Scribd
Cargar
9 vistas5 páginas

Investigacion

La Auditoría de Tecnología de la Información (TI) es crucial para evaluar la eficacia de los controles en un entorno digital cada vez más vulnerable. Este documento describe un marco normativo y las siete fases de la auditoría de TI, desde la planificación hasta el seguimiento, destacando la importancia de la gestión de riesgos y la mejora continua. La adecuada implementación de estas fases permite a las organizaciones tomar decisiones informadas y fortalecer su gobernanza y cumplimiento normativo.

Cargado por

electrolight90
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
9 vistas5 páginas

Investigacion

La Auditoría de Tecnología de la Información (TI) es crucial para evaluar la eficacia de los controles en un entorno digital cada vez más vulnerable. Este documento describe un marco normativo y las siete fases de la auditoría de TI, desde la planificación hasta el seguimiento, destacando la importancia de la gestión de riesgos y la mejora continua. La adecuada implementación de estas fases permite a las organizaciones tomar decisiones informadas y fortalecer su gobernanza y cumplimiento normativo.

Cargado por

electrolight90
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Nombre

Dionis Jesus
Apellido
Sepúlveda Almánzar
Matricula
23-MISN-1-021
Sección
1021
Asignatura
Auditoria informática
1. Contexto y Marco General de la Auditoría de TI
La revolución digital ha convertido a la información en el activo estratégico más valioso de la empresa
moderna. Sin embargo, ese mismo valor la hace vulnerable: ciberdelincuentes, errores humanos, fallos de
infraestructura y presiones regulatorias pueden comprometer la continuidad del negocio. Para afrontar
este escenario, la Auditoría de Tecnología de la Información (TI) se erige como mecanismo independiente
de vigilancia, capaz de evaluar si los controles técnicos, administrativos y legales se diseñan y operan de
manera eficaz. Una auditoría de TI bien ejecutada actúa como bisagra entre la gobernanza corporativa y la
operación, traduce lenguaje técnico a indicadores de riesgo entendibles por la alta dirección y promueve
una cultura de responsabilidad en todo el ciclo de vida de la información.

El marco normativo que sustenta esta práctica es extenso. COBIT 2019 define procesos de gobierno y
gestión que alinean TI con los objetivos corporativos; ISO/IEC 27001 aporta requisitos para establecer un
sistema de gestión de la seguridad de la información (SGSI); NIST SP 800-53 detalla salvaguardas y
controles de seguridad federal; mientras que el IT Assurance Framework (ITAF) de ISACA establece
estándares profesionales para planificar, ejecutar y reportar auditorías tecnológicas. Estos marcos
comparten principios esenciales: enfoque basado en riesgo, materialidad de los hallazgos, documentación
exhaustiva y mejora continua.

La auditoría de TI suele desplegarse en siete fases encadenadas —Planificación y Alcance, Evaluación de


Riesgos y Controles, Diseño del Programa, Trabajo de Campo, Evaluación de Hallazgos, Informe y
Seguimiento—. Este documento describe cada fase con profundidad práctica para que sirva de referencia
inmediata a auditores, gerentes de riesgo y miembros del comité de auditoría.

Cobertura, independencia y valor son los tres pilares que justifican dedicar recursos a la auditoría de TI.
2. Etapa de Planificación y Alcance
Objetivo: definir la brújula del proyecto y asegurar que los recursos se asignen de forma proporcional al
riesgo.

Actividades clave:
• Reunión de arranque con patrocinadores y propietarios de procesos.
• Obtención de macrodiagramas de arquitectura, inventario de activos y contratos.
• Análisis de materialidad financiera y regulatoria de cada sistema.
• Establecimiento de criterios de auditoría y cronograma maestro.

Herramientas: Plantillas RASCI, CMDB, cuestionarios BUQ, software GRC.

Entregables: carta de compromiso, matriz de alcance, objetivos SMART y plan de comunicación.

Mejores prácticas: incluir riesgos emergentes (IA, multicloud) y validar dependencias con proveedores
externos.

3. Etapa de Evaluación de Riesgos y Controles


Objetivo: priorizar esfuerzos identificando dónde un fallo tendría mayor impacto económico, reputacional
o legal.

Metodología: ISO 31000 o FAIR para clasificar riesgos inherentes y residuales; proyección de exposición
financiera anual.

Técnicas: talleres de riesgo, mapeo CIA, escaneo de vulnerabilidades, threat intelligence y evaluación de
madurez de controles.

Entregables: registro de riesgos, diagrama de calor y recomendación de cobertura adicional.

KPIs: tiempo medio para completar análisis < 15 días y cobertura de controles críticos ≥ 95 %.

4. Etapa de Diseño del Programa de Auditoría


Objetivo: traducir riesgos en pruebas concretas que generen evidencia competente y suficiente.

Procedimientos: diseño de pruebas para GITC y controles aplicativos, definición de muestras, criterios de
aceptación y evidencia requerida.

Herramientas: ACL/Galvanize, IDEA, SQL, PowerShell, scripts Python y repositorios Git.

Documentación: cada prueba se codifica en un workpaper vinculado a riesgo, control y evidencia.

Mejores prácticas: automatizar pruebas repetitivas y definir tolerancias antes de iniciar.


5. Etapa de Trabajo de Campo (Ejecución)
Objetivo: obtener evidencia directa y verificable de que los controles existen y funcionan durante todo el
periodo auditado.

Tipos de pruebas:
1. Inspección de configuración (contraseñas, TLS, firewall).
2. Re‑ejecución de procesos (pagos, backup‑restore).
3. Observación directa de operaciones críticas.
4. Confirmación externa con proveedores (RTO/RPO).
5. Análisis sustantivo de datos masivos.

Control de evidencia: firma digital (SHA‑256), cadena de custodia y confidencialidad.

Mejores prácticas: comunicación semanal de hallazgos preliminares y uso de PBC tracker para solicitudes
de información.

6. Etapa de Evaluación de Hallazgos e Informe


Evaluación: ponderación por riesgo residual, impacto y probabilidad; clasificación en Crítico, Alto, Medio o
Bajo.

Informe: resumen ejecutivo, alcance, metodología, resultados, recomendaciones y plan de acción.


Lenguaje claro, evitando tecnicismos innecesarios.

Aprobación: borrador validado por responsables, versión final presentada al Comité de Auditoría.

Mejores prácticas: cuantificar beneficios de remediación y proponer quick wins.

KPIs: emisión del informe ≤ 10 días tras el trabajo de campo y aceptación de hallazgos ≥ 90 %.

7. Etapa de Seguimiento y Cierre


Objetivo: verificar la implementación efectiva de las acciones correctivas y cerrar el ciclo de auditoría.

Proceso: recepción de evidencia, pruebas selectivas de verificación, actualización de estado y


comunicación continua con los responsables.

Herramientas: ITSM (Jira, ServiceNow), dashboards Power BI, indicadores KRI.

Entregables: reporte de seguimiento con estado (abierto, mitigado, cerrado) y lecciones aprendidas.

Valor agregado: refuerza la disciplina de control y sirve de retroalimentación para futuras auditorías.

8. Conclusión General
La adecuada ejecución de las siete etapas descritas proporciona visibilidad holística sobre el estado de los
controles de TI y habilita decisiones de negocio basadas en riesgo. Integrada en el ciclo anual de gestión, la
auditoría de TI se convierte en un socio estratégico que mitiga pérdidas, fortalece la gobernanza, asegura
el cumplimiento normativo y protege la reputación corporativa frente a clientes, reguladores y
accionistas.

También podría gustarte