Tipo de Auditoria Informática

AUDITORIA LÓGICA.

La seguridad lógica puede pasar desapercibida para la Alta Dirección, dado que representa la
confianza que se tiene en que la Gestión de TI ha tomado las precauciones necesarias para
salvaguardar los datos y garantizar que nadie sin acceso autorizado podrá ver, manipular o extraer
nuestros datos. Debido a que la seguridad lógica es la principal frontera que se establece entre
nuestros datos y el personal autorizado, la conveniencia de tener un aseguramiento de su correcta
administración resulta más que evidente. Esto es especialmente importante, si tomamos en cuenta
que los estudios sobre seguridad de la información nos dicen que las mayores fuentes de amenazas a
la seguridad de la información son internas.
La revisión de la seguridad lógica permitirá emitir una conclusión sobre:
La administración de perfiles de usuario.
La administración de passwords.
Control de privilegios especiales
La generación de BackUps (Respaldos de datos).
La generación de Logs. (registro de actividades en el sistema)
Los virus y otros malwares.
La existencia y características de un plan de contingencia de la organización.

AUDITORIA FÍSICA

Activos informáticos, observaciones donde están y que existan en el inventario, prevención y

seguridad. Todos estos activos están físicamente seguros y adecuados, posibles fallas físicas, saber
si se tiene un plan específico después de un desastre, identificar cuáles son sus planes de acción para
la seguridad en cuanto a un desastre. comprobar la existencia de los medios físicos y también su
funcionalidad, racionalidad y seguridad.
Ésta garantiza la integridad de los activos humanos, lógicos y materiales de centro de cómputo.
Áreas de conocimiento de la auditoria física. Organigrama respectivo de la empresa, auditorías
internas pasadas, administración de la seguridad (asignar responsabilidades a cada una de las
personas), centro de procesos de datos (identificar cada una de las salas que se debe asegurar),
equipos y comunicaciones (de manera específica), seguridad física del personal (información que se
debe tener).
Lista donde está la información. Manual de procedimientos, jefes de departamento, recursos
humanos, altos directivos reglamentos y cursos de capacitación. Herramientas: Entrevistas,
cuestionarios, encuestas y gráficas.

AUDITORIA OFIMÁTICA

Estudio de una aplicación a la cual debemos evaluar, saber si realmente sirve para su requerimiento,
previo a compra de software se haya hecho un estudio para saber si realmente lo está utilizando de
la manera más adecuada.
La Ofimática. Sistema automatizado que genera, procesa, almacena, recupera, comunica y presenta
datos relacionados con el funcionamiento de la oficina.
Escritorio virtual, trabajo en equipo (Lotus, Notes, Grp, etc.), estaciones de trabajo, aplicaciones,
medidas de seguridad que tienen los usuarios, controles de la ofimática que se deben ocupar
(economía, eficacia y eficiencia).
Determinar si el inventario ofimático de los equipos refleja con exactitud el número de
equipos y aplicaciones reales.
Determinar y evaluar el procedimiento de adquisición de equipos y aplicaciones.
Determinar y evaluar la política de mantenimiento definida en la organización.
Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio
personal de la organización.
Evaluar la corrección del procedimiento existente para la realización de cambios de
versiones y aplicaciones.
Determinar si los usuarios cuentan con suficiente información y la documentación de apoyo
para la realización de sus actividades de un modelo eficaz y eficiente.

AUDITORIA DE DIRECCIÓN

Siempre en una organización se dice que esta es un reflejo de las características de su dirección, los
modos y maneras de actuar de aquella están influenciadas por la filosofía y personalidad del
director.
Acciones de un director:
Planificar. Debe estar acorde al plan estratégico, (conocimiento a evaluar acciones a
realizar).
- Lectura y análisis de actas, acuerdos, etc.
- Lectura y análisis de informes gerenciales.
- Entrevistas con el mismo director del departamento y con los directores de otras áreas.
Organizar.
Coordinar.
Controlar.
Evaluar.
Las enormes sumas que las empresas dedican a la tecnología de la información y de la dependencia
de estás con los procesos de la organización hacen necesaria una evaluación independiente de la
función que la gestiona (dirige).
Para poder evaluar y dar seguimiento a estas funciones se establece un comité de informática que
afectan a toda la empresa y permite a los usuarios como las actividades de la organización no solo
de su área, se pueden fijar las prioridades.
El auditor debe asegurarse que exista esté comité y que cumpla su papel adecuadamente.
Las acciones a realizar por el auditor son:
Verificar que exista una normativa interna donde se especifique las funciones del comité.
Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente
realizan.
Si existe comité de informática:
Verificar que exista la normativa interna.
Entrevistar a los representantes de los usuarios para conocer si entienden y si están de
acuerdo con el comité.
Entrevistarse con los miembros del comité.
Criterio para asignar a los miembros del comité.
Verificar el trabajo del comité
Lectura de actas de comité para comprobar que el comité cumple efectivamente las
funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinión de
los miembros del comité.

AUDITORIA DE MANTENIMIENTO

Evalúa la etapa del mantenimiento (4 a 6 meses la duración Del mantenimiento)

Importancia (etapa del mantenimiento (15 días a 1 mes (mantenimiento con cambios))
"mayor costo".
Evaluar trabajo.
Lista de revisiones.
Existe documentación para el requerimiento de cambios.
Documentación de los cambios.
Pruebas de las modificaciones (lista de prueba y su observación).
La aceptación de pruebas, con la cual se liberan los cambios.
Logística (por procedimientos) para realizar el cambio de modificaciones (versiones) del
servidor de producción.

AUDITORIA DE BASE DE DATOS

Puntos a los que se enfoca el auditor:

a. Confidencialidad.
- Identificar el archivo documento que listen los perfiles de usuarios.
- Verificar que el documento tenga el tipo de acceso "ad hoc" al grupo de usuarios.
- Realizar encuestas y aplicar cuestionarios para verificar que los perfiles realmente hayan sido
aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el
documento arriba mencionado.
b. Disponibilidad.
Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios así como también
diferentes perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados, buscar e
identificar que cada uno esté en su puesto, que administradores tienen acceso, los programadores no
deben tener acceso a la base realismo que debe tener acceso a usuarios en la misma, que usuarios
tienen acceso a toda la base de datos en caso de que no tenga los perfiles el auditor debe de
identificarlos e identificar que cada persona esté en su puesto), diseño (identificar que realmente se
deje una trayectoria o documentación sobre la base de datos), que tenga diccionario de base de
datos y cada uno tenga los datos adecuados, lista de los objetos.
c. Integridad.
La investigación de la arquitectura (se refiere al sistema operativo y el software para crear una base
de datos además de que deban ser compatible, checar estudio previo para escoger el software
adecuado, verificar que los componentes que se compren sean los adecuados para la
compatibilidad) el ciclo de vida de una base de datos (cuánto tiempo durará el sistema o base de
datos que se diseñó), estudio de la información este realmente de acuerdo con la empresa que está
utilizando en este momento, si se cuenta con la documentación de la reingeniería aplicada, tener
almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la
modificación con las autorizaciones necesarias, verificar que exista registro de todo.

AUDITORÍA DE SEGURIDAD INTERNA.

En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y
corporativas de carácter interno

AUDITORÍA DE SEGURIDAD PERIMETRAL.

En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado
de seguridad que ofrece en las entradas exteriores
TEST DE INTRUSIÓN.
El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas,
para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental
para la auditoría perimetral.
ANÁLISIS FORENSE.
El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes,
mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran
los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se
denomina análisis postmortem.

AUDITORÍA DE PÁGINAS WEB.

Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de

código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS),
etc.

AUDITORÍA DE CÓDIGO DE APLICACIONES.

Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación,
independientemente del lenguaje empleado
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad
aplicados a los sistemas de información. Acciones como el constante cambio en las
configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo
hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.
Dentro de las áreas generales, es posible establecer las siguientes divisiones:
a. Auditoria Informática de Explotación
b. Auditoria Informática de Sistemas
c. Auditoria Informática de Comunicaciones
d. Auditoria Informática de Desarrollo de Proyectos
e. Auditoria Informática de Seguridad
Debe evaluarse la diferencia entre la generalidad y la especificación que poséela Seguridad. Según
ella, realizarse una Auditoria Informática de la Seguridad del entorno global de la informática,
mientras en otros casos puede auditarse una aplicación concreta, en donde será necesario analizar la
seguridad de la misma cada Área específica puede ser auditada con los criterios que detallamos:
Desde su propia funcionalidad interna.
Con el apoyo que recibe de la Dirección, y en forma ascendente, del grado de cumplimiento de las
directrices de que ésta imparte.
Desde la visión de los usuarios, destinatarios verdaderos del informático.
Desde el punto de vista de la seguridad, que ofrece la Informática en general o la rama auditada. La
s combinaciones descritas pueden ser ampliadas o reducidas, según las características de la empresa
auditada. Las Auditorias más usuales son las referidas a las actividades específicas.

Auditoría Informática de Explotación:

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados

impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para
lanzar o modificar procesos industriales, etc. La explotación informática se puede considerar como
una fábrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotación
Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se
someten previamente a controles de integridad y calidad. La transformación se realiza por medio
del Proceso informático, el cual está gobernado por programas.
Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. La
Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte
Técnico, en la que cada cual tiene varios grupos.

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y

Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizarles tiene la
empresa. Muy escuetamente, una Aplicación recorre las siguientes fases:
Prerequisitos del Usuario (único o plural) y del entorno
Análisis funcional
Diseño
Análisis orgánico (Preprogramacion y Programación)
Pruebas
Entrega a Explotación y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo
de los costes, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría deberá
comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la
maquina sean exactamente los previstos y no otros.

Auditoría Informática de Sistemas:

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas.
Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones,
Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del
entorno general de Sistemas.
Sistemas Operativos
Software Básico
Software de Teleproceso (Tiempo Real)
Tunning
Optimización de los Sistemas y Subsistemas

Auditoría Informática de Comunicaciones y Redes:

Para el informático y para el auditor informático, el entramado conceptual que constituyen las
Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte
físico-lógico del Tiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues ha de
analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio
telefónico que presta el soporte. Como en otros casos, la auditoría de este sector requiere un equipo
de especialis-tas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que
olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de
Redes Locales, diseñadas y cableadas con recursos propios).

Auditoría de la Seguridad informática:

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser
confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a
personas que hagan mal uso de esta. También puede ocurrir robos, fraudes o sabotajes que
provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser
de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente
costosos.
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La
seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de
los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes,
robos, catástrofes naturales, etc.

Diferencia entre Auditoria Contable e Informática

Auditoría Contable
Consiste en una revisión explorativa y crítica de los controles subyacentes y los registros de
contabilidad de una empresa, realizada por un contador público, cuya conclusión es un dictamen
acerca de la veracidad, precisión y de correcta elaboración de los estados Financieros de la empresa.
La auditoría contable es el análisis crítico y sistemático que practica una persona o grupo de
personas neutrales del sistema auditado.

Auditoria Informática

Los principales objetivos que constituyen a la auditoría Informática son el control de la función
informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación
del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz
gestión de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz Sistema de Información.

Bibliografía:
https://es.scribd.com/doc/18646089/TIPOS-Y-CLASES-DE-AUDITORIAS-INFORMATICAS
https://www.mindmeister.com/902168145/tipos-de-auditorias-inform-ticas
AUDITORIA DE SISTEMAS INFORMATICOS MARGARITA BERNARDA LOPEZ
MARIACA
https://www.oocities.org/diana_m_alvarez/tipos.htm
http://himaryauditoriadesistemas.blogspot.com/2015/08/diferencias-entre-la-auditoria.html