INSTITUTO

TECNOLOGICO
SUPERIOR
“RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
 II

INTRODUCCION

La auditoría nace como un órgano de control de algunas instituciones estatales

y privadas. Su función inicial es estrictamente económico-financiera, y los
casos inmediatos se encuentran en las peritaciones judiciales y las
contrataciones de contables expertos por parte de Bancos Oficiales.
La función auditora debe ser absolutamente independiente; no tiene carácter
ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa
tomar las decisiones pertinentes. La auditoría contiene elementos de análisis,
de verificación y de exposición de debilidades y disfunciones. Aunque pueden
aparecer sugerencias y planes de acción para eliminar las disfunciones y
debilidades antedichas; estas sugerencias plasmadas en el Informe final
reciben el nombre de Recomendaciones.
Las funciones de análisis y revisión que el auditor informático realiza, puede
chocar con la psicología del auditado, ya que es un informático y tiene la
necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del
auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor
es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los
plazos demasiado breves de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie
de cuestionario. Dichos cuestionarios, llamados Check List, son guardados
celosamente por las empresas auditoras, ya que son activos importantes de su
actividad. Las Check List tienen que ser comprendidas por el auditor al pie de
la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener
resultados distintos a los esperados por la empresa auditora. La Check List
puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El
cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una
metodología precisa puede desentrañar las causas por las cuales se realizan
actividades teóricamente inadecuadas o se omiten otras correctas.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y
situaciones incontrovertibles, careciendo de poder para modificar la situación
analizada por él mismo.
 III

INDICE

INTRODUCCION _________________________________________________________ 2
INDICE _________________________________________________________________ 3
INDICE DE IMAGENES _____________________________________________________ 4
AUDITORIA _____________________________________________________________ 1
1 AUDITORÍA FÍSICA ______________________________________________________ 1
1.1 La seguridad física ___________________________________________________________ 1
1.2 Objetivos de la auditoria. ______________________________________________________ 2
1.3 Técnicas y herramientas de auditor. _____________________________________________ 2
1.4 Responsabilidades de los Auditores ______________________________________________ 2
1.5 Fases de la auditoria física _____________________________________________________ 3
2 AUDITORIA DE DESARROLLO ______________________________________________ 3
2.1 AUDITORIA DE DESARROLO DE SISTEMAS _________________________________________ 4
2.2 LA AUDITORIA INFORMÁTICA DEL DESARROLLO DE PROYECTOS _______________________ 4
2.3 CONSIDERACIONES DE AUDITORIA DE DESARROLLO DE SISTEMAS______________________ 5
2.4 ETAPAS DE LA AUDITORIA DE UN SISTEMA INFORMÁTICO ____________________________ 5
3 AUDITORIA DE RED ______________________________________________________ 5
3.1 Etapas a implementar en la Auditoría de Redes ____________________________________ 6
3.2 Estrategia de Saneamiento_____________________________________________________ 6
3.3 Plan de Contención___________________________________________________________ 7
4 PLAN DEL AUDITOR _____________________________________________________ 8
4.1 Metodología _____________________________________________________________ 9
4.2 Etapas de la metodología de auditoría _____________________________________ 10
5 INFORME DEL AUDITOR _________________________________________________ 11
6 BIBLIOGRAFIA _________________________________________________________ 12
 IV

INDICE DE IMAGENES

Foto 1 Auditoria de desarrollo ____________________________________________________________ 3

Foto 2 Auditoria desarrollo ______________________________________________________________ 4
Foto 3 Auditoria de red _________________________________________________________________ 5
Foto 4 Auditoria red____________________________________________________________________ 6
Foto 5 Plan del auditor _________________________________________________________________ 8
Foto 6 plan ___________________________________________________________________________ 9
Foto 7 informe _______________________________________________________________________ 11
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

AUDITORIA
1 AUDITORÍA FÍSICA

La Auditoria Física no se limita a comparar solo la existencia de los medios

físicos, sino también su funcionalidad, racionalidad y seguridad.

Seguridad Física Garantiza la integridad de los activos humanos, lógicos y

materiales del Objeto a analizar.

Seguridad lógica.

Seguridad física.

Seguridad de las comunicaciones.

1.1 La seguridad física

Existen tres tipos de seguridad:

 Seguridad lógica.
 Seguridad física.
 Seguridad de las comunicaciones.

Antes

Obtener y mantener un nivel adecuado de seguridad física sobre los

activos.

Seguridad física es el conjunto de acciones utilizadas para evitar algún

fallo.

Durante

Ejecutar un plan de contingencia adecuado.

Desastre es cualquier evento que puede interrumpir el proceso normal de

una empresa.

La probabilidad de que ocurra un desastre es muy baja, pero si ocurre será

fatal para la empresa.

Un plan de recuperación de desastres constituye en el plan de

contingencia.

SEXTO SEMESTRE
1
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

Después

Los seguros compensan en parte los gastos y pérdidas.

Algunos seguros existentes son:

 Centros de procesos y equipamiento.

 Reconstrucción de medios de software.
 Gastos extra.
 Interrupción del negocio.
 Documentos y registros valiosos.
 Errores y omisiones.
 Cobertura de fidelidad.
 Transporte de medios.
 Contratos con proveedores y de mantenimiento.

1.2 Objetivos de la auditoria.

Los objetivos van en un orden lógico “de afuera a dentro”:

 Edificio
 Instalaciones
 Equipamiento y telecomunicaciones.
 Datos
 Persona.

1.3 Técnicas y herramientas de auditor.

 Su fin es obtener evidencia física.

 Técnicas

 Observación
 Revisión analítica de documentación, políticas, normas, contratos etc.
 Entrevistas
 Consultas

Herramientas

 Cuaderno de campo / Grabadora de audio

 Cámara fotográfica / Cámara de video.

Su uso debe ser discreto y siempre con consentimiento del personal

1.4 Responsabilidades de los Auditores

 Revisar los controles relativos a Seguridad Física

 Revisar el cumplimento de los procedimientos
SEXTO SEMESTRE
2
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

 Evaluar Riesgos
 Revisión de cumplimiento de las Políticas y Normas sobre
Seguridad Física
 Efectuar Auditorias programadas e imprevistas
 Emitir informes y efectuar el seguimiento de las
recomendaciones
 Revisar los Planes de Seguridad y Contingencia.
 Emitir informes y recomendaciones

1.5 Fases de la auditoria física

 Alcance de la Auditoria
 Adquisición de Información General
 Administración y Planificación
 Plan de Autoría
 Resultado de las pruebas
 Conclusiones y Comentarios
 Borrador del Informe
 Discusión con los responsables de área
 Informe Final

2 AUDITORIA DE DESARROLLO

Foto 1 Auditoria de desarrollo

Podemos definir el desarrollo de sistemas informáticos como el proceso

mediante el cual el conocimiento humano y el uso de las ideas son llevados a
las computadoras; de manera que pueda realizar las tareas para la cual fue
desarrollada. Para que esto sea utilizado deberán, funcionar adecuadamente,
ser de fácil manejo, adecuarse a la empresa para la que fue diseñada y debe
ayudar al personal a realizar su trabajo de forma eficiente.

SEXTO SEMESTRE
3
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

2.1 AUDITORIA DE DESARROLO DE SISTEMAS

Foto 2 Auditoria desarrollo

La función de desarrollo es una evolución del llamado análisis y programación

de sistemas y aplicaciones. A su vez, engloba muchas áreas, tantas como
sectores tiene la empresa. Muy concisamente, una Aplicación recorre las
siguientes fases:
 Animaciones (Periquitos, Adornos), del Usuario (único o plural) y del
entorno.
 Análisis funcional.
 Diseño.
 Análisis orgánico (Pre-programación y Programación).
 Pruebas.
 Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso

contrario, además del disparo de los costes, podrá producirse la insatisfacción
del usuario. Finalmente, la auditoria deberá comprobar la seguridad de los
programas en el sentido de garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.
2.2 LA AUDITORIA INFORMÁTICA DEL DESARROLLO DE PROYECTOS

 Prerrequisitos del Usuario (único o plural) y del entorno

 Análisis funcional
 Diseño
 Análisis orgánico (Pre programación y Programación)
 Pruebas
 Entrega a Explotación y alta para el Proceso.

SEXTO SEMESTRE
4
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

2.3 CONSIDERACIONES DE AUDITORIA DE DESARROLLO DE

SISTEMAS

 Revisión de las metodologías utilizadas.

 Control interno de aplicaciones
 Satisfacción de usuarios
 Control de procesos y ejecuciones de programas críticos

2.4 ETAPAS DE LA AUDITORIA DE UN SISTEMA INFORMÁTICO

 Exploración
 Planeamiento
 Supervisión
 Ejecución
 Informe
 Seguimiento

3 AUDITORIA DE RED

Foto 3 Auditoria de red

Una Auditoría de Redes es, en esencia, una serie de mecanismos mediante

los cuales se pone a prueba una red informática, evaluando su desempeño y
seguridad, a fin de lograr una utilización más eficiente y segura de la
información. El primer paso para iniciar una gestión responsable de la
seguridad es identificar la estructura física (hardware, topología) y lógica
(software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y
hacerle un Análisis de Vulnerabilidad para saber en qué grado de exposición
nos encontramos; así, hecha esta "radiografía" de la red, se procede a localizar
sus falencias más críticas, para proponer una Estrategia de Saneamiento de
SEXTO SEMESTRE
5
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

los mismos; un Plan de Contención ante posibles incidentes; y un

Seguimiento Continuó del desempeño del sistema de ahora en más.

Foto 4 Auditoria red

3.1 Etapas a implementar en la Auditoría de Redes

Éste es sin duda el punto más crítico de toda la Auditoría, ya que de él

dependerá directamente el curso de acción a tomar en las siguientes etapas y
el éxito de éstas. Nuestro equipo cuenta con la tecnología y la capacidad
necesaria para elaborar detallados reportes sobre el grado de vulnerabilidad
del sistema, a través de análisis remotos y relevamientos locales.
7 E s p e j o s puede implementar exclusivamente esta estapa en la auditoría de
su red, para que en función de los reportes su personal de redes y directivos
implementen las etapas sucesivas tomando las acciones que consideren
necesarias.

3.2 Estrategia de Saneamiento

SEXTO SEMESTRE
6
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

Identificadas las "brechas" en la red, se procede a "parchearlas", bien sea

actualizando el software afectado, reconfigurándolo de una mejor manera ó
remplazándolo por otro que consideremos más seguro y de mejor desempeño.
En este sentido, 7 E s p e jo s no posee ningún acuerdo con ninguna compañía
de software, y probablemente le ofrecerá soluciones de Software Libre, de alta
performance y muy bajo costo.
Las bases de datos, los servidores internos de correo, las comunicaciones sin
cifrar, las estaciones de trabajo... todo los puntos críticos deben reducir el
riesgo. En los casos más extremos, la misma infraestructura física de la red
deberá ser replanteada, reorganizando y reconfigurando sus switches, routers y
firewalls.
3.3 Plan de Contención

La red ha sido replanteada, el software ha sido reconfigurado (o rediseñado) y

el riesgo ha sido reducido; aún así, constamente se están reportando nuevos
fallos de seguridad y la posibilidad de intrusión siempre está latente. Un disco
rígido puede fallar, una base de datos puede corromporse o una estación de
trabajo puede ser infectada por un virus in the wild (virus bien reciente de
rápida propagación); para ello hay que elaborar un "Plan B", que prevea un
incidente aún después de tomadas las medidas de seguridad, y que dé
respuesta ante posibles eventualidades.

SEXTO SEMESTRE
7
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

4 PLAN DEL AUDITOR

Foto 5 Plan del auditor

El plan auditor informático es el documento en que se define esta función y el

trabajo que realiza dentro de la entidad en que se encuadra. Su contenido debe
estar orientado con la estrategia organizativa y con el resto de los planes
auditores.

En un plan auditor diferenciamos:

 Funciones: Ubicación de la auditoría informática dentro de la empresa,

sus funciones, estructura del departamento y recursos que aglutina.

 Procedimientos: Manera en que se realizarán las distintas tareas de las

auditorías.

 Tipos de auditorías que se realizan.

 Sistema de evaluación y los aspectos que evalúa.

 Lista de distribución de informes.

 Seguimiento de las acciones correctoras.

 Planes de trabajo y su periodicidad.

SEXTO SEMESTRE
8
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

El plan auditor informático se concreta en la práctica, entre otros aspectos, en

una metodología de trabajo que determina los hitos desde el inicio de la
auditoría informática, ya sea por auditor interno o externo, hasta la entrega del
informe final y la manera de alcanzarlos.

Foto 6 plan

4.1 Metodología

La auditoría informática debe respaldarse en un proceso formal que asegure su

previo entendimiento por cada uno de los responsables de llevar a la práctica
dicho proceso en la empresa. Al igual que otras funciones en el negocio, la
auditoría informática efectúa sus tareas y actividades mediante una
metodología.
Con un método garantiza que las cualidades de cada auditor sean orientadas a
trabajar en equipo para la obtención de resultados de alta calidad y de acuerdo
a estándares predeterminados.

El objetivo es brindar a los responsables de dichas áreas un camino

estructurado por el que obtengan los resultados esperados por la empresa,
siguiendo un plan.

Se requiere un buen dominio y uso constante de los siguientes aspectos

complementarios:

 Técnicas

SEXTO SEMESTRE
9
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

 Herramientas de productividad

 Habilidades personales

 Conocimientos técnicos y administrativos

 Experiencia en los campos de auditoría e informática

 Conocimiento de los factores del negocio y del medio externo al mismo

 Actualización permanente

 Comunicación constante con asociaciones nacionales e internacionales

relacionadas.

El uso de un proceso de trabajo metodológico y estándar en la función de

auditoría informática genera las siguientes ventajas:

- Las tareas y productos terminados de los proyectos se encuentran

definidos y formalizados en un documento al alcance de los auditores
informáticos.

- Se facilita en alto grado la administración y seguimiento de los

proyectos, pues la metodología obliga a la planificación detallada de
cada proyecto bajo criterios estándares.

- Facilita la superación profesional y humana de los individuos, ya que

orienta los esfuerzos hacia la especialización, responsabilidad,
estructuración y depuración de las funciones del auditor.

4.2 Etapas de la metodología de auditoría

La metodología de auditoría de seguridad de la Intranet se estructura en seis

etapas que detallamos a continuación:

 Definición de ámbito y objetivos

 Diagnóstico

 Etapa de justificación

 Etapa de adecuación

 Etapa de formalización:

 Etapa de desarrollo e implantación

SEXTO SEMESTRE
10
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

 Presentación del informe final

5 INFORME DEL AUDITOR

Foto 7 informe

En si todos los encuestados respondieron la totalidad de las preguntas. Todos

tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos
dicen prácticamente lo mismo acerca de lo que es la auditoria de sistemas en
que es un sistema de revisión, evaluación, verificación y evalúa la eficiencia y
eficacia con que se está operando los sistemas y corregir los errores de dicho
sistema. Todos los encuestados mostraron una características muy similares
de las personas que van a realizan la auditoria; debe haber un contador, un
ingeniero de sistemas, un técnico y que debe tener conocimientos, práctica
profesional y capacitación para poder realizar la auditoria.
Todos los encuestados conocen los mismos tipos de auditoría, Económica,
Sistemas, Fiscal, Administrativa.

SEXTO SEMESTRE
11
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

Para los encuestados el principal objetivo de la auditoria de sistemas es

Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles.
Mirando en general a todos los encuestados se puede ver que para ellos la
auditoria de sistemas es muy importante porque en los sistemas esta toda la
información de la empresa y del buen funcionamiento de esta depende gran
parte del funcionamiento de una empresa y que no solo se debe comprender
los equipos de computo sino también todos los sistemas de información desde
sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
La auditoria de los sistemas de informática es de mucha importancia ya que
para el buen desempeño de los sistemas de información, ya que proporciona
los controles necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad.
La auditoria de sistemas es la revisión y la evaluación de los controles,
sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para
Una adecuada toma de decisiones.
 Apoyo de función informática a las metas y objetivos de la organización.
 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
 Incrementar la satisfacción de los usuarios de los sistemas informáticos.
 Capacitación y educación sobre controles en los Sistemas de Información.

6 BIBLIOGRAFIA
http://seguridad.7espejos.com/auditoria
http://www.google.com.ec/url?sa=t&source=web&cd=4&ved=0CCYQFjA
D&url=http%3A%2F%2Fwww.uned.es%2F413057%2Felena%2Fpractica.
doc&rct=j&q=PLAN%20DEL%20AUDITOR%20INFORMATICO&ei=E
G2JTK6qH4aBlAfUhpneDg&usg=AFQjCNESAuaPwTxd8amqvBmZFtJ6
fh9dEw

SEXTO SEMESTRE
12
 INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA

SEXTO SEMESTRE
13