UNIVERSIDAD DE ORIENTE

NÚCLEO DE ANZOÁTEGUI
ESCUELA DE INGENIERIA Y CIENCIAS APLICADAS
DEPARTAMENTO DE COMPUTACIÓN Y SISTEMAS
APLICACIÓN Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN
SECCIÓN: 01

Metodologías de Control Interno, Seguridad y
Auditoria Informática
“Estudio Comparativo de Metodologías”.

Profesor: Integrantes:

Ing. Yesenia Persad Contramaestre, José C.I: 17.236.946 Ing. De Sistemas
Guillott, Erika C.I: 20.763.142 Ing. De Sistemas

Barcelona, Noviembre de 2016.

INDICE

INTRODUCCION .

debe entenderse que una metodología consiste en investigar los diferentes métodos que se pueden emplear para llevar a cabo alguna actividad. a pesar de que los grupos sean numerosos y diversos estos guiándose por una metodología lograran la unificación en el equipo y el alcance de los resultados previstos. A principio de los años ochenta se dan a conocer diferentes metodologías en el campo de la auditoria y el control informático. para asegurar la calidad y mantener con . De acuerdo a la experiencia adquirida por las personas en la realización de sus labores. Al estudiar las distintas metodologías. La seguridad de los sistemas de información es una actividad que evalúa y supervisa los riesgos informáticos. Seguridad y Auditoria Informática. una de las disciplinas que se ha llevado a cabo de manera consecutiva es la seguridad de los sistemas de información. La seguridad informática en una institución debe ser vital y debe evaluarse con objetividad y detalle. Debido a la complejidad de la informática es necesario utilizar metodologías en las diferentes áreas que la componen. Metodologías de Control Interno. acción de la cual la auditoria forma parte importante. Es importante la implementación de metodologías en las empresas debido a que los empleados al regirse por estas metodologías lograran resultados afines. esto no es más que saber diferenciar la seguridad informática de lo que es la seguridad lógica del sistema. El nacimiento de la informática se dio casi a la par con el nacimiento de la auditoria. estas desarrollarán diferentes metodologías que evidencien la manera como entienden las tareas que realizan en lo que respecta al ámbito profesional.

. La informática en una entidad es favorable pero también representa un riesgo para la misma. por lo tanto se debe tener bajo evaluación y supervisión la eficiencia y veracidad de la información. Esta metodología se da mediante cálculos que le son de gran ayuda al método por lo que se hace aceptable. Se presentan dos inconvenientes significativos para estas metodologías que son su probabilidad de ocurrencia por la ausencia de registros y además el poco valor que se le da en todo el mundo y la posibilidad o dificultad de mantener bajo evaluación económica todos los impactos que podrían presentarse ante la ventaja de emplear un modelo matemático para el respectivo análisis. Las metodologías cuantitativas se basan en el control de los riesgos. para así saber realmente acerca de sus debilidades y entonces reforzarlas o mejorarlas. analizando valores numéricos que a su vez son datos que se extraen mediante registros de probabilidad y deben ser suficientemente grandes.eficacia las acciones y medidas que protegen la información de la empresa y sus medios de procesos. es decir. siendo esto una de las tareas del auditor. Tipos de Metodologías Metodologías cuantitativas En esta metodología se utiliza una lista de riesgos que contiene valores numéricos. tender al infinito. Existen diferentes coeficientes que permiten elegir entre las diferentes contramedidas en un análisis de riesgo.

A la hora de ejecutar el trabajo los . .Debido a que no aplica probabilidades . .Es probable que los datos obtenidos dependan de datos fiables inexistentes.Se basan en el razonamiento humano . del trabajo. .Se basan en un modelo matemático capaz de definir un proceso de numérico que ayuda a la realización trabajo.Ofrece cifras que justifican cada planes de ejecución son tanto contramedida.Tiene que ver con factores intangibles. mediante la utilización de números. . Diferencias y Similitudes entre las Metodologías Cualitativas y Cuantitativas.Son metodologías difíciles de mantener complejas y de cálculos se identifican y someter a modificaciones. . obtener si son valores cuantificables.Esta metodología deja ver todo aquello . Diferencias Diferencias Metodologías cualitativas Metodologías cuantitativas . flexibles como reactivos.Esta metodología se lleva a cabo que se desea. Metodologías cualitativas Esta metodología presenta métodos que no incluyen lógicas matemáticas. Requieren de personal especializado y es por esto que a su vez requiere menos recurso humano en comparación con la metodología cuantitativa. .Se requiere profesionalismo en el .Las pérdidas potenciales solo se pueden personal que maneja el método. de mejor manera los eventos. Similitudes Ambas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de amenazas sea lo más baja .

Enfoca pensamientos mediante uso de flexible y reactivo. incluye factores intangibles. plan de trabajo . Puede excluir riesgos significantes Estimación de las pérdidas potenciales desconocidos. vulnerabilidades muy distintas. . y las metodologías cualitativas basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo. Ventajas Metodologías cualitativas Metodologías cuantitativas . números.Se concentra en la identificación de . proporciona una cifra justificante para cada contramedida. Desventajas Metodologías cualitativas Metodologías cuantitativas Depende fuertemente de la habilidad y La estimación de probabilidades calidad del personal involucrado. en ese sentido las metodologías existentes para tal fin son de dos tipos las metodologías cuantitativas que están basadas en un modelo numérico que ayuda a la realización del trabajo. .Facilita la comparación de eventos.Enfoca lo más amplio. Ventajas y Desventajas de las Metodologías Cualitativas y Cuantitativas. para seleccionar en base a la experiencia acumulada. depende de estadísticas fiables inexistentes. solo si son valores cuantificables. Síntesis: Para la seguridad de los sistemas en las organizaciones. las metodologías de evaluación de sistemas son necesarias para desarrollar de manera ordenada y eficaz un plan de seguridad. otra similitud es que también dependen de un profesional. posible o al menos quede reducida de una forma razonable en costo-beneficio.

teniendo así por una parte carácter cualitativo.Identificación de eventos reales más Metodologías estándares difíciles de claros al no tener que aplicar mantener o modificar. dependen de un profesional. Por el contrario. con el propósito de estudiar con métodos estadísticos posibles relaciones entre las variables. lo que hace que el rigor científico de los cálculos sea pobre. Mientras que la metodología cualitativa depende fuertemente de la habilidad y calidad del personal involucrado.. la metodología cuantitativa asigna valores numéricos a la probabilidad de ocurrencia. No obstante. aunque en la práctica la asignación del valor numérico es aproximada subjetivamente. por otro lado la imposibilidad de evaluar económicamente todos los impactos que pueden ocurrir al usar un modelo matemático. Aunque puede excluir riesgos significantes desconocidos. que reduzcan esas posibilidades. para proceder luego a su interpretación. etc. depende de la capacidad del profesional para usar elementos de ayuda como listas de verificación. como la metodología cuantitativa pretende generalizar los resultados de un registro de incidencias. probabilidades complejas de calcular. presenta inconvenientes porque los registros estadísticos de incidentes son escasos y también la poca fiabilidad de los mismos a nivel mundial por varios motivos. . la metodología cualitativa no insiste en la representación. lo que puede deberse al carácter subjetivo de esta metodología. por lo tanto identifica eventos reales más claros. Síntesis: Ambas metodologías están diseñadas para identificar riesgos de un evento y dependen de un profesional.

de su forma de entender su trabajo. siendo la manera cómo afronta sus problemas de validez externa a través del criterio objetivo de magnitudes numéricas. Metodologías de Análisis de Riesgos. dicha escogencia está ligada a su experiencia profesional. Desarrollada para la identificación de la falta de controles y el establecimiento de un plan de seguridad. Puede deducirse que la selección de la metodología a utilizar depende de cada profesional. por lo tanto constituye la metodología más adecuada. en conformidad con sus características y las ventajas de su aplicación entre ellas de que tienen su fundamento en modelos matemáticos. . además de tener cierta parte cualitativa como el aproximar los resultados de forma subjetiva para ayudar a elegir el método adecuado lo cual en ese sentido se considera aceptable. En perspectiva propia puede decirse que la metodología cuantitativa es la mejor a implementar en líneas generales.

Etapa 3: Calcular el impacto. el análisis de riesgos en conjunto con diferentes herramientas permiten elegir de manera oportuna y precisa el plan de seguridad para afrontar los riesgos de la mejor forma posible. Etapa 4: Indicar las contramedidas y el coste. como ayuda fundamental emplea el cuestionario a través del cual se identifican las diferentes vulnerabilidades y riesgos para seguidamente evaluar el impacto de estos. en función a las actividades que esta realiza diariamente. por medio de la simulación que es donde se emplea la metodología bien sea cuantitativa o cualitativa se genera el análisis del efecto de los distintas contramedidas en cuanto a la prevención o disminución de los diferentes riesgos existentes. Etapa 2: Identificar los riesgos. Esquema básico de una metodología de análisis de riesgos: Etapa 1: Cuestionario. Etapa 6: Creación de los informes. identificando luego las contramedidas y el costo asociado. Etapa 5: Simulaciones. . Síntesis: Esta metodología nos permite visualizar los diferentes riesgos que se presentan en determinada organización.

El plan de contingencias informática se diferencia del plan de contingencias corporativo en que este cubre solamente la informática mientras que el corporativo todos los departamentos de una entidad. una organización de emergencia y unos procedimientos de actuación encaminados a conseguir una restauración progresiva y ágil de los servicios de negocios.  Segunda fase: desarrollo del plan. estos son: plan de contingencias informáticas y plan de contingencias corporativo. Plan de Contingencias. Risk Análisis y las de Bussines Impact. Esta fase estudia la problemática. con esta se puede llegar a la conclusión de que no es viable o si es muy costoso su seguimiento. Existen dos tipos de plan de contingencias. y puede incluir también el informativo como un departamento más. En todas las metodologías esta fase es muy parecida a la siguiente debido a que en ella se desarrolla la estrategia seleccionada para luego ser implantada con cada una de las acciones previstas. afectados por una paralización total o parcial de la capacidad operativa de la empresa. Ésta es la fase más importante. . Un plan de contingencia es una estrategia planificada por un conjunto de recursos de respaldo. Aquí se evalúan dos familias metodológicas. alternativas de respaldo y el coste y beneficio de las mismas. Los planes de contingencia se desarrollan mediante tres fases:  Primera fase: análisis y diseño. la necesidad de los recursos.

en la siguiente fase se desarrolla y finalmente se ejecuta y además se capacita al personal para trabajarlo y mantenerlo adecuadamente. En la auditoría informática existen dos familias distintas. Tiene apartados para definir “pruebas” y anotar sus resultados. las auditorias de controles generales y las metodologías de los auditores internos. En la primera fase se diseña el plan. Está formada por recomendaciones de Plan de trabajo. Metodologías de Auditoría Informática. En esta fase se definen las pruebas para comprobar que funcionan y se instruye al personal que realiza dicho trabajo. Las metodologías de auditoría informática son del tipo cualitativo/subjetivo. cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas.  Auditorías de Controles Generales.  Tercera fase: pruebas y mantenimiento.  Auditorías Internas. Dan una opinión sobre la habilidad de los datos del computador para la Auditoria financiera. Las metodologías de plan de contingencia son aplicadas por fases para permitir un mejor manejo y control de cada actividad. deberá realizar cuestionarios y definir cuantas pruebas estime oportunas. además debe crear sus .

metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor. dependiendo del conjunto de actividades que esta realice. aplicadas a los procesos y la información de un sistema. basadas en pequeños pero son diseñadas por el propio cuestionarios estándares que dan auditor. Constituye el esquema metodológico del auditor informático. ¿Para qué se usa cada una? Auditorias de controles generales Metodologías de los auditores internos Se usan para generar una opinión También cumple la misma función de sobre la fiabilidad de los datos del las auditorias de controles generales computador. Síntesis: La auditoría de controles generales y la auditoría interna. como resultado informes muy generalistas. se efectúan con el propósito de evaluar en su totalidad la situación de una organización en diferentes aspectos. Plan Auditor Informático. permitiéndole obtener mediante estas metodologías de auditoría un seguimiento a partir de la información obtenida basados en las deficiencias o debilidades que posee la organización con respecto a sus procesos financieros. Este documento debe estar cónsono con el plan auditor del resto de los auditores de la entidad y dicho documento describe lo siguiente: .

entrega de informe preliminar. Sistema de evaluación: radica en evaluar el nivel de gestión económica. se realiza un adecuado seguimiento. redacción de informe final. el de entrega y discusión de debilidades. el cual no debe confundirse con los parámetros utilizados en el análisis de riesgos. El nivel de exposición sirve para representar la suma de factores como impacto. Lista de distribución de informes: se define la cantidad de informes con el resultado final de la auditoria que se van a distribuir. . Seguimiento de acciones correctoras: dependiendo de las acciones correctivas sugeridas en el informe final. Funciones: descripción de las funciones y la organización del departamento incluyendo todos los recursos. Procedimientos para las distintas tareas de las auditorias: procedimientos de apertura. . . . . que permitan evaluar de forma global toda la auditoria. Nivel de exposición: se define como un número subjetivo que permite visualizar la última auditoría realizada. enfocada en la evaluación final de la misma. . peso del área y la situación de control en el área Auditoría de Sistemas de información.. . cierre de auditoría. Tipos de auditoría: incluye las diferentes metodologías y cuestionarios que se llevarán a cabo en función al tipo de auditoría a realizar. cumplimiento de normas. de recursos humanos.

 Colaborar y apoyar el trabajo de Auditoría Informática. Control Interno Informático. así como de las auditorías externas al grupo. Plan quinquenal: las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repartirse en cuatro o cinco años de trabajo. así como de la implantación de los medios y medidas adecuadas. lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno. sino que cada responsable de objetivos y recursos es responsable de esos niveles. podemos indicar los siguientes:  Inspeccionar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados. Se definen los recursos que se necesitarán en la auditoría. . Deberá componer anualmente el plan de trabajo anual. .  Asesorar sobre el conocimiento de las normas. . evaluar su bondad y asegurarse del cumplimiento de las normas legales. Como principales objetivos del Control Interno Informático. Plan de trabajo anual: se estiman tiempos y se realiza un calendario con horas de trabajo previstas. implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático.  Definir.

es muy amplio en comparación con la seguridad lógica. y lógica. costo y seguridad en forma amplia. Herramientas de Control.Tiene la función de vigilancia y (administración de la seguridad evaluación mediante dictámenes. se debe resaltar el campo de la seguridad de sistemas. control en los que se ven involucrados y que luego se desarrollaran. Diferencias entre el Control Interno Informático y la Auditoria Informática Diferencias Control Interno Informático Auditoria Informática .Operan según procedimientos de . determinando así los siguientes aspectos: . El control interno monta los controles. ya que se encuentran muy relacionados y este último. .). . evalúa eficiencia. Síntesis: Evaluando los conceptos de control interno informático y auditoria informática.Operan según el plan del auditor. etc. . . los auditores de cuentas. La auditoría informática evalúa el grado de control.Tiene sus propios objetivos distintos a del marco jurídico. El área informática monta los procesos informáticos seguros. todas sus metodologías van encaminadas a esta función. .Función normativa y del cumplimiento .Tiene funciones propias .

los cuales no mejoran a la par pero a medida que se vayan aplicando los planes de seguridad los planes de control serán superiores al anterior. y después de establecerlo impide acceder a . funciones o procedimientos. Estas contramedidas se componen de lo que serían los estándares políticos. Los diferentes riesgos de la informática crean lo que son las contramedidas las cuales se ejecutan con la finalidad de proteger la entidad. el cual en el proceso de clasificación define distintos perfiles en desarrollo y explotación. Las herramientas de control más frecuentes son las de control interno y auditoria informática. Las herramientas de control se emplean con la finalidad de mejorar los componentes o factores de las contramedidas. tiene como función. Acceso Lógico. el hardware. los usuarios informáticos. así como también los planes. evaluar una variedad de aspectos que tienen que ver con su plan auditor. el cual posee fases de trabajo que se llevan a cabo con objetivos concretos y después de este se dejan ver los informes con los resultados obtenidos. la primera tiene que ver con los procedimientos de control que se dan día a día mientras que la auditoria informática. El acceso lógico es uno de los puntos más importantes dentro del área de las herramientas de control. Las herramientas de control permiten definir los procedimientos de control para cumplir las normativas y objetivos de control. por otro lado. el software.

Estudio Comparativo de Metodologías. Luego de haber realizado el análisis de las diferentes metodologías que se pueden aplicar en auditorias.  Segregación de funciones entre los usuarios del sistema. Muchos de los objetivos del acceso lógico se pueden conseguir de los propios estándares: ISO.  Integridad de los “log” e imposibilidad de desactivarlos por ningún perfil para poder revisarlos. incluso a los administradores de seguridad. Libro Naranja. Entre los objetivos de control de acceso lógico se encuentra:  Contraseña única para los distintos sistemas de la red.uno y a otros al entorno que no es el suyo.  El sistema debe obligar al usuario a cambiar la contraseña de forma que solo él la conozca. etc. a continuación .  La contraseña y archivos con perfiles y derechos inaccesibles a todos.

La seguridad informática en una institución debe ser vital y debe evaluarse con objetividad y detalle para asegurar y mantener la eficacia de las acciones y medidas que protegen la información de la empresa y sus medios de procesos. CONCLUSIONES  Las metodologías siguen una secuencia de pasos ordenados para llegar a un resultado. Existen diversas metodologías para desarrollar cualquier proyecto.  Los planes de contingencia son estrategias planificadas dirigidas a conseguir una restauración de los servicios de negocios que han sido afectados de alguna manera por la capacidad operativa de la empresa.  La auditoría informática comprende una serie de elementos resaltantes uno de ellos lo conforman los especialistas. .  La informática es un área compleja que requiere la aplicación de metodologías para su buen funcionamiento.  Para la seguridad de los sistemas de información se evalúan y supervisan los riesgos informáticos a los que puede enfrentarse el sistema. los profesionales hacen uso de estas metodologías basándose en su experiencia y en la manera de cómo conciben su trabajo. los cuales verifican el buen desenvolvimiento de los procesos de los sistemas.

capaz de dictar recomendaciones técnicas.  Los procedimientos de control se valen de las herramientas de control las cuales generan lo necesario para cumplir con las normas y objetivos de control. del mismo modo que evalúa y asegura el cumplimiento de las normas legales. dicho plan hace referencia a su función y trabajo en la organización.  Al hablar de metodologías de control interno y de auditoría informática es importante conocer los conceptos y como se desarrollan tales metodologías. comprueban que sean seguros y efectivos. el contexto en el que pueden aplicarse la variedad de métodos que conllevan y como ejecutar con éxito sus determinadas tareas. el control interno informático controla que la realización de las actividades cumpla con los procedimientos y normativas fijados. . por tanto debe ser un profesional de gran nivel de experiencia y formación. Así mismo. logrando así que su desempeño como profesional se consolide en la organización.  El auditor informático cuenta con un esquema metodológico que para él es el más importante pues contempla lo que es el plan auditor. operativas y jurídicas.  El control interno proporciona seguridad en cuanto al seguimiento de los objetivos alimentando la eficiencia mediante una serie de acciones que conducen a un resultado. además que cumplan con una normativa.