UNIVERSIDAD CATÓLICA DE HONDURAS

FACULTAD DE INGENIERÍAS
CARRERA DE CIENCIAS DE LA COMPUTACIÓN

AUDITORÍA
INFORMÁTICA
 TIPOS DE AUDITORÍA INFORMÁTICA

• Auditoría de la gestión informática

• Auditoría de las bases de datos
• Auditoría informática de sistemas
• Auditoría informática de explotación
• Auditoría informática de comunicaciones
• Auditoría informática de desarrollo
• Auditoría informática de seguridad
• Auditoría de planificación
 TIPOS DE AUDITORÍA INFORMÁTICA

• Auditoría de la Gestión Informática

Referido a la contratación de bienes y servicios que brinda por
informática, funciones, control interno informático, estructura,
documentación de los programas, revisión de organigramas,
determinación de existencia de estándares de proceso de
datos, políticas de personal (retribución, formación) examen
de métodos de trabajo, nivel de participación de usuarios,
examen del nivel de aceptación de los servicios informáticos.

• Auditoría de las Bases de Datos

Controles de acceso, de actualización, de integridad y calidad
de los datos, respaldo y recuperación.
 TIPOS DE AUDITORÍA INFORMÁTICA

• Auditoría Informática de Sistemas

Revisión de los sistemas de información actuales, tanto a
nivel hardware como software, con objeto de descubrir
potenciales puntos de mejora y determinar en qué modo
debería actuarse para mejorar tanto éstos como otros
aspectos.

Análisis de procedimientos de entrada y salida, analizar los

estudios de selección de HW y SW, comprobar la seguridad
de los datos, las librerias usadas por los programadores, el
inventario del HW y SW.
 TIPOS DE AUDITORÍA INFORMÁTICA

• Auditoría Informática de Explotación

Revisión de todos los procesos encargados de producir
resultados, entre ellos la captura de la información, revisar la
existencia de documentación de procedimientos, revisar el
control de consumo de recursos, seguridad, inventarios,
imputación de costos, existencia de normas escritas, es
prácticamente si el día a día esta bien.

• Auditoría de Comunicaciones
Revisión de la topología de Red y de terminación de posibles
mejoras, análisis de caudales y grados de utilización.
 TIPOS DE AUDITORÍA INFORMÁTICA

• Auditoría Informática de Desarrollo

Revisión del proceso completo de desarrollo de proyectos
por parte de la empresa auditada. El análisis se basa en
cuatro aspectos fundamentales: revisión de las
metodologías utilizadas, control interno de las aplicaciones,
satisfacción de los usuarios y control de procesos y
ejecuciones de programas críticos.
 TIPOS DE AUDITORÍA INFORMÁTICA
• Auditoría Informática de la Seguridad
Abarca los conceptos de seguridad física y seguridad lógica

Auditoría de entornos físicos:

- Adecuación de las instalaciones antes prosibles amenazas (
fuego,agua, calor, polvo)
- La protección del hardware y de los soportes de datos, así como a
la de los edificios e instalaciones que los albergan, contemplando
las situaciones de incendios, sabotajes, robos, catástrofes
naturales, etc.

Auditoría de entornos lógicos:

• La acreditación de usuario
• El secreto en archivos y transacciones.
 TIPOS DE AUDITORÍA INFORMÁTICA
• Auditoría Informática de la Planificación

Busca controlar que la funciones informáticas aumenten de

acuerdo a un plan de crecimiento de la empresa según su
estrategia y no solo por las necesidades del momento.

Tres niveles:
• Estratégicos: (4-5 años)
• Táctico: (1-2 años) fijación de un plan informático (prioridades)
• Operacional: Asociación de tareas
ANÁLISIS DEL ÁREA DE CONOCIMIENTO
 CUALIDADES PERSONALES DE UN AUDITOR
INFORMÁTICO

Competencias sociales.
- Trabajo en equipo: Capacidad para desempeñar un rol dentro
de un equipo de trabajo, con responsabilidad y en colaboración.

- Comunicación: Capacidad de informar, recibir información y

transmitir una idea claramente, tanto a nivel escrito como
verbal.

- Resolución de problemas: Análisis y toma de decisiones en

situaciones no resueltas.
 CUALIDADES PERSONALES DE UN AUDITOR
INFORMÁTICO

- Análisis: Capacidad de ver diferentes partes o aspectos

de una misma información.

- Síntesis: Capacidad de llegar a una conclusión tras el

análisis de una serie de datos.
 COMPETENCIAS PERSONALES

- Integridad: Coherencia en las actitudes e ideas

transmitidas.
- Inteligencia emocional: Aptitudes para controlar las
emociones dentro de las relaciones sociales.
Autocontrol.
- Motivación: Auto-motivación para desempeñar un
trabajo con responsabilidad y entusiasmo.
- Evaluar programas y políticas públicas.
- Revisar y evaluar riesgos de áreas gestionadas por las
TIC.
- Identificar o diagnosticar problemas y plantear
soluciones.
 HABILIDADES TÉCNICAS DE UN AUDITOR
INFORMÁTICO

Debe poseer además conocimientos de normativas, metodologías,

estándares y legislación vigente;

 Normativas y estándares de Seguridad de TI: Normas ISO,

 British Standard, 27000, NIST, COBIT, etc.
 Técnica o metodología de Auditoría Informática.
 Regulación legal.
 Metodologías de análisis de riesgos.
 Regulaciones sectoriales.
 Metodologías de intrusión.
 Análisis Forense y evidencias electrónicas.
 Mejores prácticas ITIL.
 Metodologías de desarrollo: Métrica, etc.
 Conocimientos propios del sector
 IMPORTANTE: SOBRE EL AUDITOR

- El auditor no debería participar en la auditoría si su

independencia se viera comprometida
- El auditor no solo debe ser independiente sino guardar las
apariencias.
- El auditor debe ser independiente organizativamente del área
auditada
- Si la independencia se viera comprometida debe ser notificado.
(a la dirección y en el informe)
 FUNCIONES DE UN AUDITOR INFORMÁTICO

- Participar en las revisiones durante y después del diseño,

realización, implantación, explotación y cambios importantes de
aplicaciones informáticas.

- Revisar y juzgar los controles implantados en los sistemas

informáticos para verificar su adecuación a las ordenes e
instrucciones de la Dirección, requisitos legales, protección de
confidencialidad y cobertura ante errores y fraudes.

- Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y

seguridad de los equipos e información.
 FUNCIONES DE UN AUDITOR INFORMÁTICO

 Análisis de la administración de los sistemas de

información, desde un enfoque de riesgo de
seguridad, administración y efectividad de la
administración.
 Análisis de la integridad, fiabilidad y certeza de la
información, a través del análisis de aplicaciones.
 Planificar las actividades de auditoría.
 Consensuar un cronograma con el auditado o cliente.
 Solicitar y analizar documentación, con objeto de
emitir una opinión.
 Análisis de datos a través de herramientas y síntesis
de conclusiones.
 Trabajo de campo, entrevistas y revisiones in-situ.