SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

EVALUACIÓN DE PROCESOS INFORMÁTICOS

SEMANA 1

Los Procesos Informáticos y a Auditoría

Informáticas

IACC-2020
11
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

APRENDIZAJE ESPERADO
• El estudiante será capaz de clasificar las
etapas de la auditoría informática
elaborando un cuadro descriptivo.

IACC-2020
22
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

APRENDIZAJE ESPERADO................................................................................................................ 2
INTRODUCCIÓN ............................................................................................................................. 4
1. LOS PROCESOS Y LA AUDITORÍA INFORMÁTICA ...................................................................... 5
1.1. DEFINICIÓN DE PROCESO ........................................................................................ 5
1.2. DEFINICIÓN DE PROCESO INFORMÁTICO................................................................. 5
1.3. DEFINICIÓN DE AUDITORÍA INFORMÁTICA .............................................................. 6
1.3.1. ETAPAS DE LA AUDITORÍA INFORMÁTICA .............................................................. 11
1.4. LA AUDITORÍA VERSUS SEGURIDAD INFORMÁTICA ............................................... 15
1.4.1. OBJETIVOS. ¿QUÉ ES? ........................................................................................... 15
1.4.2. ¿QUÉ HACE Y EN QUÉ SE BASA? ............................................................................ 16
COMENTARIO FINAL .................................................................................................................... 20
REFERENCIAS ............................................................................................................................... 21

IACC-2020
33
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
INTRODUCCIÓN
Bienvenido a la asignatura Evaluación de
Procesos Informáticos, cuya finalidad es
comprender los principios básicos de la
evaluación de procesos informáticos, desde
una perspectiva teórico-práctica, lo cual
permitirá entender la finalidad y propósito
del desarrollo de este tipo de acciones al
interior de diversas instituciones.
La evaluación de procesos informáticos o
auditoría informática es, como su nombre lo
indica, una instancia de control o verificación
de la implementación de normas, controles,
técnicas y procedimientos que se han
establecido en una organización para lograr
confiabilidad, oportunidad, seguridad y
confidencialidad de la información y que son
resguardados a través de la implementación
de diferentes infraestructuras al interior de la
organización. Esto para, en definitiva,
asegurar la correcta implementación de los
procedimientos, normas y controles basados
en estándares tanto locales como
internacionales, como por ejemplo Normas
IACC-2020
ISO, implementación de estándares como
COBIT e ITIL, entre otros.
El objetivo final de una auditoría bien
implementada es desarrollar y mejorar en el
tiempo los controles necesarios para asegurar
la confiabilidad, oportunidad, seguridad y
confidencialidad de todos los recursos
informáticos con los que cuenta la
organización, como por ejemplo licencias,
sistemas desarrollados internamente, así
como también los adquiridos a terceros,
además de redes y todos aquellos elementos
que requieren el tráfico y resguardo de
información sensible de la institución.
A continuación, se abordarán las definiciones
generales y particulares que sirven de base
para realizar la clasificación de las etapas de
la auditoría informática.
44
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1. LOS PROCESOS Y LA AUDITORÍA INFORMÁTICA

Se sabe que en informática los procesos son algo inherente al desarrollo de su quehacer. También
se conoce la importancia estratégica que los sistemas informáticos tienen en prácticamente todas
las áreas de empresas y organizaciones, a nivel mundial, por tanto evaluar cómo ocurren estos
procesos es una tarea fundamental si el objetivo es asegurar la oportunidad, seguridad y
confidencialidad de todos los recursos informáticos con los que cuenta la organización. Mantener
el control y óptima operación de los sistemas informáticos es un desafío de la industria 4.0 pues
hoy, más que nunca, la acentuada dependencia de las redes computacionales aumenta la
vulnerabilidad cibernética. Todo lo anterior pone nuevos desafíos a la labor del especialista
informático en el área de la auditoría.

1.1. DEFINICIÓN DE PROCESO

A modo de recordatorio y desde una definición general, cuando se hace referencia a un proceso se
alude al conjunto de las fases sucesivas que ocurren en un fenómeno natural o en una operación
artificial; es una ejecución secuenciada de tareas o instrucciones.

1.2. DEFINICIÓN DE PROCESO INFORMÁTICO

Cuando en informática se hace referencia a un proceso se está hablando de “una unidad de
actividad que se caracteriza por la ejecución de una secuencia de instrucciones, un estado actual y
un conjunto de recursos del sistema asociados”. Es importante, en el contexto de la informática,
hacer la distinción entre proceso y programa pues informalmente suele asociarse ambas palabras
como sinónimo, es decir, un proceso es un programa en ejecución. Recordar que el proceso
informático se refiere a las instrucciones que debe ejecutar el microprocesador mientras lee un
programa determinado. Son todos los códigos que hacen funcionar el sistema operativo.

IACC-2020
55
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Todo proceso informático es gestionado por el sistema operativo y está formado por:

Las instrucciones de un programa destinadas a ser ejecutadas por el

microprocesador

Su estado de ejecución en un momento dado, esto es, los valores

de los registros de la CPU para dicho programa

Su memoria de trabajo, es decir, la memoria que ha reservado y

sus contenidos

Otra información que permite al sistema operativo su planificación

Esquema 1. Consideraciones proceso informático.

Fuente: elaboración propia.

1.3. DEFINICIÓN DE AUDITORÍA INFORMÁTICA

La auditoría es el procedimiento de revisión e inspección de la operatoria de una empresa,
generalmente asociado a los procesos contables o financieros. La auditoría informática surge a
partir de 1950, cuando las computadoras comenzaron a ser relevantes en los procesos financieros
de las organizaciones y en la actualidad revisa los procedimientos de los sistemas de aplicación, los
recursos informáticos y los planes de contingencia requeridos para la operatividad eficiente y
acorde con la normativa vigente.

Existen dos tipos de auditoría: internas y externas. Las primeras son ejecutadas por personas que
pudiendo o no depender de la empresa, revisan aspectos de interés particular de la
administración. Estas auditorías suelen ser programadas, para realizar mejoras permanentes en los
procesos. Las auditorías externas, también conocida como auditoría independiente, es realizada
por profesionales no dependientes de la empresa, razón por la cual se asume que su juicio es
imparcial y merecedor de confianza absoluta.

Las asesorías se ejecutan en áreas específicas de la organización, algunas de las cuales son:

• Fiscal: analiza el cumplimiento de las leyes tributarias, es decir que las empresas y
organizaciones paguen correctamente los impuestos.

IACC-2020
66
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

• Financiera o contable: examina los estados financieros y la preparación de informes de

acuerdo con normas contables establecidas.
• Operacional: referida a la revisión de la operación de una empresa y se juzga la eficiencia
de la operación misma.
• Administrativa o de recursos humanos: evalúa la organización y eficiencia de la estructura
del personal con que cuenta la empresa y los procesos administrativos en que éste
interviene.
• Forense: son las investigaciones relacionadas con situaciones criminales, con el objetivo de
esclarecer los hechos ocurridos. Suelen ejecutarse en casos de fraude económico y
medioambientales.
• Social: se refiere a la revisión del entorno social en que se ubica y desarrolla una empresa
con el fin de valorar aspectos externos e internos que infieran en la productividad de esta.
• De sistemas: dirigidas a factores no económicos, como por ejemplo la auditoría de software.
Como alternativa de control, seguimiento y revisión estas auditorías permiten una
utilización eficiente y segura del proceso informático y las tecnologías que emplea una
organización, permitiendo una adecuada toma de decisiones.
• Ambiental: tiene por objetivo analizar, controlar, planificar y corregir las actividades de la
empresa que estén comprometidas con el medio ambiente, de acuerdo con las normativas
vigentes.

El elemento central de una auditoría es la opinión profesional de quien la ejecuta, la cual se

fundamenta y justifica en los procedimientos específicos que deben dar la seguridad razonable de
lo que se afirma; es decir, la opinión del auditor se emite en función de los protocolos y estándares
de ejecución preestablecidos para su alcance.

En términos generales, para garantizar que se toman en consideración todos los aspectos, áreas,
elementos, operaciones y circunstancias significativas al proceso, se establecen normas y
procedimientos de auditoría, los cuales se resumen en:

IACC-2020
77
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Ejecución de la
Planificación y auditoría
programación del Obtener suficiente Informe y plan de
trabajo por parte y adecuada acción
del auditor evidencia de cada
proceso

Esquema 2. Etapas generales del proceso de auditoría.

Fuente: Elaboración propia.

La planificación:

Como su nombre lo indica la primera acción que se realiza en una auditoría es elaborar un plan,
que orientará la ejecución de la misma. Una evaluación de procesos no puede ser algo azaroso y
por lo tanto las acciones a realizar, definidas con anterioridad a la ejecución son determinantes
para el éxito de la auditoría. La planificación debe presentar todas las actividades en una línea del
tiempo o carta Gantt. Además, debe considerar el alcance, procesos, departamentos o productos
que serán auditados.

Elaboración del plan de visita o programa

Toda auditoría debe considerar una planificación previa, en la cual se identifican los recursos y
pericias necesarias para el trabajo de evaluación. El plan de auditoría ayuda a garantizar que se
prestará atención suficiente a las áreas importantes para la evaluación del sistema informático,
que el tiempo a utilizar será el adecuado y que tanto las personas como los recursos requeridos
estarán disponibles. El plan debe considerar:
• La identificación de las fuentes de información donde se obtendrán las pruebas o
evidencias.
• La identificación
Identificación de lugares
de métodos, físicos o instalaciones
herramientas, donde
instrumentos se va a auditar. necesarios para la
y procedimientos
auditoría.
Como parte de la planificación previa, es necesario establecer cómo se recopilarán los datos,
dónde se obtendrá dicha información, cómo se recopilará la información.

IACC-2020
88
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Datos importantes que considerar son: el listado de las personas involucradas en la auditoría, las
políticas, normas y directivas.
Además, se debe establecer y seleccionar el enfoque del trabajo; las herramientas y
metodología
para probar y verificar los controles existentes; los procedimientos para:
• Evaluar los resultados de las pruebas y revisiones.
• Mantener la comunicación con la gerencia.
• Realizar el seguimiento.
• Revisar la documentación de sistemas y la identificación de los controles existentes.
• Realizar entrevistas con los agentes clave.
• La utilización de software de base de datos, para examinar el contenido de los archivos de
datos proporcionados para la auditoría.
Elaboración del presupuesto para la ejecución de la auditoría.
Toda actividad requiere la definición de los costos que están asociadas a la ejecución del trabajo
planificado. El presupuesto de una auditoría debe considerar la cantidad de horas que, para cada
tarea, se estiman necesarias; el valor de los honorarios a percibir por el auditor y/o el equipo
que
auditará; los recursos físicos (transportes, insumos de oficina, alimentación).

La ejecución de la auditoría:

Considera la realización de las actividades de auditoría programadas en la etapa anterior. Aquí se

aplican los instrumentos y herramientas para dejar registro o evidencia de la información
recopilada y que será analizada para la elaboración del informe. Entre los instrumentos que se
utilizan en esta etapa están las encuestas, las listas de chequeo, los cuestionarios y los controles
de inventarios; entre las herramientas se cuentan las entrevistas y las observaciones no
participantes.

La elaboración del informe final:

La etapa final significa entregar a las autoridades los resultados obtenidos en la auditoría. Es
importante recordar que la auditoría es una instancia para la mejora, por lo que el informe debe
considerar recomendaciones y oportunidades de seguimiento para solucionar aquellos aspectos
detectados como deficientes.

Se ha señalado que las auditorías se ejecutan a una o más áreas de una empresa e incluso a todo el
sistema organizacional. En el siguiente cuadro se pueden visualizar, comparativamente, algunas
auditorías que se realizan en una organización.

IACC-2020
99
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Auditoría
Auditoría Auditoría Auditoría
financiera o
administrativa operacional informática
contable
Controlar el Evaluar la Analizar los Evaluar los
comportamiento eficiencia, estados recursos
organizacional en efectividad y financieros, en informáticos con
relación con el economía de las cuanto al manejo que cuenta una
estándar operaciones y los de los recursos organización, en
establecido. instrumentos de económicos de la relación con su
Propósito u Evaluar el control interno del organización. adecuada
objetivo aprovechamiento sistema Evaluar el coordinación y
de los recursos administrativo cumplimiento de control operativo.
según la dinámica metas.
administrativa. Verificar el uso
eficiente de
controles sobre la
contabilidad.
Eficiencia de la Eficiencia de las El sistema Todas las
Alcance productividad. operaciones. contable. actividades
informáticas.
Ciencias Ciencias Principios Normativa
administrativas y administrativas y contables y institucional y
Fundamento
normativa de la normativa de la normativa legal.
empresa. empresa. vigentes.
A la empresa en A la empresa en A los estados A todas las áreas
cuanto sus cuanto sus contables y de la empresa.
Aplicación
funciones básicas. funciones básicas. financieros de la
organización.
Tipo de informe Amplio. Amplio. Preciso. Amplio y preciso.

Cuadro 1. Comparación de los tipos de auditorías.

Fuente: elaboración propia.

La auditoría informática se realiza para evaluar la aplicación de los sistemas de información con
los que cuenta la empresa; en particular, analiza las herramientas informáticas y la utilización de
estas. Justamente esta característica es la que diferencia la auditoría informática de la auditoría de
sistemas, aunque en algunos casos, la primera incluye la revisión de los sistemas de aplicación en
producción y viceversa. Como se aprecia en el cuadro comparativo, la auditoría informática puede
aplicarse en todas las áreas de las empresas, debido a la transversalidad en el uso de los equipos
computacionales. De ahí entonces que se aplique a aspectos como los proyectos y la seguridad

IACC-2020
110
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

informáticos para verificar la continuidad de los procesos de generación, distribución, uso y

respaldo de información dentro de la empresa.

La auditoría informática se realiza en toda la organización, un departamento o unidad, un área,

una función y/o una subfunción. En cualquiera de estas se aplica a:

• Los recursos tecnológicos.

• El personal que utiliza los sistemas informáticos y son soporte tecnológico.
• Los softwares.
• Los procedimientos que se utilizan en los sistemas de información manejados en la
empresa.

Dado que la informática está presente en todas y cada uno de estos segmentos, se pueden aplicar
auditorías al ciclo de vida del desarrollo de un sistema informático; a un sistema en operación; a la
gestión en general (de control); a la administración informática; a uno o más equipos
(microcomputadoras); al sistema de redes.

• ¿Quieres saber más sobre las bases de una auditoría

informática? Revisa el siguiente video.

https://bit.ly/2m4rUzM

1.3.1. ETAPAS DE LA AUDITORÍA INFORMÁTICA

Toda auditoría lleva implícita una asociación con la calidad pues a través de esta evaluación se
persigue implantar mejoras a los procesos, incorporando nuevos procedimientos, técnicas y
tecnologías. Como ya se comentó, la auditoría informática suele realizarse a los sistemas
informáticos y considera las tres etapas genéricas -planificación, ejecución y entrega de informe-
pero también tiene etapas o fases que son específicas, a continuación, se revisarán en qué
consisten.

IACC-2020
111
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

FASE I: CONOCIMIENTO DEL SISTEMA

La identificación implica conocer y entender el negocio y su ambiente. Es responsabilidad del
auditor comprender las diversas prácticas comerciales y funciones relacionadas con el tema de
la auditoría, así como los tipos de sistemas que se utilizan; el ambiente normativo en el que
opera el negocio y que suelen ser muy específicos de un rubro a otro. Para comprender el
entorno se debe:
• Recorrer las instalaciones de la organización, considerando, en caso de que corresponda,
sucursales, sedes, talleres u otros lugares físicos en los que, por alcance se deba auditar.
• Leer antecedentes, como publicaciones sobre la industria, memorias e informes financieros;
normativa vigente que la afecte, rol de los entes fiscalizadores.
• Entrevistar a agentes clave, como gerentes o encargado de área, para comprender los temas
comerciales esenciales.
• Estudiar normas o reglamentos internos, planes estratégicos a largo plazo, informes de
auditorías anteriores.
• Identificar el organigrama de la o las áreas a auditar.
• Leer el manual de funciones o descriptores de cargo de las personas que participan en los
procesos a auditar.
• Caracterizar las aplicaciones y equipamiento computacional en cuanto su uso, personal
autorizado a manipularlo; operatividad de las aplicaciones; mecanismos de seguridad
(claves
de acceso), procedimientos para generar y almacenar los datos en las computadoras.

FASE II: ANÁLISIS DE TRANSACCIONES Y RECURSOS

Es la definición de los objetivos de la auditoría, estableciendo los puntos o transacciones que
serán controlados. Esto implica:
• Asignar importancia a las transacciones que serán auditadas. Esto lo realiza el administrador.
• Establecer el flujo de los procesos, para lo cual una buena herramienta es el flujograma.
• Identificar, codificar los recursos que participan del sistema informático, para luego analizar
la relación entre transacciones y recursos.
En esta etapa se define el alcance de la auditoría en cuanto los sistemas específicos o unidades
de organización que se incluirán en la revisión, en el período de tiempo establecido.

IACC-2020
112
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

FASE III: ANÁLISIS DE RIESGO Y AMENAZAS

Para establecer cuál será el área a auditar y el alcance de la auditoría es necesario considerar los
riesgos de que la información pueda tener errores materiales o que el auditor no pueda detectar
un error. Los riesgos en auditoría pueden clasificarse en:
• Riesgo inherente: el error material no se puede evitar porque no existen controles
compensatorios relacionados que se puedan establecer.
• Riesgo de control: el error material no puede evitarse o no puede ser detectado en forma
oportuna por el sistema de control interno.
• Riesgo de detección: el auditor realiza pruebas a partir de un procedimiento inadecuado,
obteniendo resultados exitosos.

Cuando se habla de “material” se hace referencia a un error considerado significativo ante la

ejecución de una auditoría. En una auditoría de sistemas informáticos la definición de riesgos se
asocia a:
• Daños físicos o destrucción de los recursos.
• Pérdida por fraude o desfalco.
• Extravío de documentos fuente, archivos o informes.
• Robo de dispositivos o medios de almacenamiento.
• Interrupción de las operaciones del negocio.
• Pérdida de integridad de los datos.
• Ineficiencia de operaciones.
• Errores.
Respecto a las amenazas, en este tipo de auditorías se consideran las que afectan a los equipos,
la documentación y los programas de aplicación. Una vez identificados los riesgos y amenazas,
corresponde establecer la relación entre recursos, riesgos y amenazas, lo que se realiza a través
de la observación del funcionamiento de los recursos en ambiente real.

FASE IV: ANÁLISIS DE CONTROLES

Esta etapa revisa los mecanismos de control que deben existir y la identificación de la
codificación que determina al grupo de personas que utilizan los recursos. El fin de un control
es mantener
protegido el recurso, disminuyendo los riesgos y amenazas.

La relación con los controles debe establecerse para cada recurso, riesgo y amenaza que se
identificaron en la fase previa. Para cada tema debe establecerse uno o más controles, por lo
tanto, también es necesario analizar la cobertura de los controles requeridos, esto con el
propósito de determinar si los controles que el auditor identificó como necesarios proveen una
protección adecuada de los recursos.

IACC-2020
113
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

FASE V: EVALUACIÓN DE CONTROLES

En esta etapa el objetivo es verificar la existencia de los controles requeridos, para determinar la
operatividad y suficiencia de ellos. Para eso es necesario un plan de pruebas que incluye la
selección del tipo de prueba a realizar.
Es importante considerar que en esta fase se debe solicitar al área respectiva todos los
elementos
de prueba necesarios.
Tras la ejecución de las pruebas se realiza el análisis de los datos recabados.

FASE VI: INFORME DE AUDITORÍA

La elaboración del informe contiene la evaluación de las respuestas obtenidas en la ejecución de
la auditoría y constituye un informe en detalle y resumen para la alta gerencia de la
organización. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de
compromiso de las áreas.
Su estructura debe considerar una introducción donde se explicitan el objetivo y contenido del
informe, el alcance, los hallazgos, la opinión y las recomendaciones para la mejora que emite el
auditor.

FASE VII: SEGUIMIENTO DE RECOMENDACIONES

En complemento al informe final, se elabora un informe de seguimiento que relaciona la
evaluación de los controles y las medidas de seguridad que se aplican a los recursos del sistema
de información con un plan de mejoras que la organización debe comprometerse a ejecutar
para superar aquellas áreas, procedimientos o subsistemas que han presentado falencias
en la
auditoría.

• ¿Cuál es la importancia de implementar o seguir ciertas

fases en una auditoría informática? ¿Se relaciona con la
calidad de la implementación de mejoras a los procesos,
incorporando nuevos procedimientos, técnicas y
tecnologías?

IACC-2020
114
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1.4. LA AUDITORÍA VERSUS SEGURIDAD INFORMÁTICA

Las organizaciones modernas tienen incorporada a su gestión las tecnologías de la información y
tienen una infraestructura tecnológica con un amplio grado de integración de redes tanto para las
comunicaciones como para uso de la información; hoy nadie se concibe al margen de las
tecnologías de la información. Las empresas tienen en sus sistemas tecnológicos en red
información y datos importantes que requieren delicado manejo y control y por tanto la seguridad
informática es un requisito para aumentar la protección de los intereses de toda organización y las
personas que en ella trabajan.

Se comprende que para supervisar la operación y el control de los procesos de la empresa se

realizan auditorías, internas y externas, las cuales también pueden abarcar los aspectos de
seguridad informática. Se denomina auditoría de seguridad informática o auditoría de seguridad
de sistemas de información (SI) a aquella que analiza las vulnerabilidades que pudieran existir en
las estaciones de trabajo, redes de comunicaciones o servidores.

1.4.1. OBJETIVOS. ¿QUÉ ES?

La seguridad informática tiene por objetivo mantener la disponibilidad, integridad, privacidad,
control y autenticidad de la información contenida en los sistemas tecnológicos: opera a través de
barreras físicas y virtuales; medidas de prevención; procedimientos y protocolos. Según la ISO
27002, el objetivo de la seguridad de la información o informática es preservar:

• La confidencialidad: asegurar que el acceso a la información esté debidamente autorizado.

• La integridad: salvaguardar la precisión y completitud de la información y sus métodos de
proceso.
• La disponibilidad: asegurar que los usuarios autorizados pueden acceder a la información
cuando la necesitan.

Coincidentemente, el glosario de la National Information Systems Security (Infosec), publicado en

2000, describe la seguridad informática como “las medidas y controles que aseguran la
confidencialidad, integridad y disponibilidad de los activos de los sistemas de información,
incluyendo hardware, software, firmware y aquella información que procesan, almacenan y
comunican”1, de lo que se desprende que sus objetivos o finalidad están en:

• La capacidad de garantizar que la información, almacenada en el sistema informático o

transmitida por la red, estará disponible para quienes están autorizados a acceder a dicha
información, es decir, confidencialidad.

1
Gómez V., Álvaro (2014). Enciclopedia de la Seguridad Informática. 2ª edición. Madrid.

IACC-2020
115
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

• La capacidad de certificar que el sistema y los datos estarán disponibles al usuario en todo
momento.
• La capacidad de garantizar que la información y datos disponibles es válida y consistente, que
no se han modificado sin autorización. Esto es integridad.
• La capacidad de garantizar que la información enviada por una persona es reconocible en
términos de autoría -es posible identificar al emisor- y que quien recibe dicha información
efectivamente lo hizo, pues el emisor tiene cómo avalarlo. Esto se conoce como “no repudio” y
es importante en las transacciones comerciales por internet para aumentar la confianza entre
las partes en las comunicaciones.

Vale la pena resaltar que en la actualidad uno de los principales problemas a los que se enfrentan
las empresas está asociado a la confidencialidad a raíz del robo de computadores portátiles, el
envío de información por correo electrónico e incluso el uso de periféricos (pendrives o discos
externos) para la obtención de información. Es necesario recordar que los aspectos de seguridad
informática o de los sistemas de información también incluyen amenazas físicas -como los cortes
eléctricos-, errores no intencionados de los usuarios -como un descuido en el uso de las claves de
seguridad-, virus informáticos, destrucción o modificación de la información, entre otros.

1.4.2. ¿QUÉ HACE Y EN QUÉ SE BASA?

Las auditorías de seguridad informática se encargan de identificar, enumerar y posteriormente
describir las diversas vulnerabilidades que se identifiquen en una revisión exhaustiva de las
estaciones de trabajo, redes de comunicaciones o servidores con que cuente una empresa u
organización. Tras el análisis de los resultados obtenidos se emite el informe que detalla la
situación exacta de sus activos de información en cuanto a protección, control y medidas de
seguridad; corresponde reportar a los responsables quienes deberán definir e implementar las
medidas y procedimientos correctivos y/o de mejora de la seguridad de sus sistemas. La auditoría
es una instancia de aprendizaje a partir de los errores identificados.

Para realizar una auditoría, cualquiera sea esta, es necesario basarse en un patrón o conjunto de
directrices, estándares y/o buenas prácticas comúnmente aceptadas. En el caso de la seguridad
informática (SI) existen estándares como por ejemplo el Objetivos de Control de la Tecnologías de
la Información (Cobit), sobre el cual profundizaremos en la semana 2; la norma ISO 27002, que se
reconoce como un código internacional de buenas prácticas de seguridad de la información, tanto
así que, tanto en Chile como en otros países se utilizó de base para elaborar la NCh 27002, cuya
última versión -de 2013- está homologada por el Instituto Nacional de Normalización. Pero sin
duda la principal herramienta que sirve de parámetro para la revisión y evaluación de los sistemas
informáticos y la seguridad de equipos y procedimientos es la política de seguridad informática
que debe tener una organización.

IACC-2020
116
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1.4.3. TENDENCIAS ORGANIZATIVAS

Hoy en día las organizaciones están adoptando formas flexibles de organización del trabajo que
consiste en el desempeño de la actividad profesional sin la presencia física del trabajador en la
empresa durante una parte importante de su horario laboral.

Engloba una amplia gama de actividades y puede realizarse a tiempo completo o parcial.

La tendencia actual es que las actividades profesionales en el teletrabajo implican el uso frecuente
de métodos de procesamiento electrónico de información, y el uso permanente de algún medio de
telecomunicación para el contacto entre el teletrabajador y la empresa.

En la actualidad existen varios riesgos relacionados con el teletrabajo. Desde que algún intruso,
que obtenga las credenciales de acceso al sistema remoto y logre hacerse pasar por el usuario
legítimo hasta que tome el control de la estación de trabajo que usa el trabajador para conectarse
a la empresa.

Afortunadamente, para el entorno corporativo, la cartera de soluciones en materia de seguridad

informática crece. Entre las herramientas más utilizadas se encuentran las Security Aplanches,
antivirus, firewalls y sistemas de detección de intrusos. Sin embargo, los analistas en seguridad
informática coinciden en la importancia de añadir al botiquín “políticas de gestión y educación
para sus teletrabajadores”. Gestión de permisos, perímetros de seguridad, controles de acceso,
zonas seguras o sistemas robustos de autenticación son algunas de las medidas que se deben
sumar a la
concienciación y capacitación del personal en cuanto a temas de seguridad de la información.

• ¿Existen riesgos asociados al teletrabajo? ¿Están las

organizaciones listas para asumir una tendencia que
implica el uso remoto de sistemas de telecomunicación?

IACC-2020
117
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

1.4.4. IMPLICANCIAS DEL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN

La implicancia de los tics en la auditoría
en las organizaciones comienza con la
implantación de un proceso para
supervisar el control de las tecnologías y
de los procesos asociados, y la evolución
hacia un enfoque proactivo participando
en otras fases del ciclo del control. Las
distintas áreas operativas de las
organizaciones se sostienen y apoyan
cada vez más en los servicios de las
tecnologías de la información y las comunicaciones (TIC), que han acompañado la automatización
y
el crecimiento de todos los procesos productivos, y la prestación de nuevos servicios. Como
consecuencia, son muchas las organizaciones en las que la información y la tecnología que la
soporta representan los activos más valiosos, y a su vez, reconocen los beneficios potenciales que
las nuevas tecnologías les pueden proporcionar.

La productividad de cualquier organización depende del funcionamiento ininterrumpido de los

sistemas TIC, transformando a todo el entorno como un proceso crítico adicional. Por tanto, se
requiere contar con una efectiva administración de los riesgos asociados con las TIC, y que viene
dada por:

• La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente

dependencia de la información y de los sistemas que la proporcionan.
• El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a
las que están expuestos.
• La importancia y magnitud de los costes y las inversiones TIC.
• La desconfianza que los procedimientos automatizados o los servicios electrónicos
pudieran provocar en el colectivo usuario y en los ciudadanos en general.

1.4.5. LOS PROCESOS EN AMBIENTES VIRTUALES. RIESGO DE

NEGOCIO
En la actualidad una de las tecnologías que más impacto ha tenido en el mercado empresarial ha
sido la virtualización. Ahora, una organización puede consolidar el número de servidores que
ejecutan y hacer más eficientes sus procedimientos de prueba y de desarrollo. Las empresas que
han implementado la virtualización y tomado su tiempo para acostumbrarse a ella están buscando
cómo puede ser utilizada para cubrir sus necesidades de continuidad de negocio.

IACC-2020
118
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

Emplear la virtualización en el área de continuidad del negocio está todavía en su infancia y,

consecuentemente, hay diversos puntos para tener en cuenta cuando se está considerando su
utilización. Aunque ha habido algún progreso en interoperabilidad entre los principales
proveedores de virtualización, VMware, SWsoft y Xen, el proceso está todavía avanzando.

Desde una perspectiva de gestión del riesgo, una infraestructura virtual todavía depende de su
plataforma de hardware subyacente para disponibilidad. Una reducción en el número de
servidores necesitados para proporcionar aplicaciones de la organización se puede ver como una
multiplicación del riesgo, ya que, si un servidor se cae, afectará a una proporción mayor de
aplicaciones de lo que sería posible con sólo máquinas físicas.

IACC-2020
119
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

COMENTARIO FINAL
En este contenido se han revisado algunos conceptos basales que sirven de contexto para la
profundización posterior en el procedimiento de auditoría o evaluación, siempre considerando los
aspectos de seguridad que cada día son más requeridos y exigentes. A modo de resumen, recuerde
que:

1. Auditoría es el procedimiento de revisión e inspección de la operatoria de una empresa,

generalmente asociado a los procesos contables o financieros. Este proceso se puede ejecutar
internamente o contar con un agente externo que la realice.
2. Existen auditorías a distintas áreas o al sistema general de la organización. Algunas de ellas
analizan el quehacer financiero-contable; los procesos administrativos; la gestión operacional y
los sistemas informáticos.
3. En términos generales, una auditoría tiene 3 etapas: planificación, ejecución y elaboración de
informe y plan de acción. En particular, la auditoría informática tiene 7 fases:
a. Fase I: Conocimientos del sistema
b. Fase II: Análisis de transacciones y recursos
c. Fase III: Análisis de riesgos y amenazas
d. Fase IV: Análisis de controles
e. Fase V: Evaluación de controles
f. Fase VI: El informe de auditoría
g. Fase VII: Seguimiento de las recomendaciones

IACC-2020
220
SEMANA 1 – EVALUACIÓN DE PROCESOS INFORMÁTICOS

REFERENCIAS
Echeñique J (2001). Auditoría en informática. 2ª edición. Editorial McGraw-Hill. México

Gómez, A. (2014). Enciclopedia de la Seguridad Informática. 2ª edición. Madrid.

Hernández, E. (1997). Auditoría Informática: Un Enfoque Metodológico y Práctico. Continental. 2ª

edición México.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2020). Los procesos informáticos y la auditoría informática. Evaluación de

Procesos Informáticos. Semana 1.

IACC-2020
221
 • •

• •

•
1acc
IACC-2020