Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de La Direccion y Eguridad
Auditoria de La Direccion y Eguridad
Facultad de Administración de
Empresas y
Contabilidad
Licenciatura en Contabilidad
Escuela de Contabilidad
Preguntas de desarrollo
Realizado por:
Dariela Cortez 4-282-857
Darineth Espinoza 04-806-0428
II Semestre académico
Año
2023
INTRODUCCION
Auditoría de Dirección:
Auditoría de Seguridad:
1. Alcance de la Auditoria
El alcance de una auditoría de dirección se refiere a la extensión y los
límites de la revisión y evaluación que se llevará a cabo sobre la dirección
de una organización o entidad. La auditoría de dirección tiene como objetivo
evaluar la efectividad, eficiencia y legalidad de las decisiones y acciones
tomadas por la alta dirección de una organización.
Análisis de la Encuesta:
Estas respuestas indican que la gestión de TI se lleva a cabo siguiendo buenas prácticas y
en línea con los objetivos estratégicos de la organización.
La encuesta está diseñada para evaluar varios aspectos relacionados con la
gestión de la Dirección de Informática en una organización. Algunos de los temas
clave que se abordan incluyen la planificación estratégica, la asignación de
recursos, la existencia de estándares y procedimientos, la gestión de personal, la
presupuestario, la adquisición de bienes y servicios, y la conformidad normativa.
La evaluación de las respuestas proporcionadas a estas preguntas permitirá
identificar áreas de fortaleza y posibles deficiencias en la gestión de la Dirección
de Informática. Esto a su vez facilitará la elaboración de Informática. Esto a su vez
facilitará la elaboración de recomendaciones y un plan de acción para mejorar la
eficiencia y efectividad de la dirección en cuanto a la tecnología de la información.
Además, ayudará a garantizar que la dirección de TI esté alineada con los
objetivos estratégicos de la organización y cumpla con las mejores prácticas y
regulaciones aplicables. Recomendaciones y un plan de acción para mejorar la
eficiencia y efectividad de la dirección en cuanto a la tecnología de Listado de
verificación (No aplicable)
Un listado de verificación (checklist) es una herramienta útil para realizar
auditorías de dirección de manera organizada y asegurarse de que se revisen
todos los aspectos relevantes.
Ejemplo:
6. Informe de auditoria
1. Objetivos
● Determinación de la utilidad de políticas, planes y procedimientos, así como su
nivel de
Cumplimiento.
Hallazgo
Durante la auditoría, se encontró que las políticas y procedimientos relacionados
con la gestión de proyectos de tecnología de la información no están siendo
plenamente utilizados ni cumplidos por el personal del departamento de
informática. A pesar de que existen políticas bien definidas para la planificación y
ejecución de proyectos, se observa que las prácticas actuales difieren en gran
medida de las políticas establecidas.
Impacto:
Esta falta de cumplimiento de las políticas ha llevado a una falta de consistencia
en la gestión de proyectos, lo que a su vez ha resultado en retrasos en la entrega,
un uso ineficiente de recursos y una falta de seguimiento adecuado de los
proyectos.
● Examinar el proceso de planificación de sistemas de información y evaluar
si cumplen los objetivos de los mismos.
Se Identificó el resumen del hallazgo.
● Verificar si el comité de Informática existe y cumple su papel
adecuadamente.
Se observó el hallazgo
● Revisar el emplazamiento del departamento de Informática y evaluar su
dependencia frente a otros.
Se contactó el resumen del hallazgo.
● Evaluar la existencia de estándares de funcionamiento, procedimientos y
descripciones de
puestos de trabajo adecuados y actualizados.
Se determinó el hallazgo.
● Evaluar las características de la comunicación entre la Dirección de
Informática y el
personal del Departamento.
Se verifico el hallazgo.
● Verificar la existencia de un sistema de reparto de costes informáticos y
que este sea justo.
Se comprobó el hallazgo.
2. Alcance de la auditoria (ejemplo)
Ejemplo Recursos Humanos
Políticas y Procedimientos de RRHH:
Revisar y evaluar las políticas y procedimientos de recursos humanos
implementados en la organización, incluyendo la contratación, la gestión del
desempeño, la capacitación y el desarrollo, y la terminación de empleados.
Selección de Personal:
Evaluar los procesos de selección de personal, incluyendo la revisión de perfiles
de trabajo, la publicación de vacantes, la entrevista y selección de candidatos, y la
verificación de referencias.
Gestión del Desempeño:
Examinar los sistemas y procesos utilizados para evaluar y gestionar el
desempeño de los empleados, incluyendo la definición de metas, la
retroalimentación, las revisiones de desempeño y los planes de desarrollo.
Desarrollo de Empleados:
Analizar los programas de desarrollo de empleados, incluyendo la formación, la
educación continua y las oportunidades de crecimiento profesional.
Relaciones Laborales:
Evaluar la gestión de las relaciones laborales, incluyendo la comunicación con los
empleados, la resolución de conflictos y la implementación de políticas de igualdad
y diversidad.
Cumplimiento Normativo:
Verificar el cumplimiento de las leyes laborales y regulaciones aplicables en
relación con la gestión de recursos humanos, así como la documentación de
políticas y registros necesarios.
Exclusiones del Alcance:
Esta auditoría no incluye la revisión de los aspectos financieros o contables
relacionados con la nómina y los beneficios de los empleados.
No se evaluarán otros departamentos o áreas funcionales fuera del alcance de
recursos humanos.
Criterios de Evaluación:
Los criterios de evaluación estarán basados en las mejores prácticas de recursos
humanos, regulaciones laborales aplicables y las políticas y procedimientos
internos de la organización.
Metodología de Auditoría:
La auditoría se llevará a cabo mediante la revisión documental, entrevistas con el
personal de recursos humanos y empleados, y la recopilación de evidencia
relevante.
Fecha de Inicio y Duración:
La auditoría de recursos humanos está programada para comenzar el [Fecha de
Inicio] y se estima que tendrá una duración
3. Programación de fechas
PLANEAMIENTO
Fecha de Inicio: 01/10/2023
Fecha de Finalización: 15/10/2023
Durante esta fase, se llevará a cabo la planificación detallada de la auditoría, que
incluye la definición de objetivos, el alcance, la metodología, la selección de
equipo de auditoría y la recopilación de documentación relevante.
EJECUCION
Fecha de Inicio: 20/10/2023
Fecha de Finalización: 20/11/2023
En esta fase, se realizarán las actividades de auditoría planificadas, incluyendo
entrevistas, revisión de registros, pruebas y evaluación de cumplimiento. El equipo
de auditoría llevará a cabo las auditorías en el terreno y recopilará evidencia.
INFORME:
Fecha de Inicio: 25/11/2023
Fecha de Finalización: 10/12/2023
En esta fase, se preparará el informe de auditoría que incluirá los hallazgos,
conclusiones y recomendaciones. El informe será revisado y aprobado antes de
ser entregado a la dirección de la organización auditada.
Cierre:
Fecha de Inicio: 15/12/2023
Fecha de Finalización: 31/12/2023
Durante esta etapa, se llevará a cabo la revisión final, la aprobación y la entrega
del informe de auditoría a la dirección de la organización auditada. Se discutirán y
acordarán acciones correctivas si es necesario.
Seguimiento:
Fecha de Inicio: 01/01/2024
Fecha de Finalización: 31/12/2024
A lo largo de este período, se realizará un seguimiento continuo de la
implementación de las recomendaciones y acciones correctivas derivadas de la
auditoría para garantizar que se aborden adecuadamente los hallazgos
identificados.
● Planes y procedimientos
Revisión de políticas y procedimientos de seguridad de la información para
asegurarse de que estén alineados con las mejores prácticas y las necesidades de
la organización.
Evaluación de la existencia y efectividad de planes de continuidad del negocio y
recuperación de desastres.
● Análisis de puestos.
Revisión de las descripciones de puestos de trabajo relacionados con la seguridad
de la información para asegurarse de que reflejen las responsabilidades y
competencias necesarias.
Evaluación de la asignación de responsabilidades y autoridades relacionadas con
la seguridad.
● Mantenimiento
Verificación del mantenimiento adecuado de sistemas y aplicaciones críticas para
la seguridad.
Evaluación de las prácticas de parcheo y actualización de software para mantener
la seguridad.
● Normativa
Revisión de la normativa y regulaciones aplicables en el contexto de la seguridad
de la información.
Evaluación de la conformidad con normativas específicas, como GDPR, HIPAA o
ISO 27001.
2. Objetivos
● Un informe de Auditoria con el objeto de verificar la adecuación de las medidas
aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos
exigidos.
Este objetivo se centra en evaluar si las medidas de seguridad implementadas por
la organización son adecuadas para hacer frente a las amenazas identificadas.
Además, se busca verificar si se cumplen los requisitos legales y normativos
relacionados con la seguridad.
● Verificación de la aplicabilidad de las normas y referencias legales
○ Manuales aplicables al caso: Aquí se busca confirmar si la organización sigue
los procedimientos y directrices establecidos en sus manuales internos
relacionados con la seguridad.
○ Normativa aplicable al caso: Se evalúa si la organización cumple con las leyes y
regulaciones específicas que se aplican a su industria o sector.
● Se obtendrán los siguientes resultados
○ Informe de Auditoria detectando riesgos y deficiencias en el Sistema de
Seguridad.
El resultado principal de la auditoría es la identificación de riesgos y deficiencias
en el sistema de seguridad de la organización. Esto puede incluir vulnerabilidades,
prácticas inseguras, o falta de cumplimiento de políticas y procedimientos.
○ Plan de recomendaciones a aplicar en función de:
■ Riesgos: Se elaborará un plan de recomendaciones para abordar los riesgos
identificados. Esto podría incluir medidas para mitigar o eliminar los riesgos.
■ Normativa a cumplir: Si se encontraron incumplimientos normativos, el plan de
recomendaciones deberá incluir acciones específicas para cumplir con las
normativas pertinentes.
■ Costes estimados de las recomendaciones: Se proporcionará una estimación de
los costos asociados a la implementación de las recomendaciones. Esto ayudará a
la dirección a tomar decisiones informadas sobre la asignación de recursos.
3. Encuesta
SEGURIDAD LOGICA
N° Pregunta Respuesta
1 ¿Existen medidas, controles, procedimientos, SI
normas y estándares de seguridad?
2 ¿Existe un documento donde esté especificada la SI
relación de las funciones y obligaciones del
personal?
3 ¿Existen procedimientos de notificación y gestión SI
de incidencias?
4 ¿Existen procedimientos de realización de copias SI
de seguridad y de recuperación de datos?
5 ¿Existe una relación del personal autorizado a SI
conceder, alterar o anular el acceso sobre datos y
recursos?
6 ¿Existe una relación de controles periódicos a SI
realizar para verificar el cumplimiento del
Documento de Seguridad?
7 ¿Existen medidas a adoptar cuando un soporte SI
vaya a ser desechado o reutilizado?
8 ¿Existe una relación del personal autorizado a SI
acceder a los locales donde se encuentren
ubicados los sistemas que tratan datos
personales?
9 ¿Existe una relación de personal autorizado a SI
acceder a los soportes de datos?
10 ¿Existe un período máximo de vida de las SI
contraseñas?
11 ¿Existe una relación de usuarios autorizados a SI
acceder a los sistemas y que incluye los tipos de
acceso permitidos?
12 ¿Los derechos de acceso concedidos a los SI
usuarios son los necesarios y suficientes para el
ejercicio de las funciones que tienen
encomendadas, las cuales a su vez se encuentran
o deben estar documentadas en el Documento de
Seguridad?
13 ¿Hay dadas de alta en el sistema cuentas de NO
usuario genéricas, es decir, utilizadas por más de
una persona, no permitiendo por tanto la
identificación de la persona física que las ha
utilizado?
14 ¿En la práctica las personas que tienen SI
atribuciones y privilegios dentro del sistema para
conceder derechos de acceso son las autorizadas
e incluidas en el Documento de Seguridad?
15 ¿El sistema de autenticación de usuarios guarda SI
las contraseñas encriptadas?
16 ¿En el sistema están habilitadas para todas las SI
cuentas de usuario las opciones que permiten
establecer: ● Un número máximo de intentos de
conexión.
● Un período máximo de vigencia para la
contraseña, coincidente con el establecido en el
Documento de Seguridad?
17 ¿Existen procedimientos de asignación y SI
distribución de contraseñas?
SEGURIDAD FISICA
N° Pregunta Respue
sta
1 ¿Existen procedimientos para la realización de las copias SI
de seguridad?
2 ¿Existen procedimientos que aseguran que, de todos los SI
ficheros con datos de carácter personal, se realiza copia
al menos una vez cada semana?
3 ¿Hay procedimientos que aseguran la realización de SI
copias de todos aquellos ficheros que han
experimentado algún cambio en su contenido?
4 ¿Existen controles para la detección de incidencias en la SI
realización de las pruebas?
5 ¿Existen controles sobre el acceso físico a las copias de SI
seguridad?
6 ¿Sólo las personas con acceso autorizado en el SI
documento de seguridad tienen acceso a los soportes
que contienen las copias de seguridad?
7 ¿Las copias de seguridad de ficheros de nivel alto SI
incluyen los ficheros cifrados, si estas copias se
transportan fuera de las instalaciones?
8 ¿Las copias de seguridad de los ficheros de nivel alto se SI
almacenan en lugar diferente al de los equipos que las
procesan?
9 ¿Existe un inventario de los soportes existentes? SI
10 ¿Dicho inventario incluye las copias de seguridad? SI
11 ¿Las copias de seguridad, o cualquier otro soporte, se SI
almacenan fuera de la instalación?
12 ¿Existen procedimientos de actualización de dicho SI
inventario?
13 ¿Existen procedimientos de etiquetado e identificación SI
del contenido de los soportes?
14 ¿Existen procedimientos en relación con la salida de SI
soportes fuera de su almacenamiento habitual?
15 ¿Se evalúan los estándares de distribución y envío de SI
estos soportes?
16 ¿Se obtiene una relación de los ficheros que se envían SI
fuera de la empresa, en la que se especifique el tipo de
soporte, la forma de envío, el estamento que realiza el
envío y el destinatario?
17 ¿Se comprueba que todos los soportes incluidos en esa SI
relación se encuentran también en el inventario de
soportes mencionado anteriormente?
18 ¿Se obtiene una copia del Registro de Entrada y Salida SI
de Soportes y se comprueba que en él se incluyen:
● Los soportes incluidos en la relación del punto anterior
(y viceversa) ● Los desplazamientos de soportes al
almacenamiento exterior (si existiera)
19 ¿Se verifica que el Registro de Entrada y Salida refleja la SI
información requerida por el Reglamento:
a) Fecha y hora b) Emisor/Receptor c) No de soportes d)
Tipo de información contenida en el soporte. e) Forma de
envío f) Persona física responsable de la
recepción/entrega
20 ¿Se analizan los procedimientos de actualización del SI
Registro de Entrada y Salida en relación con el
movimiento de soportes?
21 ¿Existen controles para detectar la existencia de SI
soportes recibidos/enviados que no se inscriben en el
Registro de Entrada/Salida?
22 ¿Se comprueba, en el caso de que el Inventario de SI
Soportes y/o el Registro de Entrada/Salida estén
informatizados, que se realizan copias de seguridad de
ellos, al menos, una vez a la semana?
23 ¿Se realiza una relación de soportes enviados fuera de SI
la empresa con la relación de ficheros de nivel alto?
24 ¿Se verifica que todos los soportes que contienen SI
ficheros con datos de nivel Alto van cifrados?
25 ¿Se comprueba la existencia, como parte del Documento SI
de Seguridad, de una relación de usuarios con acceso
autorizado a la sala?
26 ¿Se verifica que la inclusión del personal en la relación SI
anterior es coherente con las funciones que tienen
encomendadas?
27 ¿Se comprueba que la relación es “lógica” (¿personal de SI
limpieza? ¿Vigilantes de seguridad?).
28 ¿Existen políticas de la instalación en relación con los SI
accesos ocasionales a la sala’
29 ¿Se determina qué personas tienen llaves de acceso, SI
tarjetas, etc. de acceso a la sala?
30 ¿Se comprueba que están activados los parámetros de SI
activación del Registro para todos los ficheros de Nivel
Alto?
31 ¿Se analizan los procedimientos de descarga a cinta de SI
este Registro de Accesos y el período de retención de
este soporte?
32 ¿Existen procedimientos de realización de copias de SI
seguridad del Registro de Accesos y el período de
retención de las copias?
33 ¿Se verifica la asignación de privilegios que permitan SI
activar/desactivar el Registro de Accesos para uno o más
ficheros?
34 ¿Se comprueba que el Registro de Accesos se SI
encuentra bajo el control directo del Responsable de
Seguridad pertinente?
Análisis de la encuesta
El análisis de la encuesta de seguridad lógica implica revisar las respuestas y
comentarios proporcionados para cada pregunta con el objetivo de evaluar la
situación actual de la seguridad en la organización. Aquí tienes un análisis inicial
de algunas de las preguntas clave.
6. Informe de auditoria
1. Objetivos
En esta sección, se describen detalladamente los objetivos específicos de la
auditoría de seguridad. Los objetivos típicos podrían incluir:
Evaluar la efectividad de las políticas y procedimientos de seguridad existentes.
Identificar y analizar las vulnerabilidades en la infraestructura de seguridad.
Evaluar el cumplimiento con las regulaciones y estándares de seguridad
aplicables.
Analizar la preparación de la organización para responder a incidentes de
seguridad.
● Hacer un estudio cuidadoso de los riesgos potenciales a los que está sometida
el área de
Informática.
En el informe de auditoría de seguridad, cuando se aborda el objetivo de "hacer un
estudio cuidadoso de los riesgos potenciales a los que está sometida el área de
informática", es importante proporcionar un análisis detallado de los riesgos que
pueden afectar a la seguridad de los sistemas y datos informáticos de la
organización.
● Revisar tanto la seguridad física del Centro de Proceso de Datos en su sentido
más amplio, como la seguridad lógica de datos, procesos y funciones informáticas
más Importantes de aquél.
Cuando se realiza una auditoría de seguridad que incluye tanto la seguridad física
del Centro de Proceso de Datos (CPD) como la seguridad lógica de datos,
procesos y funciones informáticas, es importante evaluar ambos aspectos de
manera detallada.
2. Alcance de la auditoria
Nuestra auditoria, comprende el periodo 2006 y se ha realizado especialmente al
área de
Informática de acuerdo a las normas y demás disposiciones aplicable al efecto.
El alcance de la auditoría debe ser claro y específico para que los lectores del
informe comprendan qué áreas y períodos se han evaluado y bajo qué normas y
disposiciones se ha llevado a cabo la auditoría. Esto ayuda a establecer una base
sólida para los hallazgos y las conclusiones posteriores del informe de auditoría.
3. Programación de fechas
Planeamiento de la Auditoría
Fecha de Inicio de Planeamiento: 15 de enero de 2023
Fecha de Finalización de Planeamiento: 30 de enero de 2023
III.2. Ejecución de la Auditoría
Fecha de Inicio de la Auditoría: 5 de febrero de 2023
Fecha de Finalización de la Auditoría: 20 de febrero de 2023
INFORME
En un informe completo, se detallarían los hallazgos, conclusiones y
recomendaciones específicas basadas en las actividades de auditoría realizadas
durante el periodo indicado.
1. Hallazgos Potenciales
6. Recomendaciones
● Elaborar toda la documentación técnica correspondiente a los sistemas
implementados y establecer normas y procedimientos para los desarrollos y su
actualización.
● Evaluar e implementar un software que permita mantener el resguardo de
acceso de los archivos de programas y aún de los programadores.
● Implementar y conservar todas las documentaciones de prueba de los sistemas,
como así también las modificaciones y aprobaciones de programas realizadas por
los usuarios.
● El coste de la seguridad debe considerarse como un coste más entre todos los
que son necesarios para desempeñar la actividad que es el objeto de la existencia
de la entidad, sea ésta la obtención de un beneficio o la prestación de un servicio
público.
● El coste de la seguridad, como el coste de la calidad, son los costes de
funciones imprescindibles para desarrollar la actividad adecuadamente. Y por
"adecuadamente" debe entenderse no sólo un nivel de calidad y precio que haga
competitivo el servicio o producto suministrado, sino también un grado de garantía
de que dichos productos o servicios van a seguir llegando a los usuarios en
cualquier circunstancia.