Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido Semana 1 Evaluacion de Procesos Informaticos
Contenido Semana 1 Evaluacion de Procesos Informaticos
IACC-2020
11
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
APRENDIZAJE ESPERADO
• El estudiante será capaz de clasificar las
etapas de la auditoría informática
elaborando un cuadro descriptivo.
IACC-2020
22
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
APRENDIZAJE ESPERADO................................................................................................................ 2
INTRODUCCIÓN ............................................................................................................................. 4
1. LOS PROCESOS Y LA AUDITORÍA INFORMÁTICA ...................................................................... 5
1.1. DEFINICIÓN DE PROCESO ........................................................................................ 5
1.2. DEFINICIÓN DE PROCESO INFORMÁTICO................................................................. 5
1.3. DEFINICIÓN DE AUDITORÍA INFORMÁTICA .............................................................. 6
1.3.1. ETAPAS DE LA AUDITORÍA INFORMÁTICA .............................................................. 11
1.4. LA AUDITORÍA VERSUS SEGURIDAD INFORMÁTICA ............................................... 15
1.4.1. OBJETIVOS. ¿QUÉ ES? ........................................................................................... 15
1.4.2. ¿QUÉ HACE Y EN QUÉ SE BASA? ............................................................................ 16
COMENTARIO FINAL .................................................................................................................... 20
REFERENCIAS ............................................................................................................................... 21
IACC-2020
33
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
INTRODUCCIÓN
Bienvenido a la asignatura Evaluación de ISO, implementación de estándares como
Procesos Informáticos, cuya finalidad es COBIT e ITIL, entre otros.
comprender los principios básicos de la
evaluación de procesos informáticos, desde El objetivo final de una auditoría bien
una perspectiva teórico-práctica, lo cual implementada es desarrollar y mejorar en el
permitirá entender la finalidad y propósito tiempo los controles necesarios para asegurar
del desarrollo de este tipo de acciones al la confiabilidad, oportunidad, seguridad y
interior de diversas instituciones. confidencialidad de todos los recursos
informáticos con los que cuenta la
La evaluación de procesos informáticos o organización, como por ejemplo licencias,
auditoría informática es, como su nombre lo sistemas desarrollados internamente, así
indica, una instancia de control o verificación como también los adquiridos a terceros,
de la implementación de normas, controles, además de redes y todos aquellos elementos
técnicas y procedimientos que se han que requieren el tráfico y resguardo de
establecido en una organización para lograr información sensible de la institución.
confiabilidad, oportunidad, seguridad y
confidencialidad de la información y que son A continuación, se abordarán las definiciones
resguardados a través de la implementación generales y particulares que sirven de base
de diferentes infraestructuras al interior de la para realizar la clasificación de las etapas de
organización. Esto para, en definitiva, la auditoría informática.
asegurar la correcta implementación de los
procedimientos, normas y controles basados
en estándares tanto locales como
internacionales, como por ejemplo Normas
IACC-2020
44
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
IACC-2020
55
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Todo proceso informático es gestionado por el sistema operativo y está formado por:
Existen dos tipos de auditoría: internas y externas. Las primeras son ejecutadas por personas que
pudiendo o no depender de la empresa, revisan aspectos de interés particular de la
administración. Estas auditorías suelen ser programadas, para realizar mejoras permanentes en los
procesos. Las auditorías externas, también conocida como auditoría independiente, es realizada
por profesionales no dependientes de la empresa, razón por la cual se asume que su juicio es
imparcial y merecedor de confianza absoluta.
Las asesorías se ejecutan en áreas específicas de la organización, algunas de las cuales son:
• Fiscal: analiza el cumplimiento de las leyes tributarias, es decir que las empresas y
organizaciones paguen correctamente los impuestos.
IACC-2020
66
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
En términos generales, para garantizar que se toman en consideración todos los aspectos, áreas,
elementos, operaciones y circunstancias significativas al proceso, se establecen normas y
procedimientos de auditoría, los cuales se resumen en:
IACC-2020
77
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Ejecución de la
Planificación y auditoría
programación del Obtener suficiente Informe y plan de
trabajo por parte y adecuada acción
del auditor evidencia de cada
proceso
La planificación:
Como su nombre lo indica la primera acción que se realiza en una auditoría es elaborar un plan,
que orientará la ejecución de la misma. Una evaluación de procesos no puede ser algo azaroso y
por lo tanto las acciones a realizar, definidas con anterioridad a la ejecución son determinantes
para el éxito de la auditoría. La planificación debe presentar todas las actividades en una línea del
tiempo o carta Gantt. Además, debe considerar el alcance, procesos, departamentos o productos
que serán auditados.
IACC-2020
88
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Datos importantes que considerar son: el listado de las personas involucradas en la auditoría, las
políticas, normas y directivas.
Además, se debe establecer y seleccionar el enfoque del trabajo; las herramientas y
metodología
para probar y verificar los controles existentes; los procedimientos para:
• Evaluar los resultados de las pruebas y revisiones.
• Mantener la comunicación con la gerencia.
• Realizar el seguimiento.
• Revisar la documentación de sistemas y la identificación de los controles existentes.
• Realizar entrevistas con los agentes clave.
• La utilización de software de base de datos, para examinar el contenido de los archivos de
datos proporcionados para la auditoría.
Elaboración del presupuesto para la ejecución de la auditoría.
Toda actividad requiere la definición de los costos que están asociadas a la ejecución del trabajo
planificado. El presupuesto de una auditoría debe considerar la cantidad de horas que, para cada
tarea, se estiman necesarias; el valor de los honorarios a percibir por el auditor y/o el equipo
que
auditará; los recursos físicos (transportes, insumos de oficina, alimentación).
La ejecución de la auditoría:
La etapa final significa entregar a las autoridades los resultados obtenidos en la auditoría. Es
importante recordar que la auditoría es una instancia para la mejora, por lo que el informe debe
considerar recomendaciones y oportunidades de seguimiento para solucionar aquellos aspectos
detectados como deficientes.
Se ha señalado que las auditorías se ejecutan a una o más áreas de una empresa e incluso a todo el
sistema organizacional. En el siguiente cuadro se pueden visualizar, comparativamente, algunas
auditorías que se realizan en una organización.
IACC-2020
99
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Auditoría
Auditoría Auditoría Auditoría
financiera o
administrativa operacional informática
contable
Controlar el Evaluar la Analizar los Evaluar los
comportamiento eficiencia, estados recursos
organizacional en efectividad y financieros, en informáticos con
relación con el economía de las cuanto al manejo que cuenta una
estándar operaciones y los de los recursos organización, en
establecido. instrumentos de económicos de la relación con su
Propósito u Evaluar el control interno del organización. adecuada
objetivo aprovechamiento sistema Evaluar el coordinación y
de los recursos administrativo cumplimiento de control operativo.
según la dinámica metas.
administrativa. Verificar el uso
eficiente de
controles sobre la
contabilidad.
Eficiencia de la Eficiencia de las El sistema Todas las
Alcance productividad. operaciones. contable. actividades
informáticas.
Ciencias Ciencias Principios Normativa
administrativas y administrativas y contables y institucional y
Fundamento
normativa de la normativa de la normativa legal.
empresa. empresa. vigentes.
A la empresa en A la empresa en A los estados A todas las áreas
cuanto sus cuanto sus contables y de la empresa.
Aplicación
funciones básicas. funciones básicas. financieros de la
organización.
Tipo de informe Amplio. Amplio. Preciso. Amplio y preciso.
La auditoría informática se realiza para evaluar la aplicación de los sistemas de información con
los que cuenta la empresa; en particular, analiza las herramientas informáticas y la utilización de
estas. Justamente esta característica es la que diferencia la auditoría informática de la auditoría de
sistemas, aunque en algunos casos, la primera incluye la revisión de los sistemas de aplicación en
producción y viceversa. Como se aprecia en el cuadro comparativo, la auditoría informática puede
aplicarse en todas las áreas de las empresas, debido a la transversalidad en el uso de los equipos
computacionales. De ahí entonces que se aplique a aspectos como los proyectos y la seguridad
IACC-2020
110
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Dado que la informática está presente en todas y cada uno de estos segmentos, se pueden aplicar
auditorías al ciclo de vida del desarrollo de un sistema informático; a un sistema en operación; a la
gestión en general (de control); a la administración informática; a uno o más equipos
(microcomputadoras); al sistema de redes.
https://bit.ly/2m4rUzM
IACC-2020
111
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
IACC-2020
112
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
La relación con los controles debe establecerse para cada recurso, riesgo y amenaza que se
identificaron en la fase previa. Para cada tema debe establecerse uno o más controles, por lo
tanto, también es necesario analizar la cobertura de los controles requeridos, esto con el
propósito de determinar si los controles que el auditor identificó como necesarios proveen una
protección adecuada de los recursos.
IACC-2020
113
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
IACC-2020
114
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
1
Gómez V., Álvaro (2014). Enciclopedia de la Seguridad Informática. 2ª edición. Madrid.
IACC-2020
115
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
• La capacidad de certificar que el sistema y los datos estarán disponibles al usuario en todo
momento.
• La capacidad de garantizar que la información y datos disponibles es válida y consistente, que
no se han modificado sin autorización. Esto es integridad.
• La capacidad de garantizar que la información enviada por una persona es reconocible en
términos de autoría -es posible identificar al emisor- y que quien recibe dicha información
efectivamente lo hizo, pues el emisor tiene cómo avalarlo. Esto se conoce como “no repudio” y
es importante en las transacciones comerciales por internet para aumentar la confianza entre
las partes en las comunicaciones.
Vale la pena resaltar que en la actualidad uno de los principales problemas a los que se enfrentan
las empresas está asociado a la confidencialidad a raíz del robo de computadores portátiles, el
envío de información por correo electrónico e incluso el uso de periféricos (pendrives o discos
externos) para la obtención de información. Es necesario recordar que los aspectos de seguridad
informática o de los sistemas de información también incluyen amenazas físicas -como los cortes
eléctricos-, errores no intencionados de los usuarios -como un descuido en el uso de las claves de
seguridad-, virus informáticos, destrucción o modificación de la información, entre otros.
Para realizar una auditoría, cualquiera sea esta, es necesario basarse en un patrón o conjunto de
directrices, estándares y/o buenas prácticas comúnmente aceptadas. En el caso de la seguridad
informática (SI) existen estándares como por ejemplo el Objetivos de Control de la Tecnologías de
la Información (Cobit), sobre el cual profundizaremos en la semana 2; la norma ISO 27002, que se
reconoce como un código internacional de buenas prácticas de seguridad de la información, tanto
así que, tanto en Chile como en otros países se utilizó de base para elaborar la NCh 27002, cuya
última versión -de 2013- está homologada por el Instituto Nacional de Normalización. Pero sin
duda la principal herramienta que sirve de parámetro para la revisión y evaluación de los sistemas
informáticos y la seguridad de equipos y procedimientos es la política de seguridad informática
que debe tener una organización.
IACC-2020
116
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Engloba una amplia gama de actividades y puede realizarse a tiempo completo o parcial.
La tendencia actual es que las actividades profesionales en el teletrabajo implican el uso frecuente
de métodos de procesamiento electrónico de información, y el uso permanente de algún medio de
telecomunicación para el contacto entre el teletrabajador y la empresa.
En la actualidad existen varios riesgos relacionados con el teletrabajo. Desde que algún intruso,
que obtenga las credenciales de acceso al sistema remoto y logre hacerse pasar por el usuario
legítimo hasta que tome el control de la estación de trabajo que usa el trabajador para conectarse
a la empresa.
IACC-2020
117
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
IACC-2020
118
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Desde una perspectiva de gestión del riesgo, una infraestructura virtual todavía depende de su
plataforma de hardware subyacente para disponibilidad. Una reducción en el número de
servidores necesitados para proporcionar aplicaciones de la organización se puede ver como una
multiplicación del riesgo, ya que, si un servidor se cae, afectará a una proporción mayor de
aplicaciones de lo que sería posible con sólo máquinas físicas.
IACC-2020
119
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
COMENTARIO FINAL
En este contenido se han revisado algunos conceptos basales que sirven de contexto para la
profundización posterior en el procedimiento de auditoría o evaluación, siempre considerando los
aspectos de seguridad que cada día son más requeridos y exigentes. A modo de resumen, recuerde
que:
IACC-2020
220
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
REFERENCIAS
Echeñique J (2001). Auditoría en informática. 2ª edición. Editorial McGraw-Hill. México
edición México.
IACC-2020
221
• •
• •
•
1acc
IACC-2020