Universidad Nacional Autónoma de Honduras

Facultad de Ciencias Económicas Administrativas y Contables

Informática Administrativa

Asignatura:

AI – 220 AUDITORIA EN INFORMATICA.

Lic. Adalberto Sierra

9531-0717
adalsierrar@gmail.com

Ciudad Universitaria, “José Trinidad Reyes”

Tegucigalpa, MDC.
 Hoja de vida del catedrático

ACADÉMICA
- Master Administración de proyectos, UNITEC
- Licenciatura informática administrativa, UNAH.
- Miembro del Project Management Institute, PMI.

PROFESIONAL
- Gerente de Proyectos de TI en Grupo INTUR.
- Gerente de Sistemas Operadores logísticos RANSA
- Coordinador de sistemas zona centro-sur Central de Ingenios
azucareros.
- Consultor independiente ORACLE, SQL Server, Aplicaciones
Microsoft(.Net)
POLITICAS DEL CURSO:

• La puntualidad se estimulará en el transcurso del curso, En el

caso que por algún motivo de fuerza mayor el catedrático no
pueda asistir a la clase, siempre se comunicará con tiempo
• La asistencia es obligatoria desde la primera semana.
• Los alumnos diariamente deben firmar la lista de asistencia con
lápiz de tinta.
• Prestar atención a la cátedra y hacer las consultas en el
momento oportuno.
• La recuperación es por la nota de examen mas baja, esto no
incluye acumulativo.
• La reposición de un examen es equivalente a la recuperación
de un examen al final del periodo.
POLITICAS DEL CURSO:

• No se permite el uso de celulares durante la clase, puede salir

del aula a contestar la llamada.
• No se admiten comidas y bebidas en el aula.
• Tanto las tareas como los proyectos están sujetos a defensa,
para comprobar la originalidad de los mismos, cuando el
profesor lo considere oportuno.
• Todo trabajo o tarea se deberá entregar en la fecha y hora
establecida, todo trabajo enviado de forma tardía no se toma
en consideración.
• Todo trabajo o tarea se deberá llevar como mínimo el numero
de la cuenta del estudiante.
• El comportamiento de los estudiantes y su trato con los
compañeros deberá estar dentro del marco de los modales y
las buenas costumbres.
 Evaluación del aprendizaje

Evaluación del aprendizaje

Tres Pruebas de Conocimiento y Habilidades 55%

Proyecto 20%

Tareas e Investigaciones 25%

Total 100%
 Jornalizacion de contenidos
Parcial Contenidos
I 1.- Conocer la importancia y terminología
general de la auditoria informática
2.-Conocer acerca de las mejores prácticas
reconocidas a nivel mundial
3.-Comprender las técnicas de control interno y
definir algunos de los controles de área más
importantes en un departamento de IT
4.-Definir Control Interno, Conocer la relación
entre el Control Interno y la Auditoría Informática
5.-Definir los tipos de control más comunes que
están asociados con cada riesgo dentro de un
departamento de IT
Competencias específicas profesionales
I. Conocer y Comprender los diferentes
concepto que interviene al durante el
desarrollo de la auditoria informática
II. Comprender el objetivo real de las
labores informáticas dentro del
departamento de IT.
III. Comprender el rol del auditor
informático dentro del departamento
de IT.
IV. Conocer los Controles Generales
básicos: como ser de la organización,
de procedimientos, seguridad lógica,
seguridad física, de la continuidad de
las operaciones.
V. Conocer los Controles de Aplicación
básicos como ser: ingreso de datos,
procesamiento de datos y de salida
de datos.
 Objetivos de la Asignatura

GENERAL
Desarrollar en el estudiante las competencias necesarias para
administrar el riesgo y seguridad en las empresas
infotecnológicas.

ESPECÍFICOS
- Establecer las bases de las políticas de seguridad y
administración del riesgo en los centros de infotecnología.
- Comprender esquemas de seguridad.
- Conocer normas internacionales de auditoria, aplicables a los
centros de datos.
 Primero: ¿Qué es la auditoria?

Es la revisión independiente que realiza un

auditor profesional, aplicando técnicas,
métodos y procedimientos especializados, a
fin de evaluar el cumplimiento de funciones,
actividades, tareas y procesos de una
organización, así como dictaminar sobre el
resultado de dicha evaluación.

Muñoz (2002,34)
 Auditoria
La palabra auditoría viene del latín auditorius y de esta proviene
auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar
encaminado a un objetivo.

Auditor

Es la persona capacitada para realizar auditorías en empresas o

instituciones. Pertenece a un colegio oficial.
 Auditar

Consiste principalmente en estudiar los mecanismos de

control que están implantados en una empresa u
organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias,
estableciendo los cambios que se deberían realizar para la
consecución de los mismos.
Justificación de la Auditoria

Recursos
TIC
 Objetivos generales de la Auditoría.

• Realizar una revisión independiente de las actividades, áreas o

funciones especializadas de una institución, a fin de emitir un
dictamen profesional sobre la razonabilidad de sus operaciones y
resultados.

• Hacer una revisión especializada, desde un punto de vista

profesional y autónomo, del aspecto contable, financiero y
operacional de las áreas de una empresa.

• Evaluar el cumplimiento de los planes, programas, políticas,

normas y lineamientos que regulan la actuación de los empleados
y funcionarios de una institución, así como evaluar las actividades
que se desarrollan en sus áreas y unidades administrativas.
 Objetivos generales de la Auditoría.

• Dictaminar de manera profesional e independiente sobre los

resultados obtenidos por una empresa y en sus áreas, así
como sobre el desarrollo de sus funciones y el cumplimiento
de sus objetivos y operaciones.
 Principios de Auditoria.

• Conducta ética: Confianza, integridad,

confidencialidad, discreción.
Con referencia a los
• Ecuanimidad: Veracidad y exactitud.
auditores:
• Cuidado profesional: Diligencia y juicio
al auditar.

• Independiente: Sin sesgos ni conflicto de

Con referencia a la intereses.
auditoria: • Enfoque basado en evidencias: Datos
fiables y reproducibles, verificables.
Clasificación de los tipos de Auditorias

Auditorias por la Entidad que la Aplica

Auditorias por su área de Aplicación

Auditorias especializadas en áreas específicas.

Auditorias de sistemas Computacionales.

 Auditorias por la Entidad que la Aplica

Esta clasificación se refiriere a la entidad o persona que realiza

este tipo de trabajos, y también a cómo se establece la relación
laboral en las empresas donde se llevará a cabo la auditoria; esto
nos da un origen externo si el auditor no tiene relación con la
empresa, o un origen interno si existe alguna relación del auditor
con la empresa auditada.

• Auditoria Externa
• Auditoria Interna
 Auditoria Externa.

• José López (2008), dice que se realiza por personas ajenas a

la empresa, ya que esta contrata un servicio para auditar su
sistema de información por personas externas a la empresa.

• Muñoz Carlos (2000), expreso que es la revisión

independiente que realiza un profesional de la auditoria, con
total libertad de criterio y sin ninguna influencia, con el
propósito de evaluar el desempeño de las actividades,
operaciones y funciones que se realizan en la empresa que lo
contrata, así como de la razonabilidad en la emisión de sus
resultados financieros.
 Ventajas de la Auditoria Externa.
• Alto grado de objetividad que se consigue, dado que es
realizada por un personal ajeno a la empresa y no tendrá
condicionantes de dependencia jerárquica o injerencia por la
empresa auditada.

• En su realización, estas auditorías pueden estar apoyadas por

una mayor experiencia por parte de los auditores externos,
debido a que utiliza técnicas y herramientas que ya fueron
probadas en otras empresas con características similares.

• Sus dictámenes pueden ser válidos para las autoridades

impositivas, y con ello pueden satisfacer requerimientos de
carácter legal, siempre que sean realizadas por auditores de
prestigio que tengan el reconocimiento público.
 Desventajas de la Auditoria Externa.

• La principal desventaja es que, el auditor conoce poco la

empresa, su evaluación está limitada a la información que
pueda recopilar.
• Muchas de estas auditorias se derivan de imposiciones
fiscales y legales que pueden crean ambientes hostiles para
los auditores que las realizan.
• Depende en absoluto de la cooperación que el auditor pueda
obtener de parte de los auditados.
• Su evaluación, alcances y resultados pueden ser muy
limitados.
• En algunos casos son sumamente costosas para la empresa,
no solo en el aspecto numérico, sino por el tiempo y trabajo
adicional que representan.
 Auditoria Interna.

• Según Carmen Heredero (2008), Es realizada por una entidad

funcional perteneciente a la propia estructura organizacional
de la empresa y como contraprestaciones reciben una
remuneración económica.

• Por otro lado Muñoz Carlos (2000), refiere la auditoria interna

con el objetivo de obtener un dictamen interno sobre las
actividades de toda la empresa, que permita diagnosticar la
actuación administrativa, operacional y funcional de
empleados y funcionarios de las áreas que auditen.
 Ventajas de la Auditoria Interna.

• Debido a que el auditor permanece conoce las problemática,

funciones, actividades, áreas y operaciones.
• Por otra parte el coste será menor puesto que los recursos
solo son internos para organización, por lo tanto no
representan ninguna erogación adicional.
• El informe que rinde el auditor, independientemente del
resultado, es solo de carácter interno y por lo tanto no sale de
la empresa, ya que únicamente le sirve a las autoridades de la
institución.
• Puede llevar un programa concreto de evaluación en apoyo a
las autoridades de la empresa, lo cual ayudara a sus
dirigentes en la evaluación y la toma de decisiones.
 Desventajas de la Auditoria Interna.

• Posible falta de objetividad de las personas que la llevan a

cabo, puesto que pueden estar directamente implicados en el
propio sistema de información.
• Su veracidad, alcance y confiabilidad pueden ser limitados,
debido a que puede haber injerencias por parte de las
autoridades de la institución sobre la forma de evaluar y emitir
informes.
• Se pueden presentar vicios de trabajo del auditor con relativa
frecuencia, ya sea en las formas de utilizar las técnicas y
herramientas para aplicar la auditoria.
 Auditorias por su Área de Aplicación

Esta se refiere al ámbito especifico donde se llevan a cabo las

actividades y operaciones que serán auditadas, ubicando la
auditoria de acuerdo con el área de trabajo o especialidad que
será evaluada.

• Auditoría Financiera(Contable).
• Auditoría Administrativa.
• Auditoría Ocupacional.
• Auditoría Integral.
• Auditoría Gubernamental.
• Auditoría Informática.
 Auditorias por su Área de Aplicación

Auditoría Financiera (contable).

- La actividad del auditor consiste en revisar la correcta aplicación
de los registros contables y operaciones financieras de las
empresas.
Auditoría administrativa.
- Es la revisión sistemática y exhaustiva que se realiza a la
actividad administrativa de una empresa, en cuanto a su
organización, las relaciones entre sus integrantes y el
cumplimiento de las funciones y actividades que regulan sus
operaciones.
 Auditorias por su Área de Aplicación

Auditoría operacional.
- Es la revisión sistemática, exhaustiva y especifica que se realiza
a las actividades de una empresa, con el fin de evaluar su
existencia, suficiencia, eficacia, eficiencia y el correcto desarrollo
de sus operaciones.

Auditoría integral.
- Es la revisión exhaustiva, sistemática y global que realiza un
equipo multidisciplinario de profesionales a todas las actividades
y operaciones de una empresa, con el propósito de evaluarla de
manera integral, todas sus áreas administrativas.
 Auditorias por su Área de Aplicación

Auditoría gubernamental.
- Es la revisión exhaustiva, sistemática y concreta que se realiza
a todas las actividades y operaciones de una entidad
gubernamental.

Auditoría informática.
- Es la revisión técnica, especializada y exhaustiva que se realiza
a los sistemas computacionales, software e información utilizados
en una empresa, sean individuales, compartidos o de redes, así
como a sus instalaciones, telecomunicaciones, equipos
periféricos, y demás componentes. El propósito fundamental es
evaluar el uso adecuado de los sistemas informáticos para el
correcto ingreso de los datos, el procesamiento adecuado y la
emisión oportuna de sus resultados en la organización.
 Auditoría Informática

• Consiste en verificar el funcionamiento de un sistema de

información, aplicando una serie de conocimientos, técnicas y
métodos con el propósito de examinar la operatividad del
sistema.

• José de Jesús Aguirre Bautista nos dice: La Auditoría en

informática se refiere a la revisión práctica que se realiza
sobre los recursos informáticos con que cuenta una entidad
con el fin de emitir un informe o dictamen sobre la situación en
que se desarrollan y se utilizan esos recursos.
 Importancia De La Auditoría Informática
• Permite realizar un diagnóstico de la situación actual
• Garantizar la seguridad de los centros de datos
• Mejora la imagen pública de la organización
• Genera confianza en los usuarios sobre la seguridad y el
control de servicios de TI.
• Disminuye los costos de la mala calidad (reproceso, rechazos,
reclamos)
• Genera un balance de los riesgos de TI
• Realiza un control de la inversión en un entorno de TI
 Objetivos de la Auditoria informática
• Evaluar la fiabilidad
• Evaluar la dependencia de los Sistemas y las medidas
tomadas para garantizar su disponibilidad y continuidad
• Revisar la seguridad de los entornos y sistemas
• Analizar la garantía de calidad de los Sistemas de Información
• Analizar los controles y procedimientos tanto organizativos
como operativos.
• Verificar el cumplimiento de la normativa y legislación
vigentes
• Elaborar un informe externo independiente.
• Utilización de estándares.
 Factores que propician la Auditoría
Informática
• Leyes gubernamentales.
• Políticas internas de la empresa.
• Necesidad de controlar el uso de equipos computacionales.
• Altos costos debido a errores.
• Pérdida de información y de capacidades de procesamiento
de datos, aumentando así la posibilidad de toma de decisiones
incorrectas.
• Valor del hardware, software y personal.
• Necesidad de mantener la privacidad y confidencialidad de las
transacciones de la organización.
 Tipos de Auditoria Informática.

• Auditoría de la gestión informática

• Auditoría de las bases de datos
• Auditoría informática de sistemas
• Auditoría informática de explotación
• Auditoría informática de comunicaciones
• Auditoría informática de desarrollo
• Auditoría informática de seguridad
• Auditoría de planificación
 Tipos de Auditoria Informática.

Auditoría de la Gestión Informática.

Referido a la contratación de bienes y servicios brindados por

informática, funciones, control interno informático, estructura,
documentación de los programas, revisión de organigramas,
determinación de existencia de estándares de proceso de datos,
políticas de personal (retribución, formación), examen de métodos
de trabajo, nivel de participación de usuarios, examen del nivel de
aceptación de los servicios informáticos.
Auditor Informático
 Tipos de Auditoria Informática.

Auditoría de las Bases de Datos.

Controles de acceso, de manipulación, de integridad y calidad de
los datos, replicación, respaldo y recuperación.

Que Es Una Auditoria De Base De Datos: Es el proceso que

permite medir, asegurar, demostrar, monitorear y registrar los
accesos a la información almacenada en las bases de datos
incluyendo la capacidad de determinar:
• Quién accede a los datos.
• Cuándo se accedió a los datos.
• Desde qué tipo de dispositivo/aplicación.
• Desde que ubicación en la Red.
• Cuál fue la sentencia SQL ejecutada.
• Cuál fue el efecto del acceso a la base de datos.
 Tipos de Auditoria Informática.

Auditoría de las Bases de Datos.

Objetivo:
Disponer de mecanismos que permitan capturar de una auditoría
la relación del personal con el acceso a las bases de datos
incluyendo la capacidad de generar, modificar y/o eliminara
datos.
Importancia:
Dentro de los aspectos de mayor importancia de la auditoría del
entorno de bases de datos radica en que es el punto de partida
para poder realizar la auditoría de las aplicaciones que se utilizan,
además que toda la información de una compañía reside en una
de estas, ya que debe existir controles adecuados y relacionados
con el acceso a las mismas.
 Tipos de Auditoria Informática.

Auditoría Informática de Sistemas.

Revisión de los sistemas de información actuales, tanto a nivel

hardware como software, con objeto de descubrir potenciales
puntos de mejora y determinar en qué modo debería actuarse
para mejorar tanto éstos como otros aspectos.

Análisis de procedimientos de entrada y salida, analizar los

estudios de selección de HW y SW, comprobar la seguridad de
los datos, las librerías usadas por los programadores, el
inventario del HW y SW.
 Tipos de Auditoria Informática.

Auditoría Informática de Explotación.

Revisión de todos los procesos encargados de producir
resultados, entre ellos la captura de la información, revisar la
existencia de documentación de procedimientos, revisar el control
de consumo de recursos, seguridad, inventarios, imputación de
costos, existencia de normas escritas, es prácticamente si el día a
día esta bien.
¿ Por qué es necesaria la Auditoría Informática de
Explotación ?
El nivel de competencia que existe, hoy en día, entre las
empresas les obliga a tomar decisiones rápidas y acertadas. Es
necesario, para ello el funcionamiento adecuado de los sistemas
informáticos (mediante la incorporación de las nuevas
tecnologías) y su continua actualización.
 Tipos de Auditoria Informática.

Objetivos Auditoría Informática de Explotación.

• Controlar los manuales de instrucciones y procedimientos de

explotación.
• Controlar los inicios de los procesos y otra documentación de
funcionamiento.
• Revisar la agenda de trabajo.
• Verificar la continuidad de los procesos.
• Comprobar que en ningún caso los operadores acceden a
documentación de programas que no sea la exclusiva para su
explotación.
• Revisar que existen procedimientos que impidan que puedan
correrse versiones de programas no activos.
 Tipos de Auditoria Informática.

Auditoría de Comunicaciones.
Revisión de la topología de Red y de terminación de posibles
mejoras, análisis de caudales y grados de utilización.

• Para el Auditor Informático, el entramado conceptual que

constituyen las Redes Nodales, Líneas, Switches, Routers,
Redes Locales, etc., no son sino el soporte físico-lógico en
Tiempo Real.
 Tipos de Auditoria Informática.
¿Por qué y Para qué se hace la Auditoria Informática en
comunicaciones?

• Asegurar la integridad, confidencialidad y confiabilidad de la

información.
• Minimizar existencias de riesgos en el uso de Tecnología de
las comunicaciones.
• Mantener una vigilancia en las acciones en la red.
• Vigilancia sobre toda actividad on-line.
• Capacitar y educar sobre las amenazas existentes en
actividades on-line.
 Tipos de Auditoria Informática.

Auditoría Informática de Desarrollo.

Revisión del proceso completo de desarrollo de proyectos por

parte de la empresa auditada.
El análisis se basa en cuatro aspectos fundamentales:
1. Revisión de las metodologías utilizadas.
2. Control interno de las aplicaciones.
3. Satisfacción de los usuarios.
4. Control de procesos y ejecuciones de programas críticos.
 Tipos de Auditoria Informática.
Las metodologías utilizadas: Se analizaran estas, de modo que
se asegure la modularidad de las posibles futuras ampliaciones
de la Aplicación y el fácil mantenimiento de las mismas.
Control Interno de las Aplicaciones: Se deberá controlar las
mismas fases que presuntamente ha debido seguir el área
correspondiente de Desarrollo:
Estudio de Aptitud de la Aplicación.
Definición lógica de la Aplicación.
Desarrollo Técnico de la Aplicación.
Diseño de Algoritmos.
Metodología de Ensayos.
Documentación de la Aplicación.
Recursos Humanos Utilizados
 Tipos de Auditoria Informática.
Satisfacción de usuarios: Una Aplicación técnicamente eficiente
y bien desarrollada, deberá considerarse una pérdida si no sirve a
los intereses del usuario que la solicitó, o resulta
ergonómicamente insuficiente. La aprobación del usuario
proporciona grandes ventajas posteriores, ya que evitará
reprogramaciones y disminuirá el mantenimiento posterior de la
Aplicación.
Control de Procesos y Ejecuciones Críticas: El auditor no debe
descartar la posibilidad de que se esté ejecutando un módulo que
no se corresponde con el programa fuente que se desarrolló,
codificó y probó el grupo de Desarrollo de la Aplicación. Se ha de
comprobar la correspondencia exclusiva entre el programa
codificado y su compilación.
 Tipos de Auditoria Informática.

Auditoría Informática de Desarrollo.

Aspectos A Revisar En Una Aplicación

1. La documentación del sistema

2. Operatividad del sistema
3. Ciclo de vida.
4. Integridad de los datos
5. Efectividad del sistema
6. Seguridad del sistema
7. Sistema de respaldo
8. Auditabilidad del sistema
 Tipos de Auditoria Informática.
Auditoría Informática de la Seguridad
Abarca los conceptos de seguridad física y seguridad lógica
Auditoría de entornos físicos:
• Adecuación de las instalaciones antes posibles amenazas (
fuego, agua, calor, polvo, etc).
• La protección del hardware y de los soportes de datos, así
como a la de los edificios e instalaciones que los albergan,
contemplando las situaciones de incendios, sabotajes, robos,
catástrofes naturales, etc.
• Control de acceso a los centros de datos o instalaciones.

Auditoría de entornos lógicos:

• La acreditación de usuario
• Existencia de Roles o perfiles de usuario.
• Log´s o Bitácoras.
 Tipos de Auditoria Informática.
Auditoría Informática de la Planificación.

Busca controlar que la funciones informáticas aumenten de

acuerdo a un plan de crecimiento de la empresa según su
estrategia y no solo por las necesidades del momento.

Tres niveles:
Estratégicos: (4-5 años)
Táctico: (1-2 años) fijación de un plan informático (prioridades)
Operacional: Asociación de tareas o actividades diarias.
 Auditoria De Un Sistema De Información

• La auditoría de los sistemas de información se define como

cualquier auditoría que abarca la revisión y evaluación de
todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento
de la información, incluidos los procedimientos no
automáticos relacionados con ellos y las interfaces
correspondientes. (Aguirre, 2007).

• Toda la auditoría que comprenda la revisión y evaluación de

todos los aspectos ( o cualquier porción ) de los sistemas
automatizados de procesamiento de información, incluyendo
los procesos no automatizados relacionados y las interfaces
entre ellos.( ISACA).
 Auditoria De Un Sistema De Información
Objetivos

• Participación en el desarrollo de nuevos sistemas.

• Evaluación de controles
• Cumplimiento de la metodología.
• Evaluación de la seguridad en el área informática.
• Evaluación de suficiencia en los planes de contingencia.
• Respaldos, proveer qué va a pasar si se presentan fallas.
• Opinión de la utilización de los recursos informáticos.
• Control de modificación a las aplicaciones existentes.
 Auditoria De Un Sistema De Información
Objetivos

• Participación en la negociación de contratos con los

proveedores.
• Revisión de la utilización del sistema operativo y los
programas
• Auditoría de la base de datos.
• Auditoría de la red de teleprocesos.
• Desarrollo de software de auditoría.
 Certificación de Auditor de Sistemas de
Información (CISA)
• Es la principal Certificación de ISACA, desde 1978.

• Es una certificación para auditores respaldada por la Asociación

de Control y Auditoría de Sistemas de Información (ISACA)
(Information Systems Audit and Control Association).

• ISACA: es una asociación independiente, global y sin fines de

lucro. Están comprometidos con el desarrollo, la adopción y uso
de conocimiento y prácticas líderes en la industria de TI.
Estos conocimientos y prácticas tienen uso y aceptación a nivel
mundial.
 Certificación de Auditor de Sistemas de
Información (CISA)
Según la ISACA, el manual de preparación al examen CISA, el
profesional de auditoría informática debe considerar los siguientes
puntos primordiales en relación a normas y estándares:

• Revisión de la estructura Organizacional, las políticas y

procedimientos referentes a la seguridad informática y el ambiente
de control del área informática.

• Verificación del control de ingresos físicos a áreas sensibles y de

las vías de acceso lógico.

• Revisión del estado del Plan de Recuperación de Desastres

Organizacional.
 Requisitos Certificación de Auditor de
Sistemas de Información (CISA)

Los candidatos a la certificación CISA deben:

1. Pasar un examen de acuerdo con el Código Profesional de

Ética de ISACA.
2. Además de comprobar cinco años de experiencia en auditoría
de sistemas, control interno y seguridad informática.
3. Tener un programa de educación continua.
4. Adherirse al código de ética profesional de ISACA.
 Requisitos Certificación de Auditor de
Sistemas de Información (CISA)

En caso de no cumplir con estos requisitos, existen algunas

equivalencias definidas en la página de ISACA:

• Un mínimo de un año de experiencia en sistemas de

información o un año de experiencia en auditorías
operacionales, pueden ser sustituidos por un año de
experiencia auditoría de sistemas, control interno y seguridad
informática.

• 60 a 120 horas de estudios profesionales pueden ser

sustituidos por uno o dos años de experiencia respectivamente.
 Requisitos Certificación de Auditor de
Sistemas de Información (CISA)

• 2 años de instructor de tiempo completo en Universidad en

campos relacionados, ejemplo: ciencias computacionales,
contabilidad, auditoría de sistemas de información, pueden ser
sustituidos por un año de experiencia de auditoría de sistemas
de información, control interno y seguridad de informática.
 Los beneficios de CISA a la Gerencia y a la
Organización.

La certificación CISA provee a la Gerencia la posibilidad de:

• Medir la competencia de sus futuros empleados.

• Determinar que el personal calificado proteja los activos de la
Empresa.
• Confirmar si sus habilidades o destrezas de Auditoría, Control y
Seguridad de Sistemas de Información de los Especialistas se
mantienen actualizadas respecto de la tecnología.
• Identificar qué especialistas son los candidatos ideales a
promover. Los beneficios de CISA a los profesionales de
Auditoría, Control y Seguridad de SI.
 Los beneficios de CISA a la Gerencia y a la
Organización.

La certificación CISA provee al profesional de las siguientes

habilidades.

• Demostrar su experiencia y competencia.

• Lograr conocimiento en su carrera.
• Estar relacionado con un programa que tiene aceptación
mundial.
• Mejorar sus oportunidades laborales y estabilidad laboral.
• Mejorar su credibilidad en la profesión.
• Ser distinguido como profesional calificado.
 Áreas De Conocimiento Para El Examen
CISA (Dominios)

• El Proceso de auditoría de SI (21%)

• Gobierno y Gestión de TI (16%)

• Adquisición, Desarrollo e Implementación de SI (18%)

• Operaciones, Mantenimiento y Soporte de SI (20%)

• Protección de los activos de Información (25%)

 Auditor Informático

Auditor Informático:
Es un profesional dedicado al análisis de
sistemas de información e informáticos, que
está especializado en algunas de las
múltiples ramas de la auditoria informática,
que tiene conocimientos generales o
específicos y que además posea las
características necesarias para actuar como
consultor con su auditado, dándole ideas de
cómo enfocar la construcción de los
elementos de control y de gestión y actuar
como consejero en la organización en la que
está desarrollando su labor.
 Cualidades De Un Auditor Informático

Competencias Profesionales.

• Trabajo en equipo: Capacidad para desempeñar un rol dentro

de un equipo de trabajo, con responsabilidad y en colaboración.

• Comunicación: Capacidad de informar, recibir información y

transmitir una idea claramente, tanto a nivel escrito como
verbal.

• Resolución de problemas: Análisis y toma de decisiones en

situaciones no resueltas.
 Cualidades De Un Auditor Informático

Competencias Profesionales.

• Análisis: Capacidad de ver diferentes partes o aspectos de una

misma información.

• Síntesis: Capacidad de llegar a una conclusión tras el análisis

de una serie de datos.
 Cualidades De Un Auditor Informático

Competencias Personales.

• Integridad: Debe mostrar imparcialidad, sinceridad y

honestidad en todo momento del proceso de la auditoría.

• Responsabilidad: En cada uno de los actos durante el proceso

de auditoría.

• Inteligencia emocional: Aptitudes para controlar las emociones

dentro de las relaciones sociales. Autocontrol.

• Motivación: Auto-motivación para desempeñar un trabajo con

responsabilidad y entusiasmo.
Características deseables y no deseables
de un auditor
DESEABLES NO DESEABLES
Sociable Agresivo
Analítico Autoritario
Buen comunicador Deshonesto
Buen receptor Fácil de influenciar
Carácter firme Indeciso
Diplomático Inmaduro
Honesto No sabe planificar
Inquisitivo (curioso) Poco comunicativo
Íntegro Poco profesional
Interesado Poco razonable
Justo Polémico
Objetivo Terco
Paciente
Perseverante
Profesional
Razonable
Planificador
 Perfil del Auditor Informático

El auditor informático debe ser una persona con un alto grado de

calificación técnica y al mismo tiempo estar integrado en las corrientes
organizativas empresariales que imperan hoy en día.

Además debe contemplar en su formación básica una mezcla de

conocimientos de auditoria financiera y de informática general en
cuanto a:

• Desarrollo Informático: Gestión de proyectos y del ciclo de vida de

un proyecto de desarrollo.
• Gestión del departamento de sistemas.
• Análisis de riesgos en un entorno informático.
• Estándares de la Auditoria de S.I(COBIT, ISO/IEC 27000, ITIL,
COSO)
 Perfil del Auditor Informático

• Gestión de bases de datos.

• Operaciones y planificación informática: Efectividad de las
operaciones y del rendimiento de los sistemas.
• Gestión de la seguridad de los sistemas y de la continuidad
empresarial a través de planes de contingencia de la información.
• Administración de datos.
• Ofimática.
• Encriptación de datos.
• Sistemas operativos.
• Telecomunicaciones.
• Redes locales.
• Seguridad física.
 Dimensiones del Trabajo del Auditor
Informático
Revisión de Controles de las Aplicaciones:
• Determinar que los sistemas producen la información a tiempo,
exacta y completa.

Revisión de Integridad de Datos:

• Consistencia y exactitud.

Revisión de Controles Generales de los Procedimientos

Operacionales:
• Determinar que las aplicaciones se procesan en un entorno
controlado.
 Dimensiones del Trabajo del Auditor
Informático
Revisión de Seguridad:
 Asegurar la protección adecuada de los programas, de los
datos y de la instalación de procesamiento de datos.

Revisión del Software de los Sistemas:

 Determinar el cumplimiento con las políticas de la organización.

Revisión de Mantenimiento:
Determinar que los sistemas se han modificado de acuerdo con las
políticas de la organización.

 Revisión de Adquisición:
Determinar que los recursos de la organización se están utilizando
de forma económica.
 Dimensiones del Trabajo del Auditor
Informático
Revisión de la Gestión de Recursos del Procesamiento de
Datos:
 Determinar su adecuación en el cumplimiento de los objetivos
organizativos.

Gestión de Auditoría Informática:

 Utilizar de forma efectiva los recursos disponibles del proceso
de la auditoría informática y para cumplir el requisito de
auditoría informática de la organización
 Funciones De Un Auditor Informático

• Análisis de la administración de los sistemas de información,

desde un enfoque de riesgo de seguridad, administración y
efectividad de la administración.
• Análisis de la integridad, fiabilidad y certeza de la información, a
través del análisis de aplicaciones.
• Planificar las actividades de auditoría.
• Consensuar un cronograma con el auditado o cliente.
• Solicitar y analizar documentación, con objeto de emitir una
opinión.
• Análisis de datos a través de herramientas y síntesis de
conclusiones.
• Trabajo de campo, entrevistas y revisiones in-situ.
 Seguridad Informática

Objetivos

• Explicar la importancia de la información como activo

estratégico.

• Definir la expresión “Seguridad Informática”.

• Describir los principios que sirven de fundamento a la

Seguridad Informática.

• Ejemplificar los mecanismos de implantación de la seguridad

informática, asociándolos con el principio que fortalecen.
 Seguridad Informática

Conceptos:

Como consecuencia de la amplia difusión de la tecnología

informática, la información:

• Puede utilizarse para fines poco éticos.

• Puede divulgarse sin autorización de su propietario.

• Puede estar sujeta a robos, sabotaje o fraudes.

 Seguridad Informática

Conceptos:

La Seguridad Informática (S.I.) es la disciplina que se ocupa de

diseñar las normas, procedimientos, métodos y técnicas,
orientados a proveer condiciones seguras y confiables, para el
procesamiento de datos en sistemas informáticos.

La decisión de aplicarlos es responsabilidad de cada usuario.

Las consecuencias de no hacerlo … también.

 Principios de Seguridad Informática

Para lograr sus objetivos, la seguridad informática se fundamenta

en tres principios, que debe cumplir todo sistema informático:

1. Confidencialidad

2. Integridad

3. Disponibilidad
 Principios de Seguridad Informática

Confidencialidad

• Se refiere a la privacidad de los elementos de información

almacenados y procesados en un sistema informático.

• Basándose en este principio, las herramientas de seguridad

informática deben proteger al sistema de invasiones, intrusiones
y accesos, por parte de personas o programas no autorizados.

• Este principio es particularmente importante en sistemas

distribuidos, es decir, aquellos en los que usuarios,
computadores y datos residen en localidades diferentes, pero
están física y lógicamente interconectados.
 Principios de Seguridad Informática
Integridad
• Se refiere a la validez y consistencia de los elementos de
información almacenados y procesados en un sistema
informático.

• Basándose en este principio, las herramientas de seguridad

informática deben asegurar que los procesos de actualización
estén sincronizados y no se dupliquen, de forma que todos los
elementos del sistema manipulen adecuadamente los mismos
datos.

• Este principio es particularmente importante en sistemas

descentralizados, es decir, aquellos en los que diferentes
usuarios, computadores y procesos comparten la misma
información.
 Principios de Seguridad Informática
Disponibilidad

• Se refiere a la continuidad de acceso a los elementos de

información almacenados y procesados en un sistema
informático.

• Basándose en este principio, las herramientas de Seguridad

Informática deben reforzar la permanencia del sistema
informático, en condiciones de actividad adecuadas para que
los usuarios accedan a los datos con la frecuencia y dedicación
que requieran.

• Este principio es particularmente importante en sistemas

informáticos cuyo compromiso con el usuario, es prestar
servicio permanente.
 Formas De Ataque Informático

• Los insiders(Internos) empleados disconformes o personas

externas con acceso a sistemas dentro de la empresa, utilizan
sus permisos para alterar archivos o registros.

• Los outsiders(Externos) personas que atacan desde afuera

de la ubicación física de la organización, ingresan a la red
simplemente averiguando la existencia de vulnerabilidades de
seguridad.
 Ataques contra el flujo de la información

Flujo Normal

• Los mensajes en un SI se envían a partir de un emisor a uno o

varios receptores
• El atacante es un tercer elemento; en la realidad existen
millones de elementos atacantes, intencionales o accidentales.

Emisor Receptor

Atacante
 Ataques contra el flujo de la información

Interrupción

• El mensaje no puede llegar a su destino, un recurso del sistema

es destruido o temporalmente inutilizado.

• Este es un ataque contra la Disponibilidad.

Emisor Receptor

Atacante
 Ataques contra el flujo de la información

Intercepción

• Una persona, computadora o programa sin autorización logra el

acceso a un recurso controlado.

• Es un ataque contra la Confidencialidad.

Emisor Receptor

Atacante
 Ataques contra el flujo de la información

Modificación.

• La persona sin autorización, además de lograr el acceso,

modifica el mensaje.

• Este es un ataque contra la Integridad.

Emisor Receptor

Atacante
 Ataques contra el flujo de la información

Fabricación.

• Una persona sin autorización inserta objetos falsos en el

sistema.

• Es un ataque contra la Autenticidad o Integridad.

Emisor Receptor

Atacante
 Riesgos

Riesgo:

La posibilidad de que ocurra un acontecimiento que tenga impacto

en el alcance de los objetivos. El riesgo se mide en términos de
impacto y probabilidad.
Activo.
Vulnerabilidad.
Amenaza.
 Tipos de Riesgo

Inherente: es aquel que está directamente relacionado con la

naturaleza de los procesos desarrollados, en ausencia de
controles.

Residual es el riesgo subsistente una vez aplicados los controles.

Riesgo residual = Riesgo inherente - Control

 Tipos de Riesgo

Control: Cualquier medida que tome la dirección, el Consejo y

otras partes, para gestionar los riesgos y aumentar la probabilidad
de alcanzar los objetivos y metas establecidos. La dirección
planifica, organiza y dirige la realización de las acciones suficientes
para proporcionar una seguridad razonable de que se alcanzarán
los objetivos y metas.
 Administración Del Riesgo

Alto

Riesgo
Administrado

Logro de
Objetivos
Ineficacia Ineficacia por
por controles
exposición

Bajo

Desinformado Gerenciado Obsesionado

- Controles +
 Clasificación Del Riesgo

Riesgo Estratégico: Se asocia con la forma en que se administra

la Entidad.

Riesgo Operativo: Comprende los riesgos relacionados tanto con

la parte operativa como técnica de la entidad, incluye riesgos
provenientes de deficiencias en los sistemas de información, en la
definición de los procesos, en la estructura de la entidad, la
desarticulación entre dependencias, lo cual conduce a
ineficiencias, oportunidades de corrupción e incumplimiento de los
compromisos institucionales.
 Clasificación Del Riesgo

Riesgos Financieros: Se relacionan con el manejo de los

recursos de la entidad que incluye, la ejecución presupuestal, la
elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes de cada
entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la
entidad para cumplir con los requisitos legales, contractuales, de
ética pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología: Se asocian con la capacidad de la
Entidad para que la tecnología disponible satisfaga las
necesidades actuales y futuras de la entidad y soporte el
cumplimiento de la misión.
 Conceptos

Gobierno

La combinación de procesos y estructuras implantados por el

Consejo de Administración para informar, dirigir, gestionar y vigilar
las actividades de la organización con el fin de lograr sus objetivos.

Control Interno
Concepto fundamental de la administración y control, aplicable en
las entidades del Estado para describir las acciones que
corresponde adoptar a sus titulares y funcionarios para preservar,
evaluar y monitorear las operaciones y la calidad del servicio.
 Conceptos

Mapa de Riesgos

Representación gráfica (usualmente en cuadrantes) de los riesgos

de una entidad/proceso/procedimiento, conforme a un criterio de
probabilidad e impacto

Gestión de Riesgos

un proceso para identificar, evaluar, manejar y controlar

acontecimientos o situaciones potenciales, con el fin de
proporcionar un aseguramiento razonable respecto del alcance de
los objetivos de la organización.
 Conceptos

Apetito por el riesgo

El nivel de riesgo que la organización está dispuesta a asumir en

su búsqueda de rentabilidad y valor.
Alto
Excediendo
el Apetito de
Riesgo
Impacto
Medio

Dentro del
Apetito de
Riesgo
Bajo

Bajo Medio Alto

Probabilidad
 Conceptos

Tolerancia al riesgo
El nivel de variación que la organización está dispuesta a asumir
en caso de desviación a los objetivos empresariales trazados
Estrategia de negocio

Límite de Desempeño
Real
Variación
tolerancia
Inaceptable Meta Fijada

Límite de
tolerancia

Variación
Inaceptable

Tiempo
 Una política de gestión de riesgos.
• Objetivos de control interno y de gestión de riesgos (gobierno)
• Una declaración de la actitud de la organización para con los riesgos
(estrategia)
• Descripción de la cultura consciente de los riesgos o ambiente de
control
• Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo)
• Organización de la gestión de riesgos y acuerdos (arquitectura)
• Detalle de los procedimientos para el reconocimiento de riesgos y su
priorización (evaluación de riesgos)
• Lista de documentación para analizar y reportar riesgos (protocolos de
riesgo)
• Requerimientos de mitigación de riesgos y mecanismos de control
(respuesta al riesgo)
• Prioridades y temas de entrenamiento en gestión de riesgos
• Asignación de los recursos apropiados para la gestión de riesgos
• Actividades y prioridades relacionadas a la gestión de riesgos para el
año venidero
 Gestión de Riesgos

1. Identificación de Riesgos

• Esta etapa busca identificar los riesgos que deben ser

gestionados
• Riesgo que no sea identificado, es excluido en cualquier
análisis posterior
• Qué puede suceder: impida el logro de los objetivos o
responsabilidades asignadas, afecte la eficiencia de mis
funciones, genere pérdidas (tiempo, imagen, recursos, etc.)
• Los riesgos se identifican independientemente de que estén
bajo el control de la entidad o no
 Herramientas y Técnicas
de identificación de riesgos

Técnicas de Diagramación
Técnicas de Recopilación de
Información

Diagrama causa/efecto
Tormenta de Ideas

Técnica Delphi

Cuestionarios y encuesta Diagrama flujo de proceso

Entrevistas

Análisis FODA Diagramas de Influencia

 Niveles de Riesgo

Bajo: Requiere monitoreo periódico a fin de mantener los riesgos

en este nivel (Nivel 1)

Criterios Fundamentales:
• Incumplimiento parcial de normas y procedimientos internos
dentro del período evaluado. (no repetitivo)

Equivalente nivel de Riesgo/Madurez:

4 - Óptimo
 Niveles de Riesgo

Moderado: Requiere atención de la gerencia (Nivel 2)

Criterios Fundamentales:
• Incumplimiento reiterativo de procedimientos internos dentro del
período evaluado
• Desactualización de normas y procedimientos internos
relacionados con la administración de activos.

Equivalente nivel de Riesgo/Madurez:

3 - Implementado
 Niveles de Riesgo
Alto: Requiere atención urgente de las gerencias responsables
(Nivel 3)
Criterios Fundamentales:
• Afectación al cumplimiento de los objetivos operativos
• Atención y servicio al cliente (trascendencia pública local)
• Pérdidas y multas por incumplimiento de normativas internas y
externas.
• Omisión en la aplicación de controles críticos en los procesos
operativos y de soporte.
• Carencia de normas y procedimientos internos relacionados con
la administración de activos y recursos.
• Omisión en la implantación de recomendaciones en dos
períodos consecutivos.
Equivalente nivel de Madurez:
2 – En Proceso
 Niveles de Riesgo

Extremo: Requiere atención urgente de la alta dirección (Nivel 4)

Criterios Fundamentales:
• Afectación al cumplimiento de los objetivos estratégicos
• Afectación de la imagen institucional (trascendencia pública a
nivel nacional)
• Interrupción de las operaciones que afecten la prestación de los
servicios y que generen un efecto económico negativo.
• Fraudes: robos e irregularidades internacionales
• Omisión en la aplicación de controles críticos en los procesos
estratégicos, operativos y soporte

Equivalente nivel de Madurez:

1 – Inexistente / Inicial
 2. Análisis de Riesgos

• El análisis de riesgos involucra prestar consideración a las

fuentes de riesgos, sus consecuencias y las probabilidades de
que puedan ocurrir esas consecuencias
• Implica determinar: fuentes del riesgo, posibilidad,
consecuencias, responsables, acciones.
• Se deben identificar los controles o acciones que ayuden a
minimizarlos, eliminarlos o transferirlos.
• Cualitativos. El análisis cualitativo utiliza formatos de palabras o
escalas descriptivas para describir la magnitud de las
consecuencias potenciales y la probabilidad de que esas
consecuencias ocurran.
• Cuantitativos. Uso de datos numéricos para la determinación de
los riesgos.
 3. Evaluar los riesgos

• La evaluación de riesgos involucra comparar el nivel de riesgo

detectado durante el proceso de análisis con criterios de riesgo
establecidos previamente
• El propósito de la evaluación de riesgos es tomar decisiones
basadas en los resultados del análisis de riesgos (tratamiento
de riesgos y la prioridad)
NIVEL DE PROBABILIDAD NIVEL DE IMPACTO
Nivel Descripción Concepto Nivel Descripción Concepto
El ries go tiene un efec to nulo o pequeño , en el des arro llo
1 Im pro bable P uede o c urrir en algún m o m ento 1 Ins ignific ante
del pro c es o - baja perdida financ iera

P o c o pro bable / P uede o c urrir s ó lo en c irc uns tanc ias El des arro llo del pro c es o s ufre un daño m eno r - C o n
2 2 M eno r
R aro exc epc io nales perdida financ iera m eno r

P ro bablem ente o c urriria en la El des arro llo del pro c es o s ufre un deterio ro , dific ultando
3 P ro bable 3 M o derado
m ayo ria de c irc uns tanc ias o retrazando s u c um plim iento - C o n afec tac ió n financ iera

P uede o c urrir en la m ayo ría de El des arro llo del pro c es o es afec tado s ignific ativ am ente -
4 P o tenc ial 4 M ayo r
c irc uns tanc ias P érdida financ iera m ayo r

Se es pera que o c urra en la m ayo ria de El pro c es o es grav em ente dañado - Eno rm e perdida
5 C as i c ierto 5 C atas tro fic o
c irc uns tac ias financ iera
 Evaluar los riesgos

Catastrófico Modera do Al to Al to Extremo Extremo

Mayor Modera do Modera do Al to Extremo Extremo

IMPACTO

Moderado Ba jo Modera do Al to Al to Al to

Menor Ba jo Modera do Modera do Modera do Al to

Insignificante Ba jo Ba jo Ba jo Modera do Modera do

Poco
Ra ra vez Oca s i ona l Frecuente Muy frecuente
frecuente

FRECUENCIA
Evaluar los riesgos
Evaluar los riesgos
 Tratamiento de Riesgos
Evitar o eliminar el riesgo:
Por ejemplo sustituyendo el activo por otro que no se vea afectado por la
amenaza o eliminando la actividad que lo produce.
Reducirlo o mitigarlo:
Tomando las medidas oportunas para que el nivel de riesgo se sitúe por
debajo del umbral.
Transferirlo, compartirlo o asignarlo a terceros:
En ocasiones la empresa no tiene la capacidad de tratamiento y precisa la
contratación de un tercero con capacidad para reducir y gestionar el riesgo
dejándolo por debajo del umbral.
Aceptarlo:
Se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo
bien en situaciones en las que los costes de su tratamiento son elevados
y aun siendo riesgos de impacto alto su probabilidad de ocurrencia es baja o
porque aun a pesar del riesgo la empresa no quiere dejar de aprovechar la
oportunidad que para su negocio supone esa actividad arriesgada.