Auditoria

Departamento de Ciencias de la Computacin y Electrnica
Seccin Ingeniera del Software y Gestin de Tecnologas de la Informacin

Asesora virtual:
www.utpl.edu.ec
Autora:
Ing. Karla Alexandra Romero Gonzlez
Auditora Informtica
Gua didctica
5 crditos
La Universidad Catlica de Loja
MODALIDAD ABIERTA Y A DISTANCIA
Titulaciones Ciclo
Ingeniero en Contabilidad y Auditora*
IX
Ingeniero en Contabilidad y Auditora
X
* Pnsum por asignaturas
AUDITORA INFORMTICA
Gua didctica
Karla Alexandra Romero Gonzlez
UNIVERSIDAD TCNICA PARTICULAR DE LOJA
CC

Ecuador 3.0 By NC ND
Diagramacin, diseo e impresin:
EDILOJA Ca. Ltda.
Telefax: 593-7-2611418
San Cayetano Alto s/n
www.ediloja.com.ec
edilojainfo@ediloja.com.ec
Loja-Ecuador
Esta versin digital ha sido acreditada bajo la licencia Creative Commons Ecuador 3.0 de reconocimiento -no comercial- sin obras derivadas; la cual
permite copiar, distribuir y comunicar pblicamente la obra, mientras se reconozca la autora original, no se utilice con fines comerciales ni se realicen
obras derivadas. http://www.creativecommons.org/licences/by-nc-nd/3.0/ec/
El contenido de esta obra corresponde al de la gua didctica Auditora Informtica de la titulacin de Ingeniero en Informtica, con registro
ISBN-978-9942-08-585-6; tomada por razones didcticas y para evitar confusiones en la distribucin de las evaluaciones a distancia para los
estudiantes de la Titulacin de Ingeniero en Contabilidad y Auditora.
Abril, 2014
2. ndice
2. ndice ............................................................................................................................................................ 3
3. Introduccin............................................................................................................................................. 5
4. Bibliografa .............................................................................................................................................. 6
4.1. Bsica .......................................................................................................................................... 6
4.2. Complementaria ..................................................................................................................... 6
5. Orientaciones generales para el estudio ............................................................................. 8
6. Proceso de enseanza-aprendizaje para el logro de competencias ................ 11
PRIMER BIMESTRE
6.1. Competencias ........................................................................................................................... 11
6.2. Planificacin para el trabajo del alumno ........................................................................ 11
6.3. Sistema de evaluacin (primero y segundo bimestre) ............................................... 13
6.4. Orientaciones especficas para el aprendizaje por competencias ........................... 14
UNIDAD 1. CONTROL INTENO Y AUDITORA DE SISTEMAS DE INFORMACIN ......................... 14
1.1. Introduccin al control interno y auditora de sistemas de informacin .............. 14
1.2. Funciones de control interno y auditora informtica ................................................. 16
Autoevaluacin 1 ................................................................................................................................ 20
UNIDAD 2. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORA DE
SISTEMAS DE INFORMACIN .............................................................................................................. 22
2.1. Introduccin a las metodologas ........................................................................................ 22
2.2. Metodologas de evaluacin de sistemas ....................................................................... 25
Autoevaluacin 2 ................................................................................................................................ 38
UNIDAD 3. EL DEPARTAMENTO DE AUDITORA DE LOS SI Y TICA DEL AUDITOR DE LOS SI 40
3.1. Misin del departamento de auditora de los SI........................................................... 40
3.2. Organizacin del departamento de auditora de los SI .............................................. 42
3.3. Planificacin del trabajo de auditora .............................................................................. 44
3.4. El equipo de auditora de SI ................................................................................................. 45
Autoevaluacin 3 ................................................................................................................................ 48
SEGUNDO BIMESTRE
6.5. Competencias ........................................................................................................................... 51
6.6. Planificacin para el trabajo del alumno ........................................................................ 51
6.7. Orientaciones especficas para el aprendizaje por competencias ........................... 53
UNIDAD 4. AUDITORA DE OUTSOUCING DE TI ............................................................................... 53
4.1. Conceptos relativos al outsourcing de TI ......................................................................... 53
4.2. Auditora del outsourcing de TI .......................................................................................... 56
4.3. Acciones indispensables en la auditora del outsourcing de TI ................................ 58
4.4. Outsourcing y marcos de referencia .................................................................................. 58
Autoevaluacin 4 ................................................................................................................................ 61
UNIDAD 5. AUDITORA A LA SEGURIDAD FSICA ............................................................................ 62
5.1. Qu es seguridad fsica? ...................................................................................................... 62
5.2. Objetivo de la seguridad fsica ............................................................................................ 63
5.3. Auditora de la seguridad fsica .......................................................................................... 63
5.4. Fases de la auditora de la seguridad fsica .................................................................... 68
Autoevaluacin 5 ................................................................................................................................ 70
UNIDAD 6. GESTIN DE RIESGOS Y AUDITORA BASADA EN RIESGOS - COBIT ........................ 71
6.1. Cmo evaluar un riesgo tecnolgico? ............................................................................ 71
6.2. Procesos claves de riesgos en COBIT ................................................................................. 72
Autoevaluacin 6 ................................................................................................................................ 73
7. Solucionario ............................................................................................................................................. 74
5
Gua didctica: Auditora Informtica
PRELIMINARES
3. Introduccin
Auditora Informtica pretende ayudar al profesional en formacin a desarrollar habilidades y destrezas
intelectuales como creativas, necesarias para ejecutar procesos de revisin o supervisin de un Sistema
de Informacin en ambientes tecnolgicos.
Es un componente acadmico troncal de carrera de la titulacin de INFORMTICA, del dcimo ciclo,
vlido por 4 crditos.
La importancia de este componente acadmico es que contribuir en su desempeo como profesional,
en caso de que se especialice como Auditor Informtico; puesto que adquirir las bases necesarias de
conocimientos tericos y prcticos, para que pueda realizar un examen con carcter objetivo, crtico,
sistemtico y selectivo, evaluando la eficacia y eficiencia del uso adecuado de recursos informticos y as
comprobar si las medidas evaluadas han brindado el soporte adecuado a los objetivos y metas de una
empresa.
El propsito principal es que Usted ampli su accionar, y se convierta en un auditor informtico, dando
ideas para la correcta utilizacin de los amplios recursos que una organizacin pone en juego para
disponer de un eficiente y eficaz Sistema de Informacin y poner cumplir con los objetivos para la que
fue creada, incluso, puede actuar como consejero en la organizacin donde desempea su labor.
Lo animo estimado estudiante a desarrollar este campo casi nuevo de la informtica y sobre todo a
analizar las posibilidades de innovacin que existe en este mbito.
La temtica de este componente ha sido estructurada en 6 captulos:
En el primer bimestre estudiaremos: Control Interno y Auditora de SI, Metodologas de
control Interno, seguridad y Auditora de SI y El departamento de Auditora de los SI tica
del auditor de los SI.
En el segundo bimestre estudiaremos: Auditora de Outsourcing de TI, Auditora a la
Seguridad Fsica y Gestin de Riesgos Auditora Basada en Riesgos - COBIT.
La decisin que Usted ha tomado de capacitarse a travs de la modalidad de estudios a distancia que
ofrece la UTPL, compromete nuestro esfuerzo conjunto para lograr el objetivo de preparar profesionales
competentes y competitivos.
Aquellos que dicen que algo no puede hacerse, suelen ser
interrumpidos por otros que lo estn haciendo. Joel A. Baker.
6
PRELIMINARES
4. Bibliografa
4.1. Bsica
Piattini, M., Del Peso, E., & Del Peso, M. (2008). Auditora de Tecnologas y Sistemas de Informacin.
Mxico DF, Mxico: RA-MA Editorial.
Este recurso presenta de forma clara y precisa los conceptos fundamentales sobre control interno
y auditora de las tecnologas y sistemas de informacin, as como tambin da a conocer los
aspectos organizativos, jurdicos y deontolgicos asociados a la auditora, aportando con pautas
y experiencias.
Romero, K. (2013). Gua Didctica de Auditora Informtica. Loja, Ecuador: EdiLoja.
Esta gua pretende ser una herramienta de acompaamiento al estudiante durante todo el ciclo
de estudio. La misma contienen pautas de estudio para mejor comprensin de la materia.
4.2. Complementaria
Carri, G. (2011). Auditora y Control Interno, Un Enfoque Actualizado. Recuperado de: http://
www.utu.edu.uy/Publicaciones/Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf
Este trabajo investigativo pone a disposicin una aproximacin muy puntual al complejo tema de
auditora y el control interno o de gestin.
Erb, M. (2008a). Facilitando el acceso seguro de la informacin en las organizaciones sociales.
Gestin de Riesgo en la Seguridad Informtica. Recuperado de: http://protejete.wordpress.com/
En este recurso un experto en Gestin de Riesgos explica detenidamente y de manera didctica
cmo es la gestin de riesgo en la seguridad informtica.
Erb, M. (2008b). Facilitando el acceso seguro de la informacin en las organizaciones sociales.
gdr_principal/seguridad_informacion_proteccion/ejercicio/
En este recurso es un sitio web, donde puede encontrar un ejercicio sobre seguridad de la
informacin y proteccin de datos.
Erb, M. (2008c). Facilitando el acceso seguro de la informacin en las organizaciones sociales.
gdr_principal/analisis_riesgo/
Este recurso es un sitio web, donde se explica el primer paso para la gestin de riesgos que es el
Anlisis de Riesgos.
Flores, C. (2009). Pongmonos las Pilas! Reflexiones y acciones concretas para asegurar la
informacin en nuestras organizaciones sociales. Gestin de Riesgo en la Seguridad Informtica.
Recuperado de: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.pdf
7
PRELIMINARES
Este recurso, es un manual de instrucciones para usar herramientas informticas especficas, que
disminuyen los riesgos y protegen la informacin.
Information System Audit & Control Association. (2005). COBIT 4.0. EEUU.
Este marco de referencia internacional define los objetivos de control que permiten gobernar y
ejecutar operaciones controladas de tecnologa de la informacin con el objetivo de alinearse al
gobierno corporativo.
Information System Audit & Control Association. (2009). Marco de Riesgos de TI. EEUU.
Este marco de referencia permite manejar indicadores de valor, costo y retorno de inversin para
una gestin ms exacta y menos especulativa sobre los riesgos que pueden afectar a un ambiente
tecnolgico. La mayora de las empresas multinacionales tienen metodologas basadas en este
marco de referencia para el manejo de riesgos.
Observatorio Iberoamericano de Proteccin de Datos. (2013). PYMES y ley orgnica de proteccin
de datos. Espaa: Madrid. Recuperado de: http://oiprodat.com/2013/04/04/pequena-y-mediana-
empresa-y-ley-organica-de-proteccion-de-datos/
Este recurso, es un foro de encuentro , donde se comparte experiencias e ideas en el mbito
jurdico y operacional de la privacidad y proteccin de datos.
Pons, F. (2007, Abril). Auditora Informtica, Una aproximacin a la mejora del Control Interno.
Auditora Pblica. Recuperado de: http://www.auditoriapublica.com/hemeroteca/200704_41_97.
pdf
Este recurso, es una revista electrnica, en donde enmarca el papel de la auditora informtica
como una nueva herramienta para la mejora del control interno en las organizaciones.
Stoner, J., Freeman, E., y Gilbert, D. (1996). Administracin. Mxico: Pretice Hall Hispanoamerica,
S.A.
En este libro encontrar conceptos bsicos de administracin, los mismos que son el punto de partida
para empezar un proceso de auditora.
8
PRELIMINARES
5. Orientaciones generales para el estudio
A continuacin, estimado estudiante, se le ofrecen algunas estrategias para favorecer la comprensin
y contribuir a lograr un aprendizaje significativo de este componente acadmico. Usted dispone de un
texto bsico y una gua didctica, materiales que ya se detall en la bibliografa.
Adems, necesitar acudir a algunos recursos y tcnicas de estudio como:
Organizar el tiempo de manera que pueda avanzar secuencialmente en cada una de las unidades
y temas para no dejar acumular todo el contenido para el final del bimestre.
Leer comprensivamente y de manera paralela la gua y el texto bsico las veces que se requiera.
Es muy importante resolver las actividades recomendadas en la gua didctica y en el texto bsico.
Aplicar estrategias de aprendizaje como: elaborar resmenes, esquemas, organizar formularios,
cuadros, etc. que le permitan a usted extraer lo esencial, sintetizar y asimilar la temtica abordada.
Desarrollar las autoevaluaciones que se incluyen en la gua didctica.
Participar activamente en el Entorno Virtual de Aprendizaje (EVA), en donde podr interactuar
tanto con sus profesores tutores y compaeros; dar criterios y opiniones en los foros de discusin
que en cada bimestre se le propondrn.
Utilizar los recursos web disponibles: videos, presentaciones, REAS, OCW, etc.
Resolver las evaluaciones a distancia (una por cada bimestre) que sirven como estrategia de
aprendizaje y preparacin para las evaluaciones presenciales.
Si en el desarrollo de los contenidos surge alguna dificultad, usted puede comunicarse con
nosotros sus profesores tutores, a travs de los diferentes medios: telefnicamente de acuerdo
al horario establecido, el mismo que consta en la portada de las evaluaciones a distancia, y por el
correo electrnico o a travs del EVA.
Le recomiendo revisar la Planificacin para el trabajo del alumno. Esta parte le permite obtener
una visin global del componente.
Se presentan los siguientes focalizadores en el desarrollo de toda la gua didctica, con la finalidad de
que Usted identifique las acciones a realizar:
Texto Bsico
El texto base est en ingles, pero lo puede encontrar en espaol en el enlace
mencionado en la bibliografa complementaria.
Actividad o Lectura Recomendada
Inquietudes
9
PRELIMINARES
Actividad en el EVA
Autoevaluacin del captulo
Respuesta a la autoevaluacin
Apoyo tecnolgico e Interactividad
Le recomiendo que de forma regular y constante, acceda al EVA (www.utpl.edu.ec) y consulte las
novedades que los profesores estaremos anunciando, semana a semana. Adems, considere que las
actividades de interactividad estn propuestas en las evaluaciones a distancia y tienen su respectiva
nota.
Estrategias de evaluacin
El sistema de estudios de la Modalidad Abierta y a Distancia de la Universidad Tcnica Particular de Loja
contempla los siguientes parmetros de evaluacin:
La asignatura se encuentra dividida en dos bimestres, cada uno de los cuales se califica sobre 20 puntos,
en caso de que en algn estudiante no obtenga una nota mnima de 14 puntos, deber presentarse a un
examen supletorio calificado sobre 20 que reemplaza la nota bimestral correspondiente. Los estudiantes
aprueban cuando han logrado un mnimo de 28 puntos en total (sumando los dos bimestres).
En el presente cuadro constan los parmetros y puntajes que se tomarn en cuenta en el primer y
segundo bimestre.
Instrumento Puntaje
Trabajo a distancia:
Objetiva
Ensayo
Interaccin EVA (tutoras, foros, investigaciones, etc)
2 puntos
4 puntos
1 punto, que ayudar a recuperar nota
de la parte de ensayo en caso de que se
necesite.
Evaluacin presencial 14 puntos
TOTAL 20 PUNTOS
10
PRELIMINARES
11
PRIMER BIMESTRE
6
.

P
r
o
c
e
s
o

d
e

e
n
s
e
a
n
z
a
-
a
p
r
e
n
d
i
z
a
j
e

p
a
r
a

e
l

l
o
g
r
o

d
e

c
o
m
p
e
t
e
n
c
i
a
s
P
R
I
M
E
R

B
I
M
E
S
T
R
E
6
.
1
.

C
o
m
p
e
t
e
n
c
i
a
s
C
O
M
P
E
T
E
N
C
I
A
S

G
E
N
R
I
C
A
S

D
E

L
A

U
T
P
L

C
o
m
p
o
r
t
a
m
i
e
n
t
o

t
i
c
o

I
I
I
:

I
n
c
l
i
n
a
r
s
e

h
a
c
i
a

e
l

b
i
e
n

m
o
r
a
l

d
e

u
n
o

m
i
s
m
o

o

d
e

l
o
s

d
e
m
s

(
e
s

d
e
c
i
r
,

h
a
c
i
a

t
o
d
o

l
o

q
u
e

e
s
o

s
i
g
n
i
f
i
c
a

b
i
e
n
,

v
i
v
e
n
c
i
a

d
e
l

s
e
n
t
i
d
o
,

r
e
a
l
i
z
a
c
i
n

d
e

l
a

p
e
r
s
o
n
a
,

s
e
n
t
i
d
o

d
e

j
u
s
t
i
c
i
a
)

y

p
e
r
s
e
v
e
r
a
r

e
n

d
i
c
h
o

b
i
e
n

m
o
r
a
l
.
6
.
2
.

P
l
a
n
i
f
i
c
a
c
i
n

p
a
r
a

e
l

t
r
a
b
a
j
o

d
e
l

a
l
u
m
n
o
C
O
M
P
E
T
E
N
C
I
A
S

E
S
P
E
C
F
I
C
A
S

D
E

T
I
T
U
L
A
C
I
N
C
O
M
P
E
T
E
N
C
I
A
S

E
S
P
E
C
F
I
C
A
S

D
E
L

C
O
M
P
O
N
E
N
T
E

E
D
U
C
A
T
I
V
O
C
O
N
T
E
N
I
D
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E

A
P
R
E
N
D
I
Z
A
J
E
I
N
D
I
C
A
D
O
R
E
S

D
E

A
P
R
E
N
D
I
Z
A
J
E
T
I
E
M
P
O

D
E

D
E
D
I
C
A
C
I
N
U
N
I
D
A
D
E
S
D
e
s
a
r
r
o
l
l
a

a
u
d
i
t
o
r
i
a
s

d
e

p
r
o
d
u
c
t
o
s

y

p
r
o
c
e
s
o
s

v
i
n
c
u
l
a
d
o
s

a

l
a

g
e
s
t
i
n

d
e

T
I
C
S
.
D
e
n
e

l
o
s

c
o
n
c
e
p
t
o
s

d
e

c
o
n
t
r
o
l

i
n
t
e
r
n
o

y

d
e

a
u
d
i
t
o
r
a

i
n
f
o
r
m
t
i
c
a
.
U
N
I
D
A
D
1
.

C
o
n
t
r
o
l

I
n
t
e
r
n
o

y

a
u
d
i
t
o
r
a

d
e

S
i
s
t
e
m
a
s

d
e

I
n
f
o
r
m
a
c
i
n
.
1
.
1
.

I
n
t
r
o
d
u
c
c
i
n

a
l

C
o
n
t
r
o
l

I
n
t
e
r
n
o

y

A
u
d
i
t
o
r
a

d
e

S
i
s
t
e
m
a
s

d
e

I
n
f
o
r
m
a
c
i
n
.
1
.
2
.

F
u
n
c
i
o
n
e
s

d
e
l

C
o
n
t
r
o
l

I
n
t
e
r
n
o

y

d
e

l
a

A
u
d
i
t
o
r
a

I
n
f
o
r
m
t
i
c
a
.

E
s
t
u
d
i
a
r

d
e

l
a

u
n
i
d
a
d

1

d
e

l
a

g
u
a

d
i
d
c
t
i
c
a

y

r
e
a
l
i
z
a
r

l
a

a
c
t
i
v
i
d
a
d

r
e
c
o
m
e
n
d
a
d
a
,

p
.
1
9
.

R
e
a
l
i
z
a
r

l
a
s

l
e
c
t
u
r
a
s

r
e
c
o
m
e
n
d
a
d
a
s

d
e

l
a

u
n
i
d
a
d
.

R
e
v
i
s
a
r

e
l

c
a
p
t
u
l
o

1

d
e
l

t
e
x
t
o

b
s
i
c
o
.

D
e
s
a
r
r
o
l
l
a
r

l
a

a
u
t
o
e
v
a
l
u
a
c
i
n

d
e

l
a

u
n
i
d
a
d

1
.

P
a
r
t
i
c
i
p
a
r

e
n

e
l

E
V
A
,

f
o
r
o

e

i
n
t
e
r
a
c
c
i
o
n
e
s
.

I
n
i
c
i
a
r

e
l

d
e
s
a
r
r
o
l
l
o

d
e

l
a

e
v
a
l
u
a
c
i
n

a

d
i
s
t
a
n
c
i
a

d
e
l

c
o
m
p
o
n
t
e
.

D
i
f
e
r
e
n
c
i
a

l
a
s

f
u
n
c
i
o
n
e
s

d
e

c
o
n
t
r
o
l

i
n
t
e
r
n
o

y

a
u
d
i
t
o
r
a

i
n
f
o
r
m
t
i
c
a
.

R
e
c
o
n
o
c
e

u
n

s
i
s
t
e
m
a

d
e

i
n
f
o
r
m
a
c
i
n

y

s
u
s

e
l
e
m
e
n
t
o
s
.

E
s
t
a
b
l
e
c
e

u
n

s
i
s
t
e
m
a

d
e

c
o
n
t
r
o
l
e
s

i
n
t
e
r
n
o
s

i
n
f
o
r
m
t
i
c
o
s
.
S
e
m
a
n
a

1

4

h
o
r
a
s

d
e

a
u
t
o
e
s
t
u
d
i
o

y

4

h
o
r
a
s

d
e

i
n
t
e
r
a
c
c
i
n
.
12
PRIMER BIMESTRE
C
O
M
P
E
T
E
N
C
I
A
S

E
S
P
E
C
F
I
C
A
S

D
E

T
I
T
U
L
A
C
I
N
C
O
M
P
E
T
E
N
C
I
A
S

E
S
P
E
C
F
I
C
A
S

D
E
L

C
O
M
P
O
N
E
N
T
E

E
D
U
C
A
T
I
V
O
C
O
N
T
E
N
I
D
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E

A
P
R
E
N
D
I
Z
A
J
E
I
N
D
I
C
A
D
O
R
E
S

D
E

A
P
R
E
N
D
I
Z
A
J
E
T
I
E
M
P
O

D
E

D
E
D
I
C
A
C
I
N
U
N
I
D
A
D
E
S
D
i
s
t
i
n
g
u
e

l
a
s

d
i
f
e
r
e
n
t
e
s

m
e
t
o
d
o
l
o
g
a
s

d
e

c
o
n
t
r
o
l

i
n
t
e
r
n
o
,

s
e
g
u
r
i
d
a
d

y

a
u
d
i
t
o
r
a

d
e

u
n

s
i
s
t
e
m
a

d
e

i
n
f
o
r
m
a
c
i
n
,

t
a
n
t
o

e
n

o
b
j
e
t
i
v
o
s

c
o
m
o

e
n

h
e
r
r
a
m
i
e
n
t
a
s
.
U
N
I
D
A
D
2
.

M
e
t
o
d
o
l
o
g
a
s

d
e

c
o
n
t
r
o
l

I
n
t
e
r
n
o
,

s
e
g
u
r
i
d
a
d

y

a
u
d
i
t
o
r
a

d
e

S
I
.
2
.
1
.

I
n
t
r
o
d
u
c
c
i
n

a

l
a
s

M
e
t
o
d
o
l
o
g
a
s
.
2
.
2
.

M
e
t
o
d
o
l
o
g
a
s

d
e

e
v
a
l
u
a
c
i
n

d
e

S
i
s
t
e
m
a
s
.

E
s
t
u
d
i
o

d
e

l
a

u
n
i
d
a
d

2

d
e

l
a

g
u
a

d
i
d
c
t
i
c
a
,

c
a
p
t
u
l
o

3

d
e
l

t
e
x
t
o

b
s
i
c
o

y

R
E
A
S

d
e
l

E
V
A
.

R
e
a
l
i
z
a
r

l
a
s

l
e
c
t
u
r
a
s

r
e
c
o
m
e
n
d
a
d
a
s

d
e

l
a

u
n
i
d
a
d
.

P
a
r
t
i
c
i
p
a
r

e
n

e
l

E
V
A
,

f
o
r
o

e

i
n
t
e
r
a
c
c
i
o
n
e
s
.

D
e
s
a
r
r
o
l
l
a
r

d
e

l
a

a
u
t
o
e
v
a
l
u
a
c
i
n

u
n
i
d
a
d

2

d
e

l
a

g
u
a
.

C
o
n
t
i
n
u
a
r

c
o
n

e
l

d
e
s
a
r
r
o
l
l
o

d
e

l
a

e
v
a
l
u
a
c
i
n

a

d
i
s
t
a
n
c
i
a

d
e
l

c
o
m
p
o
n
t
e
.

D
e
s
c
r
i
b
e

l
a
s

d
i
f
e
r
e
n
t
e
s

m
e
t
o
d
o
l
o
g
a
s

d
e

c
o
n
t
r
o
l

i
n
t
e
r
n
o
.

I
d
e
n
t
i
c
a

l
o
s

r
i
e
s
g
o
s

e
n

l
a

s
e
g
u
r
i
d
a
d

i
n
f
o
r
m
t
i
c
a
.

E
s
p
e
c
i
c
a

u
n

p
l
a
n

d
e

c
o
n
t
i
n
g
e
n
c
i
a

i
n
d
e
p
e
n
d
i
e
n
t
e
m
e
n
t
e

d
e

l
a

e
m
p
r
e
s
a

e
n

l
a

q
u
e

s
e

a
p
l
i
q
u
e
.
S
e
m
a
n
a

2
,

3

y

4

1
2

h
o
r
a
s

d
e

e
s
t
u
d
i
o

p
e
r
s
o
n
a
l

1
2

h
o
r
a
s

d
e

i
n
t
e
r
a
c
c
i
n
I
d
e
n
t
i
c
a

l
o
s

e
l
e
m
e
n
t
o
s

f
u
n
d
a
m
e
n
t
a
l
e
s

q
u
e

c
o
n
f
o
r
m
a
n

u
n

d
e
p
a
r
t
a
m
e
n
t
o

d
e

a
u
d
i
t
o
r
a

d
e

l
o
s

s
i
s
t
e
m
a
s

d
e

l
o
s

S
I
.
D
e
n
e

e
l

p
e
r
l

d
e

u
n

a
u
d
i
t
o
r

i
n
f
o
r
m
t
i
c
o
.
U
N
I
D
A
D
3
.

E
l

D
e
p
a
r
t
a
m
e
n
t
o

d
e

a
u
d
i
t
o
r
a

d
e

l
o
s

S
I

y

l
a

t
i
c
a

d
e
l

A
u
d
i
t
o
r

d
e

l
o
s

S
I
.
3
.
1
.

M
i
s
i
n

d
e
l

d
e
p
a
r
t
a
m
e
n
t
o

d
e

a
u
d
i
t
o
r
a

d
e

l
o
s

S
I
.
3
.
2
.

O
r
g
a
n
i
z
a
c
i
n

d
e
l

d
e
p
a
r
t
a
m
e
n
t
o

d
e

a
u
d
i
t
o
r
a

d
e

l
o
s

S
I
.
3
.
3
.

P
l
a
n
i
f
i
c
a
c
i
n

d
e
l

t
r
a
b
a
j
o

d
e

A
u
d
i
t
o
r
a
.
3
.
4
.

E
l

e
q
u
i
p
o

d
e

a
u
d
i
t
o
r
a

d
e

S
I
.

L
e
c
t
u
r
a

d
e

l
a

u
n
i
d
a
d

3

d
e

l
a

g
u
a

d
i
d
c
t
i
c
a
,

c
a
p
t
u
l
o

5

y

7

d
e
l

t
e
x
t
o

b
s
i
c
o
.

R
e
a
l
i
z
a
r

l
a
s

l
e
c
t
u
r
a
s

r
e
c
o
m
e
n
d
a
d
a
s

d
e

l
a

u
n
i
d
a
d
.

P
a
r
t
i
c
i
p
a
r

e
n

e
l

E
V
A
,

f
o
r
o

e

i
n
t
e
r
a
c
c
i
o
n
e
s
.

D
e
s
a
r
r
o
l
l
a
r

l
a

a
u
t
o
e
v
a
l
u
a
c
i
n

d
e

l
a

u
n
i
d
a
d

3

d
e

l
a

g
u
a
.

F
i
n
a
l
i
z
a
r

e
l

d
e
s
a
r
r
o
l
l
o

d
e

l
a

e
v
a
l
u
a
c
i
n

a

d
i
s
t
a
n
c
i
a

d
e
l

c
o
m
p
o
n
t
e
.

R
e
c
o
n
o
c
e

l
a

i
m
p
o
r
t
a
n
c
i
a

d
e
l

d
e
p
a
r
t
a
m
e
n
t
o

d
e

a
u
d
i
t
o
r
a

d
e

l
o
s

S
I

e
n

u
n
a

e
m
p
r
e
s
a
.

I
d
e
n
t
i
c
a

l
a

u
b
i
c
a
c
i
n

d
e
l

d
e
p
a
r
t
a
m
e
n
t
o

d
e

a
u
d
i
t
o
r
a

d
e

l
o
s

S
I
.

D
e
s
c
r
i
b
e

e
l

p
e
r
l

e
x
a
c
t
o

d
e

u
n

a
u
d
i
t
o
r

i
n
f
o
r
m
t
i
c
o
.

D
i
f
e
r
e
n
c
i
a

l
o
s

p
r
i
n
c
i
p
i
o
s

d
e
o
n
t
o
d
o
l
g
i
c
o
s

d
e

u
n

a
u
d
i
t
o
r

i
n
f
o
r
m
t
i
c
o
.
S
e
m
a
n
a

5

y

6

8

h
o
r
a
s

d
e

e
s
t
u
d
i
o

p
e
r
s
o
n
a
l

8

h
o
r
a
s

d
e

i
n
t
e
r
a
c
c
i
n
U
n
i
d
a
d
e
s

1

a

3

R
e
v
i
s
i
n

d
e

c
o
n
t
e
n
i
d
o
s

c
o
m
o

p
r
e
p
a
r
a
c
i
n

p
a
r
a

l
a

e
v
a
l
u
a
c
i
n

p
r
e
s
e
n
c
i
a
l
.
S
e
m
a
n
a

7

y

8

8

h
o
r
a
s

d
e

e
s
t
u
d
i
o

p
e
r
s
o
n
a
l

8

h
o
r
a
s

d
e

i
n
t
e
r
a
c
c
i
n
13
PRIMER BIMESTRE
6.3. Sistema de evaluacin (primero y segundo bimestre)
Formas de evaluacin
Competencia: criterio
1
.

A
u
t
o
e
v
a
l
u
a
c
i
n

*
2. Heteroevaluacin
3
.

C
o
e
v
a
l
u
a
c
i
n
Evaluacin a
distancia **
Evaluacin
presencial
P
a
r
t
e

o
b
j
e
t
i
v
a
P
a
r
t
e

d
e

e
n
s
a
y
o

I
n
t
e
r
a
c
c
i
n

e
n

e
l

E
V
A
P
r
u
e
b
a

o
b
j
e
t
i
v
a
A
c
t
i
t
u
d
e
s
Comportamiento tico x x x x x
Cumplimiento, puntualidad,
responsabilidad
x x x x x x
Esfuerzo e inters en los trabajos x x x x x x
Respeto a las personas y a las
normas de comunicacin
x x
H
a
b
i
l
i
d
a
d
e
s
Creatividad e iniciativa x x x x x
Contribucin en el trabajo
colaborativo y de equipo
x x
Presentacin, orden y ortografa x x x x
Emite juicios de valor
argumentadamente
x
C
o
n
o
c
i
m
i
e
n
t
o
s
Dominio del contenido x x x x x x
Investigacin (cita fuentes de
consulta)
x x x
Aporta con criterios y soluciones x x x
Anlisis y profundidad en el
desarrollo de temas
x
PORCENTAJE
E
s
t
r
a
t
e
g
i
a

d
e

a
p
r
e
n
d
i
z
a
j
e
10% 20% 30%
M
x
i
m
o

1

p
u
n
t
o

(
c
o
m
p
l
e
t
a

l
a

e
v
a
l
u
a
c
i
n

a

d
i
s
t
a
n
c
i
a
)
70%
A
c
t
i
v
i
d
a
d
e
s

p
r
e
s
e
n
c
i
a
l
e
s

y

e
n

e
l

E
V
A
Puntaje 2 4 6 14
TOTAL 20 puntos
Para aprobar la asignatura se requiere obtener un puntaje mnimo de 28/40 puntos, que equivale al 70%.
* Son estrategias de aprendizaje, no tienen calicacin; pero debe responderlas con el n de autocomprobar su
proceso de aprendizaje.
** Recuerde que la evaluacin a distancia consta de dos partes: una objetiva y otra de ensayo, debe desarrollarla
y enviarla a travs del EVA segn las fechas establecidas.
Seor estudiante:
Tenga presente que la fnalidad de la valoracin cualitativa es
principalmente formativa.
14
PRIMER BIMESTRE
6.4. Orientaciones especficas para el aprendizaje por competencias
UNIDAD 1. CONTROL INTENO Y AUDITORA DE SISTEMAS DE INFORMACIN
Estimado estudiante, iniciamos el estudio del componente educativo mencionando temas fundamentales
que se requiere conocer dentro de Auditora Informtica, definiciones de Tecnologa de Informacin,
Auditora de Sistemas de Informacin, funciones de la Auditora Informtica y funciones de Control
Interno Informtico; comenzamos revisando algunos conceptos bsicos de Auditora Informtica; esto
le ayudar a comprender el objeto de estudio de la misma.
Para iniciar el estudio de este tema le recomiendo acudir al texto bsico y revisar el captulo primero
titulado Control Interno y Auditora de Sistemas de Informacin, y el Video Auditora de un Sistema
de Informacin , el cual lo puede encontrar en el siguiente enlace: http://www.youtube.com/
watch?v=IgN3hrS5rJ4

Cmo le fue con la lectura?. Si no comprendi algo. Lea nuevamente puesto que el tema es clave para
diferenciar entre Control Interno y Auditora de sistemas de Informacin.
Si a su criterio est comprendido el tema planteado, ahora puede emitir sus ideas personales con
respecto a la lectura, acuda a su libro de trabajo y conteste las siguientes preguntas:
Qu es un control interno informtico?
Qu tipos de controles internos hay?
Qu hace la auditora de sistemas de informacin?
Principales diferencias entre control interno informtico y auditora informtica?
Una vez que ha respondido las interrogantes planteadas, avancemos con el estudio de esta unidad.
1.1. Introduccin al control interno y auditora de sistemas de informacin
Definamos la informacin dentro de una organizacin moderna como los datos que han sido recogidos,
procesados, almacenados y recuperados con el propsito de la toma de decisiones en las diferentes
reas que conforman una organizacin (econmica, financiera, informtica. de produccin, etc ). Es por
esto que hoy en da la informacin es un recurso bsico en una organizacin al igual que lo son las
personas, las materias primas y los equipos.
Una de las tareas principales de los directivos de una organizacin es la toma de decisiones. Y esta
depende directamente de la calidad de informacin de quien las soporta. Para ello es importante
tomar en cuenta estos requerimientos: Un profundo conocimiento de las circunstancias que rodean un
problema, conocimiento de soluciones disponibles y de estrategias.
15
PRIMER BIMESTRE
Con todo esto entendemos que la informacin es un recurso crtico, que debe ser exacto y completo, debe
estar 100% disponible y su principal caracterstica ser confidencial. Para lograr que la informacin tenga
cada uno de los atributos mencionados las organizaciones se vieron obligadas a implantar normativas o
estrategias que les ayude a la regulacin o bsqueda de la eficiencia en los procesos internos.
En el captulo 1 del libro bsico, nos dan algunas razones de porqu la necesidad de implementar
controles en las diferentes actividades de la organizacin.
Una de las principales razones nos habla de la creciente dependencia de las organizaciones, puesto
que hoy en da, todas estas constan con una estructura basada en un Sistema de Informacin cuyos
elementos se muestran en la siguiente figura

.
Figura1: Elementos de un Sistema de informacin.
Fuente: Jesuja. (2008)
El control sobre un sistema de informacin complejo debe ser ms riguroso, por lo que algunas
organizaciones optan por la aplicacin de la Auditora Informtica.
Es primordial que se diferencie muy bien el control interno de los procesos de una organizacin y la
auditora informtica de la misma.
Lectura Recomendada:
Lea el REA que lo encuentra en el siguiente enlace: http://www.auditoriapublica.com/
hemeroteca/200704_41_97.pdf. Para comprender como se relaciona la auditora informtica y el
control interno.
Con la finalidad que comprenda cada tema relacionado con la materia, usaremos las cuestiones
de repaso que se encuentran al final de cada captulo del texto bsico del componente
acadmico. No olvide que se usarn muchos recursos colgados en el internet, los cuales sern
herramientas bsicas para mejorar la comprensin de cada tema.
16
PRIMER BIMESTRE
1.2. Funciones de control interno y auditora informtica
1.2.1. Control interno informtico
El C.I. (Control Interno) controla la estructura, las polticas, el plan de la organizacin, el conjunto de
mtodos y procedimientos y las cualidades del personal de la empresa que aseguren:
Que los activos estn protegidos.
Que la informacin sea vlida y confiable.
Que las actividades se desarrollan eficazmente.
Que se cumplan las polticas y directrices marcadas por la direccin.
Se debe tener claro que una organizacin no puede solamente tener C.I. en departamentos contables y
financieros, sino que abarca otros tipos de control, como los de gestin y eficiencia operativa, controles
informticos, etc. Los controles aplicados son diferentes pero el fin es el mismo.
Seguidamente enlistamos los objetivos que se debe lograr al aplicar un control interno informtico en
una organizacin:
Objetivos del control interno informtico:
Establecer como prioridad la seguridad y proteccin de la informacin del sistema computacional y de
los recursos informticos de la empresa.
Promover la confiabilidad, oportunidad y veracidad de la captacin de datos, su procesamiento en el
sistema y la emisin de informes en la empresa.
Implementar los mtodos, tcnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo
de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos
de sistemas en la empresa.
Instaurar y hacer cumplir las normas, polticas y procedimientos que regulen las actividades de
sistematizacin de la empresa.
Establecer las acciones necesarias para el adecuado diseo e implementacin de sistemas computarizados,
a fin de que permitan proporcionar eficientemente los servicios de procesamiento de informacin en la
empresa.
1.2.2. Auditora Informtica (AI)
Piattini (2008), nos dice que la Auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos,
lleva a cabo eficazmente las actividades de la organizacin y utiliza eficientemente los recursos (p.7).
Recordemos las definiciones de PROCESO: es un conjunto de actividades o eventos (coordinados u
organizados) que se realizan o suceden (alternativa o simultneamente) bajo ciertas circunstancias con
un fin determinado (Stoner, 1996).
En base a las definiciones anteriores podemos denominar a la Auditora Informtica, como un conjunto
de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar asuntos
17
PRIMER BIMESTRE
relativos a la planificacin, control eficacia, seguridad y adecuacin del sistema de informacin de la
empresa. Se lo puede determinar como un examen metdico (o proceso), puntual, con vistas a mejorar
en: Rentabilidad, Seguridad y Eficacia.
Para que usted comprenda de mejor manera la diferencia entre control interno y auditora
informtica debe revisar la figura 1.1 encontrada en el captulo 1 del texto bsico llamada
Similitudes y diferencias entre control interno y auditora informticos.
Las diferencias y similitudes del control interno y auditora informtica, nos ayudan a comprender de
mejor manera lo que es un sistema de control interno.
1.2.3. Sistema de control interno
Es el conjunto de acciones, actividades, planes, polticas, normas, registros, procedimientos y mtodos,
incluido el entorno y actitudes que desarrollan autoridades y su personal a cargo, con el objetivo de
prevenir posibles riesgos que afectan a una organizacin.
Para asegurar la integridad, disponibilidad y eficacia de los sistemas se necesitan complejos mecanismos
de controles automticos o manuales.
Tipos de controles de un sistema de control Interno:
Controles preventivos: Evita que suceda una circunstancia o hecho.
Controles detectivos: Detectan los controles preventivos que no funcionaron.
Controles correctivos: Funcionamiento con normalidad del sistema una vez que se
produjeron incidencias.
1.2.4. Implementacin de un Sistema de controles internos informticos
Los controles internos informticos se pueden implantar en varios niveles del sistema, teniendo como
primer objetivo y el ms importante, conocer la configuracin del sistema, para identificar elementos,
productos y herramientas, con el fin de saber especficamente en dnde es necesario la implantacin de
estos controles para evitar posibles riesgos.
Los niveles de control a tomar en cuenta para conocer la configuracin del sistema de controles internos
informticos, son:
Entorno de red.
Configuracin del ordenador.
Entorno de aplicaciones.
Productos y herramientas.
Seguridad del ordenador base.
Gestin de sistemas de informacin.
18
PRIMER BIMESTRE
Administracin de sistemas.
Seguridad.
Gestin de cambio.
Direccin de negocio o de sistemas de informacin.
Direccin de informtica.
Control interno informtico.
Auditor interno/externo informtico.
Existen algunos controles internos para sistemas de informacin que el equipo de Control Interno
Informtico y Auditora Informtica deberan verificar para determinar su cumplimiento y validez en
la organizacin (Piattini, 2008). Estos controles internos se agrupan en 6 grandes grupos, enlistados a
continuacin:
Controles Generales Organizativos
Controles de desarrollo, adquisicin y mantenimiento de sistemas de informacin.
Controles de explotacin de sistemas de informacin
Controles de Aplicaciones
Controles especficos de ciertas tecnologas
Controles de Calidad
Lea detenidamente los Controles Generales Organizativos del captulo 1 del texto bsico.
Debe ingresar al EVA y contestar el cuestionario propuesto para esta temtica con el fin de
ayudarle a diferenciar cada uno de estos controles.
Toda empresa, pblica o privada, que posea Sistemas de Informacin medianamente complejos, debe
de someterse a un control estricto de evaluacin de eficacia y eficiencia de este sistema. El xito de
una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede contar con
personal altamente capacitado, pero si tiene un sistema informtico propenso a errores, lento, frgil e
inestable; nunca alcanzar los objetivos para los que fue creada.
El control interno comprende el plan de organizacin, los mtodos y procedimientos que tiene
establecidos una empresa o negocio, constituidos en un todo para la obtencin de tres objetivos
principales: a) la obtencin de informacin financiera correcta y segura, b) la salvaguarda de los activos
y c) la eficacia de las operaciones. Es importante que estos tres objetivos funcionen adecuadamente en
las empresas puesto que permite el manejo adecuado de los bienes, funciones e informacin de una
empresa determinada, con el fin de generar una indicacin confiable de su situacin y sus operaciones
en el mercado.
Las auditoras informticas se conforman obteniendo informacin y documentacin de todo tipo. Los
informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad
19
PRIMER BIMESTRE
o fortaleza de los diferentes medios. El trabajo del auditor consiste en obtener toda la informacin
necesaria para emitir un juicio global objetivo, siempre amparado con las evidencias comprobatorias o
pruebas necesarias que respalden su juicio.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un
procesamiento electrnico. Tambin debe estar preparado para enfrentar sistemas computarizados en
los cuales se encuentra la informacin necesaria para auditar.
La auditora debe ampliar su enfoque no solo a la evaluacin de controles sino tambin a la evaluacin
de riesgos y de esta manera avanzar hacia una auditora preventiva.
Para contribuir en la prevencin de riesgos, es recomendable que las polticas en materia de administracin
de reservas sean conocidas en forma oportuna por la auditora interna y que segaranticen los mecanismos
institucionales necesarios para que ello ocurra, como podra ser el comit de inversiones.
ACTIVIDADES RECOMENDADAS
Para conocer mas las diferencias entre Auditora y Control interno le recomiendo leer el
artculo que lo encontrar en el siguiente enlace: http://www.utu.edu.uy/Publicaciones/
Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf
Posteriormente ingrese al EVA para participar en el foro creado para esta temtica.
20
PRIMER BIMESTRE
Autoevaluacin 1
Conteste correctamente la siguiente autoevaluacin (seleccione una respuesta correcta en cada
pregunta de mltiples opciones o caso contrario conteste V si es verdadero o F si es falso):
1. ( ) El Control Interno Informtico asegura que las medidas de los mecanismos
implantados sean solamente correctas.
2. ( ) La Auditora Informtica es el proceso de recoger evidencias para determinar si un
control es vlido.
3. ( ) Los informes del Control Interno Informticos son enviados a la Direccin de
Departamento de Informtica.
4. ( ) Los Controles Detectivos son usados para conocer donde est la falla porque el
control preventivo no funcion.
5. ( ) Los Controles Correctivos son usados para evitar que ciertos riesgos del sistema de
informacin se ejecuten.
6. Cul del los controles de la siguiente lista no es un control general organizativo.
a. Estndares
b. Polticas
c. Metodologa del Ciclo de Vida
d. Polticas del Personal
7. Dentro de los controles generales organizativos planicacin, a que planes se debe efectuar el
control:
a. Plan a corto, mediano y largo plazo.
b. Plan Estratgico de Informacin, Informtico, General de Seguridad y de emergencia de
desastre.
c. Plan de gestin de recursos.
d. Plan de procedimientos de eleccin de sw y hw.
8. ( ) El auditor es el responsable de revisar e informar a la Direccin de Informtica el
funcionamiento de los controles implantados.
9. ( ) La Direccin de Informtica, dene las directrices para los sistemas de informacin en
base a la exigencia del negocio, que podrn ser internas o externas.
10. ( ) El Plan Informtico, garantiza la condencialidad, integridad y disponibilidad de la
informacin.
21
PRIMER BIMESTRE
Las respuestas a esta autoevaluacin se encuentran al final de la presente gua didctica,
compare las respuestas, si no logr un buen resultado en la autoevaluacin, no se preocupe le
recomiendo leer nuevamente el/los captulos confusos y reforzar sus conocimientos. Y si an
tiene inquietudes no dude en preguntar al profesor.
Hemos terminado la primera unidad!
Felicitaciones
22
PRIMER BIMESTRE
UNIDAD 2. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORA DE SISTEMAS DE INFORMACIN
Estimado alumno, empezamos el segundo captulo de la asignatura, aqu estudiaremos que es una
metodologa y las diferentes metodologas de control interno, as como, la seguridad de los sistemas de
informacin.
Para iniciar el estudio de esta nueva unidad le recomendamos acudir al captulo 2 del texto
bsico Auditora de Tecnologas y sistemas de Informacin.
Qu opina de la lectura? Tienen dudas o inquietudes? A continuacin las iremos resolviendo!
2.1. Introduccin a las metodologas
Antes de ampliar este tema, debemos saber la definicin de METODOLOGA: ciencia del mtodo; MTODO:
modo de hacer con orden una cosa (Real Academia Espaola).
Sabemos que la informtica es una materia compleja y que se han desarrollado metodologas para
entender ciertos mbitos de la misma, y uno de estos mbitos es la auditora de sistemas de informacin
y la seguridad de sistemas de informacin.
El uso de una metodologa en auditora nos ayuda a obtener resultados homogneos en grupos de
trabajo heterogneos.
Ahora bien, la Seguridad de los Sistemas de Informacin es la doctrina que trata de los riesgos informticos
y creados por la informtica, por lo tanto, el nivel de seguridad informtica es un gran objetivo a evaluar,
estando directamente relacionado con la calidad y eficiencia de un conjunto de acciones y medidas
destinadas a proteger y preservar la informacin de la organizacin. Para ello tenemos un soporte de
contramedidas para identificar los puntos dbiles y poder mejorarlos, esta es la funcin del auditor
informtico.
Segn la Real Academia Espaola una contramedida es: una medida tomada para paliar (atenuar,
disminuir, suavizar, debilitar o aliviar) o anular otra medida. Est formada por varios factores, decritos en
la siguiente figura:
23
PRIMER BIMESTRE
Figura 2: Factores de una contramedida.
Fuente: Piattini, M., Del Peso, E., y Del Peso, M. (2008).
Presentamos detalladamente lo que es cada factor de una contramedida:
1. La Normativa: debe denir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto
desde el punto de vista conceptual, como prctico, desde lo general a lo particular. Debe inspirarse
en estndares, polticas, marco jurdico, polticas y normas de empresa, experiencia y prctica
profesional. Desarrollando la normativa, debe alcanzarse el resto del grco valor mostrado en la
Figura 3. Se puede dar el caso en que una normativa y su carcter disciplinado sea el nico control
de un riesgo ( aunque esto no sea frecuente).
2. La Organizacin: la integran personas con funciones especcas y con actuaciones concretas,
procedimientos denidos metodolgicamente y aprobados por la direccin de la empresa. ste
es el aspecto ms importante, dado que sin l, nada es posible. Se pueden establecer controles
sin alguno de los dems aspectos, pero nunca sin personas, ya que son stas las que realizarn
los procedimientos y desarrollan los diversos planes (Plan de Seguridad, Plan de Contingencias,
Auditoras, etc).
3. Las Metodologas: son necesarias para desarrollar cualquier proyecto que nos propongamos de
manera ordenada y ecaz.
4. Los Objetivos de Control: son los objetivos a cumplir en el control de procesos. Este concepto es
el ms importante despus de la organizacin, y solamente de un planteamiento correcto de los
mismos, saldrn unos procedimientos ecaces y realistas.
5. Los Procedimientos de Control: son los procedimientos operativos de las distintas reas de
la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios
objetivos de control y, por lo tanto, deben estar documentados y aprobados por la Direccin. La
tendencia habitual de los informticos es la de dar ms peso a la herramienta que al propio control
o contramedida, pero no se debe olvidar que una herramienta nunca es solucin sino una ayuda
para conseguir un control mejor. Sin la existencia de estos procedimientos, las herramientas de
control son solamente una ancdota.
6. La Tecnologa de Seguridad: dentro de este nivel, estn todos los elementos (hardware y
software) que ayudan a controlar un riesgo informtico. En este concepto estn los cifradores,
autenticadores, equipos denominados tolerantes al fallo, las herramientas de control, etc.
24
PRIMER BIMESTRE
7. Las Herramientas de Control: son elementos del software que permiten denir uno o varios
procedimientos de control para cumplir una normativa y un objetivo de control.
Todos estos factores estn relacionados entre s, as como la calidad de cada uno con la de los dems
(Piattini, 2008). Cuando se evala el nivel de Seguridad de Sistemas en una institucin, se estn evaluando
todos estos factores (mencionados antes), y se plantea un Plan de Seguridad nuevo que mejore factores,
aunque conforme vayamos realizando los distintos proyectos del plan, no irn mejorando todos por
igual. Al finalizar el plan se habr conseguido una situacin nueva en la que el nivel de control sea
superior al anterior.
Entonces, Qu es la Seguridad Informtica?: La Seguridad Informtica se refiere a las caractersticas
y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su
confidencialidad, integridad y disponibilidad.
Figura 3: Denicin de Seguridad.
Fuente: Erb, M. (2008)
Entonces llamaremos Plan de Seguridad a una estrategia planificada de acciones y proyectos que lleven
a un sistema de informacin y sus centros de proceso de una situacin inicial determinada (y a mejorar)
a una situacin mejorada. En la siguiente figura puede visualizar la organizacin interna de la seguridad
informtica en una organizacin o empresa:

Figura 4: Sistema de Seguridad Fuente:
Piattini, M., Del Peso, E., y Del Peso, M. (2008).
25
PRIMER BIMESTRE
La organizacin interna de la seguridad informtica estar formada por una parte por un comit que
estara formado por el director de la estrategia y de las polticas; y por otra parte, el control interno
y la auditora informtica. La funcin del control interno se ve involucrada en la realizacin de los
procedimientos de control, y es una labor del da a da.
La funcin de la auditora informtica est centrada en la evaluacin de los distintos aspectos que
designe su Plan Auditor, con unas caractersticas de trabajo que son las visitas concretas al centro, con
objetivos concretos y, tras terminar su trabajo, la presentacin del informe de resultados.
2.2. Metodologas de evaluacin de sistemas
2.2.1. Conceptos fundamentales
AMENAZA: es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre los elementos de un sistema de informacin.
Debido a que la seguridad informtica tiene como propsito garantizar la confidencialidad,
integridad, disponibilidad y autenticidad de los datos e informaciones, en caso de que no se
controlen las amenazas, ests podran afectar directamente a este propsito, afectando muchas
veces de manera irreparable a la organizacin o empresa. La siguiente figura presenta ejemplos
de amenazas:
Figura 5: Denicin de Amenazas.
VULNERABILIDAD: es la capacidad, las condiciones y caractersticas del sistema mismo
(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado
de sufrir algn dao. En otras palabras, es la capacidad y posibilidad de un sistema de
responder o reaccionar a una amenaza o de recuperarse de un dao.
Las vulnerabilidades estn en directa interrelacin con las amenazas porque si no existe
una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede
ocasionar un dao. La figura siguiente enlista algunos ejemplos de vulnerabilidades:
26
PRIMER BIMESTRE
Figura 6: Tipos de Vulnerabilidades.
RIESGO: es la incertidumbre que ocurra un evento que podra tener un impacto en el logro
de los objetivos de la organizacin. Los riesgos cuando se materializan, se denominan errores,
irregularidades u omisiones, los cuales pueden generar una prdida monetaria, en la imagen de la
organizacin o incumplimiento de normativa externa.
EXPOSICIN O IMPACTO: es la evaluacin del efecto del riesgo. Se puede evaluar cuantitativamente
con la frmula Riesgo = Impacto * Probabilidad. En donde, Impacto: es el efecto o consecuencia
cuando el riesgo se materializa y Probabilidad: representa la posibilidad que un evento dado
ocurra. En la figura visualizamos ejemplos de la medicin de riesgos lgicos:

Figura 7: Ejemplo de Riesgo e Impacto.
27
PRIMER BIMESTRE
Todos los riesgos que se presentan podemos (Piattini, 2008):
Evitarlos (Ejemplo: no construir un centro donde hay peligro constante de inundaciones).
Transferirlos (Ejemplo: uso de un centro de clculo contratado).
Reducirlos (Ejemplo: sistema de deteccin y extincin de incendios).
Asumirlos, que es lo que se hace si no se controla el riesgo en absoluto.
Para evitar, transferir y reducir riesgos, se acta si se establecen controles o contramedidas. Todas las
metodologas existentes en seguridad de sistemas van encaminadas a establecer y mejorar un conjunto
de contramedidas que garantizan que la probabilidad de que las amenazas se materialicen en hechos
(por falta de control) sea lo ms baja posible.
Existen dos tipos de metodologas desarrolladas y utilizadas en la auditora y control informtico para la
identificacin de riesgos: Cuantitativas y Cualitativas.
2.2.2. Metodologas cuantitativas
Basada en un modelo matemtico numrico que ayuda a la realizacin del trabajo.
Estn diseadas para producir una lista de riesgos que pueden compararse entre s con
facilidad por tener asignados unos valores numricos.
Debilidad de los datos de la probabilidad de ocurrencia por los pocos registros y poca
significacin de los mismos.
Tienen la imposibilidad o dificultad de evaluar econmicamente todos los impactos que
pueden suceder frente a la ventaja de poder usar un modelo matemtico para el anlisis.
2.2.3. Metodologas cualitativas
Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para
seleccionar en base a la experiencia acumulada.
Estn basadas en mtodos estadsticos.
Precisan de la colaboracin de un profesional experimentado.
Requieren menos recursos humanos/tiempo que las metodologas cuantitativas.
Una vez conocidas las diferencias, debe conocer que las metodologas ms comunes que podemos
encontrar de evaluacin de sistemas son de ANLISIS DE RIESGOS o de DIAGNSTICOS DE SEGURIDAD.
28
PRIMER BIMESTRE
2.2.4. Metodologas anlisis de riesgos
Estas metodologas nos ayudan a la identificacin de la falta de controles y el establecimiento de un plan
de contramedidas.
Dirjase al captulo 3 del texto bsico, lea y comprenda los pro y contras de la metodologas
cuantitativas y cualitativas, colocados en la figura 3.3 llamada Tipos de metodologas para el
anlisis de riesgos.
2.2.4.1. Gestin de riesgos en la seguridad informtica
La Gestin de Riesgo es un mtodo para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo o reducirlo, como lo indica la
siguiente figura:

Figura 8: Etapas de Gestin de Riesgo.
Un sistema de Gestin de Riesgos tienes 4 fases generales:
Anlisis: se determina los componentes de un sistema que requieren proteccin, las
vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado
de revelar su grado de riesgo al que est expuesto.
Clasificacin: se determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reduccin: se define e implementa las medidas de proteccin. Adems se sensibiliza y se
capacita a los usuarios conforme a las medidas.
Control: se analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
29
PRIMER BIMESTRE
Todo el proceso est basado en las llamadas polticas de seguridad, normas y reglas institucionales, que
forman el marco operativo del proceso, con el propsito de:
Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las
amenazas con el resultado de reducir el riesgo.
Orientar el funcionamiento organizativo y funcional.
Garantizar comportamiento homogneo.
Garantizar correccin de conductas o prcticas que nos hacen vulnerables.
Conducir a la coherencia entre lo que pensamos, decimos y hacemos.
2.2.4.2. Seguridad de la informacin y proteccin de datos
En la seguridad informtica se debe distinguir dos propsitos de proteccin, la seguridad de la
informacin y la proteccin de datos.
Seguridad de la informacin: La seguridad de la informacin es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la
informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica,
ya que este ltimo slo se encarga de la seguridad en el medio informtico, pero la informacin puede
encontrarse en diferentes medios o formas, y no slo en medios informticos.
Proteccin de Datos: Se trata de la garanta o la facultad de control de la propia informacin frente a
su tratamiento automatizado o no, es decir, no slo a aquella informacin albergada en sistemas
computacionales, sino en cualquier soporte que permita su utilizacin: almacenamiento, organizacin
y acceso.
Para reforzar ms la diferencia entre Seguridad de la Informacin y Proteccin de datos puede
leer el siguiente ejercicio, que lo encontrar en el siguiente enlace: http://protejete.wordpress.
com/gdr_principal/seguridad_informacion_proteccion/ejercicio/
En la Seguridad de la Informacin el objetivo de la proteccin son los datos mismos y trata de evitar su
prdida y modificacin no autorizada. La proteccin debe garantizar en primer lugar la confidencialidad,
integridad y disponibilidad de los datos, sin embargo existen ms requisitos como por ejemplo la
autenticidad entre otros (Erb, 2008).
El motivo para implementar medidas de proteccin en los datos, debe ser del propio inters de la
organizacin o persona que maneja los datos o puede ser una obligacin jurdica, tomando en cuenta
que la prdida o modificacin de los mismos, puede causar daos permanentes.
En el caso de la proteccin de datos su objetivo no son los datos en s mismo, sino el contenido de la
informacin que manejan las personas, para evitar el abuso de sta.
En algunos pases existen normas jurdicas que regulan el tratamiento de los datos personales, como
por ejemplo en Espaa, donde existe la Ley Orgnica de Proteccin de Datos de Carcter Personal que
30
PRIMER BIMESTRE
tiene por objetivo garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las
libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor,
intimidad y privacidad personal y familiar.
En el siguiente Observatorio Iberoamericano de Proteccin de Datos. (2013). http://oiprodat.
com/2013/04/04/pequena-y-mediana-empresa-y-ley-organica-de-proteccion-de-datos/.
Encontrar una lectura que le dar una mejor comprensin de la relacin entre la ley orgnica
de proteccin de datos y una empresa.
Existen algunos motivos por los que la Seguridad de la Informacin no se puede dar adecuadamente.
Podemos observarlos en la siguiente figura:

Figura 9: Restos de la Seguridad de la Informacin.
La Gestin de riesgo nos ayuda a implementar medidas de proteccin, evitando o reduciendo los daos
a un nivel aceptable, es decir a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daos
de la mejor manera posible.
Pero una buena Gestin de riesgos es un proceso dinmico y permanente que tiene que estar integrado
en los procesos (cotidianos) de la estructura institucional, que debe incluir a todas y todos los funcionarios
y que requiere el reconocimiento y apoyo de las directiva (Erb, 2008).
2.2.4.3. Anlisis de riesgos
Es el primer paso del proceso de Gestin de Riesgos, tiene como propsito determinar los componentes
de un sistema que requieren proteccin, las vulnerabilidades que los debilitan y las amenazas que lo
ponen en peligro, con el fin de valorar su grado de riesgo.
Para ello se debe conocer el concepto ms bsico en todo este proceso que es la INFORMACIN y sus
elementos (base clave de toda organizacin). En la siguiente figura se presenta en forma resumida:
31
PRIMER BIMESTRE

Figura 10: Elementos de Informacin.
A estos elementos de informacin hay que clasificarlos y averiguar su flujo de informacin interna o
externa y as saber quin tiene acceso a esa informacin. Un resumen se presenta en la siguiente figura:

Figura 11: Clasicacin y Flujo de Elementos de Informacin.
Clasificar los datos y analizar el flujo de la informacin a nivel interno y externo es importante, porque
ambos influyen directamente en el resultado del anlisis de riesgo y las consecuentes medidas de
proteccin. Slo si se sabe quines tienen acceso a qu datos y su respectiva clasificacin, se puede
determinar el riesgo de los datos al sufrir un dao causado por un acceso no autorizado.
Con esta clasificacin procedemos al ya CUANTITATIVO ANLISIS DE RIESGO, con su frmula, mostrada
en la siguiente figura:
32
PRIMER BIMESTRE

Figura 12: Anlisis de Riesgo - Frmula.
Existen varios mtodos de como valorar un riesgo y al final, todos tienen los mismos resultados y
conclusiones.
Erb, M. (2008), fundamenta que para poder analizar un riesgo es importante reconocer que cada riesgo
tiene sus caractersticas, estas pueden ser:
Dinmico y cambiante (Interaccin de Amenazas y Vulnerabilidad).
Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad).
No siempre es percibido de igual manera entre los miembros de una institucin por tanto es
importante que participen las personas especialistas de los diferentes elementos del sistema
(Coordinacin, Administracin financiera, Tcnicos, Conserje, Soporte tcnico externo, etc.)
Si una amenaza se convirti en realidad se denomina Ataque, es decir cuando un evento se realiz. Pero
el ataque no especifica si los datos e informaciones fueron perjudicados respecto a su confidencialidad,
integridad, disponibilidad y autenticidad. Entonces, debemos saber cmo valorar la probabilidad de
amenaza, un ejemplo est en la siguiente figura:
33
PRIMER BIMESTRE

Figura 13: Para estimar la Probabilidad de Amenaza.
Existen algunas interrogantes o razones que ayudan a enfocar mejor la valoracin una amenaza. Erb
(2008), enlista algunas de estas razones:
Cul es el inters o la atraccin por parte de individuos externos, de atacar la
organizacin? Algunas razones pueden ser que manejamos informacin que contiene
novedades o innovacin, informacin comprometedora, etc. Existe una probabilidad de
que nuestros competidores sean compaeros de la organizacin.
Cules son las vulnerabilidades de la organizacin? Es importante considerar todos los
grupos de vulnerabilidades. Tambin se recomienda incluir los expertos, especialistas de las
diferentes reas de trabajo para obtener una imagen ms completa y ms detallada sobre
la situacin interna y el entorno.
Cuntas veces han tratado de atacar la organizacin? Ataques pasados nos sirven para
identificar una amenaza y si su ocurrencia es frecuente. En el caso de que ya se tenga
implementadas medidas de proteccin es importante llevar un registro, que muestra los
casos cuando la medida se aplic exitosamente y cuando no.
Existen condiciones de incumplimiento de confidencialidad (interna y externa)?
Esto normalmente se da cuando personas no autorizadas tienen acceso a informacin y
conocimiento ajeno que pondr en peligro la misin de la empresa.
Existen condiciones de incumplimiento de obligacin jurdicas, contratos y convenios?
No cumplir con las normas legales fcilmente puede culminar en sanciones penales o
econmicas, que perjudican nuestra misin, existencia laboral y personal.
Cul es el costo de recuperacin? No solo hay que considerar los recursos econmicos,
tiempo, materiales, sino tambin el posible dao de la imagen pblica y emocional.
Se habla de un impacto, cuando un ataque exitoso perjudic la confidencialidad, integridad,
disponibilidad y autenticidad de los datos e informaciones.
34
PRIMER BIMESTRE
Leer el captulo Aspectos principales para una poltica interna de seguridad de la informacin,
pgina 28 a 35, donde se aborda los temas de flujo de datos (pgina 29 y 30): Flores, C. (2009).
Recuperado de: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.
pdf
Para los siguientes pasos de la Gestin de Riesgos nos vamos a referir a un ejemplo para su entendimiento,
cabe recalcar que este ejemplo les ayudar a concluir con el estudio de este tema, ya que est basado
en datos donde claramente se especifica cmo se hacen paso a paso. Enlace: http://protejete.wordpress.
com/gdr_principal/matriz_riesgo/, al ir al final de esta pgina web debe dar clic en siguiente para que
d continuidad al ejemplo.
A continuacin se presenta una imagen donde resume el esquema bsico-general de una metodologa
de anlisis de riesgo:

Figura 14: Metodologa de Anlisis de Riesgo.
Recomendacin:
Si tiene algn problema en el desarrollo la comprensin del ejercicio no dude en
realizar preguntas en el foro de la materia.
2.2.4.4. Plan de contingencia
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo (en cuestiones de riesgos).
Presenta una estructura estratgica y operativa que ayudar a controlar una situacin de emergencia y
a minimizar sus consecuencias negativas.
El plan de contingencia propone una serie de procedimientos alternativos al funcionamiento normal
de una organizacin, cuando alguna de sus funciones usuales se ve perjudicada por una contingencia
interna o externa.
Esta clase de plan, por lo tanto, intenta garantizar la continuidad del funcionamiento de la organizacin
frente a cualquier eventualidad, ya sean materiales o personales. Un plan de contingencia incluye cuatro
etapas bsicas: la evaluacin, la planificacin, las pruebas de viabilidad y la ejecucin, como se muestra
en la siguiente figura:
35
PRIMER BIMESTRE

Figura 15: Pasos de un Plan de contigencias.
2.2.4.4.1. Fases de un plan de contingencia
Piattini (2008), hace referencia a tres fases de un plan de contingencia, estas son:
Anlisis y Diseo: se estudia la problemtica, las necesidades de recursos, las alternativas de
respaldo, y se analiza el coste/beneficio de las mismas. Es la fase ms importante, pues nos
ayuda a verificar si es viable o es muy costoso su seguimiento.
Desarrollo del Plan: esta fase y la siguiente son similares en todas las metodologas. En ella
se desarrolla la estrategia seleccionada, implantndose hasta el final todas las acciones
previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los
procedimientos de actuacin generando, as, la documentacin del plan.
Pruebas y Mantenimiento: en esta fase se definen las pruebas, sus caractersticas y sus ciclos,
y se realiza la primera prueba como comprobacin de todo el trabajo realizado, as como
mentalizar al personal implicado.
Herramientas: en este caso, como en todas las metodologas, la herramienta es una
ancdota, y lo importante es tener y usar la metodologa apropiada para desarrollar
ms tarde la herramienta que se necesite. Toda herramienta debera tener, al menos, los
siguientes componentes: base de datos relacional, mdulo de entrada de datos, mdulo
de consultas, procesador de textos, generador de informes, ayudas on-line, hoja de clculo,
gestor de proyectos y generador de grficos.
2.2.5. Metodologas de auditoria informtica
Las metodologas de auditora informtica son del tipo cualitativo/subjetivo (podemos decir que son
las subjetivas por excelencia). Por tanto, estn basadas en profesionales de gran nivel de experiencia
y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen una gran
profesionalidad y formacin continuada (Piattini, 2008). Solo as esta funcin se consolidar en las
entidades, esto es, por el respeto profesional a los que ejercen la funcin.
Las metodologas que podemos encontrar en la auditora informtica son dos familias distintas:
Las auditoras de Controles Generales como producto estndar de las auditorias
profesionales.
36
PRIMER BIMESTRE
Las Metodologas de los auditores internos.
2.2.5.1. Las auditoras de controles generales y las metodologas de los auditores internos
El objetivo de las auditoras de controles generales es dar una opinin sobre la fiabilidad de los datos
del ordenador para la auditora financiera. El resultado externo es un breve informe como parte del
informe de auditora, donde se destacan las vulnerabilidades encontradas. Estn basadas en pequeos
cuestionarios estndares que dan como resultado informes muy generalistas (Piattini, 2008).
La metodologa de auditor interno debe ser diseada y desarrollada por el propio auditor, dependiendo
de su experiencia y habilidad para realizarla.
El esquema metodolgico del auditor est definido por el Plan de Auditor (Piattini, 2008).
Lectura Recomendada
Dirjase a la captulo 3 del texto bsico y Lea por favor el ejemplo de metodologa auditoria de
una aplicacin. Le servir mucho para comprender mejor la aplicacin de una metodologa de
auditor interno.
2.2.6. EL plan del auditor informtico
El Plan de Auditor Informtico es un esquema metodolgico donde se describe todo sobre su funcin y
el trabajo que realiza en la organizacin.
Seguidamente se presenta cuales son las partes bsicas de un plan auditor informtico, segn (Piattini,
2008). :
Funciones. Ubicacin de la figura en el organigrama de la empresa
Procedimientos para las distintas tareas de las auditoras. Entre ellos estn el procedimiento
de apertura, el de entrega y discusin de debilidades, entrega de informe preliminar, cierre de
auditora, redaccin de informe final, etc.
Tipos de auditoras que realiza. Metodologas y cuestionarios de las mismas. Existen dos tipos de
auditora segn su alcance: la Completa (Full) de un rea y la Accin de Inspeccin Correctiva
(Corrective Action Review o CAR) que es la comprobacin de acciones correctivas de auditoras
anteriores.
Sistema de evaluacin y los distintos aspectos que evala. Deben definirse varios aspectos a evaluar
como el nivel de gestin econmica, gestin de recursos humanos, cumplimiento de normas, etc,
as como realizar una evaluacin global de resumen para toda la auditora. Esta evaluacin final
nos servir para definir la fecha de repeticin de la misma auditora en el futuro, segn el nivel de
exposicin que se le haya dado a este tipo de auditora en cuestin.
Nivel de exposicin. Es un valor que permite definir la fecha de la repeticin de la misma auditora,
en base a la evaluacin final de la ltima auditora realizada sobre ese tema.
Plan quinquenal. Todas las reas a auditar deben corresponderse con cuestionarios metodolgicos
y deben repartirse en cuatro o cinco aos de trabajo. Esta planificacin, adems de las repeticiones
y aadido de las auditoras no programadas que se estimen oportunas, deber componer
anualmente el plan de trabajo (anual).
37
PRIMER BIMESTRE
Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario
que, una vez terminado, nos d un resultado de horas de trabajo previstas y, por tanto, de los
recursos que se necesitarn.
Herramientas. Que permita confeccionar los cuestionarios de las distintas auditoras.
Dirjase a la captulo 3 del texto bsico y Lea por favor el ejemplo de metodologa auditoria de
una aplicacin. Le servir mucho para comprender mejor la aplicacin de una metodologa de
auditor interno.
38
PRIMER BIMESTRE
Autoevaluacin 2
Conteste correctamente la siguiente evaluacin (seleccione una respuesta correcta en cada pregunta
de mltiples opciones o caso contrario conteste V si es verdadero o F si es falso):
1. ( ) El mtodo es un conjunto de herramientas y tcnicas, que juntas, dan como resultado
un producto en particular.
2. ( ) El factor ms importante de una contramedida es la Organizacin, ya que sin l, nada
es posible.
3. Cuando hablamos de la situacin creada por la falta de uno o varios controles, nos referimos a:
a. Amenaza
b. Vulnerabilidad
c. Riesgo
d. Impacto
4. Si la organizacin crea/tiene un sistema de deteccin y extincin de incendios, es para que el
riesgo sea:
a. Evitado
b. Transferido
c. Reducido
d. Asumido
5. ( ) Las metodologas cualitativas son basadas en el criterio y raciocinio humano capaz de
denir un proceso de trabajo y seleccionar en base a la experiencia.
6. ( ) Las metodologas de Anlisis de Riesgo estn desarrolladas para la identicacin de la
falta de controles y el establecimiento de un plan de contramedidas.
7. ( ) En este sentido, la Seguridad Informtica sirve para la proteccin de la informacin,
en contra de amenazas o peligros, para evitar daos y para maximizar riesgos,
relacionados con ella.
8. ( ) La Gestin de Riesgo es un mtodo solo para clasicar el riesgo y posteriormente
implementar mecanismos que permitan controlarlo.
9. ( ) En la Seguridad de la Informacin el objetivo de la proteccin son los datos mismos y
trata de evitar su perdida y modicacin no-autorizado.
10. ( ) El objetivo de la proteccin de datos no son los datos en s mismo, sino el contenido
de la informacin sobre personas, para evitar el abuso de sta.
11. ( ) Los Elementos de informacin son todos los componentes que contienen, mantienen
o guardan informacin. Tambin se los conoce como Activos o Recursos.
39
PRIMER BIMESTRE
12. ( ) Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin
que no puede producir un dao.
13. ( ) Riesgo = Probabilidad de Amenaza x Vulnerabilidad.
14. ( ) Plan de Contingencias es una estrategia planicada constituida por un conjunto de
recursos, una organizacin de emergencia y unos procedimientos.
15. Las fases de un Plan de Contingencias son:
a. Anlisis y Diseo.
b. Desarrollo del Plan
c. Pruebas y Mantenimiento
d. Todas las anteriores
16. ( ) El Plan del Auditor Informtico es el mismo que el Plan de Contingencias.
17. Cuando se habla de un valor denido que permite denir la fecha de la repeticin de la misma
auditora, en base a la evaluacin nal de la ltima auditora realizada sobre ese tema, se reere a :
a. Funciones
b. Procedimientos
c. Planes
d. Nivel de Exposicin
18. ( ) En el Plan de trabajo anual se debe estimar tiempos de manera racional y componer
un calendario que d un resultado de horas de trabajo previstas y, por tanto, los
recursos que se necesitarn.
Las respuestas a esta autoevaluacin se encuentran al final de la presente gua didctica, vaya
y compare las respuestas, si no logr un buen resultado en la autoevaluacin, no se preocupe
le recomiendo leer nuevamente el/los captulos confusos y reforzar sus conocimientos. Y si
an tiene inquietudes no dude en preguntar al profesor.
Hemos terminado la segunda unidad!
Felicitaciones y nimo con la siguiente unidad.
40
PRIMER BIMESTRE
UNIDAD 3. EL DEPARTAMENTO DE AUDITORA DE LOS SI Y TICA DEL AUDITOR DE LOS SI
Estimado alumno, empezamos el tercer captulo de la asignatura en el cual mostraremos las funciones o
responsabilidades de un Departamento de Auditora de los Sistemas de Informacin, as como aspectos
para desarrollar esas funciones.
Para iniciar el estudio de esta unidad, le recomendamos acudir al texto bsico y revisar el
captulo 5 titulado El Departamento de Auditora de los SI: Organizaciones y Funciones; y el
captulo 7 tica del Auditor de los Sistemas de Informacin.
Comprendi todos los temas?, a continuacin vamos a reforzar ms la lectura que usted realiz:
3.1. Misin del departamento de auditora de los SI
Antes de determinar cul es la misin de este departamento, vamos a definir la palabra Misin, segn
(Thompson, 2006):
Misin: es el motivo, propsito, fin o razn de ser de la existencia de una empresa u organizacin porque
define:
1. Lo que pretende cumplir en su entorno o sistema social en el que acta,
2. Lo que pretende hacer,
3. El para quin lo va a hacer; y es inuenciada en momentos concretos por algunos elementos
como: la historia de la organizacin, las preferencias de la gerencia y/o de los propietarios,
los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas.
La misin del departamento de auditora de los SI (DASI) tiene la misma misin que la de la auditora de
los SI. En la siguiente figura, est ampliamente descrita la misin del DASI:
Lectura Recomendada
Para entender el siguiente grfico debe acudir al libro bsico Auditora de Tecnologas y
Sistemas de Informacin captulo 5 y leer la misin del departamento de auditora de los SI.
Figura 16: Misin del Departamento de Auditora de SI
FUENTE: Romero, K. (2013)
41
PRIMER BIMESTRE
M
I
S
I
O
N

D
E
P
A
R
T
A
M
E
N
T
O

D
E

A
U
D
I
T
O
R
A

D
E

S
I

P
a
r
a

q
u
i
n

d
e
s
a
r
r
o
l
l
a

s
i

l
a
b
o
r

l
a

f
u
n
c
i
n

d
e

a
u
d
i
t
o
r
a

S
I

r
g
a
n
o
s

d
e

G
o
b
i
e
r
n
o

-

S
e
r
v
i
c
i
o

d
e

R
e
n
t
a
s

I
n
t
e
r
n
a
s
.

-

S
p
e
r

I
n
t
e
n
d
e
n
c
i
a

d
e

B
a
n
c
o
s
.

-

I
n
s
t
i
t
u
t
o

d
e

S
e
g
u
r
i
d
a
d

S
o
c
i
a
l
,

e
t
c
.

G
e
s
t
i
n

d
e

O
r
g
a
n
i
z
a
c
i
n

-

D
u
e
o

d
e

l
a

o
r
g
a
n
i
z
a
c
i
n
.

-

G
e
r
e
n
t
e

G
e
n
e
r
a
l

d
e

l
a

o
r
g
a
n
i
z
a
c
i
n
.

-

D
e
p
a
r
t
a
m
e
n
t
o

F
i
n
a
n
c
i
e
r
o
,

I
n
f
o
r
m
t
i
c
o

d
e

l
a

o
r
g
a
n
i
z
a
c
i
n
.

-

C
o
n
s
e
j
o

S
u
p
e
r
i
o
r

d
e

l
a

o
r
g
a
n
i
z
a
c
i
n
.

Q
u

d
e
b
e

r
e
a
l
i
z
a
r
?

C
o
n
t
r
o
l

I
n
t
e
r
n
o

-

E
j
e
r
c
i
c
i
o

p
o
r

e
l

c
o
n
s
e
j
o

d
e

a
d
m
i
n
i
s
t
r
a
c
i
n

d
e

l
a

e
n
t
i
d
a
d
,

l
o
s

g
e
s
t
o
r
e
s

y

o
t
r
o

p
e
r
s
o
n
a
l
.

O
f
r
e
c
e
:

E
f
e
c
t
i
v
i
d
a
d

y

e
c
i
e
n
c
i
a

d
e

l
a
s

o
p
e
r
a
c
i
o
n
e
s
.

C
o
n
a
b
i
l
i
d
a
d

d
e

l
a

i
n
f
o
r
m
a
c
i
n

n
a
n
c
i
e
r
a

y

C
u
m
p
l
i
m
i
e
n
t
o

d
e

l
a
s

l
e
y
e
s

y

r
e
g
u
l
a
c
i
o
n
e
s
.

S
o
b
r
e

q
u
e

d
e
b
e

a
c
t
u
a
r

D
a
t
o
s

S
w

A
p
l
i
c
a
c
i
o
n
e
s

T
e
c
n
o
l
o
g
a

I
n
s
t
a
l
a
c
i
o
n
e
s

P
e
r
s
o
n
a
s

S
I
S
T
E
M
A

D
E

I
N
F
O
R
M
A
C
I
N

D
E

L
A

O
R
G
A
N
I
Z
A
C
I
N

42
PRIMER BIMESTRE
3.2. Organizacin del departamento de auditora de los SI
3.2.1. Objetivos y funciones
Una vez definida y entendida la misin vamos a ver algunos objetivos y funciones del DASI, segn
(Piattini, 2008):
Elaborar planes de trabajo para llevar a cabo auditoras en informtica y el desarrollo de
actividades apropiadas que permitan maximizar la eficacia del rea de tecnologas de
informacin (TI).
Implementar los planes de trabajo llevando un control de las actividades a realizar en tiempos
estimados reales; en cuanto a evaluacin de sistemas de informacin, procedimientos,
equipos informticos y redes de comunicacin.
Evaluar sistemas, procedimientos y equipos informticos; as como la dependencia de stos
y las medidas tomadas para garantizar su disponibilidad y continuidad
Verificar el cumplimiento de las normas de auditoria gubernamental, polticas y normas de
seguridad de la Direccin de Tecnologa que rigen la Institucin en el rea de TI.
Comprobar que el rea de tecnologas de informacin (TI) ha tomado las medidas correctivas
de los informes de la Auditora Interna as como de las omisiones que al respecto se verifiquen
en el seguimiento de informes.
Evaluar los controles de seguridades lgicas y fsicas que garanticen la integridad,
confidencialidad y disponibilidad de los datos en los sistemas de informacin de la institucin.
Evaluar los riegos y controles establecidos para la bsqueda e identificacin de debilidades,
as como de las reas de oportunidad.
Revisar la existencia de polticas, objetivos, normas, metodologas, as como la asignacin de
tareas y adecuada administracin de los recursos humanos e informticos.
Evaluar la existencia de polticas, objetivos, normas, metodologas, as como la asignacin de
tareas y adecuada administracin de los recursos humanos e informticos.
Lectura Recomendada
Revisar algunos objetivos y funciones descritas en el texto bsico, captulo 5 Organizacin
del Departamento de Auditora de los SI.I.
3.2.2. Ubicacin en la organizacin
El DASI debe estar ubicado orgnicamente como se muestra en la figura 17, en el recuadro denominado
Auditor interno.
43
PRIMER BIMESTRE

Junta Directiva
rea de servicios
fnancieros
Sub rea de
ingresos y
egresos
rea de
abastecimientos y
equipamiento
Sub reae de
abastecimiento y
equipamiento
rea de
Prestacin de
servicios
Sub rea de
fscalizacin de
los servicios
rea de Gestin
operativa
Sub rea de
operacin
rea de
administracin y
logstica
Sub rea de
administracin y
logstica
Auditor Interno
Figura 17: Posicin de la Auditora en la organizacin.
Fuente: Garca et al., (2008)
Se tiene que tener claro que el DASI:
A mayor nivel jerrquico, mayor peso tiene en la organizacin y mayor respeto y autoridad
encontrar sobre los hallazgos u observaciones y aceptacin a las recomendaciones o
sugerencias.
Puede reportar a diferentes niveles pero siempre ser dependiendo de la empresa, su
tamao y necesidades.
Tambin es importante saber que recursos se necesitan en un DASI.
3.2.3. Recursos necesarios
Cada uno de los siguientes recursos son necesarios para que las funciones del Departamento de Auditora
de los SI se lleven a cabo:
1. Recursos humanos: equipo de personas que llevarn a cabo la misin de la auditora.
2. Recursos Tcnicos: sistemas o herramientas tcnicas que ayudarn a los recursos humanos.
3. Recursos Econmicos: al inicio de cualquier auditora se presenta un presupuesto, el mismo
que debe ser aprobado por el comit de auditora.
RECUERDE: Las labores realizadas por un auditor no pueden ser sustituidas por ninguna
herramienta ni tecnologa, solamente ayudan a mejorar y hacer ms eficiente el trabajo del
auditor, el trabajo de auditora recae netamente en la labor de los auditores.
3.2.4. Estructura del departamento de auditora de SI
Piattini (2008), afirma que para la estructura del departamento de auditora de SI se toman en cuenta
dos aspectos clave:
1. Dimensin del departamento: nmero de personas que forman parte del departamento.
44
PRIMER BIMESTRE
2. Localizacin del departamento: lugares fsicos donde contar con recursos del departamento.
Para establecer estos aspectos tenemos que tomar en cuenta 4 parmetros:
a. Tamao de la organizacin: diversidad de procesos del negocio,
b. Dependencia de los negocios de la organizacin de las TI.
c. Topologa de los sistemas de informacin.
d. Ubicacin geogrca.
Lectura Recomendada
Revisar a que se refiere cada uno de estos parmetros, que se encuentran descritos
detalladamente en el captulo 5 del texto bsico.
3.2.5. El estatuto de auditora de SI
Un estatuto es una norma o una regla que tiene valor legal para una organizacin o empresa. El estatuto
de auditora de SI, debe proporcionar autoridad sobre toda la organizacin e independencia al recurso
humano que trabajar en el departamento de auditora de SI (Piattini, 2008).
En este estatuto debe estar establecido:
1. La posicin de la funcin de auditora interna dentro de la organizacin.
2. Autorizacin de acceso a toda la informacin de la organizacin.
3. El alcance de la auditora interna a realizar.
4. Se especicar que sus funciones son delegadas del Consejo y Comit de Auditora.
El estatuto debe ser:
1. Pblico.
2. Divulgado entre los miembros de la direccin.
Con estos dos puntos se garantiza el entendimiento de la labor y las responsabilidades de la auditora
interna.
3.3. Planificacin del trabajo de auditora
Para planificar el trabajo de auditora y con ella evaluar el control interno de los recursos de informacin
de la organizacin necesitamos una metodologa, la misma que se describe en la siguiente figura:

Defnir el
Universo de
TI
Anlisis de
Riesgos
Plan a largo
Plazo
Plan a corto
plazo
45
PRIMER BIMESTRE

Qu se va auditar?
Procesos
Operativos
Procesos
Informticos
La heterogeneidad
de las TI de la
organizacin.
Recursos de
Informacin.
Qu se analiza?
Con los procesos
enlistados:
Se usa una
metodologa de
anlisis de riesgos
de esos procesos.
Clasifcar los
riesgos en: Riesgo
de Negocio y
Riesgo de
Auditora.
Cmo se audita?
Se defne un plan a
largo o corto plazo
para evaluar si los
sistemas de control
establecidos en la
organizacin son
adecuados y
sufcientes para
mitigar los riesgos
identifcados.
Figura 18: Planicacin del trabajo de auditora de SI.
Fuente: Romero, K. (2013)
3.4. El equipo de auditora de SI
Existen algunos elementos a considerar al momento de seleccionar al personal que compondr la unidad
de auditora de los SI:
1. Formacin
2. Trato con las personas
3. Desarrollo del trabajo
4. Honesto y reservado
Los cuatro elementos anteriores son muy importantes pero deben ir de la mano con el cumplimiento a
cabalidad de los principios ticos del auditor de los SI, estos principios son los que definen la tica del
auditor de los SI.
3.4.1. tica del auditor de los SI
La tica del auditor de los SI est basada en algunos principios deontolgicos, entindase por
DEONTOLOGA como: la rama de la tica cuyo objeto de estudio son aquellos fundamentos del deber y
las normas morales.
Piattini (2008), enlista algunos principios deontolgicos que el auditor debe tomar en cuenta a la hora
de cumplir con su labor, estos principios no son reglas que se deban cumplir de carcter obligatorio, sino
que queda a criterio y valor personal del propio auditor.
PRINCIPIOS DEONTOLGICOS:
1. Principio de Capacidad Profesional
a. Auditor plenamente capacitado para realizar la auditora.
b. El auditor puede incidir en la toma de decisiones del cliente.
c. Conocimientos del auditor evolucionarn segn las TI.
46
PRIMER BIMESTRE
2. Principio de Comportamiento Profesional
a. El auditor debe actuar conforme a las normas de dignidad de la profesin y de
correccin en el trato personal.
i. Evitar caer en exageraciones o atemorizaciones innecesarias, transmitiendo
una imagen de precisin y exactitud en sus comentarios.
b. Cuando precise del asesoramiento de otros expertos deber acudir a ellos.
c. Guardar respeto por la poltica empresarial del auditado.
3. Principio de condencialidad
a. El auditor tiene la obligacin de mantener la condencialidad de la informacin
suministrada por el auditado.
b. No debe usar esta informacin para benecio personal y no difundirla a terceras
personas.
c. Debe mantenerse un secreto profesional sobre la informacin obtenida entre el
auditor y su equipo.
d. El auditor debe establecer las medidas de seguridad y mecanismos necesarios para
garantizar al auditado, que la informacin se almacenar en entornos o soportes que
impidan la accesibilidad al mismo por terceras personas.
4. Principio de Independencia
a. El auditor debe actuar libremente segn su leal saber y entender.
b. Debe garantizar de que los intereses del auditado sern asumidos con objetividad.
c. Debe rechazar criterios con los que no est de acuerdo.
5. Principio de benecio del auditado
a. El auditor deber ver cmo se puede conseguir la mxima ecacia y rentabilidad de
los medios informticos de la empresa auditada (cliente).
i. Estar obligado a presentar RECOMENDACIONES.
ii. La actividad estar orientada a lograr el mximo provecho de su cliente.
iii. No puede anteponer intereses personales del auditor (actitud no tica).
iv. Debe ser independiente de marcas, productos, etc.
v. Debern tener libre acceso a informes anteriores.
6. Principio de Informacin Suciente
a. Es obligacin del auditor de aportar, en forma detalladamente clara, precisa e
inteligible para el auditado, informacin sobre los aspectos de la auditora con inters
para el auditado y sobre las conclusiones.
b. Evitar datos intrascendentes.
c. Compromiso con las conclusiones, lneas de actuacin recomendadas y dudas que se
le plantean.
7. Principio de Veracidad
a. El auditor deber asegurar la veracidad de sus manifestaciones al auditado, con los
lmites impuestos por los deberes de respeto, correccin y secreto profesional.
47
PRIMER BIMESTRE
8. Principio de Libre Competencia
a. El auditor deber rechazar prcticas tendentes a impedir la legtima competencia de
otros profesionales y prcticas abusivas.
b. Evitar los aprovechamientos indebidos del trabajo y reputacin de otros en benecio
propio.
9. Principio de Servicio Pblico
a. El auditor deber hacer lo que est en su mano para evitar daos sociales que puedan
propagarse a otros sistemas informticos diferentes del auditado.
b. El auditor deber advertir de la existencia de dichos virus (en caso de haber) para que
se tomen las medidas oportunas, pero sin descubrir la procedencia de su informacin.
10. Principio de Fortalecimiento y Respeto a la Profesin
a. Los auditores cuidarn del reconocimiento del valor de su trabajo y de la correcta
valoracin de la importancia de los resultados obtenidos con el mismo.
b. Remuneracin acorde con la preparacin del auditor y con el valor aadido que
aporta el auditado con su trabajo.
c. Evitar la competencia desleal
d. Promover el respeto mutuo y la no confrontacin entre compaeros
i. Denuncia de comportamientos indebidos.
11. Principio de Legalidad
a. El auditor debe evitar utilizar sus conocimientos para facilitar la contravencin de la
legalidad vigente.
b. No desactivar o eliminar dispositivos de seguridad, ni intentar obtener claves de
acceso a reas restringidas de informacin.
Lectura recomendada
Revise todos los principios deontolgicos expuestos en el texto bsico Auditora de
Tecnologas y Sistemas de Informacin captulo 7.
Antes de terminar el estudio de este primer bimestre, le invito a desarrollar la siguiente
autoevaluacin; para determinar el nivel de conocimiento del tema estudiado.
Con entusiasmo sigamos aprendiendo!
48
PRIMER BIMESTRE
Autoevaluacin 3
Conteste correctamente la pregunta segn sea el caso (conteste V si es Verdadero o F si es falso):
1. ( ) Segn COSO, el control interno es un proceso, ejercido por el consejo de administracin
de la organizacin, diseado para proporcionar seguridad razonable.
2. ( ) Los recursos de informacin son usados por la organizacin para soportar sus
procesos operativos o de negocios.
3. ( ) Un recurso de informacin son las PERSONAS.
4. ( ) El departamento de auditora de los SI, puede estar ubicado en cualquier parte de la
organizacin.
5. ( ) No son necesarios los recursos econmicos en el departamento de auditora de los SI.
6. ( ) El estatuto de auditora de los SI es cualquier documento donde solamente conste los
objetivos que se quieren lograr en la auditora.
7. ( ) El estatuto debe ser privado y slo debe conocerlo el auditor y el auditado.
8. ( ) El primer paso para AUDITAR es establecer Qu se debe auditar?.
9. ( ) El anlisis de riesgo es establecer una medida de importancia relativa a cada uno de
los elementos de la organizacin a auditar.
10. ( ) Cualquier persona de cualquier perl puede conformar el equipo de auditoria de SI.
11. ( ) Una de las caractersticas ms importantes al seleccionar al personal del equipo de
auditora de SI, es que tenga un magnco trato con las personas.
12. ( ) Trato con las personas signica que debe ser paciente, prudente y exible, y no
defender sus puntos de vista.
13. ( ) El principio de comportamiento profesional signica que el auditor debe estar
plenamente capacitado para la realizacin de la auditora.
14. ( ) El auditor debe ser plenamente consciente del alcance de sus conocimientos y de su
capacidad para desarrollar la auditora.
15. ( ) El auditor est en libertad de usar los conocimientos adquiridos en una auditora y
usarlos en contra del auditado.
16. ( ) El auditor debe tener un secreto profesional sobre la informacin obtenida durante
la auditora.
17. ( ) El auditor deber actuar en la auditora con criterio propio, as lo dictamina el principio
de independencia.
49
PRELIMINARES
18. ( ) El auditor deber proteger los derechos econmicos del auditado.
19. ( ) Es necesario que el auditor sea veraz en la informacin que d en la auditora, aunque
sta no est respaldada.
20. ( ) El auditor no se puede negar a participar en actividades ilegales o impropias de la
auditora.
Hemos terminado la tercera unidad!
Felicitaciones
Estimado alumno, hemos terminado los temas del primer bimestre, espero que hayan sido entendidos y
comprendidos.
Le deseo mucha suerte en su examen presencial y mucho nimo para empezar los temas del segundo
bimestre
51
SEGUNDO BIMESTRE
S
E
G
U
N
D
O

B
I
M
E
S
T
R
E
6
.
5
.

C
o
m
p
e
t
e
n
c
i
a
s
C
O
M
P
E
T
E
N
C
I
A
S

G
E
N
R
I
C
A
S

D
E

L
A

U
T
P
L

C
o
m
p
o
r
t
a
m
i
e
n
t
o

t
i
c
o

I
I
I
:

I
n
c
l
i
n
a
r
s
e

h
a
c
i
a

e
l

b
i
e
n

m
o
r
a
l

d
e

u
n
o

m
i
s
m
o

o

d
e

l
o
s

d
e
m
s

(
e
s

d
e
c
i
r
,

h
a
c
i
a

t
o
d
o

l
o

q
u
e

e
s
o

s
i
g
n
i
f
i
c
a

b
i
e
n
,

v
i
v
e
n
c
i
a

d
e
l

s
e
n
t
i
d
o
,

r
e
a
l
i
z
a
c
i
n

d
e

l
a

p
e
r
s
o
n
a
,

s
e
n
t
i
d
o

d
e

j
u
s
t
i
c
i
a
)

y

p
e
r
s
e
v
e
r
a
r

e
n

d
i
c
h
o

b
i
e
n

m
o
r
a
l
.
6
.
6
.

P
l
a
n
i
f
i
c
a
c
i
n

p
a
r
a

e
l

t
r
a
b
a
j
o

d
e
l

a
l
u
m
n
o
C
O
M
P
E
T
E
N
C
I
A
S

E
S
P
E
C
F
I
C
A
S

D
E

L
A

T
I
T
U
L
A
C
I
N
C
O
M
P
E
T
E
N
C
I
A
S

E
S
P
E
C
F
I
C
A
S

D
E
L

C
O
M
P
O
N
E
N
T
E

E
D
U
C
A
T
I
V
O
C
O
N
T
E
N
I
D
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E

A
P
R
E
N
D
I
Z
A
J
E
I
N
D
I
C
A
D
O
R
E
S

D
E

A
P
R
E
N
D
I
Z
A
J
E
T
I
E
M
P
O

D
E

D
E
D
I
C
A
C
I
N
U
N
I
D
A
D
E
S
A
u
d
i
t
a

l
a

o
p
e
r
a
c
i
n

d
e

T
I

e
n

b
a
s
e

a

l
a
s

b
u
e
n
a
s

p
r
c
t
i
c
a
s

d
e

l
o
s

m
a
r
c
o
s

d
e

r
e
f
e
r
e
n
c
i
a
.
D
e
n
e

l
o
s

c
o
n
c
e
p
t
o
s

y

m
a
r
c
o
s

d
e

r
e
f
e
r
e
n
c
i
a

a
p
l
i
c
a
b
l
e
s

e
n

l
a

a
u
d
i
t
o
r
a

d
e

o
u
t
s
o
u
r
c
i
n
g
.
U
N
I
D
A
D
4
.

A
u
d
i
t
o
r
a

d
e

O
u
t
s
o
u
r
c
i
n
g

d
e

T
I
.
4
.
1
.

C
o
n
c
e
p
t
o
s

r
e
l
a
t
i
v
o
s

a

O
u
t
s
o
u
r
c
i
n
g

d
e

T
I
.
4
.
2
.

A
u
d
i
t
o
r
a

d
e

O
u
t
s
o
u
r
c
i
n
g

d
e

T
I
.
4
.
3
.

A
c
c
i
o
n
e
s

i
n
d
i
s
p
e
n
s
a
b
l
e
s

d
e

l
a

a
u
d
i
t
o
r
a

d
e

O
u
t
s
o
u
r
c
i
n
g

d
e

T
I
.
4
.
4
.

O
u
t
s
o
u
r
c
i
n
g

y

M
a
r
c
o
s

d
e

R
e
f
e
r
e
n
c
i
a
.

E
s
t
u
d
i
a
r

l
a

u
n
i
d
a
d

4

d
e

l
a

g
u
a

d
i
d
c
t
i
c
a

y

r
e
a
l
i
z
a
r

l
a

a
c
t
i
v
i
d
a
d

r
e
c
o
m
e
n
d
a
d
a
,

p
.

5
7
.

R
e
v
i
s
a
r

e
l

c
a
p
t
u
l
o

9

d
e
l

t
e
x
t
o

b
s
i
c
o
.

R
e
a
l
i
z
a
r

l
a
s

l
e
c
t
u
r
a
s

r
e
c
o
m
e
n
d
a
d
a
s

d
e

l
a

u
n
i
d
a
d
.

P
a
r
t
i
c
i
p
a
r

e
n

e
l

E
V
A
,

f
o
r
o

e

i
n
t
e
r
a
c
c
i
o
n
e
s
.

D
e
s
a
r
r
o
l
l
a
r

l
a

a
u
t
o
e
v
a
l
u
a
c
i
n

d
e

l
a

u
n
i
d
a
d

4
.

I
n
i
c
i
a
r

e
l

d
e
s
a
r
r
o
l
l
o

d
e

l
a

e
v
a
l
u
a
c
i
n

a

d
i
s
t
a
n
c
i
a

d
e
l

c
o
m
p
o
n
t
e
.

C
o
m
p
r
e
n
d
e

l
o
s

p
r
o
c
e
d
i
m
i
e
n
t
o
s

i
m
p
l
i
c
a
d
o
s

e
n

e
l

s
e
r
v
i
c
i
o

d
e

O
u
t
s
o
u
r
c
i
n
g
.

R
e
l
a
c
i
o
n
a

m
a
r
c
o
s

d
e

r
e
f
e
r
e
n
c
i
a

c
o
n

e
l

O
u
t
s
o
u
r
c
i
n
g

d
e

T
I
.
S
e
m
a
n
a

1

y

2

4

h
o
r
a
s

d
e

e
s
t
u
d
i
o

p
e
r
s
o
n
a
l
.

4

h
o
r
a
s

d
e

i
n
t
e
r
a
c
c
i
n
.
52
SEGUNDO BIMESTRE
C
O
M
P
E
T
E
N
C
I
A
S

E
S
P
E
C
F
I
C
A
S

D
E

L
A

T
I
T
U
L
A
C
I
N
C
O
M
P
E
T
E
N
C
I
A
S

E
S
P
E
C
F
I
C
A
S

D
E
L

C
O
M
P
O
N
E
N
T
E

E
D
U
C
A
T
I
V
O
C
O
N
T
E
N
I
D
O
S
A
C
T
I
V
I
D
A
D
E
S

D
E

A
P
R
E
N
D
I
Z
A
J
E
I
N
D
I
C
A
D
O
R
E
S

D
E

A
P
R
E
N
D
I
Z
A
J
E
T
I
E
M
P
O

D
E

D
E
D
I
C
A
C
I
N
U
N
I
D
A
D
E
S
E
v
a
l
a

l
a

s
e
g
u
r
i
d
a
d

f
s
i
c
a

d
e

l
o
s

s
i
s
t
e
m
a
s

d
e

i
n
f
o
r
m
a
c
i
n
.
U
N
I
D
A
D
5
.

A
u
d
i
t
o
r
a

a

l
a

S
e
g
u
r
i
d
a
d

F
s
i
c
a
.
5
.
1
.

Q
u

e
s

l
a

S
e
g
u
r
i
d
a
d

F
s
i
c
a
?
5
.
2
.

O
b
j
e
t
i
v
o

d
e

l
a

S
e
g
u
r
i
d
a
d

F
s
i
c
a
.
5
.
3
.

A
u
d
i
t
o
r
a

d
e

l
a

S
e
g
u
r
i
d
a
d

F
s
i
c
a
.
5
.
4
.

O
b
j
e
t
i
v
o
s

d
e

l
a

A
u
d
i
t
o
r
a

d
e

l
a

S
e
g
u
r
i
d
a
d

F
s
i
c
a
.
5
.
5
.

r
e
a
s

d
e

S
e
g
u
r
i
d
a
d

F
s
i
c
a
5
.
6
.

T
c
n
i
c
a
s

y

H
e
r
r
a
m
i
e
n
t
a
s

d
e

l
a

a
u
d
i
t
o
r
a

d
e

l
a

S
e
g
u
r
i
d
a
d

F
s
i
c
a
.
5
.
7
.

F
a
s
e
s

d
e

l
a

a
u
d
i
t
o
r
a

d
e

l
a

S
e
g
u
r
i
d
a
d

F
s
i
c
a
.

E
s
t
u
d
i
o

d
e

l
a

u
n
i
d
a
d

5

d
e

l
a

g
u
a

d
i
d
c
t
i
c
a
,

c
a
p
t
u
l
o

1
0

d
e
l

t
e
x
t
o

b
s
i
c
o

y

R
E
A
S

d
e
l

E
V
A
.

R
e
a
l
i
z
a
r

l
a

a
c
t
i
v
i
d
a
d

r
e
c
o
m
e
n
d
a
d
a
,

p
.

6
5
.

P
a
r
t
i
c
i
p
a
r

e
n

e
l

E
V
A
,

f
o
r
o

e

i
n
t
e
r
a
c
c
i
o
n
e
s
.

D
e
s
a
r
r
o
l
l
o

d
e

l
a

a
u
t
o
e
v
a
l
u
a
c
i
n

u
n
i
d
a
d

5

d
e

l
a

g
u
a
.

C
o
n
t
i
n
u
a
r

c
o
n

e
l

d
e
s
a
r
r
o
l
l
o

d
e

l
a

e
v
a
l
u
a
c
i
n

a

d
i
s
t
a
n
c
i
a

d
e
l

c
o
m
p
o
n
t
e
.

V
e
r
i
c
a

e
l

c
u
m
p
l
i
m
i
e
n
t
o

d
e

l
o
s

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

c
o
n
t
r
o
l

i
n
t
e
r
n
o

q
u
e

s
e

i
m
p
l
a
n
t
a
n

e
n

u
n
a

o
r
g
a
n
i
z
a
c
i
n

p
a
r
a

p
r
e
v
e
e
r

s
e
g
u
r
i
d
a
d

f
s
i
c
a

e
n

l
o
s

S
I
.

A
n
a
l
i
z
a

l
a

e
s
t
a
n
d
a
r
i
z
a
c
i
n

d
e

l
o
s

p
r
o
c
e
d
i
m
i
e
n
t
o
s

d
e

c
o
n
t
r
o
l
.

E
j
e
c
u
t
a

l
a

a
u
d
i
t
o
r
a

d
e

l
a

s
e
g
u
r
i
d
a
d

f
s
i
c
a

i
n
d
e
p
e
n
d
i
e
n
t
e

d
e

l
a

o
r
g
a
n
i
z
a
c
i
n

a

l
a

q
u
e

s
e

a
p
l
i
q
u
e
.
S
e
m
a
n
a

3

y

4

8

h
o
r
a
s

d
e

e
s
t
u
d
i
o

p
e
r
s
o
n
a
l

8

h
o
r
a
s

d
e

i
n
t
e
r
a
c
c
i
n
I
d
e
n
t
i
c
a

o
p
o
r
t
u
n
i
d
a
d
e
s

d
e

m
e
j
o
r
a

c
o
n

l
a

g
e
s
t
i
n

d
e

r
i
e
s
g
o
s

d
e

a
c
u
e
r
d
o

a
l

m
a
r
c
o

d
e

r
e
f
e
r
e
n
c
i
a

C
O
B
I
T
.
U
N
I
D
A
D
6
.

G
e
s
t
i
n

d
e

R
i
e
s
g
o
s

y

a
u
d
i
t
o
r
a

B
a
s
a
d
a

e
n

R
i
e
s
g
o
s

-

C
O
B
I
T
6
.
1
.

m
o

e
v
a
l
u
a
r

u
n

r
i
e
s
g
o

t
e
c
n
o
l
g
i
c
o
?
6
.
2
.

P
r
o
c
e
s
o
s

C
l
a
v
e
s

d
e

r
i
e
s
g
o
s

C
O
B
I
T
.

E
s
t
u
d
i
o

d
e

l
a

u
n
i
d
a
d

6

d
e

l
a

g
u
a

d
i
d
c
t
i
c
a
.

R
e
a
l
i
z
a
r

l
a
s

l
e
c
t
u
r
a
s

r
e
c
o
m
e
n
d
a
d
a
s

e
n

l
a

u
n
i
d
a
d
.

L
e
c
t
u
r
a

d
e

R
E
A
S

e
n

e
l

E
V
A
.

P
a
r
t
i
c
i
p
a
r

e
n

e
l

E
V
A
,

f
o
r
o

e

i
n
t
e
r
a
c
c
i
o
n
e
s
.

D
e
s
a
r
r
o
l
l
o

d
e

l
a

a
u
t
o
e
v
a
l
u
a
c
i
n

u
n
i
d
a
d

6

d
e

l
a

g
u
a
.

F
i
n
a
l
i
z
a
r

e
l

d
e
s
a
r
r
o
l
l
o

d
e

l
a

e
v
a
l
u
a
c
i
n

a

d
i
s
t
a
n
c
i
a

d
e
l

c
o
m
p
o
n
t
e
.

C
o
n
o
c
e

l
o
s

c
o
n
c
e
p
t
o
s
,

p
r
o
c
e
s
o
s

y

h
e
r
r
a
m
i
e
n
t
a
s

p
a
r
a

l
a

e
v
a
l
u
a
c
i
n

d
e

u
n

r
i
e
s
g
o

t
e
c
n
o
l
g
i
c
o
.

A
p
l
i
c
a

p
r
o
c
e
d
i
m
i
e
n
t
o
s

y

t
c
n
i
c
a
s

p
a
r
a

l
a

i
m
p
l
e
m
e
n
t
a
c
i
n

d
e
l

m
o
d
e
l
o

C
O
B
I
T

e
n

l
a

g
e
s
t
i
n

d
e

r
i
e
s
g
o
s
.
S
e
m
a
n
a

5

y

6

8

h
o
r
a
s

d
e

e
s
t
u
d
i
o

p
e
r
s
o
n
a
l

8

h
o
r
a
s

d
e

i
n
t
e
r
a
c
c
i
n
U
n
i
d
a
d
e
s

4

a

6

R
e
v
i
s
i
n

d
e

c
o
n
t
e
n
i
d
o
s

c
o
m
o

p
r
e
p
a
r
a
c
i
n

p
a
r
a

l
a

e
v
a
l
u
a
c
i
n

p
r
e
s
e
n
c
i
a
l
S
e
m
a
n
a

7

y

8

8

h
o
r
a
s

d
e

e
s
t
u
d
i
o

p
e
r
s
o
n
a
l

8

h
o
r
a
s

d
e

i
n
t
e
r
a
c
c
i
n
.
53
SEGUNDO BIMESTRE
6.7. Orientaciones especficas para el aprendizaje por competencias
UNIDAD 4. AUDITORA DE OUTSOUCING DE TI
Estimado alumno, empezamos el cuarto captulo de la asignatura abordando en detalle la Auditora de
Outsourcing de TI.
Para iniciar el estudio del tema de auditora de outsorcing de TI le recomendamos acudir
al texto bsico y leer el captulo donde se abordar el tema relacionado a definiciones de
Outsourcing.
Qu le pareci la lectura? Tiene algunas dudas?
No se preocupe las vamos a ir resolviendo.
4.1. Conceptos relativos al outsourcing de TI
4.1.1. Definicin de outsourcing
Esta definicin difiere segn el entorno que se encuentra, sin embargo, podemos establecer ciertas
caractersticas para definirlo (Piattini et al., 2008).:
No es una simple contratacin, sino ms bien, una alianza entre el cliente y el tercero para
alcanzar juntos las metas y compartir los riesgos.
Las actividades del Outsourcing, muchas veces, no estn consideradas dentro de las
actividades esenciales del negocio del cliente pero aun as son vitales para su supervivencia.
Los medios y activos entre el Outsourcing y el negocio son diferentes para cada actividad.
El proceso de Outsourcing tiene algunas implicaciones a tomar en cuenta si una organizacin va a optar
por requerir ese servicio, algunas son:
La organizacin pasa a ceder o compartir los derechos de propiedad del proceso y los activos
asociados, lo que logra que ciertas fases de los procesos ya no se controlan totalmente.
La organizacin comienza a tener una dependencia a largo plazo por lo que los recursos se
vuelven difcilmente intercambiables.
A partir de esto se empieza a considerar una serie de contratos donde se definen todos los
servicios que sern requeridos en la cadena de valor, y estos servicios sern manejados de
forma ms eficiente ya que es el concepto real del Outsourcing.
54
SEGUNDO BIMESTRE
Actores secundarios
Canal para los actores secundarios
4.1.2. El outsourcing de TI
Para Piattini (2008), el outsourcing de TI se puede ver involucrado en muchas reas de alto y bajo riesgo
dentro de la organizacin, por lo que podemos definir un mapa de servicios que se estn llevando en la
actualidad:
Gestin de aplicaciones: esto comprende todos los procesos desde el desarrollo de
aplicaciones hasta la gestin de proyectos, y esto se ha vuelto muy comn en nuestros das,
donde las empresas necesitan sacar nuevos paquetes de software y tiene que contratar
terceros que tienen la experiencia para trabajar ese proyecto en forma rpida y eficiente.
Sin embargo, se debe considerar que muchas veces sucede que al finalizar ese proyecto, el
personal en calidad de tercero se tiene que retirar de la organizacin y se est perdiendo ese
conocimiento adquirido a lo largo del proyecto.
Gestin y operacin de la infraestructura: esto comprende el manejo de los elementos
en la infraestructura y operacin de TI, desde supervisin, control de errores y la gestin de
cambios. Entre los ejemplos o casos que podemos encontrar en este tipo, se encuentran las
comunicaciones y la redes de datos, servidores y sus actividades de respaldo y recuperacin,
elementos de integracin de sistemas y de las bases de datos.
Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a usuarios
finales para resolver problemas, dudas, configuracin de PC. Esto se puede realizar a travs
de herramientas de conectividad remota que permitan brindar soluciones de manera ms
gil.
Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de desarrollo o sobre
las actividades o funciones de TI se puede ofrecer como un proceso independiente. Se debe
considerar que el proveedor que ofrece servicios de aseguramiento de calidad sea diferente
al proveedor que ofrece el servicio que desea asegurar, para evitar conflictos de intereses.
Gestin del centro de cmputo: muy frecuentemente usada donde ya existen estndares
para el manejo de los data centers y empresas muy especializadas para eso.
Servicios de seguridad: que es la encargada de velar por toda la seguridad de la informacin
tanto para TI como para otras reas de negocio.
Investigacin y desarrollo: es posible utilizar organizaciones externas con un alto
conocimiento en ciertas tecnologas o mercados a innovar.
4.1.3. Tipos de outsourcing
Existen diferentes tipos de outsourcing decritos en el texto base de esta gua, a continuacin se resumen
para una mejor comprensin de los mismos:
Outsourcing Informtico tradicional: este es el soporte tctico que se presenta en la
organizacin, donde el proveedor asume parte de los activos fsicos o personal. Son
actividades y activos gestionados por el proveedor. Ejemplos de ello son las gestiones de
redes, de aplicaciones o de seguridad.
55
SEGUNDO BIMESTRE
Outsourcing de Procesos de negocio: son los que pretende darle una transformacin
a la organizacin en lo que se refiere a los procesos de negocio. Si por ejemplo se tiene
un sistema de nmina, se puede definir un contrato para que sea administrado en base a
ciertos parmetros y lineamientos.
Proveedor Total o Parcial: el proveedor gestiona toda o una parte de los servicios
informticos, dependiendo del riesgo que se maneje. Si es parcial, es posible encontrar en
un servicio informtico varios proveedores.
Proveedor nico: slo un proveedor se encarga de un servicio informtico exclusivo y se
contrata otro proveedor para los otros servicios en TI.
Pseudo-outsourcing: es ms una estrategia de grupos empresariales, donde estos crean
una empresa que se encargar de gestionar todos los procesos de todas las empresas del
grupo.
Outsourcing de transicin: los proveedores solucionan el problema o gestionan por un
tiempo de transicin, como por ejemplo, cuando se requiere realizar un cambio de sistema
y se requiere personal ya sea para el sistema nuevo o el que va a salir.
Outsourcing extraterritorial: estrategia que contrata a personal de otro pas donde se
aprovecha la tecnologa y las comunicaciones para poder disponer de centros de cmputo
en varios husos horarios. Se podra considerar un problema de este modelo, la diversidad de
culturas en trminos de comunicacin y coordinacin.
Participacin del capital: su uso es especial al momento de la creacin de nuevas empresas
donde el proveedor podra ofrecer recursos humanos y conocimiento experto mientras el
cliente ofrece el msculo financiero para llevar a cabo sus proyectos.
Multi aprovisionamiento: comprende la contratacin de varios proveedores de servicio en
diferentes reas para disponer un cierto grado de independencia del proveedor.
Outsourcing estratgico: es tambin denominado Business Process Management y
pretende externalizar el proceso de negocio y todo lo que conlleva las estructuras de capital,
financiacin y sobre todo el xito o fracaso de la empresa.
Lectura recomendada
Revise todos los tipos de outsourcing expuestos en el texto bsico Auditora de Tecnologas y
Sistemas de Informacin captulo 9, aqu se expone detalladamente cada tipo de outsourcing.
4.1.4. Ciclo de vida del outsourcing
Piattini (2008) explica que se debe entender que el outsourcing es un proceso, y como tal tiene un final,
y que dependiendo de los resultados ese camino puede ser de ida y vuelta o slo de ida. Se presenta el
modelo simplificado que se considera en todo proceso de outsourcing de TI:
56
SEGUNDO BIMESTRE

Plan
estrategico Contratacin
Transicin
Gestin y
Optimizacin
Finalizacin y
renegociacin
Figura 19: Ciclo de vida del Outsoursing.
Fuente: (Piattini et al., 2008)
4.2. Auditora del outsourcing de TI
Antes de iniciar una auditora se debe conocer el entorno en el que se desarrolla el proceso y los posibles
agentes que participan en el mismo.
El outsourcing es un acuerdo entre partes por la prestacin de un conjunto de servicios tecnolgicos.
Aunque pueden existir diferentes tipos de acuerdos de outsourcing, podemos observar elementos
claves tales como: El contrato, SLAs, Participacin activa de usuarios, Poltica Corporativa.
1. El contrato: acuerdo formal entre el proveedor del servicio y el cliente. Elemento de
referencia principal.
2. SLA: medida objetiva de calidad objetiva sobre el servicio acordado, ja los mnimos niveles
de calidad para cada uno de los servicios.
3. Participacin activa de usuarios: el cliente dispone de canales para exigir y reclamar
mejoras del nivel de servicio cuando ste no se est cumpliendo.
4. Poltica Corporativa: dene responsabilidades frente al outsourcing tanto de los usuarios
como del personal propio de TI, desde la perspectiva de la supervisin y la comunicacin.
4.2.1. El contrato del outsourcing
Piattini (2008) explica lo que es un contrato de outsourcing:
No es ms que un contrato profesional entre dos entidades donde cada clusula es importante y
se debe de prestar mucha atencin a cmo o por qu se han generado, en vista de que una falla
podra afectar la calidad de los servicios que se esperaban recibir.
Desde la perspectiva del auditor se debe garantizar que se haya involucrado al equipo jurdico y
tener una participacin activa y no actuar nicamente como elemento revisor.
El contrato deber recoger como mnimo los siguientes aspectos:
m Responsabilidades y elementos de relacin para gestionar el proceso.
m Modelo de gestin que evite controversias y permita la revisin continua del contenido y
alcance, adems de su adaptacin a las circunstancias del momento de forma fcil.
m Una descripcin precisa de los productos que se esperan recibir y como se esperan recibir.
m Vnculos para proveedor con objetivos concretos y establecer clausulas de penalizacin
para el supuesto de que no sean alcanzados.
m Mecanismos necesarios para asegurar la continuidad del servicio en caso de rescisin.
57
SEGUNDO BIMESTRE
Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe que se ha de
hacer y se convierte en la herramienta fiable con la que cuenta una organizacin para recuperar
el control de sus sistemas de informacin bajo rgimen de outsourcing.
Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de Relacin y los
Informes de Gestin.
El Modelo de Relacin articula la capacidad de hacer evolucionar el contrato en el tiempo para
adaptarlo a las necesidades reales del negocio.
El informe de Gestin es la herramienta bsica para comunicar los resultados del servicio de
outsourcing.
4.2.2. El acuerdo de nivel de servicio ANS/SLA
Un ANS/SLA es el conjunto de medidas de rendimiento mnimo usadas para aceptar como vlidos los
servicios prestados, tiene algunas caractersticas (Piattini, 2008):
El SLA debe ser un documento vivo y puede ser revisado a peticin de cualquiera de las partes,
adicionalmente se convierte en una herramienta con objetivos diferentes.
Los SLAs se consideran un elemento complementario al contrato ya que el mismo regula el servicio
y en su contraparte el contrato regula todo el marco legal de la relacin.
En un SLA podemos identificar dos tipos de elementos:
m Los elementos del servicio: describen el contexto del servicio y los trminos y condiciones
de la entrega del servicio.
m Los elementos de gestin: describen los pasos a dar para asegurar la efectividad del servicio
y resolver cualquier problema que pudiera darse.
La manera de asegurarse el cumplimiento de estos SLAs es a travs del anlisis de indicadores de
nivel de servicio.
4.2.3. El sistema de penalizaciones
El sistema de penalizaciones se articula para regular la falta de cumplimiento del SLA y los efectos
perjudiciales que el incumplimiento tiene para la empresa contratante.
Se debe verificar que por cada SLA existe un indicador de penalizacin y ante un incumplimiento de
servicio se recoge la penalizacin. Existe una menos-factura que reconoce el proveedor, y esta menos
factura queda registrada en la contabilidad del cliente.
4.2.4. Los informes de gestin (IG)
Estos informes constituyen junto a los SLAs el ncleo de control efectivo sobre las actividades que
desarrollan los proveedores. Proporcionan informacin estructurada sobre los servicios contratados,
informacin que es valiosa para el seguimiento y funcionamiento no solo del servicio sino del negocio.
58
SEGUNDO BIMESTRE
4.3. Acciones indispensables en la auditora del outsourcing de TI
1. Identicar si existe una poltica para la denicin de SLAs entre sus proveedores de servicios.
2. Identicar los contratos y SLAs y vericar la participacin de los usuarios en la creacin y
modicacin de los mismos.
3. Identicar claramente la relacin entre el tercero y el cliente
4. Identicar las personas con roles y responsabilidades sobre la gestin de contratos y SLAs
5. Validar la existencia de clasulas que permitan esta gestin alineado con la evolucin del
negocio.
6. Identicar y validar el modelo de elaboracin y aprobacin de los SLAs y sus indicadores
7. Vericar si se llevan a cabo recalculos de los indicadores para su contraste con lo acordado
8. Identicar como se monitorean los SLAs y que reportes se generan para mostrar el
desempeo.
9. Identicar el proceso que considera las acciones a tomar en respuesta a un incumplimiento
de SLA.
10. Identicar como est articulada la obtencin de la calidad percibida y las acciones que se
toman tras su evaluacin.
4.4. Outsourcing y marcos de referencia
Por la importancia que ha ganado el outsourcing de TI en los ltimos tiempos se han creado modelos
de referencia para la gestin y gobierno de TI destinados a terceros, y adicionalmente se ha involucrado
ciertas regulaciones para el control de los procesos o funciones desarrolladas por los outsourcing.
Podemos destacar SOX (Ley Sarbanes-Oxley), Directiva europea de proteccin de datos personales,
HIPAA y GBLT (EEUU).
En la siguiente figura se mencionan los diferentes modelos de referencia y en cual enfoque est
representado:
Figura 20: Modelos de Referencia.
Fuente: (Piattini et al., 2008)
59
SEGUNDO BIMESTRE
4.4.1. CMMI (Capability Maturity Model Integration)
Este modelo est basado en el concepto de madurez de un proceso que se concreta a travs de varios
estados que CMMI define de forma acumulativa, o sea, que el nivel superior tiene caractersticas del nivel
inferior ampliando ciertos aspectos (Piattini , 2008). Los niveles son:
1. Inicial: en donde no se dispone de un ambiente estable para el desarrollo, ms se confa en
las habilidades del personal que en la seguridad de los procesos.
2. Gestionado (Repetible): el proceso es gestionado sin uniformidad donde dispone de
ciertas tcnicas propias de gestin que son utilizadas discrecionalmente. La relacin con los
subcontratistas y clientes es gestionada sistemticamente.
3. Denido: la organizacin ha denido procesos formales para las diferentes actividades, que
son utilizadas concurrentemente.
4. Gestionado de forma cuantitativa: la organizacin ha establecido mtricas para los
principales elementos que gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los procesos y se hacen revisiones a las
mtricas.
CMMI se centra tanto en los procesos y las prcticas, polticas y procedimientos, donde en cada nivel de
madurez se observan diferentes elementos a gestionar para poder ser certificado.
4.4.2. ISO 27001 / BS 7799
Es el estndar de seguridad de la informacin, y est basado en la creacin de sistemas de gestin
de la seguridad de la informacin similar a los estndares de calidad.
La norma indica controles o grupos de controles codificados mediante un sistema numrico y
organizado por secciones. Cada seccin resalta los factores que se deben tener en cuenta para
alcanzar un adecuado control, aunque no todos estos controles son obligatorios pero si son
necesarios para gestionar la seguridad de la informacin. La norma establece la necesidad de
evaluar los riesgos correspondientes cuando se utilicen servicios de outsourcing que puedan
impactar en la seguridad de la informacin (Piattini, 2008).
4.4.3. ITIL (IT infraestructura library)
El modelo de ITIL est basado en servicios y en la entrega de los mismos de manera efectiva, eficiente
y controlada pero no deja de lado la necesidad de creacin de polticas, procedimientos o controles
directivos para la gestin de los servicios de TI (Piattini, 2008).
Su filosofa para el control del outsourcing puede resumirse en los siguientes principios:
a. Implantar una poltica que regule como adquirir servicios y seleccin de proveedores.
b. Estar alerta para mantener el know-how dentro de la empresa.
c. Documentar todas las actividades desarrolladas por outsourcing.
d. Establecer mecanismos de comunicacin para la correcta comprensin del servicio prestado.
e. Mantener una relacin estrecha y comunicacin continua con el proveedor para vericar las
necesidades de servicio.
f. Mantenimiento y monitoreo de los contratos con los proveedores, con la nalidad de
60
SEGUNDO BIMESTRE
identicar las posibles mejoras en todos los mbitos.
Las principales herramientas de control que ITIL hace especial mencin son los SLA (acuerdos de nivel de
servicio) y los OLA (acuerdos de nivel de operacin), cada una descrita a continuacin:
a. SLA: dene la relacin entre un proveedor de servicios y sus clientes. Este acuerdo describe
los productos, servicios o ambos, que se recibirn junto con las responsabilidades de cada
parte, las condiciones econmicas, como ser medido el servicio y el esquema de reporte.
b. OLA: dene las relaciones interdependientes de los grupos de soporte interno de TI que
trabajan para dar cobertura a los requerimientos de los SLA. Su objetivo es presentar la
gestin interna que desarrolla el proveedor para cumplir con lo indicado en el contrato SLA.
Este OLA tiende a ser ms tcnico que el SLA.
Lectura recomendada
Para reforzar ms del tema sobre auditora de outsourcing recomiendo acudir al texto bsico
Captulo 9 y revisar el Programa de Auditora al Outsourcing expuesto.
1. Tomando como base las actividades expuestas en la tabla 9.15 del texto bsico Auditora
de Tecnologas y Sistemas de Informacin Cap 9. Una vez haya comprendido las
actividades que se debe desarrollar para lograr cumplir los objetivos de un Programa de
Auditora de Outsourcing, use esas tablas para identicar las actividades de una empresa
X (que usted escoja y que brinde servicio de Outsourcing a la empresa donde Usted
labora o a otra empresa que Usted tome como ejemplo).
Para medir sus conocimientos adquiridos le invito a desarrollar la siguiente autoevaluacin.
61
SEGUNDO BIMESTRE
Autoevaluacin 4
Conteste correctamente las preguntas segn sea el caso (V si es Verdadero o F si es falso):
1. ( ) El outsourcing es una simple contratacin de servicios que una empresa busca para
cubrir una necesidad.
2. ( ) La auditora de outsorcing de TI se presenta como una herramienta de especial
utilidad para asegurar la discontinuidad del negocio.
3. ( ) El servicio de aseguramiento de la calidad que desee una empresa se lo puede tomar
como un proceso independiente. (outsourcing).
4. ( ) Para auditar el Outsourcing se debe conocer el entorno en que se desarrolla el proceso
y los agentes que participaron en ello.
5. ( ) Un elemento dentro del acuerdo de Outsourcing son los Acuerdos de nivel de servicio
SLAs.
6. ( ) Contrato de Outsourcing es un contrato profesional, donde cada clusula es
importante.
7. ( ) La herramienta bsica para comunicar los resultados del servicio en outsourcing es el
informe de gestin.
8. ( ) Los elementos de gestin en un SLA describen los pasos a dar para asegurar la
efectividad del servicio y resolver cualquier problema que pudiera darse.
9. ( ) Si no se cumple con el acuerdo de nivel de servicios no existen penalizaciones.
10. ( ) Una de las acciones indispensables en la Auditora del Outsourcing de TI es identicar
claramente la relacin entre el tercero, el cliente y los usuarios de la empresa.
11. ( ) Mantener una relacin estrecha y de comunicacin continua con el proveedor para
vericar las necesidades del servicio es una poltica, procedimiento o control del
modelo ITIL.
12. ( ) El modelo CMMI se centra slo en las polticas, dejando de lado los procesos de los
diferentes elementos a gestionar para ser certicado.
Hemos terminado la cuarta unidad!
Felicitaciones
62
SEGUNDO BIMESTRE
UNIDAD 5. AUDITORA A LA SEGURIDAD FSICA
Estimado alumno, empezamos el quinto captulo de la asignatura tomando temas fundamentales que
se requiere entender dentro de una auditora de la Seguridad Fsica de una Organizacin.
Para iniciar el estudio de este tema de seguridad, acuda al texto bsico y realice una lectura
comprensiva del captulo 10 del texto base titulado Auditora de la Seguridad Fsica.
Qu opina de lo aprendido? Tiene inquietudes o dudas? A continuacin las iremos resolviendo!
5.1. Qu es seguridad fsica?
Por lo general, cuando se habla de seguridad informtica siempre se piensa en errores de software, virus,
intrusos de red, etc. En definitiva, se piensa en software. La realidad es que la seguridad informtica
tambin implica otro aspecto muy importante y que generalmente permanece desatendido, se trata de
la Seguridad Fsica de un sistema.
De qu sirve que nadie pueda acceder de forma autorizada a los recursos lgicos del sistema, si cualquiera
puede entrar por la puerta y llevarse el equipo debajo del brazo?
Por lo tanto, se deben tomar medidas en lo que respecta a la seguridad fsica del sistema, y por supuesto,
cuando se definen dichas medidas hay que tener en cuenta a las personas que trabajan con los equipos
informticos.
Una definicin formal podra ser:
la seguridad fsica de los sistemas informticos consiste en la aplicacin de
barreras fsicas y procedimientos de control como medidas de prevencin y
contramedidas contra las amenazas a los recursos y la informacin confidencial
(Sue Berg et al., 1988).
Por Seguridad Fsica se entiende todos aquellos mecanismos destinados a proteger fsicamente cualquier
recurso del sistema. Estos recursos son desde un simple teclado hasta una cinta de backup con toda la
informacin de nuestra entidad, pasando por la propia CPU de la mquina, el cableado elctrico o el
edificio al completo.
63
SEGUNDO BIMESTRE
5.2. Objetivo de la seguridad fsica
Este tipo de seguridad est enfocado en cubrir las amenazas ocasionadas tanto por el hombre como por
la naturaleza del medio fsico en que se encuentra ubicado el centro.
Los objetivos de la seguridad fsica se basan en prioridades con el siguiente orden:
Edificio
Instalaciones
Equipamiento y Telecomunicaciones
Datos
Personas
5.3. Auditora de la seguridad fsica
Los sistemas informticos existentes, manejados dentro de una empresa, surten efecto si se posee
instalaciones adecuadas acorde a la necesidad y capacidad de cada institucin, por lo que requieren
cada cierto tiempo ser expuestas a anlisis que reiteren su correcto funcionamiento; evitando as que los
equipos se encuentren en riesgo de deterioro o daos irremediables.
Segn Piattini (2008) la Auditora Fsica es Una auditora parcial que garantiza la integridad de los activos
humanos lgicos y materiales, por lo que no difiere de la auditora general ms que en el alcance de la
misma.
Para Matnez (2005) Auditora Fsica es: La aplicacin de barreras fsicas y procedimientos de control,
como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial.
Se dice que una Auditora a la Seguridad Fsica representa el anlisis a las instalaciones con las que se
ha adecuado a un sistema informtico, propias de un empresa; enmarcndose a todo lo tangible que
permita funcionar y evitar destrucciones a largo plazo de los equipos existentes.
5.3.1. Objetivos de la auditora de la seguridad fsica
Garantizar la integridad de los activos humanos, lgicos y material de un CPD (Centro de Proceso
de Datos).
Cuando no estn claros los lmites, dominios y responsabilidades de los tres tipos de seguridad que
a los usuarios les interesa: seguridad lgica, seguridad fsica y seguridad de las comunicaciones.
Tener medidas para atender los riesgos de fallos, local o general de la seguridad fsica de la
organizacin.
5.3.2. Medidas para atender los riesgos de fallos de la seguridad fsica
Antes del desastre:
El Objetivo es obtener y mantener un nivel adecuado de seguridad fsica sobre los activos.
El nivel adecuado de seguridad fsica, o grado de seguridad, es un conjunto de acciones
utilizadas para evitar el fallo, o aminorar las consecuencias.
64
SEGUNDO BIMESTRE
Factores a tomar en cuenta para evitar los fallos:
Ubicacin del edificio.
Ubicacin del CPD.
Compartimentacin.
Elementos de construccin.
Potencia elctrica.
Sistemas contra incendios.
Control de accesos.
Seleccin del personal.
Seguridad de los medios.
Medidas de proteccin.
Duplicacin de los medios.
Durante el desastre:
El objetivo es tener y ejecutar un plan de contingencia adecuado. Recuerde que: Desastre:
es cualquier evento, que cuando ocurre, tiene la capacidad de interrumpir el proceso
normal de una empresa y se debe contar con los medios para afrontarlo cuando ste ocurra.
Los medios quedan definidos en el Plan de recuperacin de desastres, junto con el centro
alternativo de proceso de datos, constituyen el Plan de Contingencia.
El Plan de contingencia debe:
Realizar un anlisis de riesgos de sistemas crticos.
Establecer un perodo crtico de recuperacin.
Realizar un anlisis de las aplicaciones crticas estableciendo prioridades de proceso.
Establecer prioridades de procesos por das del ao de las aplicaciones y orden de los
procesos.
Establecer objetivos de recuperacin que determinen el perodo de tiempo (horas, dias,
semanas) entre la declaracin del desastre y el momento en que el centro alternativo
puede procesar las aplicaciones crticas.
Designar, entre los distintos tipos existentes, un centro alternativo de proceso de datos.
Asegurar la capacidad de las comunicaciones.
Asegurar la capacidad de los servicios de Back-up.
Despus del desastre:
Un factor muy efectivo son los contratos de seguros, pueden compensar en mayor o menor
medida las prdidas, gastos o responsabilidades que se puedan derivar una vez detectado
y corregido el fallo.
Las empresas aseguradoras pueden compensar:
Centro de proceso y equipamiento.
Reconstruccin de medios de software.
Gastos extra (continuidad de las operaciones y permite compensar la ejecucin del plan
de contingencia).
65
SEGUNDO BIMESTRE
Interrupcin del negocio (cubre prdidas de beneficios netos causados por la caida de
sistemas).
Documentos y registros valiosos.
Errores y omisiones.
Cobertura de fidelidad.
Transporte de medios.
Contratos con proveedores y de mantenimiento.
5.3.3. reas de seguridad fsica
Estas reas son muy importantes a tomar en cuenta ya que el auditor las necesita para evaluar y dar su
opinin al respecto, nosotros debemos conocer cules son estas reas en la organizacin (Piattini et al.,
2008).
5.3.3.1. Organigrama de la empresa
En este organigrama es donde se conocern las dependencias orgnicas, funcionales y jerrquicas de
los departamentos y de los distintos cargos y empleos del personal, pudiendo analizar con ayuda de
documentacin histrica, las deparacin de funciones y rotacin en el trabajo.
5.3.3.2. Auditora interna
Se refiere al departamento independiente o subordinado al de auditora financiera, si existe y es
colaborador de ste en cualquier caso. Su funcin como departamento de auditora interna es guardar
las auditoras pasadas informes de: las normas, procedimientos y planes que sobre la seguridad fsica
y su auditora se hayan realizado.
5.3.3.3. Administracin de la seguridad
Para la administracin de la seguridad se necesitan de varios recursos, a continuacin se enlistan los ms
importantes:
Director o responsable de la seguridad integral.
Responsable de la seguridad Informtica.
Administradores de Redes.
Administradores de Base de Datos.
Responsable de la seguridad activa y pasiva del entorno fsico.
Normas, procedimientos y planes que, desde su propia responsabilidad haya distribuido y
controlado el departamento.
5.3.3.4. Centro de proceso de datos (CPD) e instalaciones
Las instalaciones son elementos o accesorios que deben ayudar a la realizacin de la mencionada
funcin informtica y a, la vez, proporcionar seguridad a las personas, al software y a los materiales,
seguidamente se enlista algunas de estas instalaciones tomadas en cuenta en una auditora fsica:
66
SEGUNDO BIMESTRE
Sala de Host
Sala de operaciones
Sala de Impresoras
Cmara Acorazada
Oficinas
Almacenes
Sala de a paramenta elctrica
Sala de aire acondicionado
rea de descanso y servicios.
5.3.3.5. Equipos y comunicaciones
Son los elementos principales del CPD: Host, terminales, computadores personales, equipo de
almacenamiento masivo de datos, impresora, medios y sistemas de telecomunicaciones.
5.3.3.6. Computadores personales
Son equipos necesarios para la conexin de los medios de comunicacin.
5.3.3.7. Seguridad fsica del personal
Son los accesos y salidas seguras, as como medios y rutas de evacuacin, extincin de incendios y
medios utilizados para ello (agua en lugares con conducciones y aparatos elctricos, gases asfixiantes),
sistemas de bloqueo de puertas y ventanas, zonas de descanso y de servicio.
El Plan de contingencia inexcusablemente debe:
Realizar un anlisis de riesgos de sistemas crticos.
Establecer un perodo crtico de recuperacin.
Realizar un anlisis de las aplicaciones crticas estableciendo prioridades de proceso.
Establecer prioridades de procesos por das del ao de las aplicaciones y orden de los
procesos.
5.3.4. Fuentes para la auditora de la seguridad fsica
Las fuentes para la auditora de la seguridad fsica, son los materiales que le permite extraer al auditor
informacin para validar su auditora y realizar su informe final. A continuacin se enlista algunas fuentes
que el auditor debe tomar en cuenta:
Polticas, Normas y planes sobre seguridad.
Auditorias anteriores generales y parciales referente a la seguridad fsica o cualquier otro
tipo de auditora llevada a cabo en la organizacin.
67
SEGUNDO BIMESTRE
Contratos de seguros, de proveedores y de mantenimiento.
Entrevistas con el personal de seguridad, personal informtico y otros responsables.
Actas e informes de tcnicos y consultores.
Plan de Contingencia y valoracin de las pruebas.
Informes sobre accesos y visitas.
Polticas de personal.
Inventarios de Soporte (papel o magntico).
5.3.5. Tcnicas y herramientas para la auditora de la seguridad fsica
Las tcnicas y las herramientas van a la par, es decir, un auditor puede aplicar una tcnica con ayuda de
herramientas, pero no puede aplicar una herramienta sin utilizar una tcnica. Para mejor comprensin
en auditora las tcnicas son los mtodos o procedimientos que tiene como objetivo obtener resultados
verdicos de una auditora realizada, los mismos tinen que estar expuestos en un informe final de
auditora. Ejemplos de tcnicas y herramientas ms utilizadas en una auditora:
m Tcnicas:
Observacin de las instalaciones, sistemas, cumplimiento de normas y procedimientos,
etc. ( tanto de espectador como actor).
Revisin analtica de:
Documentacin sobre construccin y preinstalaciones.
Documentacin sobre seguridad fsica.
Polticas y normas de actividad de sala.
Normas y procedimientos sobre seguridad fsica de los datos.
Contratos de seguros y de mantenimiento.
Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio).
Consultas a tcnicos y peritos que formen parte de la plantilla o independientes.
m Herramientas:
Cuaderno de campo/ grabadora de audio.
Mquina fotogrfica / cmara de video.
Su uso debe ser discreto y con autorizacin.
68
SEGUNDO BIMESTRE
5.4. Fases de la auditora de la seguridad fsica
Considerando la metodologa de ISACA (Informaction Systems Audit and Control Association), existen
10 fases en una auditora de seguridad fsica, estas son:
Fase 1: Alcance de auditora
El alcance define con precisin el entorno y los lmites en que va a desarrollarse la auditora informtica
y se completa con los objetivos de sta. El alcance ha de figurar expresamente en el informe final, de
modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales
materias fronterizas han sido omitidas.
Fase 2: Adquisicin de informacin general
En esta fase se hace el estudio preliminar a la empresa y la determinacin de la problemtica de la
entidad. En esta fase se enmarca la accin de realizar una verificacin de los procedimientos, polticas,
suministros, materiales y programas y otros requerimientos que son importantes para la auditora.
Fase 3: Administracin y planificacin
Una planificacin adecuada es el primer paso necesario para realizar auditoras Informticas eficaces a la
seguridad. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar
la auditora as como los riesgos del negocio y control asociado.
Fase 4: Plan de auditora
El plan de auditora es la elaboracin de una serie de pasos a seguir conforme a la necesidad del auditor,
requerimiento del examen y la distribucin de actividades.
Fase 5: Resultado de las pruebas
Luego de la aplicacin de los planes de auditora se determinar el resultado de la aplicacin de
mtodos y tcnicas que darn resultados posibilitando el anlisis y la interpretacin de la informacin.
Este resultado tendr un sustento en los hallazgos obtenidos.
Fase 6: Conclusiones y comentarios
En base a los resultados obtenidos en la aplicacin de Mtodos de Investigacin posibilitar en
determinar una conclusin coherente en base a los hallazgos y la verificacin realizada.
Fase 7: Borrador del informe
Es el documento emitido por el auditor como resultado final de su examen, incluye informacin suficiente
sobre observaciones, conclusiones de hechos significativos, as como recomendaciones constructivas
para superar las debilidades en cuanto a polticas, procedimientos, cumplimiento de actividades y otras.
Fase 8: Discusin con los responsables del rea
Con el personal responsable se determinar la ocurrencia del hecho que causa errores en el cumplimiento
de las actividades diarias. En esta fase se determina el cumplimiento de las funciones de cada funcionario,
adems los avances que cada uno de ellos han tenido.
69
SEGUNDO BIMESTRE
Fase 9: Informe final
Constituye la etapa final del proceso de auditora, en el mismo se recogen todos los hallazgos detectados
para sustentar el dictamen emitido en un documento.
Fase 10: Seguimiento de las modificaciones acordadas
Aqu se recogen todos los cambios que se deben realizar de acuerdo al informe final de auditora que se
expuso al auditado.
Basado en el Cuestionario de Seguridad Fsica que puede encontrar en el texto bsico
Auditora de Tecnologas y sistemas de Informacin Captulo 10 , aplique este cuestionario
haciendo una Auditora de la Seguridad Fsica en la empresa donde trabaja. Tomando en
cuenta:
a. ESTADO Si existe o No el Control que le preguntan.
b. OBSERVACIN Si existe, anote qu control es, y si No existe, debe dar una
recomendacin.
Si no queda clara esta actividad no dude en comunicarse con el profesor mediante el EVA, en
horario de tutora.
Antes de pasar al siguiente captulo, pasemos a desarrollar la siguiente autoevaluacin; para
determinar el nivel de aprovechamiento del tema estudiado.
70
SEGUNDO BIMESTRE
Autoevaluacin 5
Conteste correctamente las preguntas segn sea el caso (V si es verdadero o F si es falso):
1. ( ) Seguridad fsica son todos los mecanismos destinados a proteger fsicamente
cualquier recurso de un sistema.
2. ( ) Los recursos de un sistema pueden ser desde un simple mouse hasta un disco duro
con toda la informacin de la empresa.
3. ( ) La Seguridad Fsica est enfocada a cubrir solo amenazas ocasionadas por la naturaleza
del medio fsico en que se encuentra la empresa.
4. ( ) No es necesario instalaciones adecuadas para que un sistema informtico de cierta
empresa funcione correctamente.
5. ( ) Uno de los objetivos de la auditora de la seguridad fsica es: tener medidas para
atender los riesgos de fallos, local o general de la seguridad fsica de la organizacin.
6. ( ) Una medida para atender riesgos de fallos de seguridad durante el desastre es
mantener un adecuado nivel de seguridad fsica sobre los activos, por ejemplo:
ubicacin del edicio.
7. ( ) Una medida para atender riesgos de fallos de seguridad despus del desastre es hacer
efectivo el aseguramiento de la empresa.
8. ( ) Existen solamente 3 reas de seguridad fsica que el auditor debe tomar en cuenta a
la hora de evaluar y dar su opinin.
9. ( ) La fase de la auditora de la seguridad fsica donde se realiza una vericacin de
los procedimientos, polticas, materiales y otros requerimientos es el alcance de la
auditora.
10. ( ) La etapa nal de la auditora de la seguridad fsica es presentar el informe nal donde
se recogen todos los hallazgos encontrados en la misma.
Hemos terminado la quinta unidad!
Felicitaciones
71
SEGUNDO BIMESTRE
UNIDAD 6. GESTIN DE RIESGOS Y AUDITORA BASADA EN RIESGOS - COBIT
Estimado estudiante, para desarrollar los contenidos de la presente unidad, es necesario leer y analizar
la siguiente bibliografa especfica:
Information System Audit & Control Association. (2005). COBIT 4.0 en espaol, Directrices
Gerenciales, Objetivos de Control, Niveles de Madurez. (3ra ed.). Mxico DF. Estar subida en el
entorno virtual de aprendizaje EVA.
Posterior a su lectura vamos a enfatizar algunos puntos importantes para su aprendizaje.
Es importante conocer que la gestin de riesgos es una de las principales herramientas de los auditores
modernos ya que permite enfocarse en los puntos ms crticos, es decir, los puntos de riesgo en un
negocio. De manera general, los puntos crticos de TI son aquellos que soportan a los procesos ms
importantes de una empresa. Sin embargo, los activos de TI de este mbito son demasiados y es necesario
priorizar sobre los que implican mayor nivel de exposicin de riesgo.
Tal como se estudi en la unidad 2 de esta gua didctica, en esta unidad se ver cmo evaluar un riesgo
pero basada en marcos de referencia RISK IT basado en COBIT ISACA.
Para reforzar este captulo es importante que recuerde lo que se estudio en la unidad 2 de esta
gua, para ello le invito a volver a revisar su contenido, as comprender mejor lo que se ver
en esta unidad.
6.1. Cmo evaluar un riesgo tecnolgico?
Ahora los invito a revisar y analizar las pginas 26 a 36 del documento Marco de Riesgos indicado en
la bibliografa de la unidad y que estar subido oportunamente en el entorno virtual de aprendizaje
EVA, sta seccin del documento nos permitir entender de manera general, lo que es el riesgo y cmo
evaluarlo.
Es necesario entender que en el mundo de negocios actual la nica manera de evitar que ocurran
eventos no deseados, o disminuir el impacto en caso de que stos ocurran, es mantener un proceso
de gestin de riesgos que permitan alertar o implementar controles que disminuyan el peligro que
asecha a una empresa o entidad. En este sentido, al ser el ambiente tecnolgico un puntal importante
para las empresas, es necesario que el ambiente tecnolgico sea gestionado considerando los riesgos
relacionados.
Ahora analizaremos cmo podemos evaluar el riesgo tecnolgico considerando la perspectiva de
auditora: los riesgos requieren ser expresados en trminos inequvocos, claros y relevantes para el
negocio. La gestin efectiva del riesgo requiere de la comprensin mutua entre TI y el negocio sobre
el que el riesgo debe ser gestionado y por qu. Todas las partes interesadas deben tener la capacidad
de comprender y expresar cmo los eventos adversos pueden afectar a los objetivos de negocio. Es
necesario tomar en cuenta que:
72
SEGUNDO BIMESTRE
Una persona de TI debe comprender cmo los fallos relacionados o acontecimientos
relacionados con TI pueden afectar a los objetivos de la organizacin y causar prdida
directa o indirecta a la organizacin.
Una persona de negocios deben entender cmo los fallos o eventos relacionados con TI
pueden afectar a los servicios y procesos clave.
Para esto, es necesario identificar una vulnerabilidad y una amenaza que pueden generar que ocurra un
evento no deseado. Dicho evento debe tener asociado un impacto, es decir: qu puede ocurrir en caso
de que dicha amenaza se materialice? Este impacto debe estar definido en trminos del negocio, por
ejemplo trminos monetarios. Adicionalmente debemos asociar a cada riesgo la probabilidad de que
esto ocurra en las condiciones actuales.
A manera de ejemplo: Una amenaza de ataque informtico puede materializarse en caso de que
tengamos una vulnerabilidad como falta de controles perimetrales sobre nuestra red informtica. El
impacto que esto implica puede ser: cada de los sistemas y paralizacin de los procesos de negocio
hasta restablecer la infraestructura tecnolgica. La probabilidad puede ser alta considerando que no
existen controles de seguridad o tomando en cuenta que incidentes como ste ya han ocurrido antes.
6.2. Procesos claves de riesgos en COBIT
Estimado estudiante, lo invito a revisar y analizar, las pginas 22 a 24 del documento Cobit (1) y las
pginas 64 a 67.del documento COBIT 4.0 indicado en la bibliografa de la unidad y que estarn subidos
en el entorno virtual de aprendizaje EVA, esta seccin del documento nos permitir tener una visin de
lo que dicta el marco de referencia COBIT sobre el riesgo tecnolgico. Esto es muy til porque nos indica
los controles que el auditor podra revisar para este mbito.
Usted debe tener en cuenta para este estudio el objetivo del proceso de gestin de riesgos: La clave de
este proceso se centra en evaluar de forma recurrente la posibilidad e impacto de todos los riesgos
identificados, usando mtodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los
riesgos inherentes y residuales se debe determinar de forma individual, por categora y con base en el
portafolio de proyecto o funciones que pueda tener una empresa.
Debemos recordar que ISACA ha definido buenas prcticas que sirven a los gestores de riesgo a mejorar
sus procesos de riesgos. La consecuencia de una buena prctica de riesgos es que el auditor informtico
podr enfocar su trabajo de auditora sobre los puntos ms crticos del ambiente tecnolgico, lo que
resulta en eficiencia del trabajo de auditora.
RECOMENDACIN PARA REFORZAR EL CAPTULO
Para reforzar este captulo:
1. Es importante que Usted ya est familiarizado con COBIT.
2. En caso de no ser as, le invito a revisar el documento Cobit (1) subido en el entorno
virtual de aprendizaje EVA, revisar desde la pgina 9.
3. Si tiene alguna duda, puede comunicarse con su tutor mediante el EVA.
Le invito a desarrollar la siguiente autoevaluacin; para determinar el nivel de
aprovechamiento del tema estudiado.
73
SEGUNDO BIMESTRE
Autoevaluacin 6
Conteste o seleccione la pregunta segn sea el caso V o F:
1. ( ) Un actor que genera una amenaza slo pueden ser los humanos.
2. ( ) Un activo es cualquier objeto de valor de la organizacin que puede ser afectado por
un evento y crear un impacto en la organizacin.
3. ( ) Para identicar un riesgo primero debemos visualizar una vulnerabilidad o amenaza.
4. ( ) El impacto debe traducirse a trminos del negocio.
5. ( ) Cada riesgo debe tener asociada una probabilidad de ocurrencia.
6. ( ) La magnitud del riesgo es igual a la probabilidad de ocurrencia nicamente.
7. ( ) El impacto es un indicador que compone el riesgo y que indica las consecuencias en
caso de que se materialice un riesgo.
8. ( ) La probabilidad e impacto son los 2 componentes que denen al riesgo.
9. ( ) COBIT dene los objetivos de control que componen el proceso de administracin de
riesgos de TI.
10. ( ) El impacto puede denirse con mtodos cuantitativos nicamente.
Hemos terminado la sexta unidad!
74
SOLUCIONARIO
7. Solucionario
PRIMER BIMESTRE
Autoevaluacin 1
Pregunta Respuesta
1. F
2. F
3. V
4. F
5. Literal C
6. Literal B
7. F
8. F
9. F
10. F
75
SOLUCIONARIO
Autoevaluacin 2
Pregunta Respuesta
1. F
2. V
3. Literal B
4. Liteeral C
5. F
6. V
7. F
8. F
9. V
10. V
11. V
12. F
13. F
14. V
15. Literal D
16. F
17. Literal D
18. V
76
SOLUCIONARIO
Autoevaluacin 3
Pregunta Respuesta
1. V
2. V
3. V
4. F
5. F
6. F
7. F
8. V
9. V
10. F
11. V
12. F
13. F
14. V
15. F
16. V
17. V
18. V
19. F
20. F
77
SOLUCIONARIO
FAutoevaluacin 4
Pregunta Respuesta
1. F
2. F
3. V
4. V
5. V
6. V
7. F
8. V
9. F
10. F
11. V
12. F
78
SOLUCIONARIO
Autoevaluacin 5
Pregunta Respuesta
1. V
2. V
3. F
4. F
5. V
6. F
7. V
8. F
9. F
10. V
79
SOLUCIONARIO
Autoevaluacin 6
Pregunta Respuesta
1. F
2. V
3. V
4. V
5. V
6. F
7. V
8. V
9. V
10. F
KARG/yc/2014-03-01/79 pg.

Auditoria

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria

Caricato da

Copyright:

Formati disponibili

Departamento de Ciencias de la Computacin y Electrnica

Seccin Ingeniera del Software y Gestin de Tecnologas de la Informacin

Potrebbero piacerti anche