INSTITUTO TECNOLGICO SUPERIOR

HUAQUILLAS

TRABAJO GRUPAL
INTEGRANTES: Lizeth Poma, Enith Jimnez, Ingrid Aasco, Ral Ordoez,
Luis Merec
DOCENTE: Ing. Jessica Alejandro
NIVEL: Sexto
FECHA: 16 de mayo del 2014
MEJORES PRCTICAS DE AUDITORA INFORMTICA

QUE ES
La auditora informtica es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de informacin salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones establecidas. Permiten detectar de forma
sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su
misin y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de informacin eficientes.
En si la auditoria informtica tiene 2 tipos las cuales son:
AUDITORIA INTERNA
AUDITORIA EXTERNA
PARA QU SIRVE
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa
como:
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad

CAMPO EN EL QUE SE PUEDE APLICAR
La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin
de Sistemas y Aplicaciones. A su vez, engloba muchas reas, tantas como
sectores informatizadles tiene la empresa. Muy concisamente, una Aplicacin
recorre las siguientes fases:
Diseo.
Anlisis orgnico (Reprogramacin y Programacin).
Pruebas.
Todas las Aplicaciones que se desarrollan son muy parametrizadas, es decir,
que tienen un montn de parmetros que permiten configurar cual va a ser el
comportamiento del Sistema. Una Aplicacin va a usar para tal y tal cosa cierta
cantidad de espacio en el disco.
ENLISTAR LAS MEJORES PRCTICAS DE AUDITORIA
Las mejores prcticas son directrices que permiten a las empresas modelar sus
procesos para que se ajusten a sus propias necesidades, proporcionan a las
empresas y/o organizaciones mtodos utilizados para estandarizar procesos y
administrar de una mejor manera los entornos de Ti.
Identificacin
Buscan definir las necesidades de la organizacin que deben ser
identificadas respecto de la auditora, as como las debilidades propias,
a fin de determinar el objetivo a seguir.
Administracin de calidad total
Incorporan conceptos de calidad total aplicada a la auditora sobre la
base de la mejora continua, con el pertinente concepto de medicin y
evaluacin de resultados.
Comunicacin
Buscan establecer un proceso de comunicacin interna que propenda a
informar lo actuado, lo planeado y las mejoras obtenidas.
Tecnologa
Recomiendan emplear recursos de tecnologa informtica al proceso de
auditoras privilegiando la eficacia, eficiencia y oportunidad en los
resultados de las revisiones.

Interrelacin externa
Proponen mantener estrechas relaciones profesionales con otras
gerencias de auditora a fin de intercambiar estrategias, criterios y
resultados.
Agente de cambio
Proporcionan las bases para posicionar a la Auditora como un agente
de cambio en la organizacin a fin de implementar la auto evaluacin del
control.
Reingeniera de auditora
Proponen el cambio funcional proyectando a los auditores como
facilitadores del auto evaluacin del control.
Gran parte de las empresas de hoy en da, as como gran parte de las
personas involucradas en el mundo digital han buscado maneras de dar
desarrollo a los sistemas de informacin, enfocados estos en software y
hardware que permiten las comunicaciones desde diversas partes del mundo.
Es tal el surgimiento y evolucin de los sistemas de informacin que en
promedio de 100 familias 97 poseen comunicaciones a travs de Internet, y no
solo es la Word Wide Web la que permite ver estos grandes cambio, tambin
es la tecnologa que est de por medio como televisores, sistemas de
comunicacin inalmbricas, cpu"s, porttiles, entre otros.
Es importante por tanto resaltar la importancia que estos sistemas de
informacin dan a la sociedad y por tanto la importancia que se les da dentro
de medios gubernamentales, polticos, empresariales o educativos; es as
como para brindar que la informacin fluya de un lugar a otros sin
inconvenientes, existe la seguridad y custodia de datos, y para explicar esto se
hablar de la seguridad de la informacin y la auditoria de sistemas.
Segn se puede entender como seguridad un estado de cualquier sistema
(informtico o no) que nos indica que ese sistema est libre de peligro, dao o
riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo. Para la
mayora de los expertos el concepto de seguridad en la informtica es utpico
porque no existe un sistema 100% seguro. Para que un sistema se pueda
definir como seguro debe tener estas cuatro caractersticas:
Integridad: La informacin slo puede ser modificada por quien est
autorizado, esto es que no se realicen modificaciones por personas no
autorizadas a los datos, informacin o procesos, que no se realicen
modificaciones no autorizadas porpersonal autorizado a los datos,
informacin o procesos y que los datos o informacin sea consistente
tanto interna como externamente.
Confidencialidad: La informacin slo debe ser legible para los
autorizados, esto implica el buscar prevenir el acceso no autorizado ya
sea en forma intencional o no intencional de la informacin.
Disponibilidad: Debe estar disponible cuando se necesita los datos, la
informacin orecursos para el personal adecuado.
Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la
autora.

HERRAMIENTAS DE AUDITORIA
COBIT:establece un diagnstico que permite definir las metas desde el punto
de vista de seguridad y control que le sern de utilidad para la organizacin
para cada uno de sus procesos, pudiendo entonces establecer un plan de
accin para lograr estas mejoras, y posteriormente identificar los lineamientos
para sustentar un proceso de monitoreo y mejora continua sobre las soluciones
implementadas.
La manera en que COBIT provee este marco para el control y la gobernabilidad
de TI se puede presentar en forma sinttica a partir de sus principales
caractersticas, que a continuacin sern descritas.
Permite agrupar los objetivos de control de COBIT en distintas reas de
actividad de la organizacin. Los cuatro dominios principales son:
Planificacin y organizacin,
Adquisicin e implantacin,
Soporte y servicios, y
Monitoreo.
Como su nombre indica, cada uno de estos dominios estn enfocados a los
diferentes niveles y departamento que pueden existir en una organizacin.
ITIL:es un conjunto de las mejores prcticas para la gestin de servicios de TI
que ha evolucionado desde 1989, comenz como un conjunto de procesos que
utilizaba el gobierno del Reino Unido para mejorar la gestin de los servicios de
TI y ha sido adoptado por la industria, como base de una gestin satisfactoria
de los servicios de TI
ITIL describe las mejores prcticas que se pueden utilizar y mejor se adecuan a
una organizacin, incluye cinco disciplinas que proporcionan las empresas
flexibilidad y estabilidad para ofrecer servicios de TI
[20]
, estas son:
Gestin de incidencias,
Gestin de problemas,
Gestin de cambios,
Gestin de versiones, y
Gestin de configuracin.
Incluye tambin cinco disciplinas que soportan los servicios TI de calidad y bajo
costo de las empresas 6, estas son:
Gestin del nivel de servicio,
Gestin de la disponibilidad,
Gestin de la capacidad,
Gestin financiera para servicios TI, y
Gestin de la continuidad de los servicios TI.
El objetivo de ITIL en todas sus disciplinas es la definicin de las mejores
prcticas para los procesos y responsabilidades que hay que establecer para
gestionar de forma eficaz los servicios de TI de la organizacin, y cumplir as
los objetivos empresariales en cuanto a la distribucin de servicios y la
generacin de beneficios.
COSO
:
es una herramienta que puede asistirlo en la evaluacin, auditora,
documentacin, mejora y seguimiento del sistema de control interno.
COSO permite facilitar las actividades de los encargados del control interno,
auditores internos y externos, y gerencias de las organizaciones preocupadas
por mejorar sus resultados.
Esta herramienta permite construir o mejorar en sistema de control interno
(total o parcial por ejemplo solo acotado al objetivo informacin contable) y de
este modo recibir con tranquilidad la evaluacin de los auditores externos que
podrn as efectuar su tarea de atestiguamiento en forma ms rpida y eficaz.
Segn el informe COSO, los componentes que se interrelacionan para alcanzar
los objetivos son los siguientes
.

Ambiente de control
Elemento que proporciona disciplina y estructura, el ambiente de control se
denomina en funcin de la integridad y competencia del personal de una
organizacin; los valores ticos son un elemento esencial que afectan otros
elementos del control
Evaluacin de riesgos
Es la identificacin y anlisis de os riesgos que se relacionan con el logro de
los objetivos; la administracin debe cuantificar la magnitud, proyectar su
probabilidad y sus posibles consecuencias:
En la dinmica actual de los negocios se debe prestar atencin a diversos
factores, entre ellos los avances tecnolgicos.
Actividades de control
Ocurren a lo largo de la Organizacin en todos los niveles y en todas las
funciones, incluyendo los procesos de aprobacin, autorizacin, conciliaciones,
etc. Las actividades de control se clasifican en:
Controles preventivos,
Controles detectivos,
Controles correctivos,
Controles manuales y de usuarios,
Controles de cmputo o de tecnologa de informacin, y
Controles administrativos.
MAGERIT:es una metodologa de anlisis y gestin de riesgos de los sistemas
de informacin de las administraciones pblicas, emitida en el ao 1997 por el
Consejo Superior de Informtica
[28]
y recoge las recomendaciones de las
directivas de la Unin Europea en materia de seguridad de sistemas de
informacin.
Esta metodologa presenta un objetivo definido en el estudio de los riesgos que
afectan los sistemas de informacin y el entorno de ellos haciendo unas
recomendaciones de las medidas apropiadas que deberan adoptarse para
conocer, prevenir, evaluar y controlar los riesgos investigados.
MAGERIT desarrolla el concepto de control de riesgos en las guas de
procedimientos, tcnicas, desarrollo de aplicaciones, personal y cumplimiento
de normas legales.
MAGERIT persigue los siguientes objetivos:
Concienciar a los responsables de los sistemas de informacin de la
existencia de riesgos y de la necesidad de atenderlos a tiempo,
Ofrecer un mtodo sistemtico para analizar tales riesgos,
Ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control, y
Apoyar la preparacin a la organizacin para procesos de evaluacin,
auditora, certificacin o acreditacin, segn corresponda en cada caso.
Asimismo, se ha cuidado la uniformidad de los informes que recogen los
hallazgos y las conclusiones de un proyecto de anlisis y gestin de riesgos:
modelo de valor, mapa de riesgos, evaluacin de salvaguardas, estado de
riesgo, informe de insuficiencias, y plan de seguridad.