AUDITORIA DE SISTEMAS

Ing. Emilio Palomino Olivera

 Auditoria . Concepto Genérico
 Si desmenuzamos el contenido de la
Auditoría y su evolución, podemos observar
que el concepto permanece inamovible y son
su objeto y finalidad lo que puede variar.
 Conceptualmente toda Auditoría, es una
actividad que consiste en emitir una opinión
profesional sobre si el objeto sometido a
análisis presenta adecuadamente la realidad
que pretende reflejar y/o cumple las
condiciones que le han sido prescritas.
 Elementos fundamentales de la
Auditoría
Elementos Descripción
fundamentales
Contenido Una Opinión
Condición Profesional
Justificación Se sustenta en determinados
Procedimientos que proporciona seguridad
de lo que se afirma.
Objeto Una determinada información obtenida con
un cierto soporte (Evidencias )
Finalidad Determinar si presenta adecuadamente la
realidad o esta responde a las expectativas
que le son atribuidas, es decir, su fiabilidad
El Objeto y Finalidad distinguen de que tipo o clase de auditoría se trata. El objeto
sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se
realiza el estudio, definen el tipo de auditoría de que se trata. (el objeto es el Sistema de
Matriculas de la Universidad, la finalidad es si opera satisfactoriamente de acuerdo a las
políticas y normas de la institución)
 Clases de Auditoría
CLASE CONTENID OBJETO FINALIDAD
O
Financiera Opinión Cuentas anuales Presenta
realidad
Informática Opinión Sistemas de aplicación, Operatividad
recursos informáticos, eficiente y
planes de contingencias, según normas
etc. establecidas
Gestión Opinión Dirección Eficacia,
Eficiencia,
economicidad
Cumplimie Opinión Normas establecidas Las operaciones
nto se adecuan a
estas normas.
 Consultoría . Concepto
 La consultoría consiste en “dar
asesoramiento o consejo sobre lo que
se ha de hacer o como llevar
adecuadamente una determinada
actividad para obtener los fines
deseados”.
 Elementos fundamentales de la
Consultoría
Elementos Descripción
fundamentales
Contenido Dar asesoramiento o consejo
Condición De carácter especializado
Justificación En base a un examen o análisis. (experiencia)
Objeto La actividad o cuestión sometida a
consideración.
Finalidad Establecer la manera de llevarla a cabo
adecuadamente.
Clases de Consultoría
CLASE CONTENIDO OBJETO FINALIDAD
Financiera Asesoramiento Planes de cuentas. Diseño e
Procedimientos implantación
administrativos
Informática Asesoramiento Aplicaciones. Desarrollo. Diseño e
Planes de contingencias. implementación
 Consultoría & Auditoría
 La Consultoría es una función a
PRIORI con el fin de determinar como
llevar a cabo una función o actividad
de forma que obtenga los resultados
pretendidos. La Auditoría verifica a
POSTERIORI si estas condiciones, una
vez realizada esta función o
actividad, se cumplen y los resultados
pretendidos se obtienen realmente.
 Control Interno Informático
 Control interno informático. Controla diariamente que todas
las actividades de los sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y
normas fijadas por la dirección de la organización y/o la
dirección de Informática, así como los requerimientos legales.

 La misión de CII es asegurarse de que las medidas que se

obtienen de los mecanismos implantados por cada
responsable sean correctas y validas.

 CII suele ser un órgano STAFF de la Dirección del

Departamento de Informática y esta dotado de las personas y
medios materiales proporcionados a los cometidos que se le
encomienden.
 Objetivos Genéricos de CII
 Control del cumplimiento de
procedimientos y normas fijadas
(legales), evaluar su bondad.
 Asesorar sobre el cumplimiento de las
normas.
 Colaborar y apoyar en el trabajo de AI.
 Definir, implantar y ejecutar
mecanismos y controles para
comprobar el logro de los grados
adecuados del servicio informático.
 Realización en los diferentes sistemas y
entornos informáticos el control de las
diferentes actividades operativas…
 Control de cambios y versiones del sw.
 Controles sobre la producción diaria.
 Controles sobre la calidad y eficiencia de
desarrollo y mto. del sw y del servicio informático.
 Controles en las redes de comunicaciones.
 Controles sobre el Sw de base (sist. Op.)
 Seguridad: usuarios, responsables y perfiles de
uso de archivos y bases de datos.
 Licencias y relaciones contractuales con terceros.
 Asesorar y transmitir cultura sobre el riesgo
informático.
 Auditoría Informática
 Es el proceso de recoger, agrupar y
evaluar evidencias para determinar si
un sistema informatizado
salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo
eficazmente los fines de la
organización y utiliza eficazmente los
recursos.
 Objetivos tradicionales de la A.I.
 Objetivos de protección e integridad
de activos.
 Objetivos de gestión que abarcan, no
solamente los de protección de
activos si no también los de eficacia y
eficiencia.
 Funciones Generales del
A.I.
 El auditor evalúa y comprueba en determinados
momentos del tiempo los controles y
procedimientos informáticos mas complejos,
desarrollando y aplicando técnicas mecanizadas
de auditoría, incluyendo el uso de Sw. Por los que
hoy en día ya no es posible verificar
manualmente los procedimientos informatizados
que resumen y calculan datos.
 El auditor es responsable de revisar e informar a
la Dirección de la organización sobre el diseño y
el funcionamiento de los controles implantados y
sobre la fiabilidad de la información suministrada.
 Organización de funciones del A.I
 Se puede establecer 3 grupos de funciones
por un auditor informático:
• Participar en las revisiones durante y después del
diseño, realización y explotación de aplicaciones
informáticas, así como en las fases análogas de
realización de cambios importantes.
• Revisar y juzgar los controles implantados en los
sistemas informáticos para verificar su adecuación a
las ordenes e instrucciones de la dirección, requisitos
legales, protección de confidenciabilidad y cobertura
ante errores y fraude.
• Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad
y seguridad de los equipos e información.
 C.I.I. y A.I. campos
análogos
 Ambas funciones han evolucionado rápida y
paralelamente.
 Para ser auditores se debió ser control
interno alguna vez o viceversa.
 Formación en seguridad informática reciben
tanto los de CII y AI.
 Existe similitud de los objetivos profesionales
de Control y Auditoria, campos análogos que
propician una transición natural.
 Aunque CII y AI tienen objetivos comunes
existen diferencias.
Similitudes y Diferencias entre CII y
AI
Similitude
Diferencias
s
CII
Análisis de los controles a diario
Conocimientos especializados Informa a la dirección del Dpto. de
en TIC Informática.
Solo personal interno.
El alcance de sus funciones es únicamente
sobre el departamento de informática.

Verificación del cumplimiento AI

de controles internos, Análisis de un momento informático
normativa y procedimientos determinado.
establecidos por las
Direcciones (Inf. Y Gral.) para Informa a la Dirección Gral. De la
los S.I Organización.
Personal externo que se apoya en el interno.
Tiene cobertura sobre todos los componentes
de los S.I. de la Organización
 Objetivos generales de la Auditoría
Informática
 Asegurar la integridad, confidencialidad y
confiabilidad de la información.
 Minimizar existencias de riesgos en el uso de
Tecnología de información
 Conocer la situación actual del área informática
para lograr los objetivos.
 Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático, así
como también seguridad del personal, los
datos, el hardware, el software y las
instalaciones.
 Objetivos generales de la Auditoría
Informática
 Incrementar la satisfacción de los
usuarios de los sistemas informáticos.
 Capacitación y educación sobre controles
en los Sistemas de Información.
 Buscar una mejor relación costo-beneficio
de los sistemas automáticos y tomar
decisiones en cuanto a inversiones para
la tecnología de información.
 RIESGO INFORMÁTICO
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la Gestión de la
Seguridad) como:
La probabilidad de que una amenaza se
materialice de acuerdo al nivel de
vulnerabilidad existente de un activo,
generando un impacto específico, el
cual puede estar representado por
pérdidas y daños.
 AMENAZA
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática
disponible: fallas, ingresos no
autorizados a las áreas de
computo, virus, uso
inadecuado de activos
informáticos, desastres
ambientales (terremotos,
inundaciones), incendios,
accesos ilegales a los sistemas,
fallas eléctricas.
Pueden ser de tipo lógico o
 VULNERABILIDAD
Condiciones inherentes a los activos
o presentes en su entorno que
facilitan que las amenazas se
materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento del
usuario, tecnología inadecuada,
fallas en la transmisión, inexistencia
de antivirus, entre otros.
 IMPACTO

Consecuencias de la ocurrencia
de las distintas amenazas:
financieras o no financieras.
Perdida de dinero, deterioro de
la imagen de la empresa,
reducción de eficiencia, fallas
operativas a corto o largo plazo,
pérdida de vidas humanas, etc.
 Sistema de CII – Definición.
 Se define como: Una actividad o acción realizada
manual y/o automáticamente para prevenir, corregir
errores o irregularidades que puedan afectar el
funcionamiento de una Sistema o Tecnología.
 Los controles cuando se diseñen, desarrollen e
implanten han de ser: menos complejos, simples,
fiables, revisables, adecuados y rentables (según
análisis coste-beneficio)
 Para asegurar la integridad, disponibilidad y eficacia
de los sistemas se requieren complejos mecanismos
de control, la mayoría de los cuales son
automáticos.
 Métodos de CII
 Controles preventivos.- para tratar de evitar
el hecho o forma de cómo un sw. o hw. de
seguridad impida accesos no autorizados.
 Controles detectivos.- si fallan los
preventivos, éstos controles tratan de
conocer cuanto antes el evento, módulo o
información sujeto al ataque.
 Controles correctivos.- Facilitan la vuelta a la
normalidad cuando se ha producido
incidencias. Ej. La recuperación de un file
dañado a partir de las copias de seguridad
 Relación entre métodos de control y
objetivos de control.
 Objetivos de control de mantenimiento:
Asegurar que las modificaciones de los
procedimientos programados están
adecuadamente diseñadas, probadas,
aprobadas e implantadas. ISO 14764
 Objetivos de control de seguridad de
programas: Garantizar que no se pueden
efectuar cambios no autorizados en los
procedimientos programados.
NTP ISO/IEC 17799
 Implantación de un Sistema de CII.
 Los controles puede implantarse a varios niveles
diferentes. La evaluación de los controles de la
tecnología de la información exige analizar diversos
elementos interdependientes. Por ello es importante
llegar a conocer bien la configuración del sistema,
con el objeto de identificar los elementos, productos
y herramientas que existen para saber donde puede
implantarse los controles, así como para identificar
posibles riesgos.
 Para llegar a conocer la configuración del sistema es
necesario documentar los detalles de la red, así como
los niveles de control y otros elementos relacionados.
 Elementos a conocer para implantar un
sistemas de control interno informatico
 Entorno de red.
 Configuración de ordenadores.
 Entorno de aplicaciones.
 Productos y herramientas.
 Seguridad .

 Gestión de sistemas de información.

 Gestión de cambio.
 Sistemas de Gestión de Seguridad
Informática.
 IMPLANTACION DE POLITICAS Y
CULTURA SOBRE LA SEGURIDAD

Política de seguridad
DIRECCION DEL NEGOCIO
Plan de seguridad

DIRECCION DE INFORMATICA Normas y procedimientos

CONTROL INTERNO Medidas tecnológicas

INFORMATICO implantadas
 ROL DE LA DIRECCIONES
 DIRECCION DEL NEGOCIO O DIRECCION DE S.I.-
Definen políticas y/o directrices para los sistemas en
base a las exigencias del negocio, que podrán ser
internas o externas.

 DIRECCION DE INFORMATICA.- Definen normas de

funcionamiento del entorno informático y de cada
una de las funciones de informática mediante la
creación y publicación de procedimientos,
estándares, metodología y normas, aplicables a
todas las áreas de informática así como a los
usuarios, que establezcan el marco de
funcionamiento.
 ROL DE LA DIRECCIONES
 CONTROL INTERNO INFORMATICO.- Define los
diferentes controles periódicos a realizar en cada
una de las funciones informáticas, de acuerdo al
nivel de riesgo da cada una de ellas y ser diseñados
conforme a los objetivos de negocio y dentro del
marco legal aplicable. También realizara
periódicamente la revisión de los controles
establecidos de CII informando de las desviaciones
a la Dirección de Informática y sugiriendo cuantos
cambios crea convenientes en los controles, así
como transmitirá constantemente a toda la
organización de informática la cultura y políticas del
riesgo informático.
 ROL DE LA DIRECCIONES
 AUDITOR INTERNO/EXTERNO INFORMATICO.-
Revisa los diferentes controles internos definidos
en cada una de las funciones informáticas y el
cumplimiento de normativa interna y externa,
de acuerdo al nivel de riesgo, conforme a los
objetivos definidos por la Dirección del Negocio
y la Dirección de Informática.
 Informara a la alta Dirección de los hechos
observados y al detectarse deficiencias o
ausencias de controles recomendaran acciones
que minimicen los riesgos que pueden
originarse.
LA CREACION DE UN SISTEMA
DE CONTROL INFORMATICO
ES UNA RESPONSABILIDAD
DE LA GERENCIA Y UN PUNTO
DESTACABLE DE LA POLITICA
EN EL ENTORNO
INFORMATICO
CII y AI verifican y determinan el cumplimiento y
validez de los siguientes controles internos.

 Controles generales organizativos.

259,320, 019
 Controles de desarrollo, adquisición y
mantenimiento de sistemas de
información. 179-2004, 14764,
 Controles de explotación de sistemas de
información. 179-2004,
 Controles de aplicaciones. 179-2004
 Controles específicos de ciertas
tecnologías.
 Controles generales organizativos.
 Políticas.- sirven de base para la planificación, control y
evaluación por la dirección de las actividades del
Departamento de Informática.
 Planificación:
• Plan Estratégico Institucional – Plan Estrategico Informático.-
realizado por la alta dirección - Definen procesos corporativos y se
considera TIC así como las amenazas – oportunidades, Fortalezas -
Debilidades de su uso o de sus ausencia.
• Plan Operativo Informático.- realizado por el Dep. Informática,
define como cubrir las necesidades de la empresa con proyectos
informáticos.
• Plan general de seguridad (física y lógica).- que garantice la
cofidenciabilidad, integridad y disponibilidad de la información.
• Plan de Control Interno Informático.- sujeto a la normativa de la
Resolución de contraloría de la Nación Nº 320-2006-CG
• Plan de emergencia ante desastres.- que garantice la disponibilidad
de eventos ante desastres.
 Controles generales organizativos.
 Estándares.- que regulen la adquisición de
recursos (reglamento de adquisiciones del
estado), el diseño, desarrollo y modificación y
explotación de sistemas.
 Procedimientos.- que describan la forma y las
responsabilidades de ejecutoria para regular las
relaciones entre el Dep. de Informática y los
Deptos Usuarios.
 Organizar el Dep. de informática en un nivel
suficientemente superior de estructura
organizativa como para asegurar su
independencia de los demás departamentos.
 Controles generales organizativos.
 Descripción de la funciones y responsabilidades
dentro del Departamento con una clara separación
de las mimas.
 Políticas de personal.- selección, plan de formación,
plan de vacaciones y evaluación y promoción.
 Asegurar que la Dirección revise todos los informes
de control y resuelva todas las observaciones.
 Asegurar que exista una política de clasificación de
la información para saber dentro de la Organización
que personas están autorizadas y a que tipo de
información.
 Designar oficialmente la figura de CII y de AI.
 Controles de desarrollo, adquisición y
mantenimiento de sistemas de informacion
Para que permitan alcanzar la eficacia del
sistema, economía, eficiencia, integridad
de los datos, protección de los recursos y
cumplimiento con las leyes y regulaciones.
 Metodología del ciclo de vida del desarrollo

de sistemas: Su empleo podrá garantizar a

la alta dirección que se alcanzaran los
objetivos definidos para el sistema. Estos
son algunos controles que deben existir en
la metodología:
 Explotación y mantenimiento.
 Controles de la Metodolgía
 La alta dirección debe publicar una normativa sobre
el uso de metodología del ciclo de vida y desarrollo
de sistemas y revisar ésta periódicamente.
 La metodología debe establecer los roles y
responsabilidades de las distintas áreas del
departamento de Informática y de los usuarios, así
como la composición y responsabilidades del equipo
de proyecto.
 Las especificaciones del nuevo sistema deben ser
definidas por los usuarios y quedar escritas y
aprobadas antes de que comience el proceso de
desarrollo.
 Debe establecerse un estudio tecnológico de
viabilidad en el cual se formulen alternativas de
 Controles de la Metodolgía
 Cuando se seleccione una alternativa debe realizarse
el plan director del proyecto. En dicho plan deberá
existir una metodología de control de costos.
 Procedimientos para la definición y documentación de
especificaciones de: Diseño, Entrada, Salida, ficheros,
procesos, programas, controles de seguridad, pistas de
auditoria. Etc.
 Plan de validación, verificación y pruebas.
 Estándares de prueba de programas, de prueba de
sistemas.
 Plan de conversión: prueba de aceptación final.
 Los procedimientos de adquisición de software deberán
seguir las políticas de adquisición de la organización y
dichos productos antes deberán ser probados y
 Controles de la Metodolgía
 La contratación de programas de servicios de
programación a medida ha de estar justificada
mediante una petición escrita de un director de
proyecto.
 Deberán prepararse manuales de operación y
mantenimiento como parte de todo proyecto de
desarrollo o modificación de sistemas de información.
Así como manuales de usuario.
 Explotación y Mantenimiento
 El establecimiento de controles asegurara que
los datos se tratan de forma congruente y
exacta y que el contenido de sistemas solo
será modificado mediante autorización
adecuada. Estos son algunos de los controles
que se deben implantar:
• Procedimiento de control de explotación.
• Sistema de contabilidad para asignar a
usuarios los costos asociados con la
explotación de un sistema de información.
• Procedimientos para realizar un seguimiento
y control de los cambios de un sistema de
 Controles de explotación de
sistemas de información
 Planificación y gestión de recursos.- Definir
el presupuesto operativo del Departamento,
plan de adquisición de equipos y gestión de
la capacidad de los equipos.
 Controles para usar de manera efectiva los
recursos en ordenadores:
• Calendario de carga de trabajo.
• Programación de personal.
• Mantenimiento preventivo - correctivo
• Gestión de problemas y cambios–stock de
materiales
• Procedimientos de facturación a usuarios.
 Controles de explotación de
sistemas de información
 Seguridad Física y Lógica.
• Definir un grupo de seguridad de la información, siendo una de
sus funciones la administración y gestión del Software de
seguridad, revisar periódicamente los informes de violaciones y
actividad de seguridad para identificar y resolver incidentes.
• Controles físicos para asegurar que el acceso a las instalaciones
del Departamento de Informática queda restringido a las
personas no autorizadas.
• Instalación de medidas de protección contra fuego.
• Formación y concientización en procedimientos de seguridad y
evacuación del edificio.
• Control de acceso a usuarios con códigos intransferibles
• Normas que regulen el acceso a los recursos informáticos.
• Existencia de un plan de contingencias para el funcionamiento de
equipos, Sistema y para la recuperación de los servicios después
de una interrupción imprevista.
 Controles en Aplicaciones
 Cada aplicación debe llevar controles
incorporados para garantizar la entrada,
actualización, validez y mantenimiento
completos y exactos de los datos. Lo mas
importante en estos controles consideramos:
• Control de entrada de datos: procedimientos de
conversión y de entrada, validación y corrección de datos.
• Controles de tratamiento de datos, asegurando que no se
den de alta, modifiquen o borren datos no autorizados.
• Controles de salida de datos: procedimientos de
distribución de salidas, de gestión de errores en las
salidas.
Controles en Aplicaciones
Controles en Aplicaciones
 Controles específicos de ciertas
Tecnologías
 Controles en sistemas de gestión de
bases de datos.
 Controles en informática distribuida y
redes.
 Controles sobre ordenadores personales
y redes de área local.
 Controles en sistemas de gestión de
bases de datos.
 El Sw de GBD debe instalarse y mantenerse asegurando la
integridad del software, las BD y las instrucciones que definen
el entorno.
 Definir las responsabilidades sobre la planificación,
organización, dotación y control de los activos de datos
(Administrador).
 Deben existir procedimientos para la descripción y los cambios
de datos así como para el mantenimiento del diccionario de
datos
 Controles sobre el acceso de datos y de concurrencia.
 Controles para minimizar fallos, recuperar el entorno de las BD
hasta el punto de caída y minimizar el tiempo para la
recuperación.
 Controles para asegurar la integridad de los datos: como
comprobar enlaces físicos, registros de control para mantener
los balances de transacciones.
 I Controles en informática
distribuida y redes
 Planes adecuados de implantación, conversión y pruebas de
aceptación para la red.
 Existencia de un grupo de control de red.
 Controles para asegurar la compatibilidad de conjunto de
datos entre aplicaciones cuando la red es distribuida.
 Procedimiento que definan las medidas y controles de
seguridad a ser usados en la red entre los departamentos
interconectados.
 Existencia de inventario de todos los activos de la red.
 Procedimientos de respaldo del Hw. y Sw. de la red.
 Existencia del mantenimiento preventivo de todos los
activos.
 Controles que verifiquen que todos los mensajes de salida
se validen de forma rutinaria para asegurar que contienen
direcciones de destino validas.
 Controles de seguridad lógica: control de acceso a la red,
 II Controles en informática
distribuida y redes
 Procedimientos de cifrado de la información critica que se
transmite a través de la red
 Procedimientos automáticos para resolver cierres del
sistema.
 Monitorización para medir la eficiencia de la red.
 Diseñar el trazado físico y las medidas de seguridad de las
líneas de comunicación local dentro de la organización.
 Detectar la correcta o mala recepción de mensajes.
 Identificar los mensajes por una clave individual de
usuario, por terminal, y por el numero de secuencia del
mensaje.
 Revisar los contratos de mantenimiento y el tiempo de
servicio acordados con el proveedor, cumpliendo así con
los cronogramas propuestos.
 Determinar si el equipo MUX/Concentrador/Procesador
Frontal remoto tiene lógica redundante y poder de respaldo
 III Controles en informática
distribuida y redes
 Asegurarse de que haya procedimientos de
recuperación y reinicio.
 Asegurarse que existan pistas de auditoria
que puedan usarse en la reconstrucción de
archivos de datos y de las transacciones de las
diversas terminales. Debe existir la capacidad
de rastrear los datos entre el terminal y el
usuario.
 Considerar circuitos de conmutación que usen
rutas alternativas para diferentes paquetes de
información provenientes del mismo mensaje;
esto ofrece una forma de seguridad en caso
 I Controles sobre ordenadores
personales y redes de área local
 Políticas de adquisición y utilización.
 Normativas y procedimientos de desarrollo y adquisición
de Sw. De aplicaciones.
 Procedimiento de control de Sw. Contratado bajo licencia.
 Controles de acceso a redes, mediante palabras clave, a
través de ordenadores personales.
 Revisiones periódicas del uso de los ordenadores
personales.
 Políticas que contemplen la selección, adquisición e
instalación de redes.
 Procedimientos de seguridad física y lógica.
 Departamento que realice la gestión y soporte técnico de
la red.
 Controles para evitar modificar la configuración de una
red.
 II Controles sobre ordenadores
personales y redes de área local
 Inventario actualizado de todas las aplicaciones de la
entidad.
 Implantar herramientas de gestión de la red con el fin
de valorar su rendimiento, aplicación y control.
 Políticas que obliguen a la desconexión de los equipos
de las líneas de comunicación cuando no se esta
haciendo uso de ellas.
 Adoptar los procedimientos de control y gestión
adecuados para la integridad, privacidad,
confidencialidad y seguridad de la información
contenida en las redes.
 Cuando exista conexión PC-Host, comprobar que opere
bajo los controles necesarios para evitar la
carga/extracción de datos de forma no autorizada.
 Contratos de mantenimiento (preventivo y correctivo).
 III Controles sobre ordenadores
personales y redes de área local
 Mantener un registro documental de las acciones
de mantenimiento realizadas, incluyendo la
descripción del problema y la solución dada al
mismo.
 Los ordenadores deberán estar conectados a
equipos de continuidad (UPS).
 Protección contra incendios, inundaciones o
electricidad estática.
 Control de acceso físico a los recursos
informáticos: llaves de Pcs, Áreas restringidas.
Ubicación de impresoras. Prevención de robos de
dispositivos. Autorización para desplazamientos
de equipos. Acceso físico fuera de horario normal.
 IV Controles sobre ordenadores
personales y redes de área local
 Adecuada identificación de usuarios en cuanto a las
siguientes operaciones: altas, bajas, y
modificaciones, cambios de password, explotación
del sistema.
 Controlar las conexiones remotas.
 Procedimientos para la instalación o modificación de
software y establecer que la dirección sea
consciente del riesgo de virus informático y otros
softwares maliciosos, así como de fraude por
modificaciones no autorizadas de software y daños.
 Controles para evitar la introducción de un sistema
operativo a través de disquete o CD/DVD que
pudiera vulnerar el sistema de seguridad
establecido.
 INFORME
 Es la comunicación Formal del Auditor
Informático al cliente, sobre el alcance de la
Auditoria; (Objetivos, periodo de cobertura,
naturaleza y extensión del trabajo
realizado) como de los resultados,
conclusiones y recomendaciones.
 Se separa lo significativo de lo no
significativo evaluados por su importancia y
vinculación con el factor riesgo.
 Informe de debilidades del control interno.
 Deberá ser claro, adecuado, suficiente y
comprensible.
 Puntos Esenciales, genéricos y
mínimos del Informe
1. Titulo del Informe. 7. Conclusiones: informe corto de
2. Identificación del cliente opinión.
y los destinatarios. 1. Opinión favorable.
3. Identificación de la 2. Opinión con salvedades.
entidad Auditada. 3. Opinión desfavorable.
4. Objetivos de la Auditoria 4. Opinión denegada
Informática 8. Resultados: Informe largo y
5. Normativa aplicada. otros informes
6. Alcance de la Auditoria. 9. Informe previos. (El informe de
(Área organizativa, Auditoria es, por principio, un
Periodo de Auditoria, informe de conjunto)
sistemas de
1. Delito societario y responsabilidad
Información,… civil del auditor informatico.
señalando limitaciones 10. Fecha del informe.
al alcance y 11. Identificación y firma del auditor.
restricciones del
12. Distribución del informe
auditado)
 Opinión favorable
 Se manifiesta de forma clara y
precisa.
 Es el resultado de un trabajo
realizado sin limitaciones de alcance
y sin incertidumbre.
 Esta de acuerdo con la normativa
legal y profesional.
 Carece de salvedades significativas,
es limpia o favorable.
 Opinión con salvedades
 Salvedades significativas en relación con los
objetivos de la auditoria, describiéndose con
precisión la naturaleza y razones.
 Limitaciones al alcance del trabajo realizado.
(restricciones por parte del auditado)
 Incertidumbre cuyo resultado no permita
una previsión razonable.
 Irregularidades significativas.
 Incumplimiento de la normativa legal y
profesional.
 Opinión Desfavorable
 Identificación de irregularidades
 Incumplimiento de la normativa legal
y profesional que afecten
significativamente los objetivos de la
Auditoria informática estipulados,
incluso con incertidumbre: todo ello
en evaluación en conjunto y
reseñando detalladamente las
razones correspondientes.
 Opinión Denegada
 Limitaciones al alcance de la Auditoria
 Incertidumbre significativas de un
modo tal que impidan al auditor
formarse una opinión.
 Irregularidades
 Incumplimiento de la normativa legal y
profesional que imposibiliten lograr los
objetivos de la Auditoria informática
 Contratos informáticos
 Es aquel cuyo objeto es un bien o servicio
informático - o ambos.
 Los contratos informáticos van en
crecimiento, lo que viene sucediendo en
función de los avances tecnológicos y de
sus mayor utilización por la sociedad.
 Se clasifican en:
• Contratación de hardware.
• Contratación de Software.
• Contratación de datos.
• Contratación de servicios.
• Contratos complejos.
 Contratación de Hardware
 El objeto en esta clase de contratos
es el Hardware y equipos auxiliares.
 No presentan problemas específicos
 Los contratos mas usuales son:
• Compraventa.
• Arrendamiento.
• Mantenimiento.
 Contratación de Software
 El objeto en esta clase de contratos es el
Software(desarrollo a medida), licencia de uso
(autorizar a terceros derechos de explotación
conservando la propiedad del mismo ), adaptación de
un Software producto (contratación de una licencia de
uso de un producto que se adapte a las necesidades
del usuario), mantenimiento (corregir errores en el
software fuera del periodo de garantía – correctivos,
de adaptación, perfectivo y preventivo), garantía de
acceso al código fuente (se da este contrato en caso
de que la empresa titular de los derechos de
propiedad intelectual desaparezca - el programa
fuente queda bajo custodia del notario publico por si
en el futuro amerita acceder a este código).
 Contratación de Datos
 El valor de la información aumenta cada día mas, la
comercialización de Bases de Datos es el negocio de hoy
y del futuro.
 Distribución de la información.- consiste en la
comercialización de la BD durante un cierto periodo de
tiempo a cambio de un precio.
 Suministro de la información.- el usuario accede siempre
que lo precise a las BD del distribuidor.
 Compra.- se vende la BD con la posibilidad de que el
adquiriente pueda no solo usarla si no mezclarla con otras
propias para después comercializar con ellas (previo
acuerdo).
 Cesión.- parecido al anterior salvo que solo se permite el
uso de la BD sin que realice transmisiones posteriores.
 Contratación de Servicios
 Los mas importantes son:
• Consultoría informática.
• Auditoria informática.
• Formación.
• Seguridad informática.
• Contratación de personal informático.
• Instalación.
• Comunicaciones.
• Seguros.
• Responsabilidad civil.
 Contratos Complejos
 Contemplan los sistemas informáticos como
un todo incorporado al Hardware, al
Software y algunos servicios determinados.
 Contratación global o parcial de servicios
informáticos (outsourcing).- se integra en la
estrategia de la empresa y diseña
soluciones.
 Contrato de respaldo (back up).-asegura el
mantenimiento en circunstancias de mal
funcionamiento del sistema.
 Contrato de llave en mano (turn-key-
package).-