UNIVERSIDAD AUTNOMA DEL PER

Ing. Renato valos M.

 Conocer

los conceptos bsicos de la auditora

informtica.

Conocer

los organismos reguladores

nacionales e internacionales.

 Definicin

de Auditora.
Clasificacin de la Auditora.
Caractersticas de la Auditora.
Justificacin para efectuar una Auditora.
Objetivos de la Auditora.
Organizaciones Normalizadoras.

 Mapa

Conceptual o esquema que ilustre los

principales conceptos adquiridos.
Conversaciones en aula de alumnos-docente.

palabra auditora
proviene
del
latn
auditorius y de sta
proviene la palabra
auditor, que tiene la
virtud de oir y revisar
cuentas.

La

 POR

SU REA DE APLICACIN:

AUDITORIA FINANCIERA
AUDITORIAADMINISTRATIVA
AUDITORIA OPERACIONAL
AUDITORIA INTEGRAL
AUDITORIA GUBERNAMENTAL
AUDITORIA DE SISTEMAS

FUENTE: AUDITORIA EN SISTEMAS COMPUTACIONALES. CARLOS MUOZ RAZO

, 0 1 1 13

j 105%

El valor de la com petencia tcn ica

profesional y la independencia del auditor
En una primera aproximacin, pued e decirse que el inf orme
de audit ora de sistemas de info rmacin es un documento que
presenta el t rabaj o efectuado por el audit or y su opinin
profesional sobre la tota lidad, rea o seccin del S.I.objetivo de
la audit o ra. El i nfor me es, a la postre, el result ado fina l y fo rmal
que refleja todo su esfu erzo comprensivo de los elementos
personales, temporales, ident ificativos de alcance y de opin in,
que incluye conclusiones, recomendaciones, salvedades (reser
vas y calificaciones) y fallos significativos detect ados. La finalidad y los usos de
dicho informe, sean cuales fueren, justif icanla auditor a y su realizacin por el
susodicho auditor, en fu ncin de dos de sus atrib ut os capit ales: la competencia
tcnica prnf esional y la independencia.

JosdelaPenaSochez
Para centrar el asunto del que aqu se trata.
conviene f ijar algunas definiciones de los con
ceptos involucrados. La primera que se propone
es la de auditona, y de todas las existentes, se ha
seleccio nado la contenida en la recientemente
traducida al castellano ISO 9000/1999, breve.
concisa y de gran calidad. Dice asl: <fi>roceso
sistemtico independiente y documentado para
obtener evidendas y evaluarlas de, manera ob
jeti va con el fin de determ inar el a/canee al que
se cumplen los criterios de auditorfan.
Obviamente. los criterios de audilorla se

def inen en la misma norma como el Conj unto

de pollticas. procedimientos o requisitos contra
fos que se compara,la evidencia de laauditoria.

En fu ncin del o rigen del mandat o:

obligatorias o voluntarias
Enf uncin del objetivo: S.I.. datos perso
nales, calidad, cuen tas, fiscal. seguridad e higie
ne en el t rabajo...

Segn el sector econmico: Industria ...

Servic io:...
Deacuerdo con esta clasificacin. la audit o
ria del Reglamento es privada. puede serinterna o
externa. su alcance es total en funcin de las
medidas. resulta obligatoria por el origen del
mandato y el objetivo viene definid o por el
tratamiento de datos personales a partir del
nivel medio. En relacin con el sector econmi
co. afecta de hecho a cualquier entidad de

ambientes de doctrina ms o rtodoxa.

Si se atribuyen al concepto de audito r ia de
S.I. unas caractertsticas que lo vinculan con la
emisin de una opinjn tecnica profesional. el
examen metdico. independiente y obj etivo. las
disposiciones (en su sentid o ms extenso: leyes.
usos. normas profesionales...) previamente es
tablecidas. las comprobaciones q ue se llevan a
cabo y la adecuacin para llegar al fin previs
to ..., resulta posible matizar las otras realidades
mencionadas. es decir. la asesorta y la consulto
rfa. a la vez t an prximas y tan lejanas.
La asesora es aquel servicio profesional
or ientado a conseguir hallazgos y emit ir conclu
siones o recomendaciones para que el asesora
do tome decisiones. El asesor ofrece diversas
opciones ante un problema a fin de que el
receptor del servicio elija. Suele ser peridica o
continua.
Se entiende por consulto rla aquel servicio
profesional centrado en suministrar consejos
sobre asuntos det erm inados en un per iodo de
t iempo no muy largo. El consult or ofrece de
for ma puntual la mej or solucin a un problema
especfico.
Ni qu decir t iene que es1as aproximacio
nes. adems de discutibles. estn sometidas
hoy a fuertes presiones. entre otras razones
porque el binomio ' independencja + incompa
tibilidades' no ha encontrado el punto deseado
de coordinacin con la oferta de los llamados
servicios profesionales (integrales. complemen
t arios...).

ESTADO DEL ARTE

 Proceso

sistemtico, independiente y
documentado
para obtener evidencias y
evaluarlas de manera objetiva
con el fin de determinar el alcance al que
se cumplen los criterios de auditora.
Conjunto de polticas, procedimientos o requisitos

contra los que se compara la evidencia de la auditora

La verificacin de controles en el procesamiento de

la informacin, desarrollo de sistemas e instalacin
con el objetivo de evaluar su efectividad y presentar
recomendaciones a la Gerencia.
La actividad dirigida a verificar y juzgar informacin.
El examen y evaluacin de los procesos del Area de
Procesamiento automtico de Datos (PAD) y de la
utilizacin de los recursos que en ellos intervienen,
para llegar a establecer el grado de eficiencia,
efectividad y economa de los sistemas
computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a
corregir las deficiencias existentes y mejorarlas.

 En

Interna / Externa
Pblica / Privada

En

funcin del alcance:

Totales o completas
Parciales o de alcance limitado

En

funcin del sujeto:

funcin del origen del mandato:

Obligatorias / Voluntarias

 AUDITORA

EXTERNA:

AUDITORA INTERNA

CONCEPTO
VENTAJAS
DESVENTAJAS

FUENTE: AUDITORIA EN SISTEMAS COMPUTACIONALES. CARLOS MUOZ RAZO

Aumento considerable e injustificado del presupuesto del

PAD (Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin
informtica de la empresa
Falta total o parcial de seguridades lgicas y fsicas que
garanticen la integridad del personal, equipos e
informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de
polticas, objetivos, normas, metodologa, asignacin de
tareas y adecuada administracin del Recurso Humano
Descontento general de los usuarios por incumplimiento de
plazos y mala calidad de los resultados
Falta de documentacin o documentacin incompleta de
sistemas que revela la dificultad de efectuar el
mantenimiento de los sistemas en produccin.

Buscar una mejor relacin costo-beneficio de los sistemas automticos o

computarizados diseados e implantados por el PAD (Departamento de
Procesamiento de Datos).
Incrementar la satisfaccin de los usuarios de los sistemas
computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones

Apoyo de funcin informtica a las metas y objetivos de la organizacin

Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente

informtico

Minimizar existencias de riesgos en el uso de Tecnologa de informacin

Decisiones de inversin y gastos innecesarios

Capacitacin y educacin sobre controles en los Sistemas de Informacin

 Es

el proceso de recolectar, agrupar y evaluar

evidencias para determinar si un sistema de
informacin:

Salvaguarda los activos.

Mantiene la integridad de los datos.
Lleva a cabo eficazmente los fines de la
organizacin.
Utiliza eficientemente los recursos.
Cumple con las leyes y regulaciones establecidas.

Detectar de forma sistemtica el uso de los recursos

y los flujos de informacin dentro de una
organizacin.
Determinar qu informacin es crtica para el
cumplimiento de su misin y objetivos, identificando
necesidades, duplicidades, costos, valor y barreras,
que obstaculizan flujos de informacin eficientes.
Control de la funcin informtica.
Anlisis de la eficiencia de los Sistemas Informticos.
Verificacin del cumplimiento de la Normativa en
este mbito.
Revisin de la eficaz gestin de los recursos
informticos.

 Interna

Los recursos y personas pertenecen a la empresa

auditada.
Es remunerada.
La organizacin la controla.

Externa

Los recursos y personas no pertenecen a la

empresa auditada.
Es remunerada.
Distancia entre auditores y auditados: mayor
objetividad.

 Estudiar

los mecanismos de control que estn

implantados en una empresa u organizacin.
Determinar si son adecuados y cumplen unos
determinados objetivos o estrategias.
Establecer los cambios que se deberan
realizar para la consecucin de los mismos.

 En

una auditora los mecanismos de control

pueden ser:
Preventivos
De deteccin
Correctivos (o de recuperacin ante una
contingencia)

Descoordinacin y desorganizacin.

Mala imagen Insatisfaccin de los usuarios.

Software.
Hardware.
Plazos de entregas.

Debilidades econmicas-financieras.

Concordancia con los objetivos.

Desvos importantes del plan operativo anual.
Alta rotacin de personal.

Incremento de costos.
Justificacin de inversiones informticas.
Desviaciones presupuestarias.
Costos y plazos de nuevos proyectos.

Inseguridad.

Lgica.
Fsica.
Confidencialidad.
Carencia de planes de contingencias.

 Auditora

fsica.
Auditora de la ofimtica.
Auditora de la direccin.
Auditora del desarrollo.
Auditora del mantenimiento.
Auditora de BD.
Auditora de la seguridad.
Auditora de redes.
Auditora del aplicaciones.
Auditora de SSD y aplicaciones de
simulacin.

 Constitucin

legal.
Antecedentes.
Organigrama.
Departamentos.
Relaciones jerrquicas y funcionales.
Flujos de informacin Cursogramas.
Planos.

 Entrevistas.
Visitas

a la organizacin.
Estudio de documentacin y antecedentes.
Cuestionarios.
Encuestas.

 Cuando

un auditor profesional se somete a

auditar una empresa, lo primero que intenta
realizar es mejorar todos los procesos que se
llevan en la misma para buscar la eficiencia
total. Este trabajo no se hace de la noche a
la maana; para ello se empieza a trabajar
internamente, por reas o departamentos.

 La

mayora de las organizaciones han

acometido varias iniciativas en tal sentido
tales como:

La reestructuracin de los procesos

empresariales.
La gestin de la calidad total.
El redimensionamiento por reduccin y/o por
aumento de tamao hasta el nivel correcto.
La contratacin externa.
La descentralizacin.

 EL

INFORME

Documento inequvocamente vinculado a su autor o autores, convenientemente

autenticado, con garantas de integridad y de acceso permitido a quienes estn
autorizados, en el que el auditor da su opinin profesional independiente al
destinatario.
Este informe tiene valor para el auditado, y tambin en ciertos supuestos y
escenarios, para terceros y para organismos de control.

INSTITUCIONES NORMALIZADORAS
INTERNACIONALES.
INSTITUCIONES NORMALIZADORAS PERUANAS
NORMAS INTERNACIONALES DE EVALUACION Y
CERTIFICACIN
NORMA TCNICA PERUANA NTP-ISO/IEC 17799

ITU-T (Sector de Normalizacin de las Telecomunicaciones)

ISO/IEC (Organizacin Internacional para la Estandarizacin/

Comisin Electrotcnica Internacional)

CEN/CENELEC (Comit Europeo de Normalizacin/ Comit

Europeo de Normalizacin Electrnica)

ETSI (Instituto Europeo de Normas de Telecomunicaciones)

ONGEI:

INDECOPI:

PCM a travs de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI

en

coordinacin con el Instituto Nacional de Defensa de la Competencia y de la Proteccin de la

Propiedad Intelectual INDECOPI, recomienda la aplicacin y uso obligatorio de la Norma Tcnica
Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin. Cdigo de buenas prcticas
para la gestin de la seguridad de la informacin, en todas las entidades integrantes del Sistema
Nacional de Informtica.
El Gobierno a travs de la Presidencia de Consejo de Ministros mediante RESOLUCIN MINISTERIAL
N 224-2004-PCM, decreta su obligatoriedad en la administracin pblica.

TCSEC -

ITSEC/ITSEM -

ISO/IEC 27000

Trusted Computer Systems Evaluation Criteria

TCSEC (Libro Naranja):

El Libro Naranja es consecuencia de la creciente conciencia de la seguridad por parte del
Gobierno de los Estados Unidos de Norteamrica y de su industria.
Define cuatro divisiones jerrquicas de seguridad para la proteccin de informacin.
En orden creciente de confiabilidad se tienen las siguientes divisiones:

D Proteccin mnima
C Proteccin discrecional
B - Proteccin obligatoria
A Proteccin controlada

TCSEC Trusted Computer Systems Evaluation Criteria

ITSEC/ITSEM
ITSEC (Information Technology Security Evaluation Criteria)
Es el equivalente europeo del Libro Naranja, pero ms moderno y con mayor alcance
que aqul. Se conoce comnmente como Libro Blanco.
Ha surgido de la armonizacin de varios sistemas europeos de criterios de seguridad
en TI. Tiene un enfoque ms amplio que TCSEC.
ITSEM (Information Technology Security Evaluation Manual)
Manual de evaluacin de la seguridad de TI que forma parte del ITSEC versin 1.2 y
cuya misin es describir cmo aplicar los criterios de evaluacin del ITSEC.
Contiene mtodos y procedimientos de evaluacin suficientemente detallados para
ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como
en el pblico.

ISO/IEC 27000
Familia de normas para la gestin de la seguridad de la informacin.
Proporciona una visin general de los sistemas de gestin de la informacin de
seguridad, que constituyen el objeto de la familia de normas del sistema de gestin de
la seguridad de la informacin (SGSI), y define los trminos relacionados.

 ISO

17799

Cdigo de buenas prcticas para la gestin de seguridad

informtica.

ISO/IEC

27002

Especificaciones del Sistema de Administracin de

Seguridad de la Informacin. Pertenece a la familia de
normas ISO 27000.

""" '

Electrnico de Datos (EDI) present a la Conlisin de Regla1nentos Tcnico y

Con1erciales -CRT- con fecha 2006-07-2 1, el PNTP-ISO/IEC 17799 :2006 para su
revisin y aprobacin; siendo sometido a la etapa de Discusin Pblica el 2006-11-25 .
No habindose presentado observaciones fue oficializada como No1m a Tcnica Pen iana
NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la infor1nacin. Cdigo de buena s
prcticas pa ra la gestin de la segu ricla d de la informacin , 2 Edicin, el 22 de
enero del 2007 .
A .3
Esta No1ma Tcnica Peniana es lUla adopcin de la No1ma ISO/IE
17799:2005. La presente Norma Tcnica Peniana presenta crunbios editoriales referido

principahnente a tenninologa e1npleada propia del idioma espaol

stn1cnlfada de acuerdo a las Guas Penianas GP 001: 1995 GP 002: 1995.

B.
LA

INST IT UCIONES QUE PARTI CIPAR ON EN LA ELABORA C I DE

ORMA TCNI CA PERUAKA

Secretara

EAN PERU

Presidente

Marco Surez

Secretaria

Maiy'l{ong

210 x 297 mm

...!J

ba sid

NlP .pdf (PROTEGIDO) - Adobe Reader

Archivo Edicin Ver

Documento Herramientas Ventana Ayuda

1 179 : -

! 100%

! :

E3:: j suscar

,,

NORMA TECNICA
PERUANA
Comisin de Reglamentos Tcn icos y Comerciales - Th'1DECOPI
Calle de La Prosa 138, San Borja (Lima 4 1) Apartado 145

NTP -ISO/IEC ]7799

2007
Lima , Pen

EDI. Tecnologa de la infonnacin . Cdigo de buenas

prcticas para la gestin de la seguridad de la infor111acin

Norma

Ttulo

Estado

Panorama General y Vocabulario

FDIS

27001

Requisitos para el SGS I

Publicada
actualizada ahora

27002

Cdigo de Prctica para la Gestin de 1a Seguridad de la

Informacin

Publicada actualizada ahora

27003

Gua de !Implementacin del SGSI

FCD

27004

Mediciones de la GSI

2do. FCD

27005

Gestin delRiesgo del SGSI

Publicada

27006

Requisitos de Acreditacin para organismos de

certificacin

Publicada

---------------------

27000

----

27007

1
----------

Directrices de Auditora del SGSI

-WD

- - - ----1

PLANIFICA

Diseo
del SGSI

ACTUAR

11
HACER

!:

ERJF1CAR

Ciclo de Vida del SGSI

 LA

AUDITORA ES UNA ACTIVIDAD NECESARIA

DE SER APLICADA AL INTERIOR DE CADA
ORGANIZACIN.
EXISTEN VARIAS NORMAS REGULADORAS,
NACIONALES E INTERNACIONALES.
LA NTP ES LA NORMA TCNICA PERUANA QUE
DEBEMOS APLICAR.

AUDITORIA EN INFORMATICA
JOS ANTONIO ECHENIQUE GARCA
AUDITORA EN SISTEMAS COMPUTACIONALES
CARLOS MUOZ RAZO
AUDITORA INFORMTICA
MARIO G. PIATTINI
AUDITORA DE SISTEMAS
El Valor de la Competencia Tcnica y la Independencia del Auditor.
http://www.revistasic.com/revista39/pdf_39/SIC_39_acuentas.PDF
NTP- Norma Tcnica Peruana
http://www.bvindecopi.gob.pe/normas/isoiec17799.pdf