Auditoría de Sistemas

Auditoría
Evaluación y análisis crítico de ciertos
proceso en los que no implica la
preexistencia de fallas en la entidad
auditada.
 Auditoría de Sistemas
 Examen metódico
 Puntual y discontinuo.
 Verificar y evaluar (no solo controlar)
 Destinada a la ayuda de la mejora de la
seguridad, eficacia, eficiencia y rentabilidad del
entorno.
 Establecer una opinión objetiva basada en
evidencias.
Auditoría de Sistemas
Según la definición de Gonzalo Alonso Rivas:

“Es el conjunto de técnicas, actividades y

procedimientos destinados a analizar, verificar
y recomendar en asuntos relativos a la
planificación, control, eficacia, seguridad y
adecuación del servicio informático en una
empresa, por lo que comprende un examen
metódico, puntual y discontinuo del servicio
informático en vista de mejorar la rentabilidad,
seguridad.”
  Mejorar la situación de la empresa.
 Sugerir mejoras en controles, procedimientos,
etc.
Objetivos

 Detectar fallas.
 Reunir elementos para la toma de decisiones
 Minimizar la existencia de riesgos.
 Retroalimentar oportunamente.
 Optimizar el uso de los recursos.
 Analizar imparcialmente las funciones.
 Garantizar resultados fiables en tiempo,
costos-beneficios de SI
“Dar seguimiento oportuno a los proyectos de
auditoría informática programados, enfocándose en
el control, seguridad y evaluación de activos
tecnológicos en conjunto con los TICs; con el fin de
apoyar la estrategia del negocio, considerando
factores internos y externos que se relacionan con la
organización.”
En función de sus objetivos
Auditoría Auditoría Auditoría de Auditoría de
Financiera Organizativa Gestión Sistemas de
Información

Análisis y
verificación de Analizar la Analiza la Análisis,
estados estructura situación global verificación y
organizativa. de la empresa. control del
financieros.
correcto
funcionamiento
de los sistemas.
En función de su amplitud

Auditoría Total
Auditoría Parcial Evalúa el sistema
Evalúa algunas de gestión de la
partes de la totalidad de la
empresa, algunos empresa.
procesos,
departamentos,
etc.
Auditoría Interna
Designado Periodicidad Ventajas Desventaja

Alteración por
Mayor subordinación o
conocimiento intereses.

De forma Fiabilidad,
Realizada por permanente Recursos alcance y
empleados de de acuerdo al veracidad
la empresa. interno
cronograma pueden estar
interno limitados

Menor costo
Inhabilitada para
dar Fe Pública,
debido a su
vinculación
contractual laboral
Auditoría Externa
Designado Periodicidad Ventajas Desventaja

Trabajo y Menor
dictamen libre conocimiento.

Mas experiencia
Realizada por Generalmente en auditar.
personas una vez al año Más costosa.
ajenas a la o cada 6 (Certificaciones)
empresa meses

Validaciones
legales.
Posible mal
(Tiene la facultad ambiente si es
legal de dar Fe impuesto
Pública) legalmente.
 ¿Qué controles
debería considerar?
 Lo que pasa cuando te
enteras que te van hacer
Auditoría….
 ANTES DE REVISAR
LOS CONTROLES ….
DURANTE LA REVISIÓN DE
LOS CONTROLES ….
CUANDO EL AUDITOR
TIENE EVIDENCIAS….
Finalmente…
Controles en Auditoría

Mecanismos de protección que permiten el

cumplimiento de las políticas de seguridad de la
organización.
Principales Controles físicos y lógicos:

Autenticidad Exactitud
Totalidad
Permiten verificar Aseguran la
la identidad coherencia de los Evitan la omisión de registros así
(Password, Firma datos (Validación como garantizan la conclusión de
digitales) de campos) un proceso de envío (Conteo de
registros, Cifras de control)
 Eficiencia Redundancia Privacidad
Aseguran uso óptimo de Evitan la duplicidad de Aseguran la
los recursos datos protección de los
(Análisis costo-beneficio) (Verificación de secuencias)
datos
(Encriptación)
 Existencia
Efectividad
Aseguran la
Aseguran el logro de Protección de Activos
disponibilidad de los
los objetivos Destrucción o corrupción
datos
(Bitácora de estados,
(Encuestas de de información y del
satisfacción, Medición de hardware
Mantenimiento de niveles de servicio)
activos)
(Extintores, Password)
 Controles Internos

Preventivos Detectivos Correctivos

Disminuyen el
Se identifican en el impacto
Anticipan al evento
momento que se Corrige las
antes de que suceda
presenta el evento consecuencias
producidas
TRABAJO GRUPAL - (10 Ptos)
Liste 10 controles preventivos, detectivos y
correctivos de un Centro de Computo.
Gestión de Riesgo

Vulnerabilidad Amenaza Riesgo

Atentan contra:

• Integridad
• Confidencialidad
• Disponibilidad, etc.
Vulnerabilidad

Debilidades

Fallas

Presentes en los
Sistemas informáticos

“Pueden ser explotadas por

por una amenaza”
Amenazas

Acciones Dañinas

Acciones con
consecuencia negativa

Presentes en los
Sistemas informáticos
 Contraer
Espionaje
Virus

Amenazas Acceso sin

autorización
Desastres
Naturales
al los
sistemas

Fallo de
Interrupciones
equipos
de servicio

Incendio Robo /Hurto

Riesgo
 Es la probabilidad que una amenaza ocurra
materializándose en una vulnerabilidad,
generando un impacto puede afectar a la
organización(perdidas y daños)

Evaluación del Riesgo en auditoría:

◦ Identifica, mide y prioriza riesgos relevantes
al área bajo revisión.
◦ Efectuar el plan general de auditoría
◦ Asignación eficaz de Recursos
Riesgos
Destrucción de
Perdidas de Servidor fuera
Caída de Red información
datos de servicio
Confidencial

Información Daños de Perdidas Fuga de

Erronea Hardware económica Información

Perdida de Incendios en el
Integridad de centro de
datos computo
Evaluación de Riesgo
Tipos de Riesgos
Riesgo Inherentes

• Riesgos propio de las actividades o

procesos de cada organización

Riesgos Residuales

• Riesgo que subsiste posterior a la

implementación de controles.
Riesgos de Auditoría
Probabilidad
La probabilidad de ocurrencia de una amenaza,
puede ser cualitativa o cuantitativa.
Valor Probabilidad de Descripción
Ocurrencia
1 Muy Baja Improbable
que suceda
2 Baja Sucede
alguna vez
3 Moderada Incidentes
Aislados
4 Alta Incidentes
repetidos
Impacto
Consecuencia de la ocurrencia de una
amenaza, pueden ser económicas, no
económicas
Valor Probabilidad Descripción
de
Ocurrencia
1 Muy Baja Perdida de información y/o
equipamiento no sensitivo
2 Baja Perdida de Información Sensible

3 Moderada Perdida de Información Sensible,

retraso o interrupción
4 Alta Información crítica, daño serio,
patrimonial
 30

Si estimamos que un riesgo tiene una probabilidad de

ocurrencia “moderada” y un impacto “muy alto” su
puntaje podría ser de 30 (3 x 10).
 Problema Probabilidad Impacto Prioridad

Riegos ergonómicos(lugar de
trabajo no se adapta a sus A A Alta
necesidades)

Caja de Breakers(sobrecarga) B B Baja

Corte general de energía A A Alta

Riesgo eléctrico(regletas
sobrecargadas) M M Media
 Problema Cantidad Probabilidad Impacto Valor
Esperado

Riegos ergonómicos(lugar
de trabajo no se adapta a 2 80% $400 $320
sus necesidades)

Caja de
7 70% $1.046 $732
Breakers(sobrecarga)

Corte general de energía 3 30% $453 $136

Riesgo eléctrico(regletas
2 20% $90 $18
sobrecargadas)
Un árbol de decisión considera eventos futuros
para tomar una decisión en el presente.
Proveedor
A

Proveedor
B

Proveedor A (l0% X $4.000) + $900

$400 + $900 = $1.300
Proveedor B (30% X $4.000) + $300
$1.200 + $300 = $1.500
Plan de respuesta a Riesgos

Evitar: Cambiar las

condiciones Transferir: El riesgo
originales de la es responsabilidad
ejecución del de otro
proyecto

Mitigar: Disminuir Aceptar: No

probabilidad y/o cambiar el plan
impacto
Actividad Grupal
Qué hemos aprendido hoy?