ESCUELA SUPERIO DE

TAPACHULA
CAMPUS “CACAHOATAN´´

CONTABILIDAD E

INFORMATICA

MATERIA:

Auditoria en informática

Docente

Lic. Michael Roblero Bartolon

Trabajo

Investigación

Estudiante

Jennifer López Reyes

Cuatrimestre

7°

Cacahoatan, Chiapas. 10/12/2022

INTRODUCCIÓN……………………………………………………....................
JUSTIFICACIÓN…………………………………………………………………
METODOLOGÍAS PARA REALIZAR AUDITORIAS
INFORMÁTICAS...........................................................................................
FORMATOS DE AUDITORIA EN
INFORMÁTICA……………………………………………………………………
PROCEDIMIENTOS PARA REALIZAR UNA AUDITORIA DE
SISTEMAS…………………………………………………………………………
PREGUNTAS PARA AUDITORIA
EN INFORMÁTICA……………………………………………..........................
CONCLUSIÓN …………………………………………………………………….
BIBLIOGRAFIA ………………………………………………………………......
 INTRODUCCION
La evolución de los sistemas de información y comunicación en nuestro País, ha
generado la necesidad de implementar la gestión de sistemas en las diferentes
instituciones; para obtener seguridad, confiabilidad y escalabilidad en todos los ámbitos
que a estas conciernen. La velocidad con que los medios de comunicación progresan,
han hecho que las empresas cada vez necesiten de más control sobre sus datos y los
sistemas que estas utilizan, provocando con ello el que el procesamiento de la
información y la rapidez con la que se realiza se vuelva de vital importancia.

JUSTIFICACIÓN
Una Auditoría de Sistemas permite la identificación de fallas, riesgos y el planteamiento
de medidas correctivas; que de acuerdo a los antecedentes comentados anteriormente
deben ser evaluados constantemente, la calidad de servicios que las aplicaciones e
infraestructura tecnológica brindan a los usuarios finales, que se cuenten con políticas y
estándares que permitan la pronta gestión de errores y corrección de problemas, y con
planes de continuidad y contingencia que garanticen la continuidad de las operaciones
en caso de desastres que puedan ocasionar la paralización total o parcial de los
servicios tecnológicos e inclusive la pérdida de información. Un proceso de Auditoría
Informática tiene como objetivos la implantación de nuevos y mejores controles, que
permitan entregar servicios tecnológicos con calidad y eficiencia, que a su vez permitirá
que la Escuela Politécnica del Ejército alcance un mejor posicionamiento y acreditación
dentro de las instituciones de este ramo tanto dentro como fuera del país, apoyando de
esta manera a los distintos procesos que está emprendiendo para alcanzar la visión
que se ha planteado.
 1.-Metodologías para realizar Auditorias Informáticas.
Como auditor se debe recolectar toda la información general, que permita así mismo
definir un juicio global objetivo siempre amparadas en pruebas o hechos demostrables.
Dar como resultado un informe claro, conciso y a la vez preciso depende del análisis y
experiencia del auditor, frente a diferentes entornos a evaluar, dependiendo de las
debilidades y fortalezas encontradas en dicha empresa auditada. La recolección de
información, el análisis, la aplicación de diferentes normas de acuerdo al tipo de
auditoria, los hallazgos encontrados y pruebas que avalen estos resultados son
indispensables en la realización de una auditoria. Para llegar al resultado hay que
seguir una serie de pasos que permiten tener claridad y orden de la auditoria a aplicar.

El método de trabajo del auditor pasa por las siguientes etapas:

1. Alcance y objetivos de la auditoria informática.

2. Estudio inicial del entorno auditable.
3. Determinación de los recursos necesarios para realizar la auditoria.
4. Elaboración del plan y de los programas de trabajo.
5. Actividades propiamente dichas de la auditoria.
6. Confección y redacción del informe final.
7. Redacción de la carta de introducción o carta de presentación del informe final.

2.-Formatos de auditoria en informática

DISEÑO DE FORMATOS PARA AUDITORÍA DE SISTEMAS
Para la planeación del proceso de auditoría es necesario el diseño de los formatos para
el proceso de recolección de información y la presentación de los resultados de la
auditoría, estos documentos denominados papeles de trabajo finalmente son
organizados por cada proceso evaluado y al final se presenta el dictamen y el informe
final de resultados.

 FORMATO PROGRAMA DE AUDITORÍA.
 FORMATO PLAN DE AUDITORÍA.
 FORMATO ACTA DE APERTURA.
 FORMATO ACTA DE CIERRE.
 LINK EVALUACIÓN DEL AUDITOR.
 FORMATO INFORME DE AUDITORÍA.
 LISTA DE ASISTENCIA.
 MODELOS DILIGENCIADOS DEL PROGRAMA DE AUDITORÍA
 3.-Procedimientos para realizar una auditoria de sistemas
1. Capacitar a los empleados de la organización para que sean auditores
Ellos son los que mejor conocen los procesos de la organización y saben en qué
puntos se presenta duplicidad de tareas. Por supuesto, es necesario desarrollar un plan
de capacitación. En algunas organizaciones, este ya existe, pero es necesario
adaptarlo para satisfacer las necesidades propias de la labor de auditoría.
Es importante que los empleados entrenados adquieran conocimientos sobre calidad,
salud y seguridad en el trabajo y gestión ambiental, y, por supuesto, sobre
los procedimientos de auditoría. Se puede finalizar la etapa de capacitación con un
simulacro de auditoría sobre un área específica, de menor tamaño, en la organización.
2. Elaborar el calendario de auditoría
El calendario de auditoría puede ser específico para cada una de ellas, o puede ser un
calendario anual o semestral general. Ello depende de los resultados del análisis de las
distintas áreas, departamentos, funciones, procesos y procedimientos, y del nivel de
riesgo que cada uno de ellos implique.
No existen reglas sobre cómo determinar la prioridad de auditar sistemas de gestión
integrados. Esta es una facultad del auditor jefe y su equipo de auditores.
3. Planificar la auditoría
El proceso de planificación es relativamente simple. Está claro que, a estas alturas, ya
debe existir una lista de verificación fácil de utilizar y ajustable a las diferentes
circunstancias de acuerdo con el área auditada.
La agenda, por lo general, suele ser estándar. Y debería incluir reuniones de apertura y
de cierre de auditoría, horarios y fechas para cada departamento y procesos a verificar
en cada jornada… Siempre hay que cuidar que el cronograma aborde todas las
cláusulas de la norma pertinentes para la organización.
4.Análisis de riesgos y amenazas
El siguiente paso de la auditoría es el de realizar un análisis profundo y preciso de los
riesgos y amenazas a los que está expuesta la empresa. Es necesario identificar las
vulnerabilidades y el nivel de amenaza al que se encuentran expuestos, así como
evaluar las consecuencias de los mismos.
Los principales puntos que deben analizarse durante esta fase de la auditoría son.
Análisis de seguridad de hardware, software y red.
Cumplimiento de las políticas y procedimientos de seguridad informática.
Cumplimiento de las normativas en ciberseguridad y protección de datos.
Análisis de la formación del personal en seguridad informática.
Análisis de los protocolos de actuación en ciberseguridad.
5.Definir las soluciones necesarias
Realizando una clasificación de cada uno de los riesgos identificados en la fase
anterior, y teniendo en cuenta las consecuencias de los mismos, se deben proponer
soluciones para eliminarlos o mitigar sus consecuencias. Además, se debe establecer
una prioridad de implementación de los cambios para proceder primero con los de
peores consecuencias para la empresa.
En esta fase se definen las distintas medidas a tomar, el tiempo necesario para
hacerlo, su coste, etc. También se deben establecer o actualizar los protocolos a seguir
frente a los riesgos detectados para poder controlarlos, eliminarlos, asumirlos, o incluso
compartirlos con expertos externos ante la imposibilidad de afrontarlos.
6.Implantar los cambios necesarios
Una vez definidas las actuaciones a realizar para optimizar los sistemas informáticos de
la empresa para incrementar su nivel de seguridad, se deben implementar según el
calendario previamente definido.
Estos cambios pueden incluir modificaciones en las políticas de seguridad, impartir
formación específica al personal, instalación de software de seguridad, actualización de
hardware obsoleto o inadecuado, implantar nuevas medidas de seguridad de red o
adoptar nuevas tecnologías, entre otras.
7.Monitorizar y evaluar los resultados
Finalmente, es necesario monitorizar todo el proceso para poder evaluar los
resultados y poder realizar modificaciones y ajustes si no se están alcanzando los
objetivos. 
En esta fase también se debe establecer un sistema de control que permita detectar
fallos y garantizar que se siguen todos los protocolos y procedimientos de seguridad.
Una auditoría informática realizada a una empresa le permite conocer cuál es su
situación actual respecto a la ciberseguridad y a la protección de datos, definir
una línea de actuación para implementar los cambios necesarios e implementar las
modificaciones y actualizaciones necesarias para proteger sus sistemas informáticos.
Las auditorías de seguridad informática son una prioridad para las empresas en la
actualidad, donde hay una gran dependencia de la tecnología e internet en la mayoría
de los procesos de su negocio. 
Este tipo de auditorías no son procesos estáticos, sino tareas que se
deben monitorear y actualizar a lo largo del tiempo para poder garantizar siempre la
mayor protección y fomentar una filosofía de mejora continua en cuanto a seguridad
informática y protección de datos.
8. La auditoría
El objetivo de la auditoría es verificar que cada proceso sea seguro, ecológicamente
posible y que contribuya a la calidad del producto y la satisfacción del cliente. Por
supuesto, esto sucede cuando el proceso está conforme con los estándares ISO que
marca cada sistema.
Así, se garantiza que el cliente obtenga un producto que satisfaga sus expectativas y
que sea posible identificar oportunidades de mejora. La lista de verificación es la guía
que hace posible auditar sistemas de gestión integrados. Sin embargo, cuando el
auditor se encuentra en el trabajo de campo, tendrá que detener un proceso para
identificar en un diagrama los pasos del mismo, e identificar áreas que son críticas para
su desempeño.
Una vez identificados los pasos del proceso, el auditor dedicará tiempo a recopilar
información que asegure que todos se han documentado de forma correcta. Para ello,
es necesario que el responsable del proceso se sienta cómodo con el auditor.
Más allá de los requisitos de las normas, es necesario que la auditoría se base en el
sentido común, antes que en la calidad, medio ambiente o salud y seguridad en el
trabajo.
9. Los informes de auditoría
Una vez terminado el trabajo de campo es necesario elaborar los informes de auditoría.
No cometamos el error de hacer una reedición ampliada y con notas de la lista de
verificación. El informe debe ser un documento breve, conciso, que proporcione
información relevante, observaciones de mejora, captura de evidencia sustancial. En
términos generales, debe ser un resumen objetivo y honesto sobre la eficacia del
sistema. Recuerde que el destinatario principal del informe de auditoría es la Alta
Dirección. Ellos no disponen de mucho tiempo para leer un documento largo y
demasiado técnico. Necesitan información clara, puntual y confiable.
10. Revisión de la auditoría
Digamos que se trata de hacer una “auditoría a la auditoría”. Es una oportunidad para
evaluar el trabajo de los auditores. Además, también sirve para comprobar la ejecución
de las acciones correctivas propuestas y comparar, con base en los resultados de otras
auditorias anteriores (internas o externas), la mejora continua del sistema.
Curso Sistemas Integrados de Gestión
La capacitación y la formación, como ya lo anotamos, forman parte esencial del
proceso de planificación de una auditoría a sistemas de gestión integrados. La Escuela
Europea de Excelencia, consciente de ello, ha dispuesto un programa de formación de
alto nivel, que aportará a sus alumnos las competencias, los conocimientos y las
herramientas necesarias para implementar y auditar sistemas de gestión integrados en
cualquier tipo de organización.

4.-Preguntas para auditoria en informática

Preguntas del área de redes
¿Cuentas con un servidor?
¿Qué versión es?
¿Con que capacidad de banda de ancha cuanta?
¿Con que tipo de topología de red cuenta?
¿Alguien más tiene acceso a su WIFI?
¿Qué compañía tiene usted contratada de internet?
¿Cuántos equipos están conectados a la red?
¿Cuál es la ip de cada computadora?
¿Cuenta con base de datos para tiempos de renta de los equipos?
¿Usted realizo toda la instalación de la red de sus equipos?
Cuestionario del área de soporte técnico
¿Con que procesadores cuenta cada máquina?
¿Con cuántos equipos de cómputo cuenta?
¿Cada cuando actualiza sus equipos de cómputo?
¿Cada cuánto le da mantenimiento al equipo de cómputo?
¿Cuánto es el monto al adquirir software y hardware?
¿Qué tiempo tarda en darle mantenimiento a cada equipo?
¿Usted ha tomado cursos de actualización en el área?
¿Cuenta usted con personal capacitado?
¿Cuenta con el espacio suficiente para realizar las actividades correspondientes al
servicio?
¿Sus computadoras son ensambladas o de marca?
¿Qué sistema operativo ocupo?
¿Qué desea mejorar de sus equipos?
¿En qué tiempo realiza un problema técnico?
Cuestionario para el área de Renta
¿Cuánta usted con antivirus para proteger la seguridad de sus computadores?
¿Qué antivirus es?
¿Cuenta con respaldos de la información?
¿Con qué tipo de equipo cuenta?
¿Cuenta con las aplicaciones necesarias para el servicio del cliente?
¿Cómo es que calcula el precio del servicio?
¿Usted ofrece servicios adicionales en su establecimiento?
¿Cuenta con la suficiente maquinaria para su negocio para satisfacer las necesidades
del cliente?
¿Todas las maquinas cuentan con la misma capacidad de almacenamiento? ¿Sus
hardware funcionan correctamente?
¿Cómo está organizada su información (¿carpetas, memorias, disco duro u otros? ¿sus
clientes están satisfechos del funcionamiento de los equipos de cómputo?
 CONCLUSION
En conclusión la auditoria informática es la indicada para evaluar de manera profunda,
una determinada organización a través de su sistema de información automatizado, de
aquí su importancia y relevancia.