AUDITORIA DE SISTEMAS

CONTROL DE INFORMATICA

MARIA OTILIA MAZO MEJIA

TUTOR

RAFAEL REYES MORENO

CONAAES

CORPORACION NACIONAL DE ALTOS ESTUDIOS PARA EL DESARROLLO

HUMANO Y SOCIAL

PUERTO BERRIO
SEPTIEMBRE 2 DE 2011

1. COMPONENTE A AUDITAR:
El recurso informtico: En el manejo del software y hardware en la Institucin Corporacin
Educativa la Inmaculada CETELI.
1. OBJETIVO GENERAL:
Determinar cmo es el manejo de los sistemas informticos en la institucin Corporacin Educativa
la Inmaculada CETELI.
OBJETIVOS ESPECIFICOS:
1. Identificar la licencia del software de cada equipo de
la institucin.
2. Evaluar los perfiles de los usuarios para el acceso
de los funcionarios.
3. Examinar correctamente y peridicamente las
copias de seguridad.
4. Identificar que cada usuario del sistema tenga su
propia contrasea.
5. Se debe contar con un plan de mantenimiento y
registro de fechas, problemas, soluciones y prximo
mantenimiento propuesto.
6. Conocer la situacin actual del rea informtica y las
actividades y esfuerzos necesarios para lograr los
objetivos propuestos.
7. Revisar la funcin informtica en cuanto a las metas
y objetivos de la organizacin.
8. Verificar la seguridad, utilidad, confianza, privacidad
y disponibilidad en el ambiente informtico.
9. Minimizar existencias de riesgos en el uso de
Tecnologa de informacin.
10. Llevar a cabo un Inventario de equipo de cmputo,
software y mobiliario, para determinar cul es la
informacin crtica que se tiene que resguardar.
2. ALCANCE:
En la Institucin Corporacin Educativa la Inmaculada CETELI.
hasta la fecha no ha habido una auditora interna, por lo cual se pretende llegar a detectar
las falencias o debilidades que se tengan en las diferentes dependencias institucionales,
para ayudarles a encontrar soluciones que contribuyan al mejoramiento de los procesos
administrativos, acadmicos y operativos de la institucin como tal.

3. METODOLOGIAS

METODOLOGIAS DE AUDITORIA INFORMATICA

Las metodologas son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
La auditoria informtica solo identifica el nivel de exposicin por la falta de controles
mientras el anlisis de riesgos facilita la evaluacin de los riesgos y recomienda
acciones en base al costo-beneficio de la misma. Todas las metodologas existentes en
seguridad de sistemas van encaminadas a establecer y mejorar un entramado de
contramedidas que garanticen que la productividad de que las amenazas se
materialicen en hechos sea lo ms baja posible o al menos quede reducida de una
forma razonable en costo-beneficio.
Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control
informtico, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la
realizacin del trabajo, estn diseadas para producir una lista de riesgos que pueden
compararse entre s con facilidad por tener asignados unos valores numrico. Estn
diseadas para producir una lista de riesgos que pueden compararse entre s con
facilidad por tener asignados unos valores numricos. Estos valores son datos de
probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de
incidencias donde el nmero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso
de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar el
check-list/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere
menos recursos humanos / tiempo que las metodologas cuantitativas.
Ventajas:
Enfoque lo amplio que se desee.
Plan de trabajo flexible y reactivo.
Se concentra en la identificacin de eventos.
Desventajas
Depende fuertemente de la habilidad y calidad del personal involucrado.
Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades
complejas de calcular.
Dependencia profesional.
Metodologas en Auditora Informtica.
Las metodologas de auditora informtica son de tipo cualitativo/subjetivo. Se puede
decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel
de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y
jurdicas, que exigen en gran profesionalidad y formacin continua. Solo existen dos
tipos de metodologas para la auditora informtica:
Controles Generales.- Son el producto estndar de los auditores profesionales. El
objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la
auditora financiera, es resultado es escueto y forma parte del informe de auditora, en
donde se hacen notar las vulnerabilidades encontradas. Estn desprestigiadas ya que
dependen en gran medida de la experiencia de los profesionales que las usan.
Metodologas de los auditores internos.- Estn formuladas por recomendaciones
de plan de trabajo y de todo el proceso que se debe seguir. Tambin se define el
objetivo de la misma, que habr que describirlo en el memorando de apertura al
auditado. De la misma forma se describe en forma de cuestionarios genricos, con una
orientacin de los controles a revisar. El auditor interno debe crear sus metodologas
necesarias para auditar los distintos aspectos o reas en el plan auditor.

METODOLOGA ROA Risk Oriented Approach

En la actualidad existen tres tipos de metodologas de auditora informtica:
R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen.
CHECKLIST o cuestionarios.
AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de
Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).
En s las tres metodologas estn basadas en la minimizacin de los riesgos, que se
conseguir en funcin de que existan los controles y de que stos funcionen. En
consecuencia el auditor deber revisar estos controles y su funcionamiento.
Gua de auto evaluacin?
Esta pretende ser un sistema sencillo y fiable de conocer la situacin general del
sistema de informacin de una empresa, as como definir el estado del control de
dichos sistemas tomando como control la definicin de la ISAACA.
A quin va dirigida?
Esta gua va orientada a las Pequeas y Medianas empresas, y dentro de las mismas,
a los responsables de los sistemas de informacin, gerentes directivos o auditores.
Conocimientos necesarios
No resulta necesario tener conocimientos informticos para realizar una auditora
informtica mediante la tcnica utilizada en esta gua. No obstante se cree necesario
un mnimo de formacin especfica para, al menos, saber qu es lo que se quiere
analizar, as como algunos conceptos no nos resulten excesivamente extraos.

Minicomputador.

Red local.

PC.

Perifricos.

Software de base.

Eficacia de un servicio informtica.

Seguridad lgica.

Seguridad fsica.

Etc.

Minicomputadores e informtica distribuida.

Entornos de aplicacin

Redes de rea local.

PCs.

Metodologa utilizada
La metodologa utilizada es la Evaluacin de Riesgos (ROA Risk Oriented Approach) recomendada
por ISACA.
Esta evaluacin de riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas
de Checklist (cuestionarios) adaptados a cada entorno especifico; deber tenerse en cuenta que
determinados controles se repetiran en diversas reas de riesgo. Esto a que dichos controles
tienen incidencia independiente en cada una y, que se pretende poder analizar cada rea
independientemente, es necesaria dicha repeticin. As mismo los controles gerenciales y algunos
controles de caractersticas especiales, como pueden ser los de base de datos, se aplicarn
teniendo en cuenta las particularidades de cada entorno.
Fases de la autoevaluacin
Riesgo en la continuidad del proceso
Son aquellos riesgos de situaciones que pudieran afectar a la realizacin del trabajo informtico o
incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o
incluso tambin a paralizarla.
Riesgos en la eficacia del servicio informtico
Entenderemos como eficacia del servicio la realizacin de los trabajos encomendados. As pues,
los riesgos en la eficacia sern aquellos que alteren dicha realizacin o que afecten a la exactitud
de los resultados ofrecidos por el servicio informtico.
Riesgo en la eficiencia del servicio informtico
Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya
sea a nivel econmico o tcnico, pretendiendo con el anlisis de estos riesgos mejorar la calidad
de servicio.
Riesgos econmicos directos
En cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directos
inadecuados, gastos varios que no deberan producirse, e incluso aquellos gastos derivados de
acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de
la empresa o las leyes vigentes.
Riesgos de la seguridad lgica
Todos aquellos que posibiliten accesos no autorizados a la informacin mecanizada mediante
tcnicas informticas o de otro tipos.
Riesgos de la seguridad fsica
Comprendern todos aquellos que acten sobre el deterioro o aprobacin de elementos de
informacin de una forma meramente fsica.
Valoracin de resultados
La auto gua se compone de una serie de cuestionarios de control. Dichos cuestionarios podrn ser
contestados mediante dos sistemas indicados en los mismos.
Bibliografa
PIATTINI, Mario y Emilio del Peso. Auditora Informtica. Un enfoque prctico. Editorial RA-MA.
http://www.google.com.co/search?hl=es&rlz=1W1ADBF_es&q=metodolog
%C3%ADa+para+auditoria+&btnG=Buscar&aq=f&aqi=&aql=&oq=&gs_rfai= bajado el 29 de
Agosto de 2011.

Metodologas para la auditora de informacin Martes, 2 de Noviembre de 2004 Marcos Ros-Martn

Infonoma 2 comentarios | Versin Imprimible **0**tweetsretweet Debemos decir que hoy en da no
existe una metodologa estndar para realizar una auditora de informacin, sin embargo
podemos desarrollar una serie de actividades y tcnicas que nos pueden ayudar a realizarlas:

Inventario fsico. Es el proceso de identificacin y

categorizacin de los recursos de informacin de
una forma sistemtica. De esta forma, se
proporciona una fotografa de lo que la organizacin
posee en trminos de recursos de informacin en un
momento determinado.

Mapificacin de la informacin (Infomap). Constituye

una forma grfica de representar los recursos de
informacin que hay en la organizacin y las
interrelaciones entre stos. El mapa de recursos
indica hasta qu punto los recursos de informacin
son bsicos, de qu modo se encuentran
posicionados (geogrficamente,
departamentalmente, desde un punto de vista
tcnico), cmo interactan, quin los utiliza, quin es
el responsable, etc.

Anlisis de las necesidades de informacin. Tiene

como finalidad principal determinar qu informacin
requieren los empleados y la direccin de la
organizacin para desarrollar sus papeles y alcanzar
los objetivos.

Grficos de procesos y flujos de trabajo. Los

grficos de procesos junto con los flujos de trabajo
pueden constituir una buena herramienta de trabajo
en el mbito de las auditoras de la informacin.

Procesos de control y verificacin. En una auditora

de la informacin, se deben establecer tambin los
procesos de control y verificacin.

El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme
que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el
mapa de recursos de informacin, o mapa documental, puede constituir uno de los principales
resultados del proceso de la auditora de informacin. En el caso del mapa documental, ste
detalla qu documentos se encuentran dentro de la organizacin, a qu tipo de funciones se
encuentran vinculados y dan respuesta, quin tiene la responsabilidad y el acceso a esos
documentos, en qu soporte estn disponibles, dnde y cmo se encuentran accesibles y qu
relacin o nivel de integracin tienen con el resto de los sistemas de informacin de la
organizacin. Tambin se establece la localizacin de todos los documentos dentro de los
estndares y los procedimientos de la organizacin, as como su valor para el conocimiento
corporativo.
http://www.documentalistaenredado.net/77/metodologas-para-la-auditora-de-informacin/, bajado el
29 de Agosto de 2011.
1. NORMAS:

Se hizo una revisin del manual de convivencia y el PEI y nos se encontr ningn tipo de norma
que haga referencia al manejo de los equipos informticos dentro de la institucin, ni existe un
reglamento que de una directriz especfica en el control de las diferentes mquinas y sus
programas, como de los que las utilizan.
1. AREAS O CARGOS:
La secretara institucional.
La coordinacin acadmica y disciplinaria.
La sala de profesores.
El aula de sistemas.
El laboratorio de ingls.
La biblioteca institucional.
1. PERSONAL PARTICIPANTE:

Rectora.
Docente auditor.
Secretaria institucional.
Coordinadora general.
Docentes de la institucin.
Bibliotecaria.

1. DURACIN

CRONOGRAMA DE AUDITORIA.
CARGO
Se solicit el
consentimiento
informado
sobre el trabajo
de auditora
que se hara en
la institucin
con la rectora.
Identificacin
de los cargos a
auditar de
acuerdo a los
recursos con
que cuenta la
institucin.
Dialogo y
observacin de

MARTES
8

MIERCOLES
9

X
x

JUEVES
11

VIERNES
12

MARTES
16

MIERCOLES
17

la secretaria.
Dialogo y
observacin de
la coordinacin
general.
Dialogo y
observacin de
la sala de
profesores
Dialogo y
observacin de
las dems
reas o cargos.
Elaboracin del
informe de los
resultados
arrojados a
travs de esta
auditoria

DESARROLLO DE LOS OBJETIVOS ESPECFICOS

1. Identificar la licencia del software de cada equipo de la institucin.
Todos los equipos de la institucin estn licenciados a nivel general por la Secretara de Educacin
del municipio de PUERTO BERRO, el cdigo de licencia es privado segn informacin del
encargado all.
2. Evaluar los perfiles de los usuarios para el acceso de los funcionarios.
SECRETARIA:
Es una persona idnea para su cargo.
Su desempeo es acorde a las funciones que le tocan a su cargo.
Utiliza el hardware de manera eficiente y con todas las tcnicas.
Hace uso del software Microsoft Office de manera eficiente, especficamente el Word y el Excel (el
sistema de calificaciones est montado sobre este programa)
Utiliza otras herramientas ajenas a su desempeo laboral, Chatea en sus horas de trabajo a nivel
personal y tambin entra al Facebook a comunicarse con otras personas diferentes a las de la
institucin.
COORDINACIN GENERAL:
Es una persona idnea para su cargo.
Su desempeo es acorde a las funciones que le tocan a su cargo.
Utiliza el hardware de manera eficiente y con todas las tcnicas.
Hace uso del software Microsoft Office de manera eficiente, especficamente el Word y el Excel (el
sistema de calificaciones est montado sobre este programa) sin salirse de los lineamientos
institucionales.

DOCENTES:
Son idneos para su cargo.
Su desempeo es acorde a las funciones que le tocan a su cargo.
Solo algunos utilizan el hardware de manera eficiente y con todas las tcnicas. (Una gran mayora
no saben manejar una computadora)
Las herramientas no son utilizadas para fines pedaggicos, generalmente se encuentra a los
docentes en su tiempo libre chateando o revidando sus correos electrnicos.
LAS DEMS REAS O CARGOS:
La sala de sistemas para los estudiantes hace tres meses est cerrada por deficiencia en los
equipos y en sus memorias RAM que son insuficientes para el nuevo sistema comprado por la
Secretara de Educacin municipal para las instituciones educativas.
El laboratorio de ingls que es sistematizado, no se utiliza, siempre permanece cerrado y los
equipos ya son obsoletos.
La bibliotecaria hace uso de la computadora para sistematizar el inventario de libros y las
funciones de su cargo, pero tambin lo utiliza para chatear con personas ajenas a su trabajo y
revisa todo el tiempo sus correos electrnicos.

3. Examinar correctamente y peridicamente las copias de seguridad.

4. Identificar que cada usuario del sistema tenga su propia contrasea.
Cada funcionario tiene su propia clave de seguridad para ingresar al sistema en el PC asignado,
solo los de la sala de profesores no tienen clave y todos pueden acceder libremente a los equipos.
5. Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y
prximo mantenimiento propuesto.
Los equipos cuentan con el mantenimiento de la empresa Microsoftserver contratada por la
secretaria de educacin municipal.
No se cuenta con un plan de mantenimiento ni un registro de fechas especfico para la institucin,
pues esta empresa va rotando por todas las instituciones educativas de acuerdo a las necesidades
que se presenten.
La sala de sistemas para los estudiantes tiene problemas en el hardware ya que las memorias
RAM de cada equipo son insuficientes para su buen desempeo, haciendo que los equipos
trabajen muy lentos y se bloqueen constantemente. Para solucionar este problema ya ha hecho la
intervencin la Secretara de Educacin y la empresa de mantenimiento, solo se est a la espera
de los recursos econmicos para comprar las memorias y dar solucin a dicho problema.
Con relacin al laboratorio de ingls ha sido problema de las administraciones de la institucin que
por temor a que los estudiantes daaran los equipos no permitieron que lo abrieran. Adems nunca
se cont con un personal idneo para el manejo de esta herramienta.
6. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para
lograr los objetivos propuestos.

En la institucin apenas se est construyendo el plan de estudios para esta rea, por lo que se
trabajan con los estndares internacionales, tomados de la educacin espaola.
7. Revisar la funcin informtica en cuanto a las metas y objetivos de la organizacin.
En este sentido no hay directrices ni polticas institucionales para el manejo de los sistemas a nivel
institucional.
8. Verificar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico.
9. Minimizar existencias de riesgos en el uso de Tecnologa de informacin.
10. Llevar a cabo un Inventario de equipo de cmputo, software y mobiliario, para determinar cul
es la informacin crtica que se tiene que resguardar.