CONTROL INTERNO Y AUDITORIA DE SISTEMAS DE INFORMACION

Dentro de las diferentes actividades que componen la estrategia de control interno de las
organizaciones, el control sobre la gestión de los SI Adquieren una mayor relevancia, algunas
de las razones son:
- La creciente dependencia de las organizaciones y sus procesos (internos y externos)
respecto a sus sistemas
- El aumento de la complejidad de los mismos, con entornos heterogéneos y abiertos a
la vez que integrados
- El éxito de las estrategias de externalización de la gestión de los sistemas de
información
- La globalización
- La gestión de calidad total
Así mismo se incorpora a las organizaciones la función de auditoria informática,
posteriormente surgen nuevas funciones en cuyos principales impulsores, podemos encontrar:
- Los reguladores: que empezaron a generar normativa específica aplicable sobre los SI
de las organizaciones y sus procesos de gestión.
- Los sistemas de comercio electrónico: tanto en organizaciones como aplicada a
clientes finales
- El aumento de la complejidad de los sistemas de información y la dependencia de las
organizaciones respecto a los mismos
LAS FUNCIONES DEL CONTROL INTERNO Y AUDITORIA INFORMATICA
CONTROL INTERNO INFORMÁTICO: Su misión es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctos y válidos.
Principales objetivos:
- controla diariamente que todas las actividades del SI sean realizadas cumpliendo los
procedimientos, estándares y normas fijados por la Dirección de la organización, así
como requerimientos legales
- asesorar sobre el conocimiento de las normas
- colaborar y apoyar el trabajo de auditoria informática
- definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informático
AUDITORIA INFORMATICA: Es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un SI salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los
fines de la empresa y utiliza eficientemente los recursos.
- Objetivo de protección de activos e integridad de datos
- Objetivo de gestión
EL AUDITOR: Es el responsable de revisar e informar a la dirección de la organización sobre el
diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información
suministrada. Funciones del auditor informático:
- Participar de las revisiones, durante y después del diseño
- Revisar y juzgar los controles implantados en los SI para verificar su adecuación a las
órdenes de la dirección
- Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad, seguridad de los equipos de
información
CONTROL INTERNO Y AUDITORIA INFORMATICA: SIMILITUDES Y DIFERENCIAS:
SIMILITUDES: Personal interno, Conocimientos especialidad en TI, verificación del
cumplimiento de controles internos, normativas y procedimientos establecidos por la dirección
de la informática y la dirección general para los SI
DIFERENCIAS: CI: Análisis de los controles en el día a día, Informar a la dirección del
departamento de informática, Solo personal interno, El alcance de sus funciones es
únicamente sobre el departamento de informática. AI: Análisis de un momento informática
determinado, Informa a la dirección general de la organización, Persona externo y/o interno,
Tiene cobertura sobre todos los componentes de los SI de la organización.
SISTEMA DE CONTROL INTERNO INFORMATICO: Cualquier actividad o acción realizada manual
y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el
funcionamiento de un sistema para conseguir objetivos. Objetivos de SCII:
 - Controles preventivos
- Controles delectivos
- Controles correctivos
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS: Pueden
implantarse en diferentes niveles por eso es importante llegar a conocer bien la configuración
del sistema, para ello es necesario documentar los detalles de la red.
- Entorno de red: esquema de la red, descripción de la configuración hardware de las
comunicaciones
- Configuración del ordenador base: configuración del soporte físico, entorno de SO
- Entorno de aplicaciones: proceso de transacciones, sistemas de gestión de bd
- Productos y herramientas: software para el desarrollo de programas
- Seguridad del ordenador base: Identificar y verificar usuarios, control de accesos
Para la implantación de un sistema se define:
- Gestión de sistemas de información
- Administración de sistemas
- Seguridad
- Gestión del cambio
Algunos controles internos:
1. Controles generales organizativos
- Políticas
- Planificación
- Estándares
- Procedimientos
- Organizar el departamento de informática
- Descripción de las funciones
2. Controles de desarrollo, adquisición y mantenimiento de SI
- Metodología del ciclo de vida del desarrollo de sistemas
3. Controles de explotación de SI
- Planificación y gestión de recursos
- Controles para el uso de los controles
- Procedimientos de selección de software del sistema
- Seguridad, física y lógica
4. Controles de aplicaciones
- Control de entrada de datos
- Control de tratamiento de datos
- Control de salida de datos
5. Controles específicos de ciertas tecnologías
- Control de sistemas de gestión de bd
- Controles en informática distribuida y redes
- Controles sobre ordenadores personales y redes de área local
6. Controles de calidad
AUDITORIA DE SI vs NORMAS DE BUENAS PRACTICAS
AUDITORIA DE SI vs COBIT
AUDITORIA DE SI: Es un proceso de recoger, agrupar y evaluar evidencias para determinar si
un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a
cabo los fines de la organización.
La auditoria de SI distingue entre 2 grupos los controles en un entorno de TI:
- Los controles sobre la infraestructura de tecnologías
- Los controles imbuidos en las propias aplicaciones o software para la gestión de la
actividad del negocio
COBIT: Es un modelo estructurado de buenas practicas y metodologías para su aplicación, cuyo
objetivo es facilitar el gobierno de TI. Cobit apoya y sustenta el gobierno de TI, proporcionando
un marco de referencia que asegura que:
- La tecnología de la información está alineada con el negocio, contribuyendo, al mismo
tiempo, a la maximización de los beneficios.
- Los recursos de TI (humanos y técnico) son utilizados de forma responsable
 - Los riesgos de TI son gestionados y dirigidos adecuadamente
Los 4 dominios de actividades:
- Planificar y Organizar (PO)
- Adquirir e implementar (AI)
- Entregar y Dar soporte (DS)
- Monitorizar y Evaluar (ME)
Otros elementos que están relacionados con los requerimientos del negocio con respecto a
los servicios y recursos de TI:
- Requerimiento del Negocio con respecto a TI: Efectividad o eficacia, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad
- Recursos de TI afectados: Aplicaciones, información, infraestructura y personal
- Áreas Centrales para el gobierno de TI: Alineación estratégica, entrega y servicio que
añada valor, gestión de los recursos
- Objetivos de Control de Detalle: Enumeración de los objetivos de detalle con sus
oportunas explicaciones sobre su propósito y alcance
- Directrices de Gestión: Guía sobre las interrelaciones con otros dominios y objetivos
de control de alto nivel
- Responsabilidad por los distintos niveles de dirección y gerencia: Incluyen tanto la
alta gerencia, como a unidades de negocio.
- Cuadro de objetivos y métricas aplicables: Para el objetivo de control de que se trate
- Modelo de madurez: Criterios para considerar en cada nivel.
Convergencia de la Auditoria de SI y COBIT: Fundamentos de la función de la auditoria de TI,
en consonancia de la ISACA:
- Obtención de un conocimiento
- Evaluación de la adecuación
- Evaluación del cumplimiento
- Fundamentar el riesgo
El auditor de SI debe actuar frente a una implantación de COBIT, como cualquier otra
auditoria, no se limita a contestar a un cuestionario, sino:
- Analizará los riesgos dentro del alcance y objetivos de la auditoria en cuestión
- Identificara el modelo y los controles que supuestamente mitigan los riesgos
identificados
- Realizará sus pruebas sobre los controles y el impacto de las deficiencias de control
- Obtendrá sus conclusiones y emitirá su informe o dictamen independiente, indicando
fundamentalmente los riesgos para el negocio.
AUDITORIA DE LOS SISTEMAS DE GESTION EN LAS TECNOLOGIAS DE LA INFORMACION Y
COMUNICACIÓN- TICS-
El ciclo de Deming (PDCA), es un ciclo de mejora continua, donde cabe distinguir las siguientes
fases:
- PLAN: planificación de objetivos y procesos necesarios para alcanzar los resultados de
acuerdo a las políticas de la empresa
- DO: implantación de los procesos
- CHECK: revisión y monitorización de los procesos
- ACT: ejecutar acciones para mejorar continuamente los procesos
Los dos sistemas de gestión del sector de las TIC que están siendo mas implantados por las
empresas:
- SGSI: Sistema de Gestión de la seguridad de la información
- SGSTI: Sistemas de gestión del servicio de tecnologías de la información
AUDITORIA INTERNA: Se define el concepto de auditoria interna del SGSI como una revisión
independiente del SGSI, dicha independencia supone obviamente la exigencia de que la
persona que lleve a cabo la auditoria interna no puede estar vinculada en forma alguna a la
implantación ni a la gestión del SGSI
EL PROCESO DE CERTIFICACION DE LOS SISTEMAS DE GESTION DE LAS TIC
El esquema de certificación sigue la secuencia sgt:
- Presentación de solicitud formal ante el organismo de certificion
 - Revisión del manual del sistema de gestión y procedimientos por el auditor externo del
organismo certificador
- Visita previa del auditor externo del organismo certificador
- Pasado un tiempo prudencial el auditor de la certificación realizara la auditoria del
sistema de gestión.
METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDOTIRA DE SISTEMA DE
INFORMACION
La información en una entidad crea unos riesgos informáticos, de los que hay que proteger y
preservar a la entidad con un entramado de contramedidas y la calidad y la eficiencia de las
mismas es el objetivo a evaluar para poder identificar más puntos débiles. Factores de la
pirámide para la composición de una contramedida
- LA NORMATIVA: debe definir de forma clara y precisa todo lo que debe existir y
cumplirse, tanto desde el punto de vista conceptual como practico.
- LA ORGANIZACIÓN: son persona con funciones especificas y con actuaciones
concretas, procedimientos definidos metodológicamente y aprobados por la dirección
de la empresa.
- LAS METODOLOGIAS: son necesarias para realizar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
- LOS OBJETIVOS DE CONTROL: son el objetivo a cumplir en el control de los procesos.
Este concepto es el más importante después de LA ORGANIZACIÓN
- LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos de las
distintas áreas de la empresa, obtenidos con una metología apropiada para la
consecución de uno o varios objetivos de control.
TECNOLOGIAS DE SEGURIDAD: Están todos los elementos ya sean hardware o software,
que ayudan a controlar un riesgo informático
HERRAMIENTAS DE CONTROL: son elementos software que permiten definir uno o varios
procedimientos de control para cumplir una normativa y un objetivo de control.
PLAN DE SEGURIDAD: Es una estrategia planificada de acciones y proyectos que llevan a
un sistema de información y sus centros de proceso de una situación inicial determinada a
una situación mejorada
METODOLOGIAS DE EVALUACION DE SISTEMAS
- AMENAZA: una persona o cosa vista como posible fuente de peligro
- VULNERABILIDAD: la situación creada, por la falta de uno o varios controles con la que
la amenazada pudiera acaecer y así afectar al entorno informático
- RIESGO: La probabilidad de que una amenaza llega a acaecer por la existencia de una
vulnerabilidad
- EXPOSICION O IMPACTO: la evaluación del efecto del riego
Todos los riegos podemos:
- EVITARLOS: no construir un centro donde hay peligro constante de inundaciones
- TRANSFERIRLO: uso de un centro de concreto contratado
- REDUCIRLO: sistema de detección y extinción de incendios
- ASUMIRLO: que es lo que hace si no se controla el riesgo en absoluto