Actividad 2

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 13

1.

Definición de la auditoria
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se
utiliza generalmente para designar a la auditoría externa de estados financieros, que es una
auditoría realizada por un profesional experto en contabilidad, de los libros y registros
contables de una entidad, para opinar sobre la razonabilidad de la información contenida en
ellos y sobre el cumplimiento de las normas contables.

Es requisito básico para la realización de una auditoría es la independencia. La independencia


comprende los siguientes puntos:

1. Independencia mental: El estado mental que permite proporcionar una opinión sin
ser afectados por influencias que comprometan el juicio profesional y una dirección,
permitiendo a la persona actuar con integridad, y ejercer objetividad y escepticismo
profesional.
2. Independencia aparente: Cuando se evitan hechos y circunstancias que sean tan
importantes que un tercero juicioso e informado, con conocimiento de toda la
información relevante, incluyendo cualesquiera salvaguardas que se apliquen,
concluiría de manera razonable que la integridad, objetividad o escepticismo
profesional del equipo auditor para atestiguar hubieran sido comprometidos.

2. Historia de la auditoria
La Revolución Industrial provocó la necesidad de adaptar las técnicas contables para poder
reflejar la creciente mecanización de los procesos, las operaciones típicas de las fábricas y la
producción masiva de bienes y servicios. Con la aparición, a mediados del siglo XIX, de las
corporaciones industriales, propiedad de accionistas anónimos y gestionadas por
profesionales, el papel de la contabilidad adquirió aún mayor importancia.

HR Bowen publica en 1953, “Responsabilidades Sociales del Ejecutivo.” Fue durante la


escritura de este libro que discutir la doctrina de la responsabilidad social que deben ser
considerados como un medio para orientar las actividades empresariales hacia el logro de los
objetivos que la sociedad ha establecido.

Se define la responsabilidad social del contratista al principio del libro: “La responsabilidad
social corporativa se refiere a las obligaciones del empresario a que establezcan políticas, de
tomar decisiones o seguir estos cursos de acción son convenientes, basado en objetivos y
valores de nuestra sociedad “.

A principios del siglo XX, la profesión de auditoria fue creciendo y su demanda se extendió
por toda Inglaterra, llegando a Estados Unidos, donde los antecedentes de las auditorias
actuales fueron forjándose, en busca de nuevos objetivos donde la detección y la
prevención del fraude pasaban a segundo plano y perdía cierta importancia.

En 1940 los objetivos de las auditorias abarcaban, no tanto el fraude, como las posiciones
financieras de la empresa o de los socios o clientes que las constituían, de modo que se
pudieran establecer objetivos económicos en función de dichos estudios. En 1921 fue
establecida de manera oficial mediante la construcción de la Oficina general de contabilidad.

3. Auditoria informática
Auditoría informática es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

Así mismo permiten detectar de forma sistemática el uso de los recursos y los flujos de
información dentro de una organización y determinar qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de información eficientes.

Tipos de auditoria informática:

1. Auditoría interna: es aquella que se hace adentro de la empresa; sin contratar a


personas de afuera.
2. Auditoría externa: como su nombre lo dice es aquella en la cual la empresa contrata
a personas de afuera para que haga la auditoria en su empresa. Los mecanismos de
control pueden ser directivos, preventivos, de detección, correctivos o de recuperación
ante una contingencia.

4. Objetivos de la auditoria informática


La auditoría informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
La auditoría informática es de vital importancia para el buen desempeño de los sistemas
de información, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad.

Los aspectos relativos al control de la seguridad de la Información tienen tres líneas básicas
en la auditoria del sistema de información:

 La seguridad operativa de los programas, seguridad en suministros y funciones


auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles
sabotajes, seguridad físicos de las instalaciones, del personal informático, etc.
 La confidencialidad y la seguridad informática hace referencia no sólo a la
protección del material, el logicial, los soportes de la información, sino también al
control de acceso a la propia información.
 En relación a los aspectos jurídicos y económicos relativos a la seguridad de la
información hace referencia a analizar la adecuada aplicación del sistema de
información en la empresa en cuanto al derecho a la intimidad y el derecho a la
información, y controlar los cada vez más frecuentes delitos informáticos que se
cometen en la empresa.

Además, debe evaluar todo lo relacionado a la informática, organización de centros de


información, hardware y software.

5. Características de la auditoria informática


La información de la empresa y para la empresa, siempre importante, se ha convertido en
un activo real de la misma, como sus stocks o materias primas si las hay. Por lo que ha de
realizarse inversiones informáticas, materia de la que se ocupa la auditoría de inversión
informática.

Los sistemas informáticos han de protegerse de modo global y particular a ello se debe la


existencia de la auditoría de seguridad informática en general, o a la auditoría de seguridad de
alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando existen cambios estructurales en la informática, se debe de reorganizar de alguna


forma su función se está en el campo de la auditoría de organización informática. Estos tipos
de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial.

Cuando se realiza una auditoria del área de desarrollo de proyectos de la informática de


una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

6. Metodología y herramientas de la auditoria informática


Metodología de trabajo:

 Alcance y objetivos de la auditoría informática


 Estudio inicial del entorno auditable
 Determinación de los recursos necesarios para realizar la auditoría
 Elaboración del plan y de los programas de trabajo
 Actividades propiamente dichas de la auditoría
 Confección y redacción del informe final
 Redacción de la carta de Introducción o carta de presentación del informe final
Herramientas:

 Cuestionario general inicia


 Cuestionario checklist
 Estándares
 Monitores
 Simuladores (datos)
 Paquetes de auditoría (programas)
 Matrices de riesgo

7. Importancia de la auditoria informática


La auditoria informática permite a través de una revisión independiente, la evaluación de
actividades, funciones específicas, resultados u operaciones de una organización, con el fin
de evaluar su correcta realización.

Se hace énfasis en la revisión independiente, debido a que el auditor debe mantener


independencia mental, profesional y laboral para evitar cualquier tipo de influencia en los
resultados de la misma.

La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados


por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en
derecho especializados en el mundo de la auditoría.
¿Qué es una auditoría de seguridad
informática? Tipos y Fases
Uno de los asuntos que más preocupa a las empresas hoy en día es
la ciberseguridad. La gran dependencia de los negocios de la
tecnología, las redes y las comunicaciones han puesto como
prioridad la seguridad para poder garantizar la continuidad del
negocio. 
La auditoría de seguridad informática es la herramienta principal
para poder conocer el estado de seguridad en que se encuentra una
empresa en relación con sus sistemas informáticos, de
comunicación y acceso a internet. Estas auditorías permiten
mejorar los sistemas e incrementar la ciberseguridad, siendo
fundamentales para poder garantizar el funcionamiento del negocio
y proteger la integridad de la información que manejan. 
Auditoría de seguridad informática, qué es 
Una auditoría de seguridad informática es un procedimiento que
evalúa el nivel de seguridad de una empresa o entidad, analizando
sus procesos y comprobando si sus políticas de seguridad se
cumplen. 
El principal objetivo de una auditoría de seguridad es el de detectar
las vulnerabilidades y debilidades de seguridad que pueden ser
utilizadas por terceros malintencionados para robar información,
impedir el funcionamiento de sistemas, o en general, causar daños
a la empresa. 
Cuáles son los beneficios de realizar una auditoría de
seguridad 
Realizar una auditoría de seguridad no es solo responsabilidad de
grandes empresas y corporaciones. Hoy en día cualquier tipo de
empresa depende de elementos y dispositivos tecnológicos para
poder realizar sus procesos de negocio, por lo que es necesario que
evalúe de forma periódica su seguridad. Las principales ventajas
que aporta el realizar una auditoría de seguridad en una
empresa son: 
 Mejora los controles internos de seguridad de la empresa. 
 Detecta debilidades en los sistemas de seguridad como
errores, omisiones o fallos. 
 Identificaposibles actuaciones fraudulentas (acceso a datos
no autorizados o robos a nivel interno). 
 Ayuda a eliminar los puntos débiles de la empresa en cuestión
de seguridad (webs, correo electrónico o accesos remotos,
por ejemplo). 
 Permite controlar los accesos, tanto físicos como virtuales
(revisión de privilegios de acceso). 
 Permite mantener sistemas y herramientas actualizadas. 

Cuáles son los tipos de auditorías de


seguridad informática 
Existen distintos tipos de auditorías informáticas dependiendo del
objetivo de las mismas, como auditorías forenses, técnicas, de
cumplimiento de normativas o de test de intrusión, entre otras.  Las
auditorías de seguridad pueden dividirse en: 
Auditorías internas y externas 
Dependiendo de quién realice la auditoría se denominan internas,
cuando son realizadas por personal de la propia empresa (aunque
pueden tener apoyo o asesoramiento externo) o externas, cuando
se realizan por empresas externas que son independientes de la
empresa. 
Auditorías técnicas 
Son aquellas auditorías cuyo objetivo se centra en una parte
concreta o acotada de un sistema informático. Entre estas auditorías
podemos encontrar las de cumplimiento de normativas que tienen
como objetivo verificar si algún estándar de seguridad se cumple
(como la validación de sistemas informatizados en la industria
regulada), o si las políticas y protocolos de seguridad se están
realizando de forma apropiada. 
Auditorías por objetivo 
Se trata de auditorías de seguridad técnicas que se diferencia según
el objetivo que persigan. Las más comunes son: 
 Sitios web. Son auditorías que tienen como objetivo evaluar la
seguridad de las páginas web y eCommerce para descubrir
posibles vulnerabilidades que pueden ser utilizadas por
terceros. 
 Forense. Son auditorías que se realizan tras haberse
producido un ataque o incidente de seguridad y que
persiguen descubrir las causas por las que se ha producido,
el alcance del mismo, por qué no se ha evitado, etc. 
 Redes. El objetivo es evaluar el funcionamiento y la seguridad
de las redes empresariales, como VPN, wifi, firewalls,
antivirus, etc. 
 Control de acceso. Son auditorías centradas en los controles
de acceso y que están vinculadas a dispositivos tecnológicos
físicos como cámaras de seguridad, mecanismos de
apertura de barreras y puertas y software específico para el
control de accesos. 
 Hacking ético. Son auditorías que se realizan para medir el
nivel de seguridad de una empresa realizando una
simulación de ataque externo (como si se tratase de un
ataque real) para evaluar los sistemas y medidas de
protección, identificando sus vulnerabilidades y debilidades. 
Qué fases contiene una auditoría de
seguridad informática 
Para realizar una auditoría de seguridad de una empresa de una
forma eficiente que permita obtener los mejores resultados y aplicar
mejoras que incremente en nivel de ciberseguridad, deben seguirse
una serie de fases: 
Objetivos y planificación 
En primer lugar, hay que fijar cuáles son los objetivos que se
persiguen con una auditoría de seguridad. No es lo mismo diseñar
una auditoría con el objetivo de validar una normativa de seguridad,
que una auditoría técnica para comprobar si la política de seguridad
se está cumpliendo. 
Una vez se han fijado los objetivos hay que realizar una
planificación de los pasos a seguir, de las herramientas a utilizar,
elaboración de un calendario de actuaciones, y de las áreas a
analizar para poder alcanzar esos objetivos. 
Recopilación de información 
En esta fase se recopiló toda la información posible para poder
evaluar el funcionamiento de los sistemas informáticos, tecnologías,
políticas y protocolos objetivos de la auditoría. Los principales
canales que se utilizarán para objetar esta información son: 
 Entrevistas con el personal de la empresa. 
 Revisión de documentación (políticas y protocolos). 
 Análisis de especificaciones de hardware y software. 
 Realizar test y utilizar herramientas para medir la seguridad de
los sistemas. 
Análisis de los datos 
Con toda la información y documentación recabada, así como el
resultado de los distintos test y pruebas realizadas se realizará un
análisis con el objetivo de encontrar fallos, vulnerabilidades y
debilidades en los sistemas. 
Realizar un informe de la auditoría 
La auditoría se cierra realizando un informe detallado de los
resultados obtenidos durante la fase de análisis. Estos resultados
deben presentar los problemas de seguridad encontrados,
proponiendo soluciones y recomendaciones sobre cómo
solventarlos. 
El informe de una auditoría de seguridad debe presentar de forma
clara y concisa el propósito y objetivo de la misma, los resultados
obtenidos y las medidas correctoras necesarias en ciberseguridad a
aplicar. 
Con el informe de la auditoría la gerencia de la empresa podrá
conocer cuál es el estado real de sus sistemas e infraestructura
informática, así como de sus políticas de seguridad, y podrá tomar
las decisiones oportunas para mejorarlas e incrementar su nivel de
seguridad. 
Las empresas que realicen una auditoría de seguridad
informática de forma periódica podrán evaluar el estado de su
ciberseguridad y detectar cualquier debilidad o vulnerabilidad que
ponga en riesgo sus sistemas e información. 
El informe de una auditoría de ciberseguridad incluirá las
actuaciones recomendadas a realizar por la empresa en cada uno
de los puntos críticos (con alto riesgo) que se han encontrado, para
poder eliminar el riesgo asociado. Con las auditorías de seguridad
se dispondrá de un sistema más seguro y ágil a la hora de
reaccionar ante cualquier amenaza externa o incidente interno en
materia de seguridad. 
Cómo hacer una auditoría informática de seguridad

Uno de los asuntos que más preocupa a las empresas hoy son las vulnerabilidades de sus
sistemas y los riesgos a los que se exponen por las mismas. Realizando una auditoría
de   seguridad informática, se identifican los principales puntos débiles en la
seguridad de los sistemas informáticos de la empresa, permitiendo tomar medidas para
eliminarlos, o al menos, minimizar las posibles consecuencias.

La auditoría informática es un concepto muy extendido entre todas las empresas de hoy
en día, da igual cuál sea su tamaño o sector. La gran dependencia de cualquier negocio de
sus sistemas informáticos y del acceso a internet para realizar sus procesos,
hacen necesaria la realización de auditorías informáticas periódicas para poder
garantizar la protección y seguridad de su información y sistemas. 

Qué es una auditoría informática


Una auditoría informática es un proceso de análisis sobre los recursos TI de una
empresa con el objetivo de evaluar su estado y el nivel de seguridad existente. En una
auditoría informática se identifican las vulnerabilidades que tiene una empresa y
los incumplimientos de las políticas de seguridad, con el objetivo de corregirlos e
incrementar el nivel de protección y seguridad de toda la organización.

El carácter preventivo de una auditoría informática permite evitar riesgos y


amortiguar las graves consecuencias de los mismos (incluso la interrupción de la actividad
de la empresa). Se trata de un proceso proactivo donde se analiza y actúa con el objetivo
de implementar cambios que incrementen la seguridad de los sistemas informáticos de la
empresa.

Una auditoría informática de seguridad puede realizarse de forma interna si la empresa


cuenta con el personal cualificado. Lo habitual, es contratar una empresa externa
especializada que pueda realizar este control y mejora, garantizando los mejores
resultados.
Ventajas de realizar una auditoría informática
Los principales beneficios que se obtienen al realizar una auditoría informática son:

 Optimiza los sistemas informáticos de la empresa.


 Elimina vulnerabilidades y reduce de forma notable los riesgos a los que se exponen los
sistemas informáticos.
 Permite actuar antes de que ocurra un incidente que vulnere la seguridad.
 Marca un camino claro de actuación en caso de sufrir un incidente de seguridad para
reducir su impacto.
 Actualiza y optimiza las políticas y procedimientos de seguridad informática.
 Evita multas o sanciones por incumplimientos de las leyes y normativas de protección de
datos española y europea.
 Otras ventajas: reducción de costes (mejor uso de los recursos), mejorar el flujo de
trabajo, permitir el teletrabajo seguro, proyección de una mejor imagen empresarial o
mejorar las relaciones y seguridad interna.

Cómo realizar una auditoría informática


A continuación, veremos las distintas fases que son necesarias para poder realizar una
auditoría informática de seguridad en una empresa.

Planificación inicial

El primer paso de una auditoría de seguridad es realizar un estudio de la situación


actual del negocio en relación con sus sistemas informáticos y la seguridad. Es
necesario realizar una fotografía inicial de todos los recursos TI y de las políticas de
seguridad que se siguen en el negocio. También se debe conocer la formación de los
trabajadores en relación con la seguridad y el nivel de cumplimiento en protección de datos.

Con esta información se pueden establecer los objetivos necesarios para planificar el


proceso de la auditoría y su tiempo de ejecución (conocer los recursos técnicos y
humanos necesarios para realizarla).
Análisis de riesgos y amenazas

El siguiente paso de la auditoría es el de realizar un análisis profundo y preciso de los


riesgos y amenazas a los que está expuesta la empresa. Es necesario identificar las
vulnerabilidades y el nivel de amenaza al que se encuentran expuestos, así como evaluar las
consecuencias de los mismos.

Los principales puntos que deben analizarse durante esta fase de la auditoría son.

 Análisis de seguridad de hardware, software  y red.


 Cumplimiento de las políticas y procedimientos de seguridad informática.
 Cumplimiento de las normativas en ciberseguridad y protección de datos.
 Análisis de la formación del personal en seguridad informática.
 Análisis de los protocolos de actuación en ciberseguridad.

Definir las soluciones necesarias

Realizando una clasificación de cada uno de los riesgos identificados en la fase anterior, y
teniendo en cuenta las consecuencias de los mismos, se deben proponer soluciones para
eliminarlos o mitigar sus consecuencias. Además, se debe establecer una prioridad de
implementación de los cambios para proceder primero con los de peores consecuencias
para la empresa.

En esta fase se definen las distintas medidas a tomar, el tiempo necesario para hacerlo, su
coste, etc. También se deben establecer o actualizar los protocolos a seguir frente a los
riesgos detectados para poder controlarlos, eliminarlos, asumirlos, o incluso compartirlos
con expertos externos ante la imposibilidad de afrontarlos.
Implantar los cambios necesarios

Una vez definidas las actuaciones a realizar para optimizar los sistemas informáticos de la
empresa para incrementar su nivel de seguridad, se deben implementar según el
calendario previamente definido.

Estos cambios pueden incluir modificaciones en las políticas de seguridad, impartir


formación específica al personal, instalación de software  de seguridad, actualización de
hardware obsoleto o inadecuado, implantar nuevas medidas de seguridad de red o adoptar
nuevas tecnologías, entre otras.

Monitorizar y evaluar los resultados

Finalmente, es necesario monitorizar todo el proceso para poder evaluar los resultados


y poder realizar modificaciones y ajustes si no se están alcanzando los objetivos. 

En esta fase también se debe establecer un sistema de control que permita detectar fallos y
garantizar que se siguen todos los protocolos y procedimientos de seguridad.

Una auditoría informática realizada a una empresa le permite conocer cuál es su


situación actual respecto a la ciberseguridad y a la protección de datos, definir una
línea de actuación para implementar los cambios necesarios e implementar las
modificaciones y actualizaciones necesarias para proteger sus sistemas informáticos.

Las auditorías de seguridad informática son una prioridad para las empresas en la


actualidad, donde hay una gran dependencia de la tecnología e internet en la mayoría de
los procesos de su negocio. 

Este tipo de auditorías no son procesos estáticos, sino tareas que se deben monitorear y
actualizar a lo largo del tiempo para poder garantizar siempre la mayor protección y
fomentar una filosofía de mejora continua en cuanto a seguridad informática y protección
de datos.

También podría gustarte