Auditora Informtica

Grado en Ingeniera Informtica de Servicios y Aplicaciones

Curso 2014/2015

Antecedentes y definicin
Objetivos de la auditora
Tipos de auditora
Auditora de Sistemas de Informacin
Porqu hacer Auditora de Sistemas?
Objetivos de la Auditora de Sistemas
Tipos de Auditora de Sistemas
Reglas y normas de auditora

En tiempos histricos, auditor era aquella

persona a quien le lean los ingresos y gastos
producidos por un establecimiento, prctica
utilizada por civilizaciones muy antiguas.
En algunos sitios se duplicaban los escribanos

Se estima que el nacimiento de la Auditora fue a

finales del siglo XV, cuando los revisores de
cuentas se aseguraban de que no hubiera
fraudes en los reportes que se les presentaban.

Es la revisin independiente que realiza un

auditor profesional, aplicando tcnicas, mtodos
y procedimientos especializados, a fin de
evaluar el cumplimiento de las funciones,
actividades, tareas y procedimientos de una
entidad administrativa, as como dictaminar
sobre el resultado de dicha evaluacin.

Realizar una revisin independiente de las

actividades, reas o funciones especiales de
una institucin, a fin de emitir un dictamen
profesional sobre la razonabilidad de sus
operaciones y resultados.

Hacer una revisin especializada, desde un

punto de vista profesional y autnomo, del
aspecto contable, financiero y operacional de
las reas de una empresa.

Evaluar el cumplimiento de los planes,

programas, polticas, normas y lineamientos
que regulan la actuacin de los empleados y
funcionarios de una institucin, as como de
sus reas y unidades administrativas.

Dictaminar de manera profesional e

independiente sobre los resultados obtenidos
por una empresa y sus reas, as como sobre
el desarrollo de sus funciones y el
cumplimiento de sus objetivos y operaciones.

Auditora Externa
Auditora por su
lugar de Aplicacin

Auditora Interna

Auditora financiera

Auditora administrativa

Auditora operacional
Auditora por su rea de aplicacin
Auditora integral

Aditora gubernamental

Auditora de sistemas de
informacin

A finales del siglo XX, los Sistemas Informticos se han constituido

en las herramientas ms poderosas para materializar uno de los
conceptos ms vitales y necesarios para cualquier organizacin
empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la
empresa, y por eso las normas y estndares propiamente
informticos deben estar, por lo tanto, sometidos a los generales de
la misma.
En consecuencia, las organizaciones informticas forman parte de lo
que se ha denominado el "management" o gestin de la empresa.
Cabe aclarar que la Informtica no gestiona propiamente la
empresa, ayuda a la toma de decisiones, pero no decide por s
misma.
Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditora de Sistemas Informticos.

El trmino de Auditora se ha empleado

incorrectamente con frecuencia ya que se ha
considerado como una evaluacin cuyo nico fin
es detectar errores y sealar fallas.
El concepto de auditora de sistemas es mucho
ms que esto
entonces, para qu hacemos Auditora de
Sistemas?

Las computadoras y los Centros de Proceso de Datos se

convirtieron en blancos apetecibles no solo para el
espionaje, sino para la delincuencia y el terrorismo >Auditora Informtica de Seguridad.

Las computadoras creadas para procesar y difundir

resultados o informacin elaborada pueden producir
resultados o informacin errnea si dichos datos son, a
su vez, errneos. -> Auditora Informtica de Datos

Aumento considerable e injustificado del presupuesto

del Departamento de Procesamiento de Datos
Desconocimiento en el nivel directivo de la situacin
informtica de la empresa
Falta total o parcial de seguridades lgicas y fsicas que
garanticen la integridad del personal, equipos e
informacin.
Descubrimiento de fraudes efectuados con el
computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de
polticas, objetivos, normas, metodologa, asignacin de
tareas y adecuada administracin del Recurso Humano

Descontento general de los usuarios por

incumplimiento de plazos y mala calidad de los
resultados.
Falta de documentacin o documentacin incompleta de
sistemas que revela la dificultad de efectuar el
mantenimiento de los sistemas en produccin

en funcin de todos estos motivos por los

que hacer auditora de sistemas, podemos
definir la Auditora de Sistemas de Informacin o
Auditora Informtica

La auditoria en informtica es la revisin y la evaluacin

de:
los controles, sistemas, procedimientos de informtica;
los equipos de cmputo, su utilizacin, eficiencia y seguridad,
la organizacin que participan en el procesamiento de la
informacin

a fin de que por medio del sealamiento de vias alternativas se

logre una utilizacin ms eficiente y segura de la informacin que
servir para una adecuada toma de decisiones.

Realizar una evaluacin con personal

multidisciplinario y capacitado en el rea de
sistemas, con el fin de emitir un dictamen
independiente sobre la razonabilidad de las
operaciones del sistema y la gestin
administrativa del rea de informtica.
Hacer la evaluacin sobre el uso de los recursos
financieros en el rea del centro de informacin.

Evaluar el uso y aprovechamiento de los

equipos de cmputo, as como, el uso de sus
recursos tcnicos y materiales para el
procesamiento de informacin.
Evaluar el aprovechamiento de los sistemas
de procesamiento, sus sistemas operativos,
lenguajes, programas, asi como, el desarrollo
e instalacin de nuevos sistemas.

Evaluar el cumplimiento de planes,

programas, estndares, polticas, normas y
lineamientos que regulan las funciones y
actividades de las reas y de los sistemas de
procesamiento de informacin.
Realizar la evaluacin de las reas,
actividades y funciones de una empresa,
apoyado en programas especiales para la
auditora.

Asegurar la integridad, confidencialidad y confiabilidad

de la informacin.
Minimizar existencias de riesgos en el uso de Tecnologa
de informacin
Conocer la situacin actual del rea informtica para
lograr los objetivos.
Seguridad,
utilidad,
confianza,
privacidad
y
disponibilidad en el ambiente informtico, as como
tambin seguridad del personal, los datos, el hardware,
el software y las instalaciones.

Sntomas
Sntomas
usuarios
Sntomas
Sntomas

de descoordinacin y desorganizacin
de mala imagen e insatisfaccin de los
de debilidades econmico-financiero
de Inseguridad

Auditora informtica

Auditora con la computadora

Auditora a travs del computador
Auditoria alrededor de la computadora
Auditora a la gestin informtica
Auditora de sistemas de
informacin

Aditora al sistema de cmputo

Auditora de la seguridad de sistemas computacionales
Auditora a los sistemas de redes
Auditora integral a los centros de cmputo

Auditora
Externa

Auditora
Interna

Auditora ISO-9000 a los sistemas computacionales

Otros

Otras:

Auditora de la gestin: Referido a la contratacin de bienes y servicios,

documentacin de los programas, etc.
Auditora de los datos: Clasificacin de los datos, privacidad de ciertos
tipos de datos, estudio de las aplicaciones.
Auditora de las bases de datos: Controles de acceso, de actualizacin,
de integridad y calidad de los datos.
Auditora de la seguridad lgica: Referidos a datos e informacin
verificando disponibilidad, integridad, confidencialidad, autenticacin y
no repudio (importante en juicios).
Auditora de la seguridad fsica: Referido a la ubicacin de la
organizacin, evitando ubicaciones de riesgo, y en algunos casos no
revelando la situacin fsica de sta. Tambin est referida a las
protecciones externas (arcos de seguridad, vigilantes, etc.) y
protecciones del entorno.
Auditora de seguridad en las comunicaciones. Se refiere a la auditoria de
los procesos de autenticacin en los sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y
fraudes.

En este enfoque de auditora, los programas y los

archivos de datos no se auditan.
La auditora alrededor del computador concentra sus
esfuerzos en la entrada de datos y en la salida de
informacin.
Es el ms cmodo para los auditores de sistemas, por
cuanto nicamente se verifica la efectividad del sistema
de control interno en el ambiente externo de la
mquina. Naturalmente que se examinan los controles
desde el origen de los datos para protegerlos de
cualquier tipo de riesgo que atente contra la integridad,
completitud, exactitud y legalidad.

La auditora alrededor del computador no es tan simple como

aparentemente puede presentarse, pues tiene objetivos muy importantes
como:

1. Comprobar la eficiencia de los controles sobre seguridades fsicas y lgicas de

los datos.
2. Asegurarse de la existencia de controles dirigidos a que todos los datos
enviados a proceso estn autorizados.
3. Comprobar la existencia de controles para asegurar que todos los datos
enviados sean procesados.
4. Cerciorarse que los procesos se hacen con exactitud.
5. Comprobar que los datos sean sometidos a validacin antes de ordenar su
proceso.
6. Examinar los controles de salida de la informacin para asegurar que se eviten
los riesgos entre sistemas y el usuario.
7. Verificar la satisfaccin del usuario. En materia de los informes recibidos.
8. Comprobar la existencia y efectividad de un plan de contingencias, para
asegurar la continuidad de los procesos y la recuperacin de los datos en caso de
desastres.

Este enfoque est orientado a examinar y evaluar los

recursos del software, y surge como complemento del
enfoque de auditora alrededor del computador, en el
sentido de que su accin va dirigida a evaluar el sistema
de controles diseados para minimizar los fraudes y los
errores que normalmente tienen origen en los
programas.
Este enfoque es ms exigente que el anterior, por
cuanto es necesario saber con cierto rigor, lenguajes de
programacin o desarrollo de sistemas en general, con
el objeto de facilitar el proceso de auditaje.

Objetivos de esta auditora

1. Asegurar que los programas procesan los datos, de acuerdo con las
necesidades del usuario o dentro de los parmetros de precisin
previstos.
2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de
los programas.
3. Verificar que los programadores modifiquen los programas solamente
en los aspectos autorizados.
4. Comprobar que los programas utilizados en produccin son los
debidamente autorizados por el administrador.
5. Verificar la existencia de controles eficientes para evitar que los
programas sean modificados con fines ilcitos o que se utilicen
programas no autorizados para los procesos corrientes.
6. Cerciorarse que todos los datos son sometidos a validacin antes de
ordenar su proceso correspondiente.

Este enfoque va dirigido especialmente, al examen y

evaluacin de los archivos de datos en medios
magnticos, con el auxilio del computador y de software
de auditora generalizado y/o a la medida.
Este enfoque es relativamente completo para verificar la
existencia, la integridad y la exactitud de los datos, en
grandes volmenes de transacciones.
La auditora con el computador es relativamente fcil de
desarrollar porque los programas de auditora vienen
documentados de tal manera que se convierten en
instrumentos de sencilla aplicacin.

Normalmente son paquetes que se aprenden a manejar en cursos

cortos y sin avanzados conocimientos de informtica. Los paquetes
de auditora permiten desarrollar operaciones y prueba, tales como:

1. Reclculos y verificacin de informacin, como por ejemplo, relaciones

sobre nmina, montos de depreciacin y acumulacin de intereses, entre
otros.
2. Demostracin grfica de datos seleccionados.
3. Seleccin de muestras estadsticas.
4. Preparacin de anlisis de cartera por antigedad.

Habr que generar un informe sobre la confiabilidad del sistema de

control interno para proteger los datos sometidos a proceso y la
informacin contenida en los archivos maestros.

Los tres enfoques de auditora vistos, son

complementarios.

Es la revisin independiente que realiza un

profesional de la auditora, con total libertad
de criterio y sin ninguna influencia, con el
proposito de evaluar el desempeo de las
actividades, operaciones y funciones que se
realiza en la empresa que lo contrata.
La auditora externa es realizada por
auditores ajenos a la empresa auditada; es
siempre remunerada.

Ventajas

Desventajas

El auditor es totalmente
independiente y libre de cualquier
injerecia por parte de la empresa
auditada

La evaluacin del auditor externo

puede estar limitada a la
informacin que pueda recopilar

Los auditores externos utilizan

tcnicas y herramientas provadas
en otras empresas similares

Depende de la cooperacin que el

auditor externo pueda obtener por
parte de los auditados

Las auditoras externas tienen

gran aceptacin para optar a
certificaciones, sus dictmenes
son vlidos

Muchas auditoras de este tipo se

derivan de imposiciones fiscales y
legales que pueden llegar a crear
ambientes hostiles para los
auditores que las realizan
Pueden ser costosas para la
empresa tanto econmicamente
como por el tiempo y trabajo
adicional que representan

Es la revisin que realiza un profesional de la

auditora, cuya relacin de trabajo es directa y
subordinada a la institucin donde se aplicar la
auditora, con el proposito de evaluar en forma
interna el desempeo y cumplimiento de las
actividades, operaciones y funciones que se
realiza en la empresa.
La auditora interna existe por expresa decisin
de la Empresa, o sea, que puede optar por su
disolucin en cualquier momento.

Ventajas

Desventajas

El auditor conoce integralmente

las actividades, operaciones y
reas de la empresa, por lo tanto,
su revisin puede ser ms
profunda y con mayor
conocimiento

Su veracidad, alcance y
confiabilidad pueden ser lmitados

El informe de la auditora es slo

de carcter interno

En ocaciones la opinin del auditor

tal vez no sea absoluta

Permite detectar problemas y

desviaciones a tiempo, lo cual
ayudar en la evaluacin y en la
toma de decisiones

Se pueden presentar vicios de

trabajo del auditor, ya sea en las
formas de utilizar las tcnicas y
herramientas para aplicar la
auditora, como en la forma de
evaluar y emitir su informe

Consume slo recursos internos

Organizacin de la Auditora Interna

Al igual que ocurran con los anteriores tipos, ambos enfoques

son complementarios.
Una Empresa o Institucin que posee auditora interna puede y debe
en ocasiones contratar servicios de auditora externa.
Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual
los servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en
aquellos supuestos de emisin interna d graves recomendaciones que
chocan con la opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas
externas decretadas por terceros.
Aunque la auditora interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que
se le realicen auditoras externas como para tener una visin desde fuera
de la empresa.

Objetivo

Momento

Auditora

Controlar el desempeo

Previo a los eventos

Consultora

Optimizar el desempeo

Posterior a los eventos

Suele existir un flujo AUDITORA CONSULTORA

A la hora de realizar una auditora, tenemos

que considerar dos conceptos
fundamentales:
Las reglas de auditora
Las normas de auditora

Aqu lo presentamos, pero todo esto lo veremos en

detalle en los prximos temas

La auditora informtica consiste en comparar

uno o varios actos de gestin, desde uno o
varios puntos de vista, con los que deberan ser.

Ms especfico de la Auditora Informtica:

Tema 5!
Temas 2 y 3!

Los medios y las acciones elegidas por el auditor

deben adaptarse exclusivamente a la finalidad
de la auditora, siendo coherentes entre s y,
desde luego, fiables y seguros.

Ejemplo:
La informacin
enviada por la red
tienen que estar
codificadas (SSL)

La informacin no
est codificada!!

Utilizamos un sniffer
para capturar
paquetes y
observamos la
informacin capturada

Robo de
informacin y de
contraseas

Implementar un
mecanismo de
transmisin de la
informacin
mediante SSL

Las Normas de Auditora son los

lineamientos bsicos que el auditor debe
seguir en el cumplimiento de la labor de
auditora.
El organismo encargado de elaborar estas
normas para la ejecucin de tareas de
auditora es el Comit Internacional de
Prcticas de Auditora cuya sigla en ingls es
IAPC (International Auditing Practices
Comittee)

Son los requisitos mnimos de calidad

relativos a la personalidad de auditor, al
trabajo que desempea y a la informacin
que rinde como resultado de su trabajo.
Las normas de Auditora se clasifican en:
Normas de ejecucin de trabajo
Normas de la informacin
Normas personales

Planeacin y supervisin
Estudio y evaluacin del control interno
Obtencin de evidencia suficiente y
competente

Tema 4!

El resultado final del trabajo del auditor es su

dictamen o informe. Mediante este, pone en
conocimiento de las personas interesadas los
resultados de su trabajo y la opinin que se ha
formado a travs de su examen.

Debe presentarse siguiendo las normas de auditora

Presenta las observaciones que se hayan detectado
durante el periodo de evaluacin, destacando aquellas
desviaciones de los procedimientos normales
Contienen la opinin razonada del auditor
Tema 6!

Se refieren a las cualidades que el auditor

debe tener para poder asumir, dentro de las
exigencias que el carcter profesional de la
auditoria impone, un trabajo de este tipo.
Entrenamiento tcnico y capacidad profesional
Cuidado y diligencia profesionales
Independencia

Tema 8!

Auditora Informtica
Grado en Ingeniera Informtica de Servicios y Aplicaciones
Curso 2014/2015

Contenidos

Introduccin
Control Interno y Auditora Informtica
Sistemas de Control Interno informtico

Definicin y categoras
Implantacin de sistemas de Control Interno
Tipos de controles internos

La informacin en las empresas es un recurso

crtico que hay que proteger.
Es necesario que la informacin sea guardada de
forma segura, que sea exacta, completa,
confidencial, y disponible en el momento que se
necesite.
Es necesario adoptar medidas de control interno
y auditora en la empresa, que proporcionen
dichas cualidades de la informacin y que
cumplan con la legislacin.

Desde el punto de vista de los Sistemas de

Informacin, el control interno es cada vez
ms importante, debido a:

La creciente independencia de las organizaciones y

sus procesos respecto a sus sistemas de
informacin.
El aumento de la complejidad.
El xito de las estrategias de externalizacin de la
gestin de los sistemas de informacin.
La globalizacin.
La gestin de la calidad total.

La auditora informtica tambin se incorpora

a las organizaciones como necesidad, debido
a:
La redaccin de normativas reguladoras (LOPD).
Los sistemas de comercio electrnico, que obligan a
abrir los sistemas de informacin a terceros
El aumento de los sistemas de informacin y la
complejidad de los mismos.

Control Interno Informtico

El Control Interno Informtico controla diariamente

que todas las actividades de sistemas de
informacin sean realizadas cumpliendo los
procedimientos, estndares y normas fijados por la
Direccin de la Organizacin y la Direccin de
Informtica, as como los requerimientos legales.
Su misin es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada
responsable sean correctas y vlidas.

Control Interno Informtico

Suele ser un rgano dentro del Departamento de

Informtica de la organizacin.
Sus objetivos principales son:

Controlar que todas las actividades se realizan

cumpliendo los procedimientos y normas fijados.
Controlar que se cumple la legislacin.
Asesorar en el conocimiento de las normas.
Colaborar y apoyar el trabajo de la Auditora
Informtica
Definir, implantar, y ejecutar mecanismos y controles
para comprobar el logro de los niveles adecuados del
servicio informtico.

Control Interno Informtico

Realiza controles en los diferentes sistemas

(centrales, departamentales, redes locales, PCs,
etc) y entornos informticos (produccin,
desarrollo, pruebas):

Cumplimiento de procedimientos, normas, y controles

dictados.
A destacar: vigilancia sobre el control de cambios y
versiones del software.

Controles sobre la produccin diaria.

Controles sobre la calidad y eficiencia del desarrollo y
mantenimiento del software.
Controles en las redes de telecomunicaciones.

Control Interno Informtico

Controles sobre el software de base.

Controles sobre la seguridad informtica:

Usuarios y perfiles.
Bases de datos.
Normas de seguridad.
Control de informacin clasificada.

Licencias y contratos con terceros.

Asesorar y transmitir cultura sobre el riesgo
informtico.

Auditora Informtica

Proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado:
1. Salvaguarda los activos.
2. Mantiene la integridad de los datos.
3. Lleva a cabo eficientemente los fines de la
organizacin.
4. Utiliza eficientemente los recursos.

Auditora Informtica

Sus objetivos principales son:

Proteccin de activos e integridad de datos.

Objetivos de eficacia y eficiencia.

El auditor evala y comprueba en determinados

momentos de tiempo los controles y procedimientos
informticos ms complejos con tcnicas
mecanizadas de auditora.

Auditora Informtica

Funciones a realizar por un Auditor Informtico

Participar en las revisiones durante y despus del

diseo, realizacin, implantacin y explotacin de
aplicaciones informticas.
Revisar y juzgar los controles implantados en los SI
para ver si se adecuan a las rdenes de la direccin,
requisitos legales, confidencialidad, cobertura de
errores y fraude.
Revisar y juzgar el nivel de eficiencia, utilidad,
fiabilidad, y seguridad de los equipos e informacin

Entonces control Interno y Auditora

Informtica son campos anlogos?
Ambos tienen los mismos objetivos
globales pero con diferencias!!!

Control Interno Informtico

Auditor Informtico

Personal interno.
Conocimientos especializados en Tecnologas de la Informacin.
Similitudes Verificacin del cumplimiento de controles internos, normativa, y
procedimientos establecidos por la Direccin de Informtica y la
Direccin General para los SI.
Anlisis de los controles da a
da.
Informa a la Direccin del Dpto.
de Informtica.
Direfencias El alcance de sus funciones es
nicamente sobre el
Departamento de Informtica.

Anlisis en un momento
informtico determinado.
Informa a la direccin general
de la organizacin.
Tiene cobertura sobre todos
los componentes de los SI de la
organizacin.

Definicin de Control Interno

Cualquier actividad o accin realizada manual y/o

automticamente para previenir, corregir errores o
irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus
objetivos.

Cuando se diseen, desarrollen, e implanten los

Controles Internos, estos han de ser:

completos
simples
fiables
revisables
adecuados
rentables

importante siempre hay que analizar el coste-riesgo de la

implantacin.

En general los controles informticos se pueden

clasificar en tres categoras:
Controles preventivos: para tratar de evitar algo.

Ej: instalar un software de seguridad que impida los accesos no

autorizados al sistema.

Controles detectivos: para cuando fallan los

preventivos, tratar de saber que ha pasado algo cuanto
antes.
Ej: registro de accesos no autorizados, registro de actividad
diaria, etc

Controles correctivos: para facilitar la vuelta a la

normalidad cuando ha ocurrido una incidencia.

Ej: recuperacin de un fichero daado a partir de las copias de

seguridad.

Para implantar un sistema de control interno

es necesario seguir una serie de pasos:
1. Documentarse del estado informtico actual de la
organizacin.
2. Definir los controles bsicos a seguir.
3. Implantar en distintas etapas.

1. Documentacin sobre todos los detalles informticas

de la organizacin:

Entorno de red: esquema de la red, configuracin hardware

comunicaciones, software utilizado en control de comunicaciones,
control de red, etc
Configuracin del ordenador: configuracin fsica, sistema
operativo, software con particiones, bibliotecas, conjuntos de
datos.
Entorno de aplicaciones: procesos de transacciones, sistemas de
gestin de BBDD, procesos distribuidos.
Productos y herramientas: software de desarrollo aplicaciones,
software de gestin, etc
Seguridad del ordenador: identificar usuarios, control de acceso,
registro e informacin, integridad del sistema, etc

2. Definir los controles bsicos a seguir:

Gestin de sistemas de informacin: polticas, pautas y

normas tcnicas a seguir.
Administracin de sistemas: controles sobre la
actividad de los centros de datos y administracin de
redes.
Seguridad: integridad del sistemas, confidencialidad,
disponibilidad.
Gestin del cambio: procedimientos para migracin y
actualizacin de software.
(Se detallarn ms adelante en este tema T23)

3. Implantacin por fases:

Direccin de negocio: han de definir la poltica de los sistemas de

informacin en base a las exigencias del negocio.
Direccin de Informtica: han de definir las normas de
funcionamiento del entorno informtico y de cada una de las
funciones de Informtica.
Control Interno Informtico: definir los controles peridicos a
realizar en cada una de las funciones informticas. Tienen que
disearlos conforme a las exigencias legales y del negocio.
Auditor informtico: Revisar los controles informticos en base a
la direccin de negocio e informtica, e informar a la alta
direccin de los hechos/fallos encontrados, recomendando
acciones para minimizar los riesgos.

Funcionamiento del Control Interno informtico

Tipos de controles internos para Sistemas de

Informacin (agrupacin por secciones
funcionales):
1. Controles generales organizativos.
2. Controles de desarrollo, adquisicin y
mantenimiento de sistemas de informacin.
3. Controles de explotacin de sistemas de
informacin.
4. Controles en aplicaciones.
5. Controles especficos de ciertas tecnologas.
6. Controles de calidad.

Comprobar la existencia de planificacin:

Plan Estratgico de Informacin: procesos corporativos. Creado por la

alta direccin de la empresa.
Plan Informtico: creado por el departamento de informtica.
Plan general de seguridad (fsica y lgica): que garantice la
confidencialidad, integridad, y disponibilidad de la informacin.
Plan de emergencia ante desastres: que garantice la disponibilidad de los
sistemas ante eventos.

Estndares: cumplimiento de estndares.

Procedimientos: relacin entre el dpto. de informtica y los
departamentos usuarios.
Organizacin del dpto. de informtica.
Polticas de personal: seleccin, formacin, vacaciones, promocin.
Asegurarse de que la direccin resuelve todos los problemas.

Metodologa del ciclo de vida en el desarrollo de sistemas.

Las especificaciones de los nuevos sistemas deben estar definidas
por los usuarios y tienen que estar escritas y aprobadas antes de
que comience el proceso de desarrollo.
Estudio de viabilidad y de coste-beneficio.
Procedimientos para la definicin y documentacin de: diseo,
entradas, salidas, ficheros, programas, etc
Plan de validacin, verificacin, y pruebas.
Procedimientos de adquisicin de software tienen que seguir los
procedimientos establecidos en la organizacin y tienen que
probarse antes de pagar por ellos y ponerlos en uso.
Las contrataciones adicionales deben estar aprobadas por el
director del proyecto.
Debern prepararse manuales de operacin y mantenimiento, as
como manuales de usuario.

Controles para usar, de manera efectiva, los recursos en

ordenadores.
Calendario de carga de trabajo.
Mantenimiento preventivo del material.
Gestin de problemas y cambios.
Procedimientos de facturacin a usuarios.
Procedimientos de seleccin de software, instalacin,
mantenimiento, seguridad, y control de cambios.
Seguridad fsica y lgica:
Crear un grupo de seguridad de la informacin (para
identificar/prevenir problemas de seguridad).
Controles fsicos para evitar el acceso de personal no autorizado.
Las personas de fuera de la organizacin tendrn que ir
acompaadas en todo momento.

Seguridad fsica y lgica:

Instalacin de medidas de proteccin contra el fuego.

Formacin y concienciacin de los problemas de seguridad.
Formacin y concienciacin de los mecanismos de evacuacin del
edificio.
Control de acceso mediante nombre de usuario y contrasea
personal e intransferible.
Normas que regulen el acceso a todo el material informtico.
Existencia de un plan de contingencias en ordenadores y
procesos crticos.

Control de entrada de datos: procedimientos de

conversin y de entrada, validacin y correccin de
datos.
Controles de tratamientos de datos para asegurar que
no se dan de alta, modifican o borran datos no
autorizados para garantizar la integridad de los mismos
mediante procesos no autorizados.
Controles de salidas de datos: sobre el cuadre y
reconciliacin de salidas, procedimientos de distribucin
de salidas, gestin de errores en salidas, etc

Controles en el Sistemas de Gestin de Bases de

Datos:

Deber instalarse para mantener la integridad del

software, bases de datos, y las instrucciones de
control.
Personal responsable de administracin de datos.
Existencia de procedimientos para cambios en los
datos (qu datos cambiar, cmo cambiarlos, quin los cambia).
Controles sobre el acceso a los datos.
Controles para minimizar fallos, recuperar las BBDD en
situaciones de cada, y minimizar el tiempo necesario
en la recuperacin.
Controles para asegurar la integridad de los datos.

Controles en informtica distribuda y redes:

Planes adecuados de implantacin, conversin, y

pruebas de aceptacin para la red.
Existencia de un grupo de control de red.
Controles para asegurar la compatibilidad del conjunto
de datos entre aplicaciones cuando la red es
distribuda.
Procedimientos que definan las medidas y controles de
seguridad a ser usados en la red de informtica.
Identificar los conjuntos de datos sensibles de la red y
determinar mecanismos para su seguridad.
Existencia de inventario de todos los activos de la red.
Procedimientos de respaldo de hardware y software de
red.

Controles en informtica distribuda y redes:

Existencia de mantenimiento predictivo.

Verificar todos los mensajes de entrada y salida.
Control de acceso a la red de la empresa.
Perfiles de los usuarios.
Procedimientos de cifrado de informacin sensible.
Monitorizacin para medir la eficiencia de la red.
Disear el trazado fsico de la red y la seguridad fsica de las
lneas.
Detectar la correcta o mala recepcin de mensajes.
Identificar todos los mensajes con un id de usuario y terminal.
Asegurarse de que existan procedimientos de recuperacin y
reinicio.
Considerar circuitos de conmutacin que usen rutas alternativas
para diferentes paquetes de informacin del mismo mensaje.

Controles sobre ordenadores personales y redes de rea

local:

Polticas de adquisicin y utilizacin.

Normativas y procedimientos de desarrollo y adquisicin de
software de aplicaciones.
Procedimientos de control de software contratado bajo licencia.
Controles de acceso a redes, mediante clave personal, a travs de
los ordenadores.
Revisiones peridicas del uso de los ordenadores.
Controles para evitar cambiar la configuracin de la red.
Controles para evitar modificar el hardware de los ordenadores o
la red.
Inventario actualizado (aplicaciones y hardware).

Controles sobre ordenadores personales y redes de rea

local:

Poltica referente a la organizacin y utilizacin de los discos

duros de los equipos, as como para la nomenclatura de los
archivos que contienen, y verificar que contiene al menos:
obligatoriedad de etiquetar el disco duro con el nmero de serie
del equipo, creacin de un subdirectorio por el usuario en el que
se almacenarn todos sus archivos privados, as como creacin de
un subdirectorio pblico que contendr todas las aplicaciones de
uso comn para los distintos usuarios.
Procedimientos de control de los file-transfer que se realizan y de
controles de acceso para los equipos con posibilidades de
comunicacin.
Polticas que obliguen a desconectar los ordenadores de la red
cuando no se est haciendo uso de ellas.

Controles sobre ordenadores personales y redes de rea

local:
Contratos de mantenimiento.
Cuando en las acciones de mantenimiento se requiera la accin
de terceros o la salida de los equipos de los lmites de la oficina,
se debern establecer procedimientos para evitar la divulgacin
de informacin confidencial o sensible.
Mantener un registro de las acciones de mantenimiento
realizadas, incluyendo la descripcin del problema y la solucin
dada al mismo.
Los ordenadores debern estar conectados a equipos de
continuidad (UPS).
Proteccin contra incendios, inundaciones, electricidad esttica.
Polticas de acceso fsico en horario fuera del normal.

Controles sobre ordenadores personales y redes de rea

local:
Colocacin de las impresoras.
Procedimientos de backup a dados sensibles.
Procedimientos de destruccin de datos o informes
confidenciales.
En los computadores en que se procesen aplicaciones o datos
sensibles, instalar protectores de oscilacin de lnea elctrica y
sistemas de alimentacin ininterrumpida.
Procedimientos de instalacin y modificacin de software por
parte de los usuarios.
Controles para evitar la introduccin de un sistema operativo a
travs de disquete que pudiera vulnerar el sistema de seguridad
establecido.

Existencia de un Plan General de Calidad.

Proporcionar una Garanta de Calidad en base a
controles de calidad.
Actualizacin de la metodologa de desarrollo de
sistemas en base a cambios en la tecnologa.
Buena relacin con proveedores y establecimiento de
controles y normativas para garantizar la calidad.
Normas de documentacin de programas.
Normas de prueba de programas.
Documentacin de pruebas.
Cumplimiento con los estndares internacionales de
calidad.

Auditora de tecnologas y sistemas de informacin.

Del peso navarro, Emilio; Del peso, Mar; Piattini Velthuis,
Mario G. Editorial Ra-Ma, 2008.
Security, Accuracy, and Privacy in Computer Systems.
James Martin. Prentice Hall.
Controles internos para sistemas de computacin. Jerry
FitzGerald. Limusa, 1981

Auditora Informtica
Grado en Ingeniera Informtica de Servicios y Aplicaciones
Curso 2014/2015

Contenidos

Introduccin
ISACA
COBIT
Proceso COBIT
Convergencia de la Auditora de SI y COBIT

Los entornos tecnolgicos son cada vez ms y ms

complejos y difciles de gestionar.
Cada vez surge ms normativa, estndares, y buenas
prcticas sobre la gestin y seguridad de las
Tecnologas de la Informacin.
La implantacin de estas buenas prcticas no es un
obstculo al trabajo del auditor informtica, ms bien lo
facilita.
Vamos a ver en qu consisten estas normas y buenas
prcticas, y cmo se relacionan con la auditora
informtica.

Historia

ISACA fue fundada en el ao 1967 cuando un grupo de

auditores en sistemas informticos percibieron la
necesidad de centralizar la fuente de informacin y
metodologa para el rea de operacin
Asociacin creada en 1969
Information Systems Audit and Control Association
Agrupa a ms de 100 000 especialistas
ISACA es la nica entidad, a nivel mundial, de los
auditores de SI.
Gestiona las certificaciones en la materia:
CISA: Certified Information Systems Auditor.

Misin

Entre otras muchas cosas, para autora hace lo siguiente:

Establecer normas y procedimientos para auditora
informtica.
Proveer conocimientos y formacin en auditora.
Certificar especialistas.

Control Objectives for Information and Related

Technology.
Es un modelo/conjunto estructurado de buenas
prcticas y metodologas para su aplicacin, cuyo
objetivo es facilitar el gobierno de TI.
Publicado por el Information Technology Governance
Institute (ITGI).
Creado en 1998 por ISACA.

Son los encargados de COBIT

Hay distintas versiones, en 2012 apareci la versin 5 de
COBIT.

Objetivo: COBIT apoya y sustenta el gobierno de

TI, proporcionando un marco de referencia que
asegure que:
La tecnologa de la informacin est alineada con el
negocio, contribuyendo, al mismo tiempo, a
maximizar los beneficios.
Los recursos de TI (humanos y tcnico) son utilizados
de forma responsable.
Los riesgos de TI son gestionados y dirigidos
adecuadamente.

La gran ventaja de COBIT es que entiende a la tecnologa

de la informacin como un TODO de servicio, y no de
forma parcial esto hace que los controles internos se
relacionen entre s, con objetivos comunes, eficiencia, y
complementariedad.
Est estructurado con criterios prcticos en un orden
lgico y racional de mayor nivel a menor nivel en la
gestin y direccin de TI.
Esta organizacin de buenas prcticas permite una
mayor comprensin del esquema, la graduacin en su
implantacin, su revisin y actualizacin peridica sin
tener que cambiar todo el esquema, y permite una
mayor adaptabilidad a los procesos de negocio y
objetivos de la organizacin.

COBIT

Caractersticas COBIT:

Ha sido desarrollado como un estndar generalmente aceptado y

aplicable a las buenas prcticas de seguridad y control en TIC.
Ayuda a salvar las brechas existentes entre riesgos de negocio,
necesidades de control y aspectos tcnicos. Proporciona buenas
prcticas a travs de un Marco Referencial de dominios y
procesos y presenta actividades en una estructura manejable y
lgica. Las buenas prcticas de COBIT representan el consenso de
los expertos.
Tiene una premisa simple y prctica: con el fin de proporcionar la
informacin que la organizacin necesita para alcanzar sus
objetivos, seala que los recursos de TIC deben ser administrados
por un conjunto de procesos de TIC agrupados en forma natural.

COBIT

Caractersticas COBIT

Est diseado no solo para ser utilizado por usuarios y

auditores, sino que en forma ms importante, est
diseado para ser utilizado como un checklist
detallado para los responsables de cada proceso.
Proporciona herramientas al responsable de los
procesos que facilitan el cumplimiento de esta tarea.
Es, por lo tanto, la herramienta innovadora para el
manejo de TIC que ayuda a la gerencia a comprender y
administrar los riesgos asociados con TIC.

Versiones

COBIT NO describe un proceso de auditora!!

COBIT propone normas y buenas prcticas de seguridad,
gobernanza, y planificacin TI.
Propone un ciclo orientado a los objetivos de negocio.

COBIT 4.0 est estructurado en 34 objetivos de

control de alto nivel para los procesos de TI, que
estn agrupados en 4 dominios de actividades
tpicas del gobierno de TI:

Planificar y organizar.
Adquirir e implementar.
Entregar y dar soporte.
Monitorizar y evaluar.

Se empieza planificando y organizando TODAS las

actividades de TI, no de un rea (ej. desarrollo,
explotacin, etc) o aspecto concreto (ej. continuidad
de los servicios, etc).
Por cada uno de los procesos, y por cada uno de los
objetivos de control de alto nivel, COBIT 4.0 proporciona
los objetivos de control de detalle o del nivel siguiente.
En total son 215 objetivos de control de detalle.
Todos los objetivos de control, tanto los de alto nivel
como los de detalle, estn debidamente fundamentados
y contienen explicaciones de sus propsitos y alcances.

Pero todo esto no es suficiente para implantar un

gobierno de TI y asegurar un buen resultado, por ello
incluye otros elementos con respecto a los servicios y
recursos de TI:
Requerimientos del negocio con respecto a TI.

Eficacia, eficiencia, confidencialidad, integridad, etc

Recursos de TI afectados.

Aplicaciones, informacin, infraestructura, personal.

reas centrales para el gobierno de TI.

Gestin de recursos, gestin del riesgo, medicin del rendimiento.

Responsabilidades de los distintos niveles de direccin y

gerencia.
Objetivos y mtricas aplicables.
Etc

Existen otras normas para TI con las que el modelo

COBIT 4.0 est relacionado, que son complementarios a
este modelo.
ITIL, ISO/IEC 27000, etc

En general, COBIT 4.0 puede verse complementada con

estas otras normas.

Ej. COBIT 4.0 no incluye herramientas para evaluacin del riesgo.

COBIT NO define un proceso de Auditora Informtica.

COBIT da normas, procedimientos y directrices.
El auditor tiene que ver una empresa con COBIT
implantado como cualquier otra auditora.
Eso s, la implantacin de COBIT facilitar enormemente
el trabajo del auditor.

El auditor contar con mejores evidencias y contar con registros

ms fiables sobre la realizacin de controles.
El auditor tambin puede valerse de las normas de COBIT para
auditar.
Pero, por ejemplo, necesita tambin evaluar el riesgo de stas (algo
que COBIT no hace).

La auditora tambin ayuda en la implantacin de COBIT.

Auditora de tecnologas y sistemas de informacin.

Del peso navarro, Emilio; Del peso, Mar; Piattini Velthuis,
Mario G. Editorial Ra-Ma, 2008.
Security, Accuracy, and Privacy in Computer Systems.
James Martin. Prentice Hall.
Controles internos para sistemas de computacin. Jerry
FitzGerald. Limusa, 1981