La auditoría de sistemas de información implica la revisión y evaluación de los procesos automáticos y no automáticos relacionados con la gestión de datos en una organización. Se delinean metodologías y mejores prácticas para llevar a cabo auditorías eficaces, asegurando la protección de datos y la responsabilidad en su manejo. Además, se mencionan normativas estándares de seguridad como ISO/IEC 27000, COBIT e ITIL que guían el desarrollo y mantenimiento de la seguridad de la información.

1. Introducción
 La auditoría de los sistemas de información
se define como cualquier auditoría que
abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de
los sistemas automáticos de procesamiento
de la información, incluidos los
procedimientos no automáticos relacionados
con ellos y las interfaces correspondientes.

2. Auditoría
 La palabra auditoría viene del latín
auditorius y de esta proviene auditor, que
tiene la virtud de oír y revisar cuentas, pero
debe estar encaminado a un objetivo

3. Tipos de Auditorias
Áreas Específicas
 Explotación
 Desarrollo
 Sistemas
 Comunicaciones
 Seguridad
Áreas Generales
 Interna
 Dirección
 Usuario
 Seguridad

4. Metodología de auditoría
informática
 Alcance y objetivos
 Estudio inicial del entorno auditable
 Determinación de los recursos
 Elaborar plan y programa de trabajo
 Actividades de auditoría
 Informe final
 Carta de presentación del informe

5. Objetivo General de Auditoría
de sistemas
 Operatividad 100%

6. Herramientas para Auditoría
informática
 Cuestionarios
 Entrevistas
 Check list (de rango y binario)
 Trazas
 Software de interrogación

7. Consideraciones para el éxito
del análisis crítico
 Estudiar hechos y no opiniones (no se toman en
cuenta los rumores ni la información sin
fundamento)
 Investigar las causas, no los efectos.
 Atender razones, no excusas.
 No confiar en la memoria, preguntar
constantemente.
 Criticar objetivamente y a fondo todos los
informes y los datos recabados.

8. Investigación preliminar
 No tiene y se necesita.
 No se tiene y no se necesita.
 Se tiene la información pero:
 No se usa.
 Es incompleta.
 No está actualizada.
 No es la adecuada.
 Se usa, está actualizada, es la adecuada y está
completa

9. Informe
Después de realizar los pasos anteriores y de
acuerdo a los resultados obtenidos, el auditor
realizará un informe resultante con
observaciones y/o aclaraciones para llevar a
cabo dentro de las áreas involucradas para el
mejor funcionamiento del sistema.

10. Auditoria de Datos
 La auditoría de datos habilita a una
organización la identificación de quien crea,
modifica, elimina y accede los datos, cuando
y como son accedidos. O bien, la estructura
de los datos.
 La sola existencia de auditoría de datos tiene
un efecto disuasivo en los intrusos de los
datos.

11. Auditoria de datos: una forma
de vida
 Su presencia debe ser parte integral de las
operaciones de los servicios informáticos en
una organización en el día a día.

12. Auditoría de datos:
Mejores prácticas (1)
 Responsabilidad segregada
 El equipo responsable de auditar un sistema debe ser
distinto a aquel que lo administra y lo utiliza
 Mantener el Sistema de Auditoría de Datos
Independiente
 Nada ni nadie debe ser capaz de alterar un log de
auditoría
 Hacerla Escalable, Ampliable y Eficiente
 La plataforma de auditoría de datos debe acomodarse
al crecimiento y la adición de nuevas fuentes de datos

13. Auditoría de datos:
Mejores prácticas (2)
 Hacerla Flexible
 Los requerimientos de auditoría cambiarán;
asegúrese que se pueda responder rápida y
fácilmente a esos cambios desplegando un marco de
auditoría flexible
 Gestión Centralizada
 Una plataforma de auditoría de datos debe ser capaz
de auditar múltiples bases de datos en múltiples
servidores físicos

14. Auditoría de datos:
Mejores prácticas (3)
 Asegurar la Plataforma de auditoría de Datos
 La plataforma de auditoría por si misma no debe tener
“puertas traseras de acceso” a sus propios datos ni
permitir el acceso por dichas puertas traseras a los
datos de cualquiera de las bases de datos que
monitorea.
 Identificación de los Datos
 Se debe establecer y mantener un inventario de todos
los datos, incluyendo aquellos provenientes de
fuentes externas

15. Auditoría de datos:
Mejores prácticas (4)
 Análisis de los Datos
 Determine los roles, vulnerabilidades y
responsabilidades relativas a todos los datos.
 Hacerla Completa
 La política de auditoría de datos necesita abarcar
todos los datos dentro de una organización,
incluyendo todos los datos de aplicación, los datos de
comunicaciones incluyendo los registros de correos
electrónicos y mensajes instantáneos, registros de
transacciones y toda la información que pasa hacia o
alrededor de una organización tanto desde dentro
como desde afuera

16. Auditoría de datos:
Mejores prácticas (5)
 Habilitación de Reportes y Análisis
 Establecimiento de Patrones de Uso Normal
 Establecimiento de una Política de
Documentación y Revisión
 La auditoría de datos implementada directamente
para satisfacer mandatos de reguladores debe
referirse directamente a los elementos de las
regulaciones que satisface: (Sarbanes-Oxley, HIPAA,
GLBA, etc.).

17. Auditoría de datos:
Mejores prácticas (6)
 Monitorear, Alertar, Reportar
 Dependiendo del riesgo, se deben atar los eventos o
datos anormales a los sistemas de alerta y, en
algunos casos disparar alarmas en tiempo real.
 Incrementar y Complementar la Seguridad
 La auditoría de datos incrementa y complementa los
niveles de la seguridad de los sistemas de IT
 Respaldo y Archivo
 Los LOG de Auditoría, por si mismas, deben ser
respaldadas y lo ideal, almacenadas en una sitio
remoto

18. Auditoría de datos:
Mejores prácticas (7)
 Crear Procedimientos para la Operación y para la
Recuperación ante Desastres
 Es necesario crear políticas y procedimientos que
gobiernen cómo se accede a las pistas de auditoría y
cómo se recuperan los datos perdidos
 Todas las operaciones de recuperación también
deben ser auditadas.

19. Conclusión
 El acceso no autorizado o cambios desconocidos
a los datos de una organización pueden debilitar
o arruinar una empresa.
 El robo, error, pérdida, corrupción o fraude de los
datos puede costarle a una compañía su
reputación, sus ganancias, o ambos.
 La auditoría de datos no solamente protege los
datos de una organización, sino que asegura la
responsabilidad, la recuperación y la longevidad
de los sistemas que dependen de los datos.

20. Estándares de Seguridad de la
información
 ISO/IEC 27000-series
 COBIT
 ITIL

21. ISO/IEC 27000-series
 La serie de normas ISO/IEC 27000 son estándares
de seguridad publicados por la Organización
Internacional para la Estandarización (ISO) y la
Comisión Electrotécnica Internacional (IEC).
 La serie contiene las mejores prácticas
recomendadas en Seguridad de la información para
desarrollar, implementar y mantener
especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI).

22. COBIT
 Objetivos de Control para la información y
Tecnologías relacionadas (COBIT, en inglés:
Control Objectives for Information and related
Technology)
 Es un conjunto de mejores prácticas para el manejo
de información creado por la Asociación para la
Auditoria y Control de Sistemas de Información,
(ISACA, en inglés: Information Systems Audit and
Control Association), y el Instituto de Administración
de las Tecnologías de la Información (ITGI, en
inglés: IT Governance Institute) en 1992.

23. ITIL
 La Information Technology Infrastructure Library
("Biblioteca de Infraestructura de Tecnologías de
Información"), frecuentemente abreviada ITIL.
 Es un marco de trabajo de las mejores prácticas
destinadas a facilitar la entrega de servicios de
tecnologías de la información (TI) de alta calidad.
ITIL resume un extenso conjunto de procedimientos
de gestión ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las
operaciones de TI