AUDITORIA y CONTROL

DE SISTEMA DE
INFORMACION

Mgter Gina Harris

 Objetivo del curso
• Evaluar los diferentes procesos e identificar las posibles falencias y errores que se
pueden presenter en los proceso de Sistema de Información
• Valorar los hechos y las evidencias antes de emitir un informe o una opiniòn que será
la base para la toma de decisiones
• Investigar y evaluar las áreas asignadas con enfásis en su parte administrativa en los
sistemas tecnológico.
CALIFICACION

TESINA/ARTI
CULO
70%
 DEFINICION DE AUDITORIA
Auditoría

Auditoría es:
1. Es el proceso que comprende las tareas a evaluar y analizar
ciertos procesos, dependiendo el área al que se aplique, donde
el auditor debe estar encaminado a la búsqueda de problemas
existentes y a la vez buscar soluciones para estos problemas.

2. . “el proceso sistémico, independiente y documentado para obtener

evidencias y evaluarlas de manera objetiva con el fin de determinar la
extensión en que se cumplen los criterios establecidos”

Existen auditorías de diferentes tipos que son aplicadas a las empresas, regularmente cada una de ellas se
hacen por áreas. Por ejemplo, existen auditorías fiscales, contables, financieras, sociables, de calidad, de
operaciones, entre otras más.
 SISTEMA DE INFORMACION
La segunda definición a mencionar es la de un Sistema de
Información, conocido por sus siglas como SI.

1 Un sistema de información es un conjunto de elementos que

están interrelacionados que sirve para procesar datos y que
estos puedan ser de utilidad en las actividades de las
organizaciones.

2. Elementos interrelacionados con el propósito de prestar

atención a las demandas de información de una organización,
para elevar el nivel de conocimientos que permitan un mejor
apoyo a a toma de decisiones y desarrollos de acciones.

Dentro de un SI se da una interacción entre las personas, los datos, software, hardware; y si no
se cuenta con ellos, bases de datos físicas que funcionan como registros, además de otros
medios de comunicación y tecnología, acompañados de normas y reglamentos de la
empresa.
OBJETIVOS DE UN SISTEMA DE INFORMACION

Los objetivos de esta auditoría de SI son:

•Salvaguardar los activos útiles para el
procesamiento de datos, evitando robos,
destrucción, usos no adecuados.
•Mantener la integridad de los datos.
•Mediante la contribución de la información
que se maneja en la empresa, alcanzar las metas
organizacionales.
Razones para ejecutar una auditoría
Situaciones que podrían indicar la necesidad de una
auditoría son ;:
1.Aumento considerable e injustificado del presupuesto del
PAD (Departamento de Procesamiento de Datos)

2.Desconocimiento de información en áreas de la empresa.

3.Falta total o parcial de seguridades lógicas y físicas que

garanticen la integridad del personal, equipos e información.

4.Descubrimiento de fraudes efectuados con el computador.

5.Falta de una planificación por carencia de información

oportuna.

6.Descontento de los clientes por incumplimiento de plazos y

mala calidad de los resultados.
QUIEN PUEDE HACER UNA AUDITORIA
 Una auditoría debe ser realizada por un responsable o un grupo de personas
especializados en esta materia, es decir, que cuenten con una titulación
correspondiente y una experiencia demostrable, además de poseer criterios
independientes.

OBJETIVO QUE PERSIGUE UNA AUDITORIA

Toda auditoría tiene como objetivo la elaboración de un documento en el que se recojan
los resultados del proceso y que, a la vez, sirva de referencia para terceros agentes, ya
sean integrantes de la propia empresa o de algún organismo o institución oficial que
haya solicitado la puesta en marcha de la auditoría
 PRINCIPIOS DE LAS AUDITORIAS
 Hay seis principios de auditoría, sobre los cuales se basa la auditoría, de
acuerdo con lo que establecen las normas ISO y metodologías
1. Integridad: toda auditoría debe basarse en la profesionalidad.
2. Presentación justa: cada auditoría tiene la responsabilidad de informar sus hallazgos
de manera no solo precisa sino también veraz.
3. Debido cuidado profesional: cada auditoría debe realizarse de tal manera que se
apliquen el buen juicio y la debida diligencia al proceso.
4. Confidencialidad: mucha de la información que se recopila y comparte durante una
auditoría es de naturaleza confidencial. Su seguridad debe, por lo tanto, ser
asegurada apropiadamente.
5. Independencia: la auditoría, ya sea que la lleve a cabo un auditor interno o externo,
debe ser imparcial y las conclusiones deben ser objetivas, sin verse influidas por
ningún miembro de la gerencia de la organización.
6. Enfoque basado en la evidencia: las conclusiones de la auditoría se deben llegar de
manera racional y no solo deben ser confiables sino también reproducibles. La única
forma en que esto es posible es que el proceso de auditoría sea sistemático y se
base en evidencia.
Taller No. 1 14/01/2022 entrega
próximo 22 de enero de 2022
 DEFINICION DE AUDITORIA CON SUS PALABRAS
 CREAR UN ESCENARIO Y LAS POSIBLES RECOMENDACIONES
 CONCLUSION
Como se define Auditoría de los Sistemas de Información
Esta actividad se define como:
• “La verificación de controles en el procesamiento de la
información,
• Desarrollo de sistemas e instalación con el objetivo de
evaluar su efectividad y presentar recomendaciones a la
Gerencia.
• Consiste en verificar y evaluar los controles pero además
los sistemas y los procesos para el tratamiento de la
información de la empresa.
Resumen;
• “Es el conjunto de técnicas, actividades y procedimientos
destinados analizar, verificar y recomendar en asuntos
relativo a la planificación, control, eficacia seguridad y
adecuación del servicio informático en una empresa
 EJEMPLO DE TIPO DE AUDITORIA
Dependiendo de lo que se busque examinar y la forma en que se realiza podemos encontrar diferentes tipos de auditoría entre los que podemos encontrar:

• Auditoría operacional: este tipo de auditoría se desempeña por un profesional cualificado para ello y tiene como objetivo valorar la empresa y
su gestión para aumentar la eficacia y la eficiencia, hacia una mejora importante en la productividad. No tiene porqué desarrollarse por alguien interno
de la empresa, sino que la propia Dirección podrá contratar a un profesional especializado en ello. El auditor analizará el sistema y propondrá ideas con
mejoras útiles.

• Auditoría de sistemas o especiales: en este grupo encontramos otro tipo de auditorías dirigidas a evaluar otro tipo de factores no económicos,
como es el caso de la auditoría de software, entre otros muchos.

• Auditoría informática: Casi todas las empresas dependen de sistemas informáticos. Por ello, es preciso realizar cada cierto tiempo una evaluación
de los mismos y, si el caso lo exige, actualizarlos y adaptarlos a los requerimientos del contexto. Los dos principales tipos de auditoría informática son las que
se realizan en sistemas informáticos (SIC) y las de procesos electrónicos de datos (PED).

• Auditoría pública gubernamental: se desarrolla por el Tribunal de Cuentas gracias a las competencias adquiridas por la Ley Orgánica de
1984.

• Auditoría integral: esta auditoría evalúa por completo toda la información financiera, estructura de la organización, los sistemas de control
interno, cumplimiento de leyes y objetivos empresariales para dar una visión global y certera del cumplimiento de la empresa.

• Auditoría forense: se realizan en las investigaciones criminales con el objetivo de esclarecer los hechos ocurridos.
• Auditoría fiscal: esta auditoría se realiza con el objetivo de velar por el cumplimiento de las leyes tributarias, para que las empresas y
organizaciones paguen sus impuestos de forma correcta.

• Auditoría financiera: también denominada auditoría contable. Se encarga de examinar y revisar los estados financieros y la preparación de
informes de acuerdo a normas contables establecidas.

• Auditoría de recursos humanos: se utiliza para hacer una revisión de la plantilla, las necesidades que posee la empresa y la gestión del
talento.

• Auditoría ambiental: se analizan todas las actividades de la empresa para controlar e intentar reducir al máximo el impacto que poseen el
medioambiente.
 EJEMPLO No. 1. AUDITORIA DE REDES
 La auditoría de redes es el conjunto de medidas que se toman con el fin de realizar un análisis
completo de la situación general y los datos de una determinada red o de un conjunto de redes. El
objetivo de este estudio es determinar que la red en cuestión cumple con todos los requisitos de
seguridad y está protegida mediante las nuevas amenazas así como ante posibles ataques o
problemas propios de un sector concreto. Una auditoría de red, por tanto, nos da información
relevante sobre la situación de los datos y el cumplimiento de políticas, regulaciones y medidas de
seguridad recomendadas.
 COMO SE REALIZA UNA AUDITORIA DE
REDES
Una auditoría de las redes de una empresa se realiza siguiendo una sería de pasos. No
obstante, primero hay que analizar sobre que tipo de red se va a realizar el estudio. Los
distintos perfiles de auditorías de redes son los siguientes:
• Física o digital. La auditoría de red puede realizarse a la parte física de la red, es decir,
al hardware y demás elementos físicos que componen dicha red. También puede
dedicarse a la parte lógica de la misma. En ambos casos, el objetivo es comprobar que
se cumplen las condiciones exigidas de rendimiento y seguridad.
• Interna o externa. La auditoría de redes de manera interna es aquella que revisa los
protocolos utilizados así como los elementos de configuración. Por su parte, la externa
sería aquella centrada en analizar elementos de acceso como firewalls, routers, o
configuraciones IDS/IPS.
• Inalámbrica o mediante cableado. Según el método de conexión que utilicen los
distintos equipos que conforman la red. Las redes inalámbricas deben comprobar que
se realiza un correcto aprovechamiento de las herramientas de cifrado, necesarias
para proteger la información durante la transmisión de datos.
 EJEMPLO No. 2 AUDITORIA DE SOFTWARE
La Auditoría de Software es un proceso que estudia y analiza los
sistemas operativos de la empresa para mejorarlos y actualizarlos.
Tiene como objetivo conocer cómo se adquiere y utiliza el soporte
lógico de un Sistema Informático (SI) para localizar posibles errores
y, al mismo tiempo, mejorar los activos de software.

La Auditoria de Software se centra en un estudio Conocer cuál es el estado del sistema operativo de la empresa
sobre el programa de administración de software que es esencial para el buen funcionamiento de la misma. Para ello,
utiliza una organización. Su objetivo es conocer a través de la auditoría de software se pueden evaluar los
cómo se adquiere, distribuye y utiliza el soporte programas informáticos utilizados durante el desarrollo de la
lógico de un sistema informático para detectar actividad laboral; revisar el inventario de software; comprobar la
posibles incidencias y, a su vez, optimizar los
seguridad e integridad de las bases de datos; controlar
activos de software. La realización de auditorías de
las herramientas y programas informáticos puede
periódicamente los ficheros generados; revisar la obtención de
llevarse a cabo tanto de forma interna, como medida copias de seguridad o incorporar las diversas actualizaciones
preventiva de la organización, o externa, para evitar informáticas.
el uso fraudulento de la licencia de un software. Los procedimientos de evaluación, verificación y solución
del sistema informático proporcionan a la empresa un mejor
rendimiento tanto de las inversiones ya realizadas como de las
futuras, posicionándose por delante de otras empresas
competidoras.
 EJEMPLO No. 3 AUDITORIA DE SEGURIDAD
 Una auditoría de seguridad informática se podría definir como la evaluación del nivel de
madurez en seguridad de una organización, donde se analizan las políticas y procedimientos de
seguridad definidos por la misma y se revisa su grado de cumplimiento. También, las medidas
técnicas y organizativas implantadas para garantizar la seguridad. Desde UNIR analizamos más
en profundidad en qué consiste una auditoría de seguridad informática y sus tipologías.

Las auditorías de seguridad las podemos diferenciar en función de quién las

realice, en dos tipos:

–Internas: son realizadas por personal propio de la organización con o sin apoyo de
personal externo.

–Externas: son realizadas por personal externo e independiente a la organización.

Según la metodología empleada

En función de la metodología seguida en la auditoría, podríamos diferenciarlas de
la siguiente manera:

–De cumplimiento: auditorías que verifican el cumplimiento de un determinado

estándar de seguridad (ej. ISO 27001) o de las propias políticas y procedimientos
internos de seguridad de la organización.

–Técnicas: auditorías o revisiones de seguridad técnica cuyo alcance está acotado

a un sistema o sistemas informáticos objeto de la revisión.
DIFERENCIA ENTRE AUDITOR INTERNO Y
AUDITOR EXTERNO
 ELEMENTO BASICOS DE UN INFORME DE
AUDITORIA
ELEMENTOS BASICOS EN UN INFORME DE AUDITORIA

 Objetivo de la auditoría:Se describe la razón por la cual se puso en marcha este proceso y, si es el caso, se mencionan los objetivos de
segundo o tercer orden.

• Alcance:

 Se especifican los departamentos, áreas, secciones o delegaciones en las que se llevó a cabo la auditoría y se describe brevemente el
grado de intervención que se realizó en cada uno de ellos.

• Criterios de la auditoría:

 En función de los objetivos, se procede a nombrar los criterios que se tuvieron en cuenta para auditar la empresa y los indicadores
empleados.

• Equipo auditor:

 Se nombran a los miembros del equipo de trabajo que ha realizado la auditoría, en cabeza, claro está, del auditor jefe. Cuanto mejor
queden especificadas las funciones de cada uno, mayor claridad tendrá el proceso.

• Fecha y lugar de realización:

 En este caso se habla de la duración del proceso, fecha de inicio y de finalización, así como del lugar en que se efectuó.

• Hallazgos:

 Constituye sin duda la parte más importante del documento. Con un lenguaje claro, conciso y directo, sus autores mencionan lo que
descubrieron durante el proceso de auditoría. En este sentido, la norma ISO 19011 recomienda seguir el esquema del Orden de Sistema
de Gestión, el cual habla de describir los requisitos cumplidos y aquellos que, por diversas razones, hayan quedado pendientes.

• Conclusiones:

 Por último, el equipo auditor redactará una serie de conclusiones sobre el proceso en términos claros y específicos. Esta información es
la que servirá para implementar soluciones que mejoren la situación interna de la empresa.
AREAS DE APLICACION
AREAS DE APLICACION
AREAS DE APLICACION
AREAS DE APLICACION
AREAS DE APLICACION
PALABRAS CLAVES EN UNA AUDITORIA IMPACTO
RIESGO

CONTROL

REVISION

AMENAZA
VULNERABILIDAD
 TALLER No.2 – Fecha 21-1-2022/sustentación
28/1/2022
• Como equipo contratante, se desea que usted analice este escenario y emita sus opiniones de cuales fueron las posibles
fallas seguridad u otroas que se identifica y que fueron las causantes del incidente
• Que medidas prevención deben ser considerados a implementar
• Que impactos o riesgos se presentaron en el caso
• Cuales serias sus recomendaciones para que estos nos vuelva a ocurrir.

Un contratista de aire acondicionado entra al vestíbulo de una empresa. Se acerca a la recepcionista,

declarando que se supone que debe trabajar en el aire acondicionado en la sala de servidores. La recepcionista
lo escolta a un miembro del departamento de TI que rápidamente le da acceso a la sala de servidores. Después
de esperar en la habitación fría y ruidosa durante unos minutos, la acompañante mira su teléfono varias veces
y finalmente se aleja.
Una vez dentro, el contratista de aire acondicionado localiza el servidor de interés contenido en un rack de
servidores abierto. Saca un disco de arranque de Linux Knoppix-STD, lo coloca en la bandeja de CD y reinicia el
servidor presionando el botón de encendido, que rápidamente inicia la copia de seguridad en Knoppix. Monta la
partición raíz del servidor respectivo, reemplazando la contraseña raíz en el archivo / etc / shadow con un
hash de contraseña conocido y salt. Copia Netcat al servidor e instala los archivos de inicio correspondientes
para crear un túnel inverso y trasladar un shell a un servidor remoto cada vez que se reinicia el servidor. Él
mira casualmente sobre su hombro para asegurarse de que todavía está solo. Retirando el disco Knoppix-STD,
reinicia el servidor y sale de la sala de servidores, pronunciando el aire acondicionado en buen estado de
funcionamiento.
De vuelta a casa en un entorno más cómodo, enciende su monitor para ver la carcasa remota que ya espera
pacientemente. Después de un rápido chasquido de sus nudillos, se pone a trabajar. Sonriendo, piensa en lo
que su abuelo le dijo una vez: "Si haces lo que amas, nunca trabajarás un día en tu vida".