GRUPO NO.

02
PRESENTACION
• IRIS DEL CARMEN ROSA, 13-3150
• ANNE ROSAIRE GUERRIER, 16-8170
• JORGE LUIS GUTIERREZ, 16-10229
• MARIEL ALTAGRACIA GONZALEZ, 15-1621
• GENESIS FERREIRA, 11-0947
• YURIANA ALTAGRACIA, 17-8906
• LUCIANNY MARIEL REYES, 16-5078
 TEMA:

LA AUDITORIA EN
INFORMATICA
IRIS DEL CARMEN, 13-3150
El auditor ante la elaboración o la
adquisición de un sistema informático.
En las últimas décadas, la irrupción en los negocios
de la informática, crea un nuevo entorno de trabajo,
diferente al que existía hace 50 años, por la forma en
que se procesa y almacena la información contable y
financiera. Se propondrán sus funciones, se
definirán los conocimientos y habilidades
necesarias, se expondrán posibles vías de formación.
1- ¿La auditoría y la informática son
actividades ajenas o incompatibles?

Otro elemento que obligó al auditor a adquirir

nuevas responsabilidades fue la utilización de
equipos electromecánicos de tabulación de
diferentes características, que dio una nueva tónica
a los procesos de control interno para garantizar la
integridad y confiabilidad de la información
procesada.
 2- ¿Los auditores contemporáneos
deben estudiar programación de
computadoras para realizar su trabajo?
Si pues con el empleo masivo de la informática, en las
organizaciones se produjera otro cambio cualitativo en
las formas en que el auditor debe desarrollar su trabajo.
A las funciones anteriores, se ha unido la necesidad de
que el auditor analice los propios sistemas
informatizados para tener la certeza de que la
información y todos los recursos tengan la seguridad y
la protección necesarias para permitirle el aval de los
estados financieros y otros informes.
3- ¿La asimilación de nuevos
conocimientos relacionados con la
informática significa una desviación
esencial del trabajo que siempre realizó el
auditor?
El auditor deberá hacer revisiones al efectivo disponible (caja); a los
valores y otras inversiones, a las cuentas, los documentos por cobrar y
las transacciones de ventas en general; a los inventarios de materias
primas, materiales y otros artículos almacenados, así como al costo de la
mercancía vendida y los servicios prestados; a los activos fijos o
inmovilizados, como los bienes raíces, la planta y los equipos; a los
activos fijos intangibles, como licencias, patentes, marcas y otros; a las
cuentas por pagar y otros pasivos; a las deudas con pago de intereses y
gastos por tal concepto ; al capital contable; a los rendimientos y gastos;
a los informes financieros y a todo lo relacionado con la compañía.
4-¿Debe convertirse el auditor en un experto en materias tales como criptografía, por ejemplo, o basta con que conozca
que esa técnica existe y cuándo debe utilizarla?

Los conocimientos generales que en la actualidad

debe tener un auditor sobre informática. Pero no
es una lista definitiva: las ciencias de la
computación y las comunicaciones están en
constante desarrollo, por lo que es probable que
dentro de un año haya que añadirle otros
elementos.
ANNE ROSAIRE GUERRIER, 16-8170
Auditoria a sistemas informatizados en explotación.
 AUDITORÍA INFORMÁTICA

Disciplina incluida en el campo de la auditoría que se refiere

al análisis de las condiciones de una instalación informática
por un auditor externo e independiente que realiza un
dictamen sobre diferentes aspectos. Conjunto de
procedimientos y técnicas para evaluar y controlar, total o
parcialmente, un sistema informático, con el fin de proteger
sus activos y recursos, verificar si sus actividades se
desarrollan eficientemente y de acuerdo con la normativa
informática y general existentes en cada empresa y para
conseguir la eficacia exigida en el marco de la organización
correspondiente.
 Características de la Auditoría
Informática
 La información de la empresa y para la empresa, siempre importante, se ha convertido en un
Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión
Informática.

 Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a
ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría
de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

 Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma

su función: se está en el campo de la Auditoría de Organización Informática.

 Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una
auditoría parcial.
 Objetivos de la Auditoria
Informática
 La Auditoría Informática deberá comprender no sólo la evaluación de
los equipos de cómputo, de un sistema o procedimiento específico,
sino que además habrá de evaluar los sistemas de información en
general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.

 Esta es de vital importancia para el buen desempeño de los sistemas de

información, y a que proporción a los controles necesarios para que
los sistemas sean confiables y con un buen nivel de seguridad. Además
debe evaluar todo: informática, organización de centros de
información, hardware y software.
 ¿ Qué es la Auditoría de Explotación
?
La Auditoria de explotación es el control que se realiza
sobre las funciones del Sistema de Información para
asegurar que las mismas se efectúen de forma regular,
ordenada y que satisfagan los requisitos empresariales.
 orge Luis Gutierrez, 16-10229
Auditoria de las áreas de procesamiento de datos: el logro de la seguridad y protección de los recursos informáticos de la entidad.

La seguridad y protección de los recursos informáticos de las

entidades forma parte de la esfera de trabajo del auditor
prácticamente desde que surgió la actividad, hace ya miles de años .

El auditor siempre conservo y ayudo a conservar todos aquellos

medios que permiten registrar la riqueza de los señores ( activos) y
las principales transacciones (comerciales o no) que se realizaban.
LAS SEGURIDAD Y PROTECCION DE LOS RECURSOS INFORMATICOS DE LA ENTINDAD.
VISION GENERAL.
Los recursos informativos de una entidad contemporáneo están compuestos por:

 1- Las informaciones generadas interna o externamente en la entidad por el resultado de sus

operaciones interna o en relación con el entono por medio circulante, en el cual se incluyen
los clientes, proveedores, competidores, agencias gubernamentales, entre otras.
 
 2- Las informaciones de carácter general que le interesan a la entidad, y que ha obtenido por
la consulta a fuentes informativas externas son: el internet, servicios informáticos
especializados, medios masivos de información, entre otras.
 
 3- Los programas de aplicación (software de aplicación) elaborando a solicitud de la entidad
o adquiridos por ella con cierto carácter de exclusividad y están compuesto por
documentaciones técnica y de utilización.
 
 4-El software de carácter general ( sistemas operativos, software utilitario, programa de
aplicación de carácter general) adquirido por la entidad. Puede obtenerse fácilmente, con
gastos de adquisición relativamente moderados, y que, en tendencia , bajan continuamente.
Los programas de seguridad y protección de recursos
de información, solamente como fuente de amenazas.
En opinión del autor, es un grave error metodológico
que genera no pocas dificultades y problemas
informáticos.
 Los recursos de información están
amenazados por distintas causas de riesgo
informativos como:

 Errores humanos
 Delitos o acciones mal intencionadas
 Desastres naturales o artificiales
 Afectaciones electrónicas y de software
 Combinación de algunas de ellas.
Participación del personal de la entidad en la
elaboración y ejecución de las políticas de seguridad y
protección de los recursos informativos.

Esa responsabilidad integral requiere de su implementación

sistemática en la entidad. Cada persona usuaria de los sistemas
informatizados y a la vez involucrada en la seguridad y protección
de los recursos informativos.
 
El diseño y aplicación de controles y medidas de seguridad y
protección constituye un proceso dinámico.
 
Los controles y medidas mencionada deben ser reflejados
explícitamente en documento de trabajo (manuales, ayudas en
líneas en las aplicaciones, resoluciones, normativas, entre otras.),
enfocados a su utilización práctica constante.
MARIEL ALTAGRACIA GONZALEZ, 15-1621
Riesgos específicos: la amenaza de los programas malignos, la consulta no autorizada a la base de datos y el acceso indebido a los sistemas de
aplicación.    

Así como las nuevas tecnologías, las amenazas

informáticas en las empresas han evolucionado con el
pasar de los años. Hoy en día se han convertido en una
de las principales preocupaciones de las empresas que
requieren mantener a salvo sus dispositivos y proteger
información importante.
Malware
Este ataque está diseñado para infiltrarse y dañar un sistema de
información sin que sea detectado. Entre los malware más
utilizados, destacan el virus.

Los Gusanos, Este software algo más sofisticado que el virus, que
crea copias de sí mismo con el objetivo de afectar otros equipos.
Troyanos, programas diseñados para ingresar en los sistemas de
seguridad y permitir el acceso a otros archivos maliciosos.
Spyware, programas que espían un dispositivo para obtener
información privada y que pueden instalar otros softwares
maliciosos.
Ransomware, secuestran la información de valor de un dispositivo,
con el fin de solicitar una transferencia en criptomoneda o monedas
digitales a modo de rescate.
 Base de Datos

En primer lugar definiremos que es una base de

datos, que no es mas que una colección de archivos,
datos, información; ordenada, organizada, y
relacionada, con la finalidad de permitir el manejo
de la información para su procesamiento.
La mayoría de información sensible de la empresa
está almacenada en sistemas gestores de bases de
datos como MySQL, Oracle, Microsoft SQL Server
entre otros.
 Consulta No Autorizada a Base de Datos
Privilegios excesivos e inutilizados. Cuando a alguien se le
otorgan privilegios de base de datos que exceden los
requerimientos de su puesto de trabajo, se crea un riesgo
innecesario.
Malware. Los cibercriminales, hackers patrocinados por
estados o espías utilizan ataques avanzados que combinan
múltiples tácticas, tales como spear phishing y malware para
penetrar en las organizaciones y robar sus datos
confidenciales.
Auditorías débiles. No recopilar registros de auditoría
detallados de esta actividad puede llegar a representar un
riesgo muy serio para la organización en muchos niveles.
 Genesis Ferreira, 11-0947
Caso Practico
Aquí me basare en el riesgo que la información caiga en manos incorrectas o que personas no
autorizadas puedan utilizar los datos de la empresa.

En esta parte estaré dando un caso práctico a base de preguntas:

¿Qué pasaría si un usuario no autorizado tiene acceso a la información confidencial de la

empresa mediante software?

El acceso no autorizado a un sistema informático, consiste en acceder de manera indebida, sin

autorización o contra derecho a un sistema de tratamiento de la información, con el fin de obtener
una satisfacción de carácter intelectual por el desciframiento de los códigos de acceso o
passwords, no causando daños inmediatos y tangibles en la víctima, o bien por la mera voluntad
de curiosear o divertirse.

Ejemplo: En este caso que pasaría que las informaciones se puedan filtrar y otras empresas
puedan saber de qué tú negocio depende o que sigue más adelante y que puedan sabotear la
información o también que un jaker pueda obtener claves importantes por eso más abajo le
explico de cómo proteger la información.
Riesgo de virus y mallware para el sistema y la información
¿Qué pasaría si la información es destruida por virus?

Un virus informático es un tipo de programa o código malicioso escrito para modificar el

funcionamiento de un equipo. Además, está diseñado para propagarse de un equipo a otro.

Un virus informático u otro programa maligno es, según algunos expertos, un programa que es capaz
de:
 Replicarse, de sacar copias de sí mismo, probablemente modificadas.
 Realizar esa replicación totalmente intencional, no es simplemente un efecto colateral.
 Al menos algunas de las copias replicadas son también programas malignos.
 Insertarse o añadirse en otro programa hospedero, el cual, al ejecutar- se, implica la ejecución del
propio programa maligno. Algunos tipos de ellos, como los gusanos, no requieren de programas
hospederos.
 Causar daños tales como el borrado de datos y programas, el reformateo indebido de discos, la
modificación de datos y programas, la modificación del BIOS de la máquina, ya sea con código
vírico o con “basura” (impide que la máquina arranque), etc.

Existen diferentes herramientas de software que se pueden utilizar para detectar fraude o si quieren
entrar al sistema para tener información que es confidencial. Simplemente es proteger la información
con claves y que solo el personal autorizado pueda entrar a archivos importantes que tengan que ver
con las finanzas de las empresas por así decir.
Entre los programas que las empresas pueden utilizar están:
SNIFFERS

Programas encargados de interceptar la información que circula por la red.

Por ejemplo: Cuando un usuario entra en un sistema, tiene que dar login y
clave de acceso. Estos datos viajan para ser comprobados con el fichero
password y ahí es donde el sniffer actúa: intercepta estos datos y el guarda en
un fichero para su utilización posterior de forma fraudulenta de esta forma se
puede descubrir el intruso.

ROOTKITS

Es un programa que se encarga de borrar o enmascarar las huellas dejadas

después de introducirse en un sistema. Estas huellas se encuentran en los
ficheros guardando todas las operaciones hechas por un usuario (entrar, salir,
ejecutar un programa, etc.).
Estos son dos ejemplos de programas que se pueden utilizar pero existen más
solo hay que elegir el que más le convenga.
¿Cómo puede conocerse que está actuando algún programa maligno en alguna
máquina?
Cuando se observe algún comportamiento inusual en la computadora, tal como:

 Los programas demoran en cargarse más de lo usual.

 Aparecen mensajes de error no usuales, en momentos que no deben aparecer.
 Parece haber decrecido la memoria disponible.
 Se notan intento s indebidos de acceder a las unidades de discos.
 Algunos archivos han desaparecido.
 Algunos programas son más grandes que lo habitual.

Ejemplo: Las empresa tienen la oportunidad de protegerse de un virus fácilmente instalando

un antivirus y siempre vivir actualizándolo para asi no tener que contraer y perder
información importante.

¿Cómo pueden las empresas proteger el sistema o la información de dicho sistema?

Se protegería con un password, palabra de pase, contraseña o palabra clave, es una palabra,
que solicita un sistema informático a un usuario determinado para permitir el acceso. De no
coincidir la palabra tecleada con la esperada, el acceso se denegará.
Por ello el auditor debe velar porque se utilicen políticas correctas de establecer y actualizar
las palabras de pase o contraseñas y modificarla periódicamente.
 Yuriana Alt. Alba, 17-8906
Ejemplificacion de los temas
 El auditor ante la elaboración o la adquisición de un sistema informático.

El auditor, tiene presente la necesidad de un sistema de control interno

eficaz, para garantizar la calidad de la información que se utiliza en los
estados financieros y de otros reportes e informes importantes para la
dirección y control de esta.

 La Auditoria a sistemas informatizados en explotación.

Se puede decir que esta es la parte más importante del trabajo del auditor
contemporáneo. Ya que, puede asegurarse que es la que requerirá de más
tiempo y esfuerzo por su parte. Esta también es a la que se le dedica más
atención por los organismos normadores.
 En la Auditoria a las áreas de procesamientos de datos: el logro de
la seguridad y protección de los recursos informativos de la
entidad.

La seguridad y protección de los recursos informativos de las

entidades forma parte de la esfera de trabajo del auditor prácticamente
desde que surgió la actividad haces miles de años.

 Riesgos específicos: la amenaza de los programas malignos, la

consulta no autorizada a la base de datos y el acceso indebido a los
sistemas de aplicación.

En realidad existen algunas amenazas o causas de riesgos que por su

novedad y especificidad merecen un tratamiento un poco diferenciado.
Esas amenazas se han potenciado con el desarrollo de las redes de
computación, a través de las cuales pueden llegar virus o realizarse
consultas y accesos no autorizados.
Lucianny Reyes, 16-5078
Conclusion