Auditoria de Sistemas

Introducción
La auditoría de sistemas es un proceso estructurado que evalúa la calidad, seguridad y
eficiencia de los sistemas de información en una organización. Este proceso es esencial
para garantizar que las operaciones tecnológicas cumplan con las políticas internas,
estándares legales y normativos internacionales. La auditoría informática, como rama
especializada, se enfoca en los sistemas computacionales, redes, bases de datos y
aplicaciones para detectar riesgos, optimizar procesos y asegurar la continuidad del
negocio.

Importancia de la Auditoría de Sistemas:

1. Identificación de riesgos : Detecta vulnerabilidades y posibles fallas en sistemas

críticos.
2. Cumplimiento normativo : Asegura que la organización cumple con leyes como
GDPR, ISO 27001 y SOX.
3. Optimización de recursos : Mejora la eficiencia de los sistemas tecnológicos,
reduciendo costos y tiempos de operación.
4. Protección de datos : Salvaguarda la integridad, confidencialidad y disponibilidad
de la información.

Ejemplo general:

Una organización multinacional quiere auditar sus centros de datos para garantizar que
cumplen con los requisitos de seguridad.
Pasos:

1. Se realiza un inventario de los servidores y sistemas críticos.

2. Se verifican los accesos físicos y lógicos al centro de datos.
3. Se analizan las configuraciones de red y las políticas de respaldo.
4. Se emite un informe con recomendaciones específicas para mejorar la seguridad y el
cumplimiento.

1. Conceptos de Auditoría y Auditoría Informática

La auditoría en general se refiere a la evaluación sistemática de procesos, políticas y
controles para garantizar que una organización opere de manera eficiente y conforme a las
regulaciones aplicables. La auditoría informática, en particular, se enfoca en los sistemas
computacionales y procesos tecnológicos.

Objetivos de la Auditoría Informática:

 • Verifique la integridad y confiabilidad de los datos.
• Evaluar la efectividad de los controles tecnológicos implementados.
• Asegurar la disponibilidad de los sistemas ante fallos o ataques.
• Detectar posibles fraudes tecnológicos o accesos no autorizados.

Ejemplo 1: Auditoría de Contraseñas

Un auditor evalúa si las contraseñas utilizadas en una organización cumplen con los
estándares mínimos de seguridad.
Solución:

1. Recolectar datos sobre las políticas actuales de contraseñas (longitud mínima,

complejidad, vencimiento).
2. Probar si los usuarios están usando contraseñas predeterminadas o débiles.
3. Recomendaciones: Implementar autenticación multifactor y capacitar al personal en
la creación de contraseñas seguras.

Ejemplo 2: Evaluación de Copias de Seguridad

La auditoría identifica si los respaldos de información son adecuados para garantizar la

recuperación en caso de desastres.
Solución:

1. Verifique la periodicidad y ubicación de las copias de seguridad.

2. Probar la restauración de datos para asegurar su funcionalidad.
3. Recomendaciones: Automatizar copias de seguridad y almacenarlas en diferentes
ubicaciones físicas o en la nube.

Ejemplo 3: Análisis de Registros de Acceso

Un auditor revisa los registros de acceso al sistema para identificar actividades inusuales.
Solución:

1. Obtener y analizar registros de los servidores durante un mes.

2. Identificar patrones anómalos, como accesos repetidos fuera del horario laboral.
3. Recomendaciones: Implementar alertas automáticas para accesos sospechosos.

2. Control Interno Informático

El control interno es un sistema integrado de políticas, procedimientos y actividades
diseñadas para proteger los activos tecnológicos de una organización. Este control abarca
medidas preventivas, detectivas y correctivas para minimizar riesgos.

Componentes del Control Interno:

1. Control preventivo : Diseñado para evitar que ocurran incidentes (ej.,

autenticación multifactor).
2. Control detectivo : Identifica y reporta incidentes en tiempo real (ej., monitoreo de
red).
3. Control correctivo : Actúa para solucionar problemas detectados (ej., recuperación
de datos tras un ciberataque).

Ejemplo 1: Monitoreo de redes

Una empresa desea auditar el tráfico de su red para detectar posibles intrusiones.
Solución:

1. Configurar herramientas como IDS (Sistemas de Detección de Intrusos).

2. Analizar patrones de tráfico en busca de actividades anómalas.
3. Recomendaciones: Segmentar la red y reforzar los firewalls.

Ejemplo 2: Gestión de Actualizaciones

Un auditor revisa si los sistemas operativos y aplicaciones están actualizados para evitar
vulnerabilidades.
Solución:

1. Revisar la documentación de parches y actualizaciones aplicadas.

2. Probar si los sistemas tienen vulnerabilidades conocidas sin parchear.
3. Recomendaciones: Implementar un cronograma de actualizaciones automatizadas.

Ejemplo 3: Seguridad Física en Centros de Datos

Una organización audita la seguridad física de su centro de datos.

Solución:

1. Inspeccionar controles de acceso físico como tarjetas, cámaras y personal de

vigilancia.
2. Validar que los servidores están en áreas restringidas y bien ventiladas.
3. Recomendaciones: Mejorar las políticas de acceso y establecer procedimientos en
caso de emergencias.
3. Campo de la Auditoría Informática
Este campo incluye una variedad de áreas tecnológicas que deben ser revisadas para
garantizar su seguridad y eficiencia.

Subáreas Principales:

1. Auditoría de Seguridad : Evaluación de los controles que protegen los datos y

sistemas de accesos no autorizados.
2. Auditoría de Redes : Análisis de la infraestructura de red para garantizar
conectividad y protección contra intrusos.
3. Auditoría de Aplicaciones : Evaluación de software para detectar errores, brechas
de seguridad y conformidad.
4. Auditoría de Bases de Datos : Revisión de configuraciones, accesos y políticas de
almacenamiento seguro.

Ejemplo 1: Auditoría de Seguridad en Dispositivos IoT

Una empresa audita sus dispositivos IoT para evitar riesgos.

Solución:

1. Revisar los ajustes de seguridad.

2. Probar la capacidad de los dispositivos para manejar actualizaciones de firmware.
3. Recomendaciones: Cifrar las comunicaciones entre dispositivos y monitorear su
actividad.

Ejemplo 2: Evaluación de Aplicaciones Web

Un auditor evalúa si un sitio web es vulnerable a ataques como inyección SQL.

Solución:

1. Ejecutar pruebas automatizadas de seguridad con herramientas como OWASP ZAP.

2. Revisar las configuraciones de la base de datos asociados al sitio web.
3. Recomendaciones: Implementar validaciones de entrada y actualizaciones
constantes del software.

Ejemplo 3: Gestión de Riesgos Informáticos

Una empresa desea identificar y priorizar los riesgos asociados con su infraestructura
tecnológica.
Solución:

1. Crear un inventario de activos tecnológicos.

2. Evaluar las vulnerabilidades conocidas y su impacto.
3. Desarrollar planes de mitigación y contingencia.
Compendio Técnico Ampliado: Auditoría Informática

1. Campo de la Auditoría Informática

La auditoría informática es una disciplina que permite examinar, evaluar y verificar la
eficacia de los controles relacionados con los activos de tecnología y sistemas de
información. Su propósito fundamental es salvaguardar los activos digitales, garantizar el
cumplimiento de políticas de seguridad, asegurar la integridad de los datos y respaldar el
cumplimiento legal. La auditoría debe garantizar la confidencialidad, integridad,
disponibilidad, autenticidad y trazabilidad de la información (principios fundamentales de
la seguridad de la información).

Ámbitos comunes:
- Seguridad de la información: validación de controles de acceso lógico, gestión de
incidentes, cifrado de datos, detección de amenazas.
- Infraestructura tecnológica: verificación de redundancia, disponibilidad de servidores,
respaldo, redes LAN/WAN, conectividad y protocolos seguros.
- Cumplimiento normativo: adecuación a estándares y normativas (ISO 27001, NIST, GDPR,
Ley 1581, PCI-DSS, etc.).
- Gobierno y gestión de TI: auditoría de buenas prácticas, riesgos tecnológicos, controles
basados en COBIT, ITIL, COSO.

Ejemplo 1: Una entidad gubernamental contrata una auditoría para revisar el cumplimiento
de la Ley 1581. Se evidencia que los datos sensibles no están clasificados ni almacenados
conforme a la norma.
Ejemplo 2: En una empresa de logística, se descubre que los backups solo se realizan
manualmente una vez a la semana y no se almacenan en sitio remoto. Se recomienda
automatizar y geo-replicar.
Ejemplo 3: En un hospital, la auditoría muestra que los accesos a las historias clínicas no
están restringidos por perfil de usuario. Se propone integrar roles con segregación de
funciones.
Ejemplo 4: En una fintech, se audita la plataforma de pagos y se encuentra que los logs de
acceso no se almacenan más de 7 días. Se exige su retención mínima por 6 meses según la
norma local.

2. Metodología de una Auditoría Informática

La auditoría informática sigue una metodología estructurada y orientada por normas
internacionales como ISO 19011, NIST SP 800-115, ISACA ITAF. Este proceso se diseña para
establecer un control sistemático, imparcial y basado en evidencia de los sistemas de
información.

Etapas clave:
1. Planificación: identificación de activos críticos, determinación del alcance, análisis
preliminar de riesgos (asset mapping y matriz de impacto/probabilidad).
2. Recolección de evidencia: recopilación de datos a través de entrevistas, revisión de
documentación técnica, logs, políticas, observación directa y herramientas de recolección.
3. Ejecución: realización de pruebas de configuración, vulnerabilidades, seguridad,
procesos, y análisis automatizado (CAATs, scripts, benchmarks CIS, etc.).
4. Análisis de hallazgos: se determinan debilidades técnicas, se evalúan controles
compensatorios y se clasifican según su impacto.
5. Informe: presentación de hallazgos con evidencia técnica, recomendaciones, plan de
tratamiento de riesgos (con tiempos, responsables y criticidad).

Ejemplo 1: En una universidad, la planificación muestra que la red académica no está

segmentada. En la ejecución se realiza escaneo de puertos, identificando impresoras
expuestas por IP pública.
Ejemplo 2: En una EPS, se usa una checklist ISO 27001 para revisar la política de control de
accesos. Se encuentra que no existe trazabilidad completa de los inicios de sesión.
Ejemplo 3: Durante la recolección de información en una institución financiera, se
determina que no se han realizado pruebas de recuperación ante desastres desde hace 3
años.
Ejemplo 4: En una empresa de energía, el informe concluye que el sistema SCADA opera con
contraseñas predeterminadas de fábrica. Se recomienda cambiar claves y activar
autenticación multifactor.
3. Técnicas e Instrumentos para la Auditoría Informática y de Sistemas
La efectividad de la auditoría depende del uso adecuado de técnicas de recolección de datos
y herramientas tecnológicas. Estas permiten una inspección profunda de sistemas,
aplicaciones, redes y datos.

Técnicas aplicadas:
- Entrevistas estructuradas y no estructuradas.
- Observación directa y seguimiento de procesos.
- Revisión documental técnica y normativa.
- Ejecución de pruebas controladas (pruebas de configuración, pentesting, sniffing,
simulaciones de ataques).

Instrumentos:
- Nmap: exploración de red, descubrimiento de hosts y puertos.
- Nessus / OpenVAS: escaneo de vulnerabilidades técnicas.
- Wireshark / tcpdump: análisis de tráfico en vivo y detección de anomalías.
- Metasploit Framework: pruebas de explotación de vulnerabilidades en entorno
controlado.
- Splunk / Graylog / ELK Stack: gestión de logs y detección de incidentes.

Ejemplo 1: En una multinacional de seguros, se detectan intentos de acceso externo

mediante escaneo con Nessus. Se aplican medidas de bloqueo por firewall.
Ejemplo 2: Con Wireshark, un auditor descubre que el tráfico entre la app móvil y el
servidor web no usa HTTPS. Se recomienda implementación de TLS 1.3.
Ejemplo 3: En una ONG, se revisan los archivos de logs del servidor con Graylog y se
detectan accesos concurrentes desde ubicaciones geográficas distintas. Se activa control de
geolocalización.
Ejemplo 4: Durante una auditoría de red en un hospital, se ejecuta Metasploit sobre una
máquina virtual vulnerable y se explota un RCE (Remote Code Execution). El informe
recomienda actualizar urgentemente el sistema operativo.
1. COBIT: Objetivos de Control para la Información y Tecnologías Relacionadas

¿Qué es COBIT?

COBIT (Control Objectives for Information and Related Technologies) es un marco de

gobierno y gestión de TI, desarrollado por ISACA, que ayuda a las organizaciones a
alinear la tecnología con sus objetivos de negocio.

Es como un “manual de buenas prácticas” que orienta cómo debe administrarse la

tecnología de la información de forma eficiente, segura y alineada al negocio.

Objetivos principales de COBIT:

• Asegurar que la TI entregue valor al negocio.

• Reducir los riesgos tecnológicos.

• Garantizar el cumplimiento de normas y leyes.

• Facilitar la transparencia y trazabilidad de decisiones de TI.

Principios clave de COBIT 2019 (última versión):

1. Satisfacer las necesidades de los stakeholders.

2. Cubrir la empresa de extremo a extremo.

3. Aplicar un marco único e integrado.

4. Permitir un enfoque holístico.

5. Separar el gobierno de la gestión.

Ejemplos prácticos de aplicación de COBIT:

Ejemplo 1: Universidad pública

La institución implementa COBIT para mejorar la trazabilidad de decisiones en la

compra de software académico. Gracias al marco, ahora todos los procesos están
documentados y auditados.
Ejemplo 2: Empresa financiera

Ante una inspección de la Superintendencia Financiera, la empresa demuestra que

aplica COBIT para asegurar la integridad de los datos de sus clientes, lo que evita una
multa por incumplimiento.

Ejemplo 3: Entidad del gobierno

Un ministerio implementa COBIT para garantizar que los proyectos de TI cumplan

cronograma, presupuesto y requisitos, lo que reduce sobrecostos y reprocesos.

Ejemplo 4: Multinacional

Un grupo empresarial usa COBIT como base para establecer su sistema de auditoría
interna, monitoreando constantemente los procesos críticos de TI y generando
reportes automáticos de indicadores.

2. Distribución de los Dominios y Procesos de COBIT

Estructura de COBIT 2019

COBIT está organizado en dominios y procesos. En su última versión, se divide en

dos grandes funciones:

A. Gobierno (Governance)

Responsable de asegurar que TI satisface las necesidades del negocio, mediante

evaluación, dirección y monitoreo.

• EDM: Evaluate, Direct and Monitor

(Ej. Evaluar la estrategia de TI, dirigir el cumplimiento, monitorear desempeño).

B. Gestión (Management)

Encargada de planear, construir, ejecutar y monitorear las actividades relacionadas

con la TI.

Se divide en 4 dominios:
Dominio Significado Enfocado en...

Gobierno corporativo de TI, políticas,

APO Align, Plan and Organize
arquitectura

Build, Acquire and Adquisición, desarrollo, pruebas e

BAI
Implement implementación

Deliver, Service and

DSS Operaciones, soporte, continuidad del negocio
Support

Monitor, Evaluate and Evaluación de desempeño, cumplimiento,

MEA
Assess control interno

Ejemplos por dominio:

APO – Planeación estratégica de TI

Ejemplo: Una universidad define su plan de transformación digital, alineado con su

plan de desarrollo institucional, usando APO para organizar recursos, políticas y
roles.

BAI – Desarrollo de software

Ejemplo: Una empresa desarrolla un sistema de facturación electrónica. BAI guía

cómo implementar, probar y entregar el sistema cumpliendo buenas prácticas.

DSS – Soporte y servicios

Ejemplo: Una EPS estructura su mesa de ayuda usando DSS para garantizar soporte
continuo a usuarios, y recuperación ante caídas de servicios críticos.

MEA – Evaluación y control

Ejemplo: Un banco realiza evaluaciones trimestrales de desempeño y seguridad del
sistema de banca móvil, documentando todo con procesos MEA para soportar
auditorías externas.

3. Norma ISO para Auditoría de Sistemas

¿Qué es una norma ISO?

Las normas ISO son estándares internacionales creados para asegurar la calidad,
seguridad, eficiencia y consistencia en distintos ámbitos.

Para auditoría de sistemas y gestión de TI, las normas ISO más aplicadas son:

A. ISO/IEC 27001: Gestión de la Seguridad de la Información

• Define requisitos para proteger la información contra accesos no autorizados,

pérdidas o alteraciones.

• Incluye controles para proteger redes, software, recursos humanos, accesos y

más.

B. ISO/IEC 19011: Directrices para auditorías

• Aplica para auditorías internas y externas.

• Establece principios, planificación, ejecución, informe y seguimiento de

auditorías.

C. ISO/IEC 20000: Gestión de servicios de TI

• Enfocada en asegurar que los servicios de TI sean entregados con calidad,

eficiencia y mejora continua.

• Se aplica en empresas con departamentos de soporte o servicios TI.

Ejemplos de aplicación de normas ISO:

Ejemplo 1: ISO 27001 en una entidad pública

La institución certifica su sistema de seguridad de la información para proteger los

datos de usuarios. Esto permite que puedan firmar convenios con otras entidades del
Estado y empresas privadas.

Ejemplo 2: ISO 19011 en una auditoría interna

Una universidad realiza una auditoría de sus sistemas académicos siguiendo la

estructura de ISO 19011. Esto permite definir objetivos, recolectar evidencia, y
entregar recomendaciones detalladas y trazables.

Ejemplo 3: ISO 20000 en una empresa de soporte técnico

Una compañía de outsourcing de TI implementa ISO 20000 para estandarizar la

atención de incidentes, tiempos de respuesta y calidad del servicio al cliente,
mejorando su satisfacción.

Ejemplo 4: Combinación ISO/COBIT

Una empresa del sector salud aplica COBIT para gobierno de TI y certifica ISO 27001
para seguridad. Así demuestra que tiene un modelo maduro de TI con gobernanza,
seguridad y trazabilidad.
Conceptos de
Auditoría y Auditoría
Informática
La Auditoría de Sistemas es fundamental en la Ingeniería de Sistemas,
contribuyendo a salvaguardar la integridad, disponibilidad y
confidencialidad de la información en el mundo tecnológico.
Conceptos Fundamentales de
Auditoría
Auditoría en General Auditoría Importancia de la
La auditoría es un proceso
Informática Auditoría de
sistemático de evaluación y Se enfoca en evaluar
Sistemas
verificación de las sistemas de información, Garantiza la seguridad de la
operaciones, procesos, seguridad informática y información, el
sistemas y actividades de gestión tecnológica. cumplimiento normativo y
una organización. legal, la mejora continua de
procesos, el aseguramiento
de la integridad de los datos
y la gestión de riesgos.
Objetivos de la Auditoría
1 Verificación de 2 Seguridad de la 3 Mejora Continua
Cumplimiento Información Identifica oportunidades
Garantiza el Protege los datos contra para optimizar la
cumplimiento de amenazas internas y infraestructura y mejorar
normativas y estándares. externas. la eficiencia operativa.
Tipos de Auditoría
Auditoría Interna Auditoría Externa Auditoría Operativa

Evaluación de la efectividad de Realizada por entidades Enfocada en la eficiencia y

los procesos internos. independientes a la eficacia de los procesos y
organización. operaciones.
Áreas de Enfoque de la Auditoría
Informática

Seguridad de Red Gestión de Accesos Evaluación de Software

Enfoque en la protección de la Control y administración de los Análisis de la eficiencia y
red y la información transmitida permisos de acceso a la fiabilidad del software utilizado.
a través de ella. información.
Importancia de la Auditoría de
Sistemas

1 Garantía de la Seguridad de la Información

Evaluación de controles para proteger datos contra amenazas internas y externas.

2 Cumplimiento Normativo y Legal

Asegurar conformidad con normativas y leyes, vital en la manipulación de datos
sensibles.

3 Mejora Continua de Procesos

Identificación de oportunidades para optimizar infraestructura y mejorar eficiencia
operativa.
Responsabilidades de la Auditoría
Transparencia y Identificación de Confidencialidad y
Eficiencia Riesgos Privacidad
Garantizar que las Buscar y evaluar posibles Proteger la confidencialidad
operaciones se lleven a cabo riesgos que puedan afectar a y privacidad de la
de manera transparente y la organización. información manejada.
eficiente.
Gestión de Riesgos
1 2 3

Identificación de Gestión de Riesgos Prevención de

Riesgos Desarrollo e implementación
Riesgos
Evaluación proactiva de de estrategias para minimizar Implementación de medidas
posibles riesgos en el entorno y gestionar riesgos para prevenir la aparición de
tecnológico. identificados. riesgos en sistemas de
información.
Control Interno
Informático:
Garantizando la
Eficiencia y Seguridad
en Ingeniería de
Sistemas
En el vasto y complejo universo de la Ingeniería de Sistemas, la Auditoría
de Sistemas desempeña un papel vital para garantizar la eficiencia,
seguridad y confiabilidad de las operaciones informáticas.
Control Interno Informático:
Fundamentos y Propósito

Definición de Control Propósito del Control Gestión de Riesgos

Interno Informático: Interno Informático: El Control Interno Informático
El Control Interno Informático El propósito principal es mitigar juega un papel crucial en la
se refiere al conjunto de riesgos asociados con la gestión identificación, evaluación y
medidas, políticas y de la información y la mitigación de riesgos
procedimientos diseñados para tecnología, proteger la relacionados con la tecnología.
salvaguardar los activos de información, y optimizar los
información de una recursos tecnológicos.
organización.
Componentes Clave del Control
Interno Informático
Políticas y Seguridad de la Gestión de Cambios
Procedimientos Información
Implementación de sistemas
La creación y documentación Implantación de mecanismos para controlar y gestionar las
de políticas y procedimientos de control de acceso, cifrado versiones de software y
claros es esencial para guiar las de datos y monitoreo para configuraciones de sistemas.
operaciones informáticas. garantizar la confidencialidad
Desarrollo de planes robustos
e integridad de los datos.
Asegurar que las políticas y de respaldo y recuperación
procedimientos sean para asegurar la disponibilidad
comunicados de manera de datos críticos.
efectiva a todo el personal.
Control Interno Informático:
Protección de Activos
1 Protección de Activos 2 Gestión Efectiva de Riesgos
Críticos El control interno informático juega
El Control Interno Informático actúa un papel crucial en la identificación,
como un guardián de la información evaluación y mitigación de riesgos en
y tecnología, protegiendo la Ingeniería de Sistemas.
información valiosa y sensible.
Tipos de Control Interno Informático
Controles Controles Controles
Preventivos Detectivos Correctivos
Evitan que se produzcan Detectan los errores o Corrigen los errores o
errores o irregularidades en irregularidades que se hayan irregularidades que se hayan
la gestión de la información. producido en los sistemas detectado en la gestión de
informáticos. la información.
Elementos del Control Interno
Informático
1 Ambiente de Control
Influye en la actitud de los empleados hacia el control interno.

2 Valoración de Riesgos
Identifica y evalúa los riesgos que pueden afectar a los sistemas de
información.

3 Actividades de Control
Políticas, procedimientos y actividades diseñadas para mitigar los riesgos
identificados.
Importancia del Control Interno
Informático en Ingeniería de
Sistemas
Protección de Activos Críticos
El control interno informático garantiza la protección de la información y la
1
tecnología, asegurando la confidencialidad e integridad de los datos
sensibles.

Gestión Efectiva de Riesgos

2 El control interno informático juega un papel crucial en la identificación,
evaluación y mitigación de riesgos...
Supervisión y Evaluación del Control
Interno Informático
Ambiente de control Influye en la actitud de los empleados hacia el
control interno.

Valoración de Riesgos Identifica y evalúa los riesgos que pueden

afectar a los sistemas de información.

Actividades de Control Políticas, procedimientos y actividades

diseñadas para mitigar los riesgos identificados.
COBIT (Objetivos de
Control para la
Información y
Tecnologías
Relacionadas)
La Auditoría de Sistemas desempeña un papel crítico en la Ingeniería de
Sistemas, y COBIT emerge como un marco integral para la gobernanza,
gestión y control de las tecnologías de la información.
Introducción a COBIT

Definición de COBIT
COBIT es un conjunto de mejores prácticas y estándares para el control y la gestión de tecnologías de la
información (TI), desarrollado por ISACA y el IT Governance Institute.
Origen y Evolución de COBIT
1 Inicio y Razón de Ser
Nació en 1996 para establecer un marco global comprensible de gobierno
de TI.

2 Evolución
A lo largo de los años, COBIT ha experimentado actualizaciones y revisiones,
culminando en la versión COBIT 2019, que se alinea con los cambios
tecnológicos y empresariales.
Estructura y Principios de COBIT
Dominios de COBIT Componentes de Principios de COBIT
COBIT
COBIT se compone de cinco Los principios de COBIT, como
dominios que abarcan COBIT consta de Objetivos de el enfoque holístico y el
actividades clave para la Control, Prácticas de Control, sistema integrado, lo hacen
gobernanza de TI y objetivos KPIs y KGIs, que son esenciales adaptable y completo en su
organizacionales. para la gestión efectiva de cobertura de TI.
tecnologías de la información.
Dominios de COBIT
EDM APO
Evaluación, dirección y monitorización Alineación, planificación y organización
para alinear la gobernanza de TI con de recursos de TI para contribuir
objetivos organizacionales. efectivamente a los objetivos
organizacionales.

BAI
Construcción, adquisición e implementación de servicios de TI para garantizar eficacia y
eficiencia.
Componentes de COBIT
1 Objetivos de Control 2 Prácticas de Control
Definen objetivos específicos para Ofrecen orientación detallada sobre
asegurar el gobierno y la gestión cómo lograr los objetivos de control.
efectiva de TI.

3 Indicadores Clave de Rendimiento

Métricas cuantificables para medir el éxito en la implementación de COBIT.
Principios de COBIT
1 2 3

Enfoque Holístico Sistema Integrado Cubrir el Espectro

Aborda todos los aspectos de Se adapta a las necesidades
Completo de TI
la gobernanza y gestión de TI. específicas de cada Diseñado para abordar todas
organización, permitiendo las áreas clave de TI, desde la
personalización y flexibilidad. gobernanza hasta la gestión
de servicios y riesgos.
Gestión Efectiva de TI

Importancia de COBIT
COBIT ofrece una guía integral para la gobernanza, gestión y control de las tecnologías de la
información, asegurando la eficacia y alineación con los objetivos organizacionales.
Distribución de los
Dominios y Procesos
de COBIT
La Auditoría de Sistemas es fundamental en la Ingeniería de Sistemas, y
COBIT (Objetivos de Control para la Información y Tecnologías
Relacionadas) es esencial en este contexto. En esta presentación,
exploraremos detalladamente la distribución de los dominios y procesos
de COBIT, destacando su importancia en la gobernanza y gestión efectiva
de las tecnologías de la información.
Dominio Evaluar, Directar y
Monitorear (EDM)
1 Descripción del Dominio
Se centra en evaluar la dirección y supervisar las actividades de gobernanza
de TI.

2 Procesos en el Dominio
a. Gobierno de Evaluación (Evaluate, Assess and Manage Risks) - Descripción
y relevancia.

b. Gobierno de la Estrategia (Define a Strategic IT Plan) - Descripción y

conexión con los objetivos empresariales.

c. Gobierno de la Arquitectura (Define the IT Architecture) - Descripción y

importancia para mantener la coherencia con la estrategia organizacional.

3 Importancia del Dominio EDM

Base de Gobernanza, Alineación Estratégica y Optimización de Beneficios.
Dominio Alinear, Planificar y
Organizar (APO)
Descripción del Dominio Procesos en el Dominio
Enfocado en alinear la tecnología de la a. Gobierno de la Información (Manage
información con los objetivos Strategy) - Descripción y función en la
organizacionales, planificar gestión estratégica de TI.
eficientemente y organizar recursos
b. Gobierno de la Arquitectura
para resultados efectivos.
Empresarial (Define the Enterprise
Architecture) - Descripción y
mantenimiento de la coherencia en la
infraestructura de TI.

c. Gobierno de la Innovación
(Innovation Management) - Descripción
y gestión controlada de la innovación.

Importancia del Dominio APO

Alineación Estratégica, Eficiencia Operativa e Innovación Controlada.
Distribución de los Dominios y
Procesos de COBIT
Distribución de los Dominios y Procesos
Desglose de los cuatro dominios principales (Planificación y Organización,
1
Adquisición y Despliegue, Implementación y Operación, Seguimiento y
Evaluación) y sus categorías.
Dominio Construir, Adquirir e
Implementar (BAI)
1 Descripción
Focalizado en la construcción, adquisición e implementación de soluciones de TI.
Dominio EDM: Procesos
1 Procesos en el Dominio
d. Gobierno de la Innovación (Ensure Benefits Delivery) - Descripción y
enfoque en la optimización de beneficios.

e. Gobierno de la Gobernanza Corporativa (Governance Framework Setting

and Maintenance) - Descripción y papel en el establecimiento y
mantenimiento del marco de gobernanza.
Dominio APO: Procesos
Procesos en el Dominio

d. Gobierno de la Gestión de Portafolios (Manage

Portfolio) - Descripción y relevancia en la gestión
eficiente del portafolio de proyectos.

e. Gobierno de la Gestión de Requisitos (Manage

Requirements) - Descripción y contribución a la
entrega de servicios efectiva.
Conclusión sobre COBIT
Impacto Global Mejora Continua
COBIT es un marco globalmente La implementación de COBIT permite
reconocido que proporciona directrices una mejora continua en la entrega de
y principios para la gobernanza y servicios de TI y la alineación con los
gestión efectiva de TI. objetivos empresariales.

Adaptabilidad
COBIT se adapta a las necesidades cambiantes del entorno empresarial y tecnológico,
proporcionando flexibilidad y sostenibilidad a largo plazo.
Norma ISO para
Auditoría de Sistemas
En esta presentación, exploraremos la Norma ISO para Auditoría de
Sistemas, destacando sus componentes y principios fundamentales, y
analizando cómo contribuye al aseguramiento de la integridad,
confidencialidad y disponibilidad de la información en entornos
tecnológicos.
Introducción a la Norma ISO/IEC
27001

ISO/IEC 27001 Origen y Evolución Estructura y Principios

Esta norma reconocida a nivel La ISO/IEC 27001 se originó a La norma consta de secciones
internacional establece partir de la BS 7799, iniciales, introducción, ámbito,
requisitos para la creación, evolucionando para abordar la referencias normativas y
implementación, gestión de la seguridad de la términos y definiciones, además
mantenimiento y mejora información. Desde su de principios fundamentales
continua de un Sistema de publicación en 2005, ha como enfoque basado en
Gestión de Seguridad de la experimentado actualizaciones riesgos, orientación al negocio y
Información (SGSI). para adaptarse a los cambios participación de la alta
tecnológicos y amenazas dirección, entre otros.
emergentes.
Procesos Clave de la ISO/IEC 27001
Contexto de la Organización Requisitos y Seguridad

Esta fase incluye la identificación de las partes La ISO/IEC 27001 establece requisitos para la
interesadas y los requisitos de las mismas, con el seguridad de la información, asegurando que la
objetivo de comprender el entorno en el que organización responda a las necesidades de
opera la organización. confidencialidad, integridad y disponibilidad de la
información.
Estructura de la Norma ISO 19011:2018

1 Alcance de la 2 Enfoque de 3 Competencia del

Norma Auditoría Auditor
Aborda la auditoría de Se centra en la Se focaliza en los
sistemas de gestión, evaluación del requisitos para la
incluyendo los principios cumplimiento y competencia y la
de auditoría, la gestión efectividad del sistema evaluación del
de un programa de de gestión, así como en desempeño de los
auditoría y la realización la identificación de auditores.
de auditorías. oportunidades de
mejora.
Beneficios de la Norma ISO/IEC
27001
Seguridad de la Información Mejora Continua
Proporciona un marco sólido para la Promueve la mejora continua del
protección de la información y la Sistema de Gestión de Seguridad de la
gestión de los riesgos de seguridad. Información (SGSI) en la organización.

Conformidad Legal
Ayuda a cumplir con los requisitos legales y reglamentarios relacionados con la
protección de la información.
Auditoría de Sistemas y
Telecomunicaciones
1 Importancia de la Auditoría
En el ámbito de las
telecomunicaciones, la auditoría de
Desafíos y Soluciones 2 sistemas desempeña un papel crucial
La complejidad de las redes de para garantizar la protección de la
telecomunicaciones demanda información transmitida a través de
auditorías especializadas que aborden redes y canales de comunicación.
los desafíos específicos de seguridad y
confiabilidad.
3 Normativas y Estándares
La Norma ISO/IEC 27001 proporciona
un marco confiable para la evaluación y
mejora de la seguridad en las
infraestructuras de
telecomunicaciones.
Adopción de la Norma en Entornos de
Fibra Óptica
Seguridad de las Redes Protección de Datos Sensibles

La norma ISO/IEC 27001 es aplicable a los Con un enfoque en la confidencialidad y la

entornos de fibra óptica, proporcionando integridad de la información, la norma
directrices específicas para garantizar la contribuye a salvaguardar datos sensibles en las
seguridad de las redes de fibra y la información redes de fibra óptica.
transmitida a través de ellas.
ISO 19011:2018 y la Auditoría en
Sistemas de Fibra Óptica
Principios de Auditoría
La norma ISO 19011:2018 establece los fundamentos para llevar a cabo
1
auditorías eficaces en sistemas de fibra óptica, abordando los principios de
integridad, confidencialidad y disponibilidad de la información.

Técnicas de Auditoría
Proporciona directrices claras sobre las técnicas de auditoría aplicables a los
2
sistemas de fibra óptica, incluyendo la evaluación del desempeño de la red y
la identificación de posibles vulnerabilidades.

Competencia del Personal

3 Enfocada en la competencia y la evaluación del desempeño del personal
encargado de la operación y mantenimiento de las redes de fibra óptica.
 CÓDIGO: DACI-FO-06
DIRECCIÓN DE ASEGURAMIENTO DE LA CALIDAD
VERSIÓN: 01
INSTITUCIONAL Y GESTIÓN ACADÉMICA
FECHA: 07/10/2020
FORMATO: ELABORACIÓN DE SYLLABUS
PÁGINA: 1 de 6

1. DATOS GENERALES DE LA UNIDAD CURRICULAR

Fecha de actualización: Febrero 2022 Versión:

Técnico Profesional ☐ Tecnológico ☐ CRÉDITOS
NIVEL DE FORMACIÓN
Profesional ☑ Especialización ☐ 2
METODOLOGÍA Presencial ☑ Distancia ☐ Virtual ☑
Horas de trabajo presencial o
Tutorial con Docente: 32 32
Horas de Trabajo Autónomo y
Colaborativo: 64 64
PROGRAMA
ACADÉMICO/ÁREA INGENIERÍA DE SISTEMAS/DESARROLLO DE SOFTWARE
QUE OFERTA

UNIDAD
CÓDIGO
CURRICULAR AUDITORIA DE SISTEMAS
SÍAC:
(ASIGNATURA)
TIPOLOGÍA Teórico ☐ Teórico-Práctico ☑ Práctico ☐

2. DESCRIPCIÓN DE LA UNIDAD CURRICULAR

En el proceso de formación profesional del Ingeniero de Sistemas, el estudiante debe desarrollar competencias
que le permitan identificar hallazgos que se pueden presentar durante la planeación, desarrollo y puesta en
marcha de software.

La asignatura, por lo tanto, está enmarcada dentro del campo de formación profesional y tiene como objetivo
formar a los estudiantes en los conceptos, las metodologías aplicadas a la informática y de sistemas usando
estándares de auditoría, así la organización de papeles de trabajo de auditoría que sean necesarios para
garantizar desarrollo e implementación de software de calidad.

3. PRÓPOSITO DE FORMACIÓN DE LA UNIDAD CURRICULAR

Los sistemas de información actuales tienen una cobertura amplia en el ámbito del Hardware y de Software cubriendo
temas como Comunicaciones, Bases de Datos, Programas Aplicativos, Sistemas Operativos entre otros, los cuales se
están ejecutando en computadores, redes de comunicación, permitiendo a la empresa soportar los diferentes
requerimientos de información que utiliza. Este entorno informático que es administrado por el recurso humano, debe
estar controlado para tener asegurado el sistema, es aquí donde la Auditoria de Sistemas cumple una misión importante
en las TI (Tecnologías de Información) el de detectar las amenazas que generan riesgos a los datos de la compañía,
generar un informe con los eventos detectados para realizar una acción correctiva y preventiva, con la finalidad única
de mantener asegurada la información de la empresa.

1
 CÓDIGO: DACI-FO-06
DIRECCIÓN DE ASEGURAMIENTO DE LA CALIDAD
VERSIÓN: 01
INSTITUCIONAL Y GESTIÓN ACADÉMICA
FECHA: 07/10/2020
FORMATO: ELABORACIÓN DE SYLLABUS
PÁGINA: 2 de 6

4. COMPETENCIA DE LA UNIDAD CURRICULAR

Recomendar procesos de auditoria en planeación y ejecución de proyectos de software.

5. ELEMENTOS DE COMPETENCIA

N° RELACIÓN DE ELEMENTOS DE LA UNIDAD CURRICULAR

Organizar el proceso de auditoría para definir un sistema de control interno informático que permita mitigar los
1
riesgos identificados.
2
3

PRERREQUISITOS Y CORREQUISITOS (UNIDAD CURRICULAR)

N° PRERREQUISITOS CORREQUISITOS
1
2
3

UNIDADES DE CONOCIMIENTO
N° TEMÁTICA SUBTEMÁTICA
Conceptos de auditoria y
1
auditoria informática
Control Interno
2
Informático
Campo de la Auditoria
3
Informática
Metodología de una Auditoria
4
Informática
Técnicas e instrumentos para
realizar una auditoria
5
informática y de sistemas

COBIT (Objetivos de Control

6 para la Información y
Tecnologías Relacionadas)
Distribución de los dominios y
7
procesos de COBIT
Norma ISO para auditoría de
8
sistemas

6. ESTRATEGIAS

2
 CÓDIGO: DACI-FO-06
DIRECCIÓN DE ASEGURAMIENTO DE LA CALIDAD
VERSIÓN: 01
INSTITUCIONAL Y GESTIÓN ACADÉMICA
FECHA: 07/10/2020
FORMATO: ELABORACIÓN DE SYLLABUS
PÁGINA: 3 de 6

METODOLOGÍA PEDAGOGÍA Y DIDÁCTICA

Núcleos Problémicos Integradores: Estos están definidos al interior de la estructura curricular del
programa, a través de una asignatura semestral denominada asignatura integradora, la cual interrelaciona
los conocimientos de las demás asignaturas del semestre por medio de una pregunta o situación
problematizadora de carácter disciplinar, estableciéndose como una vía para el logro del desarrollo de
competencias investigativas de los estudiantes, asegurando la articulación con su saber disciplinar
específico.

Plan de aula: Es una propuesta de trabajo concertada en el acuerdo pedagógico a partir de una propuesta
de Proceso Dialéctico sobre conceptos y experiencias (componente del grupo o externo al grupo); Laboratorio
o simulación controlada; proyectos de aprendizaje u otra herramienta ABP establecida, en desarrollo de este
ejercicio el estudiante debe aplicar lo aprendido y evidenciar las experiencias vividas en el proceso
enseñanza-aprendizaje con la posibilidad de ampliarlo a los campos de la investigación y la proyección social.

El proceso investigativo: En el acuerdo pedagógico se desarrolla la formulación del desarrollo investigativo

partiendo desde la introducción de una técnica documental y/o de campo, la cual será el motor del proceso
de recolección y análisis de la información cualitativa y/o cuantitativa, sobre la cual al término del curso se
esperan obtener unos resultados, los cuales serán debatidos y condensados en un producto académico.

Segundo idioma: apoyar el desarrollo de la asignatura con herramientas (talleres lecturas, videos y material
de clase) en un segundo idioma.

Metodología BANG: Esta es una construcción propia de CUN donde se fomenta la gestión creativa de
respuestas a problemáticas, planes y toma de decisiones en la vida y las organizaciones, la cual opera desde
tres niveles de complejidad (Gold, Platinum y Black Titanium).

Pruebas estándar: Para dar cumplimiento a los artículos 47 y 48 del reglamento estudiantil (modificado
mediante acuerdo 21 de 2018), al finalizar cada corte se aplicará una prueba bajo el estándar ICFES -SABER
PRO, cuyas preguntas están orientadas a la medición del logro de las competencias de esta unidad curricular
y su escala cualitativa y cuantitativa estarán determinadas por la tabla establecida en el artículo 52 del
reglamento estudiantil.

Estas propuestas pueden implementarse por separado o integradas en el plan de curso y constituyen un
cambio de paradigma para quienes están acostumbrados a memorizar, adicionalmente, refuerzan la
aplicación del modelo pedagógico Cunista en el aula (física o virtual) de acuerdo con establecido en el PEC
y desarrollado en el PEP de PAE.

METODOLOGÍAS COMPLEMENTARIAS
Clase Magistral ☑; Seminario ☐; Seminario - Taller ☐; Taller ☑; Salida de campo ☐
Prácticas ☑; Proyectos tutorados ☑; Otro(s) ☑: ______________________________

MEDIOS Y AYUDAS EDUCATIVAS

Aula estándar ☑; Auditorio ☐; Laboratorios ☑; Centro de prácticas ☐; Sala de Sistemas ☑
Uso de software especializado ☑ - ¿Cuál software?

3
 CÓDIGO: DACI-FO-06
DIRECCIÓN DE ASEGURAMIENTO DE LA CALIDAD
VERSIÓN: 01
INSTITUCIONAL Y GESTIÓN ACADÉMICA
FECHA: 07/10/2020
FORMATO: ELABORACIÓN DE SYLLABUS
PÁGINA: 4 de 6

Otros ☐ - Ms. Excel (DASHBOARD); Suite Google-online ; Simulador Empresarial BUSINESS GLOBAL /
GLOBAL2020 / TECHCOMPANY / BOLSAMILLONARIA /

7. RECURSOS BIBLIOGRÁFICOS
REFERENCIAS BIBLIOGRÁFICAS
Referencias.
Muñoz, Carlos (2002). Auditoría en sistemas computacionales. Recuperado de [Link]
[Link]/?il=5032&pg=3
Blanco Encinosa, L. J. (2008). Auditoría y sistemas informáticos. Editorial Félix Varela.
[Link]
Piattini Velthuis, M. (2015). Auditoría de tecnologías y sistemas de información. RA-MA Editorial.
[Link]
Bell, T. (2007). Auditoría basada en riesgos: perspectiva estratégica de sistemas. Ecoe Ediciones.
[Link]
Security information in production and operations: a study on audit trails in database [Link]
Roratto, Evandro Dotto [Link]: Journal of Information Systems and Technology Management 2014,
11(3).[Link]
Lee W., Stolfo S.J., Mok K.W. (2002) Algorithms for Mining System Audit Data. In: Lin T.Y.,
Yao Y.Y., Zadeh L.A. (eds) Data Mining, Rough Sets and Granular Computing. Studies in
Fuzziness and Soft Computing, vol 95. Physica, Heidelberg. [Link]
7908-1791-1_8 Recuperado de [Link]
1_8#citeas
Tamayo, A. (2001). Auditoría para aplicaciones en funcionamiento y en proceso de desarrollo. Auditoría de
sistemas una visión práctica. (pp. 31-67). Recuperado de

[Link]
de+informacion&hl=es&pg=PP1#v=onepage&q&f=false
Manual del estándar CobIT que será usado para medir el nivel de [Link]. (2016). Cobit 4.1 en
español. (pp. 22-109). Recuperado de [Link]
Cobit, Es el marco de referencia por referencia para la gobernanza y gestión de las tecnologías de información
en la organizació[Link] comencemos a conocer un poco más de COBIT. Recuperado de
[Link]

8. RESULTADO DE APRENDIZAJE ESPERADO DE UNIDAD CURRICULAR

Proponer modelos para la toma de decisiones en las organizaciones en ambientes de incertidumbre, usando
como fuente de información los datos resultantes de la gestión de los entornos comercial, de operación y

4
 CÓDIGO: DACI-FO-06
DIRECCIÓN DE ASEGURAMIENTO DE LA CALIDAD
VERSIÓN: 01
INSTITUCIONAL Y GESTIÓN ACADÉMICA
FECHA: 07/10/2020
FORMATO: ELABORACIÓN DE SYLLABUS
PÁGINA: 5 de 6

soporte de la organización relacionándolos con las variables endógenas y exógenas que la afectan, y de esta
forma proponer soluciones disruptivas.

9. MECANISMOS DE EVALUACIÓN DE LA DE UNIDAD CURRICULAR

1. Evaluación con rúbricas sobre talleres individuales y/o colaborativos donde el estudiante identifica
alternativas de actuación frente a las decisiones relativas a la gestión de la organización en un contexto
global.
2. Uso de simulaciones mediadas por TIC'S para entrenar al Estudiante en la toma de decisiones y la
elaboración de la comprensión de la información a través de rubricas.
3. Desarrollo de pruebas "TIPO SABER" al final de cada corte.

10. SISTEMA DE EVALUACIÓN

La evaluación del logro de las competencias del estudiante se desarrollará bajo el criterio definido en el
artículo 52 del reglamento estudiantil de la CUN.
CORTE 1 = 30% CORTE 2 = 30% CORTE 3 = 40%
EV 01 EV 02 EXAM EV 03 EV 04 EXAM EV 05 EXAM
9.0% 9.0% 12% 9.0% 9.0% 12% 20% 20%
Talleres, Talleres, Prueba Talleres, Talleres, Prueba Talleres, Prueba
Quices, Quices, escrita Quices, Quices, escrita Quices, escrita
Proyecto. Proyecto. Parcial. Proyecto. Proyecto. Parcial. Proyecto. Examen.
Nota: Los porcentajes de cada uno de los parciales y examen final deben cumplir los artículos 47 y 48 del Reglamento Estudiantil.

11. PERFIL DOCENTE

El perfil profesional es Ingeniero de Sistemas con estudios de Auditoria de Sistemas o prácticas en

organizaciones empresariales.

12. HISTÓRICO DE CAMBIOS

CONTROL DE ACTUALIZACIÓN DEL CONTENIDO
Fecha de actualización Descripción del Cambio Aprobado por

5
 CÓDIGO: DACI-FO-06
DIRECCIÓN DE ASEGURAMIENTO DE LA CALIDAD
VERSIÓN: 01
INSTITUCIONAL Y GESTIÓN ACADÉMICA
FECHA: 07/10/2020
FORMATO: ELABORACIÓN DE SYLLABUS
PÁGINA: 6 de 6

CONTROL DE APROBACIÓN
Realizado por Validado por Aprobado por Fecha de Aprobación

CONTROL DE CAMBIOS
VERSIÓN DEL
VERSIÓN ACTUAL
FECHA DOCUMENTO QUE SE DESCRIPCIÓN DE LA MODIFICACIÓN
DEL DOCUMENTO
MODIFICA
02/06/2016 - 00 Versión inicial del documento.
Se realiza modificación del formato en su
10/12/2018 00 01 totalidad, cambiando las requisiciones
expuestas.
Se realiza modificación del formato en su
01/07/2020 01 02 totalidad, cambiando las requisiciones
expuestas.
Actualización general del formato por la
07/10/2020 02 03 versión vigente, cambio en algunas
denominaciones y lineamientos brindados.

APROBÓ: Dirección de
ELABORÓ: Dirección de Aseguramiento de la Calidad
REVISÓ: Dirección de Planeación y
Aseguramiento de la Calidad Institucional y Gestión Académica,
Aseguramiento.
Institucional y Gestión Académica. Dirección de Planeación y
Aseguramiento.
FECHA: 05/10/2020 FECHA: 06/10/2020 FECHA: 07/10/2020

6
Metodología de una
Auditoría Informática:
Garantizando
Eficiencia, Seguridad
y Confiabilidad en
Sistemas de
Información
La Auditoría Informática desempeña un papel esencial en la Ingeniería de
Sistemas, asegurando la eficiencia, seguridad y confiabilidad de los
sistemas de información. Exploraremos los componentes clave para una
evaluación integral en esta presentación.
Definición de Metodología de una
Auditoría Informática
Enfoque Sistemático Seguridad Informática
La metodología se centra en un enfoque Se dedica a proporcionar una evaluación
estructurado para planificar, ejecutar y evaluar imparcial y detallada del entorno informático,
los controles de seguridad en una identificando riesgos y sugiriendo mejoras.
organización.
Planificación de la Auditoría
1 Enfoque Estratégico
Alineación con objetivos organizacionales.

2 Optimización de Recursos
Identificación previa de recursos necesarios.

3 Definición de Alcance
Evitar malentendidos y focalizar en áreas críticas.
Recopilación de Información

Visión Completa Identificación de Riesgos

La comprensión del contexto aporta una visión Descubrimiento de posibles lagunas y riesgos.
completa del entorno informático.
Evaluación de Riesgos
1 Priorización de Riesgos 2 Guía para Controles
Focalización en áreas de mayor Implementación de medidas
impacto. preventivas.
Desarrollo de Programas de Auditoría
Enfoque Estructurado Consistencia Documentación
Detallada
Garantiza cobertura de las Aplicación uniforme de
áreas identificadas. procedimientos para una Crucial para una comunicación
evaluación imparcial. efectiva y seguimiento.
Ejecución de Pruebas y
Procedimientos
Verificación de Controles
1 Confirmación de la efectividad de los controles de seguridad.

Identificación de Desviaciones
2 Indicación de áreas de mejora mediante pruebas y análisis.

Obtención de Evidencia
3 Generación de fundamentos concretos para hallazgos.
Documentación y Análisis de
Hallazgos
Documentación Detallada Descripción, evidencia y recomendaciones

Análisis Global Comprensión integral de los resultados para

sugerir mejoras.
Explorando el Campo
de la Auditoría
Informática en la
Ingeniería de Sistemas
En el dinámico mundo de la Ingeniería de Sistemas, la Auditoría de
Sistemas juega un papel crucial. Este campo especializado aborda la
evaluación integral de sistemas de información, seguridad informática,
gestión de riesgos y cumplimiento normativo.
Definición del Campo de la Auditoría
Informática

Central en la Seguridad Alcance Integral

La Auditoría Informática se enfoca en evaluar y Se busca asegurar la alineación de los sistemas
garantizar la efectividad, eficiencia y seguridad de informáticos con objetivos y normativas. Esto
los sistemas de información organizacionales, abarca desde la evaluación de controles de
incluyendo la evaluación de controles de seguridad hasta la revisión de políticas,
seguridad y la revisión de políticas. garantizando su eficacia y cumplimiento.
Áreas Clave del Campo de la Auditoría
Informática

1 Seguridad de la Información
Evaluación de medidas de seguridad para confidencialidad, integridad y disponibilidad.
Análisis de controles de acceso, cifrado de datos y gestión de identidades.

2 Gestión de Riesgos
Identificación, evaluación y gestión de riesgos tecnológicos. Análisis de planes de
contingencia y medidas preventivas.

3 Cumplimiento Normativo
Verificación del cumplimiento de normativas y regulaciones. Aseguramiento de
estándares específicos de la industria.
Impacto del Campo en Ingeniería de
Sistemas
1 Protección de 2 Toma de 3 Mejora Continua
Activos de Decisiones de Controles
Información Informada Internos
Resguarda la información Facilita decisiones Identifica y fortalece
crítica en la Ingeniería de respaldadas por controles internos para
Sistemas para garantizar evaluaciones de seguridad y eficiencia,
su integridad, seguridad e integridad, impulsando un ambiente
confidencialidad y fundamentales para la de optimización
disponibilidad. Ingeniería de Sistemas. continua.
Importancia de la Auditoría
Informática en Tecnologías
Optimización de Cumplimiento Gestión Efectiva de
Recursos Normativo y Legal Riesgos Tecnológicos
Tecnológicos
Asegura el cumplimiento de Identifica y mitiga
Evaluación y optimización de normativas y regulaciones proactivamente riesgos
servidores, redes y software aplicables, esencial en la era relacionados con la
para garantizar su eficiencia y digital actual. tecnología, promoviendo la
seguridad. estabilidad y continuidad
operativa.
Roles Vitales en Auditoría Informática
Evaluación de Seguridad de Red Gestión de Cambios
Software Prevención de accesos no Evaluación de procesos para
Analiza la seguridad y autorizados y análisis de implementación y gestión
rendimiento del software, infraestructuras para de cambios, incluyendo la
verificando licencias y garantizar su seguridad. revisión de controles de
conformidad con políticas. versiones y evaluación de
impacto.
Garantizando la Seguridad
Informática
1 2 3

Seguridad Física Seguridad Lógica Sistemas de

Implementar controles de Asegurar la integridad y
Respaldos
acceso físico a los sistemas autenticidad de los datos a Establecer sistemas robustos
informáticos y centros de través de medidas de de respaldo y recuperación
datos. seguridad lógica. de datos para situaciones de
emergencia.
Creando Conciencia sobre Seguridad
Informática

Conciencia del Usuario Entrenamiento Especializado

Verificación de políticas y procedimientos de El adiestramiento adecuado en seguridad
seguridad para asegurar el compromiso y informática es esencial para prevenir amenazas y
cumplimiento de los empleados. brechas de seguridad.
Técnicas e
Instrumentos para
Realizar una Auditoría
Informática y de
Sistemas
La Auditoría Informática y de Sistemas es fundamental en la evaluación de
la infraestructura tecnológica y los procesos operativos de una
organización. Con técnicas como pruebas de penetración, análisis de
tráfico de red y revisión de código fuente, se fortalecen las medidas de
seguridad.
Pruebas de Penetración (Penetration
Testing)

Evaluar la Seguridad Fortalecimiento de la Evaluación de

Simulan ataques cibernéticos
Seguridad Respuestas
para identificar Ayudan a incrementar la Contribuyen a mejorar la
vulnerabilidades, evaluar seguridad de los sistemas al capacidad de la organización
respuestas y fortalecer las validar la efectividad de los para responder efectivamente a
medidas de respuesta a controles existentes ante incidentes de seguridad
incidentes. posibles amenazas. cibernética.
Análisis de Configuración y
Políticas (Configuration and
Policy Analysis)
Cumplimiento Normativo Alta Efectividad
Revise configuraciones y políticas de Contribuye a alinear políticas con los
seguridad para asegurar el objetivos estratégicos de la
cumplimiento normativo y prevenir organización y mejorar la eficacia de las
errores de configuración. medidas de seguridad.

Prevención de Errores
Asegura que las políticas y configuraciones estén alineadas con los estándares de
seguridad y previene debilidades potenciales.
Análisis de Tráfico de Red
(Network Traffic Analysis)
1 Detección de Anomalías
Monitorear el tráfico de red ayuda a detectar anomalías y posibles amenazas
cibernéticas en tiempo real.

2 Respuestas Efectivas
Facilita la capacidad de la organización para responder rápidamente a
posibles amenazas y toma de decisiones fundamentadas.

3 Comportamiento Normal
Ayuda a comprender el comportamiento normal de la red y diferenciar
entre patrones regulares y actividades sospechosas.
Revisión de Código Fuente (Code
Review)

1 Identificación de 2 Cumplimiento de Estándares

Vulnerabilidades Asegura el cumplimiento de estándares de
Identifica y corrige vulnerabilidades antes codificación, contribuyendo a la mejora de
de la implementación, mejorando la la calidad y fiabilidad del software.
seguridad y la calidad del software.
Pruebas de Intrusión (Intrusion
Testing)
Evaluación Realista

Simulan ataques realistas para identificar puntos

débiles y evaluar la preparación de los equipos de
respuesta a incidentes.

Las pruebas de intrusión proporcionan una

evaluación decisiva de la seguridad
organizacional, fortaleciendo la resiliencia ante
posibles amenazas.
Análisis de Vulnerabilidades
(Vulnerability Analysis)

1 2 3

Identificación Rápida Priorización de Mantenimiento de

Herramientas automatizadas
Correcciones Seguridad
escanean sistemas para una Permiten priorizar Contribuyen a mantener una
rápida identificación de correcciones, manteniendo postura de seguridad
vulnerabilidades potenciales. así una postura de seguridad continua y a proteger la
continua y efectiva. infraestructura tecnológica
de la organización.
Conclusión
Las técnicas e instrumentos para realizar una auditoría informática y de sistemas juegan un papel crucial
en la evaluación de la seguridad y eficiencia de los sistemas de información. La aplicación de estas
herramientas proporciona una visión crítica que contribuye a fortalecer las defensas de la organización
ante posibles amenazas cibernéticas.