AUDITORIA EN SISTEMAS INFORMÁTICOS

Es la actividad de recolectar, consolidar y evaluar evidencia para comprobar si la entidad ha

avanzado en la implementación de controles, protección de los activos, mantenimiento de la
integridad de los datos, si tiene claro los objetivos de seguridad de la entidad y si utiliza
bien los recursos. De este modo la auditoría informática mantiene y confirma la
consecución de los objetivos tradicionales de la auditoría, que son:

 Protección de activos e integridad de datos.

 Gestión de protección de activos, de manera eficaz y eficiente.

La auditoría Informática, puede ser externa como interna y debe ser una actividad ajena a
influencias propias de la entidad. La función auditora puede actuar de oficio, por iniciativa
o por solicitud de la dirección de la entidad.

AUDITORIA DE SISTEMAS

La auditoría de sistemas, es aquella actividad donde se evalúa el manejo y la protección de

la información residente en los sistemas de información, también califica la aptitud del
recurso humano que gestiona estas plataformas y la eficiencia del recurso informático.

La función de la auditoria es preventiva, realiza revisiones utilizando recursos de hardware

y software desarrollando procedimientos similares a los que emplea la entidad, con el fin de
mejorar los procesos de la entidad.

El objetivo principal es la verificación del sistema de información, su confiabilidad y el uso

del mismo por parte de la entidad.

PERFIL DEL AUDITOR DE SISTEMAS

El Auditor es un asesor dentro de la entidad, su ubicación depende de la ubicación orgánica

y funcional.

Se requieren calidades humanas, de gestor y de organizador, algunas de ellas:

 Eficiencia en su misión en la entidad.

 Ser diplomático.
 Manejo de pedagogía.
  Conocimiento de herramientas y métodos, para llegar al objetivo a alcanzar.
 Conocimiento en técnicas de auditoria.

METODOLOGIA DE LA AUDITORIA EN SISTEMAS

La metodología inicia con un proceso de planeación, en esta se fijan los objetivos y las
herramientas a usar, esto implica que hacer, como hacerlo y cuando hacerlo.

Esta etapa incluye una investigación previa con el fin de conocer la operación de lo que se
va a evaluar.

METRICAS

Las métricas son medidas que nos proporcionan una medida cuantitativa de cantidad,
dimensiones, capacidad, tamaño, de las propiedades de un proceso en la entidad.
Métrica: según el IEEE define la métrica como una medida cuantitativa del grado en que un
sistema, componente o proceso posee un atributo dado.

El uso de las métricas, estas nos permiten entender un proceso técnico que se está aplicando
en la entidad, a través de ellas podemos medir dicho proceso y su producto para saber cómo
mejorar su calidad. La medición de los procesos es necesario para obtener un resultado de
calidad que pueda llegar al ciudadano. Todas las métricas que se pueden hacer para medir
la calidad de un proceso y sus procesos de apoyo se agrupan en dos categorías diferentes
dependiendo del tipo de métrica que se realice:

a) Métrica indirecta: en esta se centran en la calidad, complejidad, fiabilidad, eficiencia,

funcionalidad, facilidad de mantenimiento, etc.

b) Métrica directa: respecto a esta se engloba en velocidad de ejecución, defectos

encontrados en una cantidad de tiempo, costo, tamaño de memoria usada, número de líneas
de código, etc.

IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA

Siempre ha existido la preocupación por parte de las organizaciones por optimizar todos los
recursos con que cuenta la entidad, sin embargo por lo que respecta a la tecnología de
informática, es decir, software, hardware, sistemas de información, investigación
tecnológica, redes locales, bases de datos, ingeniería de software, telecomunicaciones, etc.
esta representa una herramienta estratégica que representa rentabilidad y ventaja
competitiva frente a sus similares en el mercado, en el ámbito de los sistemas de
información y tecnología un alto porcentaje de las empresas tiene problemas en el manejo y
control, tanto de los datos como de los elementos que almacena, procesa y distribuye.

El propósito de la revisión de la auditoría en informática, es el verificar que los recursos, es

decir, información, energía, dinero, equipo, personal, programas de cómputo y materiales
son adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen.

Durante años se ha detectado el despilfarro de los recursos o uso inadecuado de los mismos,
especialmente en informática, se ha mostrado interés por llegar por llegar a la meta sin
importar el costo y los problemas de productividad.
Las áreas a auditar en donde se puede realizar la auditoría en informática, puede ser:

 A toda la Entidad.
 A un departamento.
 A un área.
 A una función.
 A una subfunción.

Y se pueden aplicar los siguientes tipos de auditoría:

 Auditoría al ciclo de vida del desarrollo de un sistema.

 Auditoría a un sistema en operación.
 Auditoría a controles generales ( gestión).
 Auditoría a la administración de la función de informática.
 Auditoría a microcomputadoras aisladas.
 Auditoría a redes.

MÉTODOS DE MUESTREO UTILIZADOS EN AUDITORÍA

Existen varios tipos de muestras que se utilizan en auditoria, si bien el IMCP, solo
menciona el muestreo de atributos y Muestreo de variables, existen otros tipos de muestreo,
que depende del auditor pueden ser útiles para desarrollar los procedimientos de auditoria
entre ellos encontramos:

 Muestreo aleatorio simple

 Muestreo estratificado
 Muestreo de atributos
 Muestreo de aceptación.
 Muestreo por conglomerados
 Muestreo sistemático
 Muestreo por conveniencia
 Muestreo por juicio.

AUDITORIA DE REDES Y COMUNICACIÓN

Para poder auditar redes, lo primero y fundamental es utilizar el mismo vocabulario que los
expertos en comunicaciones que las manejan.

Debido a la constante evolución en este campo, un primer punto de referencia es poder

referirse a un modelo comúnmente aceptable. El modelo común de referencia, adoptado por
ISO (international Standars Organization) se denomina modelo OSI (Open Systems
Interconection), y consta de siete capas, que se condensan en cuatro modelo TCP/IP
equivalente.

Es el análisis llevado a cabo de manera exhaustiva, específica y especializada que se realiza

a los sistemas de redes de una empresa, tomando en cuenta, en la evaluación, los tipos de
redes, arquitectura, topología, sus protocolos de comunicación, las conexiones, accesos
privilegios, administración y demás aspectos que impactan en su instalación,
administración, funcionamiento y aprovechamiento. Además, también la auditoría de red
toma en cuenta la revisión del software institucional, de los recursos informáticos e
información de las operaciones, actividades y funciones que permiten compartir las bases
de datos, instalaciones, software y hardware de un sistema de red.

Esta clase de auditoría ha cobrado una importancia tal, que hoy en día su aplicación es

altamente demandada en casi todas las instituciones en donde se realizan auditorías de

sistemas.

Con la implementación de una auditoría a los sistemas de redes de cómputo, se busca

valorar todos los aspectos que intervienen en la creación, configuración, funcionamiento y
aplicación de las redes de cómputo, a fin de analizar la forma en que se comparten y
aprovechan en la empresa los recursos informáticos y las funciones de sistemas; también se
evalúan la distribución de cargas de trabajo, la centralización de los sistemas de redes
computacionales y la repercusión de la seguridad, protección y salvaguarda de información,
personal y activos informáticos.

Para realizar una auditoría de la red de una empresa, se propone examinar las siguientes
características:

 Los objetivos de una red de cómputo.

  Las características de la red de cómputo.
 Los componentes físicos de una red de cómputo.
 La conectividad y comunicaciones de una red de cómputo.
 Los servicios que proporciona una red de cómputo.
 Los sistemas operativos, lenguajes, programas, paqueterías, utilerías y bibliotecas
de la red de cómputo.
 Las configuraciones, topologías, tipos y cobertura de las redes de cómputo.

VUNERABILIDADES EN REDES

Todos los sistemas de comunicación, desde el punto de vista de auditoria, presentan en

general una problemática común: la información transita por, y es accesible desde, lugares
físicamente alejados de las personas responsables. Esto presupone un compromiso en la
seguridad, ya que no existen procedimientos físicos para garantizar la inviolabilidad de la
información. Y un compromiso en la disponibilidad, pues un fallo en comunicaciones
impide dar el servicio.

REDES INTERNAS Y EXTERNAS

La primera y mas importante regla en redes de comunicación es tener claramente

establecido el perímetro de seguridad, que aísla la red interna del exterior. Hay tres zonas
que han de estar perfectamente delimitadas:

- Intranet: es la red interna, privada y segura, de una empresa, utilice o no medios de

transporte de terceros.
- Zona Desmilitarizada DMZ: es perímetro de seguridad que conecta la red interna a
una red externa (como Internet), a dejado pasar solo el trafico legítimo.
- Internet: es la red de redes, “metared” a donde se conecta cualquier red que se desee
abrir al exterior, de alcance mundial, publica e insegura, donde puede comunicar
cualquier pareja o conjunto de interlocutores, dotada además de todo tipo de
servicios de valor añadido.
CIBERGRAFÍA

http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf

https://www.mintic.gov.co/gestionti/615/articles-5482_G15_Auditoria.pdf

https://es.slideshare.net/kaztro93/auditora-de-redes-9931011