Tarea Semana 1

Tamara Marlene Matus Silva

Evaluación de Procesos Informáticos

Instituto IACC

Lunes 21 de Junio, de 2021.

DESARROLLO DE LA TAREA:

Este ejercicio consiste en elaborar un cuadro descriptivo de las fases de una auditoría informática. El
entregable puede realizarlo en una planilla Excel o una tabla de Word, como una tabla de doble entrada
en la cual se identifiquen las etapas solicitadas, con un descriptor explicativo de cada una, y una
diferenciación entre auditoría informática y auditoría de seguridad informática. La descripción de las
características y/o funcionalidades de cada etapa deberá ser de elaboración propia, es decir, no puede
estar copiada literalmente del documento con el contenido de la semana.

FASES DE LA AUDITORIA INFORMATICA

Fase 1: Conocimiento del sistema Esta etapa es de identificación, la cual implica

conocer y comprender el negocio y su entorno de

desarrollo, es decir, entender el ambiente en el

que se maneja la empresa, los tipos de

plataformas y sistema utilizados y los propósitos

y prácticas comerciales a través del informe. En

esta etapa, se considera recorrer las instalaciones

de la organización, es decir, visitar la sucursal

(ubicación física), comunicarse con el personal

clave bajo el organigrama, para comprender y

verificar sus funciones; la operatividad de la

aplicación y el mecanismo de seguridad implícito

del área. También leer y enterarse de los

informes financieros, normativas vigentes, etc.

Fase 2: Análisis de transacciones y recursos. Esta etapa es de definición y determina cuál es el

objetivo, es decir, determinar el alcance de un

sistema o unidad específico para ser incluido en

la revisión, esto solo puede ser realizado por el

administrador dentro de un tiempo determinado.

Implica también, establecer flujo de

procesos(flujograma), identificar los recursos que

participan en el sistema.

Fase 3: Análisis de riesgo y amenazas. Determina el alcance de la auditoría y es

necesario considerar el riesgo de errores

materiales en la información, o que el auditor no

pueda detectar el error, estos riesgos se pueden

categorizar en las siguientes divisiones: riesgo

inherente, riesgo de control y riesgo de

detección. Sin embargo, cuando se nombra

“material” se refiere a errores significativos al

realizar la auditoria, la definición de riesgos se

refiere a lesiones o daños físicos de los recursos,

pérdidas causadas por fraude, pérdida de

documentos fuente, robo de dispositivos, etc. En

referencia a las amenazas, se consideran las que

aplicaciones.

Fase 4: Análisis de controles. En esta etapa, la finalidad y objetivo es mantener

protegidos los recursos para reducir los riesgos y

amenazas. Es decir, se debe revisar que exista un

control y plan de acción, también la identificación

de la codificación que determina al grupo de

funcionarios que utilizan los recursos. Para cada

recurso, riesgo y amenaza identificados en la fase

previa, se debe establecerse la relación con los

controles.

Para cada se determina uno o más controles, se

analiza la cobertura de los controles necesarios,

todo esto para asegurar que los controles

auditados otorgan una protección adecuada a los

recursos.

Fase 5: Evaluación de controles. En esta etapa la finalidad es verificar la existencia

del control requerido para determinar su

funcionamiento y adecuación. Para esto se

necesita tener un plan de pruebas de selección

del tipo de prueba a ser realizada.

Una vez ejecutada la prueba, se analizarán los

datos y elementos recopilados solicitados al área

respectiva.
Fase 6: Informe de auditoría. Esta etapa se refleja la elaboración del informe,

con las respuestas recepcionadas en la ejecución

de la auditoria, y su estructura debe considerar la

introducción, la cual indica claramente el

propósito y contenido del informe, alcance, los

hallazgos, resultados de la encuesta, opiniones y

sugerencias de mejora realizadas por el auditor.

Una vez obtenidos y analizados los compromisos

en estas áreas, se redactará este informe.

Fase 7: Seguimiento de recomendaciones. En esta etapa, se elabora un complemento al

informe final, que implica la evaluación de

procesos y medidas de seguridad, que deben ser

aplicadas en las áreas donde se deben superar

estas deficiencias.
DIFERENCIACIÓN ENTRE AUDITORIA INFORMATICA Y AUDITORIA DE SEGURIDAD INFORMATICA

La auditoría Informática es un proceso llevado a cabo por profesionales altamente capacitados, y que
consiste en tomar, agrupar y evaluar evidencias para determinar si un Sistema de Información
salvaguarda el activo de la empresa, mantiene la integridad de los datos ya que esta lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y
regulaciones establecidas.
Permiten también, detectar de Forma Sistemática el uso de los recursos y los flujos de información
dentro de una Organización y determinar qué Información es crítica para el cumplimiento de su Misión y
Objetivos, identificando falsedades, costes, necesidades, valor y barreras, que obstaculizan flujos de
información eficientes. Existen dos tipos de auditorías, las cuales son:
AUDITORIA INTERNA
Es aquella que se hace desde el ambiente interno la empresa, es decir, sin personas que no pertenecen
a la organización, ajenos a la misma, ya sea por empleados que fueron directamente contratados o
alguna subsidiaria a esta y la entidad tiene el poder de decisión sobre el proceso llevado a cabo para
realizarla.
AUDITORIA EXTERNA
Se realiza por personal contratado en forma externa a la empresa ya sea remunerado o no y la
organización no tiene poder de decisión sobre el proceso llevado a cabo por el ente que audita.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una
empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados
objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los
mismos.
Los mecanismos de control en el área de Informática son:
Directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoría Informática son:
• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.
Una auditoría de seguridad informática se podría definir como la evaluación del nivel de madurez en
seguridad de una organización, donde se analizan las políticas y procedimientos de seguridad definidos
por la misma y se revisa su grado de cumplimiento.

La seguridad informática tiene como objetivo mantener la integridad, es decir salvaguardar la precisión
de la información, control, confidencialidad, es decir asegurar que el acceso a la información sea
debidamente autorizado, privacidad y autenticidad de la información contenida en los sistemas
tecnológicos, operando a través de barreras físicas y virtuales, como medidas de prevención,
procedimientos y protocolos.

Hoy en día la seguridad informática es un requisito obligatorio para cada organización con el fin de
aumentar la protección de sus intereses y sus recursos humanos.
En algunas ocasiones es difícil diferenciar el papel del encargado de Seguridad en Informática y el del
Auditor de Sistemas. Ambos comparten el control de la función de procesamiento de datos, dictaminan
los estándares para la industria y la organización, y pugnan por conservar los activos informáticos de la
empresa.
Obviamente, la función de Seguridad de la Información y la del Auditor de Sistemas se entrelazan, el
punto de vista de Auditoría es esencial para la seguridad de los sistemas, tomando la seguridad como un
control objetivo y evitando dificultades y enfrentamientos, los profesionales en ambos campos deben
reconocer la cercanía de sus funciones y ocasionalmente aceptar la duplicidad de responsabilidades.
Objetivo
El objetivo no debe ser separar o diferenciar ambientes, sino construir una relación de trabajo
constructiva que permita la interdependencia de ambos.
La auditoría de seguridad informática es un proceso realizado por auditores con la finalidad de revisar el
funcionamiento de una determinada área de la empresa u organización, los objetivos de una auditoria
informática son los siguientes:
1. Verificar que el sistema de seguridad implementado en la empresa, cumpla con la finalidad de
proteger el sistema informático.
2. Detectar vulnerabilidades y amenazas.
3. Hacer un informe detallada con los resultados y el plan de mejora.
La auditoria es aquella que analiza las vulnerabilidades que pudieran existir en las estaciones de trabajo,
servidores o redes de comunicaciones.
 Bibliografía

Contenido Semana 1………………………………………………………………………..IACC

Recusos adicionales………………………………………………………………………...IACC

[Link]

[Link]