Universidad Nacional de Ingeniería - Instituto de Estudios Superiores.

Informe sobre exposición de auditoria informática.

Autor:
Br. Katherine Sofía Delgado López. 2019-0616I.
Br. Jonathan de Jesús Guadamuz Mejía. 2019-0658I.
Br. Salvador Antonio Pérez Montiel. 2017-0129I.

Docente:
Nombre del docente.

Asignatura:
Ingeniería de Software III.

Fecha:
17/08/2023.
Contenido

Cómo hacer una auditoría informática de seguridad...................................................3

Qué es una auditoría informática.................................................................................3

5 objetivos clave de la auditoría informática................................................................3

¿Cuál es la importancia de la auditoría informática?...................................................4

Ventajas de realizar una auditoría informática.............................................................4

Cómo realizar una auditoría informática......................................................................5

Planificación inicial....................................................................................................5

Análisis de riesgos y amenazas................................................................................5

Implantar los cambios necesarios.............................................................................6

Monitorizar y evaluar los resultados..........................................................................6

Cómo hacer una auditoría informática de
seguridad
Uno de los asuntos que más preocupa a las empresas hoy son las vulnerabilidades
de sus sistemas y los riesgos a los que se exponen por las mismas. Realizando una
auditoría de seguridad informática, se identifican los principales puntos débiles en
la seguridad de los sistemas informáticos de la empresa, permitiendo tomar medidas
para eliminarlos, o al menos, minimizar las posibles consecuencias.

La auditoría informática es un concepto muy extendido entre todas las empresas de

hoy en día, da igual cuál sea su tamaño o sector. La gran dependencia de cualquier
negocio de sus sistemas informáticos y del acceso a internet para realizar sus
procesos, hacen necesaria la realización de auditorías informáticas periódicas para
poder garantizar la protección y seguridad de su información y sistemas.

Qué es una auditoría informática

Una auditoría informática es un proceso de análisis sobre los recursos TI de una
empresa con el objetivo de evaluar su estado y el nivel de seguridad existente. En
una auditoría informática se identifican las vulnerabilidades que tiene una empresa y
los incumplimientos de las políticas de seguridad, con el objetivo de corregirlos e
incrementar el nivel de protección y seguridad de toda la organización.

El carácter preventivo de una auditoría informática permite evitar riesgos y

amortiguar las graves consecuencias de los mismos (incluso la interrupción de la
actividad de la empresa). Se trata de un proceso proactivo donde se analiza y actúa
con el objetivo de implementar cambios que incrementen la seguridad de los
sistemas informáticos de la empresa.

Una auditoría informática de seguridad puede realizarse de forma interna si la

empresa cuenta con el personal cualificado. Lo habitual, es contratar una empresa
externa especializada que pueda realizar este control y mejora, garantizando los
mejores resultados.

5 objetivos clave de la auditoría informática

La auditoría informática aparte de evaluar los equipos computacionales y la
infraestructura de la red, también debe considerar los sistemas de información,
procedimientos de trabajo, medidas de control, métodos de archivo y la seguridad
en general.
La auditoría informática reviste vital importancia en el correcto desempeño de los
sistemas de información, así como de los niveles de seguridad. Estos últimos
disponen deben alinearse con las siguientes líneas estratégicas:

● Seguridad operativa de los programas, seguridad física de las instalaciones,

posibles agresiones, sabotajes, seguridad de las redes, entre otras.
● Confidencialidad y seguridad informática en el control de acceso a la
información.
● Estabilidad y protección de los datos.
● Aspectos jurídicos y económicos relacionados con la solidez de la
información y el derecho universal a la información.
● Mecanismos de control contra los delitos informáticos dentro la empresa.

¿Cuál es la importancia de la auditoría

informática?
Los avances tecnológicos en informática y computación están en continua mejora.
Condición que genera limitaciones para desarrollar nuevas oportunidades
comerciales y conlleva a cometer posibles errores. Razón por la cual, es necesario
realizar auditorías para conocer los procesos internos en el procesamiento de datos,
determinar obsolescencias y mejorar la productividad y rendimiento de la empresa.

Aspectos muy importantes a considerar una auditoría informática:

● Disponibilidad de nuevas tecnologías.

● Altos niveles de sistematización.
● Automatización de los medios de control.
● Integración de la información.

Ventajas de realizar una auditoría informática

Los principales beneficios que se obtienen al realizar una auditoría informática son:

● Optimiza los sistemas informáticos de la empresa.

● Elimina vulnerabilidades y reduce de forma notable los riesgos a los que se
exponen los sistemas informáticos.
● Permite actuar antes de que ocurra un incidente que vulnere la seguridad.
● Marca un camino claro de actuación en caso de sufrir un incidente de
seguridad para reducir su impacto.
● Actualiza y optimiza las políticas y procedimientos de seguridad informática.
 ● Evita multas o sanciones por incumplimientos de las leyes y normativas de
protección de datos española y europea.
Otras ventajas: reducción de costes (mejor uso de los recursos), mejorar el flujo de
trabajo, permitir el teletrabajo seguro, proyección de una mejor imagen empresarial
o mejorar las relaciones y seguridad interna.

Cómo realizar una auditoría informática

A continuación, veremos las distintas fases que son necesarias para poder realizar
una auditoría informática de seguridad en una empresa.

Planificación inicial
El primer paso de una auditoría de seguridad es realizar un estudio de la situación
actual del negocio en relación con sus sistemas informáticos y la seguridad. Es
necesario realizar una fotografía inicial de todos los recursos TI y de las políticas de
seguridad que se siguen en el negocio. También se debe conocer la formación de
los trabajadores en relación con la seguridad y el nivel de cumplimiento en
protección de datos.

Con esta información se pueden establecer los objetivos necesarios para planificar
el proceso de la auditoría y su tiempo de ejecución (conocer los recursos técnicos y
humanos necesarios para realizarla).

Análisis de riesgos y amenazas

El siguiente paso de la auditoría es el de realizar un análisis profundo y preciso de
los riesgos y amenazas a los que está expuesta la empresa. Es necesario identificar
las vulnerabilidades y el nivel de amenaza al que se encuentran expuestos, así
como evaluar las consecuencias de los mismos.

Los principales puntos que deben analizarse durante esta fase de la auditoría son.

● Análisis de seguridad de hardware, software y red.

● Cumplimiento de las políticas y procedimientos de seguridad informática.
● Cumplimiento de las normativas en ciberseguridad y protección de datos.
● Análisis de la formación del personal en seguridad informática.
● Análisis de los protocolos de actuación en ciberseguridad.
● Definir las soluciones necesarias.

Realizando una clasificación de cada uno de los riesgos identificados en la fase

anterior, y teniendo en cuenta las consecuencias de los mismos, se deben proponer
soluciones para eliminarlos o mitigar sus consecuencias. Además, se debe
establecer una prioridad de implementación de los cambios para proceder primero
con los de peores consecuencias para la empresa.

En esta fase se definen las distintas medidas a tomar, el tiempo necesario para
hacerlo, su coste, etc. También se deben establecer o actualizar los protocolos a
seguir frente a los riesgos detectados para poder controlarlos, eliminarlos,
asumirlos, o incluso compartirlos con expertos externos ante la imposibilidad de
afrontarlos.

Implantar los cambios necesarios

Una vez definidas las actuaciones a realizar para optimizar los sistemas informáticos
de la empresa para incrementar su nivel de seguridad, se deben implementar según
el calendario previamente definido.

Estos cambios pueden incluir modificaciones en las políticas de seguridad, impartir

formación específica al personal, instalación de software de seguridad, actualización
de hardware obsoleto o inadecuado, implantar nuevas medidas de seguridad de red
o adoptar nuevas tecnologías, entre otras.

Monitorizar y evaluar los resultados

Finalmente, es necesario monitorizar todo el proceso para poder evaluar los
resultados y poder realizar modificaciones y ajustes si no se están alcanzando los
objetivos.

En esta fase también se debe establecer un sistema de control que permita detectar
fallos y garantizar que se siguen todos los protocolos y procedimientos de
seguridad.

Una auditoría informática realizada a una empresa le permite conocer cuál es su

situación actual respecto a la ciberseguridad y a la protección de datos, definir una
línea de actuación para implementar los cambios necesarios e implementar las
modificaciones y actualizaciones necesarias para proteger sus sistemas
informáticos.

Las auditorías de seguridad informática son una prioridad para las empresas en la
actualidad, donde hay una gran dependencia de la tecnología e internet en la
mayoría de los procesos de su negocio.

Este tipo de auditorías no son procesos estáticos, sino tareas que se deben
monitorear y actualizar a lo largo del tiempo para poder garantizar siempre la mayor
protección y fomentar una filosofía de mejora continua en cuanto a seguridad
informática y protección de datos.