AUDITORIA INFORMATICA

Contenido
• Conceptos Básicos de Auditoría
Informática

• Justificación

• Objetivos

• Ejemplos
 Primero: ¿Que es la auditoría?
Es la revisión independiente que
realiza un auditor profesional,
aplicando técnicas, métodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organización,
así como dictaminar sobre el
resultado de dicha evaluación.

Muñoz (2002,34)
Administración de la
Configuración de
Bases de Datos
Justificación
Aumento de la
vulnerabilidad

Automatización
Beneficios
de los procesos y
para alcanzar
prestación de
los objetivos
servicios

Recursos
TIC´s

Información
Aumento de la
como recurso
productividad
estratégico

Magnitud de
los costos e
inversiones
TIC

Fuente: Rodríguez (2006)

“La productividad de cualquier organización depende del funcionamiento
ininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crítico adicional” (Rodríguez, 2006:3).
 Evidencias
1 El crecimiento del acceso a Internet y de usuarios conectados
incrementa la posibilidad de concreción de amenazas informáticas.
2 Crecimiento de la información disponible de empresas y sus
empleados en redes sociales Ingeniería Social.
3 Mensajes de e-mail que contienen attachments que explotan
vulnerabilidades en las aplicaciones instaladas por los usuarios.
4 Robo de credenciales o captura ilegal de datos.
5 Acceso a redes empresariales a través de códigos maliciosos
diseñados para obtener información sensitiva.
6 En el 2009 los sectores financiero, proveedores de servicios TIC,
comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los más vulnerables ante
las amenazas informáticas.
7 En el 2009 Symantec identificó 240 millones de programas maliciosos,
un aumento del 100% con respecto al 2008.

Fuente: Symantec (2010).

 Evidencias
8 En el 2010 hubo 286 millones de nuevas ciberamenazas.
9 Junto con las redes sociales otra área de peligro en el espacio móvil
(Smartphones).
10 ¿Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el
mundo, como Estados Unidos, UK o España, han mostrado la
preocupación que tienen ante ataques que puedan afectar a la
economía del país o incluso a otras áreas, tales como las
denominadas infraestructuras críticas. También este año 2009 vimos
un ataque lanzado a diferentes páginas web de Estados Unidos y
Corea del Sur.
Previsión de tendencias de amenazas informáticas para 2010 Fuente: www.cxo-
community.com
11 Cuidar a las empresas en esos momentos no es labor fácil. Los
ataques son incesantes (al menos 10,000 amenazas circulan en la red
cada minuto), y cada año causan pérdidas por más de 650,000
millones de dólares, dice el grupo Crime-Research.org.

El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com

Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..

Se requiere contar con una efectiva administración de
los RIESGOS asociados con las TIC

Rol Básico de la Función de Auditoría Informática

Supervisión de los CONTROLES IMPLEMENTADOS

y determinación de su eficiencia

Fuente: Rodríguez (2006)

Factores que propician la Auditoría
Informática
Leyes gubernamentales.
Políticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Pérdida de información y de capacidades
de procesamiento de datos, aumentando así la
posibilidad de toma de decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organización.
Objetivos generales de la Auditoría en
Informática
• Asegurar la integridad, confidencialidad
y confiabilidad de la información.
• Minimizar existencias de riesgos en el
uso de Tecnología de información
• Conocer la situación actual del área
informática para lograr los objetivos.
• Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informático, así como también
seguridad del personal, los datos, el
hardware, el software y las instalaciones.

Auditoria de Sistemas de Barcelona (2004)

Objetivos generales de la Auditoría en
Informática
• Incrementar la satisfacción de los
usuarios de los sistemas informáticos.
• Capacitación y educación sobre
controles en los Sistemas de
Información.
• Buscar una mejor relación costo-
beneficio de los sistemas automáticos y
tomar decisiones en cuanto a
inversiones para la tecnología de
información.

Auditoria de Sistemas de Barcelona (2004)

Riesgo Informático

La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la
Gestión de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la
Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del usuario, tecnología
inadecuada, fallas en la
transmisión, inexistencia de
antivirus, entre otros.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Impacto
Consecuencias de la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reducción de eficiencia, fallas
operativas a corto o largo
plazo, pérdida de vidas
humanas, etc.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
 Administración de Riesgos
Luego de efectuar el análisis de riesgo-impacto, el
ciclo de administración de riesgo finaliza con la
determinación de las acciones a seguir respecto:
•Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informática).
•Aceptar el riesgo, determinando el nivel de
exposición.

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación.
Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Y...¿Qué es el control interno?
Es un proceso, mediante el cual la
administración, los directivos y/o la alta
gerencia le proporcionan a sus
actividades, un grado razonable de
confianza, que le garantice la consecución
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la información financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organización medidas preventivas,
detección y corrección de errores, fallos y
fraudes o sabotajes
 CONTROL INTERNO. DEFINICIÓN Y TIPOS

Cualquier actividad o acción realizada

manual y/o automáticamente para
prevenir, corregir errores o irregularidades
que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.

La tipología tradicional de los controles informáticos es:

 ¿Bajo Nivel de
Vulnerabilidad?
Daño a los
equipos, datos
o información
Concreción
de la
Amenaza

Agente Amenazante

Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
Confidencialidad
(Daños intencionales o no)
Integridad
Objetivos: Desafío, Disponibilidad
ganancia financiera/política,
daño Pérdida de
•Dinero
Causa Física (Natural o no)
•Clientes
•Imagen de la Empresa
 Tratar de evitar el
Cuando fallan los
hecho
preventivos para
tratar de conocer
Disuasivos Preventivos cuanto antes el
evento
Amenaza o
Riesgo

Plataforma Informática Operatividad

Vuelta a la Tmin
normalidad cuando
se han producido Detectivo Correctivo
incidencias
Normas de Auditoría Informática
disponibles Guía de auditoria del
sistema de gestión de
• COSO (Committee of Sponsoring
seguridad de la información
Organizations of the Treadway
para su protección.
Commission, EEUU 1992).
• ITIL (Information Technology
Infrastructure Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000).
• COBIT
Modelo de evaluación del Objectives for
(ControlMarco referencial que evalúa
control interno en los
Information and elRelated
procesoTechnology
de gestión deIT,
los
sistemas, funciones,
EEUU 1998). Servicios de tecnología de
procesos o actividades en
información y de la
forma íntegra.
infraestructura tecnología.
 Referencia Bibliográfica

IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org

Information Systems Audit and Control Association

Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista “ISACA Journal” y
desarrolla estándares internacionales en control y auditoria
de sistemas de información. También administra la respetada
certificación a nivel mundial como Auditor de Sistemas de
Información.
Marco de Trabajo de Control COBIT
Para que la TI tenga éxito en satisfacer los requerimientos
del negocio, la dirección debe implantar un sistema de
control interno o un marco de trabajo.
El marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
•Estableciendo un vínculo con los requerimientos del
negocio.
•Organizando las actividades de TI en un modelo de
procesos generalmente aceptado.
•Identificando los principales recursos de TI utilizados.
•Definiendo los objetivos de control gerencial a ser
considerados.
 NEGOCIO
Los
HerramientasRequerimientos
Objetivos de
paraControl
ayudarCOBIT® a brindan
asignarInformación
buenas prácticas amedir
responsabilidades, través de un marco
el desempeño, de
llevar
trabajo
TIC´S Vs. PROCESOS
a cabode benchmarks
dominios y procesos,
(…) Las y presenta las
directrices
actividades en una
ayudan a brindar estructura
respuestas manejable
a preguntas de lay Controlados
lógica. Representan
administración: ¿Quéeltan consenso de expertos.
lejos podemos llegar por
Enfocadas fuertemente
para controlar la TI?, yen
Medidos ¿elel costo
controljustifica
y menos el
en la ejecución.
beneficio? por Ayudan
¿Cuáles a optimizarde las
son los indicadores un
inversiones
buen desempeño?facilitadas por la son
¿Cuáles TI, asegurarán
Auditados
las prácticas la Objetivos de
entrega del servicio
administrativas clave ya brindarán
aplicar? ¿Qué ahacen
través
una medida Control
contra la cual medimos
otros? ¿Cómo juzgar cuando las cosas (IT
y comparamos? de
no
vayan bien (IT
Governance Governance
Institute, Instituye,
Ejecutados
2006). a 2006).
través de

Indicadores
de Indicadores Metas de Directrices Prácticas de
Desempeño Meta Actividades de Control
Auditoría
Modelo de Madurez
Traducción Implementación
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:

•Directores de negocio y consejos directivos que demandan un

mayor retorno de la inversión en TI.
•Preocupación por el creciente nivel de gasto en TI.
•La necesidad de satisfacer requerimientos regulatorios
para controles de TI en áreas como privacidad y reportes
financieros y en sectores específicos como el financiero,
farmacéutico y de atención a la salud.
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:
•La selección de proveedores de servicio y el manejo de
Outsourcing y de Adquisición de servicios
•Riesgos crecientemente complejos de la TI como la
seguridad de redes
•Iniciativas de gobierno de TI que incluyen la adopción de
marcos de referencia de control y de mejores prácticas
para ayudar a monitorear y mejorar las actividades críticas
de TI, aumentar el valor del negocio y reducir los riesgos de
éste.
Las mejores prácticas de TI se han
vuelto significativas debido a un
número de factores:
•La necesidad de optimizar costos siguiendo,
siempre que sea posible, un enfoque
estandarizado en lugar de enfoques
desarrollados especialmente.
•La madurez creciente y la consecuente
aceptación de marcos de trabajo respetados
tales como COBIT, ITIL, ISO 17799, ISO 9001,
entre otros.
•La necesidad de las empresas de valorar su
desempeño en comparación con estándares
generalmente aceptados y con respecto a su
competencia (Benchmarking)
Para gobernar efectivamente TI, es importante
determinar las actividades y los riesgos que
requieren ser administrados. DOMINIO 1
PLANEAR Y ORGANIZAR
Estrategias y tácticas.
Identificar la manera en que TI
pueda contribuir de la mejor
manera al logro de los objetivos
del negocio.
La visión estratégica requiere ser
planeada, comunicada y
administrada.
Implementar una estructura
organizacional y una estructura
tecnológica apropiada.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados.
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos típicos de
la gerencia: ¿Están alineadas las estrategias
de TI y del negocio?
¿La empresa está alcanzando un uso óptimo
de sus recursos?
¿Entienden todas las personas dentro de la
organización los objetivos de TI?
¿Se entienden y administran los riesgos de TI?
¿Es apropiada la calidad de los sistemas de TI
para las necesidades del negocio?
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 2
ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan la implementación e integración en los
procesos del negocio.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados.
ADQUIRIR E IMPLEMENTAR
Además para garantizar que las soluciones
sigan cubre los siguientes cuestionamientos de
la gerencia:
¿Los nuevos proyectos generan soluciones
que satisfagan las necesidades?
¿Los nuevos proyectos son entregados a
tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos
sistemas una vez sean implementados?
¿Los cambios afectarán las operaciones
actuales del negocio?
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administración de los
datos y de las instalaciones operacionales.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Aclara las siguientes preguntas de la
gerencia: •¿Se están entregando los
servicios de TI de acuerdo con las
prioridades del negocio? •¿Están
optimizados los costos de TI? •¿Es
capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y
segura? •¿Están implantadas de forma
adecuada la confidencialidad, la
integridad y la disponibilidad?
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 4
MONITOREAR Y EVALUAR
Todos los procesos de TI deben
evaluarse de forma regular en el
tiempo en cuanto a su calidad y
cumplimiento de los requerimientos
de control.
Este dominio abarca la administración
del desempeño, el monitoreo del
control interno, el cumplimiento
regulatorio y la aplicación del gobierno.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados.
MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la
gerencia: •¿Se mide el desempeño de TI
para detectar los problemas antes de que
sea demasiado tarde? •¿La Gerencia
garantiza que los controles internos son
efectivos y eficientes? •¿Puede vincularse
el desempeño de lo que TI ha realizado
con las metas del negocio? •¿Se miden
y reportan los riesgos, el control, el
cumplimiento y el desempeño?
Ejemplo: Supongamos la siguiente situación…

Evaluación del cumplimiento

Procedimientos de los objetivos de control Objetivos de
de Selección del basados en la Norma COBIT
Software Control
¿DOMINIO?

Establecimiento (AI1) Identificar

inadecuado de los (PO) Planear y soluciones
requerimientos Organizar automatizadas
funcionales

(ME) Monitorear (AI2) Adquirir y

Se detectan fallas mantener software
en la puesta en y Evaluar
marcha del sistema
automatizado

(ES) Entregar y (AI3) Adquirir y

mantener
Debido a las fallas
dar soporte infraestructura TIC
los usuarios se
resisten a utilizar el
sistema
(AI) Adquirir e (AI4) Facilitar
Implementar operación y uso
AI1 Identificar soluciones automatizadas

AI1.1 Definición y mantenimiento de los requerimientos técnicos y

funcionales del negocio.

•Identificar, dar prioridades, especificar y acordar los requerimientos de negocio

funcionales y técnicos.

•Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben

incluir todos los cambios requeridos dada la naturaleza del negocio, de los
procesos, de las aptitudes y habilidades del personal, su estructura
organizacional y la tecnología de apoyo.

•Establecer procesos para garantizar y administrar la integridad, exactitud y

la validez de los requerimientos del negocio, como base para el control de la
adquisición y el desarrollo continuo de sistemas.
AI1.2 Reporte de análisis de riesgos
Identificar, documentar y analizar los riesgos asociados con los procesos del
negocio como parte de los procesos organizacionales para el desarrollo de los
requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad,
disponibilidad y privacidad de los datos, así como el cumplimiento de las
leyes y reglamentos.

AI1.3 Estudio de factibilidad y formulación de cursos de acción

alternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de implantar
los requerimientos.

AI1.4 Requerimientos, decisión de factibilidad y aprobación.

El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto
funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas
clave predeterminadas. Cada autorización va después de la terminación de las
revisiones de calidad.
Modelo de Madurez
Escala de medición creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluación de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).

No Existente Inicial Repetible Definido Administrado Optimizado

• 0 • 1 • 2 • 3 • 4 • 5

0 No se aplican procesos administrativos en lo absoluto

Estado Actual de la empresa
1 Los procesos son ad-hoc y desorganizados

Promedio de la Industria 2 Los procesos siguen un patrón regular

3 Los procesos se documentan y se comunican

Objetivo de la empresa 4 Los procesos se monitorean y se miden

5 Las buenas prácticas se siguen y se automatizan

 Norma COBIT
COBIT es la fusión entre prácticas de
informática (ITIL, ISO/IEC 17799) y prácticas
de control (COSO), las cuales plantean tres
tipos de requerimientos de negocio para la
información:
•De calidad (calidad, costo y entrega de
servicio).
•Fiduciarios (efectividad y eficiencia de
operaciones, confiabilidad de la información y
cumplimiento de las leyes y regulaciones).
•De Seguridad (confidencialidad, integridad y
disponibilidad).
Terminología COBIT
Efectividad: Se refiere a que la información
relevante sea pertinente para el proceso del
negocio, así como la entrega oportuna sea
correcta, consistente y de manera utilizable ante
terceros, para poder cumplir con parte del
requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del
negocio de la información, en cuanto a calidad-
costo, la eficiencia viene dada a través de la
utilización óptima (más productiva y económica)
de recursos.
Terminología COBIT
Confidencialidad: Se refiere a la protección de
información sensible contra divulgación no
autorizada. Cumple con el principio de calidad.
Integridad: Para el requerimiento de seguridad,
la integridad es la precisión y suficiencia de la
información, así como a su validez de acuerdo
con los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de
entrega de la información cuando ésta sea
requerida por el proceso de negocio ahora y en
el futuro. También se refiere a la salvaguarda de
los recursos necesarios y capacidades
asociadas.
Terminología COBIT
Cumplimiento: Se refiere al cumplimiento de
aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios
está sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la información: Es la
provisión de información apropiada para la
administración con el fin de operar la entidad y
para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.
 Bibliografía Referencial
•AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004).
Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com
(Consulta: Noviembre 2006).
•ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición.
McGraw Hill. México.
•INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998).
COBIT, marco referencial, objetivos de control para la información y
tecnología afines. 2da Edición.
•MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales.
Pearson-Prentice Hall. México.
•RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la
Administración: un reto para los profesionales TIC. Tecnimap. Comunicación
No. 043. España.
•PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un
enfoque práctico. Editorial RAMA. España.
•RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas
de Información. 2da. Edición. COBIT-Universidad de Castilla. España.
•SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security
Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com
•VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53.
Enciclopedia de Auditoría. Editorial Océano Centrum. España.