Introduccin

La naturaleza especializada de la auditora de los sistemas de informacin y las

habilidades necesarias para llevar a cabo este tipo de auditoras, requieren
el desarrollo y la promulgacin de Normas Generales para la Auditora de los
Sistemas de Informacin.
La auditora de los sistemas de informacin se define como cualquier auditora
que abarca la revisin y evaluacin de todos los aspectos (o de cualquier
porcin de ellos) de los sistemas automticos de procesamiento de la
informacin, incluidos los procedimientos no automticos relacionados con
ellos y las interfaces correspondientes.
Para hacer una adecuada planeacin de la auditora en informtica, hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas

de

rea

dentro

del

organismo

auditar,

sus

sistemas, organizacin y equipo.

A continuacin, la descripcin de los dos principales objetivos de una auditora
de sistemas, que son, las evaluaciones de los procesos de datos y de los
equipos de cmputo, con controles, tipos y seguridad.
En el caso de la auditora en informtica, la planeacin es fundamental, pues
habr que hacerla desde el punto de vista de los dos objetivos:

Evaluacin de los sistemas y procedimientos.

Evaluacin de los equipos de cmputo.

RESUMEN:
Consta de:
1.- Evaluacin de los Sistemas

Evaluacin de los diferentes sistemas en operacin (flujo de informacin,

procedimientos, documentacin,

redundancia,

organizacin

de archivos,

estndares de programacin, controles, utilizacin de los sistemas).

Evaluacin del avance de los sistemas en desarrollo y congruencia con

el diseo general

Evaluacin de prioridades y recursos asignados (humanos y equipos de

cmputo)

Seguridad fsica y lgica de

los

sistemas,

su

confidencialidad

respaldos
2.- Evaluacin de los equipos

Capacidades

Utilizacin

Nuevos Proyectos

Seguridad fsica y lgica

Evaluacin fsica y lgica

La mxima autoridad del rea de Informtica de una empresa o institucin

debe implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalacin
2.- Controles de Organizacin y Planificacin
3.- Controles de Sistemas en Desarrollo y Produccin
4.- Controles de Procesamiento
5.- Controles de Operacin
6.- Controles de uso de Microcomputadores

2. Evaluacin de la Seguridad
La seguridad en la informtica abarca los conceptos de seguridad fsica y
seguridad lgica:

La seguridad fsica, se refiere a la proteccin del Hardware y de los

soportes de datos, as como a la de los edificios e instalaciones que los
albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes
naturales, etc.

La seguridad lgica, se refiere a la seguridad de uso del software, a la

proteccin de los datos, procesos y programas, as como la del ordenado y
autorizado acceso de los usuarios a la informacin.

3. Ciclo de Seguridad

El objetivo de la auditora de seguridad es revisar la situacin y las cuotas

de eficiencia de la misma en los rganos ms importantes de la estructura
informtica.
Para ello, se fijan los supuestos de partida:

El rea auditada es la Seguridad.

El rea a auditar se divide en: Segmentos.

Los segmentos se dividen en: Secciones.

Las secciones se dividen en: Subsecciones.

De este modo la auditora se realizara en 3 niveles.
Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares.

Segmento 2: Seguridad de Sistema Operativo.

Segmento 3: Seguridad de Software.

Segmento 4: Seguridad de Comunicaciones.

Segmento 5: Seguridad de Base de Datos.

Segmento 6: Seguridad de Proceso.

Segmento 7: Seguridad de Aplicaciones.

Segmento 8: Seguridad Fsica.

Conceptualmente la auditoria informtica en general y la de Seguridad en
particular, ha de desarrollarse en seis fases bien diferenciadas:

Fase 0. Causas de la realizacin del ciclo de seguridad.

Fase 1. Estrategia y logstica del ciclo de seguridad.

Fase 2. Ponderacin de sectores del ciclo de seguridad.

Fase 3. Operativa del ciclo de seguridad.

Fase 4. Clculos y resultados del ciclo de seguridad.

Fase 5. Confeccin del informe del ciclo de seguridad.