TEMA : INTRODUCCION A LA

AUDITORÍA DE SISTEMAS

1
 Docente:

Ing. Carlos Enrique López Rodríguez

Mail: celopez@unsm.edu.pe

2
 Primera clase

• Elegir delegad@

3
 Sobre el examen…
Sobre el Examen

4
 INTRODUCCIÓN
La Auditoría de Sistemas de Información
nace hace más de 35 años justamente
como un

mecanismo
para valorar y evaluar
LA CONFIANZA

que se puede depositar en los

sistemas de información

5
 AUDITORIA DE SISTEMAS

Proceso metodológico que se desarrolla

permanentemente en las organizaciones, que
tiene como propósito evaluar los recursos
humanos, tecnológicos, materiales y financieros,
relacionados con la información, para garantizar
que dicho conjunto de elementos operen con un
criterio de integración y desempeño de niveles
altamente satisfactorios para que apoyen la
productividad y rentabilidad de la organización.

6
La AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIÓN
y UTILIZA EFICIENTEMENTE los RECURSOS

7
 Miguel Angel Ramos
Miembro de la O.A.I
• La define como la revision de la propia informatica
y de su entorno:
– Analisis de riesgos.
– Planes de contingencia.
– Desarrollo de aplicaciones.
– Asesoramiento en paquetes de seguridad.
– Revision de controles y cumplimiento de los mismos, asi
como de las normas legales aplicables.
– Evaluacion de la gestion de los recursos informaticos.

8
 Auditoria de Sistemas
El concepto de auditoria es un examen crítico que se realiza con el
fin de evaluar la eficacia y eficiencia de una sección, un organismo,
una entidad, etc.
La Informática hoy, está dentro de la gestión integral de la
empresa, y por eso, las normas y estándares propiamente
informáticos deben estar, sometidos a los generales de la misma.
En consecuencia, las organizaciones informáticas forman
parte de lo que se ha denominado el “management” o gestión de la
empresa.
En este sentido y debido a su importancia en el
funcionamiento de una empresa, existe la Auditoria Informática.

9
 Auditoria de Sistemas
Finalmente, debemos reafirmar que la Auditoria Informática, también conocida
en nuestro medio como Auditoria de Sistemas, surge debido a que la
información se convierte en uno de los activos más importante de las
empresas, lo cual se puede confirmar si consideramos el hecho de que si se
queman las instalaciones físicas de cualquier organización, sin que sufran
daños los ordenadores, servidores o equipo de cómputo, la entidad podría
retomar su operación normal en un menor tiempo, que si ocurre lo contrario.

A raíz de esto, la información adquiere gran importancia en la empresa moderna

debido a su poder estratégico y a que se invierten grandes sumas de dinero y
tiempo en la creación de sistemas de información con el fin de obtener una
mayor productividad.

continua 10
Tipos de auditorías
 Los distintos tipos de auditorías que se pueden realizar se
clasifican en:
 Financieras
 Verificativas
 Informáticas
 Operativas o de Gestión
 Técnicas.

11
 Concepto de auditoría

 Auditorias financieras las que se hacen con el fin de

asegurar el adecuado registro de las transacciones, el
cumplimiento de los principios de Contabilidad
generalmente aceptados y los planes y regulaciones
contables y financieros, que obligan a la organización.

 Las auditorias verificativas o de cumplimiento tratan de

asegurar a la dirección de la organización, que sus
políticas, programas y normas se cumplen
razonablemente en todo el ámbito de la misma.

12
 Concepto de auditoría
 La auditoría informática evalúa y comprueba los
controles y procedimientos informáticos más
complejos, desarrollando y aplicando técnicas
mecanizadas de auditoría, incluyendo el uso de
software.

 La auditoría operativa o de gestión es una

revisión que comprende las actividades, sistemas
y controles dentro de la empresa para conseguir
economía, eficiencia, eficacia u otros objetivos.

13
Concepto de auditoría

 La auditoría técnica o de métodos es una

revisión de los métodos y técnicas utilizadas en la
realización de las operaciones de la empresa.

14
:: Qué se debe asegurar ?
Siendo que la información debe considerarse como un
recurso con el que cuentan las Organizaciones y por lo
tanto tiene valor para éstas, al igual que el resto de los
activos, debe estar debidamente protegida.

15
:: Contra qué se debe proteger la Información ?

La Seguridad de la Información, protege a ésta de una

amplia gama de amenazas, tanto de orden fortuito como
destrucción, incendio o inundaciones, como de orden
deliberado, tal como fraude, espionaje, sabotaje, vandalismo,
etc.

16
 :: Qué se debe garantizar ?

Confidencialidad: Se garantiza que la información es accesible

sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la
información y los métodos de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tienen
acceso a la información y a los recursos relacionados con la
misma toda vez que se requiera.

17
:: Por qué aumentan las amenazas ?

Las Organizaciones son cada vez mas dependientes de sus Sistemas y

Servicios de Información, por lo tanto podemos afirmar que son cada
vez mas vulnerables a las amenazas concernientes a su seguridad.

18
:: Por qué aumentan las amenazas ?

Crecimiento exponencial de las Redes y

Usuarios Interconectados
Profusión de las BD On-Line

Algunas Inmadurez de las Nuevas Tecnologías

Causas Alta disponibilidad de Herramientas
Automatizadas de Ataques
Nuevas Técnicas de Ataque Distribuido
Técnicas de Ingeniería Social

19
:: Cuáles son las amenazas ?
Accidentes: Averías, Catástrofes, Interrupciones, ...
Errores: de Uso, Diseño, Control, ....
Intencionales Presenciales: Atentado con acceso físico no autorizado
Intencionales Remotas: Requieren acceso al canal de comunicación

:: Amenazas Intencionales Remotas

•Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD).

•Corrupción o destrucción de la información (amenaza a la INTEGRIDAD).
•Suplantación de origen (amenaza a la AUTENTICACIÓN).

20
 :: Estructura de Seguridad – Análisis de Riesgos

Análisis de Riesgos
Se considera Riesgo Informático, a todo factor que pueda generar una
disminución en:
Confidencialidad – Disponibilidad - Integridad
•Determina la probabilidad de ocurrencia
•Determina el impacto potencial

21
 :: Análisis de Riesgos – Modelo de Gestión

Activos Amenazas

Impactos Vulnerabilidades

Reduce Reduce
Riesgos

Función Función
Correctiva Preventiva

22
La responsabilidad en último extremo, en
una empresa sobre la optimización de la
calidad de los SI, y la rentabilidad de los
recursos informáticos la tiene:

1. La Dirección de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologías de la
Información
4. El vendedor del software y el hardware

23
Un Auditor de Sistemas de Información
debe, entre sus responsabilidades,
realizar:

1. La redacción de los procedimientos de

control en el área de seguridad lógica
2. La aprobación de nuevos sistemas de
gestión
3. Evaluar los riesgos de los sistemas de
información
4. Las pruebas del plan de continuidad del
negocio
24
PARA QUE LA AUDITORÍA DE SISTEMAS TENGA ÉXITO
SE REQUIERE:
•Compromiso de todos los funcionarios relacionados
•Continuidad en el proceso de evaluación y control

•Especialización de quienes llevan a cabo la función de

auditoría
•Conocimiento de la entidad a través de la etapa de planeación
•Enfoque preventivo, no correctivo
•Facilitar soluciones, no recomendando exceso de controles
•Estudio del medio tecnológico y organizacional

25
PARA QUE LA AUDITORÍA DE SISTEMAS TENGA ÉXITO
SE REQUIERE:

•Lograr que el personal advierta que las medidas preventivas

son parte del trabajo diario y que incumben a todos por igual

•Evaluar para resolver y proteger, sin entorpecer ni burocratizar

•Trabajar con base en requerimientos y riesgos propios, y no

según los criterios del mercado

26
 Preguntas … ?

Lectura:
Auditoría Interna/Externa

27