

      - ¿Con qué frecuencia se realiza una copia de resguardo (backup) respecto de
la BD?
- ¿Cada cuánto tiempo se realiza una actualización de los datos existentes?

 Usuarios

      - ¿Cuántos usuarios tienen acceso a la BD?

- ¿Cuántos usuarios actúan como desarrolladores respecto de la BD?
- ¿Cuántos usuarios son usuarios finales de la BD?
- ¿Cuáles son los roles y privilegios establecidos por el DBA?
-  ¿Todos los usuarios tienen definido un rol determinado?

INFORME DE LAS DEBILIDADES DETECTADAS

Situación Actual Recomendación Comentario de la

Gerencia de
Sistemas

No existen índices que Crear los índices que correspondan De acuerdo

permitan mejorar el de acuerdo con las aplicaciones que (Sr. Gerente de
performance del sistema fueron desarrolladas. Sistemas)

Se realiza una copia diaria Debido al caudal de información que De acuerdo

de resguardo (backup) maneja la empresa, se sugiere (Sr. Gerente de
realizar 2 backups diarios, uno a Sistemas)
mitad del día y otro al final del día.

 
REFERENCIAS BIBLIOGRÁFICAS

IACC (2020). Los procesos informáticos y la auditoría informática. Evaluación de Procesos Informáticos.
Semana 1.

Peritos Informáticos. Auditoria informática: https://peritos-informaticos.com/auditoria-informatica