Unidad 1. Introducción a La Auditoría Informática

Auditora informtica Unidad 1. Introduccin a la auditora informtica

Ciencias Exactas, Ingeniera y Tecnologa Ingeniera en Telemtica

Ingeniera en Telemtica

Programa de la asignatura:

Auditora informtica

Unidad 1. Introduccin a la auditora informtica

Clave:

210941038

Universidad Abierta y a Distancia de Mxico


Ciencias Exactas, Ingeniera y Tecnologa Ingeniera en Telemtica 1

ndice

Unidad 1. Introduccin a la auditora ....................................................................................................................2

Presentacin de la unidad ..................................................................................................................................2

Propsitos .............................................................................................................................................................4

Competencia especfica .....................................................................................................................................4

1.1. Introduccin a la auditora ..........................................................................................................................5

1.1.1. Definicin y clasificacin de la auditora ...........................................................................................7

Actividad 1. Auditora ....................................................................................................................................... 13

1.1.2. Caractersticas ................................................................................................................................... 14

Actividad 2. Caractersticas de las auditoras .............................................................................................. 15

1.1.3. Uso de tcnicas asistidas por computadora .................................................................................. 15

1.1.4. Responsabilidad del auditor en el descubrimiento de errores y desviaciones ........................ 19

1.2. Normas internacionales y nacionales ................................................................................................ 22

1.2.1. Tipos de normas ........................................................................................................................... 27

1.2.2. Normas actuales ........................................................................................................................... 28

1.2.3. Normas emergentes ..................................................................................................................... 28

Actividad 3. Reporte de normas ..................................................................................................................... 29

1.2.4. Organismos reguladores ............................................................................................................. 29

Actividad 4. Tipos de auditora y distincin de normas ............................................................................... 30

Autoevaluacin .................................................................................................................................................. 31

Evidencia de aprendizaje. Clasificacin de casos ....................................................................................... 31

Autorreflexin .................................................................................................................................................... 32

Cierre de la unidad ........................................................................................................................................... 32

Para saber ms ................................................................................................................................................. 32

Fuentes de consulta ......................................................................................................................................... 33



Unidad 1. Introduccin a la auditora

Presentacin de la unidad

Hoy en da, la mayora de las organizaciones cuentan con recursos informticos, de redes y servicios

de comunicaciones para el almacenamiento, procesamiento y transmisin de la informacin (datos,

voz, video, etc.). Y dada la apresurada velocidad con que estas tecnologas van surgiendo, nos

comprometen a las reas de TIC (Tecnologas de la informacin y comunicacin) a realizar anlisis y

diseos cada vez ms improvisados que, sin un adecuado plan para que su funcionamiento sea el

mejor, se genera as, un factor crtico para el completo desempeo de todas las reas que involucran

las TIC.

Esta asignatura de Auditora informtica te ayudar a entender mejor, la necesidad de llevar un control

adecuado de la gestin y uso de los recursos por medio de la adecuada revisin y evaluacin de:

Usuarios: quienes distribuyen, procesan la informacin y hacen uso de los servicios de

explotacin final

Sealizacin y control: cuyo enfoque es el procesamiento y la distribucin de la informacin.

Redes y sistemas: administracin de todos los sistemas, infraestructura, servicios y la

interaccin con operadores de las redes de telecomunicaciones de la organizacin

Comisin digital de seales de Espaa. Consultado en: http://www.onthespot.com/file/Infografia__Digital_Signage.pdf



El alcance de esta asignatura en el contexto de la Ingeniera en Telemtica conlleva un matiz que

pretende visualizar ms all de aspectos relacionados a la Informtica ya que pretende conjuntar

tambin aspectos relacionados a las telecomunicaciones. Para su estudio se iniciar conociendo

aspectos generales de la auditora.

Por lo cual, en esta primera unidad, estudiars la introduccin a la auditora informtica, con subtemas

como: definicin, clasificacin, caractersticas, tcnicas asistidas por computadora, responsabilidad del

auditor en el descubrimiento de errores y desviaciones. Tambin aprenders sobre normas:

internacionales, nacionales, tipos, emergentes y lo referente a organismos reguladores.

Para completar satisfactoriamente la unidad, se recomienda realizar las actividades planteadas, la

evidencia de aprendizaje y autoevaluacin.



Propsitos

En esta Unidad:

Distinguirs la clasificacin de la auditora

Identificars las caractersticas de las

auditoras

Analizars los tipos de normas y normas

emergentes

Competencia especfica

Distinguir normas y tipos de auditora para identificar su aplicacin en las diferentes reas de la auditora informtica sealando las caractersticas y usos de cada una.



1.1. Introduccin a la auditora

En toda organizacin es de gran importancia la administracin de los recursos de todo tipo, por lo que,

en el departamento de informtica y telemtica sta debe ser una de las prioridades, darle el uso

adecuado a dichos recursos disponibles como lo son: la transmisin de datos, redes, redes de voz, de

video, personas, hardware en general, software, el tiempo y el presupuesto, entre otros. Con la

finalidad de producir una adecuada toma de decisiones para favorecer el logro de los objetivos de la

organizacin.

La informacin desde el punto de vista de la informtica se refiere al conjunto de datos ordenados,

relacionados entre s de acuerdo a cierta lgica, que aporta a la organizacin elementos necesarios

para el cumplimiento de sus metas. Hoy en da, es necesario el uso de un sistema de informacin

para procesar esos datos en informacin relevante en un tiempo apropiado para la toma de decisiones.

A esto se le denomina Procesamiento de datos, que adicionalmente tiene la funcin de distribuir la

informacin generada, asegurndose de que sta llegue a los usuarios apropiados.

Para lograr distribuir la informacin, se requieren redes, los cules se conforman de nodos (de acceso,

de ncleo, de servicios, de almacenamiento masivo y de base de datos), sistemas operativos,

software, etc. Por lo que, resulta necesario dirimir los riesgos intrnsecos de actividades informticas y

telemticas con la finalidad de cuidar en mayor medida toda la inversin realizada en la organizacin

con respecto a las TIC (Tecnologas de informacin y comunicacin).

Otro de los principales recursos son las personas, que apoyados por las TIC pueden atender servicios

que podran ser los siguientes:

Operativos: desarrollo o mantenimiento de sistemas, soporte tcnico, etc.

Tcticos: trabajos particulares para las decisiones de un jefe, entre otros

Funcionales: no estn directamente relacionados con las funciones del rea, sin embargo

aseguran que el personal trabaje adecuadamente, por ejemplo Recursos humanos o

Contabilidad

Atencin a proveedores: aseguran el apoyo al trabajo especializado

Estudio de necesidades y anlisis: es una actividad que puede realizar la direccin de

informtica

Los servicios anteriores pueden a su vez distribuirse de acuerdo a diversas condicionantes que cada

organizacin necesita, tomando en cuenta su tamao y su estructura. Por ejemplo observa las

siguientes estructuras:



Empresa pequea

Empresa mediana

En cualquier tipo de organizacin, se debe dejar bien establecido cmo debe fluir la comunicacin, las

funciones de cada rol, niveles de autoridad, acceso a la informacin, responsabilidades e

instrucciones.

El tiempo en toda organizacin es un recurso que debe monitorearse y gestionar las desviaciones

cuando estas ocurren, identificar las causas con la finalidad de atender de manera oportuna todos los

compromisos del rea de sistemas y de la organizacin en general.

Por ltimo, otro de los recursos que se debe gestionar es el presupuesto, ya que ser el motor que

dar vida a las actividades planeadas en el departamento de sistemas as como de la organizacin. Si

no se cuenta con un presupuesto realista, se estarn construyendo castillos sobre el hielo, es decir,

ninguna tarea podr ejecutarse como lo esperado, es por ello que se deben realizar planes adecuados,

para poder estimar un presupuesto acorde a las necesidades para el logro de las metas del

departamento y por lo tanto, de la organizacin.

Jefe de informtica

Analistas / programadores

Operadores

Director de informtica

Jefe de Infraestructura

Redes Soporte

Jefe de Sistemas

Base de datos Operadores

Jefe de Desarrollo

Analistas Programadores



Dado lo anterior, es obligatorio tener un adecuado control, para que de manera constante se est

revisando el modo en que se operan los procesos y tener la seguridad de que estos son adecuados o

que se pueden mejorar. Las auditorias forman parte de estos controles que permiten hacer un sondeo

de la realidad as como la medicin de indicadores para monitorear la gestin informtica y sus

procesos.

Hoy en da no es posible una efectiva gestin organizacional sin el beneficio de las herramientas y

procedimientos de control adecuados. Las auditoras convencionales aplicadas a lo contable y

financiero, ahora tambin se tienen que completar con las auditoras informticas y de infraestructura,

con el fin de evitar errores inadvertidos que afecten la inversin de la organizacin.

Por otra parte, debido a que las organizaciones cada vez ms, buscan mantenerse en un nivel de

competitividad y posicionamiento internacional, es necesario demostrar que sus procesos pueden

soportar los rigurosos estndares internacionales, tales como normas de calidad por ejemplo la ISO

(International Organization for Standardization) metodologas orientadas a la bsqueda del cero error

como lo es: 6 - Sigma y especficamente para el rea de desarrollo los modelos de CMMI (Capability

Maturity Model Integration) o PSP (Personal Software Process). Para el rea de soporte e

infraestructura ITIL (Information Technology Infrastructure Library) o bien para el rea de redes el

modelo de Cisco Systems. En estos casos no basta con realizar auditoras internas, por el contrario,

ser necesario que reguladores externos deban validar cmo se desarrolla el trabajo en la

organizacin para poder dar crdito de que se sigue algn modelo o estndar internacional y que

adems se realiza correctamente. Para conocer ms sobre una de las maneras de monitorear

nuestros procesos, en el siguiente subtema vers en qu consiste la auditora as como los tipos que

existen.

1.1.1. Definicin y clasificacin de la auditora

Para toda organizacin es importante llevar un control interno de cmo se estn realizando las cosas,

que le permita tomar medidas correctivas de los procesos que no funcionan adecuadamente, por lo

que es necesario analizar lo que se debe revisar, asesorar a todos los involucrados e informar

oportuna y objetivamente los resultados. A todas estas actividades las llamamos auditora. Una

definicin ms formal podra ser como la siguiente

Segn Muoz (2002), expresa que:

La auditora es la revisin independiente que realiza un auditor

profesional, aplicando tcnicas, mtodos y procedimientos

especializados, a fin de evaluar el cumplimiento de las funciones,

actividades, tareas y procedimientos de una entidad administrativa,

as como dictaminar sobre el resultado de dicha evaluacin. (p. 34)



Como puedes observar, en la definicin se dice que es una revisin independiente, significa que el

auditor debe poseer independencia mental, profesional y laboral del rea que evaluar, lo que le

permitir tener un desempeo competente y confiable. La auditora es una actividad especializada que

solo podr ser ejecutada por auditores capacitados que adems cuenten con la experiencia necesaria

para realizar este tipo de trabajo de manera profesional. Otros puntos importantes de la definicin son

que las auditoras son procesos bien definidos y especializados, se aplican tcnicas y se basan en

algn mtodo de evaluacin.

El fin de aplicar una auditora es para evaluar el cumplimiento en funciones, actividades tareas y

procedimientos, para lo cual el auditor utiliza sus conocimientos y herramientas especializadas, para

llegar a producir un informe de resultados, en el que plasmar su opinin sobre las desviaciones y

observaciones detectadas para que los involucrados conozcan el estado del rea auditada.

Hoy en da existen muchas empresas que se dedican a dar servicios de auditora, quienes cuentan

con personal calificado para cada tipo de auditora y de esta manera garantizar que tienen la facultad

de poder emitir recomendaciones que realmente aporten mejoras sustantivas a la organizacin.

Otra definicin de auditora informtica es la siguiente:

Segn Piattini y Del peso (2001). dicen que:

Toda y cualquier auditora, es la actividad consistente en la

emisin de una opinin profesional sobre si el objeto sometido a

anlisis presenta adecuadamente la realidad que pretende

reflejar y/o cumple las condiciones que le han sido prescritas.

(p.4)

Observa que este concepto se destacan los siguientes elementos principales:

1. La opinin de un profesional

2. El objeto de anlisis

3. Finalidad

De la misma manera Piattini resalta la importancia de que el auditor sea un especialista en el tema,

para que pueda tener la capacidad de juicio y de recomendar las soluciones necesarias. El objeto de

anlisis que tiene que ver con el contenido a evaluar, el soporte y la evidencia que sern el caso de

evaluacin. Y por ltimo la finalidad de lo que se analiza que se est realizando contra lo que se

pretende reflejar. Por ejemplo al evaluar un proceso, el auditor lo cotejar con los procesos

previamente escritos por la organizacin, para evaluar si en realidad se llevan a cabo tal y como se

redact y ms an, si es una manera ptima de realizarlo.



Tomando en consideracin el objeto de anlisis, se desprenden muchos tipos de auditoras por

ejemplo:

Financiera: evala la veracidad de los estados financieros

Operacional: examina la eficiencia, eficacia y economa de los mtodos y procedimientos de la

organizacin

Fiscal: orientada a monitorear el cumplimiento de leyes y normas fiscales

Medio ambiental: orientada a la conservacin y preservacin de la calidad medioambiental

Calidad: evala mtodos, mediciones y controles de los bienes y servicios

Informtica, en redes y telecomunicaciones: conjunto de herramientas y procedimientos de

gestin, para el anlisis y control de los sistemas de informacin, de redes y de

telecomunicaciones.

Siendo el ltimo punto, el objeto de anlisis en que se centra nuestra asignatura, poco a poco

conocers ms del enfoque de auditora informtica, de redes y telecomunicaciones, conforme vayas

avanzando el contenido y realizando las actividades, preparadas para tal fin.

Hay otras consideraciones que pueden categorizar a las auditoras por ejemplo, considerando el

origen del auditor se pueden organizar como:

Internas: se refiere a las que el auditor pertenece a la misma organizacin, son tiles para

garantizar que las operaciones se desarrollan de acuerdo a la poltica general de la entidad,

evaluando la eficacia y proponiendo soluciones a problemas detectados. Cuando se termina la

auditora se emite un informe para la direccin de los resultados obtenidos.

Externas: cuando se contrata a una empresa para aplicar la auditora y por lo tanto el auditor es

ajeno a la organizacin, aportando mayor objetividad a los resultados. En algunas ocasiones la

auditora externa obedece a la parte de legal del proceso, ya sea porque se va a obtener alguna

certificacin o por algn trmite con el gobierno.

Auditoria informtica

Particularmente dentro del rea de Informtica se puede organizar los tipos de auditora considerando

tambin el objeto de anlisis que hacen referencia a las actividades especficas de la propia actividad

informtica. Observa la siguiente clasificacin que propone (Piattini et al.,2008, pp. 243-671).



Explotacin

Clasificacin

Sistemas de tipos de auditoras

Comunicaciones y redes

de las TIC

Desarrollo y mantenimiento

de sistemas

Seguridad

Outsourcing

Direccin informtica

Video vigilancia

Datos personales



- Auditora de explotacin: se enfoca a la generacin de: listados, archivos electrnicos,

ejecucin de procedimientos automatizados. Estos se evalan por controles de calidad antes

de ser liberados al cliente o usuario. Auditar la explotacin consiste en auditar secciones que la

componen y sus interrelaciones, por ejemplo los siguientes:

o Entrada de datos

o Planificacin y recepcin de aplicaciones

o Control y seguimiento de trabajos

o Operaciones de centros de cmputos

o Control de la red

o Centros de diagnosis (Help-desk)

- Auditora de sistemas: analiza la tcnica de sistemas en todas sus facetas

o Sistemas operativos

o Software de aplicaciones

o Software de teleproceso

o Tunning o tcnicas de observacin para evaluar subsistemas que tienen un deterioro en

su comportamiento y se realizan de manera peridica

o Tcnicas de sistemas

o Administracin de base de datos

o Investigacin y desarrollo

- Auditora de comunicaciones y redes: se refiere al soporte fsico-lgico de la informtica en

tiempo real. Principios y derechos de proteccin de datos en Internet

- Auditora de desarrollo y mantenimiento de sistemas: engloba varias fases para elaborar

cada proyecto. como las siguientes:

o Prerrequisitos

o Anlisis y diseo

o Programacin

o Pruebas

o Entrega

- Auditora de seguridad: abarca los conceptos de seguridad fsica y lgica

o Seguridad fsica: se refiere a la proteccin de Hardware, edificios, instalaciones, que

son el soporte de los datos albergndolos

o Seguridad lgica: se refiere a la seguridad de uso del software, proteccin de datos,

programas, modelos, as como los niveles de acceso de los usuarios a la informacin.

Para ambas auditoras se deben utilizar herramientas para el monitoreo de IP, filtro de

paquetes, firewall, test de penetracin, entre otras. Apoyndose de alguna normatividad como

OSSTMM (Open Source Security Testing Methodolgy Manual), ISSAF (Information System

Security Assessment Frameworks) o ISO 27001 (Estndar para la seguridad de informacin),

etc.



OSSTMM: Consultado en: http://www.automatedtestinginstitute.com/home/index.php?option=com_content&view=article&catid=52:testcat&id=1077:osstmm-open-source-security-testing-methodology-manual

ISO 27001. Consultado en:

http://www.actualizegroup.com/calidad/

Por ejemplo, una prueba de penetracin consistira en lo siguiente:

1. Etapa de reconocimiento: recopilar informacin sobre el sistema objetivo

2. Exploits: la seleccin del rea objetivo

3. Ya que se realiz el ataque, se analiza el impacto y la generacin de nuevas acciones

4. Documentacin: para reflejar el trabajo completo por parte del pentester (persona de pruebas

de penetracin)

Existen algunos mtodos para aplicar este tipo de pruebas, por ejemplo:

Blackbox: en este no se conoce ningn tipo de informacin del sistema objetivo.

Whitebox: se cuenta con informacin sobre el sistema objetivo (cdigo fuente,

configuraciones, etc.)

Para realizar los exploits, existen mltiples herramientas, incluso las gratuitas como lo es el Metasploit, entre otros. (Catoira, 2013, pp.19-27)

- Auditora de Outsoursing: por medio de un contrato se fija la prestacin de un conjunto de

servicios tecnolgicos y se constata la existencia de un cliente que requiere de los servicios

que sern otorgados a travs de un proveedor

- Auditora de la direccin de informtica: como mxima autoridad en el plano de tecnologas

de la informacin, debe auditarse, ya que de l depende que los procesos se autoricen y se

lleven a cabo

- Auditora de videovigilancia: Existen normas que regulan el uso de la imagen y sonido que

se captan por la videovigilancia y que deben ser auditadas para evitar invadir el derecho de los

individuos del adecuado manejo de sus datos personales

- Auditora de los datos de carcter personal: de acuerdo a la normatividad de Proteccin de

Datos de Carcter Personal, es una exigencia planear una auditora para verificar el

cumplimiento de este reglamento e instrucciones vigentes en materia de seguridad de datos, al

menos cada dos aos



En este tema se te present un tipo de clasificacin de auditora informtica, sin embargo sta puede

tener variaciones pues la categorizacin de las auditoras depende su especializacin segn el objeto,

origen, tcnicas, mtodos, etc., que se realicen.

Actividad 1. Auditora

Bienvenido(a) a la primer actividad de la Unidad!

El propsito de esta actividad es que identifiques la clasificacin de auditora.

1. En un documento de texto elabora un reporte en el cual investigues al menos 5 casos en

los que clasifiques las diferentes auditoras justificando el porqu de tu respuesta. Todos los

casos deben estar sintetizados y referenciados.

2. Para cada caso, registra el tipo de auditora, empresa auditada, los puntos de la auditora,

fortalezas, debilidades, resultado (calificacin y/o dictamen), es importante hagas uso de

referencias bibliogrficas o electrnicas con el modelo APA.

3. Guarda tu actividad en un archivo con el nombre KAIF_U1_A1_XXYZ y envalo para su

revisin.

*Revisa los criterios de evaluacin para esta actividad



1.1.2. Caractersticas

El proceso de la auditora informtica se caracteriza por ser:

1. Objetiva

Porque los auditores internos no se deben involucrar con el rea auditada. Deben ser imparciales y neutrales.

2. Sistemtica

La auditora debe ser un proceso bien organizado, el trabajo deber planificarse apropiadamente, ser supervisado, se estudiar y evaluar el sistema obteniendo la evidencia necesaria.

3.Profesional

Porque se espera que el auditor sea un experto en el objeto de anlisis y con un amplio criterio para evaluar y emitir resultados

4. Selectiva

Toma una muestra representativa del total de la poblacin auditable.

5. Imparcial

Los juicios y recomendaciones del auditor estn basadas de manera objetiva en hechos y cuente con la evidencia suficiente para demostrar su imparcialidad

6. Integral

La auditora debe contar con un esquema detallado del trabajo a realizar y los procedimientos a emplearse durante la fase de ejecucin, para identificar su extensin, as como el trabajo que ha de ser elaborado.

7. Recurrente

Se aplican en auditoras anteriores, donde se obtuvo un resultado de deficiente o malo, para evaluar los planes de mejora si funcionaron bien o no. (Muoz, 2002, p. 34-35)



Otras caractersticas agrupadas por el tipo de auditora son:

Auditora interna Auditora externa

El auditor es parte de la organizacin. El auditor no tiene relacin con la organizacin.

La relacin con la organizacin podra influir en el

juicio y por lo tanto en los resultados de la

evaluacin.

Su revisin y resultados de la evaluacin, esta

libre de influencias.

El informe de resultados tiene impacto solo de

manera interna.

Se realizan por empresas de auditores.

Las recomendaciones son para establecer

mejoras.

Es ms objetiva la auditora.

Se puede calendarizar dentro del plan anual. Los resultados arrojarn un dictamen para

aprobar una certificacin o proceso legal.

Los auditados adoptan a la auditora como parte

de sus funciones.

Caractersticas de Auditoras internas y externas. (Piattini y Del peso, 2001, pp. 416 y 569)

Actividad 2. Caractersticas de las auditoras

Mediante esta actividad podrs identificar las caractersticas de los diferentes tipos de

auditoras.

1. Crea un archivo y elabora un organizador grfico, indicado por tu Facilitador(a) en

el que destaques las caractersticas de las auditoras en general y las

caractersticas de auditoras internas y externas.

2. Guarda tu archivo con el nombre KAIF_U1_A2_XXYZ y sbelo a la plataforma.

*Revisa los criterios de evaluacin.

1.1.3. Uso de tcnicas asistidas por computadora

En la auditora informtica se utilizan mltiples herramientas y tcnicas para hacer una adecuada

revisin y recopilacin de evidencias sobre el funcionamiento de los sistemas de informacin y de

cmputo. El auditor debe ser un especialista en el rea de sistemas y ms an, saber utilizar las

tecnologas de la informacin (TI) a su favor, para examinar con mayor eficiencia todos los aspectos de

la actividad computacional.



El uso de las Tcnicas de Auditora Asistidas por Computadora por sus siglas en ingls Computer

Audit Assisted Techniques (CAATs) provee al auditor una gran variedad de herramientas para facilitar

sus procedimientos, mejorndolos y ampliando las opciones de aplicacin.

A continuacin se analizarn algunos mecanismos que se utilizan ms comnmente, segn Muoz

(2002).

Guas de evaluacin: son herramientas formales, en la que se anotan todos los asuntos que sern

evaluados durante la auditora. En este instrumento se indican todos los puntos, aspectos concretos y

reas que sern evaluadas, as como tcnicas, herramientas y procedimientos necesarios para la

auditora. Tambin se registran la tcnica o mtodo que se emplear para la evaluacin; la

ponderacin o peso por cada elemento revisado. Por medio de este documento el auditor puede

revisar paso a paso todos los procedimientos para evaluar y calificar cada elemento planeado. Por

ejemplo observa la Tabla 2. Gua de auditora.

Gua de auditora



A continuacin se explica su contenido:

Encabezado: contiene logotipo y nombre de la empresa que realiza la auditora. Nombre de la

empresa y rea que se auditar. Fecha de inicio. Hoja de inicio y de fin del documento de Gua

Columnas

Referencia (Ref.): Alguna clave o consecutivo que nos indique lo que se revisa y su secuencia

Actividad que ser evaluada: especificar los puntos que se evaluarn, estos pueden ser

actividades, funciones, procesos, etc.

Procedimientos de auditora: describir las instrucciones para evaluar cada actividad de la

columna anterior

Herramientas que sern utilizadas: explicar que herramientas, tcnicas o recursos se

necesitarn para aplicar la evaluacin

Observaciones: seccin para clarificar o completar cada punto evaluado

Ponderacin: ayuda al auditor a darle un peso a cada elemento que se evaluar para darle relevancia

a los elementos que as lo requieran o restar importancia a elementos menos significativos.

Factores Peso por factor

%

Calificacin Puntos obtenidos

1. Polticas del centro de cmputo 10 1 10

2. Proceso de prstamo de equipo 20 .6 12

3. Funciones y actividades de laboratoristas 20 .85 17

4. Bitcoras de uso de centros de cmputo 25 .80 20

5. Buzn de sugerencias 10 1 10

6. Mantenimiento 15 1 15

100% 84

Tabla de ponderaciones de auditora

Para llenar la tabla de ponderacin primeramente se eligen los factores o elementos que se quieren

evaluar y se asigna un peso por factor. Ambos elementos son distintos en cada auditora, ya que cada

empresa tiene su entorno propio y por lo tanto indicadores particulares. La suma de los pesos debe

dar 100%. En la columna de puntos obtenidos se multiplica la columna (peso por factor) por la

columna (calificacin). La calificacin se basa en los siguientes criterios:

Excelente 1.00

Bueno 0.80

Regular 0.60

Deficiente 0.40

Psimo 0.20

* Los criterios solo se brindan como ejemplo, se pueden definir de manera diferente de acuerdo a las

necesidades o estrategias de la auditora.



En general esta tcnica puede hacerse con todo el detalle que se requiera por ejemplo incluir sub

factores y obtener calificaciones por sub factor, por factor o el total. En este caso las herramientas

automatizadas facilitarn el proceso de clculos dando mayor exactitud y evitando errores.

Modelos de simulacin: estas herramientas son parte del desarrollo de sistemas, muchos analistas

las utilizan para simular sistemas y comprobar o descartar su utilidad. Les permite crear un ambiente

anlogo al de un nuevo sistema y con base a modelos conceptuales determinar su alcance y

condiciones y comportamiento del futuro sistema. Estos modelos ayudan a los integrantes del equipo

a entender mejor las caractersticas del nuevo sistema antes de su construccin.

Para el caso del auditor, estos modelos le servirn para evaluar la estructura del sistema, por ejemplo,

se le permite el acceso al diseo de una base de datos o inclusive un respaldo de la base de datos

real, para que pueda realizar las pruebas necesarias para comprobar su funcionamiento y condiciones.

Lo mismo pasara con el sistema completo o el de una red, desde un modelo conceptual basado en

diagramas, un prototipo o cuenta ficticia para que el auditor pueda recrear el comportamiento, proceso,

tcnica, factor o elemento que est auditando. Algunos ejemplos que pueden utilizar para simular

diferentes aspectos de un sistema:

Modelos de planeacin y control de proyectos: Gantt, Project, grficos de lneas de tiempo, etc.

Modelos de flujos de datos: diagramas de flujos, entidad relacin, HIPO, UML

Modelos administrativos: organigramas, mtodos y procedimientos, planos

Modelos estadsticos: grficas de Pie, horizontales, verticales, circulares, etc.

Otros: grficas de pantalla, planes, imgenes, procesamiento de datos ficticios

Modelos de desarrollo: ciclos de vida

Para cualquier tipo de evaluacin el auditor debe contar con las herramientas en las que pueda

reproducir el objeto de anlisis.

Lista de verificacin: esta herramienta es una de las ms sencillas de utilizar, consiste en realizar un

listado ordenado de los aspectos que se tienen que revisar y su objetivo es nicamente evaluar su

cumplimiento con una palomita ( ) o su no cumplimiento con una equis ( ). Observa el

siguiente ejemplo.

Lista de verificacin del funcionamiento y recursos de la red

Criterios para evaluar Cumple

La instalacin es flexible y adaptable.

El inventario de componentes de la red esta actualizado.

En las bitcoras de software est registrado todo el

software con sus respectivos nmeros de licencia.

Los recursos de la red se comparten apropiadamente

dado el rol de cada usuario

Estn registrados los niveles de acceso y seguridad a la

red.

Lista de verificacin



Programas para revisin por computadora: estas herramientas le permiten al auditor revisar, desde

la misma computadora y con un software especfico, el funcionamiento de un sistema, de una base de

datos, alguna aplicacin o sitio web.

Con esta herramienta analizar el comportamiento de los elementos que evala, as como el

desempeo, errores, requerimientos de hardware, software y otros aspectos tcnicos.

Elemento de diagnstico Herramientas

PC PC 2010 HWMonitor,

WinSAT, SpeedFan, Abra

HW Monitor, HWiNFO32,

Hmonitor, 3DMark,

MonitorTest

Red Netstat, nmap, Sniffers,

NetWatch, WinTools,

NetStat, Local info, Network

scanner, Service & port

scanner, TCP/IP workshop,

SNMP Browser

Aplicaciones HP APM, appDynamics,

ManageEngine

Herramientas de diagnstico

En la tabla anterior se muestra solo algunos de los ejemplos de programas ya desarrollados que estn

disponibles para el auditor. (Muoz, 2002, pp. 478-555).

1.1.4. Responsabilidad del auditor en el descubrimiento de errores y

desviaciones

La principal responsabilidad del auditor es, entregar un informe de resultados, en el que se

encontrarn los hallazgos de las desviaciones ms importantes, debe reportar sus causas y posibles

soluciones. Y en base a estas desviaciones redactar su informe final con base al anlisis de estas

desviaciones junto con el dictamen de la auditora. Observa el siguiente registro de desviaciones:



Empresa rea auditada Da Mes Ao

Desviaciones Causas Solucin

Elabor (Nombre y firma) Aprob (Nombre y firma)

Registro de hallazgos. (Muoz, 2002, p.252)

Los siguientes son principios que los auditores deben mantener en todo el proceso de auditora desde

su inicio hasta la entrega de resultados.

El principio de beneficio del auditado. Se refiera a que el auditor debe adquirir una

apropiacin del sistema que auditar, esta adaptacin le implica un compromiso por probar en

su mxima eficacia los medios informticos evaluables. Con la finalidad de poder recomendar,

proponer o incitar actuaciones para evitar gastos innecesarios o desproporcionados.

El principio de calidad. El auditor deber prestar servicios con los medios a su alcance, tener

la

libertad de utilizacin de los mismos y condiciones tcnicas adecuadas.

El principio de capacidad. El auditor debe ser un especialista en auditoras, el grado de

especializacin de sus clientes le exige estar al nivel para mantener el grado de confianza y

evitar de esta forma su obsolescencia y prdida de competitividad.

El principio de cautela. Todas las afirmaciones del auditor deben estar debidamente

fundamentadas y basadas en la experiencia adquirida, evitando que el auditado se embarque

en proyectos con argumentos dbiles.

El principio de comportamiento profesional. En todo momento el auditor deber evitar

juicios exagerados o que atemoricen innecesariamente, por el contrario, debe transmitir ideas

precisas, exactas y objetivas que lo respalden e infundan confianza en sus clientes.



El principio de concentracin en el trabajo. La carga de trabajo del auditor deber planearse

adecuadamente, evitando que haya una sobresaturacin provocando una baja concentracin y

precisin en las tareas asignadas, ya que esto podr provocar conclusiones imprecisas.

El principio de confianza. Por medio de un comportamiento profesional y evitando

presunciones, el auditor debe fomentar la confianza en su cliente para evitar restar credibilidad

a los resultados obtenidos.

El principio de criterio propio. La autoridad del auditor le permitir actuar bajo un criterio

propio sin la influencia de colegas que puedan desvirtuar la resolucin.

El principio de discrecin. Forma parte de la responsabilidad del auditor identificar el nivel de

restriccin de los datos que le han sido proporcionados para la auditora. Aquellos datos con

una amplia restriccin deber proteger su divulgacin. As mismo liberar los resultados

nicamente con el personal involucrado en la auditora.

El principio de economa. Se refiere a que las acciones del auditor debern proteger la

economa de su cliente, evitando generar gastos innecesarios en el ejercicio de su actividad.

El principio de independencia. El auditor debe exigir una total autnoma e independencia en

su trabajo respecto a la empresa en la que deba realizar la auditoria informtica.

El principio de informacin suficiente. Obliga al auditor a registrar en forma clara, precisa e

inteligible la informacin para el auditado.

El principio de integridad moral. El auditor debe ser honesto, leal y diligente en el

desempeo de su misin, a ajustarse a las normas morales y a evitar participar en actos de

corrupcin personal o con terceras personas.

El principio de legibilidad. El auditor deber facilitar la legibilidad de sus informes evitando

utilizar sus conocimientos demasiado especializados y poco claros.

El principio de libre competencia. Se exige que el ejercicio de la profesin se realice dentro

de un marco de libre competencia.

El principio de no discriminacin. Es responsabilidad del auditor evitar situaciones

discriminatorias de cualquier tipo.

El principio de no injerencia. Evitar la influencia de otros profesionistas, respetar su trabajo y

evitar hacer comentarios despreciativos de la misma.

El principio de precisin. Hacer las revisiones necesarias antes de entregar un informe al

cliente para verificar que los valores son precisos y si es necesario volver a auditar o probar

algn elemento, deber hacerse.



El principio de publicidad adecuada. Supervisar la oferta y promocin de los servicios de

auditora a las caractersticas y finalidad perseguidas, evitando falsas difusiones de promocin

con el objeto de engaar a los usuarios.

El principio de secreto profesional. El auditor deber evitar difundir datos propiedad del

auditado, que pudieran perjudicarlo.

El principio de veracidad. Fundamentar la veracidad del trabajo realizado y en general, de sus

manifestaciones dentro de los lmites de respeto y secreto profesional (Piattini y Del peso,

2001, pp. 151 y 177).

1.2. Normas internacionales y nacionales

A nivel Internacional, existen organismos que regulan la Auditora de Sistemas de informacin por

ejemplo para el rea contable con enfoque a sistemas de informacin son los siguientes:

ISACA (COBIT)

COSO

AICPA (SAS)

IFAC (NIA)

SAC

MAGERIT

EDP

SAP



ISACA: Tomado de: http://www.isaca.org/SiteCollectionImages/Isaca-Security-infographic.jpg

ISACA-COBIT. Es la asociacin lder en Auditoras de sistemas. Su sitio oficial (Information Systems

Audit and Control Association, 2014). Este organismo propone el mtodo COBIT (Control Objetives for

Information and related Technology) para auditores, administradores y usuarios de sistemas de

informacin para el control de sus operaciones cumpliendo con las leyes y regulaciones.

Sitio de ISACA:

http://www.isaca.org/

COSO: Committee of Sponsoring Organizations of the Treadway Commission Internal Control

Integrated Framework (COSO). Ofrece una gua para contadores sobre la gestin de evaluar, informar

e implementar sistemas de control.



Sitio de COSO:

http://www.coso.org/

AICPA-SAS: The American Institute of Certified Public Accountants' Consideration of the Internal

Control Structure in a Financial Statement Audit. Es una gua de auditora externa sobre el control

interno, planeacin y ejecucin de una auditora de estados financieros.

Sitio AICPA: http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-GroupAudits.aspx

IFAC-NIA: Federacin Internacional de Contables IFAC (International Federation of Accountants,

2014). La seccin NIA 15 tiene su enfoque a la auditora de entornos informatizados, la NIA 16 son

Tcnicas de Auditora asistida por computador. NIA 20 presenta los efectos de un entorno

informatizado en la evaluacin de sistemas de informacin contable.

Sitio IFAC: http://www.ifac.org/es

SAC: The Institute of Internal Auditors Research Foundations Systems Auditability and Control. Ofrece

un estndar y controles para auditoras internas de sistemas de informacin y tecnologa.

El modelo SAC fue creado como un control interno de COSO. Est disponible en diferentes lenguajes

para administradores y auditores. Permite la discusin de objetivos, riesgos, mitigacin en el contexto

de e-bussines. Tiene el propsito de enfocarse en cmo los riesgos del negocio pueden ser cubiertos



en la discusin y la implementacin.

SAC MODEL. Tomado de http://www.netcentrum.nl/auditweb/13.pdf

MAGERIT: Metodologa de Anlisis y GEstin de Riesgos de los sistemas de Informacin. Es el

consejo superior del ministerio de administraciones pblicas de Espaa. Tiene una orientacin hacia el

control de riesgo que afectan los sistemas de informacin y su entorno.

MAGERIT es la metodologa de anlisis y gestin de riesgos, est directamente relacionada con la

generalizacin del uso de las tecnologas de la informacin, ya que esto presupone beneficios

evidentes para los ciudadanos y a la vez da lugar a riesgos que deben controlarse con las medidas de

seguridad apropiadas.



MAGERIT: ISO 31000 - Marco de trabajo para la gestin de riesgos. Tomado de

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Uu_xLv30sZI

Sitios MAGERIT Unin europea de agencias para redes y seguridad de la informacin: http://rm-inv.enisa.europa.eu/methods/m_magerit.html ccn-cert: https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-version-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es

EDP: Fundacin de auditores EDP. Tiene un enfoque educativo y de investigacin sobre los

estndares para la auditora de los sistemas de informacin y cdigos de tica. Los orgenes de la

Asociacin de auditora y control de sistemas de informacin (ISACA) comenz en 1967 con un

pequeo grupo de personas con trabajos de auditora en sistemas computacionales. En 1969. Se

formaliz trabajando con el nombre de EDP (Asociacin de auditores de procesamiento electrnico de

datos) En 1976, formaron una fundacin para llevar a cabo proyectos de investigacin a gran escala y

a expandir los conocimientos en el campo de gobernabilidad y control de TI.

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit

Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, propone la importancia del

uso de CAAT en auditoras para un ambiente de sistemas de informacin por computadora. Adems

tiene una gua de procedimientos de auditora para procesar datos significativos del sistema de

informacin. Por ejemplo los siguientes:



1. Pruebas de transacciones y balances

2. Procedimientos de anlisis de inconsistencias o fluctuaciones significativas

3. Pruebas de controles, como: configuraciones de sistemas operativos, procedimientos de

acceso al sistema, comparacin de cdigos y generacin de versiones.

4. Programas de muestreo para extraer datos

5. Pruebas de control para aplicaciones

6. Realizacin de clculos especiales para comparacin de datos

El software de auditora consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propsito, programas de utilera o programas de administracin del sistema. Independientemente de la fuente de los programas, el auditor deber verificar su validez para fines de auditora antes de su uso.

Flujo de un CAAT. Tomado de http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-

legislativo/ch03s04.html

1.2.1. Tipos de normas

Normas de tipo profesional: se refiere a que el auditor debe mantener un apego a las normas de

evaluacin, emitir una opinin bien respaldada, ser disciplinado, guardar el secreto profesional,

responsable, independiente, capacitado y emitir dictmenes de las auditoras.

Normas de tipo social: el auditor, al igual que cada ciudadano, convive en una sociedad a la que

tambin proporciona sus servicios. En la sociedad existen derechos y obligaciones, escritas y no

escritas y de alguna manera respetadas por los integrantes de la sociedad. Comenzando por respetar

las leyes y reglamentos de las autoridades. Deber evitar los anti patrones de comportamiento como

son los sobornos o recompensas ilegales y en general comportarse de manera leal con sus clientes, lo

cual, le ayudar a fundamenta adecuadamente sus relacin entre colegas y empresas de la sociedad.



Normas de tipo tico-moral: se refieren a su conducta como profesional como las siguientes:

- Ser incorruptible

- Ser imparcial

- Juicio tico y moral

- Aceptar y hacer cumplir las normas morales y ticas (Muoz, 2002, pp. 88 - 94)

1.2.2. Normas actuales

Normas Tcnicas de Auditora (NTA): estn orientadas a los auditores de cuentas, con la finalidad que

se pueda expresar una opinin tcnica responsable. Se clasifican en generales, sobre ejecucin y

sobre informes.

COBIT (Objetivos de control para tecnologas de informacin y tecnologas relacionadas)

Es una herramienta de gobierno de Tecnologas de la informacin (TI) que produce un cambio en la

forma en que trabajan los profesionales de TI. Se aplica a los sistemas de informacin de la empresa,

computadoras personales, servidores y la red. Su filosofa consiste en la gestin de los recursos de TI

por medio de un conjunto de procesos que al ejecutarse producen informacin pertinente y confiable.

Su objetivo es que estos procesos formen parte de la actividad diaria de la empresa en el uso de las

tecnologas de informacin. Sus principales caractersticas son:

Est orientado a la lgica del negocio

Tiene estndares y regulaciones prcticas

Basado en una revisin crtica y analtica de las tareas y actividades en TI

Soporta otros estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

COBIT tiene tres niveles:

I. Dominios. reas agrupadas por alguna responsabilidad organizacional

II. Procesos. Conjunto de pasos gestionadas con indicadores de control

III. Actividades: Las acciones para el logro de metas que arrojan un resultado medible

1.2.3. Normas emergentes

Como Normas emergentes NE, se denomina a las que por alguna situacin de emergencia deben ser

expedidas. El problema que se ha enfrentado en este tipo de normas es que no est claramente

definido el trmino emergencia, pues existen casos en los que se les ponga este ttulo a situaciones

que no son una norma, con el pretexto de emergencia sin estar debidamente justificado. Las NE tienen

una vigencia de 6 meses podrn ser expedidas 2 veces consecutivas, pero antes de la segunda

expedicin deber presentarse una Manifestacin de impacto regulatorio (MIR). Transcurrido estos

plazos la norma pierde vigencia y deja de ser obligatoria. Por ejemplo los siguientes casos:



IEEE

Instituto de Ingenieros Elctricos y Electrnicos su enfoque principalmente es para evaluar las

tecnologas emergentes en las reas de ingeniera; Por ejemplo para los fabricantes de redes

se form un comit IEEE 802 el cual se relaciona con el ISO (Organizacin Internacional de

Estndares).

ISO/IEC 17799 o 27002 Son estndares para implantar seguridad. Uno de sus enfoques es el

de la revisin independiente de la seguridad de la informacin.

Actividad 3. Reporte de normas

Mediante esta actividad podrs analizar las normas actuales y las emergentes por medio de

ejemplos.

1. Crea un documento de texto y elabora un reporte en el que presentes por lo

menos dos casos diferentes; uno en el que muestres el uso de las normas

actuales y otro de las normas emergentes.

2. Para cada una de ellas registra y completa de acuerdo a las indicaciones de tu

Facilitador(a).

3. Guarda tu archivo con el nombre KAIF_U1_A3_XXYZ.

*Revisa los criterios de evaluacin.

1.2.4. Organismos reguladores

IMCP

Es el Instituto mexicano de contadores pblicos. Genera peridicamente actualizaciones en materia de

auditora para todos sus socios registrados. Se busca que cumplan con las siguientes normas:

- Entrenamiento tcnico

- Diligencia profesional

- Independencia

Aplicables en el ejercicio de su profesin con las empresas auditables, con colegas y en general con

autoridades tributarias de la nacin. (Muoz, 2002, p.75)



Sitio de IMCP:

http://imcp.org.mx

CONPA

Es la Comisin de Normas y Procedimientos de Auditora. Emite publicaciones de actualizacin apara

auditores administrativos en el que se tratan criterios, normas, reglas, condiciones, obligaciones, etc.

Para regular el comportamiento de auditores en administracin.

Uno de los ejemplos de sus publicaciones es el cdigo de tica profesional del licenciado en

administracin, el cual ayuda a estandarizar conductas de carcter moral y de su actuar profesional.

(Muoz, 2002, p.76)

Artculo sobre la funcin sustantiva de la CONPA:

http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-

se-va-a-hablar-de-la-funcion-sustantiva-de-la-conpa-relacionada-con-la-

regulacion-en-el-campo-de-la-auditoria-sino-que-se-va-a-referir-a-un-

trabajo-desconocido-para-muchos#.UvAQp_30sZI

Actividad 4. Tipos de auditora y distincin de normas

Ahora, realiza la cuarta actividad de la primera Unidad!

En esta ocasin tendrs la oportunidad de comentar con tus compaeros sobre las

actividades 1 y 3, para fortalecer ms la comprensin de la clasificacin de auditora, sus

caractersticas, del mismo modo analizar en combinacin con los tipos de normas actuales

y emergentes.

De acuerdo a los puntos que te indicar tu Facilitador(a), tambin:

1. Determina qu diferencias o semejanzas encontraste en los casos presentados

dentro de las actividades 1 y 3.

2. Investiga y escribe la intervencin o injerencia de los organismos reguladores,



pero dirigidos hacia la Telemtica.

3. Realiza un aporte sobre las diferencias y otro sobre las semejanzas.

4. Comenta sobre los aportes de al menos 2 compaeros, comienza desde la ms

antigua y procura que ningn compaero(a), se quede sin retroalimentaciones.

*Revisa los criterios de evaluacin de esta actividad.

Autoevaluacin

En lo que respecta a esta actividad, su propsito es que al trmino del estudio de la unidad, evales

de manera independiente y autnoma los aprendizajes adquiridos. Para ello contesta las preguntas

plateadas y de tener dudas en algn tema, repsalo las veces que sea necesario, pregunta a tu

Facilitador(a) e investiga un poco ms por tu cuenta.

Evidencia de aprendizaje. Clasificacin de casos

El propsito de esta evidencia de aprendizaje es que identifiques y evales el tipo y caractersticas

de auditora, as como de las responsabilidades del auditor.

1. Analiza caso de estudio que te presentar tu Facilitador(a) y contesta las preguntas que se

localizan al final. Justifica la respuesta tomando como base la definicin y caractersticas de la

auditora, as como las responsabilidades del auditor.

2. En un archivo realiza un reporte con las respuestas debidamente contestadas y justificadas,

agrega esquemas, diagramas y/o comparaciones.

3. Guarda tu archivo con el nombre KAIF_U1_EA_XXYZ y envalo para su revisin.

4. Espera la retroalimentacin de tu Facilitador(a), atiende sus comentarios y de ser necesario

enva una segunda versin de tu evidencia

*Recuerda consultar el instrumento de evaluacin correspondiente a la evidencia de aprendizaje para conocer su mtodo de evaluacin.



Autorreflexin

Al terminar la Evidencia de aprendizaje es muy importante que realices tu Autorreflexin. Para ello,

Ingresa al foro de Preguntas de Autorreflexin y a partir de las preguntas presentadas por tu

Facilitador(a), realiza lo que se te pide y sbelo en la seccin Autorreflexiones.

Cierre de la unidad

Has concluido la primer unidad de la materia, como pudiste darte cuenta, la auditoria informtica tiene

una gran relevancia a nivel direccin, ya que es un proceso til para medir procesos, tecnologas,

desempeo y dems elementos de la informtica, as como de la Telemtica.

Tambin, habrs notado que el rol del auditor requiere de un nivel de experiencia y especializacin

para poder fungir como un evaluador, emitir un dictamen y ms an sugerir soluciones. Por lo tanto,

para difundir y mejorar la funcin del auditor, existen estndares internacionales y nacionales que

regulan los procesos de auditora y el actuar tico moral de un auditor interno o externo.

Ahora que has concluido la unidad 1, ests listo para comenzar la unidad 2, en la que vers ms

ampliamente el tema de estndares, cdigo de tica, polticas, procedimientos y seguridad. Si te

interes ampliar tu conocimiento sobre algn tema, revisa la siguiente seccin Para saber ms,

encontrars vnculos a sitios del mbito de la Auditora informtica.

Para saber ms

Para obtener informacin oficial sobre COBIT, puedes entrar al sitio oficial de ISACA (Information

Systems Audit and Control Association, 2014). En donde hay manuales totalmente en espaol

para. Consulta: http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

Recuerdas que el auditor informtico utiliza herramientas para evaluar aplicaciones, revisa estos

enlaces de algunos ejemplos de este tipo de producto, ya que se explica ms ampliamente como

se utilizan:

HP APM (Hewlett-Packard Development Company, L.P., 2014). Consulta:

http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730

appDynamics (Impulse IT Ltda., 2012). Consulta:

http://www.impulseit.com/wp/?page_id=373

ManageEngine (Ingeniera Dric, 2013). Consulta:

http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCF

UZqfgodUGcATA



Fuentes de consulta

Fuentes bsicas

Muoz R., C. (2002). Auditora en sistemas computacionales. Primera edicin. Mxico: Pearson

educacin/ Prentice Hall.

Piattini, M. & Del peso, E. (2001). Auditora informtica, un enfoque prctico. Segunda edicin.

Mxico: Alfaomega.

Piattini, M. Del peso, E., & Del peso M. (2008). Auditora de tecnologas y sistemas de

informacin. Primera edicin. Mxico: Alfaomega.

Fuentes complementarias

Derrin, Y. (1995). Tcnicas de la auditora informtica. Primera edicin. Mxico: Alfaomega.

Garzs, J. (2011). Gua prctica de supervivencia en una auditora CMMI. Espaa: Universidad

Rey Juan Carlos.

Fuentes electrnicas

American Institute of CPAs. (2014). Statement on Auditing Standards (SASs). Consultado en:

http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-GroupAudits.aspx

Catoira, F. (2013). Pruebas de penetracin para principiantes: explotando una vulnerabilidad

con Metasploit Framework, Seguridad: cultura de prevencin para TI. Vol. 19. 19-27.

Recuperado de:

http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num19_Seg

uridad.PDF

Centro Criptolgico Nacional. (CNN) (2014). MAGERIT. Espaa. Consultado en:

https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-

version-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es

Comisin de Normas y Procedimientos de Auditora y la EUC (Examen Uniforme de Certificacin). (2014). Instituto Mexicano de Contadores Pblicos. Consultada en: http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-se-va-a-hablar-de-la-funcion-sustantiva-de-la-conpa-relacionada-con-la-regulacion-en-el-campo-de-la-auditoria-sino-que-se-va-a-referir-a-un-trabajo-desconocido-para-muchos#.UvF_NvmSwpl

Comisin digital de seales de Espaa (s/f). Digital Signage. Interactive Adversiting Bureau. Recuperado de http://www.onthespot.com/file/Infografia__Digital_Signage.pdf

Committee of Sponsoring Organizations of the Treadway Commission (COSO).(2014).

Consultado en: http://www.coso.org/

European Union Agency for Network and Information Security (ENISA) (2014). Agencia de la

Unin Europea. Consultado en: http://rm-inv.enisa.europa.eu/methods/m_magerit.html



Hewlett-Packard Development Company, L.P. (2014). Software de diagnstico HP. Recuperado

de http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730

Impulse IT Ltda. (2012). AppDynamics. Recuperado de:

http://www.impulseit.com/wp/?page_id=373

Information Systems Audit and Control Association (2014). Trust in, and value from, information

systems. Recuperado de: http://www.isaca.org

Ingeniera Dric (2013). Monitoreo del desempeo de aplicaciones en ambientes fsicos,

virtuales y en la nube. Recuperado de:

http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCFUZ

qfgodUGcATA

Instituto Mexicano de Contadores Pblicos (2014). Consultado en: http://imcp.org.mx/

International Federation of Accountants (IFAC) (2014). Supporting the sustainability of

organizations, markets, and economies via the development of the accountancy profession.

Recuperado de http://www.ifac.org

Unidad 1. Introducción a La Auditoría Informática

Documents

Transcript of Unidad 1. Introducción a La Auditoría Informática