Universidad Tecnológica del Mar de Tamaulipas

Bicentenario

Materia: Auditoría de Sistemas de T.I.

Profesor: Ing. Jesús Fidel Blanco Acosta

Alumnos: Juan Daniel Hernández Avalos

Trabajo: Fases, elementos, alcances y seguridad de la

auditoria informática

Carrera: Ingeniería en Tecnologías de la Información y

Comunicación
 Fases de la auditoria informática
Fase I: Conocimientos del Sistema
Aspectos Legales y Políticas Internas: Sobre estos elementos está constituido el sistema de
control y por lo tanto constituyen el marco de referencia para su evaluación.

Características del Sistema Operativo:

 Organigrama del área que participa en el sistema.
 Manual de funciones de las personas que participan en los procesos del sistema.
 Informes de auditoría realizadas anteriormente.

Características de la aplicación de computadora:

 Manual técnico de la aplicación del sistema.
 Funcionarios (usuarios) autorizados para administrar la aplicación.
 Equipos utilizados en la aplicación de computadora.
 Seguridad de la aplicación (claves de acceso).
 Procedimientos para generación y almacenamiento de los archivos de la
aplicación.

Fase II: Análisis de transacciones y recursos

Definición de las transacciones: Dependiendo del tamaño del sistema, las transacciones se
dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá
ser asignada con los administradores.

Análisis de las transacciones: En esta etapa se hace uso de los flujogramas ya que facilita la
visualización del funcionamiento y recorrido de los procesos.

Análisis de los recursos: Identificar y codificar los recursos que participan en el sistema
Relación entre transacciones y recursos.

Fase III: Análisis de riesgos y amenazas

Identificación de riesgos:
 Daños físicos o destrucción de los recursos.
 Pérdidas por fraude o desfalco.
 Extravío de documentos fuente, archivos o informes.
 Robo de dispositivo o medios de almacenamiento.
 Interrupción de las operaciones del negocio.
 Pérdida de integridad de los datos.
 Ineficiencia de operaciones.
 Errores.

Identificación de las amenazas

 Amenazas sobre los equipos.
 Amenazas sobre documentos fuente.
 Amenazas sobre programas de aplicaciones.
Relación entre recursos/amenazas/riesgos: La relación entre estos elementos deberá
establecerse a partir de la observación de los recursos en su ambiente real de
funcionamiento.

Fase IV: Análisis de controles

Codificación de controles: Los controles se aplican a los diferentes grupos utilizados de
recursos, luego la identificación de los controles deben contener una codificación la cual
identifiquen el grupo al cual pertenece el recurso protegido.

Relación entre recursos/amenazas/riesgos: La relación con los controles debe

establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe
establecerse uno o más controles.

Análisis de cobertura de los controles requeridos: Este análisis tiene como propósito
determinar si lo controles que el auditor identifico como necesarios proveen una
protección adecuada de los recursos.

Fase V: Evaluación de Controles

Objetivos de la evaluación:
 Verificar la existencia de los controles requeridos.
 Determinar la operatividad y suficiencia de los controles existentes.

Plan de pruebas de los controles:

 Incluye la selección del tipo de prueba a realizar.
 Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

Fase VI: Informe de Auditoría

1. Informe detallado de recomendaciones.
2. Evaluación de las respuestas.
3. Informe resumen para la alta gerencia.

Este informe debe prepararse una vez obtenidas y analizadas las respuestas de
compromiso de las áreas.

 Introducción: objetivo y contenido del informe de auditoría.

 Objetivos de la auditoría.
 Alcance: cobertura de la evaluación realizada.
 Opinión: con relación a la suficiencia del control interno del sistema evaluado.
 Hallazgos.
 Recomendaciones.

Fase VII: Seguimiento de Recomendaciones

1. Informe del seguimiento.
2. Evaluación de los controles implantados.
 Elementos de la auditoria informática
Cada proyecto de auditoría informática respalda los objetivos y requerimientos de tres
entidades del negocio.
 Alta dirección: Seguimiento a proyectos informáticos. Verificación y aseguramiento
del cumplimiento de políticas.
 Auditoría: Apoyo a la auditoría financiera (políticas, controles y procedimientos).
Capacitación para auditores (en software y hardware).
 Informática: Políticas, controles, procedimientos y estándares (referentes a
informática), nueva tecnología, desarrollo e implantación de soluciones.

Proceso de planeación del negocio

 Consiste en determinar las estrategias y cursos de acción del negocio.
 Se establece mediante entrevistas y análisis detallado de cada proceso básico de la
organización.

Proceso de planeación en informática

 Consiste en definir el conjunto de proyectos relacionados con la función de
informática en tiempos cortos, mediano y largo plazo.
 Cada proyecto debe estar orientado a objetivos y estrategias específicos del
negocio (los cuales fueron definidos en el plan de negocio).

Proceso de planeación de la auditoría

 Consiste en definir un conjunto de proyectos de evaluación y verificación de
políticas, controles y procedimientos propios de las áreas administrativas,
financieras, operativas, etc., del negocio.
 Con objeto de asegurar el buen manejo y administración de los recursos de la
organización.

Proceso de planeación de la auditoría informática

 Consta de la definición y formalización de proyectos.
 Orientados primordialmente al aseguramiento de la calidad y control de los
diferentes elementos que se encuentran relacionados con los recursos de
informática.

Alcances de la auditoria informática

El alcance ha de definir con precisión el entorno y los limites en que va a desarrollarse la
auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar
expresamente en el informe Final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido
omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad
exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y
suficientes*? La identificación de los alcances de la auditoría compromete el éxito de la
misma.

*Control de integridad de registros:

Hay aplicaciones que comparten registros, son registros comunes. Si una Aplicación no
tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo
tanto, la aplicación no funcionaría como debería.

*Control de validación de errores:

Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

Evaluación de la auditoria informática

Uno de los rubros que están incrementando su popularidad dentro del ambiente
informático, es el relacionado con la seguridad del área de sistemas; con ello se
incrementa cada día más la necesidad de evaluar la seguridad y protección de los
sistemas, ya sea en los accesos a los centros de cómputo, en el ingreso y utilización de los
propios sistemas y en la consulta y manipulación de la información en sus archivos, la
seguridad de las instalaciones, del personal y los usuarios de sistemas, así como de todo lo
relacionado con el resguardo de los sistemas computacionales.

Es evidente que uno de los aspectos básicos que se deben contemplar en la evaluación de
sistemas, es precisamente la protección y resguardo de la información de la empresa,
tanto en el hardware como en el software, así como de los equipos adicionales que
ayudan al adecuado funcionamiento de los sistemas.

En esta evaluación también se incluyen el acceso al área de sistemas, el acceso al sistema,

la protección y salvaguarda de los activos de esta área, las medidas de prevención y
combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una
auditoría de sistemas.

Estas son las principales áreas de seguridad que se pueden evaluar en una auditoria de
sistemas:
1. Evaluación de la seguridad física de los sistemas.
2. Evaluación de la seguridad lógica del sistema.
3. Evaluación de la seguridad del personal del área de sistemas.
4. Evaluación de la seguridad de la información y las bases de datos.
5. Evaluación de la seguridad en el acceso y uso del software.
6. Evaluación de la seguridad en la operación del hardware.
7. Evaluación de la seguridad en las telecomunicaciones.
Como se debe evaluar en la auditoria en los modelos de seguridad
 Objetivos
 Recursos Ambiente informático
 Procesos
 Objetivos de Control

Objetivos
Efectividad:
Se refiere a la información que es relevante para el negocio y que debe ser entregada de
manera correcta, oportuna, consistente y usable.

Eficiencia:
Se refiere a la provisión de información a través del óptimo (más productivo y económico)
uso de los recursos.

Confidencialidad:
Relativa a la protección de la información sensitiva de su revelación no autorizada.

Integridad:
Se refiere a la exactitud y completitud de la información, así como su validez, en
concordancia con los valores y expectativas del negocio.

Disponibilidad:
Se refiere a que la información debe estar disponible cuando es requerida por los
procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus
capacidades asociadas.

Cumplimiento:
Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que
están sujetos los procesos del negocio.

Confiabilidad:
Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la
entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de
su gestión.
Recursos

Procesos
Planeación y Organización
 Definir un plan estratégico de TI.
 Definir la arquitectura de información.
 Determinar la dirección tecnológica.
 Definir la organización y relaciones de TI.
 Manejo de la inversión en TI.
 Comunicación de directrices Gerenciales.
 Administración del Recurso Humano.
 Asegurar el cumplir requerimientos externos.
 Evaluación de Riesgos.
 Administración de Proyectos.
 Administración de Calidad.

Adquisición de Implementación
  Identificación de soluciones.
 Adquisición y mantenimiento de SW aplicativo.
 Adquisición y mantenimiento de arquitectura TI.
 Desarrollo y mantenimiento de Procedimientos de TI.
 Instalación y Acreditación de sistemas.
 Administración de Cambios.

Servicios y Soporte
 Definición del nivel de servicio.
 Administración del servicio de terceros.
 Administración de la capacidad y el desempeño.
 Asegurar el servicio continuo.
 Garantizar la seguridad del sistema.
 Identificación y asignación de costos.
 Capacitación de usuarios.
 Soporte a los clientes de TI.
 Administración de la configuración.
 Administración de problemas e incidentes.
 Administración de datos.
 Administración de Instalaciones.
 Administración de Operaciones.

Seguimiento
 Seguimiento de los procesos.
 Evaluar lo adecuado del control Interno.
 Obtener aseguramiento independiente.
 Proveer una auditoría independiente.

Fundamentos de Seguridad Informática NIST – Common Criteria

Elementos de un Framework de Seguridad ISO 17799 – Áreas principales