FASE 1 INICIAL

INTEGRANTES
Héctor David Forero Pastrán

Presentado a:
Ing. Angela Dayan Garay Villada

Universidad Nacional Abierta y a Distancia – UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería
Curso Auditoria de Sistemas
2022
Estudiante Héctor David Forero Pastrán

1. MAPA CONCEPTUAL

Cuadro con diferencias y similitudes entre la auditoria de

sistemas, auditoria informática y auditoria de sistemas de
información
AUDITORIA DE AUDITORIA AUDITORIA DE
SISTEMAS INFORMÁTICA SISTEMAS DE
INFORMACIÓN
Es la actividad en la Es la actividad de Auditoria de sistemas de
cuál se evalúa el recolectar, consolidar y información según G.A.
manejo y la protección evaluar la evidencia para RIVAS, es:
de la información que comprobar si la entidad “El conjunto de técnicas,
reside en los sistemas ha avanzado en la actividades y
de información, la cuál implementación de procedimientos
califica la aptitud del controles, protección de destinados a analizar,
recurso humano que los activos, evaluar, verificar y
gestiona las plataformas mantenimiento de la recomendar en asuntos
y la eficiencia del integridad de los datos, relativos a la
recurso informático. si tiene claro los planificación, control,
Es preventiva, realiza objetivos de seguridad eficacia, seguridad y
revisiones utilizando de la entidad y si utiliza adecuación del servicio
recursos de hardware y bien los recursos. La informático en la
software desarrollando auditoría informática empresa, por lo que
procedimientos mantiene y confirma la comprende un examen
similares a los que consecución de los metódico, puntual y
emplea la entidad, con objetivos tradicionales discontinuo del servicio
el fin de mejorar los de la auditoría que son: informático en vistas a
procesos de la entidad Protección de activos e mejorar en rentabilidad,
integridad de datos. seguridad y eficacia”
Gestión de protección de
activos, de manera
eficaz y eficiente.

Diferencias:
Cada auditoria utiliza diferentes técnicas para llevarse a cabo.
La auditoria de sistemas se encarga de los procedimientos establecidos en una
empresa para lograr confiablidad, oportunidad, seguridad y confidencialidad,
mientras la auditoria informática se encarga de la revisión y evaluación de los
equipos de cómputo, su utilización, eficiencia y seguridad y la auditoria de
sistemas de información se encarda de verificar la calidad de los sistemas de
información de la organización y proponer mejoras de los mismos, coherentes
con el proyecto de calidad adoptado por la organización (cumplimiento de
normas de calidad o modelo de excelencia en gestión).

Similitudes
Mejorar la eficacia de la organización
Proteger sus activos y recursos.
Mejorar los procedimientos, estándares y planificación, colaborando en su
diseño y en la actualización de sus normas.
 Diferencias control interno y auditoria
Control interno Auditoria
 Son realizados por todos  Solo pueden realizados por in
los miembros de la profesional en la auditoria de
organización. sistemas.
 Es un procedimiento para  Es un procedimiento que se
asegurar que las muestra en momentos
habilidades activas se están específicos.
logrando por el manejo del  Su objetivo es percibir el fraude
riesgo. y la culpa
 Su objetivo es confirmar el  Es una actividad.
acuerdo con los planes de  Su naturaleza es protectora
gestión.
 Es un sistema.
 Su naturaleza es detective

2. CUADRO ACTIVOS INFORMATICOS

Activo
Vulnerabilidad Amenaza Riesgo
informático
 Daño físico a
las
 Polvo
Sensibilidad: computadoras,
 Corrosión
Humedad, polvo, periféricos y
 Radiación
radiación medios de
electromagnética
electromagnética. comunicación.
 Perdida de
Variaciones:  Riesgos
Hardware suministro de
Voltaje, de naturales
energía.
temperaturas. como
 Fenómenos
incendios
meteorológicos.
Copias no controladas inundaciones
 Hurtos medios y
pueden
documentos.
generar cortos
circuitos que
 afectan al
sistema.
 Vandalismo.
 Ausencia o
insuficiencia
de pruebas de
software
 Utilización de
datos errados
en los
 Virus
programas de
 Troyanos
aplicación.
 Adware
 Interfaz  Abusos de
de usuario  Exploit kits;
derechos.
compleja método
 Corrupción de
 Fechas utilizado para
datos.
incorrectas. acceder a los
 Error de uso
equipos a
 Ausencia de  Falsificación de
Software través de
mecanismos de derechos.
amenazas
autentificación  Procesamiento
desconocidas.
de usuarios. ilegal de datos
 Rasomware:
 Tablas de  Manipulación de
Secuestro de
contraseña sin software
archivos
proteger
mediante
 Habilitación de
cifrado.
servicios
innecesarios
 Descarga y
uso no
controlado de
software.
 Líneas de
comunicación
sin proteger
  Entrenamiento
insuficiente en
seguridad.
 Falta de
 Carga mental
conciencia
 Errores de uso  Fatiga visual
acerca de
 Procesamiento o muscular
la
ilegal de datos  Errores
seguridad.
 Hurtos medios y humanos que
 Ausencia de
Personal documentos puedan
mecanismos de
 Usos no ocasionar
monitoreo
autorizados de cualquier
 Trabajo no
los equipos daño al
supervisado
sistema
del personal
externo
 Ausencia de
políticas para
el uso correcto
de los medios
 Ausencia de
procedimientos
para el registro
y retiro de
 Abuso de los
usuarios.
derechos
 Respuesta  Pérdida total
 Falta de
inadecuada del de los equipos
mantenimiento
Organización mantenimiento  Perdida o
del sistema
del servicio. secuestro de
 Falla de los
 Ausencia de la información
equipos
planes de
 Errores de uso
contingencia
 Ausencia de
registros de
bitácoras
3. ESTÁNDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS

COBIT: Es un modelo de evaluación y monitoreo que enfatiza en el control de

los negocios y la seguridad IT que abarca controles específicos de IT desde una
perspectiva de negocios.
Las siglas COBIT significan Objetivos de control para la tecnología de
información (Control Objectives for Information System and related
Technology); es una herramienta de gobierno TI que ha cambiado la forma en
que trabajan los profesionales de la tecnología mediante la vinculación de
tecnología informática y prácticas de control.
La estructura del modelado COBIT propone un marco de acción mediante el
cual se evalúen los criterios de la información un ejemplo de esto es la seguridad
y la calidad; se auditan los recursos que comprenden la tecnología de la
información (recurso humano, sistemas, instalaciones entre otras), donde
finalmente se realice una evaluación sobre los procesos involucrados en la
organización.
Su adecuada implementación provee una herramienta automatizada para evaluar
de manera ágil y consistente al cumplimiento de los objetivos de control y
controles detallados, asegurando que los procesos y recursos de la información y
tecnología contribuyan al logro de los objetivos.

Normas ISO
Las normas ISO especifican los requerimientos que pueden ser empleados en
organizaciones para garantizar que los productos y/o servicios ofrecidos
cumplan con su objetivo.
El objetivo de las normas ISO es asegurar que los productos y/o servicios
alcancen la calidad deseada.
Los estándares internacionales ISO son clave para lograr acceder a mercados
nacionales e internacionales logrando de este modo estandarizar el comercio en
todos los países.

COSO
Coso (Committee of Sponsoring Organizations of the Treadway) es una

comisión voluntaria que surge para proporcionar el liderazgo intelectual frente a

la gestión de riesgo empresarial (ERM), el control interno, y la disuasión de
fraude.
COSO estudia los factores que puedan dar lugar a información financiera
fraudulenta y elabora textos y recomendaciones para todo tipo de organizaciones
y entidades reguladoras.

ITIL
Las siglas ITIL significan Information Technology Infrastructure Library,
Biblioteca de infraestructura de tecnologías de la información, su definición
oficial es “Un conjunto de publicaciones de mejores prácticas para Gestión de
servicios de TI. ITIL proporciona asesoramiento sobre la provisión de servicios
de TI de calidad y de los procesos, funciones y demás capacidades necesarias
para darles apoyo. El marco de ITIL está basado en un ciclo de vida del
servicio y consiste en cinco etapas (estrategia del servicio, diseño del servicio,
transición del servicio, operación del servicio y mejora continua del servicio)
que cuentan con su propia publicación de apoyo. También hay un conjunto de
publicaciones complementarias de ITIL que brindan asesoramiento específico
para distintos sectores económicos, tipos de organizaciones, modelos de
operación y arquitectura de tecnología”.

ISACA
Es una organización que se ha dedicado al desarrollo de los estándares
internacionales de auditoría y control de sistemas de información que ayudan a
sus miembros a garantizar la confianza y el valor de los sistemas de
información.
 BIBLIOGRÁFICA

 Huesca, G. (2012). Introducción a la auditoría informática. Auditoria

informática. (pp. 4-35). Recuperado
de https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

 Araujo,J. (2017). Breve historia de las bases de datos. Platzi. Recuperado de

https://normas-apa.org/referencias/citar-pagina-web/

 MINTIC. (2016). Seguridad y privacidad de la información. (pp. 14-16).

Recuperado de https://www.mintic.gov.co/gestionti/615/articles-
5482_G15_Auditoria.pdf