UNIVERSIDAD TECNICA DE

BABAHOYO

NOMBRE:
YANELA DEYANIRA BASTIDAS SOTO

DOCENTE:
ING. JOFFRE LEON ACURIO

MATERIA:
CONTROL Y AUDITORíA EN LAS TECNOLOGíAS DE LA
INFORMACIóN

CURSO:
6 VESPERTINO SISTEMAS

AÑO LECTIVO:
2022-2023
 Taller Auditoria de Sistemas
Auditoria informática o de sistemas
La auditoría informática es una parte fundamental de la Seguridad Computacional que
permite medir y controlar riesgos informáticos que pueden ser aprovechados por
personas o sistemas ajenos a nuestra organización o que no deben tener acceso a nuestros
datos.
Actualmente la auditoria de los sistemas de información es definida como cualquier
auditoria que abarque la revisión y evaluación de todos los aspectos de los sistemas
automáticos de procesamiento de la información, incluyendo los procedimientos no
automáticos relacionados con ellos y las interfaces correspondientes. (EUROINNOVA,
s.f.)
Clasificación de las auditorias informáticas
o Auditoría informática
Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas
computacionales, software e información utilizados en una empresa, sean individuales,
compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario,
equipos periféricos y demás componentes.
El propósito fundamental es evaluar el adecuado uso de los sistemas para el correcto
ingreso de datos, Se realiza una evaluación completa del área o departamento que se
encarga de la supervisión de la tecnología de la información.
o Auditoría sin la computadora
Es la auditoría cuyos métodos, técnicas y procedimientos están orientados únicamente a
la evaluación tradicional del comportamiento y validez de las transacciones económicas,
administrativas y operacionales de un área de cómputo, y en sí de todos los aspectos que
27 afectan a las actividades en las que se utilizan sistemas informáticos, pero dicha
evaluación se realiza sin el uso de los sistemas computacionales.
o Auditoría a la gestión informática
Es la auditoría cuya aplicación se enfoca exclusivamente a la revisión de las funciones y
actividades de tipo administrativo que se realizan dentro de un centro de cómputo, tales
como la planeación, organización, dirección y control de dicho centro. Se aplica también
para verificar el correcto desarrollo, instalación mantenimiento y explotación de los
sistemas de cómputo, así como sus equipos e instalaciones.
o Auditoría al sistema de cómputo
Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación del
funcionamiento y uso correctos del equipo de cómputo, su hardware, software y
periféricos. Esta auditoría también se realiza a la composición y arquitectura de las partes
físicas y demás componentes de hardware, incluyendo equipos asociados, instalaciones y
comunicaciones internas y externas, así como al diseño, desarrollo y uso del software de
operación.
 o Auditoría alrededor de la computadora
Es la revisión específica que se realiza a todo lo que está alrededor de un equipo de
cómputo, como son sus sistemas, actividades y funcionamiento, haciendo una evaluación
de sus métodos y procedimientos de acceso y procesamiento de datos, la emisión y
almacenamiento de resultados, las actividades de planeación y presupuestario del propio
centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de
acceso al sistema, la atención a los usuarios y el desarrollo de nuevos sistemas.
o Auditoría de la seguridad informática
Es las revisiones exhaustivas, técnicas y especializadas que se realiza a todo lo
relacionado con la seguridad de un sistema de cómputo sus áreas y personal, así como a
las actividades, funciones y acciones preventivas y correctivas que contribuyan a
salvaguardar la seguridad de los equipos computacionales, las bases de datos, redes,
instalaciones y usuarios del sistema.
o Auditoría a los sistemas de redes
Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas de redes
de una empresa, considerando en la evaluación los tipos de redes, arquitectura, topología,
sus protocolos de comunicación, las conexiones, accesos, privilegios, administración y
demás aspectos que repercuten en su instalación, administración, funcionamiento y
aprovechamiento.
o Auditoría integral a los centros de cómputo
Es la revisión de la administración del sistema, del manejo y control de los sistemas
operativos, lenguajes, programas y paqueterías de aplicación, así como de la
administración y control de proyectos, la adquisición del hardware y software
institucionales, de la adecuada integración y uso de sus recursos informáticos y de la
existencia y cumplimiento de las normas, políticas, estándares y procedimientos que
regulan la actuación del sistema, del personal y usuarios del centro de cómputo.
o Auditoría ISO 9000 a los sistemas computacionales
Es la revisión exhaustiva, específica y especializada que realizan únicamente los auditores
especializados y certificados en las normas y procedimientos ISO 9000, aplicando
exclusivamente los lineamientos, procedimientos e instrumentos establecidos por esta
asociación.
o Auditoría outsourcing
Es la revisión exhaustiva, sistemática y especializada que se realiza para evaluar la calidad
en el servicio de asesoría o procesamiento externo de información que proporciona una
empresa a otra
o Auditoría ergonómica de sistemas computacionales
Es la revisión técnica, específica y especializada que se realiza para evaluar la calidad,
eficiencia y utilidad del entorno hombre-máquina-medio ambiente que rodea el uso de
sistemas computacionales en una empresa. (LIBRARY, s.f.)
Tipos de auditorías informáticas
Auditoria informática de la explotación
Transformación de los recursos a controles de integridad y calidad.
Ejemplo: se transforma como datos, listas, impresas, entre otros, se digitalizan y
transforman en información.
Auditoria informática de desarrollo de proyectos o aplicaciones.
Revisión de procesos de proyectos.
Etapas de análisis
 Revisión de las metodologías utilizadas.
 Control interno de las aplicaciones.
 Satisfacción de usuarios.
 Control de procesos y ejecución de programas críticos.
Ejemplo: se dan en los centros de investigación y desarrollo de software o herramientas
Tic.
Auditoria informática de sistemas
Análisis técnico de sistemas.
Facetas
 Sistemas operativos.
 Software básico.
 Software de teleproceso (Tunning)
 Optimización de los sistemas y subsistemas
 Administración de bases de datos.
Ejemplo: se basa en los recursos técnicos de sistemas, vistas en las facetas.
Auditoria informática de comunicaciones y redes.
Análisis del entramado conceptual de las redes y recursos en general.
Ejemplo: se basa en los conceptos esenciales integrados en las salas de redes y
comunicaciones, al igual de todos los estándares utilizados que promueven la integridad
y calidad del sistema.

Auditoria de la seguridad informática

Abarca conceptos de seguridad física y seguridad lógica.
Ejemplo: integridad en los sistemas en el ámbito de seguridad en la parte lógica y física,
tal como el hardware y software. (Mind meister, s.f.)
Cuando se debe aplicar una auditoria informática.
Fases que son necesarias para poder realizar una auditoría informática
Planificación inicial
El primer paso de una auditoría de seguridad es realizar un estudio de la situación actual
del negocio en relación con sus sistemas informáticos y la seguridad.
Análisis de riesgos y amenazas
El siguiente paso de la auditoría es el de realizar un análisis profundo y preciso de los
riesgos y amenazas a los que está expuesta la empresa.
Los principales puntos que deben analizarse durante esta fase de la auditoría son.
 Análisis de seguridad de hardware, software y red.
 Cumplimiento de las políticas y procedimientos de seguridad informática.
 Cumplimiento de las normativas en ciberseguridad y protección de datos.
 Análisis de la formación del personal en seguridad informática.
 Análisis de los protocolos de actuación en ciberseguridad.
 Definir las soluciones necesarias
Definir las soluciones necesarias
Se deben proponer soluciones para eliminarlos o mitigar sus consecuencias. Además, se
debe establecer una prioridad de implementación de los cambios para proceder primero
con los de peores consecuencias para la empresa.
Implantar los cambios necesarios
Una vez definidas las actuaciones a realizar para optimizar los sistemas informáticos de
la empresa para incrementar su nivel de seguridad, se deben implementar según el
calendario previamente definido.
Monitorizar y evaluar los resultados
Finalmente, es necesario monitorizar todo el proceso para poder evaluar los resultados y
poder realizar modificaciones y ajustes si no se están alcanzando los objetivos. (I.LI.MI,
2021)
Causas y efectos de la aplicación de una auditoría en una empresa u organización
La auditoría de cuentas se realiza para que un tercero “el auditor” con formación y
experiencia suficientemente acreditadas (Inscripción en el R.O.A.C. registro oficial de
Auditores de cuentas), pueda opinar sobre las “si” las cifras presentadas por la compañía
son o no correctas, y en caso de que no lo sean, explicar el error y el efecto que causaría
en las cuentas presentadas por la empresa, para que un tercero ajeno a la actividad
ordinaria de dicha compañía pueda tomar una decisión sobre si confiar o no, en hacer
operaciones con la misma ya sea aprobar las cuentas si es un socio, dar financiación si es
una entidad financiera o similar, conceder ayudas públicas, homologar para una licitación,
o el simple hecho de que un tercero en la figura de proveedor o cliente, quiera tener la
seguridad suficiente de que cualquier transacción se puede realizar con seguridad en el
servicio o en el cobro de las mismas.
Un error frecuente es pensar en una auditoría para buscar un fraude: Primeramente, hay
que diferenciar entre error (un hecho no intencionado) y una irregularidad (hecho
intencionado que suele conllevar dolo e intereses particulares).
La auditoría de cuentas busca la imagen fiel de las cuentas y no la búsqueda de fraudes,
no obstante, en caso de encontrarlos en el curso de su trabajo, deberá de ponerlo de
manifiesto, ya sea a través del informe y/o al órgano directivo de la compañía. (GESCOM,
s.f.)

Referencias
(s.f.). Obtenido de https://www.mindmeister.com/es/902168145/tipos-de-auditorias-inform-
ticas
EUROINNOVA. (s.f.). Obtenido de https://www.euroinnova.ec/blog/que-es-una-auditoria-
informatica

GESCOM. (s.f.). Obtenido de https://gescom.net/como-afecta-la-auditoria-a-una-empresa/

I.LI.MI. (16 de 07 de 2021). Obtenido de https://www.ilimit.com/blog/hacer-auditoria-

informatica/#:~:text=Una%20auditor%C3%ADa%20inform%C3%A1tica%20realizada%2
0a,necesarias%20para%20proteger%20sus%20sistemas

LIBRARY. (s.f.). Obtenido de https://1library.co/article/clasificaci%C3%B3n-de-la-

auditor%C3%ADa-inform%C3%A1tica.zx5011nq

Mind meister. (s.f.). Obtenido de https://www.mindmeister.com/es/902168145/tipos-de-

auditorias-inform-ticas