AUDITORIA DE SISTEMAS

1.- Terminologa de la auditoria en Informtica

1.1.
1.2.
1.3.
1.4.

Informtica
Auditoria
Auditoria en informtica
La auditora informtica y su entorno

2.- Auditoria durante el ciclo de desarrollo e implantacin de

sistemas de informacin
2.1.
2.2.
2.3.
2.4.

Metodologa
Tcnicas
Herramientas
Capacitacin y actualizacin

3.-Auditoria de redes locales y telecomunicaciones

3.1. Administracin
1. Utiliza alguna red local?
2. Cmo hace uso de la red local?
3. Cmo realizan la administracin de la red?
4. Quin es el encargado de administrarlo?
5. Cuntos equipos tienes acceso a la red?
6. Cmo clasifica cada equipo con la red?
3.2. Instalacin

4.-Auditoria del Hardware

4.1. Administracin
1. Utiliza el hardware?
2. Quin es el encargado de administrarlo?
3. Es importante tenerlo administrado?
4. Cmo realiza su administracin?
5. Tiene algn tipo de mantenimiento?
6. Cmo se le aplica?
7. Cada cuando se realiza el mantenimiento al hardware?
4.2. Instalacin
1. Llevan a cabo instalaciones de hardware?
2. Quin se encarga de instalarlo?
3. De que modo lleva a cabo la instalacin?
4. En cuantos equipos realiza la instalacin?
5. Qu importancia tiene su instalacin?
6. La instalacin, es siempre la adecuada?
7.
4.3. Operacin y seguridad
1. Cuenta con alguna seguridad de hardware?
2. Quin tiene el control de su seguridad?
3. Se realiza algn mantenimiento?
4. Es importante su mantenimiento?
5. Quin es el encargado de mantenimiento?

5.- Auditoria de software

5.1. Administracin
1. Es de importancia administrar el software?
2. De que manera lo administran?
3. Qu se necesita para administrarlo correctamente?
4. Ha tenido problemas para administrarlo?
5. Cmo le ha dado solucin?
5.2. Legalizacin e instalacin
1. Las instalaciones de aplicaciones, son legales?
2. Qu sistema utiliza
3. Cmo garantiza que el sistema, es legal?
4. Quin es el responsable de instalar las aplicaciones?
5. Qu tipo de aplicaciones ha instalado?
5.3. Operacin y seguridad
1. Mantiene con seguridad el sistema?
2. Ha presentado problemas el sistema?
3. Cmo lo solucionan?
4. Quin es el encargado de solucionarlo?
5. Se le da mantenimiento al sistema?
6. Cmo saben que cuenta con una calidad de mantenimiento?
7. Quin realiza el mantenimiento del sistema?

6.- Auditoria de seguridad

6.1. Hardware
6.2. Aplicacin del software
6.3. Plan de contingencias y de recuperacin

7.- Informa de la auditoria

7.1. Informe final

1.- INTRODUCCION Y CONCEPTOS

Desde el momento en que se realiza una accin que rena las caractersticas que delimitan el
concepto de delito, y sea llevada a cabo utilizando un elemento informtico o vulnerando los
derechos del titular de un elemento informtico, ya sea de hardware o de software, estamos
en presencia de un delito informtico.
Estos delitos informticos pueden adoptar alguna de las siguientes formas:
-Robos, hurtos, vaciamientos, desfalcos, estafas o fraudes cometidos mediante manipulacin
y uso de computadoras.
-Apropiacin no autorizada de los datos de entrada o de salida.
-Cambios no autorizados en programas, que consiste en modificar los programas existentes
en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas.
-Sabotaje Informtico.
-Falsificaciones informticas.
-Violacin de la privacidad.
-Interceptacin de comunicaciones.
-Robo de servicios.- se alude a las conductas que tienen por objeto el acceso ilcito a los
equipos fsicos o a los programas informticos, para utilizarlos en beneficio del delincuente.
-Hurto por transacciones electrnicas de fondos.- Hurto que se comete mediante la utilizacin
de sistemas de transferencia electrnica de fondos, de la telemtica en general, o tambin
cuando se viola el empleo de claves secretas.
Para las organizaciones empresariales, es vital que se evalen constante y regularmente
todos los procesos que en ellas se llevan a cabo, con el fin de verificar su calidad y suficiencia
en cuanto a los requerimientos de control, integridad y confidencialidad.
Los sistemas informticos se han constituido en una de las herramientas ms poderosas para
materializar uno de los recursos ms relevantes para cualquier organizacin empresarial: la
informacin (Piattini y Del Peso, 1998; Ruiz, 1999; Echenique, 2001).
Se requiere de sistemas, normas y/o programas que puedan ser utilizados en la evaluacin y
el anlisis de la eficiencia del sistema de control interno, del funcionamiento de los sistemas
de informacin que utiliza, adems de la verificacin del cumplimiento de la normativa
general de la empresa en este mbito y la revisin de la gestin eficaz de los recursos
materiales y humanos informticos.

Qu es la Auditoria Informtica en Redes y Telecomunicaciones?

La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Tambin
permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin
dentro de una organizacin y determinar qu informacin es critica para el cumplimiento de
su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de informacin eficientes.

Qu caractersticas tiene la Auditoria Informtica en Redes y

Telecomunicaciones?

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un

Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin
Informtica.

Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a
ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora
de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.
Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma
su funcin: se est en el campo de la Auditora de Organizacin Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una
auditora parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de
Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de
ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla
de ellas.

Cul es el perfil del Auditor Informtico en Redes y Telecomunicaciones?

El perfil de un auditor informtico en redes y telecomunicaciones es el que corresponde a un

Ingeniero en Informtica o en Sistemas especializado en el rea de telemtica.
El auditor de informtico especializado en esta rea deber inquirir sobre los ndices de utilizacin de
las lneas contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la
topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacin de esta documentacin
significara una grave debilidad. La inexistencia de datos sobre la cuantas lneas existen, cmo son y
donde estn instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo, las
debilidades ms frecuentes o importantes se encuentran en las disfunciones organizativas.

2.- USO
Por qu y Para qu se hace la Auditoria Informtica en Redes y
Telecomunicaciones?
a) Asegurar la integridad, confidencialidad y confiabilidad de la informacin.
b) Minimizar existencias de riesgos en el uso de Tecnologa de informacin
c) Conocer la situacin actual del rea informtica para lograr los objetivos.
d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico, as como tambin seguridad del personal, los datos, el hardware, el software y las
instalaciones.
e) Incrementar la satisfaccin de los usuarios de los sistemas informticos.
f) Capacitar y educar sobre controles en los Sistemas de Informacin.
g) Buscar una mejor relacin costo-beneficio de los sistemas automticos y tomar decisiones
en cuanto a inversiones para la tecnologa de informacin.

3.- METODOLOGIAS
Qu metodologas sigue la Auditoria Informtica en redes y Telecomunicaciones?

Las metodologas son necesarias para desarrollar cualquier proyecto que nos propongamos de
manera ordenada y eficaz.
Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control
informtico, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del
trabajo, estn diseadas par producir una lista de riesgos que pueden compararse entre s con
facilidad por tener asignados unos valores numrico. Estn diseadas para producir una lista
de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores
numricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe
extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de
trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar el checklist/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos
humanos / tiempo que las metodologas cuantitativas.
En la actualidad existen tres tipos de metodologas de auditoria informtica:
R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen.
CHECKLIST o cuestionarios.
AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de
base de Datos DB2; paquete de seguridad RACF, etc.).

4.- APLICACIONES
A que tipos de empresas se aplica la Auditoria Informtica en Redes y
Telecomunicaciones?
La Auditoria Informtica en Redes y Telecomunicaciones se lo aplica en especial a empresas que poseen ciertamente de
tecnologas de comunicaciones y/o sistemas de informacin que estn conectados ya sea mediante intranet o internet, en
Bolivia podemos citar a las siguientes principales empresas:
- Entel Movil
- Viva GSM
- Tigo
- AXS
- Cotel

1.
2.
3.
4.
5.

Hace uso de algn sistema operativo para su instalacin?

Cmo identifica que la instalacin es segura?
Cul es el sistema operativo que utiliza?
El sistema que utiliza, es legal?
Quin realiza las instalaciones de las aplicaciones?

3.3. Operacin y seguridad

1. Quin es el encargado de controlar el sistema?
2. Es seguro el uso del sistema?

3.
4.
5.
6.

Ha presentado problemas en la seguridad del sistema?

Es conveniente aplicarle mantenimiento?
Quin es el encargado de mantenimiento?
Cmo garantiza que se esta aplicando adecuadamente?