UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
MODALIDAD A DISTANCIA
SEMESTRE: 2017 - 2017
UNIDAD DIDÁCTICA
AUDITORÍA DE SISTEMAS INFORMÁTICOS I
Nivel: NOVENO
Número de créditos: 4
TUTOR:
Ing. Christian Javier Tello Santillán, MBA
Quito - Ecuador
2
ÍNDICE DE CONTENIDOS
INTRODUCCIÓN ........................................................................................................................ 5
LINEAMIENTOS GENERALES Y ESPECÍFICOS BASADOS EN COMPETENCIAS .......... 6
BIBLIOGRAFÍA Y NETGRAFÍA ............................................................................................... 7
BIBLIOGRAFIA ....................................................................................................................... 7
NETGRAFIA ............................................................................................................................ 7
ORIENTACIONES GENERALES ............................................................................................... 8
IMPORTANCIA DE LA ASIGNATURA ............................................................................... 8
RELACIÓN DE LA ASIGNATURA CON OTRAS DISCIPLINAS ...................................... 8
UNIDAD 1.- LAS TICS Y LA AUDITORIA INFORMÁTICA.................................................. 9
Conceptos TICS relacionados con la Auditoría Informática ..................................................... 9
Hardware ............................................................................................................................... 9
Software .............................................................................................................................. 10
Conectividad ....................................................................................................................... 12
Seguridades en las TIC ........................................................................................................ 13
Normas Ético Morales que regulan la actuación del Auditor.................................................. 14
Ética ..................................................................................................................................... 14
Moral ................................................................................................................................... 14
Principios y Valores del Auditor ......................................................................................... 14
Criterios y Responsabilidades ............................................................................................. 14
Definición de Auditoría Informática ....................................................................................... 15
Objetivos de la Auditoría Informática ................................................................................. 15
Funciones del Auditor Informático ..................................................................................... 15
Delitos Informáticos ................................................................................................................ 16
Tipos de Delitos Informáticos ............................................................................................. 16
Recomendaciones para no ser víctimas de Delitos Informáticos ........................................ 16
Base Legal ............................................................................................................................... 17
Ley de Comercio Electrónico .............................................................................................. 17
Ley de Propiedad Intelectual ............................................................................................... 17
Normas de Control Interno 410 – Contraloría General del Estado ..................................... 17
UNIDAD 2.- LOS RIESGOS Y EL CONTROL INTERNO ..................................................... 19
Control Interno Informático COSO y NIAA ........................................................................... 19
Controles Preventivos ......................................................................................................... 19
Controles Detectivos ........................................................................................................... 19
Controles Correctivos .......................................................................................................... 19
3
Objetivos principales ........................................................................................................... 20
Control interno informático (función) ................................................................................. 20
Control interno informático (áreas de aplicación) ............................................................... 21
NIAA ....................................................................................................................................... 21
Determinar las Metodologías de Análisis de Riesgos, Control Interno y Auditoría Informática
................................................................................................................................................. 22
Análisis de Riesgo ............................................................................................................... 22
Control Interno .................................................................................................................... 24
Auditoría Informática .......................................................................................................... 25
Conceptos Básicos de COBIT 5.0 ........................................................................................... 28
Principios de COBIT 5 ........................................................................................................ 28
Conceptos Básicos de ITIL 3 .................................................................................................. 30
Estrategia para los Servicios TI ........................................................................................... 31
Diseño de los Servicios TI .................................................................................................. 31
Transición de los Servicios TI ............................................................................................. 32
Operación de los Servicios TI ............................................................................................. 33
Mejora Continua de los Servicios TI ................................................................................... 35
Conceptos Básicos de SGSI ISO 17799 .................................................................................. 36
Sistema de Gestión de la Seguridad de la Información (SGSI) ........................................... 36
Gestión de la Seguridad de Información ............................................................................. 36
Ventajas de la adopción de la norma ISO 17799 ................................................................ 37
Orientación de la norma ISO 17799 .................................................................................... 37
UNIDAD 3.- EL PROCESO DE LA AUDITORÍA INFORMÁTICA ...................................... 39
Planeación de la Auditoría Informática ................................................................................... 39
Metodología de Trabajo de la Auditoría informática .......................................................... 39
Proceso General de la Planeación de la Auditoría Informática ........................................... 39
Ejecución de la Auditoría Informática en: Normas, Hardware, Sistemas Operativos, Software
Base, Sistemas de Información, Bases de datos, Seguridad Física y Lógica, Contratación y
Adquisición, Procesos TIC, Comunicaciones, etc. ................................................................. 40
Técnicas ............................................................................................................................... 40
Procedimientos generales de auditoría .............................................................................. 40
Papeles de Trabajo .................................................................................................................. 41
Propósitos de los papeles de trabajo .................................................................................... 42
Propiedad de los papeles de trabajo .................................................................................... 42
Hoja de Identificación ......................................................................................................... 42
Índice del contenido ............................................................................................................ 43
Elaboración de Informe ........................................................................................................... 43
4
Informe de auditoría (puntos clave y ejemplo) ................................................................... 43
Estructura del Informe Final ............................................................................................... 44
Tipos de Informes................................................................................................................ 44
Pautas del Lenguaje y Redacción del Informe .................................................................... 45
Comunicación de Resultados .................................................................................................. 46
Técnicas de exposición ........................................................................................................ 46
Seguimiento de Recomendaciones .......................................................................................... 46
Tipos de Recomendaciones ................................................................................................. 47
Herramientas asistidas por computador para análisis de riesgos y auditorías informáticas .... 47
Técnicas Administrativas .................................................................................................... 47
Técnicas para evaluar los controles de Aplicaciones en Producción .................................. 47
Técnicas para análisis de transacciones............................................................................... 47
Técnicas para análisis de datos ............................................................................................ 47
Técnicas para análisis de aplicaciones ................................................................................ 48
Ventajas del uso de las técnicas de auditoría asistida por computador ............................... 48
Tipos de Herramientas CAAT ............................................................................................. 48
5
INTRODUCCIÓN
El país posee una infinidad de empresas que se dedican a brindar servicios y realizar
operaciones comerciales de todo tipo, por tal razón, para lograr el cumplimiento de los
objetivos establecidos por estas empresas, deben contar con un sistema computacional
que les permita controlar y optimizar el uso y costo de los recursos humanos, materiales,
económicos y sus operaciones financieras. De la misma forma los sistemas
computacionales deben asegurar el correcto ingreso de sus datos, el procesamiento
adecuado de la información y la emisión oportuna de sus resultados.
La importancia de esta asignatura, radica en que su análisis y estudio permite fomentar
en el estudiante la capacidad de desarrollar y utilizar metodologías, técnicas y
herramientas tecnológicas para auditar los componentes tecnológicos la gestión
Informática.
6
LINEAMIENTOS GENERALES Y ESPECÍFICOS BASADOS EN
COMPETENCIAS
Asignatura AUDITORÍA DE SISTEMAS INFORMÁTICOS I
COMPETENCIA Planifica, desarrolla y ejecuta programas de Auditoría de
Sistemas Informáticos, con sentido ético y responsabilidad
social.
RESULTADOS DE
APRENDIZAJE DE
LA UNIDAD
1. Dominio de los conceptos sobre TIC y la Auditoría
Informática fundamentados en los valores y bajo una
base legal a fin de contrarrestar los delitos
informáticos. Comprender la importancia de la
Auditoría de Sistemas Informáticos en el contexto
global de la auditoría integral.
2. Aplicar el análisis de riesgos.
Aplicar controles informáticos.
Aplicar y analizar las metodologías y buenas
prácticas.
Analizar interrelaciones entre metodologías.
Crear preguntas de evaluación y formas de
evidenciar aplicando una mixtura de buenas
prácticas, normas y metodologías.
3. Aplicar en la práctica el proceso de auditoría
informática.
Determinar las áreas críticas de las TIC a ser
controladas y auditadas. Aplicar las herramientas
metodológicas para ejecutar una auditoría
informática.
Elaboración de un informe de auditoría informática.
No. UNIDADES DE COMPETENCIAS ESPECÌFICAS
1 LAS TICS Y LA AUDITORÍA INFORMÁTICA
2 LOS RIESGOS Y EL CONTROL INTERNO
3 EL PROCESO DE LA AUDITORÍA INFORMÁTICA
7
BIBLIOGRAFÍA Y NETGRAFÍA
BIBLIOGRAFIA
1. Muñoz Razo Carlos, Auditoría en Sistemas Computacionales, Pearson Educación,
PRIMERA EDICIÓN, de C.V.,México DF.
2. Kenneth C. Laudon y Jane P. Laudon, Sistemas de Información Gerencial:
Administración de la empresa digital, DÉCIMA SEGUNDA EDICIÓN, Prentice
Hall, México.
3. Ley de Comercio Electrónico
4. Ley de Propiedad Intelectual
5. Normas de Control Interno 410 – Contraloría General del Estado
NETGRAFIA
1. Introducción a la Auditoría de Sistemas, video
http://www.youtube.com/watch?v=u3L3C7qaMaE
2. Apuntes sobre Auditoría Informática. http://auditoriasistemas.com/auditoria-
informatica
3. Texto: Auditoria Informática. Un enfoque práctico -Mario Piattini [PDF |Español]
http://libroscompletos.com/informatica/auditoria-informatica-un-enfoque-
practico-mario-piattini-(pdf-espanol)
4. Auditoría Informática - Programa Expertos E-Learning Ing. Cesar Villa Maura
MsC - FATLA 2010
5. Tipos de Auditorías Informáticas http://es.scribd.com/doc/18646089/TIPOS-Y-
CLASES-DE-AUDITORIAS-INFORMATICAS
6. Metodología de una Auditoría de Sistemas
http://www.itchetumal.edu.mx/paginasvar/Maestros/mduran/Archivos/METOD
LOGIA%20DE%20UNA%20AUDITORIA%20DE%20SISTEMAS.pdf
8
ORIENTACIONES GENERALES
IMPORTANCIA DE LA ASIGNATURA
La importancia de esta asignatura, radica en que su análisis y estudio permite fomentar
en el estudiante la capacidad de desarrollar y utilizar metodologías, técnicas y
herramientas tecnológicas para auditar los sistemas computacionales y a la gestión
Informática.
Es importante que planifique su tiempo correctamente para la ejecución de las
actividades, se recomienda el estudio de la presente guía, de por lo menos dos horas
diarias de dedicación.
Es importante que tenga un lugar específico de estudio dotado de las comodidades
necesarias para el desarrollo de sus actividades.
RELACIÓN DE LA ASIGNATURA CON OTRAS DISCIPLINAS
Esta asignatura tiene relación directa y significativa con
algunas asignaturas, como: Contabilidad General,
Contabilidad de Costos, Control de Costos, Contabilidad
Especializada, los diferentes tipos de Auditorías,
Matemáticas, Ética, Derecho; Administración; Estadística;
Diseño Organizacional; Informática, Sistemas de
Información, entre otras.
Según el Plan de Estudios, para recibir esta asignatura debe haber aprobado
Sistematización Contable y Financiera, Auditoría Administrativa I y II, y Auditoría
Financiera I y II, por lo tanto debe tener un amplio conocimiento sobre los procedimientos
y normas del área de Auditoría.
9
UNIDAD 1.- LAS TICS Y LA AUDITORIA INFORMÁTICA
Conceptos TICS relacionados con la Auditoría Informática
Hardware
Todos los elementos físicos, es decir, lo que es tangible (Monitor, mouse, impresora,
switch, etc.), existen dispositivos de entrada, salida y mixtos.
Dispositivos de Entrada: Permiten el ingreso de datos al computador por parte del
usuario, por ejemplo:
- Mouse
- Teclado
- Micrófono
- Lector de Código de Barras
- Escáner
Chipset: Permite el flujo de información entre el
microprocesador y el resto de los componentes que
conforman la PC, se encuentra integrado al tarjeta madre.
CPU: Dispositivo que interpreta y ejecuta las instrucciones
recibidas del sistema operativo, administra las solicitudes que
realizan los usuarios a través de los diferentes aplicativos de
software.
Memoria RAM: Tiene como principal función almacenar datos
y resultados procesados por la CPU, para brindar un mejor
rendimiento a la PC.
Unidades de Almacenamiento: Dispositivos destinados a
guardar los datos del sistema o de usuario, es decir, un lugar
físico en donde se encuentra el sistema operativo, los
programas y los documentos del usuario, los mismos pueden
ser discos rígidos, unidades de CD, DVD o Blue Ray, pendrives o discos externos
extraíbles.
Dispositivos de Salida: Permiten al usuario mostrar los resultados
del uso del computador, por ejemplo:
- Monitor
- Impresora
Figura 4 CD-ROM
Figura 3 Memoria RAM
Figura 1 Chipset
Figura 2 CPU
Figura 5 Monitor
10
Dispositivos Mixtos: Estos son dispositivos que reciben y entregan
información, y en este grupo podemos mencionar tarjetas de red,
módems y puertos de comunicaciones, entre otros.
Software
Se lo puede definir como una secuencia de instrucciones que son interpretadas y/o
ejecutadas para la gestión, re direccionamiento o modificación de datos/información o
eventos.
Windows, Linux, Unix, Navegadores de Internet (IE, Firefox, Chrome, Safari), antivirus,
virus son ejemplos de software.
Software de Sistema: Comprende el sistema operativo,
controladores de dispositivos, utilitarios de sistema y toda aquella
herramienta que sirva para el control específico de las
características de la computadora.
Software de Aplicación: Son todos aquellos programas utilizados
por los usuarios para la concreción de una tarea, y en este grupo
podemos encontrar software del tipo ofimático, de diseño gráfico,
de contabilidad, electrónica, recursos humanos, gestores de base de
datos, etc., por solo citar una pequeña fracción de todas las
categorías de aplicaciones que podemos encontrar en el mercado.
Sistema de Información: Es un conjunto de elementos orientados al trato y administración
de datos e información, organizados y listos para su uso posterior, generados para cubrir
una necesidad o un objetivo.
El término sistemas de información hace referencia a un concepto genérico que tiene
diferentes significados según el campo del conocimiento al que se aplique dicho concepto,
en nuestro caso es cualquier sistema computacional que se utilice para obtener,
almacenar, manipular, administrar, controlar, procesar, transmitir o recibir datos, para
satisfacer una necesidad de información.
Objetivos principales
Apoyar los objetivos y estrategias de la empresa.
Proporcionar información para el control de la totalidad de actividades de la
empresa.
Adaptar las necesidades de información a la evolución de la empresa.
Figura 6 Modem
Figura 7 Sistema Operativo
Figura 8 Aplicaciones
11
Interactuar con los diferentes agentes de la organización.
Tipos de Sistemas de Información
Grado de formalidad: Formales e Informales.
Automatización: Manuales e Informáticos.
Relación con la toma de decisiones: Estratégicos (alta
dirección), Gerencial (nivel intermedio) y Operativos
(control operativo).
Funcionalidad: Gestión comercial, Gestión contable,
Gestión financiera, Gestión de Recursos Humanos,
Gestión de la Producción.
Clasificación de los Sistemas de Información
La clasificación más útil es la propuesta por Kenneth C. Laudon y
Jane P. Laudon, en Sistemas de Información Gerencial, los sistemas
de información se agrupan según su utilidad en los diferentes
niveles de la organización empresarial, los cuales son 4 niveles
básicos: nivel operativo, nivel del conocimiento, nivel
administrativo y nivel estratégico; según estos niveles se estable la siguiente clasificación:
Sistema de Procesamiento de Operaciones (SPO). Nivel del Operativo.
Sistemas de Trabajo del Conocimiento (STC). Nivel del Conocimiento.
Sistemas de Automatización en la Oficina (SAO). Nivel del Conocimiento.
Sistemas de Información para la Administración (SIA). Nivel Administrativo.
Sistemas para el Soporte de decisiones (SSD). Nivel Administrativo.
Sistemas de Soporte Gerencial (SSG). Nivel Estratégico.
Base de Datos: Es una colección de información organizada de forma que un aplicativo
pueda seleccionar rápidamente los fragmentos de datos que necesite. Una base de datos
es un sistema de archivos electrónico.
Las bases de datos tradicionales se organizan por campos, registros y archivos.
Campo es una pieza única de información
Registro es un sistema completo de campos
Tablas es una colección de registros. Por ejemplo, una guía de teléfono es análoga
a un archivo. Contiene una lista de registros, cada uno de los cuales consiste en
tres campos: nombre, dirección, y número de teléfono.
Figura 9 Sistemas de Información
Figura 10
12
Conectividad
Conectividad es la capacidad de un dispositivo tecnológico (un PC, periférico, PDA,
móvil, robot, electrodoméstico, coche, etc.) de poder ser conectado (generalmente a un
PC u otro dispositivo) sin la necesidad de un ordenador, es decir, en forma autónoma.
Ha facilitado el poder transferir información a dispositivos móviles los cuales
podemos usar en la vida diaria
Las redes permiten a equipos de cómputo o PC comunicarse para que el usuario
interactué con otros usuarios
Redes: Una red de computadoras (también llamada red de ordenadores o red informática)
es un conjunto de equipos (computadoras y/o dispositivos) conectados por medio de
cables, señales, ondas o cualquier otro método de transporte de datos, que comparten
información (archivos), recursos (CD-ROM, impresoras, etc.) y servicios (acceso a
internet, e-mail, chat, juegos), etc.
Clasificación de Redes
Por alcance:
Red de área personal (PAN): es una red de dispositivos de una persona usada para la
comunicación entre los mismos.
Red de área local (LAN): es una red que se limita a un área especial relativamente
pequeña tal como un cuarto, un edificio, una nave, o un avión. No utilizan medios o
redes de interconexión públicos.
Red de área metropolitana (MAN): es una red de alta velocidad (banda ancha) que da
cobertura en un área geográfica más extensa que un edificio, pero aun así limitado.
Por ejemplo, una red que interconecte los edificios públicos de una organización
dentro de la misma ciudad por medio de fibra óptica.
Red de área amplia (WAN): son redes informáticas que se extienden sobre un área
geográfica extensa utilizando medios como: satélites, cables interoceánicos, Internet,
fibras ópticas públicas, etc.
Red de área de almacenamiento (SAN): es una red que se usa para conectar servidores,
arreglos de discos y librerías de soporte, permitiendo el tránsito de datos sin afectar a
las redes por las que acceden los usuarios.
13
Por topología física
Red en bus o Red lineal: se caracteriza por tener un
único canal de comunicaciones (denominado bus,
troncal o backbone) al cual se conectan los diferentes
dispositivos.
Red en anillo o Red circular: cada estación está
conectada a la siguiente y la última está conectada a la
primera.
Red en estrella (star): las estaciones están conectadas
directamente a un dispositivo central y todas las comunicaciones se han de hacer
necesariamente a través de éste.
Red en árbol (tree) o Red jerárquica: los nodos están colocados en forma de árbol.
Desde una visión topológica, la conexión en árbol es parecida a una serie de redes en
estrella interconectadas salvo en que no tiene un nodo central.
Red híbrida o Red mixta: se da cualquier combinación de las anteriores. Por ejemplo,
circular de estrella, bus de estrella, etc.
Seguridades en las TIC
Es una rama de la tecnología conocida como Seguridad de la
Información aplicada para los computadores, redes y sistemas
informáticos. El objetivo del equipo de seguridad incluye la
protección de la información y la propiedad contra el robo, la
corrupción, o los desastres naturales.
Estándares y Normas para Asegurar la Información
Para la correcta administración de la seguridad de la información, se deben establecer y
mantener acciones que busquen cumplir con los tres requerimientos de mayor
importancia que son:
- Confidencialidad
Prevenir el acceso no autorizado a los datos o información
- Integridad
No se realicen modificaciones por personas no autorizadas a los datos o procesos.
No se realicen modificaciones no autorizadas por personal autorizado a los datos o
procesos.
Datos consistentes tanto interna como externamente
- Disponibilidad
Figura 11 Topología Red
Figura 12 Seguridades
14
Acceso confiable y oportuno a los datos o recursos para el personal apropiado
ISO 17.999
Estándar para la administración de seguridad de la información, implica la
implementación de toda una estructura documental que debe contar con un fuerte apoyo
de alta dirección de cualquier organización.
Publicado por: International Organization For Standarization (ISO) Diciembre 2000
Marco de Seguridad.
ISO Serie 27000
27000 – Definiciones de Vocabulario
270001 – Requisitos para Sistemas de Gestión de Seguridad de la Información
27002 – Guía de buenas prácticas en objetivos de control y controles de la seguridad de
la información
27003 – Guía de Implementación del SGSI
27004 – Métricas para determinar la eficacia de SGSI
27005 – Guía de Técnicas de Gestión y Riesgo
Normas Ético Morales que regulan la actuación del Auditor
Ética: Fundamentos y normas de conducta humana
Moral: Ciencia que enseña reglas a seguirse para hacer el bien y evitar el mal.
Principios y Valores del Auditor
- Honestidad
- Integridad
- Cumplimiento
- Lealtad
- Imparcialidad
- Búsqueda de la Excelencia
Criterios y Responsabilidades
- Aspecto ético – moral
- Respetar normas, lineamientos y políticas
- Ética profesional y moral
- Conocimientos a favor de la empresa
- Independencia mental y profesional para ejercer la profesión
- Calificación, habilidad, aptitud y experiencia profesional
- Manejar relaciones personales
- No modificar, ocultar o destruir evidencia
15
- Discreto en el manejo de la información
- Equidad, imparcialidad y razonamiento
- Dictámenes razonables conforme a normas y lineamientos
- Aplicar métodos, técnicas y procedimientos
Definición de Auditoría Informática
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema
informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple
con las leyes y regulaciones establecidas.
Estudia los mecanismos de control que están implantados en una empresa u organización,
determinando si los mismos son adecuados y cumplen con determinados objetivos o
estrategias, estableciendo los cambios que se deberían realizar para la consecución de los
mismos.
Objetivos de la Auditoría Informática
Descubrir deficiencias o irregularidades en alguna de las partes de las empresas
examinadas, y apuntar hacia sus posibles soluciones.
Proteger los activos e integridad de datos.
Gestionar la eficacia y eficiencia de los recursos informáticos
Verificar el cumplimiento de la normativa
Funciones del Auditor Informático
Planificar las actividades de auditoría.
Consensuar un cronograma en el auditado o cliente.
Solicitar y analizar documentación, con objeto de emitir una opinión.
Análisis de datos a través de herramientas y síntesis de conclusiones.
Trabajo de campo, entrevistas y revisiones in-situ
16
Delitos Informáticos
Los delitos informáticos se encuentran como reforma al Código Penal por parte de la Ley
de Comercio Electrónicos, Mensajes de Datos y Firmas Electrónicas.
Los delitos informáticos son actos dirigidos contra la confidencialidad, integridad y
disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso
de dichos sistemas, redes y datos.
Tipos de Delitos Informáticos
1. Delitos contra la Información Protegida: Violación de claves o sistemas de
seguridad
2. Delitos contra la Información Protegida: Destrucción o supresión de
documentos, programas
3. Falsificación Electrónica
4. Daños Informáticos
5. Fraude Informático
6. Violaciones al Derecho a la Intimidad (Contravención)
7. Pornografía Infantil
Recomendaciones para no ser víctimas de Delitos Informáticos
No introducir datos como claves y número de tarjetas desde una red wifi pública.
Actualizar el software periódicamente para no tener vulnerabilidades de
seguridad.
Contar con contraseñas de alta complejidad
Disponer de antivirus (Navegación de Internet, control paternal, detección de
sitios falsos, etc.)
Usar páginas seguras
Cambiar las claves periódicamente
17
Base Legal
Ley de Comercio Electrónico
Art. 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma electrónica,
los servicios de certificación, la contratación electrónica y telemática, la prestación de
servicios electrónicos, a través de redes de información, incluido el comercio electrónico
y la protección a los usuarios de estos sistemas.
Ley de Propiedad Intelectual
El Estado reconoce, regula y garantiza la propiedad intelectual adquirida de conformidad
con la ley, las Decisiones de la Comisión de la Comunidad Andina y los convenios
internacionales vigentes en el Ecuador.
La propiedad intelectual comprende:
1. Los derechos de autor y derechos conexos.
2. La propiedad industrial, que abarca, entre otros elementos, los siguientes:
a) Las invenciones;
b) Los dibujos y modelos industriales;
c) Los esquemas de trazado (topografías) de circuitos integrados;
d) La información no divulgada y los secretos comerciales e industriales;
e) Las marcas de fábrica, de comercio, de servicios y los lemas comerciales;
f) Las apariencias distintivas de los negocios y establecimientos de comercio;
g) Los nombres comerciales;
h) Las indicaciones geográficas;
i) Cualquier otra creación intelectual que se destine a un uso agrícola, industrial
o comercial.
3. Las obtenciones vegetales.
Las normas de esta Ley no limitan ni obstaculizan los derechos consagrados por el
Convenio de Diversidad Biológica, ni por las leyes dictadas por el Ecuador sobre la
materia.
Normas de Control Interno 410 – Contraloría General del Estado
1. Organización Informática
2. Segregación de Funciones
3. Plan Informática Estratégico de Tecnología
4. Políticas y Procedimientos
5. Modelo de Información Organizacional
18
6. Administración de Proyectos Tecnológicos
7. Desarrollo y adquisición de software aplicativo
8. Adquisiciones de Infraestructura Tecnológica
9. Mantenimiento y control de Infraestructura Tecnológica
10. Seguridad de Tecnología de Información
11. Plan de Contingencias
12. Administración de Soporte de Tecnología de Información
13. Monitoreo y Evaluación de los Procesos y Servicios
14. Sitio Web, Servicios de Internet e Intranet
15. Capacitación Informática
16. Comité Informático
17. Firmas Electrónicas
19
UNIDAD 2.- LOS RIESGOS Y EL CONTROL INTERNO
Control Interno Informático COSO y NIAA
El Control Interno Informático puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones con
el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices
de economía, eficiencia y efectividad de los procesos operativos automatizados.
(Auditoría Informática – Aplicaciones en Producción – José Dagoberto Pinilla).
El Informe COSO define el Control Interno como “Las normas, los procedimientos, las
prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable
de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se
preverán, se detectarán y se corregirán.
También se puede definir el Control Interno como cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditoría
Informática – Un Enfoque Práctico – Mario G. Plattini).
En el ambiente informático, el control interno se materializa fundamentalmente en
controles de dos tipos:
Controles manuales: aquellos que son ejecutados por el personal del área usuaria
o de informática sin la utilización de herramientas computacionales.
Controles Automáticos: son generalmente los incorporados en el software,
llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación, etc.
Los controles según su finalidad se clasifican en:
Controles Preventivos: para tratar de evitar la producción de errores o hechos fraudulentos,
como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Controles Detectivos: trata de descubrir a posteriori errores o fraudes que no haya sido
posible evitarlos con controles preventivos.
Controles Correctivos: tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.
20
Objetivos principales:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditoría Informática interna/externa
Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de
cumplimiento de los servicios informáticos.
Realizar en los diferentes sistemas y entornos informáticos el control de las
diferentes actividades que se realizan.
Control interno informático (función)
El Control Interno Informático es una función del área, departamento, dirección de
Informática de una organización, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se realicen cumpliendo las
normas, estándares, procedimientos y disposiciones legales establecidas interna y
externamente.
Entre sus funciones específicas están:
Difundir y controlar el cumplimiento de las normas, estándares y procedimientos
al personal de programadores, técnicos y operadores.
Diseñar la estructura del Sistema de Control Interno de la Dirección de
Informática en los siguientes aspectos:
o Desarrollo y mantenimiento del software de aplicación.
o Explotación de servidores principales
o Software de Base
o Redes de Computación
o Seguridad Informática
o Licencias de software
o Relaciones contractuales con terceros
o Cultura de riesgo informático en la organización
21
Control interno informático (áreas de aplicación)
Controles generales organizativos
Son la base para la planificación, control y evaluación por la Dirección General de las
actividades del área, departamento o dirección de Informática, y debe contener la
siguiente planificación:
Plan Estratégico de Información realizado por el Comité de Informática.
Plan Informático, realizado por el Departamento de Informática.
Plan General de Seguridad (física y lógica).
Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de información
Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos,
protección de recursos y cumplimiento con las leyes y regulaciones a través de
metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.
Controles de explotación de sistemas de información
Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición
y uso del hardware, así como los procedimientos de, instalación y ejecución del software.
Controles en aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la entrada,
actualización, salida, validez y mantenimiento completos y exactos de los datos.
Controles en sistemas de gestión de base de datos
Tienen que ver con la administración de los datos para asegurar su integridad,
disponibilidad y seguridad.
Controles informáticos sobre redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento
de las redes instaladas en una organización sean estas centrales y/o distribuidos.
Controles sobre computadores y redes de área local
Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del
hardware como del software de usuario, así como la seguridad de los datos que en ellos
se procesan.
NIAA
El Comité Internacional de Prácticas de Auditoría ha sido autorizado a emitir Normas
Internacionales de Auditoría (NIAA). El propósito de este documento es describir el
22
marco de referencia dentro del cual se emiten las NIAA en relación a los servicios que
pueden ser desempeñados por los auditores.
Las NIAA son un conjunto de principios, reglas o procedimientos que obligatoriamente
debe seguir o aplicar el profesional Contador Público que se dedique a labores de
auditoria de estados financieros, con la finalidad de evaluar de una manera razonable y
confiable la situación financiera de la empresa o ente por él auditados, y en base de
aquello le permita emitir su opinión en forma independiente con criterio y juicio
profesionales acertados.
La numeración de las NIAA es la siguiente:
200-299 Principios Generales y Responsabilidad
300-499 Evaluación de Riesgo y Respuesta a los Riesgos Evaluados
500-599 Evidencia de Auditoria
600-699 Uso del trabajo de otros
700-799 Conclusiones y dictamen de auditoria
800-899 Áreas especializadas
Determinar las Metodologías de Análisis de Riesgos, Control Interno y Auditoría
Informática
Análisis de Riesgo
Objetivos
Determina los componentes de un sistema que requieren protección, sus
vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el
fin de valorar su grado de riesgo.
Deducir los posibles accidentes graves que pudieran producirse.
Determinar las consecuencias en el espacio y el tiempo de los accidentes,
aplicando determinados criterios de vulnerabilidad.
Analizar las causas de dichos accidentes.
Discernir sobre la aceptabilidad o no de las propias instalaciones y operaciones
realizadas en el establecimiento industrial.
Definir medidas y procedimientos de prevención y protección para evitar la
ocurrencia y/o limitar las consecuencias de los accidentes.
23
Cumplir los requisitos legales de las normativas nacionales e internacionales que
persiguen los mismos objetivos
Fases del Análisis de Riesgo
Identificación de Activos: Todo elemento necesario para mantener las actividades
de la organización, como datos, hardware, personal, etc.
Evaluación de Amenazas: Evento que puede afectar a los activos de la
organización, poniendo en peligro su integridad. Las amenazas dependen del
negocio de la organización, ubicación y tipo de sistema a proteger.
Clasificación de Amenazas: Tipos de amenaza como la naturaleza, errores o
accidentes, intencionadas (locales o remotas). Para la evaluación de las amenazas,
se identifica la causa de la amenaza, identificación del activo afectado por la
amenaza, y luego se calcula la probabilidad de que ocurra la amenaza para obtener
los resultados, en los resultados podemos ver la lista de amenazas, los activos
afectados y la probabilidad de que ocurra.
Tratamiento del Riesgo: Encuentra un equilibrio, por ejemplo: Nivel de seguridad
y costo de la seguridad; costo de protección y costo de exposición. Donde las
decisiones están entre aceptar el riesgo, transferir el riesgo y reducir el riesgo a un
nivel aceptable. Los niveles de riesgo determinan las decisiones de los niveles de
riesgos se determinan con base en diversos enfoques.
Normativas
OCTAVE:
Identifica los riesgos de la seguridad que pueden impedir la consecución del objetivo de
la organización, además enseña a evaluar los riesgos de la seguridad de la información,
crea estrategias de protección con el objetivo de reducir los riesgos de seguridad de la
información prioritaria.
Fases de planificación:
Vista de la organización
Vista Tecnológica
Desarrollo el plan y de la estrategia
MARGERIT:
Inició con enfoques a las entidades públicas en España, pero se recomienda para todo tipo
de organizaciones, tiene varios documentos como: método, catálogos y técnicas.
Consta de cuatro fases
24
Planificación del proyecto de Riesgos
Análisis de Riesgos
Gestión de RIESGOS
Selección de salvaguardas.
INTERNATIONAL STANDARD ISO/IEC 27005
Proporciona directrices para la gestión de riesgos de seguridad de la información. Es
compatible con los conceptos generales especificados en la norma ISO / IEC 27001 y está
diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada
en un enfoque de gestión de riesgos.
THE RISK IT FRAMEWORK
El Riesgo de TI Framework llena el vacío entre los marcos de gestión de riesgos genéricos
y detallados (principalmente relacionadas con la seguridad) los marcos de gestión de
riesgos de TI. Proporciona una vista completa de extremo a extremo de todos los riesgos
relacionados con el uso de las TI y un tratamiento similar a fondo de la gestión del riesgo,
por el tono y la cultura en la parte superior, para las cuestiones operativas. En resumen,
el marco permitirá a las empresas a comprender y gestionar todos los tipos importantes
de riesgo de TI, basándose en los componentes de riesgo relacionados existentes dentro
de los marcos de ISACA actuales, es decir, COBIT y Val IT.
Control Interno
Control Interno es una herramienta surgida de la imperiosa necesidad de accionar
proactivamente a los efectos de suprimir y/o disminuir significativamente la multitud de
riesgos a las cuales se hayan afectadas los distintos tipos de organizaciones.
Las numerosas normas y reglamentos, sean éstas de carácter impositivas, laborales,
ecológicas, de consumidores, contables, bancarias, societarias, bursátiles entre otras,
provenientes de organismos de control, obligan a las administraciones de las
organizaciones a mantenerse muy alerta ante los riesgos que podrían afectar a sus
patrimonios. Los riesgos a los cuales están expuestas las empresas son muchos y los
mismos deben ponerse bajo control.
25
Una empresa está expuesta a errores internos de buena fe, a acciones que de manera
accidental.
Pocas empresas tienen políticas, planes y metodologías sistemáticamente conformadas
para evitar los riesgos. Generalmente los riesgos se accionan por experiencia, intuición
o planifican de manera parcializada.
Una de las falencias de las auditorías está en no controlar y evaluar apropiadamente los
controles internos, como así tampoco evaluar desde un punto de vista sistémico a las
empresas auditadas.
Control interno es una forma de pensar, de planificar, de delegar, de adoptar decisiones y
resolver problemas, y de ver la organización en su totalidad.
Permite analizar la interrelación de los diversos productos, servicios y áreas de la empresa
con las disposiciones normativas externas e internas y principios de control interno y
seguridad, tanto a los funcionarios, a los auditores y a las gerencias de las diversas áreas.
Cuantas veces las organizaciones son sancionadas por incumplimiento de controles
formales, por el hecho de no haber realizado las indagaciones o de no tener planificados
los controles y las respectivas acciones.
Auditoría Informática
El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a
ejecutar la auditoria, donde se debe identificar de forma clara las razones por las que se
va a realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos,
técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de
documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la
documentación de los planes, programas y presupuestos para llevarla a cabo.
Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de
la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar
una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o
¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.
Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la
auditoria y consiste en realizar una visita preliminar al área de informática que será
26
auditada, luego de conocer el origen de la petición de realizar la auditoria y antes de
iniciarla formalmente; el propósito es el de tener un primer contacto con el personal
asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los
servidores y equipos terminales en el centro de cómputo, sus características, las medidas
de seguridad y otros aspectos sobre que problemáticas que se presentan en el área
auditada.
Aquí se deben tener en cuenta aspectos tales como:
La visita inicial para el arranque de la auditoria cuya finalidad es saber ¿Cómo se
encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo
son los servidores y terminales que existen en el área?, ¿Qué características generales
de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas
existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son
las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan
para realizar la auditoria?. Con esta información el auditor podrá diseñar las medidas
necesarias para una adecuada planeación de la auditoria y establecer algunas acciones
concretas que le ayuden al desarrollo de la evaluación.
Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria
son:
El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo
de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se
pretende evaluar.
Los objetivos específicos que son los fines individuales que se pretenden para el logro
del objetivo general, donde se señala específicamente los sistemas, componentes o
elementos concretos que deben ser evaluados.
Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la
auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe
considerar aspectos específicos del área informática y de los sistemas computacionales
tales como: la gestión administrativa del área informática y el centro de cómputo, el
cumplimiento de las funciones del personal informático y usuarios de los sistemas, los
sistemas en desarrollo, la operación de los sistemas en producción, los programas de
capacitación para el personal del área y usuarios de los sistemas, protección de las bases
de datos, datos confidenciales y accesos a las mismas, protección de las copias de
seguridad y la restauración de la información, entre otros aspectos.
27
Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la
planeación formal de la auditoria informática y de sistemas, en la cual se concretan los
planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos
formales para el desarrollo de la auditoria, donde se delimiten las etapas, eventos y
actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el
presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.
Algunos de los aspectos a tener en cuenta serán: Las actividades que se van a realizar, los
responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos que
sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán
utilizados; los tiempos estimados para las actividades y para la auditoria; los auditores
responsables y participantes de las actividades; Otras especificaciones del programa de
auditoría.
Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos
necesarios para la Auditoria: En este se determina la documentación y medios necesarios
para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los
métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los
planes, presupuestos y programas establecidos anteriormente para la auditoria. Para ello
se debe considerar los siguientes puntos: establecer la guía de ponderación de cada uno
de los puntos que se debe evaluar; Elaborar una guía de la auditoria; elaborar el
documento formal de la guía de auditoría; determinar las herramientas, métodos y
procedimientos para la auditoria de sistemas; Diseñar los sistemas, programas y métodos
de pruebas para la auditoria.
Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe
asignar los recursos que serán utilizados para realizar la auditoria. Con la asignación de
estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a
cabo la auditoria.
28
Conceptos Básicos de COBIT 5.0
Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa
Principios de COBIT 5
Figura 13 Fuente: COBIT 5 – Principios COBIT 5
Principio 1: Satisfacer las Necesidades de las Partes Interesadas
Las Compañías existen para crear valor para sus partes interesadas
Figura 14 Fuente: COBIT 5 – Principio 1
Principio 2: Cubrir la Empresa de extremo a extremo
Se concentra en el gobierno y la administración de la tecnología de la información y
relacionadas desde una perspectiva integral a nivel de toda la Organización.
29
Figura 15 Fuente: COBIT 5 – Principio 2
Principio 3: Aplicar un Marco de Referencia Único Integrado
COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las
organizaciones:
Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI
Etc.
Figura 16 Fuente: COBIT 5 – Principio 3
30
Principio 4: Hacer posible un Enfoque Holístico
Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso
de COBIT, Gobierno y Administración sobre la TI corporativa.
Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI
definen qué deberían lograr los diferentes habilitadores.
Descritos por el marco de COBIT 5 en siete categorías.
Figura 17 Fuente: COBIT 5 – Principio 4
Principio 5: Separar el Gobierno de la Gestión
El Gobierno (Presidente) asegura que se evalúen las necesidades de las partes interesadas,
así como las condiciones y opciones, para determinar las metas corporativas equilibradas
y acordadas, estableciendo la dirección a través de la priorización y la toma de decisiones;
y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.
La Gestión (Gerente) planifica, construye, ejecuta y monitorea las actividades alineadas
con la dirección establecida por el cuerpo de gobierno para alcanzar las metas
empresariales
Conceptos Básicos de ITIL 3
ITIL® puede ser definido como un conjunto de buenas prácticas destinadas a mejorar la
gestión y provisión de servicios TI. Su objetivo último es mejorar la calidad de los
servicios TI ofrecidos, evitar los problemas asociados a los mismos y en caso de que estos
ocurran ofrecer un marco de actuación para que estos sean solucionados con el menor
impacto y a la mayor brevedad posible.
31
ITIL 3 se basa en cinco fases que son:
Estrategia para los Servicios TI
Diseño de los Servicios TI
Transición de los Servicios TI
Operación de los Servicios TI
Mejora Continua de los Servicios TI
Estrategia para los Servicios TI
La fase de Estrategia del Servicio es central al concepto de Ciclo de vida del servicio y
tiene como principal objetivo convertir la Gestión del Servicio en un activo estratégico.
Para conseguir este objetivo es imprescindible determinar en primera instancia qué
servicios deben ser prestados y por qué han de ser prestados desde la perspectiva del
cliente y el mercado.
La fase de Estrategia del Servicio es el eje que permite que las fases de Diseño, Transición
y Operación del servicio se ajusten a las políticas y visión estratégica del negocio.
Los procesos asociados directamente a la fase de Estrategia son:
Gestión Financiera: responsable de garantizar la prestación de servicios con unos
costes controlados y una correcta relación calidad-precio.
Gestión del Portfolio de Servicios: responsable de la inversión en servicios nuevos
y actualizados que ofrezcan el máximo valor al cliente minimizando a su vez los
riesgos y costes asociados.
Gestión de la Demanda: responsable de la armonización de la oferta de los servicios
ofrecidos con las demandas del mercado.
Diseño de los Servicios TI
La principal misión de la fase de Diseño del Servicio es la de diseñar nuevos servicios o
modificar los ya existentes para su incorporación al catálogo de servicios y su paso al
entorno de producción.
El Diseño del Servicio debe seguir las directrices establecidas en la fase de Estrategia y
debe a su vez colaborar con ella para que los servicios diseñados:
Se adecuen a las necesidades del mercado.
32
Sean eficientes en costes y rentables.
Cumplan los estándares de calidad adoptados.
Aporten valor a clientes y usuarios.
Las funciones y procesos asociados directamente a la fase de Diseño son:
Gestión del Catálogo de Servicios: responsable de crear y mantener un catálogo de
servicios de la organización TI que incluya toda la información relevante: gestores,
estatus, proveedores, etcétera.
Gestión de Niveles de Servicio: responsable de acordar y garantizar los niveles de
calidad de los servicios TI prestados.
Gestión de la Capacidad: responsable de garantizar que la organización TI dispone de
la capacidad suficiente para prestar los servicios acordados.
Gestión de la Disponibilidad: responsable de garantizar que se cumplen los niveles de
disponibilidad acordados en los SLA.
Gestión de la Continuidad de los Servicios TI: responsable de establecer planes de
contingencia que aseguren la continuidad del servicio en un tiempo predeterminado
con el menor impacto posible en los servicios de carácter crítico.
Gestión de la Seguridad de la Información: responsable de establecer las políticas de
integridad, confidencialidad y disponibilidad de la información.
Gestión de Proveedores: responsable de la relación con los proveedores y el
cumplimiento de los UCs.
Transición de los Servicios TI
La misión de la fase de Transición del Servicio es hacer que los productos y servicios
definidos en la fase de Diseño del Servicio se integren en el entorno de producción y sean
accesibles a los clientes y usuarios autorizados.
Sus principales objetivos se resumen en:
Supervisar y dar soporte a todo el proceso de cambio del nuevo (o modificado)
servicio.
Garantizar que los nuevos servicios cumplen los requisitos y estándares de calidad
estipulados en las fases de Estrategia y la de Diseño.
Minimizar los riesgos intrínsecos asociados al cambio reduciendo el posible impacto
sobre los servicios ya existentes.
Mejorar la satisfacción del cliente respecto a los servicios prestados.
33
Comunicar el cambio a todos los agentes implicados.
Las principales funciones y procesos asociados directamente a la Fase de Transición del
Servicio son:
Planificación y soporte a la Transición: responsable de planificar y coordinar todo
el proceso de transición asociado a la creación o modificación de los servicios TI.
Gestión de Cambios: responsable de supervisar y aprobar la introducción o
modificación de los servicios prestados garantizando que todo el proceso ha sido
convenientemente planificado, evaluado, probado, implementado y documentado.
Gestión de la Configuración y Activos del Servicio: responsable del registro y
gestión de los elementos de configuración (CIs) y activos del servicio. Este proceso
da soporte a prácticamente todos los aspectos de la Gestión del Servicio
Gestión de Entregas y Despliegues: Responsable de desarrollar, probar e
implementar las nuevas versiones de los servicios según las directrices marcadas en
la fase de Diseño del Servicio.
Validación y pruebas: responsable de garantizar que los servicios cumplen los
requisitos preestablecidos antes de su paso al entorno de producción.
Evaluación: responsable de evaluar la calidad general de los servicios, su
rentabilidad, su utilización, la percepción de sus usuarios, etcétera
Gestión del Conocimiento: gestiona toda la información relevante a la prestación de
los servicios asegurando que esté disponible para los agentes implicados en su
concepción, diseño, desarrollo, implementación y operación.
Operación de los Servicios TI
La fase de Operación del Servicio es, sin duda, la más crítica entre todas. La percepción
que los clientes y usuarios tengan de la calidad de los servicios prestados depende en
última instancia de una correcta organización y coordinación de todos los agentes
involucrados.
Todas las otras fases del Ciclo de Vida del Servicio tienen como objetivo último que los
servicios sean correctamente prestados aportando el valor y la utilidad requerida por el
cliente con los niveles de calidad acordados. Es evidente que de nada sirve una correcta
estrategia, diseño y transición del servicio si falla la “entrega”.
34
Por otro lado, es prácticamente imposible que la fase de Mejora Continua del Servicio sea
capaz de ofrecer soluciones y cambios sin toda la información recopilada durante la fase
de operación.
Los principales procesos asociados directamente a la Fase de Operación del Servicio son:
Gestión de Eventos: responsable de monitorizar todos los eventos que acontezcan en
la infraestructura TI con el objetivo de asegurar su correcto funcionamiento y ayudar
a prever incidencias futuras.
Gestión de Incidencias: responsable de registrar todas las incidencias que afecten a la
calidad del servicio y restaurarlo a los niveles acordados de calidad en el más breve
plazo posible.
Petición de Servicios TI: responsable de gestionar las peticiones de usuarios y clientes
que habitualmente requieren pequeños cambios en la prestación del servicio.
Gestión de Problemas: responsable de analizar y ofrecer soluciones a aquellos
incidentes que por su frecuencia o impacto degradan la calidad del servicio
Gestión de Acceso a los Servicios TI: responsable de garantizar que sólo las personas
con los permisos adecuados puedan acceder a la información de carácter restringido.
Las funciones involucradas en la fase de Operación del servicio son las responsables de
que los servicios cumplan los objetivos solicitados por los clientes y de gestionar toda la
tecnología necesaria para la prestación de dichos servicios:
1. Centro de Servicios: responsable de todos los procesos de interacción con los
usuarios de los servicios TI.
2. Gestión de Operaciones TI: responsable de la operación diaria del servicio.
3. Gestión Técnica: es una unidad funcional que incluye a todos los equipos,
grupos y departamentos involucrados en la gestión y soporte de la
infraestructura TI.
4. Gestión de Aplicaciones: esta unidad funcional es la responsable de la gestión
del ciclo de vida de las aplicaciones TI
Una función es una unidad especializada en la realización de una cierta actividad y es la
responsable de su resultado. Las funciones incorporan todos los recursos y capacidades
necesarias para el correcto desarrollo de dicha actividad.
35
Mejora Continua de los Servicios TI
Efectivamente, los tiempos modernos nos exigen continuos cambios y éstos deben tener
un solo objetivo en el campo de la gestión de servicios TI: ofrecer mejores servicios
adaptados a las siempre cambiantes necesidades de nuestros clientes y todo ello mediante
procesos internos optimizados que permitan mayores retornos a la inversión y mayor
satisfacción del cliente.
Pero este objetivo de mejora sólo se puede alcanzar mediante la continua monitorización
y medición de todas las actividades y procesos involucrados en la prestación de los
servicios TI:
Conformidad: los procesos se adecúan a los nuevos modelos y protocolos.
Calidad: se cumplen los objetivos preestablecidos en plazo y forma.
Rendimiento: los procesos son eficientes y rentables para la organización TI.
Valor: los servicios ofrecen el valor esperado y se diferencian de los de la
competencia
Ciclo de Deming
El ciclo PDCA: Planificar (Plan), Hacer (Do), Verificar (Check) y Actuar (Act), también
conocido como ciclo de Deming en honor a su creador, Edwards Deming, constituye la
columna vertebral de todos los procesos de mejora continua:
Planificar: definir los objetivos y los medios para conseguirlos.
Hacer: implementar la visión preestablecida.
Verificar: comprobar que se alcanzan los objetivos previstos con los recursos
asignados.
Actuar: analizar y corregir las desviaciones detectadas, así como proponer mejoras a
los procesos utilizados.
Las fases del ciclo de vida del servicio son un reflejo de esta estructura básica
Figura 18 Fuente: ITIL 3 – Fases Ciclo del Servicio
36
Los principales procesos asociados directamente a la fase de Mejora del Servicio son:
Proceso de Mejora: este es un proceso que consta de 7 pasos que describen como se
deben medir la calidad y rendimiento de los procesos para generar los informes
adecuados que permitan la creación de un Plan de Mejora del Servicio (SIP).
Informes de Servicios TI: es el responsable de la generación de los informes que
permitan evaluar los servicios ofrecidos y los resultados de las mejoras propuestas.
Conceptos Básicos de SGSI ISO 17799
Es una norma internacional que ofrece recomendaciones para realizar la gestión de la
seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener
la seguridad de una organización. Existen multitud de estándares aplicables a diferentes
niveles, pero ISO 17799 como estándar internacional, es el más extendido y aceptado.
El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la
seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
Sistema de Gestión de la Seguridad de la Información (SGSI)
La norma ISO 17799 recoge la relación de controles a aplicar (o al menos, a evaluar) para
establecer un Sistema de Gestión de la Seguridad de la Información (SGSI).
Conjunto completo de controles que conforman las buenas prácticas de seguridad de la
información.
Redactada de forma flexible e independiente de cualquier solución de seguridad
concreta
Proporciona buenas prácticas neutrales con respecto a tecnologías o fabricantes
específicos.
Aplicable a todo tipo de organizaciones, con independencia de su tamaño u
orientación de negocios.
Gestión de la Seguridad de Información
La norma ISO 17799:2005 establece once dominios de control que cubren por completo
la Gestión de la Seguridad de la Información:
1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la
información -directrices y recomendaciones
37
2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización
(recursos, activos, tercerización, etc.)
3. Clasificación y control de activos: Inventario y nivel de protección de los activos.
4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes
o mal uso de los recursos
5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o
perturbaciones a las instalaciones y a los datos
6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y
segura de los recursos de tratamiento de información
7. Control de accesos: Evitar accesos no autorizados a los sistemas de información
(de usuarios, computadores, redes, etc.)
8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está
incorporada dentro de los sistemas de información. Evitar pérdidas,
modificaciones, mal uso.
9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la
información
10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las
actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o
desastres.
11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones,
obligaciones y de otros requerimientos de Seguridad.
De estos once dominios se derivan los Objetivos de control, resultados que se esperan
alcanzar mediante la implementación de controles y Los controles, que son las prácticas,
procedimientos y/o mecanismos que reducen el nivel de riesgo.
Ventajas de la adopción de la norma ISO 17799
Aumento de la seguridad efectiva de los sistemas de información. Correcta planificación
y gestión de la seguridad. Garantías de continuidad del negocio. Mejora continua a través
del proceso de auditoría interna. Incremento de los niveles de confianza de los clientes y
socios de negocios. Aumento del valor comercial y mejora de la imagen de la
organización.
Orientación de la norma ISO 17799
La norma ISO 17799 no es una norma tecnológica. La seguridad de la información es un
asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto
38
empresarial. La gente toma decisiones de seguridad basados en los riesgos percibidos no
en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios
39
UNIDAD 3.- EL PROCESO DE LA AUDITORÍA INFORMÁTICA
Planeación de la Auditoría Informática
Para hacer una adecuada planeación de la auditoria informática, hay que seguir una serie
de pasos previos que permitirán dimensionar el tamaño y características del área dentro
del organismo a auditar, sus sistemas, organización y equipo.
• En el caso de la auditoria informática, la planeación es fundamental, pues habrá que
hacerla desde el punto de vista de los dos objetivos:
o Evaluación de los sistemas y procedimientos.
o Evaluación de los equipos de cómputo.
Metodología de Trabajo de la Auditoría informática
Figura 19 - Etapas de la Auditoría Informática
Proceso General de la Planeación de la Auditoría Informática
Figura 20 – Proceso Auditoría Informática
40
Ejecución de la Auditoría Informática en: Normas, Hardware, Sistemas Operativos,
Software Base, Sistemas de Información, Bases de datos, Seguridad Física y Lógica,
Contratación y Adquisición, Procesos TIC, Comunicaciones, etc.
Consiste en el desarrollo de los procedimientos contenidos en los programas de auditoría,
a través de las técnicas de auditoría.
Se realiza para:
• Salvaguardar activos
• Mantener integridad de datos
• Proveer información relevante y confiable
• Alcanzar objetivos y controlar recursos eficientemente
• Establecer controles internos para controlar la operación con el fin de minimizar
errores que sean detectados a tiempo.
Técnicas
• Revisar las estructuras organizacionales
• Revisar las políticas, procedimientos y estándares
• Revisar documentación
• Entrevistar al personal apropiado
• Observar el desempeño de los procesos y de los empleados
Procedimientos generales de auditoría
• Entendimiento del área u objeto a auditar
• Valoración de riesgos y plan general de auditoría
• Planeación detallada de la auditoría
• Revisión preliminar del área u objeto a auditar
• Evaluación del área u objeto a auditar
• Pruebas de cumplimiento
• Pruebas sustantivas
• Reporte (comunicación de resultados)
• Seguimiento
La ejecución de la auditoria va a depender básicamente del objeto a auditar, la misma que
se debió haber definido en la etapa de planeación, en el alcance se deberá determinar la
metodología a utilizar, la misma que se debe seguir en la ejecución de la auditoría, por
ejemplo si el objetivo es auditar el departamento de tecnología y saber la situación real
del mismo, es necesario auditar hardware, software base, software de aplicación,
seguridades entre otros aspectos.
41
Beneficios de una Auditoria
Examinar parámetros vitales que aseguran la salud general del proyecto.
Identificar riesgos que el proyecto debe impedir
Como cualquier examen, la cooperación del auditados es necesaria
Identificar acciones que deben ser tomadas en cuenta para mejorar la salud del
proyecto
Papeles de Trabajo
Se conocen como papeles de trabajo los registros de los diferentes tipos de evidencia
acumulada por el auditor. Cualquiera que sea la forma de la evidencia y cualesquiera que
sean los métodos utilizados para obtenerla, se debe hacer y mantener algún tipo de registro
en los papeles de trabajo.
Los papeles de trabajo son registros que mantiene el auditor de los procedimientos
aplicados como pruebas desarrolladas, información obtenida y conclusiones
pertinentes a que se llegó en el trabajo. Algunos ejemplos de papeles de trabajo son los
programas de auditoría, los análisis, los memorando, las cartas de confirmación
y declaración, resúmenes de documentos de la entidad y papeles preparados
u obtenidos por el auditor. Los papeles de trabajo también pueden obtener la forma de
información almacenada en cintas películas u otros medios.
El formato exacto de los papeles de trabajo varía con el tamaño, complejidad
y circunstancias de cada compromiso de auditoría. Además, cada auditor, o Unidad de
Dirección de Auditoría, tiene por lo general ciertas preferencias por la manera exacta
como se deben preparar los papeles de trabajo. El auditor que comienza
recibe instrucciones en sesiones formales de entrenamiento o del supervisor en el trabajo.
Este documento se refiere sobre todo a los aspectos generales de los papeles de trabajo,
y se debe contemplar como guía para el trabajo, en el cual podemos consultar y adaptar
a las condiciones y características de cada trabajo ordenado y no
necesariamente como un modelo que se debe adoptar. Los papeles de trabajo (formato
papel, audiovisual o digital) constituyen el vínculo entre el trabajo de planeamiento y
ejecución y el informe que se elabore. Por tanto deben contener la evidencia necesaria
42
para fundamentar los hallazgos, conclusiones y recomendaciones que se presentan
en el informe.
Propósitos de los papeles de trabajo
Como una acumulación de toda la evidencia obtenida durante el desarrollo
de la auditoría, los papeles de trabajo tienen varias funciones. Los propósitos principales
de estos son:
Ayudar a organizar y coordinar las muchas fases de la revisión de auditoría.
Proporcionar información que será incluida en el informe de auditoría.
Servir como respaldo de la opinión del auditor.
Los papeles de trabajo también sirven como evidencia en caso de demandas legales,
fuente de información para futuras declaraciones y otros informes especializados,
solicitados por otros órganos de competencia y como guía para exámenes de auditoría
posteriores
Propiedad de los papeles de trabajo
Los papeles de trabajo que preparan los auditores son de su propiedad y por lo general se
considera confidencial la información que contienen. Usualmente antes de entregar
información que aparece en los papeles de trabajo el auditor obtiene el consentimiento
del auditado. Si recibe una citación o un requerimiento judicial en el que le pidan
información de los papeles de trabajo, el auditor tiene que entregarla. También el
auditor puede verse en la necesidad de revelar alguna información incluso contra los
deseos del cliente a fin de cumplir con normas de auditoría, como sucede en los casos en
que subsecuentemente se descubren hechos que existían a la fecha del informe del auditor.
Es difícil establecer el tiempo que un auditor debe conservar los papeles de trabajo. Debe
conservarlos en tanto son importantes para auditorías subsecuentes y para
cumplir cualquier requisito legal. Debe cumplir con las normativas que al efecto existan.
Hoja de Identificación
Figura 21 – Papeles de Trabajo
43
Índice del contenido
Se pagina el contenido total de los papeles de trabajo con el propósito de identificar
rápidamente la página donde se encuentran cada una de las partes que integran el legajo
de papeles.
HW Para la documentación relacionada con el equipo físico, periféricos y demás
equipos de sistemas
SW Para la documentación relacionada con el software y paquetes informáticos
SG Para la documentación relacionada con la seguridad informática
BD Para la documentación relacionada con las bases de datos, información y
demás archivos de datos
DS Para la documentación relacionada con el análisis, diseño y desarrollo del
sistema
IS Para la documentación relacionada con las instalaciones del área de sistemas
CC Para la documentación relacionada con el Centro de Cómputo
CA Para la documentación relacionada con Gestión Administrativa del Centro
de Computo
Elaboración de Informe
Informe de auditoría (puntos clave y ejemplo)
Luego de la ejecución de la reunión de auditoría, el auditor deberá presentar en los
próximos 5 días el INFORME DE AUDITORIA, que debe contener:
fecha de la auditoría,
nombre del auditor,
nombre del auditado,
nombre del proceso (ver dentro de la cadena de valor proceso principal/soporte);
y además cumplir la siguiente estructura:
1. ARTEFACTOS AUDITADOS:
2. OBJETIVO:
3. ALCANCE:
4. ANTECEDENTES:
5. INFORME DE AUDITORIA:
6. NO CONFORMIDADES (NCR) / OBSERVACIONES /
RECOMENDACIONES
44
FORMA DE CIERRE
7. FIRMA AUDITOR AUDITADO
Estructura del Informe Final
Título o Identificación del Informe
Distinguirlo de otros informes
Fecha de Comienzo
Miembros del Equipo Auditor
Entidad auditada
Identificación de destinatarios
Finaliza con
Nombre, Dirección y Datos Registrales del Auditor
Firma del Auditor
Fecha de emisión del informe
Objetivos y Alcance de la Auditoría
Estándares, especificaciones, prácticas y procedimientos utilizados
Excepciones aplicadas
Materias consideradas en la auditoría
Situación actual
Hechos importantes
Hechos consolidados
Tendencias de situación futura
Puntos débiles y amenazas (hecho=debilidad)
Hecho encontrado
Consecuencia del hecho
Repercusión del hecho (influencias sobre otros aspectos)
Conclusión del hecho
Recomendaciones
Redacción de la Carta de Presentación
Tipos de Informes
Existen 4 tipos de informes, respecto a los objetivos de la auditoría
Informe sin salvedades: implica una auditoría limpia en la que no se hallan problemas
materiales o declaraciones erróneas. Esta opinión normalmente dice que los estados
contables de la organización auditada están de acuerdo con principios de contabilidad
45
generalmente aceptados. Sin limitaciones de alcance y sin incertidumbre, debe estar
de acuerdo con la normativa legal y profesional.
Informe con salvedades: los auditores externos utilizan un informe con salvedades
para indicar que la información contable de la organización auditada cumple con las
normas de auditoría generalmente aceptadas, salvo que por una excepción de
condiciones o situaciones mencionadas expresamente. Estas excepciones no tienen
que tener una importancia que afecte materialmente la situación patrimonial de la
organización.
Desfavorable
Identificación de irregularidades
Incumplimiento de la normativa legal y profesional que afecte a
significativamente a los objetivos estipulados
Denegada
Limitaciones al alcance
Incertidumbres significativas
Irregularidades
Incumplimiento de normativa legal y profesional
Opinión adversa; los auditores externos emiten una opinión adversa cuando
consideran que los estados contables de la organización auditada están mal expuestos
o significativamente no cumplen con los principios contables generalmente
aceptados.
Renuncia de opinión: se emite tal tipo de informe cuando los auditores externos
consideran que la situación financiera de la organización auditada es muy precaria y
puede conllevar con la disolución de la misma.
Pautas del Lenguaje y Redacción del Informe
Títulos: expresivos y breves
Párrafos
Un solo asunto por párrafo
8 ó 10 líneas por párrafo
Frases
Una sola idea por frase
No más de 3 líneas
Otros consejos
46
Lenguaje sobrio y normal
Voz activa, nunca pasiva
Omitir palabras innecesarias (con referencia a, consecuentemente con,
etc.)
Evitar redundancias
No utilizar adverbios y adjetivos simultáneamente
Comunicación de Resultados
Técnicas de exposición
A menudo se le solicita al auditor de sistemas que exponga los resultados de las tareas de
auditoría a diversos niveles gerenciales. Las técnicas de exposición incluyen:
Resumen ejecutivo: es un informe de fácil lectura, gramaticalmente correcto y breve
que presenta los hallazgos a la gerencia en forma comprensible. Los anexos pueden
ser de naturaleza técnica ya que la gerencia operativa necesitará los detalles para
corregir las situaciones informadas
Presentaciones visuales: pueden incluir transparencias, diapositivas o gráficos
Seguimiento de Recomendaciones
Las Recomendaciones son acciones correctivas y / o preventivas que se pueden presentar
en los Informes de Auditoría Informática o en Informes Especiales de carácter preventivo,
como producto de las deficiencias o incumplimientos resultantes del proceso de
fiscalización y son dirigidas a las autoridades competentes que tienen la responsabilidad
de llevarlas a cabo, una vez que son comunicadas son de obligatoria implementación bajo
la vigilancia del Auditor Interno. Es requisito de toda Recomendación, el hecho de ser
discutida y comentada ampliamente con los funcionarios encargados de su ejecución al
momento de la conferencia de cierre o final.
La Recomendación que ha sido discutida debe calzar en documento aparte la firma junto
con el cargo del funcionario que la discutió y quien además es el encargado responsable
de ejecutarla.
Es importante destacar que toda Recomendación debe ser realizable dentro del plazo
señalado en el Plan de Acción presentado por la entidad respectiva y aceptada.
47
Tipos de Recomendaciones
Cumplimiento Legal,
Control Interno,
Administrativas,
Financieras,
Gestión y
Preventivas.
El seguimiento a las recomendaciones realizadas en una Auditoría externa deben ser
realizadas por el equipo de Auditoria Interna de la organización, el auditor informático
externo debe estar de soporte en el caso de que así se requiera.
El auditor deberá entregar periódicamente:
Informes del seguimiento
Evaluación de los controles implantados
Herramientas asistidas por computador para análisis de riesgos y auditorías informáticas
Las técnicas de auditoría asistidas por computador se conocen con el nombre de TAAC’S.
Las TAAC´S son un conjunto de técnicas y herramientas utilizados en el desarrollo de las
auditorías informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los
análisis efectuados por el auditor a los sistemas y los datos de la entidad auditada.
El auditor dispone de una clasificación estandarizada respecto a las principales TAAC´S
aplicadas por auditores de todo el mundo:
Técnicas Administrativas: Permiten al auditor establecer el alcance de la revisión, definir
las áreas de interés y la metodología a seguir para la ejecución del examen.
Técnicas para evaluar los controles de Aplicaciones en Producción: Se orientan
básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del
procesamiento en forma global y específica y verificar el cumplimiento de los controles
preestablecidos.
Técnicas para análisis de transacciones: Tienen como objetivo la selección y análisis de
transacciones significativas de forma permanente utilizando procedimientos analíticos y
técnicas de muestreo.
Técnicas para análisis de datos: Están orientadas hacia el uso de programas informáticos
especializados que le permiten al auditor, de forma eficiente y flexible, examinar la
48
información que ha sido procesada electrónicamente a través de los sistemas de
información, aplicativos o programas utilitarios.
Técnicas para análisis de aplicaciones: Poseen un grado mayor de complejidad respecto
a su aplicación y grado de conocimiento técnico que debe poseer el auditor, pues se
orientan hacia la evaluación del funcionamiento interno de las aplicaciones en producción
y la forma en que estos procesan la información
Ventajas del uso de las técnicas de auditoría asistida por computador
Incrementan el alcance de la investigación y permiten realizar pruebas que no pueden
efectuarse manualmente
Incrementan el alcance y calidad de los muestreos, verificando un gran número de
elementos
Elevan la calidad y fiabilidad de las verificaciones a realizar
Reducen el periodo de las pruebas y procedimientos de muestreos a un menor costo
Garantizan el menor número de interrupciones posibles a la entidad auditada
Brindan al auditor autonomía e independencia de trabajo
Permiten efectuar simulaciones sobre los procesos sujetos a examen y monitorear el
trabajo de las unidades
Tipos de Herramientas CAAT
IDEA: Con esta herramienta se puede visualizar, analizar y manipular datos, llevar
a cabo muestreos y extraer archivos de datos desde cualquier origen de
ordenadores centrales a PC, incluso reportes impresos.
ACL: Es una herramienta enfocada al acceso de datos, análisis y reportes para
auditores y profesionales financieros, tiene una gran cantidad de reportes
integrados.
AUTO - AUDIT: Es un sistema completo para la automatización de la función de
auditoria, soportando todo el proceso y flujo de trabajo, desde la fase de
planificación, pasando por el trabajo de campo, hasta la preparación del informe
final, además de los documentos y papeles de trabajo en forma electrónica.
AUDITCONTROL APL - AUDISIS: Es una herramienta para asistir en la
construcción de sistemas de gestión de riesgos y controles internos en los procesos
de la cadena de valor y los sistemas de información de las empresas.
49
AUDIMASTER: Es una solución de supervisión de transacciones a nivel de bases
de datos, su objetivo es capturar las operaciones que realizan las bases de datos y
escribirlas en un archivo de registro.
DELOS: Es un sistema experto que posee conocimientos específicos en materia
de auditoría, seguridad y control en tecnología de información, este conocimiento
se encuentra estructurado y almacenado en una base de conocimiento.
50
ÍNDICE de FIGURAS
Figura 1 Chipset ............................................................................................................................. 9
Figura 2 CPU .................................................................................................................................. 9
Figura 3 Memoria RAM ................................................................................................................. 9
Figura 4 CD-ROM ........................................................................................................................... 9
Figura 5 Monitor............................................................................................................................ 9
Figura 6 Modem .......................................................................................................................... 10
Figura 7 Sistema Operativo ......................................................................................................... 10
Figura 8 Aplicaciones ................................................................................................................... 10
Figura 9 Sistemas de Información ............................................................................................... 11
Figura 10 ...................................................................................................................................... 11
Figura 11 Topología Red .............................................................................................................. 13
Figura 12 Seguridades ................................................................................................................. 13
Figura 13 Fuente: COBIT 5 – Principios COBIT 5 .......................................................................... 28
Figura 14 Fuente: COBIT 5 – Principio 1 ...................................................................................... 28
Figura 15 Fuente: COBIT 5 – Principio 2 ...................................................................................... 29
Figura 16 Fuente: COBIT 5 – Principio 3 ...................................................................................... 29
Figura 17 Fuente: COBIT 5 – Principio 4 ...................................................................................... 30
Figura 18 Fuente: ITIL 3 – Fases Ciclo del Servicio ...................................................................... 35
Figura 19 - Etapas de la Auditoría Informática ............................................................................ 39
Figura 20 – Proceso Auditoría Informática ................................................................................. 39
Figura 21 – Papeles de Trabajo ................................................................................................... 42