Universidad Nacional Autnoma de Honduras

Facultad de Ciencias Econmicas Administrativas y Contables

Informtica Administrativa

Asignatura:
AI 220 AUDITORIA EN INFORMATICA.
Lic. Adalberto Sierra
9531-0717
adalsierrar@gmail.com
Ciudad Universitaria, Jos Trinidad Reyes
Tegucigalpa, MDC.

Hoja de vida del catedrtico

ACADMICA
- Master Administracin de proyectos, UNITEC
- Licenciatura informtica administrativa, UNAH.
- Miembro del Project Management Institute, PMI.
PROFESIONAL
- Gerente de aplicaciones y DBA en Grupo INTUR.
- Gerente de sistemas Operadores logsticos RANSA
- Coordinador de sistemas zona centro-sur Central de Ingenios
azucareros.
- Consultor independiente ORACLE, SQL Server, Aplicaciones
Microsoft(.Net)

POLITICAS DEL CURSO:

La puntualidad se estimular en el transcurso del curso, En el caso
que por algn motivo de fuerza mayor el catedrtico no pueda
asistir a la clase, siempre se comunicar con tiempo y se asignar
un trabajo para que el mismo sea desarrollado en el perodo de
clase.
La asistencia es obligatoria desde la primera semana.
Los alumnos diariamente deben firmar la lista de asistencia con
lpiz de tinta.
No se permite dejar la clase sin permiso despus de haber firmado
la lista.
Prestar atencin a la ctedra y hacer las consultas en el momento
oportuno.
No conversar con los compaeros durante el desarrollo de la
clase.
Respetar la poltica de asistencia y tardos estipulada con
anterioridad.

POLITICAS DEL CURSO:

Honestidad en la firma de la lista de asistencia.
No se permite el uso de celulares durante la clase, puede salir del
aula a contestar la llamada.
No se admiten comidas y bebidas en el aula.
Tanto las tareas como los proyectos estn sujetos a defensa, para
comprobar la originalidad de los mismos, cuando el profesor lo
considere oportuno.
Todo trabajo a entregar deber presentarse limpio, ordenado y con
los requerimientos establecidos previamente (portada, en flder o
anillado, etc.). La fecha y hora de presentacin deben ser
observadas.
El comportamiento de los estudiantes y su trato con los
compaeros deber estar dentro del marco de los modales y las
buenas costumbres.

Objetivos de la Asignatura

GENERAL
Desarrollar en el estudiante las competencias necesarias para
administrar el riesgo y seguridad en las empresas
infotecnolgicas.
ESPECFICOS
- Establecer las bases de las polticas de seguridad y
administracin del riesgo en los centros de infotecnologa.
- Comprender esquemas de seguridad.
- Conocer normas internacionales de auditoria, aplicables a los
centros de datos.

Jornalizacion de contenidos
Parcial
I

Objetivos
1.

2.

3.
4.

Conocer el papel
del auditor de
sistemas dentro de
las empresas.
Conceptos y
metodologas de la
auditoria en
sistemas.
Evaluar lo
aprendido.
Revisar y discutir
examen.

Contenido
1.

2.

3.
4.
5.

6.

Importancia de la
auditoria
informtica.
Importancia de la
seguridad de la
informacin.
El perfil del auditor
informtico.
Funciones del
auditor de sistemas.
Procedimientos
generales de
auditoria.
Controles de
auditoria

Evaluacin del aprendizaje

Evaluacin del aprendizaje

Tres Pruebas de Conocimiento y Habilidades

45%

Proyecto

40%

Tareas e Investigaciones

15%

Total

100%

Desarrollo de la Clase
Conceptos Bsicos de Auditora Informtica
Justificacin.
Objetivos.
Ejemplos de Auditorias.

Primero: Qu es la auditoria?

Es la revisin independiente que realiza un

auditor profesional, aplicando tcnicas,
mtodos y procedimientos especializados, a
fin de evaluar el cumplimiento de funciones,
actividades, tareas y procedimientos de una
organizacin, as como dictaminar sobre el
resultado de dicha evaluacin.
Muoz (2002,34)

Auditoria
La palabra auditora viene del latn auditorius y de esta proviene
auditor, que tiene la virtud de or y revisar cuentas, pero debe estar
encaminado a un objetivo.

Auditor
Es la persona capacitada para realizar auditoras en empresas o

instituciones. Pertenece a un colegio oficial.

Auditar
Consiste principalmente en estudiar los mecanismos de
control

que

estn

implantados

en

una

empresa

organizacin, determinando si los mismos son adecuados y

cumplen

unos

determinados

objetivos

estrategias,

estableciendo los cambios que se deberan realizar para la

consecucin de los mismos.

Justificacin de la Auditoria

Recursos
TIC

Objetivos generales de la Auditora.

Realizar una revisin independiente de las actividades, reas o
funciones especializadas de una institucin, a fin de emitir un
dictamen profesional sobre la razonabilidad de sus operaciones y
resultados.
Hacer una revisin especializada, desde un punto de vista
profesional y autnomo, del aspecto contable, financiero y
operacional de las reas de una empresa.
Evaluar el cumplimiento de los planes, programas, polticas,
normas y lineamientos que regulan la actuacin de los empleados
y funcionarios de una institucin, as como evaluar las actividades
que se desarrollan en sus reas y unidades administrativas.

Objetivos generales de la Auditora.

Dictaminar de manera profesional e independiente sobre los
resultados obtenidos por una empresa y en sus reas, as
como sobre el desarrollo de sus funciones y el cumplimiento
de sus objetivos y operaciones.

Principios de Auditoria.

Con referencia a los

auditores:

Conducta tica: Confianza, integridad,

confidencialidad, discrecin.
Ecuanimidad: Veracidad y exactitud.
Cuidado profesional: Diligencia y juicio
al auditar.

Con referencia a la
auditoria:

Independiente: Sin sesgos ni conflicto de

intereses.
Enfoque basado en evidencias: Datos
fiables y reproducibles, verificables.

Clasificacin de los tipos de Auditorias

Auditorias por su lugar de Aplicacin

Auditorias por su rea de Aplicacin
Auditorias especializadas en reas especficas.
Auditorias de sistemas Computacionales.

Auditorias por su lugar de Aplicacin

Esta clasificacin se refiriere a la forma en que se realiza este tipo
de trabajos, y tambin a cmo se establece la relacin laboral en
las empresas donde se llevar a cabo la auditoria; esto nos da un
origen externo si el auditor no tiene relacin con la empresa, o un
origen interno si existe alguna relacin del auditor con la empresa
auditada.
Auditoria Externa
Auditoria Interna

Auditoria Externa.
Jos Lpez (2008), dice que se realiza por personas ajenas a
la empresa, ya que esta contrata un servicio para auditar su
sistema de informacin por personas externas a la empresa.
Muoz Carlos (2000), expreso que es la revisin
independiente que realiza un profesional de la auditoria, con
total libertad de criterio y sin ninguna influencia, con el
propsito de evaluar el desempeo de las actividades,
operaciones y funciones que se realizan en la empresa que lo
contrata, as como de la razonabilidad en la emisin de sus
resultados financieros.

Ventajas de la Auditoria Externa.

Alto grado de objetividad que se consigue, dado que es
realizada por un personal ajeno a la empresa y no tendr
condicionantes de dependencia jerrquica o injerencia por la
empresa auditada.
En su realizacin, estas auditoras pueden estar apoyadas por
una mayor experiencia por parte de los auditores externos,
debido a que utiliza tcnicas y herramientas que ya fueron
probadas en otras empresas con caractersticas similares.
Sus dictmenes pueden ser vlidos para las autoridades
impositivas, y con ello pueden satisfacer requerimientos de
carcter legal, siempre que sean realizadas por auditores de
prestigio que tengan el reconocimiento pblico.

Desventajas de la Auditoria Externa.

La principal desventaja es que, el auditor conoce poco la
empresa, su evaluacin est limitada a la informacin que
pueda recopilar.
Muchas de estas auditorias se derivan de imposiciones
fiscales y legales que pueden crean ambientes hostiles para
los auditores que las realizan.
Depende en absoluto de la cooperacin que el auditor pueda
obtener de parte de los auditados.
Su evaluacin, alcances y resultados pueden ser muy
limitados.
En algunos casos son sumamente costosas para la empresa,
no solo en el aspecto numrico, sino por el tiempo y trabajo
adicional que representan.

Auditoria Interna.
Segn Carmen Heredero (2008), Es realizada por una entidad
funcional perteneciente a la propia estructura organizacional
de la empresa y como contraprestaciones reciben una
remuneracin econmica.
Por otro lado Muoz Carlos (2000), refiere la auditoria interna
con el objetivo de obtener un dictamen interno sobre las
actividades de toda la empresa, que permita diagnosticar la
actuacin administrativa, operacional y funcional de
empleados y funcionarios de las reas que auditen.

Ventajas de la Auditoria Interna.

Debido a que el auditor permanece conoce las problemtica,
funciones, actividades, reas y operaciones.
Por otra parte el coste ser menor puesto que los recursos
solo son internos para organizacin, por lo tanto no
representan ninguna erogacin adicional.
El informe que rinde el auditor, independientemente del
resultado, es solo de carcter interno y por lo tanto no sale de
la empresa, ya que nicamente le sirve a las autoridades de la
institucin.
Puede llevar un programa concreto de evaluacin en apoyo a
las autoridades de la empresa, lo cual ayudara a sus
dirigentes en la evaluacin y la toma de decisiones.

Desventajas de la Auditoria Interna.

Posible falta de objetividad de las personas que la llevan a
cabo, puesto que pueden estar directamente implicados en el
propio sistema de informacin.
Su veracidad, alcance y confiabilidad pueden ser limitados,
debido a que puede haber injerencias por parte de las
autoridades de la institucin sobre la forma de evaluar y emitir
informes.
Se pueden presentar vicios de trabajo del auditor con relativa
frecuencia, ya sea en las formas de utilizar las tcnicas y
herramientas para aplicar la auditoria.

Auditorias por su rea de Aplicacin

Esta se refiere al mbito especifico donde se llevan a cabo las
actividades y operaciones que sern auditadas, ubicando la
auditoria de acuerdo con el rea de trabajo o especialidad que
ser evaluada.

Auditora Financiera(Contable).
Auditora Administrativa.
Auditora Ocupacional.
Auditora Integral.
Auditora Gubernamental.
Auditora de Sistemas.

Auditorias por su rea de Aplicacin

Auditora Financiera (contable).
- La actividad del auditor consiste en revisar la correcta aplicacin
de los registros contables y operaciones financieras de las
empresas.
Auditora administrativa.
- Es la revisin sistemtica y exhaustiva que se realiza a la
actividad administrativa de una empresa, en cuanto a su
organizacin, las relaciones entre sus integrantes y el
cumplimiento de las funciones y actividades que regulan sus
operaciones.

Auditorias por su rea de Aplicacin

Auditora operacional.
- Es la revisin sistemtica y exhaustiva, sistemtica y especifica
que se realiza a las actividades de una empresa, con el fin de
evaluar su existencia, suficiencia, eficacia, eficiencia y el correcto
desarrollo de sus operaciones.
Auditora integral.
- Es la revisin exhaustiva, sistemtica y global que realiza un
equipo multidisciplinario de profesionales a todas las actividades
y operaciones de una empresa, con el propsito de evaluarla de
manera integral, todas sus reas administrativas.

Auditorias por su rea de Aplicacin

Auditora gubernamental.
- Es la revisin exhaustiva, sistemtica y concreta que se realiza
a todas las actividades y operaciones de una entidad
gubernamental.
Auditora informtica.
- Es la revisin tcnica, especializada y exhaustiva que se realiza
a los sistemas computacionales, software e informacin utilizados
en una empresa, sean individuales, compartidos o de redes, as
como a sus instalaciones, telecomunicaciones, mobiliario,
equipos perifricos, y dems componentes. El propsito
fundamental es evaluar el uso adecuado de los sistemas para el
correcto ingreso de los datos, el procesamiento adecuado y la
emisin oportuna de sus resultados en la organizacin.

Auditora Informtica
Consiste en verificar el funcionamiento de un sistema de
informacin, aplicando una serie de conocimientos, tcnicas y
mtodos con el propsito de examinar la operatividad del
sistema.
Jos de Jess Aguirre Bautista nos dice: La Auditora en
informtica se refiere a la revisin prctica que se realiza
sobre los recursos informticos con que cuenta una entidad
con el fin de emitir un informe o dictamen sobre la situacin en
que se desarrollan y se utilizan esos recursos.

Importancia De La Auditora Informtica

Permite realizar un diagnstico de la situacin actual
Garantizar la seguridad de los centros de datos
Mejora la imagen pblica de la organizacin
Genera confianza en los usuarios sobre la seguridad y el
control de servicios de TI.

Disminuye los costos de la mala calidad (reproceso, rechazos,

reclamos)
Genera un balance de los riesgos de TI

Realiza un control de la inversin en un entorno de TI

Objetivos de la Auditoria informtica

Evaluar la fiabilidad
Evaluar la dependencia de los Sistemas y las medidas
tomadas para garantizar su disponibilidad y continuidad

Revisar la seguridad de los entornos y sistemas

Analizar la garanta de calidad de los Sistemas de Informacin

Analizar los controles y procedimientos tanto organizativos
como operativos.

Verificar el cumplimiento de la normativa y legislacin

vigentes

Elaborar un informe externo independiente.

Utilizacin de estndares.

Factores que propician la Auditora

Informtica
Leyes gubernamentales.
Polticas internas de la empresa.

Necesidad de controlar el uso de equipos computacionales.

Altos costos debido a errores.
Prdida de informacin y de capacidades de procesamiento
de datos, aumentando as la posibilidad de toma de decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y confidencialidad de las
transacciones de la organizacin.

Tipos de Auditoria Informtica.

Auditora de la gestin informtica
Auditora de las bases de datos
Auditora informtica de sistemas
Auditora informtica de explotacin
Auditora informtica de comunicaciones
Auditora informtica de desarrollo
Auditora informtica de seguridad

Auditora de planificacin

Tipos de Auditoria Informtica.

Auditora de la Gestin Informtica.
Referido a la contratacin de bienes y servicios que brinda por
informtica, funciones, control interno informtico, estructura,
documentacin de los programas, revisin de organigramas,
determinacin de existencia de estndares de proceso de datos,
polticas de personal (retribucin, formacin) examen de mtodos
de trabajo, nivel de participacin de usuarios, examen del nivel de
aceptacin de los servicios informticos.

Auditor Informtico

Tipos de Auditoria Informtica.

Auditora de las Bases de Datos.
Controles de acceso, de actualizacin, de integridad y calidad de
los datos, respaldo y recuperacin.
Que Es Una Auditoria De Base De Datos: Es el proceso que
permite medir, asegurar, demostrar, monitorear y registrar los
accesos a la informacin almacenada en las bases de datos
incluyendo la capacidad de determinar:
Quin accede a los datos.
Cundo se accedi a los datos.
Desde qu tipo de dispositivo/aplicacin.
Desde que ubicacin en la Red.
Cul fue la sentencia SQL ejecutada.
Cul fue el efecto del acceso a la base de datos.

Tipos de Auditoria Informtica.

Auditora de las Bases de Datos.
Objetivo:
Disponer de mecanismos que permitan capturar de una auditora
la relacin del personal con el acceso a las bases de datos
incluyendo la capacidad de generar, modificar y/o eliminara
datos.
Importancia:
Dentro de los aspectos de mayor importancia de la auditora del
entorno de bases de datos radica en que es el punto de partida
para poder realizar la auditora de las aplicaciones que se utilizan,
adems que toda la informacin financiera de una compaa
reside en una de estas, ya que debe existir controles adecuados y
relacionados con el acceso a las mismas.

Tipos de Auditoria Informtica.

Auditora Informtica de Sistemas.

Revisin de los sistemas de informacin actuales, tanto a nivel
hardware como software, con objeto de descubrir potenciales
puntos de mejora y determinar en qu modo debera actuarse
para mejorar tanto stos como otros aspectos.
Anlisis de procedimientos de entrada y salida, analizar los
estudios de seleccin de HW y SW, comprobar la seguridad de
los datos, las libreras usadas por los programadores, el
inventario del HW y SW.

Tipos de Auditoria Informtica.

Auditora Informtica de Explotacin.
Revisin de todos los procesos encargados de producir
resultados, entre ellos la captura de la informacin, revisar la
existencia de documentacin de procedimientos, revisar el control
de consumo de recursos, seguridad, inventarios, imputacin de
costos, existencia de normas escritas, es prcticamente si el da a
da esta bien.
Por qu es necesaria la Auditora Informtica de
Explotacin ?
El nivel de competencia que existe, hoy en da, entre las
empresas les obliga a tomar decisiones rpidas y acertadas. Es
necesario, para ello el funcionamiento adecuado de los sistemas
informticos (mediante la incorporacin de las nuevas
tecnologas) y su continua actualizacin.

Tipos de Auditoria Informtica.

Objetivos Auditora Informtica de Explotacin.
Controlar los manuales de instrucciones y procedimientos de
explotacin.
Controlar los inicios de los procesos y otra documentacin de
funcionamiento.
Revisar la agenda de trabajo.
Verificar la continuidad del proceso.
Realizar controles sobre la explotacin remota.
Comprobar que en ningn caso los operadores acceden a
documentacin de programas que no sea la exclusiva para su
explotacin.
Revisar que existen procedimientos que impidan que puedan
correrse versiones de programas no activos.

Tipos de Auditoria Informtica.

Auditora de Comunicaciones.
Revisin de la topologa de Red y de terminacin de posibles
mejoras, anlisis de caudales y grados de utilizacin.
Para el Auditor Informtico, el entramado conceptual que
constituyen las Redes Nodales, Lneas, Concentradores,
Multiplexores, Redes Locales, etc., no son sino el soporte
fsico-lgico del Tiempo Real.

Tipos de Auditoria Informtica.

Por qu y Para qu se hace la Auditoria Informtica en
comunicaciones?
Asegurar la integridad, confidencialidad y confiabilidad de la
informacin.
Minimizar existencias de riesgos en el uso de Tecnologa de
informacin
Conocer la situacin actual del rea informtica para lograr los
objetivos.
Asegurar seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informtico, as como tambin
seguridad del personal, los datos, el hardware, el software y
las instalaciones.
Capacitar y educar sobre controles en los Sistemas de
Informacin.

Tipos de Auditoria Informtica.

Auditora Informtica de Desarrollo.
Revisin del proceso completo de desarrollo de proyectos por
parte de la empresa auditada.
El anlisis se basa en cuatro aspectos fundamentales:
revisin de las metodologas utilizadas
control interno de las aplicaciones
Satisfaccin de los usuarios.
Control de procesos y ejecuciones de programas crticos.

Tipos de Auditoria Informtica.

Aspectos A Revisar En Una Aplicacin
1.
2.
3.
4.
5.
6.
7.
8.
9.

La documentacin del sistema

Operatividad del sistema
Ciclo de vida
Actualizacin de archivos
Integridad de los datos
Efectividad del sistema
Seguridad del sistema
Sistema de respaldo
Auditabilidad del sistema

Tipos de Auditoria Informtica.

Auditora Informtica de la Seguridad
Abarca los conceptos de seguridad fsica y seguridad lgica
Auditora de entornos fsicos:
Adecuacin de las instalaciones antes posibles amenazas (
fuego, agua, calor, polvo)
La proteccin del hardware y de los soportes de datos, as
como a la de los edificios e instalaciones que los albergan,
contemplando las situaciones de incendios, sabotajes, robos,
catstrofes naturales, etc.
Auditora de entornos lgicos:
La acreditacin de usuario
El secreto en archivos y transacciones.

Tipos de Auditoria Informtica.

Auditora Informtica de la Planificacin.
Busca controlar que la funciones informticas aumenten de
acuerdo a un plan de crecimiento de la empresa segn su
estrategia y no solo por las necesidades del momento.
Tres niveles:
Estratgicos: (4-5 aos)
Tctico: (1-2 aos) fijacin de un plan informtico (prioridades)
Operacional: Asociacin de tareas

Auditoria De Un Sistema De Informacin

La auditora de los sistemas de informacin se define como
cualquier auditora que abarca la revisin y evaluacin de
todos los aspectos (o de cualquier porcin de ellos) de los
sistemas
automticos
de
procesamiento
de la informacin, incluidos los procedimientos no
automticos relacionados con ellos y las interfaces
correspondientes. (Aguirre, 2007).
Toda la auditora que comprenda la revisin y evaluacin de
todos los aspectos ( o cualquier porcin ) de los sistemas
automatizados de procesamiento de informacin, incluyendo
los procesos no automatizados relacionados y las interfaces
entre ellos.( ISACA).

Auditoria De Un Sistema De Informacin

Objetivos
Participacin en el desarrollo de nuevos sistemas.
Evaluacin de controles
Cumplimiento de la metodologa.

o Evaluacin de la seguridad en el rea informtica.

o Evaluacin de suficiencia en los planes de contingencia.

Auditoria De Un Sistema De Informacin

Objetivos
Respaldos, proveer qu va a pasar si se presentan fallas
o Opinin de la utilizacin de los recursos informticos.
o Control de modificacin a las aplicaciones existentes.

o Participacin en la negociacin de contratos con los

proveedores.
o Revisin de la utilizacin del sistema operativo y los
programas
o Auditora de la base de datos.
o Auditora de la red de teleprocesos.
o Desarrollo de software de auditora.

Auditor Informtico
Auditor Informtico:
Es un profesional dedicado al anlisis de
sistemas de informacin e informticos que
est especializado en algunas de las
mltiples ramas de la auditoria informtica,
que tiene conocimientos generales y que
adems posea las caractersticas necesarias
para actuar como consultor con su auditado,
dndole ideas de cmo enfocar la
construccin de los elementos de control y
de gestin y actuar como consejero en la
organizacin en la que est desarrollando su
labor.

Cualidades De Un Auditor Informtico

Competencias sociales.
Trabajo en equipo: Capacidad para desempear un rol dentro
de un equipo de trabajo, con responsabilidad y en colaboracin.
Comunicacin: Capacidad de informar, recibir informacin y
transmitir una idea claramente, tanto a nivel escrito como
verbal.

Resolucin de problemas: Anlisis y toma de decisiones en

situaciones no resueltas.

Cualidades De Un Auditor Informtico

Competencias sociales.
Anlisis: Capacidad de ver diferentes partes o aspectos de una
misma informacin.
Sntesis: Capacidad de llegar a una conclusin tras el anlisis
de una serie de datos.

Cualidades De Un Auditor Informtico

Competencias Personales.
Integridad: Coherencia en las actitudes e ideas transmitidas.
Inteligencia emocional: Aptitudes para controlar las emociones
dentro de las relaciones sociales. Autocontrol.
Motivacin: Auto-motivacin para desempear un trabajo con
responsabilidad y entusiasmo.
Evaluar programas y polticas pblicas.
Revisar y evaluar riesgos de reas gestionadas por las TIC.
Identificar o diagnosticar problemas y plantear soluciones.

Caractersticas deseables y no deseables

de un auditor
DESEABLES
Amigable
Analtico
Buen comunicador
Buen receptor
Carcter firme
Diplomtico
Honesto
Inquisitivo (curioso)
ntegro
Interesado
Justo
Objetivo
Paciente
Perseverante
Profesional
Razonable
Sabe planear

NO DESEABLES
Agresivo
Autoritario
Deshonesto
Fcil de influenciar
Indeciso
Inmaduro
No sabe planear
Poco comunicativo
Poco profesional
Poco razonable
Polmico
Terco

Perfil del Auditor Informtico

El auditor informtico debe ser una persona con un alto grado de
calificacin tcnica y al mismo tiempo estar integrado en las corrientes
organizativas empresariales que imperan hoy en da.
Adems debe contemplar en su formacin bsica una mezcla de
conocimientos de auditoria financiera y de informtica general en
cuanto a:

Desarrollo Informtico: Gestin de proyectos y del ciclo de vida de

un proyecto de desarrollo.
Gestin del departamento de sistemas.
Anlisis de riesgos en un entorno informtico.
Estndares de la Auditoria de S.I(COBIT, ISO/IEC 27000, ITIL,
COSO)

Perfil del Auditor Informtico

Gestin de bases de datos.
Operaciones y planificacin informtica: Efectividad de las
operaciones y del rendimiento de los sistemas.
Gestin de la seguridad de los sistemas y de la continuidad
empresarial a travs de planes de contingencia de la informacin.
Administracin de datos.
Ofimtica.
Encriptacin de datos.
Sistemas operativos.
Telecomunicaciones.
Redes locales.
Seguridad fsica.

Dimensiones del Trabajo del Auditor

Informtico
Revisin de Controles de las Aplicaciones:
Determinar que los sistemas producen la informacin a tiempo,
exacta y completa.
Revisin de Integridad de Datos:
Complecin, consistencia y exactitud.
Revisin de C.V. de Desarrollo:
Determinar la adherencia a los estndares de CV de desarrollo
aceptados.
Revisin de Controles Generales de los Procedimientos
Operacionales:
Determinar que las aplicaciones se procesan en un entorno
controlado.

Dimensiones del Trabajo del Auditor

Informtico
Revisin de Seguridad:
Asegurar la proteccin adecuada de los programas, de los
datos y de la instalacin de procesamiento de datos.
Revisin Software de los Sistemas:
Determinar el cumplimiento con las polticas de la organizacin.
Revisin de Mantenimiento:
Determinar que los sistemas se han modificado de acuerdo con las
polticas de la organizacin.
Revisin de Adquisicin:
Determinar que los recursos de la organizacin se estn utilizando
de forma econmica.

Dimensiones del Trabajo del Auditor

Informtico
Revisin de la Gestin de Recursos del Procesamiento de
Datos:
Determinar su adecuacin en el cumplimiento de los objetivos
organizativos.
Gestin de Auditora Informtica:
Utilizar de forma efectiva los recursos disponibles de la funcin
de la auditora informtica y para cumplir el requisito de
auditora informtica de la organizacin

Funciones De Un Auditor Informtico

Anlisis de la administracin de los sistemas de informacin,
desde un enfoque de riesgo de seguridad, administracin y
efectividad de la administracin.
Anlisis de la integridad, fiabilidad y certeza de la informacin, a
travs del anlisis de aplicaciones.
Planificar las actividades de auditora.
Consensuar un cronograma con el auditado o cliente.
Solicitar y analizar documentacin, con objeto de emitir una
opinin.
Anlisis de datos a travs de herramientas y sntesis de
conclusiones.
Trabajo de campo, entrevistas y revisiones in-situ.

Certificacin de Auditor de Sistemas de

Informacin (CISA)
es la principal Certificacin de ISACA, desde 1978.
Es una certificacin para auditores respaldada por la Asociacin
de Control y Auditora de Sistemas de Informacin (ISACA)
(Information Systems Audit and Control Association).
ISACA es una asociacin independiente, global y sin fines de
lucro. Estamos comprometidos con el desarrollo, la adopcin y
uso de conocimiento y prcticas lderes en la industria de TI.
Estos conocimientos y prcticas tienen uso y aceptacin a nivel
mundial.

Certificacin de Auditor de Sistemas de

Informacin (CISA)
Segn la Information Systems Audit and Control Association, el
manual de preparacin al examen CISA (2005), el profesional de
auditora informtica debe considerar los siguientes puntos
primordiales en relacin a normas y estndares:
Revisin de la estructura Organizacional, las polticas y
procedimientos referentes a la seguridad informtica y el ambiente
de control del rea informtica.
Verificacin del control de ingresos fsicos a reas sensibles y de
las vas de acceso lgico.

Revisin del estado del Plan de Recuperacin de Desastres

Organizacional.

Requisitos Certificacin de Auditor de

Sistemas de Informacin (CISA)
Los candidatos a la certificacin CISA deben pasar un examen de
acuerdo con el Cdigo Profesional de tica de ISACA, adems de
comprobar cinco aos de experiencia en auditora de sistemas,
control interno y seguridad informtica y tener un programa de
educacin continua.

Requisitos Certificacin de Auditor de

Sistemas de Informacin (CISA)
En caso de no cumplir con estos requisitos, existen algunas
equivalencias definidas en la pgina de ISACA:
Un mnimo de un ao de experiencia en sistemas de
informacin o un ao de experiencia en auditoras
operacionales, pueden ser sustituidos por un ao de
experiencia auditora de sistemas, control interno y seguridad
informtica.
60 a 120 horas de estudios profesionales pueden ser
sustituidos por uno o dos aos de experiencia respectivamente.

Requisitos Certificacin de Auditor de

Sistemas de Informacin (CISA)
2 aos de instructor de tiempo completo en Universidad en
campos relacionados, ejemplo: ciencias computacionales,
contabilidad, auditora de sistemas de informacin, pueden ser
sustituidos por un ao de experiencia de auditora de sistemas
de informacin, control interno y seguridad de informtica.

Los beneficios de CISA a la Gerencia y a la

Organizacin.
La certificacin CISA provee a la Gerencia la posibilidad de:
Medir la competencia de sus futuros empleados.
Determinar que el personal calificado proteja los activos de la
Empresa.
Confirmar si sus habilidades o destrezas de Auditora, Control y
Seguridad de Sistemas de Informacin de los Especialistas se
mantienen actualizadas respecto de la tecnologa.
Identificar qu especialistas son los candidatos ideales a
promover. Los beneficios de CISA a los profesionales de
Auditora, Control y Seguridad de SI.

Los beneficios de CISA a la Gerencia y a la

Organizacin.
La certificacin CISA provee al profesional de las siguientes
habilidades.
Demostrar su experiencia y competencia.
Lograr conocimiento en su carrera.
Estar relacionado con un programa que tiene aceptacin
mundial.
Mejorar sus oportunidades laborales y estabilidad laboral.
Mejorar su credibilidad en la profesin.
Ser distinguido como profesional calificado.

reas De Conocimiento Para El Examen

CISA
El proceso de auditora de SI (14%)
Gobierno de TI (14%)

Administracin del ciclo de vida de infraestructura y sistemas

(19%)
Soporte y entrega de servicios de TI (23%)
Proteccin de los activos de informacin (30%)

Seguridad Informtica

Objetivos
Explicar la importancia de la informacin como activo
estratgico.

Definir la expresin Seguridad Informtica.

Describir los principios que sirven de fundamento a la
Seguridad Informtica.
Ejemplificar los mecanismos de implantacin de la seguridad
informtica, asocindolos con el principio que fortalecen.

Seguridad Informtica

Conceptos:
Como consecuencia de la amplia difusin de la tecnologa
informtica, la informacin:

Puede utilizarse para fines poco ticos.

Puede divulgarse sin autorizacin de su propietario.
Puede estar sujeta a robos, sabotaje o fraudes.

Seguridad Informtica

Conceptos:
La Seguridad Informtica (S.I.) es la disciplina que se ocupa de
disear las normas, procedimientos, mtodos y tcnicas,
orientados a proveer condiciones seguras y confiables, para el
procesamiento de datos en sistemas informticos.
La decisin de aplicarlos es responsabilidad de cada usuario.
Las consecuencias de no hacerlo tambin.

Principios de Seguridad Informtica

Para lograr sus objetivos, la seguridad informtica se fundamenta
en tres principios, que debe cumplir todo sistema informtico:
1. Confidencialidad

2. Integridad
3. Disponibilidad

Principios de Seguridad Informtica

Confidencialidad
Se refiere a la privacidad de los elementos de informacin
almacenados y procesados en un sistema informtico.
Basndose en este principio, las herramientas de seguridad
informtica deben proteger al sistema de invasiones, intrusiones
y accesos, por parte de personas o programas no autorizados.

Este principio es particularmente importante en sistemas

distribuidos, es decir, aquellos en los que usuarios,
computadores y datos residen en localidades diferentes, pero
estn fsica y lgicamente interconectados.

Principios de Seguridad Informtica

Integridad
Se refiere a la validez y consistencia de los elementos de
informacin almacenados y procesados en un sistema
informtico.
Basndose en este principio, las herramientas de seguridad
informtica deben asegurar que los procesos de actualizacin
estn sincronizados y no se dupliquen, de forma que todos los
elementos del sistema manipulen adecuadamente los mismos
datos.
Este principio es particularmente importante en sistemas
descentralizados, es decir, aquellos en los que diferentes
usuarios, computadores y procesos comparten la misma
informacin.

Principios de Seguridad Informtica

Disponibilidad
Se refiere a la continuidad de acceso a los elementos de
informacin almacenados y procesados en un sistema
informtico.
Basndose en este principio, las herramientas de Seguridad
Informtica deben reforzar la permanencia del sistema
informtico, en condiciones de actividad adecuadas para que
los usuarios accedan a los datos con la frecuencia y dedicacin
que requieran.
Este principio es particularmente importante en sistemas
informticos cuyo compromiso con el usuario, es prestar
servicio permanente.

Formas De Ataque Informtico

Los insiders(Internos) empleados disconformes o personas

externas con acceso a sistemas dentro de la empresa, utilizan
sus permisos para alterar archivos o registros.
Los outsiders(Externos) personas que atacan desde afuera
de la ubicacin fsica de la organizacin, ingresan a la red
simplemente averiguando la existencia de vulnerabilidades de
seguridad.

Ataques contra el flujo de la informacin

Flujo Normal

Los mensajes en una red se envan a partir de un emisor a uno

o varios receptores
El atacante es un tercer elemento; en la realidad existen
millones de elementos atacantes, intencionales o accidentales.

Receptor

Emisor

Atacante

Ataques contra el flujo de la informacin

Interrupcin

El mensaje no puede llegar a su destino, un recurso del sistema

es destruido o temporalmente inutilizado.

Este es un ataque contra la Disponibilidad.

Receptor

Emisor

Atacante

Ataques contra el flujo de la informacin

Intercepcin

Una persona, computadora o programa sin autorizacin logra el

acceso a un recurso controlado.

Es un ataque contra la Confidencialidad.

Receptor

Emisor

Atacante

Ataques contra el flujo de la informacin

Modificacin.

La persona sin autorizacin, adems de lograr el acceso,

modifica el mensaje.

Este es un ataque contra la Integridad.

Receptor

Emisor

Atacante

Ataques contra el flujo de la informacin

Fabricacin.

Una persona sin autorizacin inserta objetos falsos en el

sistema.

Es un ataque contra la Autenticidad.

Receptor

Emisor

Atacante

Riesgos
Riesgo:
La posibilidad de que ocurra un acontecimiento que tenga impacto
en el alcance de los objetivos. El riesgo se mide en trminos de
impacto y probabilidad.
Por otro lado, peligro es la potencialidad de ocurrencia de un dao,
prdida o lesin.

Tipos de Riesgo

Inherente: es aquel que est directamente relacionado con la

naturaleza de los procesos desarrollados, en ausencia de
controles.

Residual es el riesgo subsistente una vez aplicados los controles.

Riesgo residual = Riesgo inherente - Control

Tipos de Riesgo

Control: Cualquier medida que tome la direccin, el Consejo y

otras partes, para gestionar los riesgos y aumentar la probabilidad
de alcanzar los objetivos y metas establecidos. La direccin
planifica, organiza y dirige la realizacin de las acciones suficientes
para proporcionar una seguridad razonable de que se alcanzarn
los objetivos y metas.

Administracin Del Riesgo

Alto
Riesgo
Administrado

Logro de
Objetivos
Ineficacia
por
exposicin

Ineficacia por
controles

Bajo
Desinformado
-

Gerenciado
Controles

Obsesionado
+

Clasificacin Del Riesgo

Riesgo Estratgico: Se asocia con la forma en que se administra
la Entidad.
Riesgo Operativo: Comprende los riesgos relacionados tanto con
la parte operativa como tcnica de la entidad, incluye riesgos
provenientes de deficiencias en los sistemas de informacin, en la
definicin de los procesos, en la estructura de la entidad, la
desarticulacin entre dependencias, lo cual conduce a
ineficiencias, oportunidades de corrupcin e incumplimiento de los
compromisos institucionales.

Clasificacin Del Riesgo

Riesgos Financieros: Se relacionan con el manejo de los
recursos de la entidad que incluye, la ejecucin presupuestal, la
elaboracin de los estados financieros, los pagos, manejos de
excedentes de tesorera y el manejo sobre los bienes de cada
entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la
entidad para cumplir con los requisitos legales, contractuales, de
tica pblica y en general con su compromiso ante la comunidad.
Riesgos de Tecnologa: Se asocian con la capacidad de la
Entidad para que la tecnologa disponible satisfaga las
necesidades actuales y futuras de la entidad y soporte el
cumplimiento de la misin.

Conceptos
Gobierno
La combinacin de procesos y estructuras implantados por el
Consejo de Administracin para informar, dirigir, gestionar y vigilar
las actividades de la organizacin con el fin de lograr sus objetivos.
Control Interno
Concepto fundamental de la administracin y control, aplicable en
las entidades del Estado para describir las acciones que
corresponde adoptar a sus titulares y funcionarios para preservar,
evaluar y monitorear las operaciones y la calidad del servicio.

Conceptos
Mapa de Riesgos
Representacin grfica (usualmente en cuadrantes) de los riesgos
de una entidad/proceso/procedimiento, conforme a un criterio de
probabilidad e impacto
Gestin de Riesgos
un proceso para identificar, evaluar, manejar y controlar
acontecimientos o situaciones potenciales, con el fin de
proporcionar un aseguramiento razonable respecto del alcance de
los objetivos de la organizacin.

Conceptos
Apetito por el riesgo

Medio

Excediendo
el Apetito de
Riesgo

Dentro del
Apetito de
Riesgo

Bajo

Impacto

Alto

El nivel de riesgo que la organizacin est dispuesta a asumir en

su bsqueda de rentabilidad y valor.

Bajo

Medio

Probabilidad

Alto

Conceptos
Tolerancia al riesgo
El nivel de variacin que la organizacin est dispuesta a asumir
en caso de desviacin a los objetivos empresariales trazados
Estrategia de negocio

Variacin
Inaceptable

Lmite de
tolerancia

Desempeo
Real

Meta Fijada
Lmite de
tolerancia
Variacin
Inaceptable
Tiempo

Una poltica de gestin de riesgos.

Objetivos de control interno y de gestin de riesgos (gobierno)
Una declaracin de la actitud de la organizacin para con los riesgos
(estrategia)
Descripcin de la cultura consciente de los riesgos o ambiente de
control
Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo)
Organizacin de la gestin de riesgos y acuerdos (arquitectura)
Detalle de los procedimientos para el reconocimiento de riesgos y su
priorizacin (evaluacin de riesgos)
Lista de documentacin para analizar y reportar riesgos (protocolos de
riesgo)
Requerimientos de mitigacin de riesgos y mecanismos de control
(respuesta al riesgo)
Prioridades y temas de entrenamiento en gestin de riesgos
Asignacin de los recursos apropiados para la gestin de riesgos
Actividades y prioridades relacionadas a la gestin de riesgos para el
ao venidero

Identificacin de Riesgos
Esta etapa busca identificar los riesgos que deben ser
gestionados
Riesgo que no sea identificado, es excluido en cualquier
anlisis posterior
Qu puede suceder: impida el logro de los objetivos o
responsabilidades asignadas, afecte la eficiencia de mis
funciones, genere prdidas (tiempo, imagen, recursos, etc.)
Los riesgos se identifican independientemente de que estn
bajo el control de la entidad o no

Herramientas y Tcnicas
de identificacin de riesgos

Tcnicas de Recopilacin de
Informacin

Tormenta de Ideas

Tcnicas de Diagramacin

Diagrama causa/efecto

Tcnica Delphi
Cuestionarios y encuesta

Diagrama flujo de proceso

Entrevistas
Anlisis FODA

Diagramas de Influencia

Niveles de Riesgo
Bajo: Requiere monitoreo peridico a fin de mantener los riesgos
en este nivel (Nivel 1)
Criterios Fundamentales:
Incumplimiento parcial de normas y procedimientos internos
dentro del perodo evaluado. (no repetitivo)

Equivalente nivel de Riesgo/Madurez:

4 - ptimo

Niveles de Riesgo
Moderado: Requiere atencin de la gerencia (Nivel 2)

Criterios Fundamentales:
Incumplimiento reiterativo de procedimientos internos dentro del
perodo evaluado
Desactualizacin de normas y procedimientos internos
relacionados con la administracin de activos.
Equivalente nivel de Riesgo/Madurez:
3 - Implementado

Niveles de Riesgo
Alto: Requiere atencin urgente de las gerencias responsables
(Nivel 3)
Criterios Fundamentales:
Afectacin al cumplimiento de los objetivos operativos
Atencin y servicio al cliente (trascendencia pblica local)
Prdidas y multas por incumplimiento de normativas internas y
externas.
Omisin en la aplicacin de controles crticos en los procesos
operativos y de soporte.
Carencia de normas y procedimientos internos relacionados con
la administracin de activos y recursos.
Omisin en la implantacin de recomendaciones en dos
perodos consecutivos.
Equivalente nivel de Madurez:
2 En Proceso

Niveles de Riesgo
Extremo: Requiere atencin urgente de la alta direccin (Nivel 4)

Criterios Fundamentales:
Afectacin al cumplimiento de los objetivos estratgicos
Afectacin de la imagen institucional (trascendencia pblica a
nivel nacional)
Interrupcin de las operaciones que afecten la prestacin de los
servicios y que generen un efecto econmico negativo.
Fraudes: robos e irregularidades internacionales
Omisin en la aplicacin de controles crticos en los procesos
estratgicos, operativos y soporte
Equivalente nivel de Madurez:
1 Inexistente / Inicial

Anlisis de Riesgos
El anlisis de riesgos involucra prestar consideracin a las
fuentes de riesgos, sus consecuencias y las probabilidades de
que puedan ocurrir esas consecuencias
Implica
determinar:
fuentes
del
riesgo,
posibilidad,
consecuencias, responsables, acciones.
Se deben identificar los controles o acciones que ayuden a
minimizarlos
Cualitativos. El anlisis cualitativo utiliza formatos de palabras o
escalas descriptivas para describir la magnitud de las
consecuencias potenciales y la probabilidad de que esas
consecuencias ocurran.
Cuantitativos. Uso de datos numricos para la determinacin de
los riesgos.

Evaluar los riesgos

La evaluacin de riesgos involucra comparar el nivel de riesgo
detectado durante el proceso de anlisis con criterios de riesgo
establecidos previamente
El propsito de la evaluacin de riesgos es tomar decisiones
basadas en los resultados del anlisis de riesgos (tratamiento
de riesgos y la prioridad)
NIVEL DE PROBABILIDAD
Nivel

NIVEL DE IMPACTO

Descripcin

Concepto

Nivel

Descripcin

Concepto

Impro bable

P uede o currir en algn mo mento

Insignificante

El riesgo tiene un efecto nulo o pequeo , en el desarro llo

del pro ceso - baja perdida financiera

P o co pro bable /
Raro

P uede o currir s lo en circunstancias

excepcio nales

M eno r

El desarro llo del pro ceso sufre un dao meno r - Co n

perdida financiera meno r

P ro bable

P ro bablemente o curriria en la
mayo ria de circunstancias

M o derado

El desarro llo del pro ceso sufre un deterio ro , dificultando

o retrazando su cumplimiento - Co n afectaci n financiera

P o tencial

P uede o currir en la mayo ra de

circunstancias

M ayo r

El desarro llo del pro ceso es afectado significativamente P rdida financiera mayo r

Casi cierto

Se espera que o curra en la mayo ria de

circunstacias

Catastro fico

El pro ceso es gravemente daado - Eno rme perdida

financiera

IMPACTO

Evaluar los riesgos

Catastrfico

Modera do

Al to

Al to

Extremo

Extremo

Mayor

Modera do

Modera do

Al to

Extremo

Extremo

Moderado

Ba jo

Modera do

Al to

Al to

Al to

Menor

Ba jo

Modera do

Modera do

Modera do

Al to

Insignificante

Ba jo

Ba jo

Ba jo

Modera do

Modera do

Ra ra vez

Oca s i ona l

Poco
frecuente

FRECUENCIA

Frecuente

Muy frecuente

Evaluar los riesgos