Universidad Mariano Gálvez de Guatemala

Facultad de Ciencias Económicas

Licenciatura en Contaduría Pública y Auditoria
Auditoría de Sistemas de Información
Licda. Carmen Montenegro

EL PROCESO DE AUDITORÍA

Integrantes:

Glendy Daniela Cabrera Bámaca (3132-19-11818 )

Yordy Enmanuel Vásquez( 3132-19-6860 )
Rony de Jesús Herrera García (3132-19-11171)
Joel Reyes (3132-18-3512)
Denis Oswaldo Marroquin(3132-19-22487)
Elisa Fernanda Navichoque Agustín (3132-19-6186)

Guatemala 22 de abril del 2023

1
 INTRODUCCIÓN

La auditoría física no es limitada a comprobar la existencia de los medios físicos

sino también su funcionalidad racionalidad, y seguridad.

De esta manera se garantiza que los activos informáticos y todos los materiales de
un centro de cómputo que nos permita realizar observaciones de ubicaciones y que
estén registradas en el inventario, de esta manera se garantiza un control optimo del
inventario y seguridad del equipo.

2
 INDICE

Contenido Pá gina
SEGURIDAD DE LA INFORMACIÓN 4
Seguridad Lógica 4
Seguridad en el comercio electrónico 5
Seguridad en el correo electrónico 5
La Seguridad Física 5
Plan de Contingencia 6
AUDITORÍA DE SISTEMAS 7
Objetivos de la auditoría de sistemas 7
La necesidad de una auditoría de sistemas 7
AUDITORÍA FÍSICA 8
Objetivos de la auditoría física 8
Técnicas y herramientas del auditor 8
Responsabilidades de los auditores 9
Fases de la auditoría física 10
Ventajas de realizar una auditoría informática 10
Fases para realizar una auditoría informática 10
EJEMPLO DE UNA AUDITORÍA DE SISTEMAS 12
CONCLUSIONES 16
BIBLIOGRAFÍA 17

3
 SEGURIDAD DE LA INFORMACIÓN

Existen dos tipos de seguridad: la seguridad física y la lógica.

● La seguridad física se refiere en poder resguardar el sistema de Hardware y

más soportes de datos, a la vez contempla cualquier situación que pueda
puedan poner en riesgo las instalaciones que los alberga, como oficinas,
edificios, computadoras etc.

● La seguridad lógica es la protección que seda a los datos, procesos y

programas tomando en cuenta las autorizaciones que se dan de accesos a la
información.

Seguridad Lógica

Control de acceso: es un elemento esencial de la seguridad que determina quién

tiene permiso para acceder a determinados datos, aplicaciones y recursos y en qué
circunstancias. De la misma forma que las claves y listas de invitados con aprobación
previa protegen los espacios físicos, las directivas de control de acceso protegen los
espacios digitales.

⮚ Administración de usuarios
● Todo usuario que acceda a los sistemas de información debe tener asignado
un identificador único (user ID), que permita establecer responsabilidades
individuales en el uso de los sistemas de información.
● Los permisos asignados a los usuarios deben estar adecuadamente registrados
y protegidos.
● Cualquier cambio de posición o función de un rol, amerita evaluación de los
permisos asignados, con el fin de realizar las modificaciones que correspondan
en forma oportuna.
● La creación, modificación y eliminación de claves debe ser controlada a través
de un procedimiento formal

Control de red: La empresa debe contar con controles que protejan la información
dispuesta en las redes de información y los servicios interconectados, evitando así
accesos no autorizados, también debe contar con controles que protejan la
información dispuesta en las redes de información y los servicios interconectados,
evitando así accesos no autorizado.

Control de datos: Se debe mantener un Log de actividades que registre las

actividades de los administradores de datos. Los usuarios deben acceder a la
información contenida en las bases de datos, únicamente a través de aplicaciones que
cuentan con mecanismos de control que aseguren el acceso a la información
autorizada (clave de acceso a la aplicación).

Encriptación: Se debe realizar un análisis de riesgos para poder identificar como

proteger cuando es necesario encriptar la información, el tipo, calidad del algoritmo de
encriptación y el largo de las claves criptográficas a ser usadas, toda información
clasificada como restringida y confidencial debe ser almacenada, procesada y
transmitida en forma encriptada misma que deben estar protegidas contra
modificación, pérdida y destrucción.
4
Administración de claves: Las claves deben estar protegidas contra accesos y
modificación no autorizada, perdida y destrucción, es importante que estas claves
físicamente también sean protegidas.

Uso de Passwords o claves: Es importante para la seguridad por lo que todo el

personal o terceros debe contar con una contraseña personalizada la cual no se debe
transferir.

Claves débiles e inseguras

● La clave contiene menos de ocho caracteres
● La clave es encontrada en un diccionario.
● La clave es una palabra de uso común tal como: nombre de un familiar,
mascota, amigo, colega, etc.
● La clave es fecha de cumpleaños u otra información personal como direcciones
y números telefónicos

Claves seguras
● La clave contiene o es mayor de ocho caracteres.
● La clave contiene caracteres en minúscula y mayúscula.
● La clave tiene dígitos de puntuación, letras y números intercalados.
● La clave no obedece a una palabra o lenguaje, dialecto o jerga
● Fácil de recordar.

Seguridad en el comercio electrónico

No es un elemento opcional más, sino un elemento clave e imprescindible para

cualquier proyecto de compra o venta por Internet que debe proteger de actividades
fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.

Seguridad en el correo electrónico

El correo es personalizado, es decir no es aceptable la utilización del correo de otra

persona, por tanto, se asume responsable del envío al remitente (DE) y no quien lo
firma.

La Seguridad Física

Los usuarios de la informática deben integrar seguridad lógica, seguridad física y

seguridad de las comunicaciones. La seguridad física garantiza la integridad de los
activos humanos, lógicos y materiales de un CPD.

Antes: El nivel adecuado de Seguridad Física, o grado de seguridad, es un conjunto

de acciones utilizadas para evitar el Fallo o, en su caso, aminorar las consecuencias
que de él se puedan derivar. Este concepto general aplicable a cualquier actividad, no
sólo informática, en la que las personas hagan uso particular o profesional de
entornos físicos.

● Ubicación del edificio.

● Compartimentación.
● Elementos de construcción.
● Potencia eléctrica.
5
 ● Sistemas contra incendios.
● Control de accesos.
● Selección de personal.

Durante: Ejecutar un Plan de Contingencia adecuada, la probabilidad de que ocurra

un desastre es muy baja, pero el impacto podría ser tan grande que resultara fatal
para la organización, por lo que se debe estar atentos a responder a un percance,
estos medios quedan definidos en el Plan de Recuperación de Desastres que, junto
con el Centro Alternativo de Proceso de Datos, constituye el Plan de Contingencia que
coordina las necesidades del negocio y las operaciones de recuperación de este.
Estos medios quedan definidos en el Plan de Recuperación de Desastres que, junto
con el Centro Alternativo de Proceso de Datos, constituye el Plan de Contingencia que
coordina las necesidades del negocio y las operaciones de recuperación de este.

Plan de Contingencia

Realizar un Análisis de Riesgos de Sistemas Críticos que determine la Tolerancia de

los Sistemas.

● Establecer un Período Crítico de Recuperación en el cual los procesos deben

ser reanudados antes de sufrir pérdidas significativas o irrecuperables.
● Realizar un Análisis de Riesgos de Sistemas Críticos que determine la
Tolerancia de los Sistemas. Establecer un Período Crítico de Recuperación en
el cual los procesos deben ser reanudados antes de sufrir pérdidas
significativas o irrecuperables.
● Realizar un Análisis de Aplicaciones Críticas por el que se establecerían las
Prioridades de Proceso.
● Determinar las Prioridades de Proceso, por días del año, que indiquen cuáles
son las Aplicaciones y Sistemas Críticos en el momento de ocurrir el desastre y
el orden de proceso correcto.
● Establecer Objetivos de Recuperación que determinen el período de tiempo
(horas, días, semanas)

Después: Los Contratos de Seguro vienen a compensar en mayor o menor medida

las pérdidas, gastos o responsabilidades que se pueden derivar

Centros de procesos y equipamiento: Se contrata cobertura sobre daño físico en el

CPD y el equipo contenido en él.

● Reconstrucción de medios software: Cubre el daño producido sobre medios

software tanto los que son propiedad del tomador del seguro como aquellos
que constituyen su responsabilidad
● Interrupción del negocio: Cubre las pérdidas de beneficios netos causadas por
las caídas de los medios informáticos o por la suspensión de las operaciones.

AUDITORÍA DE SISTEMAS

6
La auditoría de sistemas se refiere a la revisión y evaluación de los controles y
sistemas de informática, así como su utilización, eficiencia y seguridad en la empresa,
la cual procesa la información. La auditoría de sistemas como alternativa de control,
seguimiento y revisión, el proceso informático y las tecnologías se emplean de manera
más eficiente y segura, garantizando una adecuada toma de decisiones.

La auditoría de sistemas consiste en:

● La verificación de controles en el procesamiento de la información e instalación

de sistemas, con el objetivo de evaluar su efectividad y presentar también
alguna recomendación y consejo.

● Verificar de manera objetiva la información.

● Examen y evaluación de los procesos en cuanto a informatización y trato de

datos se refiere. Además, se evalúa la cantidad de recursos invertidos, la
rentabilidad de cada proceso y su eficacia y eficiencia.

Objetivos de la auditoría de sistemas

● Mejorar la relación coste-beneficio de los sistemas de información.

● Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas
informatizados.
● Garantizar la confidencialidad e integridad a través de sistemas de seguridad y
control profesionales.
● Minimizar la existencia de riesgos, tales como virus o hackers, por ejemplo.
● Optimizar y agilizar la toma de decisiones.
● Educar sobre el control de los sistemas de información, puesto que se trata de
un sector muy cambiante y relativamente nuevo, por lo que es preciso educar a
los usuarios de estos procesos informatizados.

La necesidad de una auditoría de sistemas

La necesidad de realizar una auditoría de sistemas o auditoría informática está

directamente relacionada con la magnitud de la organización, la cual se puede medir
principalmente en base a su tamaño y a la cantidad de información que maneja.

Situaciones que justifican la realización de una auditoría de sistemas:

1. Crecimiento de la organización
La empresa evoluciona en el tiempo y se encuentra en constante crecimiento con
respecto a: volumen de facturación, cantidad de empleados, procesos nuevos y de
mayor complejidad y nuevas áreas de negocio

2. Sistemas obsoletos
La empresa requiere actualizar parte de sus sistemas o aplicaciones de gestión.
Cuenta con sistemas obsoletos e ineficientes que generan retraso y retrabajo.

3. Falta de controles
La empresa no cuenta con los controles ni con la visibilidad adecuada que le permita
proteger su información clave y valiosa. Asimismo, tiene problemas con la
7
disponibilidad oportuna de dicha información.

AUDITORÍA FÍSICA

La auditoría física, interna o externa, no es sino una auditoria parcial, por lo que no
difiere de la auditoría general más que en el alcance de la misma.

Objetivos de la auditoría física

En el área de la seguridad física, los datos son el primer objetivo de toda seguridad.
La seguridad física es más amplia y alcanza otros conceptos entre los que puede
haber alguno que supere en importancia a los propios datos. Los objetivos de la
auditoría física son los siguientes:

• Edificio.
• Instalaciones.
• Equipamiento y telecomunicaciones.
• Datos.
• Personas

Técnicas y herramientas del auditor

Las técnicas y herramientas básicas de toda auditoría tienen la finalidad de obtener

evidencia física.

Técnicas:

● Observación de las instalaciones, sistemas, cumplimiento de Normas y

Procedimientos, etc. No sólo como espectador sino también como actor,
comprobando por sí mismo el perfecto funcionamiento y utilización de los
conceptos anteriores.

● Revisión analítica de:

- Documentación sobre construcción y preinstalaciones.

- Documentación sobre seguridad física.
- Políticas y Normas de Actividad de Sala.
- Normas y Procedimientos sobre seguridad física de los datos.
- Contratos de Seguros y de Mantenimiento.
- Entrevistas con directivos y personal, fijo o temporal, que no de la sensación de
interrogatorio para vencer el natural recelo que el auditor suele despertar en los
empleados.
● Consultas a técnicos y peritos que forme parte de la plantilla o independientes
contratados.
Herramientas:

● Cuaderno de campo / grabadora de audio.

8
 ● Máquina fotográfica / cámara de video.

Su uso debe ser discreto y siempre con el consentimiento del personal si ésta va a
quedar identificado en cualquiera de las máquinas.

Responsabilidades de los auditores

El Auditor Informático no debe desarrollar su actividad como una función policial

dando la impresión a los usuarios informáticos y al resto de empleados de que se
encuentran permanentemente vigilados. Esto crea un ambiente tenso y desagradable
que no favorece las relaciones personales ni al buen desarrollo del trabajo.

El auditor debe esforzarse en brindar una imagen de colaborador que intenta. Para
ello es necesario que en las Normas y Procedimientos emitidos por la Dirección
figuren las funciones y responsabilidades de los auditores y que ambas sean
distribuidas y conocidas por toda la plantilla de la empresa.

Dentro del campo de responsabilidades de los auditores, las referentes a Seguridad

Física, quedan establecidas para cada tipo de auditor, de la manera siguiente:

Auditor informático interno.

- Revisar los controles relativos a Seguridad Física.

- Revisar el cumplimiento de los Procedimientos.
- Evaluar Riesgos.
- Participar sin perder independencia en:
a) Selección, adquisición e implantación de equipos y materiales.
b) Planes de Seguridad y de Contingencia, seguimiento, actualización,
mantenimiento y pruebas de los mismos.
c) Revisión del cumplimiento de las Políticas y Normas sobre Seguridad Física,
así como de las funciones de los distintos Responsables y Administradores de
Seguridad.
d) Efectuar Auditorías programadas e imprevistas.
e) Emitir informes y efectuar el seguimiento de las recomendaciones.

Auditor informático externo

- Revisar las funciones de los auditores internos.

- Mismas responsabilidades que los auditores internos.
- Revisar los Planes de Seguridad y Contingencia. Efectuar Pruebas.
- Emitir informes y recomendaciones.

Fases de la auditoría física

1. Alcance de la Auditoría

9
 2. Adquisición de Información General
3. Administración y Planificación
4. Plan de Auditoría
5. Resultados de las Pruebas
6. Conclusiones y Comentarios
7. Borrador del Informe
8. Discusión con los Responsables de Área
9. Informe Final
● Informe
● Anexo al Informe
● Carpeta de Evidencias
10. Seguimiento de las modificaciones acordadas

Ventajas de realizar una auditoría informática

Los principales beneficios que se obtienen al realizar una auditoría informática son:

● Optimiza los sistemas informáticos de la empresa.

● Elimina vulnerabilidades y reduce de forma notable los riesgos a los que se
exponen los sistemas informáticos.
● Permite actuar antes de que ocurra un incidente que vulnere la seguridad.
● Marca un camino claro de actuación en caso de sufrir un incidente de seguridad
para reducir su impacto.
● Actualiza y optimiza las políticas y procedimientos de seguridad informática.
● Evita multas o sanciones por incumplimientos de las leyes y normativas de
protección de datos española y europea.
● Otras ventajas: reducción de costes (mejor uso de los recursos), mejorar el flujo
de trabajo, permitir el teletrabajo seguro, proyección de una mejor imagen
empresarial o mejorar las relaciones y seguridad interna.

Fases para realizar una auditoría informática

1. Planificación inicial

El primer paso de una auditoría de seguridad es realizar un estudio de la situación

actual del negocio en relación con sus sistemas informáticos y la seguridad. Es
necesario realizar una fotografía inicial de todos los recursos TI y de las políticas de
seguridad que se siguen en el negocio. También se debe conocer la formación de los
trabajadores en relación con la seguridad y el nivel de cumplimiento en protección de
datos.

Con esta información se pueden establecer los objetivos necesarios para planificar el
proceso de la auditoría y su tiempo de ejecución (conocer los recursos técnicos y
humanos necesarios para realizarla).

2. Análisis de riesgos y amenazas

El siguiente paso de la auditoría es el de realizar un análisis profundo y preciso de los

riesgos y amenazas a los que está expuesta la empresa. Es necesario identificar las
10
vulnerabilidades y el nivel de amenaza al que se encuentran expuestos, así como
evaluar las consecuencias de estos.

Los principales puntos que deben analizarse durante esta fase de la auditoría son.

● Análisis de seguridad de hardware, software y red.

● Cumplimiento de las políticas y procedimientos de seguridad informática.
● Cumplimiento de las normativas en ciberseguridad y protección de datos.
● Análisis de la formación del personal en seguridad informática.
● Análisis de los protocolos de actuación en ciberseguridad.

3. Definir las soluciones necesarias

Realizando una clasificación de cada uno de los riesgos identificados en la fase

anterior, y teniendo en cuenta las consecuencias de estos, se deben proponer
soluciones para eliminarlos o mitigar sus consecuencias. Además, se debe establecer
una prioridad de implementación de los cambios para proceder primero con los de
peores consecuencias para la empresa.

En esta fase se definen las distintas medidas a tomar, el tiempo necesario para
hacerlo, su coste, etc. También se deben establecer o actualizar los protocolos a
seguir frente a los riesgos detectados para poder controlarlos, eliminarlos, asumirlos, o
incluso compartirlos con expertos externos ante la imposibilidad de afrontarlos.

4. Implantar los cambios necesarios

Una vez definidas las actuaciones a realizar para optimizar los sistemas informáticos
de la empresa para incrementar su nivel de seguridad, se deben implementar según el
calendario previamente definido.

Estos cambios pueden incluir modificaciones en las políticas de seguridad, impartir

formación específica al personal, instalación de software de seguridad, actualización
de hardware obsoleto o inadecuado, implantar nuevas medidas de seguridad de red o
adoptar nuevas tecnologías, entre otras.

5. Monitorizar y evaluar los resultados

Finalmente, es necesario monitorizar todo el proceso para poder evaluar los

resultados y poder realizar modificaciones y ajustes si no se están alcanzando los
objetivos.

En esta fase también se debe establecer un sistema de control que permita detectar
fallos y garantizar que se siguen todos los protocolos y procedimientos de seguridad.

EJEMPLO DE UNA AUDITORÍA DE SISTEMAS

Alcance
11
 La auditoría se realizará sobre los sistemas informáticos en computadoras
personales que estén conectados a la red interna de la empresa.

Objetivo
Tener un panorama actualizado de los sistemas de información en cuanto a la
seguridad física, las políticas de utilización, transferencia de datos y seguridad de
los activos.

Recursos
El número de personas que integraran el equipo de auditoria será de tres, con un
tiempo máximo de ejecución de 3 a 4 semanas.

Etapas de trabajo

1. Recopilación de información básica

Una semana antes del comienzo de la auditoria se envía un cuestionario a los

gerentes o responsables de las distintas áreas de la empresa. El objetivo de este
cuestionario es saber los equipos que usan y los procesos que realizan en ellos.

Los gerentes se encargarán de distribuir este cuestionario a los distintos

empleados con acceso a los computadores, para que también lo completen. De
esta manera, se obtendrán visión más global del sistema.

Es importante también reconocer y entrevistarse con los responsables del área de

sistemas de la empresa para conocer con mayor profundidad el hardware y el
software utilizado.

En las entrevistas incluirán:

● Director / Gerente de Informática
● Subgerentes de informática
● Asistentes de informática
● Técnicos de soporte externo

2. Identificación de riesgos potenciales

Se evaluará la forma de adquisición de nuevos equipos o aplicativos de software.

Los procedimientos para adquirirlos deben estar regulados y aprobados en base a
los estándares de la empresa y los requerimientos mínimos para ejecutar los
programas base.

Dentro de los riesgos posibles, también se contemplaran huecos de seguridad del

propio software y la correcta configuración y/o actualización de los equipos críticos
como el cortafuegos.

Los riesgos potenciales se pueden presentar de la más diversa variedad de

formas.
3. Objetivos de control

Se evaluarán la existencia y la aplicación correcta de las políticas de seguridad,

emergencia y disaster recovery de la empresa.
12
Se hará una revisión de los manuales de política de la empresa, que los
procedimientos de estos se encuentren actualizados y que sean claros y que el
personal los comprenda.

Debe existir en la Empresa un programa de seguridad, para la evaluación de los

riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos,
programas y datos.

4. Determinación de los procedimientos de control

Se determinarán los procedimientos adecuados para aplicar a cada uno de los

objetivos definidos en el paso anterior.

Objetivo No. 1: Existencia de normativa de hardware.

● El hardware debe estar correctamente identificado y documentado.

● Se debe contar con todas las órdenes de compra y facturas con el finde contar
con el respaldo de las garantías ofrecidas por los fabricantes.
● El acceso a los componentes del hardware esté restringido directo a las
personas que lo utilizan.
● Se debe contar con un plan de mantenimiento y registro de fechas, problemas,
soluciones y próximo mantenimiento propuesto.

Objetivo No. 2: Política de acceso a equipos.

● Cada usuario deberá contar con su nombre de usuario y contraseña para

acceder a los equipos.
● Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y
alternando mayúsculas y minúsculas).
● Los usuarios se desbloquearán después de 5 minutos sin actividad.
● Los nuevos usuarios deberán ser autorizados mediante contratos de
confidencialidad y deben mantenerse luego de finalizada la relación laboral.
● Uso restringido de medios removibles (USB, CD-ROM, discos externos etc.).

5. Pruebas que realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los
objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:

● Tomar 10 máquinas al azar y evaluar la dificultad de acceso a las mismas.

● Intentar sacar datos con un dispositivo externo.
● Facilidad para desarmar un pc.
● Facilidad de accesos a información de confidencialidad (usuarios y claves).
● Verificación de contratos.
● Comprobar que luego de 5 minutos de inactividad los usuarios se desbloqueen.

6. Obtención de los resultados.

En esta etapa se obtendrán los resultados que surjan de la aplicación de los

procedimientos de control y las pruebas realizadas a fin de poder determinar si se
13
 cumple o no con los objetivos de control antes definidos. Los datos obtenidos se
registrarán en planillas realizadas a medida para cada procedimiento a fin de tener
catalogado perfectamente los resultados con el objetivo de facilitar la interpretación
de estos y evitar interpretaciones erróneas.

7. Conclusiones y Comentarios

En este paso se detallará el resumen de toda la información obtenida, así como lo

que se deriva de esa información, sean fallas de seguridad, organización o
estructura empresarial. Se expondrán las fallas encontradas, en la seguridad física
sean en temas de resguardo de información (Casos de incendio, robo), manejo y
obtención de copias de seguridad, en las normativas de seguridad como por
ejemplo normativas de uso de passwords, formularios de adquisición de equipos, y
estudios previos a las adquisiciones para comprobar el beneficio que los mismos
aportarían. Finalmente se verán los temas de organización empresarial, como son
partes responsables de seguridad, mantenimiento y supervisión de las otras áreas.

8. Redacción del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas

encontrados, anotando los datos técnicos de cada una de las maquinas auditadas:

● Marca
● Modelo
● Número de Serie
● Problema encontrado
● Solución recomendada

9. Presentación del borrador del informe, al responsable de microinformática

Se le presentara el informe borrador a un responsable del área informática, como

se aclaró en el punto anterior, con el máximo de detalle posible de todos los
problemas y soluciones posibles recomendadas, este informe se pasara por escrito
en original y copia firmando un documento de conformidad del mismo para adquirir
un compromiso fuerte en la solución de los mismos, de esta forma evitaremos
posibles confusiones futuras

10. Redacción del Informe Resumen y Conclusiones.

Es en este paso es donde se muestran los verdaderos resultados a los responsables

de la empresa, el informe presentado dará a conocer todos los puntos evaluados
durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusión tendrá como temas los resultados, errores, puntos críticos y

observaciones de los auditores. Mientras que en el resumen se verán las posibles
soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen
uso y también recomendaciones sobre la forma incorrecta de realizar algunos
procedimientos.
14
 11. Entrega del informe a los directivos de la empresa.

Esta es la última parte de la auditoria y en una reunión se formaliza la entrega del

informe final con los resultados obtenidos en la auditoria. También se fijan los
parámetros si así se requieren para realizar el seguimiento de los puntos en los que el
resultado no haya sido satisfactorio o simplemente se quiera verificar que los que los
objetivos de control se sigan cumpliendo a lo largo del tiempo

15
 CONCLUSIONES

La finalidad de un proceso de auditoría de sistemas dentro de una organización es

para mejorar la relación de costos y beneficios de los sistemas que utilizan, así mismo
para incrementar la seguridad de los usuarios, así como también garantizar la
confidencialidad e integridad a través de sistemas de seguridad y control profesional.

También se puede concluir en que sí una empresa tiene información muy valiosa, es
necesario protegerla adecuadamente para así minimizar los riesgos tecnológicos
asociados a dicha información.

Por último podemos deducir que dentro de una auditoría de sistemas está relacionada
no solamente a la interna (Hardware) sino también a la parte física o lógica de cada
equipo o bien en el lugar donde se encuentran almacenados dichos equipos de
trabajo.

16
 BIBLIOGRAFÍA

https://www.audiconsulti.com/importancia-de-la-auditoria-de-sistemas/

https://www.ilimit.com/blog/hacer-auditoria-informatica/

https://www.studocu.com/es-mx/document/universidad-tecnologica-americana/
informatica/ejemplo-auditoria-sistemas/32335046

17