AUDITORIA DE

SISTEMAS
 La Auditora de Sistemas de
Informacin se define como
cualquier auditora que
abarca la
REVISIN y EVALUACIN de
todos los aspectos
(o alguna seccin/rea) de los
sistemas automatizados de
procesamiento de
informacin, incluyendo
procedimientos relacionados
no automticos, y las
interrelaciones
 Se debe DISTINGUIR claramente entre:
Utilizacin de medios informticos en la
realizacin de una Auditora
Realizacin de supervisin o control rutinario
informtico dentro del entorno de sistemas de
informacin
Consultora en reas de sistemas de
informacin, seguridad, calidad, etc.
Diagnsticos de la fortaleza o seguridad de
ciertos mecanismos de seguridad como
pruebas de intrusismo, etc.
 De
una Auditora de Sistemas de
Informacin
que implica
la EVALUACIN y EMISIN
de una OPININ OBJETIVA e
INDEPENDIENTE
sobre la

FIABILIDAD de un sistema
de informacin
 AUDITORIA de SI INTERNA

Acta de forma continua y peridica, dentro de

una planificacin a corto y largo plazo, que permite
incluir todas y cada una de las reas relacionadas
con TI
VENTAJA: formacin en el concepto de
control de los auditados, y el seguimiento de la
implantacin de las recomendaciones

VALOR AADIDO: acta como control

preventivo, contribuyendo a evitar que la
empresa incurra en prdidas o costes elevados
 Entre otros alcances, la evaluacin
de:
Procedimientos organizativos y operativos
Sistemas en produccin y participacin
en nuevos desarrollos
La confidencialidad
La integridad de la Informacin
Eficiencia o de eficacia de los SI
Cumplimiento Legal y Normativo
 AUDITORA de SI EXTERNA

Su primera ventaja es la independencia de

opinin del auditor, y que adems puede
aportar conocimientos tcnicos que aun no se
han desarrollado en la empresa, o que la
empresa no tiene posibilidad de sustentar
Suele solicitarse cuando la empresa
detecta sntomas de riesgos de seguridad,
en temas de eficiencia/ eficacia de los sistemas
de informacin, o por requerimientos
legales
 AUDITORIA de SI INTERNA

Acta de forma continua y peridica,

dentro de una planificacin a corto y largo
plazo, que permite incluir todas y cada una
de las reas relacionadas con TI
VENTAJA: formacin en el concepto de
control de los auditados, y el seguimiento de
la implantacin de las recomendaciones

VALOR AADIDO: acta como control

preventivo, contribuyendo a evitar que la
empresa incurra en prdidas o costes elevados
 OBJETIVOS:
Examinar el sistema de control
interno en general, evaluando la
eficacia y eficiencia del sistema

Estudio del sistema de control

interno con el propsito de evaluar
la confiabilidad de la informacin
(controles contables) y el logro de
la eficiencia de las operaciones
(controles administrativos)
Conocimiento de la empresa
Revisin de los controles generales
Revisin detallada de los sistemas y
documentacin
Pruebas
Evaluacin del sistema
Informes
Habilidad y competencia del
auditor
Planeacin
Inportancia y complejidad del
procedimiento
Estructura organizacional de
las actividades
Disponibilidad de los datos
0 Falta de rastro de las transacciones
0 Procesamiento uniforme de
transacciones
0 Falta de segregacin de funciones
0 Potencial de errores e irregularidades
0 Disminucin de involucramiento humano
0 Transacciones automticas
0 Dependencia de otros controles
0 Potencial de incremento de la supervisin
por parte de la administracin
0 Potencial uso de TAACs
Estructura de la organizacin

Concentracin de funciones y conocimiento

Concentracin de programas y datos
 Ausencia de documentacin de
entrada
Falta de rastro visible de
transacciones
Falta de datos de salida visibles
Factibilidad de acceso a datos y
programas de computadora
 Consistencia de funcionamiento
Procedimientos de control
programados
Actualizacin sencilla de una
transaccion en archivos mltiples o de
base de datos
Transacciones generadas por sistema
Vulnerabilidad de datos y medios de
almacenamiento de programas
Controles de organizacin y administracin
Desarrollo de sistemas de aplicacin y controles de
mantenimiento
Controles de operacin de computadoras
Controles de software de sistemas
Controles de entrada de datos y programas
Otras salvaguardas
Respaldo de datos
Procedimientos de recuperacin
Provisin para el procesamiento
externo
 Controles sobre datos de entrada
contrles sobre el procesamiento y sobre
archivos de datos de la computadora
Controles sobre los datos de salida
Revisin de controles de aplicacin
Controles manuales ejercidos por el usuario
Controles sobre los datos de salida del
sistema
Procedimientos de control programados
Anlisis de confianza en los sistemas
Confidencialidad de la informacin
Polticas relativas a la integridad de las
transacciones
Polticas de integridad vinculadas con el
personal
Monitoreo
Objetivos
Explicar la importancia de la recoleccin de informacin sobre la
organizacin que se va a auditar.
Manejar una gua para entrevistar adecuadamente al personal de
informtica.
El alcance ha de definir con
precisin el entorno y los lmites en
que va a desarrollarse la auditoria
informtica, se complementa con
los objetivos de sta.

El alcance ha de figurar
expresamente en el Informe
Final, de modo que quede
perfectamente determinado no
solamente hasta que puntos se ha
llegado, sino cuales materias
fronterizas han sido omitidas.
Para esto se necesitan evaluar dos
puntos convergentes que evalen
el alcance:

Control de integridad de registros.

Control de validacin de errores.

 Control de integridad de
registros

Control de validacin de
errores

Se corrobora que el sistema que

se aplica para detectar y corregir
errores sea eficiente.
 Control de validacin de
errores

Se corrobora que el sistema

que se aplica para detectar y
corregir errores sea eficiente.
 Las empresas acuden a las
auditorias externas internas
cuando existen sntomas bien
perceptibles de debilidad.
Estos sntomas pueden agruparse
en clases:

Sntomas de descoordinacin y
desorganizacin.
 Sntomas de mala imagen e
insatisfaccin de los usuarios.
Sntomas de debilidades
econmico - financiero.
Sntomas de Inseguridad.
 Sntomas de descoordinacin y
desorganizacin.
No coinciden los objetivos de la
informtica de la compaa.

Los estndares de productividad

se desvan sensiblemente de los
promedios conseguidos
habitualmente.
 Sntomas de descoordinacin y
desorganizacin.

Puede ocurrir con algn cambio

masivo de personal, o en una
reestructuracin fallida de alguna
rea o en la modificacin de
alguna norma importante.
 Sntomas de mala imagen e
insatisfaccin de los usuarios.

No se atienden las peticiones

de cambios de los usuarios.
Ejemplos: cambios de Software
en los terminales de usuario,
refrescamiento de paneles,
variacin de los ficheros que
deben ponerse diariamente a
su disposicin, etc.
 Sntomas de mala imagen e
insatisfaccin de los usuarios.

No se reparan las averas de

Hardware ni se resuelven
incidencias en plazos razonables.

El usuario percibe que est

abandonado y desatendido
permanentemente.
 Sntomas de mala imagen e
insatisfaccin de los usuarios.

No se cumplen en todos los casos

los plazos de entrega de
resultados peridicos.

Pequeas desviaciones pueden

causar importantes desajustes en
la actividad del usuario, en
especial en los resultados de
Aplicaciones crticas y sensibles.
 Sntomas de debilidades
econmico - financiero.

Incremento desmesurado de
costes.
Necesidad de justificacin de
Inversiones Informticas (la
empresa no est absolutamente
convencida de tal necesidad y
decide contrastar opiniones).
 Sntomas de debilidades
econmico - financiero.

Desviaciones Presupuestarias
significativas.
Costes y plazos de nuevos
proyectos (deben auditarse
simultneamente a Desarrollo de
Proyectos y al rgano que realiz
la peticin).
 Sntomas de Inseguridad.
(Evaluacin de nivel de
riesgos)

Seguridad Lgica.
Seguridad Fsica.
Confidencialidad.
 Los Controles Tcnicos
Generales, son los que se
realizan para verificar la
compatibilidad de funcionamiento
simultneo del Sistema Operativo
y el Software de base con todos
los subsistemas existentes, as
como la compatibilidad del
Hardware y del Software
instalados.
Estos controles son importantes en
las instalaciones que cuentan con
varios competidores, debido a que
la profusin de entornos de
trabajo muy diferenciados obliga a
la contratacin de diversos
productos de software bsico, con
el consiguiente riesgo de abonar
ms de una vez el mismo
producto o desaprovechar parte
del software abonado.
Puede ocurrir tambin con los
productos de software bsico
desarrollados por el personal de
Sistemas Interno, sobre todo
cuando los diversos equipos estn
ubicados en centros de proceso
de datos geogrficamente
alejados. Lo negativo de esta
situacin es que puede producir la
inoperatividad del conjunto.
 Qu es la norma ISO 17799?
ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la gestin de la
seguridad de la informacin dirigidas a los responsables
de iniciar, implantar o mantener la seguridad de una
organizacin.
 Objetivo de la norma ISO 17799
El objetivo de la norma ISO 17799 es proporcionar una
base comn para desarrollar normas de seguridad
dentro de las organizaciones, un mtodo de gestin
eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
Ventajas de la adopcin de la norma ISO 17799

Aumento de la seguridad efectiva de los sistemas de

informacin.
Correcta planificacin y gestin de la seguridad.
Garantas de continuidad del negocio.
Mejora continua a travs del proceso de auditora
interna.
Incremento de los niveles de confianza de los clientes y
socios de negocios.
Aumento del valor comercial y mejora de la imagen de
la organizacin.
 Orientacin de la norma ISO 17799?

La norma ISO 17799 no es una norma tecnolgica.

La seguridad de la informacin es un asunto que
compete a la alta gerencia no al rea tecnolgica, por lo
cual es un asunto empresarial.
La gente toma decisiones de seguridad basados en los
riesgos percibidos no en los riesgos reales, por lo cual el
anlisis de riesgos es fundamental para los negocios
Conclusiones

ISO 17799 es una norma internacional que ofrece

recomendaciones para realizar la gestin de la
seguridad de la informacin.

La norma se estructura en once dominios de control

que cubren por completo todos los aspectos relativos
a la seguridad de la informacin.

Implantar ISO 17799 puede requerir de un trabajo de

consultora que adapte los requerimientos de la
norma a las necesidades de cada organizacin.
 La adopcin de ISO 17799 presenta
mltiples ventajas para la organizacin,
entre ellas el primer paso para una
certificacin ISO 27001, pero ni la adopcin
de ISO 17799, ni la certificacin garantizan la
inmunidad de la organizacin frente a
problemas de seguridad.

Hay que hacer anlisis peridicos de los

Riesgos y monitorear continuamente la
situacin

La seguridad no es un tema de un da ni un
tema exclusivo del departamento de TI

Hay que prepararse para entender la norma

y avanzar en el seguimiento de las
recomendaciones establecidas.
Seguridad informtica

La segurida informtica es el rea de la informtica que

se enfoca en la proteccin de la infraestructura
computacional y todo lo relacionado con esta
(incluyendo la informacin contenida). Para ello existen
una serie de estndares, protocolos, mtodos, reglas,
herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la informacin.
La seguridad informtica comprende software, bases de
datos, archivos y todo lo que la organizacin valore
(activo) y signifique un riesgo si sta llega a manos de
otras personas. Este tipo de informacin se conoce
como informacin privilegiada o confidencial.
Objetivos de la Seguridad Informtica
La seguridad informtica est concebida para proteger
los activos informticos, entre los que se encuentran:

La informacin contenida
Se ha convertido en uno de los elementos ms
importantes dentro de una organizacin. La seguridad
informtica debe ser administrada segn los criterios
establecidos por los administradores y supervisores,
evitando que usuarios externos y no autorizados puedan
acceder a ella sin autorizacin. De lo contrario la
organizacin corre el riesgo de que la informacin sea
utilizada maliciosamente para obtener ventajas de ella o
que sea manipulada, ocasionando lecturas erradas o
incompletas de la misma.
La infraestructura computacional

Una parte fundamental para el almacenamiento y

gestin de la informacin, as como para el
funcionamiento mismo de la organizacin. La funcin de
la seguridad informtica en esta rea es velar que los
equipos funcionen adecuadamente y prever en caso de
falla planes de robos, incendios, boicot, desastres
naturales, fallas en el suministro elctrico y cualquier
otro factor que atente contra la infraestructura
informtica.
Los usuarios

Son las personas que utilizan la estructura tecnolgica,

zona de comunicaciones y que gestionan la informacin.
La seguridad informtica debe establecer normas que
minimicen los riesgos a la informacin o infraestructura
informtica. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares,
autorizaciones, denegaciones, perfiles de usuario,
planes de emergencia, protocolos y todo lo necesario
que permita un buen nivel de seguridad informtica
minimizando el impacto en el desempeo de los
funcionarios y de la organizacin en general y como
principal contribuyente al uso de programas realizados
por programadores.
Las Amenazas

Una vez que la programacin y el funcionamiento de un

dispositivo de almacenamiento (o transmisin) de la
informacin se consideran seguras, todava deben ser
tenidos en cuenta las circunstancias "no informticas"
que pueden afectar a los datos, las cuales son a
menudo imprevisibles o inevitables, de modo que la
nica proteccin posible es la redundancia (en el caso
de los datos) y la descentralizacin -por ejemplo
mediante estructura de redes- (en el caso de las
comunicaciones).
 Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un

sistema informtico (porque no le importa, no se da cuenta o a
propsito).
Programas maliciosos: programas destinados a perjudicar o a
hacer un uso ilcito de los recursos del sistema. Es instalado (por
inatencin o maldad) en el ordenador abriendo una puerta a
intrusos o bien modificando los datos. Estos programas pueden ser
un virus informtico, un gusano informtico, un troyano, una bomba
lgica o un programa espa o Spyware.

Un intruso: persona que consigue acceder a los datos o programas

de los cuales no tiene acceso permitido (cracker, defacer, script
kiddie o Script boy, viruxer, etc.).

Un siniestro (robo, incendio, inundacin): una mala manipulacin o

una mal intencin derivan a la prdida del material o de los
archivos.
El personal interno de Sistemas. Las pujas de poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la
seguridad informtica.
Auditoria Informtica

La auditora informtica es un proceso llevado a cabo

por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar y evaluar
evidencias para determinar si un sistema de
informacin salvaguarda el activo empresarial, mantiene
la integridad de los datos, lleva a cabo eficazmente los
fines de la organizacin, utiliza eficientemente los
recursos, y cumple con las leyes y regulaciones
establecidas. Permiten detectar de forma sistemtica el
uso de los recursos y los flujos de informacin dentro de
una organizacin y determinar qu informacin es crtica
para el cumplimiento de su misin y objetivos,
identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de informacin
eficientes.
 Los objetivos de la auditora Informtica son:

El control de la funcin informtica

El anlisis de la eficiencia de
los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en
este mbito
La revisin de la eficaz gestin de los recursos
informticos.
La auditora informtica sirve para mejorar ciertas
caractersticas en la empresa como:
Desempeo
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
 TIPOS DE AUDITORA INFORMTICA
Dentro de la auditora informtica destacan los
siguientes tipos (entre otros):
Auditora de la gestin: la contratacin de bienes y
servicios, documentacin de los programas, etc.
Auditora legal del Reglamento de Proteccin de Datos:
Cumplimiento legal de las medidas de seguridad
exigidas por el Reglamento de desarrollo de la Ley
Orgnica de Proteccin de Datos.
 Auditora de los datos: Clasificacin de los datos,
estudio de las aplicaciones y anlisis de los
flujogramas.
Auditora de las bases de datos: Controles de
acceso, de actualizacin, de integridad y calidad de
los datos.
Auditora de la seguridad: Referidos a datos e
informacin verificando disponibilidad, integridad,
confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la
ubicacin de la organizacin, evitando ubicaciones
de riesgo, y en algunos casos no revelando la
situacin fsica de esta. Tambin est referida a las
protecciones externas (arcos de seguridad, CCTV,
vigilantes, etc.) y protecciones del entorno.
 Auditora de la seguridad lgica: Comprende los
mtodos de autenticacin de los sistemas de
informacin.

Auditora de las comunicaciones. Se refiere a la

auditoria de los procesos de autenticacin en los
sistemas de comunicacin.

Auditora de la seguridad en produccin: Frente a

errores, accidentes y fraudes.