Auditoría de sistemas – Ingeniería de Sistemas e Informática

FACULTAD DE INGENIERÍA

ESCUELA ACADÉMICA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA

PRODUCTO ACADÉMICO N° 1

PRESENTADO POR:

CARLOS ANDRÉS CLAUSEN ALÍ

Lima – Perú

2025

1 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

Contenido
1. ¿Qué es la Auditoría?.........................................................................................................................................3
1.1 Aplicaciones Específicas en Ingeniería de Sistemas....................................................................3
1.2 Tipos de Auditorías con Ejemplos Reales.........................................................................................4
2. Importancia de la Auditoría: Análisis Profundo....................................................................................4
2.1 Beneficios Tangibles..................................................................................................................................4
2.2 Consecuencias de No Auditar.................................................................................................................5
3. Proceso de Auditoría: Guía Paso a Paso....................................................................................................5
3.1 Planificación (Fase Crítica).....................................................................................................................5
3.2 Técnicas de Recolección de Evidencias.............................................................................................6
3.3 Matriz de Hallazgos (Ejemplo Real)....................................................................................................7
4. ISO 31000: Gestión del Riesgo en Profundidad.....................................................................................7
4.1 Flujo de Trabajo Detallado......................................................................................................................7
4.2 Estrategias de Tratamiento con Casos Reales................................................................................8
5. Herramientas y Estándares Clave................................................................................................................8
6. Conclusión Ejecutiva......................................................................................................................................... 8
Auditoría: Una Inversión Estratégica.........................................................................................................8
ISO 31000: Gestión Basada en Datos.........................................................................................................8
Sistema de Gestión Integrado (SGI)............................................................................................................9
Ensayo de auditoria................................................................................................................................................ 9
1. Realiza un ensayo sobre la importancia de la auditoría de sistemas en las
organizaciones..................................................................................................................................................... 9
2. Indica al menos 3 ventajas de implementar la auditoría de sistemas en las
organizaciones..................................................................................................................................................... 9
3. Menciona al menos 3 factores de éxito para una exitosa implementación de la
auditoría de sistemas en una organización..........................................................................................10
Mejora Propuesta: Inclusión de Capacitación del Personal..........................................................10

LINK DEL VÍDEO

2 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

PA 1 AUDITORÍA DE SISTEMAS - YouTube

1. ¿Qué es la Auditoría?
La auditoría es un proceso formal, sistemático e independiente diseñado para evaluar
objetivamente la conformidad, eficacia y eficiencia de sistemas, procesos o productos
frente a estándares predefinidos. En el ámbito de la ingeniería de sistemas, esta práctica se
enfoca en garantizar que los activos tecnológicos cumplan con requisitos técnicos, legales
y de negocio, asegurando su correcto funcionamiento, seguridad y alineación con los
objetivos organizacionales.

1.1 Aplicaciones Específicas en Ingeniería de Sistemas

 Auditoría de Sistemas de Información:

o Ejemplo detallado: Evaluación de controles de acceso lógico en una base de

datos para verificar el cumplimiento del GDPR (Reglamento General de
Protección de Datos).

o Herramientas: Uso de Nessus para escaneo de vulnerabilidades

o OpenVAS para análisis de configuración.

 Auditoría de Procesos Organizacionales:

o Caso práctico: Análisis del ciclo de vida de desarrollo de software (SDLC)

para identificar cuellos de botella en la fase de pruebas.

o Métricas: Tiempo promedio de entrega (Lead Time) y tasa de defectos.

 Auditoría de Cumplimiento Normativo:

o Ejemplo: Verificación de adherencia a PCI-DSS en sistemas de pago

electrónico.

o Checklist: Revisión de 12 requisitos PCI, como el cifrado de datos en

tránsito (Req. 4).

1.2 Tipos de Auditorías con Ejemplos Reales

Tipo Responsable Ejemplo Concreto

Auditoría Revisión trimestral de políticas de backup

Equipo de TI interno
Interna para cumplir con la política RTO < 4h.

Auditoría Consultores Certificación ISO 27001 por parte de una

Externa independientes firma como BSI Group.

3 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

Tipo Responsable Ejemplo Concreto

Auditoría Peritos Investigación de un incidente de filtración

Forense especializados de datos usando FTK (Forensic Toolkit).

2. Importancia de la Auditoría: Análisis Profundo

2.1 Beneficios Tangibles

 Reducción de Riesgos Operacionales:

o Caso: Auditoría de redes que detecta un router sin parches con CVE-2023-
1234 (vulnerabilidad crítica).

o Impacto evitado: Explotación por ransomware (estimado: $500K en

pérdidas).

 Ahorro de Costos:

o Ejemplo: Identificación de licencias de software subutilizadas (ahorro del

20% en gastos anuales).

2.2 Consecuencias de No Auditar

 Multas por Incumplimiento:

o Referencia: Sanción de €20M a una empresa por violación del GDPR (Art.
32).

 Daño Reputacional:

o Caso real: Caída del 30% en valor de acciones de una empresa tras
filtración de datos no auditada.

4 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

3. Proceso de Auditoría: Guía Paso a Paso

3.1 Planificación (Fase Crítica)

 Alcance:

o Ejemplo detallado: "Auditoría de la infraestructura AWS: EC2, S3 y IAM".

 Cronograma:

o Timeline: 2 semanas para recolección de datos, 1 semana para pruebas

técnicas.

 Equipo:

o Roles: Auditor líder, especialista en ciberseguridad, analista de

cumplimiento.

3.2 Técnicas de Recolección de Evidencias

 Pruebas de Penetración:

o Herramienta: Metasploit para simular un ataque a un servidor web.

o Output: Reporte con vulnerabilidades clasificadas

como Críticas/Altas/Medias.

5 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

 Revisión de Logs:

o Ejemplo: Análisis de logs de SIEM (Splunk) para detectar accesos no

autorizados.

3.3 Matriz de Hallazgos (Ejemplo Real)

Hallazgo Severidad Recomendación Plazo

Firewall sin reglas de Implementar lista negra

Alta 48h
bloqueo a IPs maliciosas dinámica con Threat Intelligence

4. ISO 31000: Gestión del Riesgo en Profundidad

4.1 Flujo de Trabajo Detallado

1. Identificación de Riesgos:

6 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

o Técnica: Diagrama de Ishikawa para analizar causas de un ataque DDoS

(ej.: ancho de banda insuficiente, falta de WAF).

2. Análisis Cuantitativo:

o Fórmula: Riesgo = Probabilidad (%) x Impacto ($).

o Cálculo: Probabilidad del 10% de un ataque phishing con impacto

de 100K→Riesgo=100K→Riesgo=10K.

3. Matriz de Riesgos Personalizada:

o Ejemplo para una FinTech:

 Riesgo Crítico: Caída del sistema de pagos (Impacto: $1M/hora).

 Riesgo Bajo: Lentitud en portal de clientes (Impacto: $5K/hora).

4.2 Estrategias de Tratamiento con Casos Reales

 Mitigación:

o Acción: Despliegue de un SOC (Security Operations Center) para

monitoreo 24/7.

o Costo-Beneficio: Inversión
de 200Kvs.potencialpeˊrdidade200Kvs.potencialpeˊrdidade2M por brecha.

 Transferencia:

o Ejemplo: Contrato con Lloyd's of London para seguro contra ciberataques

(prima anual: $50K).

7 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

5. Herramientas y Estándares Clave

 Auditoría:

o NIST SP 800-115 (Guía técnica para pruebas de seguridad).

o COBIT 2019 para gobierno de TI.

 Gestión de Riesgos:

o ISO/IEC 27005 (Extensión de ISO 27001 para riesgos de seguridad).

o FAIR (Framework para análisis cuantitativo de riesgos).

6. Conclusión Ejecutiva
Auditoría: Una Inversión Estratégica

La auditoría no debe verse como un gasto, sino como una inversión crítica para la
sostenibilidad y el crecimiento de la organización. Cada dólar invertido en auditoría
previene hasta cinco veces su costo en pérdidas potenciales. Este enfoque proactivo no
solo minimiza riesgos operativos, sino que también fortalece la confianza de las partes
interesadas.

ISO 31000: Gestión Basada en Datos

La implementación de la norma ISO 31000 permite a las organizaciones priorizar los

riesgos de manera objetiva, basándose en datos concretos en lugar de suposiciones o
percepciones subjetivas. Este enfoque garantiza decisiones más informadas, eficientes y
alineadas con las necesidades reales del negocio.

Recomendación Final:

Sistema de Gestión Integrado (SGI)

Para maximizar el valor de ambos procesos, se recomienda integrar las auditorías y la
gestión de riesgos.

Esta estrategia no solo optimiza los recursos, sino que también asegura que las áreas de
Tecnología de la Información (TI) estén completamente alineadas con los objetivos
estratégicos de la organización, generando sinergias y mejorando la competitividad en el
largo plazo.

8 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

Ensayo de auditoria

1. Realiza un ensayo sobre la importancia de la auditoría

de sistemas en las organizaciones.

El ensayo aborda claramente la importancia de la auditoría de sistemas en las

organizaciones. A lo largo del texto, se destaca cómo la auditoría no solo evalúa la
conformidad, eficacia y eficiencia de los sistemas, sino que también previene riesgos
operacionales, optimiza costos y garantiza el cumplimiento normativo. Además, se
enfatiza su papel estratégico como una inversión que protege a las organizaciones de
pérdidas económicas y daños reputacionales.

2. Indica al menos 3 ventajas de implementar la auditoría

de sistemas en las organizaciones.
En el ensayo se mencionan explícitamente varias ventajas de implementar la auditoría de
sistemas. Entre ellas, destacan las siguientes tres:

1. Reducción de Riesgos Operacionales:

La auditoría identifica vulnerabilidades críticas (por ejemplo, un router sin
parches) que podrían ser explotadas por ataques cibernéticos, evitando pérdidas
económicas significativas.

2. Ahorro de Costos:
Al detectar ineficiencias, como licencias de software subutilizadas, las auditorías
permiten optimizar el presupuesto de TI, logrando ahorros de hasta un 20% en
gastos anuales.

3. Evitar multas: Las auditorías aseguran que las organizaciones cumplan con
regulaciones como GDPR o PCI-DSS, evitando multas multimillonarias y
protegiendo su reputación.

3. Menciona al menos 3 factores de éxito para una exitosa

implementación de la auditoría de sistemas en una
organización.
En el ensayo se describen varios factores clave para una implementación exitosa de la
auditoría de sistemas. Entre ellos, destacan los siguientes tres:

9 | Página
 Auditoría de sistemas – Ingeniería de Sistemas e Informática

1. Planificación Detallada:
Definir claramente el alcance, cronograma y roles del equipo es fundamental para
garantizar que la auditoría aborde las áreas críticas y se ejecute de manera
eficiente.

2. Uso de Herramientas Técnicas Adecuadas:

Herramientas como Nessus, OpenVAS, Metasploit y Splunk son esenciales para
recopilar evidencias confiables y realizar pruebas técnicas precisas.

3. Capacitación y Compromiso del Personal:

Aunque no se menciona explícitamente en el ensayo anterior, este factor es crucial

para el éxito de cualquier auditoría. El personal debe estar capacitado para
colaborar con los auditores y adoptar las recomendaciones propuestas.

Mejora Propuesta: Inclusión de Capacitación del Personal

Para asegurar que el ensayo cumpla completamente con las indicaciones, propongo
agregar una breve mención sobre la importancia de la capacitación del personal como un
factor de éxito.

"Un tercer factor de éxito es la capacitación y compromiso del personal. La colaboración

activa de los empleados durante el proceso de auditoría es esencial para obtener datos
precisos y garantizar la implementación efectiva de las auditorias.

10 | Página