1.

Auditoria de los Sistemas de Informacin

Una auditora de seguridad informtica o auditora de seguridad de sistemas de
informacin (SI) es el estudio que comprende el anlisis y gestin de sistemas
llevado a cabo por profesionales para identificar, enumerar y posteriormente
describir las diversas vulnerabilidades que pudieran presentarse en una revisin
exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Las auditoras de seguridad de SI permiten conocer en el momento de su
realizacin cul es la situacin exacta de sus activos de informacin en cuanto a
proteccin, control y medidas de seguridad.
La auditora de los sistemas de informacin se define como cualquier auditora
que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin
de ellos) de los sistemas automticos de procesamiento de la informacin,
incluidos los procedimientos no automticos relacionados con ellos y las interfaces
correspondientes.
2. Auditoria Informtica
La auditora en informtica es la revisin y la evaluacin de los controles,
sistemas, procedimientos de informtica; de los equipos de cmputo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que adems
habr de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin.

La auditora en informtica es de vital importancia para el buen desempeo de

los sistemas de informacin, ya que proporciona los controles necesarios para que
los sistemas sean confiables y con un buen nivel de seguridad. Adems debe
evaluar todo (informtica, organizacin de centros de informacin, hardware y
software).
Para hacer una adecuada planeacin de la auditoria en informtica, hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin
y equipo.
En el caso de la auditoria en informtica, la planeacin es fundamental, pues
habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
Para hacer una planeacin eficaz, lo primero que se requiere es obtener
informacin general sobre la organizacin y sobre la funcin de informtica a
evaluar. Para ello es preciso hacer una investigacin preliminar y algunas
entrevistas previas, con base en esto planear el programa de trabajo, el cual
deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar
o formular durante el desarrollo de la misma.

Definicin segn autores:

RAMOS GONZLEZ,

"La Auditora Informtica comprende la revisin y la evaluacin independiente y

objetiva, por parte de personas independientes y tcnicamente competentes del
entorno informtico de una entidad, abarcando todas o algunas de sus reas, los
estndares y procedimientos en vigor, su idoneidad y el cumplimiento de stos, de
los objetivos fijados, los contratos y las normas legales aplicables; el grado de
satisfaccin de usuarios y directivos; los controles existentes y un anlisis de
los riesgos".

JOS A. ECHENIQUE

La auditora en informtica es la revisin y evaluacin de los controles, sistemas,

procedimientos de informtica; de los equipos de cmputo, su utilizacin,
eficiencia y seguridad, de la organizacin que participa en el procesamiento de la
informacin, a fin de que por medio del sealamiento de cursos alternativos se
logre una utilizacin ms eficiente y segura de la informacin que servir para una
adecuada toma de decisiones.

SEGN MARIO PIATTINI VELTHUIS,

La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y
utiliza eficientemente los recursos

Definicin grupal:
La auditora informtica es una evaluacin de los sistemas de informacin, una
revisin que se debe hacer ha dicho sistema para determinar que los
procedimientos de informtica, tanto como su utilizacin, eficiencia, seguridad y el
buen registro de la informacin se estn llevando a cabo correctamente. A dems
de esto la auditoria informtica comprende la revisin de la parte lgica del
computador que es el software y la parte fsica como lo es el hardware; esto para
elevar el nivel de confiabilidad a la hora de entrada y salida de informacin.
Todo este procedimiento de auditoria se lleva a cabo de acuerdo con una
planeacin, tomando en cuenta principalmente la informacin general de la
empresa. Para ello se realiza una investigacin preliminar, entrevistas y solicitud

de documentos auxiliares para as comenzar con su cronograma de trabajo de

acuerdo al tiempo que se necesita para la auditoria.

3. reas de aplicacin
La funcin de Desarrollo es

una evolucin del

llamado Anlisis y Programacin de Sistemas y Aplicaciones. A su vez, engloba

muchas reas, tantas como sectores informatizarles tiene la empresa.
Muy concisamente, una Aplicacin recorre las siguientes fases:

Prerrequisitos del Usuario (nico o plural) y del entorno

Anlisis funcional

Diseo

Anlisis orgnico (Reprogramacin y Programacin)

Pruebas

Entrega a Explotacin y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso
contrario, adems del disparo de los costes, podr producirse la insatisfaccin del
usuario.

Finalmente,

la

auditoria

deber

comprobar

la seguridad de

los programas en el sentido de garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.
4. Objetivos y procedimientos
Objetivos especficos

Los objetivos especficos de la auditoria de sistemas es llevar a cabo la

evaluacin de normas, controles, tcnicas y procedimientos que se tienen
establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la informacin que se procesa a travs de los sistemas de
informacin.
Se establecen varios objetivos clave como lo es:
1. Participacin en el desarrollo de nuevos sistemas:

Realizar una evaluacin de controles

Dar cumplimiento de la metodologa que lleva la empresa.

2. Evaluacin de la seguridad en el rea informtica.

3. Evaluacin de suficiencia en los planes de contingencia.

Cmo generar respaldos, prever qu va a pasar si se presentan fallas.

4. Opinin de la utilizacin de los recursos informticos.

Tener un resguardo adecuado y proteccin de activos.

5. Control de modificacin a las aplicaciones existentes.

Evitar fraudes y robo de informacin por parte de personal interno o

externo.
Tener un control a las modificaciones de los programas.

6. Participacin en la negociacin de contratos con los proveedores de equipo o

de software.
7. Revisin de la utilizacin del sistema operativo y los programas utilitarios.

Tener un adecuado control sobre la utilizacin de los sistemas operativos y

dispositivos conectados a los equipos.

8. Auditora de la base de datos.

Verificar la estructura sobre la cual se desarrollan las aplicaciones a fin de

poder verificar si donde se est guardando la informacin se encuentra
encriptada, niveles de seguridad, accesos, entre otros.

9. Auditora de la red de teleprocesos.

10. Desarrollo de software de auditora.
El objetivo final de una auditora de sistemas bien implementada es desarrollar
software capaz de estar ejerciendo un control continuo de las operaciones del rea
de procesamiento de datos.
El auditor de sistemas dar recomendaciones a la alta gerencia para mejorar o
lograr un adecuado control interno en ambientes de tecnologa informtica con el
fin de lograr mayor eficiencia operacional y administrativa en toda la empresa.
Procedimientos
Se requieren varios pasos para realizar una auditora de sistemas de
informacin. El auditor de sistemas debe evaluar los riesgos globales y luego
desarrollar un programa de auditoria que consta de objetivos de control y
procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de
auditoria exige que el auditor de sistemas rena evidencia, evale fortalezas y
debilidades de los controles existentes basado en la evidencia recopilada, y que
prepare un informe de auditora que presente esos temas en forma objetiva a la
gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y
asignacin adecuada de recursos para realizar el trabajo de auditoria adems de
las revisiones de seguimiento sobre las acciones correctivas emprendidas por la
gerencia
Estudio preliminar

Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la

unidad informtica para conocer detalles de la misma, elaborar un cuestionario
para la obtencin de informacin para evaluar preliminarmente el control interno,
solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas
con los principales funcionarios.
Revisin y evaluacin de controles y seguridades
Consiste de la revisin de los diagramas de flujo de procesos, realizacin de
pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas
crticas, Revisin de procesos histricos, Revisin de documentacin y archivos,
entre otras actividades.
Examen detallado de reas crticas
Con las fases anteriores el auditor descubre las reas crticas y sobre ellas hace
un estudio y anlisis profundo en los que definir concretamente su grupo de
trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos,
alcance, recursos que usar, definir la metodologa de trabajo, la duracin de la
auditora, Presentar el plan de trabajo y analizar detalladamente cada problema
encontrado con todo lo anteriormente analizado.
Comunicacin de resultados
Se elaborar el borrador del informe a ser discutido con los ejecutivos de la
empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente
en forma de matriz, cuadros o redaccin simple y concisa que destaque los
problemas encontrados, los efectos y las recomendaciones de la Auditora.
El informe debe contener lo siguiente:

Motivos de la Auditora

Objetivos

Alcance

Estructura Orgnico-Funcional del rea Informtica

Configuracin del Hardware y Software instalado

Control Interno

Resultados de la Auditora
5. Fines de la auditoria de sistemas

1. Fundamentar la opinin del auditor interno (externo) sobre la confiabilidad de

los sistemas de informacin.
2. Expresar la opinin sobre la eficiencia de las operaciones en el rea de TI.

6. Razones
Para determinar fallas que ocasionen retrasos en las operaciones de la
empresa, as como vulnerabilidades y oportunidades de mejora en sus sistemas,
ya que prdidas de tiempo y dinero se ven constantemente relacionadas con
problemas con los sistemas.

Aumento

considerable

injustificado

del

presupuesto

del

PAD

(Departamento de Procesamiento de Datos)

Desconocimiento en el nivel directivo de la situacin informtica de la

empresa

Falta total o parcial de seguridades lgicas y fsicas que garanticen la

integridad del personal, equipos e informacin.

Descubrimiento de fraudes efectuados con el computador

Falta de una planificacin informtica

Organizacin que no funciona correctamente, falta de polticas, objetivos,

normas, metodologa, asignacin de tareas y adecuada administracin del
Recurso Humano

Descontento general de los usuarios por incumplimiento de plazos y mala

calidad de los resultados

Falta de documentacin o documentacin incompleta de sistemas que

revela la dificultad de efectuar el mantenimiento de los sistemas en
produccin

7. Evaluacin de los sistemas de informacin

La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual
se debe revisar si existen realmente sistemas entrelazados como un todo o bien si
existen programas aislados. Otro de los factores a evaluar es si existe un plan
estratgico para la elaboracin de los sistemas o si se estn elaborados sin el
adecuado sealamiento de prioridades y de objetivos.

El plan estratgico deber establecer los servicios que se presentarn en un futuro

contestando preguntas como las siguientes:

Cules servicios se implementarn?

Cundo se pondrn a disposicin de los usuarios?

Qu caractersticas tendrn?

Cuntos recursos se requerirn?

La estrategia de desarrollo deber establecer las nuevas aplicaciones, recursos y
la arquitectura en que estarn fundamentados:

Qu aplicaciones sern desarrolladas y cundo?

Qu tipo de archivos se utilizarn y cundo?

Qu bases de datos sern utilizarn y cundo?

Qu lenguajes se utilizarn y en que software?

Qu tecnologa ser utilizada y cuando se implementar?

Cuntos recursos se requerirn aproximadamente?

Cul es aproximadamente el monto de la inversin en hardware y

software?
En lo referente a la consulta a los usuarios, el plan estratgico debe definir los
requerimientos de informacin de la dependencia.

Qu estudios van a ser realizados al respecto?

Qu metodologa se utilizar para dichos estudios?

Quin administrar y realizar dichos estudios?

En el rea de auditora interna debe evaluarse cul ha sido la participacin del

auditor y los controles establecidos.

Por ltimo, el plan estratgico determina la planeacin de los recursos.

Contempla el plan estratgico las ventajas de la nueva tecnologa?

Cul es la inversin requerida en servicios, desarrollo y consulta a los

usuarios?
El proceso de planeacin de sistemas deber asegurarse de que todos los
recursos requeridos estn claramente identificados en el plan de desarrollo de
aplicaciones y datos. Estos recursos (hardware, software y comunicaciones)
debern ser compatibles con la arquitectura y la tecnologa, conque se cuenta
actualmente.

Los sistemas deben evaluarse de acuerdo con el ciclo de vida que

normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseo
general, anlisis, diseo lgico, desarrollo fsico, pruebas, implementacin,
evaluacin, modificaciones, instalacin, mejoras. Y se vuelve nuevamente al ciclo
inicial, el cual a su vez debe comenzar con el de factibilidad.

La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual

debe analizar si el sistema es factible de realizarse, cul es su relacin
costo/beneficio y si es recomendable elaborarlo.

Se deber solicitar el estudio de factibilidad de los diferentes sistemas que

se encuentren en operacin, as como los que estn en la fase de anlisis para
evaluar si se considera la disponibilidad y caractersticas del equipo, los sistemas
operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de
utilizacin de los sistemas, el costo y los beneficios que reportar el sistema, el
efecto que producir en quienes lo usarn y el efecto que stos tendrn sobre el
sistema y la congruencia de los diferentes sistemas.

En el caso de sistemas que estn funcionando, se deber comprobar si

existe el estudio de factibilidad con los puntos sealados y compararse con la
realidad con lo especificado en el estudio de factibilidad
Por ejemplo en un sistema que el estudio de factibilidad seal determinado costo
y una serie de beneficios de acuerdo con las necesidades del usuario, debemos
comparar cual fue su costo real y evaluar si se satisficieron las necesidades
indicadas como beneficios del sistema.

Para investigar el costo de un sistema se debe considerar, con una

exactitud razonable, el costo de los programas, el uso de los equipos
(compilaciones, programas, pruebas, paralelos), tiempo, personal y operacin,
cosa que en la prctica son costos directos, indirectos y de operacin.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el

ahorro en los costos de operacin, la reduccin del tiempo de proceso de un
sistema. Mayor exactitud, mejor servicio, una mejora en los procedimientos de
control, mayor confiabilidad y seguridad.

Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educacin Universitaria
Universidad Nacional Experimental Rafael Mara Baralt
Cabimas-Edo. Zulia

Auditora de los
Sistemas de
Informacin

Integrantes:
Almary Pulgar. CI. 23.467.884
Ricardo Trujillo. CI. 15.786.042
Genesys Gonzalez. CI. 23.762.030
Zulimar Rojas. CI. 17.819.400
Jhonnathan Molleda. CI. 20.623.241
Mariargelis Diaz. CI. 23.467.038
Seccin:
131