Auditoria de Sistemas

Informáticos
Unidad de aprendizaje 1: Auditoría de Sistemas y Deontología
El rol y papel del auditor de sistemas
Clasificación de los Tipos de Auditorias

Mg. Sc. Ing. CIP Adolfo Cáceres Luque

 LOGROS DE APRENDIZAJE DE LA SESIÓN

❑ Reconocer los conceptos sobre el rol y papel del auditor de sistemas

informáticos en las organizaciones empresariales e instituciones y que
conocimientos y habilidades técnicas debe tener un auditor.

❑ Reconocer los conceptos sobre la clasificación de los tipos de auditorías

de sistemas informáticos que pueden realizarse en cualquier
organización o institución y la importancia de cada uno de ellos.
 TEMAS A TRATAR

❑El rol y papel del auditor de sistemas

❑Habilidades del auditor de sistemas
❑Gestión de la función de auditoría
❑Controles internos
❑Tipos de auditoría de sistemas
 Recordemos la sesión anterior

¿Por qué es importante realizar una auditoría en una organización?

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”.
 El ROL Y PAPEL DEL AUDITOR DE SISTEMAS

• Aprender algún lenguaje de programación y técnicas de análisis y diseño

• Entender los riesgos tecnológicos
• Conocimiento de DBMS
• Entender los riesgos de los sistemas operativos
• Contar con un conocimiento general de infraestructura de telecomunicaciones
• Dominio de los objetivos de control para la información y la tecnología
relacionada
• Comprender los conceptos de riesgo de auditoría, riesgo de detección
• Entender los riesgos del negocio y riesgos operativos
• Aprender sobre las normas internacionales de auditoría
• Formarse en administración, contaduría y finanzas
• Contar con conocimiento sobre la metodología para llevar a cabo una auditoría
 HABILIDADES SOBRE EL ENTORNO DE LOS
SISTEMAS DE LA EMPRESA
❑ Capacidad de compenetrarse con los objetivos de la organización.
❑ Familiaridad con las tecnologías de hardware y software utilizadas en las
aplicaciones.
❑ Conocimientos generales sobre normas legales (marco regulatorio
externo y normas internas).

HABILIDADES TÉCNICAS EN SEGURIDAD Y AUDITORÍA

❑ Teoría general de riesgos y controles.

❑ Control interno en las organizaciones.
❑ Riesgos y controles en los sistemas computarizados.
❑ Auditoría Financiera, operacional.
❑ Elaboración y presentación de informes de auditorías.
HABILIDADES TECNICAS EN SISTEMAS DE INFORMACIÓN

❑ Conocimientos básicos sobre tecnologías de

hardware y software
❑ Conocimientos básicos sobre análisis, diseño y
construcción de sistemas de información.
❑ Dominio de lenguajes de programación.
Gestión de la Función de Auditoria

❑ La función de auditoria debe ser gestionada de manera que

asegure que las actividades realizadas por el equipo de
auditoria cumplan los objetivos de dicha función.

❑ El rol de auditoria de sistemas debe establecerse en un

estatuto* de auditoria aprobado por la alta gerencia y el
comité de auditoria si existe uno.

❑ (*) Un estatuto es un documento formal que debe describir la

autoridad, alcance y la responsabilidad del departamento de
auditoria de sistemas.
Departamento de Auditoria de Sistemas

❑ La auditoria de sistemas puede formar parte de la Auditoria

Interna.
❑ Funcionar como un grupo independiente o estar dentro de la
auditoría financiera y operacional.
❑ En todo caso debe contar con independencia y reportarse a
un comité de auditoria o al nivel mas alto de la gerencia.
Controles Internos
Están constituidos por políticas, procedimientos, practicas y
estructuras organizacionales implementados para reducir los
riesgos de la organización. Pueden ser manuales u automáticos.

❑ Preventivos
Evitan que ocurra un error, omisión o actos maliciosos, ejemplo:
El control de acceso al centro de datos.

❑ Detectivos
Detectan e informan la ocurrencia de un error.
Por ejemplo: La revisión de los registros de eventos
(logs).
Controles Internos
❑ Correctivos
Corrigen errores que surgen de un problema:
Los procedimientos de respaldo o procedimientos de backup.
TIPOS DE AUDITORÍA DE SISTEMAS

❑ Auditoria Interna
La auditoria interna es realizada por un agente interno de la empresa que tiene
como función realizar un análisis profesional, objetivo y critico como resultado
de la evaluación de los controles internos y el cumplimiento de planes con el fin
de mejorar la operación de la empresa.

❑ Auditoria Externa
Es realizada por un personal independiente que distribuye sus funciones entre
las diferentes áreas de gestión de la empresa para determinar la eficacia que
posee en el desarrollo de sus funciones.
TIPOS DE AUDITORÍA
❑ Auditoria de Cumplimiento
Incluyen pruebas especificas de los controles para demostrar con el cumplimiento de
normas regulatorias o normas y procedimientos de la industria.

❑ Auditoria Financiera
Tienen como propósito determinar la exactitud de los estados financieros de una
organización.

❑ Auditorias Operativas
Su objetivo es evaluar la estructura de control interno en un proceso o área determinada.

❑ Auditorias Integradas
Combina actividades de evaluación de la auditoria financiera y la operativa.
TIPOS DE AUDITORÍA
❑ Auditoria Administrativa
Están orientadas a evaluar aspectos relacionados con la productividad de la
organización.

❑ Auditoria de Sistemas
Se enfoca en determinar si los sistemas de información y los recursos relacionados
mantienen la confidencialidad, integridad y disponibilidad de los datos del sistema y
proveen información confiable y poseen controles internos adecuados.

❑ Auditorias Especializadas
Son un tipo de auditoria de sistemas que se especializan en áreas especificas

❑ Auditorias Forenses
Son aquellas orientadas a descubrir, revelar y hacer seguimiento
a fraudes y crimines.
Su propósito principal es el desarrollo de evidencias para ser
revisadas por las autoridades policiales y judiciales.
 CLASIFICACIÓN DE LOS TIPOS DE AUDITORÍA DE
SISTEMAS

Dentro de las áreas generales, es posible establecer las siguientes divisiones:

a) Auditoria Informática de Explotación

b) Auditoria Informática de Sistemas

c) Auditoria Informática de Comunicaciones y Redes

d) Auditoria Informática de Desarrollo de Proyectos

e) Auditoria Informática de Seguridad

1.- AUDITORÍA INFORMÁTICA DE LA EXPLOTACIÓN

La Explotación Informática se ocupa de producir resultados informáticas de

todo tipo: listados impresos, archivos magnéticos para otros informáticos,
órdenes automatizadas para lanzar o modificar procesos industriales,
correos, mensajes, videos, imágenes, productos financieros, etc.

Para realizar la Explotación informática se dispone de materia prima los

Datos, que es necesario transformar, y que se someten previamente a
controles de integridad y calidad. La transformación se realiza por medio del
Proceso Informático, el cual está dirigido por programas. Obtenido el
producto final, los resultados son sometidos a controles de calidad, y
finalmente son distribuidos al cliente, al usuario.
1.- AUDITORÍA INFORMÁTICA DE LA EXPLOTACIÓN
(cont.)
• Control de entrada de datos

• Planificación y Recepción de Aplicaciones

• Centro de Control y Seguimiento de Trabajos

• Operadores de Centros de Cómputos

• Centro de Control de Red y Centro de Diagnosis (Help Desk)

2.- AUDITORÍA INFORMÁTICA DE SISTEMAS

Se ocupa de analizar la actividad propia de lo que se conoce como "Técnica

de Sistemas" en todas sus facetas. En la actualidad, la importancia
creciente de las telecomunicaciones ha propiciado que las Comunicaciones,
Líneas y Redes de las instalaciones informáticas, se auditen por separado,
aunque formen parte del entorno general de "Sistemas". Vamos a detallar
los grupos a revisar:

1) Sistemas Operativos

2) Software Básico
Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran
completamente los Sistemas Informáticos, haciendo posible la reutilización
de funciones básicas no incluidas en aquél.
2.- AUDITORÍA INFORMÁTICA DE SISTEMAS (cont.)
c) Software de Teleproceso
Se ha agregado del apartado anterior de Software Básico por su
especialidad e importancia. Notese la especial dependencia que el Software
del Tiempo Real tiene respecto a la arquitectura de los Sistemas.

d) Tunning
Es el conjunto de técnicas de observación y de medidas encaminadas a la
evaluación del comportamiento de los subsistemas y del Sistema en su
conjunto. Las acciones de Tunning deben diferenciarse de los controles y
medidas habituales que realiza el personal de Técnica de Sistemas. El
Tunning posee una naturaleza más revisora, estableciéndose previamente
planes y programas de actuación según los síntomas observados.
2.- AUDITORÍA INFORMÁTICA DE SISTEMAS (cont.)

e) Optimización de los Sistemas y Subsistemas

Técnica de Sistemas que realiza acciones permanentes de optimización como
consecuencia de la información diaria obtenida a través de Log, Account-ing, etc.
El auditor verificará que las acciones de optimización fueron efectivas y no
comprometieron la Operatividad de los Sistemas ni el "plan crítico de producción
diaria" de Explotación.

f) Administración de Base de Datos

El auditor informático de Bases de Datos deberá asegurarse que Explotación
conoce suficientemente las que son accedidas por los Procedimientos que ella
ejecuta. Analizará los sistemas de salvaguarda existentes, que competen
igualmente a Explotación. Revisará finalmente la integridad y consistencia delos
datos, así como la ausencia de redundancias entre ellos.
2.- AUDITORÍA INFORMÁTICA DE SISTEMAS (cont.)

g) Investigación y Desarrollo

La Auditoria informática deberá cuidar de que la actividad de Investigación

más la de desarrollo de las empresas no vendedoras, no interfiera ni
dificulte las tareas fundamentales internas.

En todo caso, el auditor advertirá en su Informe de los riesgos que haya

observado. No obstante, resultaría muy provechoso comercializar alguna
Aplicación interna, una vez que está terminada y funcionando a
satisfacción.
3.- AUDITORÍA INFORMÁTICA DE COMUNICACIONES Y REDES
(cont.)
Para el Auditor Informático, el entramado conceptual que constituyen las Redes Nodales,
Líneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte físico-
lógico del Tiempo Real.

El auditor informático tropieza con la dificultad técnica del entorno, pues ha de analizar
situaciones y hechos alejados entre sí, y está condicionado a la participación del
monopolio telefónico que presta el soporte en algunos lugares.
Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la
Auditoria de este sector requiere un equipo de especialistas, expertos simultáneamente
en Comunicaciones y en Redes Locales. No debe olvidarse que en entornos geográficos
reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y
cableadas con recursos propios.
4.- AUDITORÍA INFORMÁTICA DESARROLLO DE PROYECTOS
(cont.)
El área de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la
auditoria informática. Indicando inmediatamente que la función de Desarrollo es una
evolución del llamado Análisis y Programación de Sistemas y Aplicaciones, término
presente en los últimos años. La función Desarrollo engloba a su vez muchas áreas,
tantas como sectores informatizables tiene la empresa.
Muy escuetamente, una Aplicación recorre las siguientes fases:

a) Pre-requisitos del Usuario (único o plural), y del entorno.

b) Análisis funcional.
c) Análisis orgánico. (Pre programación y Programación).
d) Pruebas.
e) Entrega a Explotación y alta para el Proceso.
4.- AUDITORÍA INFORMÁTICA DESARROLLO DE PROYECTOS
(cont.)
Una razonable Auditoria informática de Aplicaciones pasa indefectiblemente
por la observación y el análisis de estas consideraciones.

a) Revisión de las metodologías utilizadas

b) Control Interno de las Aplicaciones

c) Satisfacción de Usuarios

d) Control de Procesos y Ejecuciones de Programas Críticos

5.- AUDITORÍA DE LA SEGURIDAD INFORMÁTICA (cont.)

❑ La seguridad en la informática abarca los conceptos de seguridad física y

seguridad lógica.

❑ La Seguridad física se refiere a la protección del Hardware y de los

soportes de datos, así como los edificios e instalaciones que los albergan.
Contempla las situaciones de incendios, sabotajes, robos, catástrofes
naturales, etc. Igualmente, a este ámbito pertenece la política de
Seguros.

❑ La seguridad lógica se refiere a la seguridad de uso del software, a la

protección de los datos, procesos y programas, así como la del ordenado
y autorizado acceso de los usuarios a la información.
5.- AUDITORÍA DE LA SEGURIDAD INFORMÁTICA (cont.)

❑ Se ha tratado con anterioridad la doble condición de la Seguridad Informática:

Como Área General y como Área Específica (seguridad de Explotación,
seguridad de las Aplicaciones, etc.).
Así, podrán efectuarse Auditorias de la seguridad global de una Instalación
Informática- Seguridad General-, y Auditorias de la Seguridad de un área
informática de terminada- Seguridad Específica-.

❑ La decisión de abordar una Auditoria Informática de Seguridad Global en una

empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a
los que está expuesta.
Actividad
Indicar en cada gráfico a qué tipo de control de auditoría se hace
referencia.

1 2 3
Actividad
Indicar en cada gráfico a qué tipo de control de auditoría se hace
referencia.
1 2 3

CONTROL CORRECTIVO
CONTROL DETECTIVO

CONTROL PREVENTIVO
 Actividad en Canvas

Documentar las principales ideas recogidas de los videos indicados bajo un

enfoque CRITICO.
1. FASES DE LA AUDITORÍA DE SISTEMAS
https://www.youtube.com/watch?v=zflrUEfhrBc

2. PERFIL DEL AUDITOR DE SISTEMAS INFORMÁTICOS

https://www.youtube.com/watch?v=r6hGZrvpqmU

“La tecnología por sí sola no basta. También tenemos que poner el corazón” – Jane Goodall
Conversemos un poco sobre los nuevos
términos o conceptos aprendidos el día de hoy

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”
Conclusiones

Participación de los alumnos

Gracias por su atención . . . !

Mg. Sc. Ing. CIP Adolfo Cáceres Luque

https://www.linkedin.com/in/adolfo-caceres-luque/