UNIVERSIDAD DE SAN CARLOS DE GUATEMALACENTRO

UNIVERSITARIO DE ZACAPA -CUNZAC-

LICENCIATURA EN CONTADURÍA PÚBLICA Y AUDITORÍA

ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO EN

INFORMATICA

NOMBRES CARNÉ
NILSON OSWALDO ROSALES TRABANINO 202041018
FERNANDA YVETTE GOMEZ ESTRADA 202041715
LUIS CARLOS LUARCA GARCÍA 202041524
LUIS DIEGO GUERRA GOMEZ 202045174
KLEIDY NAYHELY CHACÓN FRANCO 202041711

LICENCIADO CRISTIAN ULISES SINTUJ

ZACAPA, GUATEMALA, FEBRERO DE 2024

 ÍNDICE
INTRODUCCIÓN ........................................................................................................................... i

ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO EN INFORMATICA ...................... 1

1.1 Organización del Departamento ....................................................................................... 1

1.2 Seguros, Contratos, Mantenimiento y Fianzas ................................................................. 2

1.3 Manuales de Organización ............................................................................................... 4

1.4 Políticas de seguridad ....................................................................................................... 5

1.5 Sistema y Medidas de Seguridad ..................................................................................... 8

1.6 Programas de Capacitación ............................................................................................ 12

1.7 Recepción De Trabajos .................................................................................................. 12

1.8 Control De Calidad......................................................................................................... 13

1.9 Despacho De Trabajos ................................................................................................... 14

1.10 Captura de datos ............................................................................................................. 14

1.11 Proceso de datos ............................................................................................................. 15

1.12 Cintoteca......................................................................................................................... 15

CONCLUSIONES ........................................................................................................................ 23

REFERENCIAS ............................................................................................................................ 24
 INTRODUCCIÓN
En la era digital actual, donde la información es un activo invaluable para las organizaciones, la
seguridad y la integridad de los datos se han vuelto prioridades cruciales. En este contexto, el
control interno en informática emerge como un pilar fundamental para garantizar la confiabilidad,
disponibilidad y confidencialidad de la información. Este control abarca un conjunto de políticas,
procedimientos y medidas diseñadas para salvaguardar los activos de información, mitigar riesgos
y garantizar el cumplimiento normativo en el entorno de la tecnología de la información.

El estudio y la evaluación del control interno en informática son procesos esenciales para
identificar y abordar los riesgos relacionados con la seguridad informática, así como para mejorar
la eficiencia operativa de los sistemas y procesos tecnológicos. A través de este análisis exhaustivo,
las organizaciones pueden identificar vulnerabilidades, fortalecer sus defensas cibernéticas y
asegurar la protección adecuada de los datos sensibles.

En este contexto, este estudio se propone explorar en profundidad cómo se diseñan, implementan
y evalúan los controles internos en informática, con el objetivo de fortalecer la seguridad y la
confiabilidad de los sistemas de información. A lo largo de esta investigación, se analizarán los
principales desafíos en materia de seguridad informática, se examinarán las mejores prácticas en
el diseño de controles internos y se propondrán recomendaciones para mejorar la gestión de riesgos
y la eficacia operativa en el ámbito de la tecnología de la información.

i
 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO EN
INFORMATICA
1.1 Organización del Departamento
• Diagrama de organización: El diagrama de organización del departamento de informática
es un documento que representa la estructura jerárquica y funcional del departamento,
mostrando los roles y responsabilidades de cada miembro del equipo. Este diagrama es
crucial para comprender la cadena de mando, las líneas de comunicación y las interacciones
entre diferentes unidades dentro del departamento. Permite identificar quién es responsable
de qué tareas y cómo se distribuyen las responsabilidades dentro del equipo.

• Presupuesto de personal: El presupuesto de personal en el departamento de informática

es una estimación financiera que detalla los costos asociados con la contratación y
retención de empleados. Este presupuesto incluye salarios, beneficios, capacitación y otros
gastos relacionados con el personal. Es importante asegurar que el presupuesto de personal
sea suficiente para cubrir las necesidades operativas del departamento y para mantener un
equipo calificado y motivado.

• Diagrama de configuración del sistema: El diagrama de configuración del sistema es una

representación gráfica de la infraestructura informática de la organización, incluyendo
servidores, redes, almacenamiento y otros componentes tecnológicos. Este diagrama
proporciona una visión general de cómo están interconectados los diferentes sistemas y
cómo se distribuyen los recursos informáticos en la organización. Es esencial para
comprender la arquitectura tecnológica y para identificar posibles puntos de vulnerabilidad
o cuellos de botella en el sistema.

• Control sobre paquetes de software: El control sobre paquetes de software se refiere a

los procedimientos y políticas establecidos para la adquisición, instalación, actualización y
desinstalación de software en los sistemas informáticos de la organización. Esto incluye la
aprobación previa de nuevas aplicaciones, la gestión de licencias de software, la
implementación de parches de seguridad y la revisión periódica de software obsoleto o no
utilizado. Es fundamental mantener un control estricto sobre el software para garantizar la
seguridad y la eficiencia de los sistemas informáticos.

1
 • Existencia de contratos con los proveedores: La existencia de contratos con los
proveedores de hardware, software y servicios relacionados es crucial para garantizar una
relación comercial sólida y para proteger los intereses de la organización. Estos contratos
deben especificar los términos y condiciones de la adquisición de productos o servicios,
incluyendo precios, plazos de entrega, garantías y soporte técnico. Es importante asegurar
que los contratos estén actualizados y que se cumplan los términos acordados para evitar
posibles conflictos o incumplimientos contractuales.

• Definición de características técnicas: La definición de características técnicas se refiere

a las especificaciones técnicas de los equipos y sistemas informáticos utilizados en la
organización. Esto incluye detalles como capacidad de procesamiento, capacidad de
almacenamiento, velocidad de red y otros aspectos técnicos relevantes. Es esencial
asegurar que los equipos y sistemas cumplan con las especificaciones requeridas para
satisfacer las necesidades operativas y de seguridad de la organización.

• Existencia de reporte de todos los programas y aplicaciones en uso: Mantener un

reporte actualizado de todos los programas y aplicaciones en uso en la organización es
fundamental para garantizar un control adecuado sobre el software. Este reporte debe
incluir información detallada sobre cada programa o aplicación, como el nombre, la
versión, el proveedor, la fecha de instalación y la cantidad de licencias adquiridas. Además,
es importante realizar auditorías periódicas para verificar que el software instalado esté
debidamente licenciado y autorizado para su uso.

1.2 Seguros, Contratos, Mantenimiento y Fianzas

• Pólizas de Seguro: Las pólizas de seguro relacionadas con los equipos informáticos y la
información almacenada son fundamentales para proteger los activos de la organización
contra posibles pérdidas o daños. Estas pólizas pueden cubrir aspectos como robo,
incendio, daños por agua, y otros riesgos asociados con la propiedad de equipos
informáticos y la pérdida de datos.

• Equipos, Programas y Medios de almacenamiento: Los contratos de mantenimiento

para equipos, programas y medios de almacenamiento son importantes para garantizar el
buen funcionamiento y la disponibilidad continua de estos activos. Estos contratos suelen
incluir servicios como actualizaciones de software, reparaciones de hardware, y soporte

2
 técnico. Es esencial revisar los términos y condiciones de estos contratos para asegurar que
se cumplan los niveles de servicio acordados y que se garantice la integridad y seguridad
de los datos almacenados.

• Riesgos cubiertos y Vigencia de Seguros: Es importante revisar detalladamente las

pólizas de seguro para comprender qué riesgos están cubiertos y en qué condiciones.
Además, es fundamental verificar la vigencia de las pólizas de seguro para garantizar que
la cobertura esté activa en todo momento y que la organización esté protegida contra
posibles reclamaciones.

• Contratos de proveedores y Condiciones de uso del equipo: Los contratos con

proveedores de hardware, software y servicios deben ser revisados regularmente para
garantizar que se cumplan los términos acordados y que la organización reciba los servicios
y productos según lo especificado en el contrato. Además, es importante revisar las
condiciones de uso del equipo para asegurar que se utilicen de manera adecuada y para
evitar posibles riesgos asociados con un uso indebido o no autorizado.

• Uso de tiempo CPU y Uso de paquetes: Es esencial monitorear y controlar el uso de

tiempo de CPU y de paquetes de software para garantizar un uso eficiente de los recursos
informáticos y para evitar posibles problemas de rendimiento o congestión de red. Esto
puede incluir la implementación de políticas de uso aceptable, la asignación de recursos
según las necesidades del negocio, y la implementación de herramientas de monitoreo y
control de tráfico de red.

• Soporte técnico y Servicios de mantenimiento: El soporte técnico y los servicios de

mantenimiento son fundamentales para garantizar el buen funcionamiento y la
disponibilidad continua de los equipos y sistemas informáticos. Es esencial contar con un
proveedor de soporte técnico confiable y capacitado que pueda brindar asistencia rápida y
efectiva en caso de problemas técnicos. Además, es importante mantener un programa de
mantenimiento preventivo para garantizar que los equipos funcionen de manera óptima y
para evitar posibles fallas o interrupciones en el servicio.

• Fianzas de fidelidad: Las fianzas de fidelidad son importantes para proteger los activos
de la organización contra posibles pérdidas causadas por actos de fraude o negligencia por

3
 parte del personal. Estas fianzas garantizan que la organización pueda recuperar las
pérdidas financieras causadas por acciones indebidas de sus empleados. Es importante
revisar regularmente las fianzas de fidelidad para asegurar que proporcionen la cobertura
adecuada y que estén vigentes en todo momento.

1.3 Manuales de Organización

• Existencia de manuales de normas y procedimientos: Los manuales de normas y
procedimientos son documentos que establecen las políticas, procedimientos y mejores
prácticas para la realización de diversas actividades dentro del departamento de
informática. Estos manuales son fundamentales para estandarizar los procesos operativos,
garantizar la consistencia en la ejecución de tareas y proporcionar orientación a los
empleados sobre cómo realizar sus funciones de manera efectiva.

• Separación de funciones: La separación de funciones es un principio de control interno

que implica dividir las responsabilidades y funciones relacionadas con una actividad o
proceso entre diferentes personas para evitar conflictos de interés y prevenir posibles
fraudes o errores. En el contexto del departamento de informática, es importante separar
las funciones entre las áreas de operaciones del computador, análisis y programación para
garantizar una adecuada supervisión y control de las actividades realizadas por el personal.

• Acceso restringido: El acceso restringido se refiere a la implementación de controles para

limitar el acceso a datos, diseño de archivos y diseño de registros únicamente a personal
autorizado. Esto se logra a través de la asignación de permisos y privilegios basados en el
principio de necesidad de conocer, que garantiza que cada empleado tenga acceso solo a la
información y recursos necesarios para realizar sus funciones. Es importante implementar
controles de acceso adecuados para proteger la confidencialidad, integridad y
disponibilidad de la información almacenada en los sistemas informáticos de la
organización.

4
1.4 Políticas de seguridad
✓ Existencia de planes de contingencia: Los planes de contingencia informática
constituyen un conjunto de procedimientos alternativos y recursos técnicos destinados
a la recuperación de la infraestructura crítica de tecnologías de información,
aplicaciones vitales para la operación y la información esencial de una organización en
caso de interrupciones graves como desastres naturales, fallas técnicas masivas,
ciberataques u otros eventos que puedan impactar severamente las funciones
habituales.

La auditoría de control interno de tecnologías de información debe examinar no solo la existencia

formal de estos planes, sino verificar su vigencia, alcance, viabilidad y pruebas periódicas. Los
planes serán evaluados respecto a su integración con el análisis de impacto al negocio, la
designación apropiada de roles y responsabilidades, recursos alternos identificados, suficiencia de
procedimientos de recuperación y restauración de servicios o datos vitales, así como la
capacitación efectiva de los equipos encargados de su ejecución

✓ Convenios de respaldo de equipos: Los convenios de respaldo de equipos son

acuerdos contractuales que una organización establece con uno o más proveedores
especializados para garantizar la disponibilidad de hardware y componentes críticos de
la infraestructura de TI ante eventos catastróficos que inutilicen o destruyan los activos
originales.

Dentro del alcance de una auditoría de control interno de TI, se debe examinar la existencia,
alcance, vigencia y viabilidad operativa de dichos convenios, considerando aspectos como:
inventario actualizado de equipos críticos bajo este esquema, términos y condiciones de respuesta
del proveedor, costos asociados, capacidad y características técnicas de los equipos de reemplazo,
logística de restablecimiento, pruebas realizadas y todo otro elemento que evidencie la capacidad
de recuperar la operatividad en los plazos necesarios según los requerimientos del negocio y los
acuerdos de nivel de servicio establecidos

✓ Conocimiento con indicación de archivos críticos: El conocimiento de archivos

críticos se refiere al proceso mediante el cual una organización identifica, clasifica y
documenta aquella información y datos considerados esenciales y/o vitales para la
continuidad de las operaciones del negocio. Esta designación de criticidad servirá de

5
 base para la aplicación de niveles de protección y controles de seguridad proporcionales
al impacto que tendría la alteración o eliminación de dichos archivos.

En el marco de una auditoría de control interno sobre tecnologías de información, el auditor debe
verificar la existencia de un inventario actualizado de archivos críticos clasificados de esa manera
a través de un proceso formal vinculado con el análisis de impacto al negocio. Asimismo, deberá
examinar de manera muestral la implementación efectiva de medidas de seguridad
correspondientes al nivel de criticidad, tales como encriptación, respaldos robustos, registros de
acceso, monitoreo especial, entre otros

✓ Prioridades para recuperación de registros: Las prioridades para la recuperación de

registros constituyen una clasificación formal de las bases de datos y los archivos de
transacciones de la operación sobre la cual se fundamentan los procesos del negocio.
Esta priorización se basa en su criticidad para retomar las actividades en caso de
desastre.

✓ Existencia fuera del centro de:

• Programas fuentes: Control de acceso a códigos, Respaldo y recuperación,

Integridad del código y cifrado y marca de agua.

• Copias actualizadas de los principales archivos: Respaldo de bases de datos

críticas, Respaldo de archivos de configuración y copias de seguridad de
papeles de trabajo de auditoría.

• Copias del sistema operativo: Respaldo y restauración del sistema operativo,

actualización del sistema operativo y copias de seguridad en áreas críticas.

• Procedimientos de programas operativos: Instalación y configuración

estandarizadas, actualización y cambios a programas/sistemas.

• Planes de contingencia: Recuperación ante perdida de información,

Contingencia ante cortes eléctricos y respuestas a incidentes de ciberseguridad.

• Documentación de programas: Documentación dividida en software, manual

de usuarios y operaciones y políticas y procedimientos internos.

6
 ✓ Políticas de respaldo: Las políticas de respaldo son un conjunto integral de
regulaciones, estándares y procedimientos que tiene por objetivo garantizar la
realización periódica de copias de seguridad de la información crítica de una
organización, así como verificar la utilidad de dichos respaldos para fines de
recuperación ante desastres y continuidad del negocio.

Estas políticas clasifican la información por niveles de criticidad, establecen requerimientos de

frecuencia para los respaldos de acuerdo a objetivos de punto de recuperación y tiempo de
recuperación, definen roles y responsabilidades, exigen pruebas regulares de restauración, y
auditan todo el proceso de principio a fin.

Su cumplimiento es obligatorio por todas las áreas técnicas y usuarios que gestionan sistemas de
información en la organización. La efectividad de estas políticas será evaluada por auditores de
control interno mediante revisión de evidencias, verificación de registros de respaldo y
restauración de muestras, asegurando así la integridad, confiabilidad y disponibilidad de los datos
críticos

Contraseña para operar el sistema

✓ Existencia documentada de investigación de Procesos: La investigación

documentada de procesos implica que la organización haya realizado y conservado
registros formales sobre estudios, evaluaciones y análisis enfocados en conocer a
profundidad y optimizar los procesos de negocio habilitados por los sistemas de
información.

En una auditoría de control interno sobre tecnologías de información, debe verificarse la

disponibilidad de documentación que evidencie la ejecución periódica de actividades formales de
modelado, simulación y medición, con el objetivo de identificar oportunidades de mejora en la
eficiencia, productividad y gestión de riesgos de los procesos soportados por soluciones de
tecnología de la informática. Asimismo, es necesario examinar que estas evaluaciones contribuyan
efectivamente a la toma de decisiones estratégicas orientadas a la mejora continua de dichos
procesos.

7
1.5 Sistema y Medidas de Seguridad
✓ Procedimientos escritos del sistema de seguridad: Los procedimientos escritos del
sistema de seguridad constituyen el conjunto de documentos formales y actualizados que
establecen las políticas, estándares, guías operativas, manuales de configuración y planes
adoptados por una organización para regular los controles de acceso, resguardo de
información crítica y recuperación ante desastres, así como la respuesta ante incidentes que
pongan en riesgo la confidencialidad, integridad y disponibilidad de los sistemas y datos.
En el marco de una auditoría del control interno en materia de seguridad de tecnologías de
información, el auditor debe verificar la existencia, suficiencia, vigencia, aprobación,
socialización y seguimiento de dichos procedimientos escritos mediante técnicas de
revisión documental, entrevistas, y la ejecución controlada de pruebas y simulacros de
compromiso de seguridad.

✓ Localización del centro: Se refiere al lugar físico escogido para alojar, proteger y operar
la infraestructura crítica de equipos de cómputo, comunicaciones y sistemas de respaldo
que sustentan las operaciones fundamentales de la organización.

En el marco de una auditoría de control interno sobre seguridad de tecnologías de información,

debe examinarse integralmente la idoneidad de la ubicación seleccionada para prevenir, mitigar y
recuperarse de eventos como desastres naturales, interrupciones de servicios básicos, accesos no
autorizados, emanaciones electromagnéticas, u otra serie de amenazas intencionales o fortuitas que
puedan impactar gravemente en la disponibilidad, integridad o confidencialidad de la información
y las operaciones del negocio.

✓ Acceso al centro: Se refiere a la capacidad de los auditores o profesionales de seguridad

informática para ingresar a las instalaciones físicas donde se alojan los sistemas de
información y evaluar las medidas de seguridad implementadas para proteger esos sistemas
y los datos que contienen.

Esta evaluación del control interno implica revisar y analizar las políticas, procedimientos,
controles y tecnologías utilizadas para proteger la integridad, confidencialidad y disponibilidad de
la información dentro de una organización. Esto puede incluir el acceso a los centros de datos,
salas de servidores, cuartos de comunicaciones, entre otros espacios relevantes donde se alojan los
sistemas y datos críticos.

8
 ✓ Construcción del edificio: Busca garantizar que las instalaciones físicas sean capaces de
proteger adecuadamente la infraestructura tecnológica y los datos sensibles de la
organización contra amenazas físicas y ambientales, así como cumplir con los estándares
y regulaciones de seguridad aplicables. Esto es fundamental para asegurar la integridad,
confidencialidad y disponibilidad de la información crítica de la organización.

✓ Registro para el ingreso de personas: Se refiere al proceso mediante el cual se documenta

y supervisa la entrada de individuos a las instalaciones donde se encuentran los sistemas
de información y la infraestructura tecnológica de una organización.

Este registro puede incluir varios componentes, como la identificación de las personas que
solicitan acceso, la verificación de su identidad a través de credenciales como tarjetas de acceso,
códigos de seguridad o biometría, y la documentación de la hora y el propósito de su visita.
Además, puede implicar la firma de acuerdos de confidencialidad o la aceptación de políticas de
seguridad antes de permitir el ingreso.

✓ Uso de gafetes de identificación: El uso de gafetes de identificación es una medida de

seguridad importante que ayuda a controlar y verificar la identidad de las personas que
tienen acceso a áreas restringidas dentro de una organización. Esto permite a los
encargados de la seguridad identificar fácilmente a las personas autorizadas y detectar a
aquellos que no deberían estar presentes en determinadas áreas.

Además de facilitar el control de acceso físico, los gafetes de identificación también pueden ayudar
en la gestión de la seguridad al proporcionar un registro visual de quién ha estado presente en
ciertas áreas en momentos específicos. Esto puede ser útil para propósitos de seguimiento y para
investigaciones de incidentes de seguridad.

✓ Vigilancias y alarmas: Las vigilancias pueden incluir sistemas de cámaras de seguridad

ubicadas estratégicamente en las instalaciones donde se alojan los sistemas de información,
así como sistemas de monitoreo de acceso físico que registran quién entra y sale de áreas
restringidas. Estos sistemas permiten a los encargados de la seguridad supervisar de manera
remota y en tiempo real lo que sucede en diferentes ubicaciones, lo que facilita la detección
temprana de comportamientos sospechosos o actividades no autorizadas. Por otro lado, las
alarmas se utilizan para alertar a los responsables de seguridad y al personal autorizado

9
 sobre situaciones de riesgo o intrusiones detectadas por los sistemas de vigilancia o por
otros dispositivos de seguridad, como sensores de movimiento o sistemas de detección de
intrusos. Estas alarmas pueden ser audibles, visuales o enviarse a través de sistemas de
notificación electrónica para garantizar una respuesta rápida y efectiva ante una amenaza
potencial.

En conjunto, la implementación de vigilancias y alarmas en sistemas y medidas de seguridad para

el estudio y evaluación del control interno en auditoría informática constituye una estrategia
integral para proteger la integridad, confidencialidad y disponibilidad de la información crítica de
una organización. Estos sistemas proporcionan una capa adicional de seguridad que complementa
otras medidas de protección y contribuye a mantener un entorno informático seguro y protegido
contra posibles riesgos y amenazas.

✓ Dispositivos para detectar:

• Detectores de calor: Estos dispositivos están diseñados para detectar cambios de

temperatura significativos en el entorno. Cuando la temperatura alcanza un nivel
preestablecido, el detector activa una señal de alarma para alertar sobre la posible
presencia de fuego o un riesgo de incendio.

• Detectores de fuego: Los detectores de fuego son sensores que responden a la

presencia de llamas o calor extremo causado por un incendio. Utilizan diferentes
tecnologías, como la detección de luz infrarroja, la ionización o la detección de
temperatura, para identificar la presencia de fuego y activar una alarma de
incendio.

• Detectores de humo: Estos dispositivos están diseñados para detectar la presencia

de partículas de humo en el aire, indicando la posible ocurrencia de un incendio en
sus etapas iniciales. Los detectores de humo pueden utilizar tecnologías como la
detección de partículas, la detección de luz dispersa o la detección de ionización
para identificar la presencia de humo y activar una alarma de incendio.

• Detectores de imanes: Los detectores de imanes, también conocidos como

interruptores magnéticos, se utilizan para detectar la apertura o cierre de puertas,
ventanas u otras estructuras mediante el uso de un campo magnético. Estos

10
 dispositivos son comúnmente utilizados en sistemas de seguridad para supervisar
el acceso a áreas restringidas y para activar alarmas en caso de intrusión no
autorizada.

✓ Existencia de extinguidores: Se refiere a la presencia de dispositivos portátiles diseñados

para extinguir o controlar incendios en caso de emergencia dentro de las instalaciones
donde se encuentran los sistemas de información y la infraestructura tecnológica de una
organización.

✓ Estado de equipo de aire acondicionado: El estado del equipo de aire acondicionado se

considera una parte integral de las medidas de seguridad en auditoría informática, ya que
contribuye directamente a la disponibilidad y la integridad de los sistemas de información.
Se deben realizar evaluaciones periódicas del estado de los equipos de aire acondicionado
para garantizar su funcionamiento adecuado y realizar el mantenimiento preventivo y
correctivo según sea necesario.

✓ Localización de cables de electricidad e interruptores: Es esencial que los cables

eléctricos estén instalados de manera segura y organizada, siguiendo las normativas y
estándares de seguridad aplicables. Esto implica mantener una separación adecuada entre
los cables de electricidad y otros equipos o estructuras para evitar posibles cortocircuitos,
sobrecargas eléctricas o riesgos de incendio.

✓ Entrenamiento de personal para atender emergencias: Este entrenamiento puede

abarcar una variedad de escenarios, como incendios, fugas de productos químicos, cortes
de energía, intrusiones físicas o cibernéticas, entre otros. Los empleados que trabajan en
áreas críticas de TI, así como los encargados de la seguridad física, deben recibir
capacitación regular sobre cómo identificar, manejar y reportar emergencias de manera
segura y eficiente.

11
1.6 Programas de Capacitación
✓ Plan de capacitación constante para el personal: Este plan está diseñado para garantizar
que el personal esté actualizado sobre las últimas tendencias, tecnologías y prácticas en
seguridad de la información y auditoría informática.

✓ Registro de adiestramiento que se ha dado a cada persona: Se refiere a un documento

o sistema de seguimiento que registra y documenta la participación de cada empleado en
programas de capacitación específicos relacionados con la seguridad de la información y
la auditoría informática.

✓ Programas de rotación de funciones: Estos programas tienen como objetivo principal

desarrollar un equipo de profesionales versátiles y multifuncionales que puedan
comprender y abordar de manera integral los diversos aspectos de la seguridad informática
y la auditoría, así como promover la colaboración y el intercambio de conocimientos entre
diferentes áreas de la organización.

✓ Control sobre trabajo y desempeño del personal: Son todos os procesos y mecanismos
utilizados para supervisar y evaluar la efectividad de la capacitación proporcionada, así
como el rendimiento de los empleados en relación con los conocimientos y habilidades
adquiridos. Este control es fundamental para asegurar que la capacitación sea efectiva y
que los empleados estén desarrollando las competencias necesarias para cumplir con los
objetivos de seguridad informática y auditoría de la organización.

1.7 Recepción De Trabajos

• La recepción de trabajo debe efectuarse en base a: ordenes de trabajo, registros adecuados
y volantes.

• Se debe comprobar que los registros de recepción contengan: hora de recepción, numero
correlativo de orden de trabajo, descripción del trabajo y la copia en donde solicita el
reporte.

• Existencia de cifras de control

• Persona autorizada para entregar trabajos.

12
1.8 Control De Calidad
• Cotejo de totales entrada/salida.

• Verificación de listados de errores o inconsistencias.

• Estadísticas por aplicación de errores detectados.

• Norma sobre la calidad de impresión con exactitud de los datos.

• Número de copias de los reportes los cuales deben estar autorizados.

Se deben desarrollar controles de entrada que den la seguridad de que se recibe la información, se
traduce y entra si error al sistema. Algunas de las técnicas utilizadas para lograr esto incluyen: a.
Registro de todos los números de los documentos de entrada pre numerados por la unidad de
control. b. Establecimiento de cifras de control por lotes antes de entrar la información, y antes de
su procesamiento comparar estas cifras con las de la información convertida. c. Uso de
verificadoras para controlar errores de entrada de información. d. Mantenimiento de un
procedimiento controlado de corrección de errores. e. Uso de conteo de mensajes o procedimientos
de transmisión doble cuando se transmite la información entre distintas localidades geográficas. f.
Conservación de documentos fuente durante períodos razonables, de modo de poder reconstruir la
información si fuera necesario. 32 g. Uso de dígitos de verificación para detectar errores cometidos
por empleados, como pueden ser las transposiciones.

El concepto básico de control de salida es que se deben comparar los totales de las entradas, e
investigar y conciliar cualquier diferencia. Esta es una función importante de la unidad de control
en el departamento de PED. En muchas compañías los departamentos usuarios llevarán a cabo una
función de control similar como una verificación adicional. Para evitar entradas fraudulentas en
este punto, todas las correcciones de errores se deben realizar y registrar de acuerdo con
procedimientos autorizados. Los procedimientos para la entrega oportuna y apropiada de la
información de salida a los usuarios representan un aspecto adicional del control de salidas.

13
1.9 Despacho De Trabajos
• Directorio de usuarios.

• Lista de usuarios autorizados para retirar información.

• Controles sobre el envío de reportes.

• Chequeos para asegurar que el reporte producido corresponda con el solicitado.

• Control sobre las órdenes de trabajo no retiradas.

• Protección de la información previa entrega al usuario.

1.10 Captura de datos

La captura de datos es el proceso de recopilación de información desde diversas fuentes para su
posterior procesamiento y análisis. En el contexto de la auditoría del control interno en informática,
es esencial evaluar cómo se lleva a cabo este proceso y garantizar la integridad, precisión y
seguridad de los datos capturados. Algunos aspectos a considerar son:

• Métodos de captura de datos: Revisar los métodos utilizados para capturar datos, como
formularios en línea, sistemas de información automatizados, escaneo de documentos,
dispositivos de IoT (Internet de las cosas), entre otros.

• Precisión de los datos: Verificar la precisión de los datos capturados asegurando que se
implementen controles para validar y verificar la información entrante.

• Integridad de los datos: Evaluar la integridad de los datos capturados para asegurar que
no haya errores o manipulaciones indebidas durante el proceso de captura.

• Seguridad de la información: Revisar los controles de seguridad implementados para

proteger los datos durante la captura, incluyendo cifrado de datos, controles de acceso y
medidas para prevenir la pérdida de información.

• Cumplimiento normativo: Asegurarse de que la captura de datos cumpla con las

regulaciones y normativas aplicables, como GDPR (Reglamento General de Protección de
Datos), HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico), entre otras.

14
1.11 Proceso de datos
El proceso de datos abarca todas las actividades realizadas para transformar los datos capturados
en información significativa y útil para la toma de decisiones. Durante la auditoría, es importante
evaluar este proceso para garantizar la calidad y confiabilidad de la información resultante.
Algunos aspectos a considerar son:

• Estructuración de datos: Evaluar cómo se estructuran y organizan los datos para facilitar
su procesamiento y análisis posterior.

• Validación de datos: Revisar los controles establecidos para validar la precisión y

coherencia de los datos durante el proceso de transformación.

• Procesamiento de datos: Evaluar los métodos y herramientas utilizados para procesar

datos, como algoritmos de análisis, software de procesamiento y bases de datos.

• Integración de datos: Verificar cómo se integran los datos de diferentes fuentes para crear
una visión unificada y completa de la información.

• Calidad de los datos: Evaluar la calidad de los datos resultantes del proceso, incluyendo
la limpieza de datos, la normalización y la eliminación de duplicados.

• Seguridad y privacidad: Revisar los controles de seguridad implementados para proteger

los datos durante el proceso de transformación, incluyendo la encriptación, el acceso
restringido y la anonimización cuando sea necesario.

• Cumplimiento normativo: Asegurarse de que el proceso de datos cumpla con las

regulaciones y normativas aplicables en cuanto a la privacidad, seguridad y manejo de
datos sensibles.

1.12 Cintoteca
Es un dispositivo de almacenamiento que contiene una o más unidades de cinta, varias ranuras
para almacenar cartuchos de cinta, un lector de código de barras para identificar los cartuchos de
cinta y un método automatizado (un robot) para cargar las cintas. También se denomina biblioteca
de cintas el área donde se almacenan Cintas que no se encuentran realmente en un silo. Las
bibliotecas de Cintas pueden contener millones de Cintas.

15
Uno de los primeros ejemplos fue el IBM 3850 Mass Storage System (MSS), anunciado en 1974.

Estos dispositivos pueden almacenar inmensas cantidades de datos, desde 20 terabytes hasta 2,1
exabytes de datos partir de 2016. Tal capacidad es miles de veces mayor que la de un disco duro
típico y muy por encima de lo que es capaz con el almacenamiento conectado a la red. Las
soluciones de nivel de entrada típicas cuestan alrededor de $10 000 USD, mientras que las
soluciones de gama alta pueden comenzar en tanto como $200.000 USD y cuestan mucho más de
$1 millón para una biblioteca completamente expandida y configurada.

Para el almacenamiento de datos de gran tamaño, son una solución rentable, con un costo por
gigabyte tan bajo como 2 centavos de dólar. La compensación por su mayor capacidad es su tiempo
de acceso más lento, que generalmente implica la manipulación mecánica de las cintas. El acceso
a los datos de una biblioteca tarda desde varios segundos hasta varios minutos.

Debido a su acceso secuencial lento y su gran capacidad, las bibliotecas de cintas se utilizan
principalmente para copias de seguridad y como la etapa final del archivo digital a largo plazo.
Una aplicación típica de este último sería el extenso registro de transacciones de una organización
con fines legales o de auditoría. Otro ejemplo es la gestión de almacenamiento jerárquico (HSM),
en la que la biblioteca de cintas se utiliza para almacenar archivos de sistemas de archivos que se
utilizan con poca frecuencia.

Las bibliotecas de cintas comúnmente tienen la capacidad de escanear ópticamente las etiquetas
de código de barras que se adjuntan a cada cinta, lo que les permite mantener automáticamente un
inventario de las cintas que se encuentran dentro de la biblioteca. Las etiquetas de código de barras
preimpresas están disponibles comercialmente o se pueden generar etiquetas personalizadas
mediante software. La etiqueta del código de barras es con frecuencia parte de la etiqueta de la
cinta, información registrada al principio del medio para identificar de forma única la cinta.

Según el diccionario de americanismo ASALE, Cintoteca significa: Colección de cintas de

sonido o de videograbadora. (Tecnocinetica, 2016)

Computadoras personales

El primer ordenador personal del mundo nació en un garaje en 1970: así era el Kenbak-1.

16
Cuando nos hablan de los primeros ordenadores personales solemos pensar en el Apple I, el MITS
Altair 8800 o el Sinclair ZX Spectrum. Sin embargo, antes de que estos ejemplares dieran sus
primeros pasos, y mucho antes de que Bill Gates dijera la famosa frase "Un ordenador en cada
oficina y en cada hogar", el estadounidense John V. Blankenbaker soñaba desde hace tiempo con
un dispositivo informático que estuviera al alcance de todos. Así es como este ingeniero logró
conseguir su más preciada meta.

Después de cursar sus estudios en la escuela secundaria, el joven Blankenbaker se alistó en la

Marina, donde obtuvo su primera titulación, el de técnico en electrónica. El paso siguiente fue
asistir a la Universidad Estatal de Oregón, donde obtuvo una licenciatura en física y otra en
matemáticas, y empezó a trabajar en Hughes Aircraft Company, un contratista del gobierno que
estaba trabajando en varios proyectos de informática, según cuenta el Engineering Hall of Fame
de la mencionada universidad.

Con el paso del tiempo, Blankenbaker se convencía más y más de que los ordenadores personales
serían parte del futuro. Decidido a hacer algo al respecto, en 1959 obtuvo una titulación en
ingeniería eléctrica del Instituto de Tecnología de Massachusetts, algo que le abrió las puertas de
Curtis Wright, una compañía que por aquel entonces estaba abocada a crear sistemas digitales para
los misiles balísticos de la Armada estadounidense. Tiempo más tarde empezó a trabajar en
Scantlin Electronics, quienes desarrollaron unos de primeros sistemas de cotización del mercado
de valores. Los ejecutivos de esta compañía sabían de su sueño, por lo que decidieron apoyarlo.
Al renunciar, Blankenbaker recibió el dinero necesario para empezar a desarrollar su sueño: 6.000
dólares.

Con ese capital, este visionario dedicó todo su tiempo a materializar el sueño que llevaba
persiguiéndolo por años. Entonces, convirtió el garaje de su casa en Kenbak Corporation y
construyó el Kenbak-1. Como este ordenador nació antes que el primer microprocesador, en su
interior no tenía un CPU como tal, sino estaba compuesto de una placa de circuito impreso con
circuitos integrados de pequeña y mediana escala y dos registros de tipo MOS para la memoria e
interruptores.

La configuración de hardware del Kenbak-1 tenía 256 bytes de memoria y alcanzaba una velocidad
equivalente a 1 MHz. A diferencia de los ordenadores que llegaron más adelante, este no mostraba

17
imágenes, sino que se utilizaba con código máquina a través de una serie de botones e interruptores.
La salida de información consistía en una fila de luces.

El primer prototipo fue terminado en 1971 y presentado en una convención educativa ya que se
pensaba que el destino del primer ordenador debían ser las escuelas. Si bien todos se mostraron
entusiasmados por lo que la máquina hacía, el campo de la computación personal no estaba
desarrollado, por lo que Kenbak Corporation tuvo muchas dificultades para vender su producto.

A pesar del avance que significó para la informática, en total se fabricaron 50 ordenadores Kenbak-
1 y solo se vendieron 40 de ellos a 750 dólares cada uno (unos 4.400 dólares de hoy). La compañía
dejó de fabricarlos en 1973, cediendo su producción a CTI Education Products. Se cree que
actualmente existen 10 unidades repartidas en diferentes partes del mundo, las cuales se encuentran
en manos de museos y coleccionistas.

Blankenbaker siguió dedicándose a la informática, aunque abandonó su trabajo en el área

ordenadores personales. En lugar de ello se enfocó en ordenadores utilizados más tarde para la
gestión de llamadas telefónicas. Después de jubilarse colaboró con Science Products, una empresa
que fabricaba productos para ciegos, y se desempeñó como profesor de física y matemáticas en la
Universidad de Lincoln. (Webedia, 2006)

Una computadora personal, computador personal u ordenador, conocida como PC, es un tipo de
microcomputadora diseñada en principio para ser utilizada por una sola persona. Habitualmente,
la sigla PC se refiere a las computadoras IBM PC compatibles. Una computadora personal es
generalmente de tamaño medio y es usada por un solo usuario. Suele denominarse ordenador de
sobremesa, debido a su posición estática e imposibilidad de transporte a diferencia de un ordenador
portátil.

Una computadora personal suele estar equipada para cumplir tareas comunes de la informática
moderna, es decir, permite navegar por Internet, estudiar, escribir textos y realizar otros trabajos
de oficina o educativos, como editar textos y bases de datos, además de actividades de ocio, como
escuchar música, ver videos, jugar, etc.

En cuanto a su movilidad podemos distinguir entre computadora de escritorio y computadora

portátil. (Culture)

18
Existen diferentes tipos de computadoras según su tamaño: supercomputadoras,
macrocomputadoras, minicomputadoras y microcomputadoras. Y según el tipo de tecnología que
utilicen pueden ser analógicas, digitales, híbridas o cuánticas.

También llamadas computadoras de alto rendimiento, son un grupo de computadores organizados

en red que funcionan en simultáneo, por lo que trabajan como si fueran un solo equipo.

Esta unión de varios computadores aumenta la velocidad de los cálculos y la potencia de

funcionamiento, que se mide en petaflops. Un petaflop es una medida de rendimiento que equivale
a 1000 billones de operaciones por segundo.

La computadora de alto rendimiento más potente del mundo es Fugaku, un equipo fabricado en
Japón que alcanza los 415 petaflops, que equivalen a la potencia de 230.800 consolas PS4
funcionando al mismo tiempo.

Las supercomputadoras se utilizan para hacer complejos cálculos industriales o científicos. Se

utilizan en centros de investigación, organismos militares, gobiernos o grandes empresas.

Otro ejemplo de supercomputadoras sería Summit, un equipo creado por IBM para el
Departamento de Energía de Estados Unidos que alcanza un rendimiento de 148,6 petaflops.

Las macrocomputadoras, computadoras centrales o mainframes son un tipo de equipo de gran

tamaño que es capaz de procesar una gran cantidad de datos, pero a una menor escala que una
supercomputadora.

Aunque los mainframes suelen confundirse con las supercomputadoras, se diferencian no solo por
su capacidad de cálculo, sino porque requieren un número limitado de procesadores para funcionar,
mientras que una supercomputadora requiere miles de ellos.

Además, los mainframes están diseñados para cálculos simples, mientras que las
supercomputadoras están hechas para cálculos complejos.

La capacidad y velocidad de procesamiento de los mainframes varía, ya que actualmente es posible

adquirir este tipo de equipos a pedido, es decir, que el usuario puede pedirle al fabricante que
diseñe el equipo según sus necesidades. Esto significa que desde una pequeña empresa hasta un
banco internacional pueden usar un mainframe para sus operaciones diarias.

19
Hoy en día, los mainframes son la opción más viable para las empresas y organismos que requieren
procesar grandes cantidades de datos. Si bien las computadoras personales actuales pueden
ejecutar las mismas tareas que una macrocomputadora, estas últimas tienen una mayor capacidad
de almacenamiento, velocidad de procesamiento, seguridad y la posibilidad de ser utilizada por
múltiples usuarios.

Un ejemplo de uno de los mainframes más potentes de los últimos años es el z13, desarrollado por
IBM, capaz de procesar 2500 millones de transacciones diarias. Esto equivale a procesar
diariamente las ventas de 100 CyberMondays en Estados Unidos.

Las minicomputadoras o workstation (estación de trabajo) son equipos especializados de alto

rendimiento, menos potentes que una supercomputadora, pero con más capacidad de trabajo que
una computadora personal.

Esta capacidad de memoria, procesamiento de datos y gráficos superiores a un equipo doméstico

las hace óptimas para trabajos relacionados con ingeniería, diseño gráfico, programación o
ciencias.

Las workstation se utilizan también como servidores, especialmente en pequeñas empresas que no
pueden costear una macrocomputadora. Esto significa que el equipo puede ejecutar diversos
servicios que requieran un procesamiento intensivo de datos, como una tienda en línea que genere
múltiples transacciones diarias.

En términos de estructura física o hardware, una estación de trabajo se ve parecida a una

computadora de escritorio. Sin embargo, la estación de trabajo es mucho más rápida y puede
ejecutar múltiples tareas sin disminuir su rendimiento. Además, este tipo de computadoras puede
funcionar de manera ininterrumpida y tiene una vida útil más larga que la de una computadora de
escritorio tradicional.

Sin embargo, la tendencia actual en el mercado de la computación apunta a que las workstation
van a desaparecer en el mediano plazo, a medida que las computadoras personales se vuelvan más
potentes.

Las microcomputadoras están conformadas por una unidad central (CPU) en la cual se ubican tanto
la memoria como los circuitos de entrada y salida del equipo, integrados al microprocesador. Esto

20
las hace mucho más pequeñas y económicas que las estaciones de trabajo, las macrocomputadoras
y las supercomputadoras, que requieren más de un CPU.

Las microcomputadoras, a su vez, tienen varias categorías:

- Computadoras de escritorio (PC)

- Computadoras portátiles

- Computadoras usables (wearables)

Computadoras analógicas son aquellas que están basadas en circuitos de tipo electrónico o
mecánico y miden una magnitud física expresada en números, como peso, temperatura, presión,
velocidad o voltaje.

A diferencia de las computadoras digitales actuales, las computadoras analógicas no requieren de

una memoria de almacenamiento, ya que procesan los datos en una sola operación y no se guardan
en el dispositivo.

Muchas computadoras analógicas se han reemplazado por tecnología digital, aunque hay industrias
que las siguen utilizando. Un ejemplo son las empresas petroleras, en donde se requiere un
monitoreo y comparación constante de datos como la temperatura.

Algunos ejemplos de computadoras analógicas son las computadoras de los submarinos, los
predictores de mareas, el termostato o la regla de cálculo.

Computadoras digitales, son un tipo de computadora compuesta por varias unidades con tareas
diferenciadas para recibir, procesar y entregar los datos que han sido introducidos previamente por
el usuario. Estos datos se almacenan en unidades fundamentales de información, llamadas bits,
compuestas por un dígito binario (cero o uno).

Las computadoras digitales requieren ser programadas antes de ser utilizadas y necesitan tener
instalado un software de acuerdo al problema que se requiera resolver. Por ejemplo, si es un
dispositivo para procesar transacciones bancarias, requiere un programa o conjunto de programas
específicos para ese tipo de operaciones.

Este tipo de equipos además tienen una capacidad de almacenamiento para guardar todos los datos
procesados y permiten la conexión a internet.

21
Algunos ejemplos de computadoras digitales son las estaciones de trabajo, las computadoras
portátiles o las macrocomputadoras.

Computadoras hibridas, como indica su nombre, se trata de computadoras que combinan

tecnología analógica y digital. Este tipo de dispositivos toma los valores analógicos y los “traduce”
en valores digitalizados.

La ventaja de este tipo de equipos es que combinan las mejores características de cada tipo de
tecnología. Las computadoras analógicas pueden ser rápidas, pero no son precisas. En cambio, la
tecnología digital aporta mayor exactitud en los cálculos.

Un ejemplo de computadora híbrida son los surtidores de gasolina, que además de medir la
cantidad de combustible convierten esa medida en un precio de venta.

Computadoras cuánticas al igual que las computadoras digitales, utilizan código binario para el
procesamiento de datos. En este caso, la unidad fundamental de información no es un bit (que solo
permite ceros o unos), sino un cúbit, una unidad que puede tener los dos estados binarios al mismo
tiempo.

Esto representa un nuevo paradigma en el ámbito de la computación, ya que es posible crear

nuevos algoritmos que una computadora digital no puede generar. Esto se traduce en nuevas
soluciones y aplicaciones que van desde las investigaciones médicas hasta la comprensión del
universo en escalas que hasta ahora no había sido posible estudiar.

Un ejemplo de este tipo de tecnología es el IBM Q System One, el primer computador cuántico de
uso comercial, diseñado para aplicaciones de negocios e investigación científica. (Diferenciador,
2018)

22
 CONCLUSIONES
1. La seguridad informática es un aspecto crítico para cualquier organización en la era digital.
A través de este estudio, hemos confirmado la importancia de implementar controles
internos sólidos en informática para proteger los activos de información, mitigar riesgos y
garantizar la continuidad del negocio. Es fundamental que las organizaciones dediquen
recursos y atención a la evaluación y mejora continua de sus controles internos en
informática para adaptarse a las amenazas en constante evolución en el panorama
cibernético.

2. La evaluación exhaustiva de los riesgos y vulnerabilidades en los sistemas de información

es esencial para diseñar controles internos efectivos en informática. Durante este estudio,
hemos identificado varios puntos críticos de vulnerabilidad que requieren atención
inmediata, como la gestión de accesos, la protección contra malware y la seguridad de la
red. Al comprender mejor estas vulnerabilidades, podemos implementar medidas
preventivas y correctivas más efectivas para proteger la información sensible y garantizar
la integridad de los datos.

3. La implementación de controles internos en informática no es un proceso estático, sino

más bien un esfuerzo continuo y dinámico. A medida que evolucionan las amenazas
cibernéticas y las tecnologías de la información, es crucial que las organizaciones revisen
y actualicen regularmente sus controles internos para mantenerse al día con los cambios en
el entorno operativo. Además, la colaboración entre equipos de seguridad, gestión de
riesgos y tecnología de la información es fundamental para garantizar una implementación
efectiva y coordinada de los controles internos en informática y para abordar de manera
proactiva los desafíos emergentes en seguridad informática.

23
 REFERENCIAS
Culture, A. y. (s.f.). Obtenido de https://artsandculture.google.com/entity/m0643t?hl=es

Diferenciador. (2018). Obtenido de https://www.diferenciador.com/tipos-de-

computadoras/#:~:text=Existen%20diferentes%20tipos%20de%20computadoras,%2C%20digital
es%2C%20h%C3%ADbridas%20o%20cu%C3%A1nticas.

Tecnocinetica. (2016). Obtenido de https://tecnocinetica.com/para-que-sirve-una-cintoteca/

Webedia. (2006). Obtenido de https://www.xataka.com/ordenadores/primer-ordenador-personal-

mundo-nacio-garaje-1970-asi-era-kenbak-
1#:~:text=El%20primer%20ordenador%20personal%20del,as%C3%AD%20era%20el%20Kenb
ak%2D1

https://slideplayer.es/slide/4029004/

https://ri.ues.edu.sv/id/eprint/11381/1/C579.pdf

https://www.bib.uia.mx/tesis/pdf/01466384/014663_s.pdf

https://pdfcoffee.com/auditoria-de-la-seguridad-7842-pdf-free.html

24