UNIVERSIDAD ABIERTA Y A DISTANCIA DE MÉXICO

DIVISIÓN DE CIENCIAS EXACTAS, INGENIERÍA Y TECNOLOGÍA

PE TELEMÁTICA

Unidad 1 / Actividad 1

Auditoría

**

**

Administración de Redes

TM-KADR-2202-B1-001

Claudia Ávila Arteaga

Tepic, Nayarit 12 de Septiembre de 2022.

ÍNDICE

ÍNDICE........................................................................................................................................ 1

INTRODUCCIÓN......................................................................................................................... 2

DESARROLLO........................................................................................................................... 3

CASO 1..................................................................................................................................................... 3

CASO 2..................................................................................................................................................... 3

CASO 3..................................................................................................................................................... 4

CASO 4..................................................................................................................................................... 4

CASO 5..................................................................................................................................................... 5

CONCLUSIONES........................................................................................................................ 6

REFERENCIAS........................................................................................................................... 7
INTRODUCCIÓN

De acuerdo con la (American National Standard, 1973) una definición de auditoria es “Actividad
para determinar, por medio de la investigación, adecuación de los procedimientos establecidos,
instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión a los
mismos y la eficiencia de su implementación”.

Generalmente relacionamos este concepto con las auditorias financieras por ser la más común
dentro de las organizaciones, pero en los últimos años la implementación de las tecnologías de
la información como una herramienta fundamental para las empresas ha dado lugar al
concepto de auditoria informática que de acuerdo con (Heredero, 2006) define como: “La
revisión, verificación y evaluación con un conjunto de métodos, técnicas y herramientas de los
sistemas de información de una organización, de forma discontinua y a petición de su dirección
y con el fin de mejorar su seguridad, rentabilidad y eficacia”.

Estas podemos clasificarlas de acuerdo con el objetivo de análisis propias de las actividades
informática que se pueden clasificar como:

 Explotación, aplica controles de calidad antes de liberar herramientas T.I. a los usuarios.
 Sistemas, analiza la aplicación de la técnica de sistemas y sus etapas.
 Comunicaciones y redes, Analizar la seguridad y disponibilidad de las tecnologías de
comunicación.
 Desarrollo y mantenimiento de sistemas, Valida el cumplimiento en todas las fases.
 Seguridad, aplica los conceptos de seguridad física y lógica de las T.I.
 Outsourcing, validación de los contratos de los servicios de T.I.C.
 Dirección Informática, analiza los procesos que autoriza y ejecuta esta máxima
autoridad.
 Video vigilancia, regulaciones sobre el uso de imagen y sonido de acuerdo con el
derecho de los individuos captados.
 Datos personales, valida la normatividad sobre el tratamiento de datos personales en
posesión de particulares.

En esta actividad se presentan cinco casos de auditorías realizadas a diferentes empresas

identificando sus tipos, puntos de auditoría, fortalezas, resultados con el fin de analizar las
características de las auditorías.
DESARROLLO

Caso 1

Tipo de auditoria: Informática: Sistemas, comunicaciones y seguridad realizado por auditor

externo.
Puntos de la auditoria (UNAM, 2020): Identificar vulnerabilidades en el sistema principal, la
infraestructura que lo mantiene y los sitios web allegados al Instituto Electoral de la Ciudad de
México (IECM), con los que se podrán realizar sugerencias para el control o erradicación en el
mejor de los casos de estas”.
Fortalezas:

 Analiza toda la infraestructura tecnología del SEI.

 Utiliza la metodología IEEE Std 1028-2008.
 Implementa las pruebas OSSTM v3.
Debilidades

 La institución no cuenta con personal de T.I. para la atención de las vulnerabilidades.

Resultado:

 Los sistemas e infraestructura asociada a los procesos “SEI” son razonablemente

seguros.
 El SEI es robusto, confiable y cumple con los requerimientos funcionales del sistema,
realiza el 100% de las funcionalidades para las que fue creado.
 Está en condiciones para operar en las Elecciones de Comisiones de Participación
Comunitaria 2020 y la Consulta de Presupuesto Participativo 2020 y 2021.
Caso 2

Tipo de auditoria: Informática: Sistemas y seguridad realizada por auditores externos.

Puntos de la auditoria (Albarracín Zambrano, Marín Vilela, Lozada Calle, & Martínez Matute,
2021):

 Evaluar las normas de control, técnicas y procedimientos que se tiene establecidos en

la empresa PROMAELEC; lograr la confiabilidad, seguridad y confidencialidad de la
información que se procesa a través del sistema de aplicación que se esté utilizando.
 Análisis sobre los sistemas y redes de conexión con el programa contable dentro del
Departamento Financiero.
Fortalezas:

 Analiza el hardware, software y redes de la empresa.

 Contempla el entorno operacional de las T.I. dentro de la organización.
Debilidades

 La auditoría no implementa una metodología de auditoria certificada.

Resultado:
  Uso de computadoras y cuentas en asuntos ajenos a la función de la empresa.
 No se cuentan con actualizaciones de las definiciones del programa de antivirus,
prevenir y detectar programas no deseados.
 No se cuenta con un departamento de auditoría interna, la misma que se encargue de
un control continuo, no solo sobre el manejo económico o social que tenga tal o cual
equipo de trabajo sino también las seguridades de la información la cual se está
manejando.
Caso 3

Nombre de la empresa: Institute Estatal Electoral de Nayarit

Tipo de auditoria: Informática: Sistemas, comunicación y redes, seguridad, realizada por un
auditor externo.
Puntos de la auditoria de acuerdo con (IJALTI Cluster Manager, 2021):

 Identificar debilidades de seguridad en la infraestructura tecnológica mediante la

ejecución de pruebas de penetración y revisión de configuraciones de seguridad.
 Clasificar el impacto y documentar las vulnerabilidades identificadas con el propósito de
recomendar al IEEN las posibles medidas para la mitigación de las vulnerabilidades que
previamente fueron identificadas y documentadas.
 Verificar que las medidas implementadas por el IEEN hayan atendido adecuadamente
las vulnerabilidades reportadas.
Fortalezas:

 Esta realizada por un organismo especializado externo.

 Análisis basado en metodologías ISSAF y OSWAP.
Debilidades

 La institución no cuenta con personal de T.I. para la atención de las vulnerabilidades.

Resultado:

 El análisis de las configuraciones no encontró ninguna vulnerabilidad.

 El análisis de vulnerabilidades encontró 457 del tipo informativo, 10 de clasificación
bajo, 23 medio, 1 elevado y 0 criticas.
Caso 4

Tipo de auditoria: Informática: Auditoría de Sistemas, realizada por un auditor externo.

Puntos de la auditoria (Nidia & Luz, 2019):

 Realizar un seguimiento constante y detallado de los controles establecidos a los

sistemas de BD para garantizar la seguridad y el correcto uso de los datos almacenados
por los usuarios.
 Análisis sobre los sistemas y redes de conexión con el programa contable dentro del
Departamento Financiero.
Fortalezas:

 Auditoria basada en el modelo de riesgos para mitigarlos.

  Aplica el marco de referencia ISO 31000.
Debilidades

 La auditoría solo presenta un plan para mitigación de riesgos sin compromiso de su

aplicación por parte de la empresa.
Resultado:

 Se evidenció que existe Matriz de roles y perfiles y se encuentra adecuadamente

asignados a los usuarios de la BD los roles y perfiles según lo establecido para su perfil.
 Se evidencia que no existen políticas de bloqueo de usuarios documentadas, y se
evidencia que en la aplicación no existen control de bloqueo de sesión de usuarios
cuando hay inactividad, se recomienda implementar políticas de bloqueo de sesión de
usuarios por inactividad, ya que esto permite tener un mayor control sobre la seguridad
de la información.
Caso 5

Tipo de auditoria: Informática: Auditoría de Sistemas y seguridad, por un auditor externo.

Puntos de la auditoria (Jara Cazorla, 2012):

 Analizar el uso de las T.I.C. para planear, implementar, controlar y evaluar,

incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y
resultados, factores críticos de éxito y modelos de madurez.
Fortalezas:

 Emplea el modelo COBIT para analizar la madurez y el control de procesos T.I.

 Contempla la estructura organizacional y de T.I.
Debilidades

 El modelo COBIT aumenta la complejidad de la auditoria y de la comprensión de los

resultados para personas no familiarizadas con su terminología.
Resultado:

 Se ha podido establecer después del estudio realizado que la empresa “se encuentra en
un nivel de madurez inicial y solo mejorando este nivel en todos los procesos, podrá
subir al nivel superior.
 La auditoría proporciona a la Gerencia una herramienta a seguir para poder alinear la
Gestión de TI con el negocio y obtener mayores beneficios.
CONCLUSIONES

Existen diferentes que se pueden tomar en cuenta para realizar una categoría de las auditorias,
otro ejemplo es respecto la naturaleza del personal que la realiza, clasificándose en
gubernamentales si es realizada por órganos del estado, internas si el personal que la realiza
ejerce su actividad en el seno de una empresa y externas cuando es realizada por un servicio
independiente a la entidad auditada.

Las empresas privadas no publican el resultado de sus auditorias informáticas en Internet, esto
es por el interés de mantener estos resultados internamente con el fin de solventar las áreas de
oportunidad, por esta razón funcionan como herramienta que permite mejorar el uso de las
T.I.C. en la empresa, en esta actividad nos basamos en auditorías realizadas con fines
educativos o en algunas de organismos públicos, que por ser de interés general para nuestra
sociedad se publican en internet. En su mayoría las empresas realizan estas auditorias con
auditores externos especializados para identificar el uso que se les da a los recursos de
hardware, software e información dentro de la organización, analizando la seguridad, los
procesos y su uso para obtener información que permita tomar decisiones por parte de la
dirección de T.I. que impulse el una implementación y explotación eficiente de estos recursos.
REFERENCIAS

Albarracín Zambrano, L. O., Marín Vilela, C. M., Lozada Calle, J. C., & Martínez Matute, J.
(2021). Auditoría informática dentro de la empresa “Promaelec” de la ciudad de
Quevedo, en tiempo de COVID-19. Obtenido de Revista Universidad y Sociedad:
http://scielo.sld.cu/pdf/rus/v13n5/2218-3620-rus-13-05-345.pdf

American National Standard. (1973). ANSI N45.2.10. Obtenido de Quality Assurance Terms
and Definitions: https://jetsquality.com/wp-content/uploads/2019/01/ANSI-N45-2-10-
73.pdf

Heredero, C. d. (2006). Dirección y gestión de los sistemas de información en la empresa : una

visión integradora. España: ESIC Editorial.

IJALTI Cluster Manager. (2021). Análisis de vulnerabilidades a la infraestructura tecnológica

PREP 2021. Obtenido de IEE Nayarit:
https://ieenayarit.org/PDF/2021/Reporte_PREP_IEENayarit_2021_Publico.pdf

Jara Cazorla, J. B. (2012). AUDITORÍA INFORMÁTICA DE LA GESTIÓN DE TI PARA LA

EMPRESA “ADVANCE CONSULTING” UTILIZANDO EL MODELO COBIT. Obtenido de
Universidad Católica de Ecuador:
http://repositorio.puce.edu.ec/bitstream/handle/22000/6367/9.21.001347.pdf;sequence=
4

Nidia, B. C., & Luz, B. C. (2019). AUDITORÍA DE LA BASE DE DATOS DE SEGURIDAD

SOCIAL DE LA EMPRESA INVERSIONES ALCABAMA S.A. Obtenido de Universidad
Católica de Colombia:
https://repository.ucatolica.edu.co/bitstream/10983/23370/1/AUDITOR%C3%8DA
%20DE%20LA%20BASE%20DE%20DATOS%20DE%20SEGURIDAD%20SOCIAL
%20DE%20LA%20EMPRESA%20INVERSIONES%20ALCABAMA%20S.A..pdf

UnADM. (2022). inforfmática, Auditoría Informática: Unidad 1. Introducción a la auditoria.

México: DCEIT.

UNAM. (2020). Informe final de la auditoría de software previo a la jornada de votación y

opinion. Obtenido de IECM: iecm.mx/wp-content/uploads/2019/12/SEI_InfFinal2020.pdf