Actividad 2 - Santiago Rodriguez - I Corte.pdf

o Efectividad: Garantizar que los datos relevantes apoyen a los procesos de
organización, además de entregarse de manera puntual, precisa y
aprovechable.

o Eficiencia: Busca obtener la información empleando al máximo los recursos
disponibles, lo que afecta directamente en la productividad y la economía.

o Confidencialidad: Asegurar la protección de datos sensibles ante accesos
o divulgaciones no autorizadas.

o Integridad: Garantizar que la información sea exacta, completa y válida de
acuerdo con los requisitos y expectativas de la entidad.

Tras establecer los objetivos fundamentales de la auditoría el siguiente paso
consiste en examinar detalladamente los mecanismos que permiten alcanzar dichas
metas, dichos mecanismos son conocidos como revisión de controles.

La revisión de controles consiste en analizar los mecanismos establecidos para
dirigir, prevenir, detectar y corregir posibles fallos en el entorno tecnológico. En sí,
existen diversos tipos de controles, cada uno enfocado al análisis de diferentes
características o elementos del sistema informático, dichos controles se pueden
clasificar según su naturaleza y/o momento de aplicación:

 Naturaleza:

o Controles administrativos: Son las políticas, manuales de
procedimiento, definición de roles y responsabilidades, segregación de
funciones, formación y concienciación de usuarios.

o Controles técnicos: Elementos para impedir incidentes como lo serían
Firewalls, mecanismos de cifrado, registro y análisis de logs, entre otros.

o Controles físicos: Son herramientas o elementos como accesos
restringidos a áreas de servidores; sistemas de vigilancia por vídeo;
cerraduras biométricas o con tarjetas; sistemas de alimentación
ininterrumpida (UPS); extintores y climatización.

 Momento de aplicación

o Preventivos: Aquellos controles diseñados para impedir incidentes, ya
sean políticas de contraseñas robustas hasta hardening (robustecimiento)
de servidores.

o Detectivos: Controles que permiten identificar eventos inusuales, como
pueden ser monitorización de accesos, revisiones de logs periódicas y/o
testing de vulnerabilidades.

o Correctivos: Son planes de contingencia y recuperación, entre ellos
están la restauración de copias de seguridad, parches de emergencia,
procedimientos de análisis forense y lecciones aprendidas.

Aunque la existencia de controles bien diseñados resulta indispensable, solo un
seguimiento continuo y riguroso de su funcionamiento revela si efectivamente
cumplen con sus propósitos. Es en el análisis de los indicadores de gestión, los
patrones de incidentes y las deficiencias operativas donde emergen los síntomas
que alertan sobre la necesidad de profundizar en una auditoría informática. Por este
motivo se recomienda estar al tanto dichas señales para así anticipar riesgos.

La detección oportuna de señales que indiquen la conveniencia de una auditoría
informática es esencial para prevenir riesgos mayores y optimizar la gestión de los
recursos tecnológicos.

 Descoordinación y desorganización: Al momento de que los objetivos del
área de Tecnología e Información (TI) no convergen con la estrategia general
de la empresa, o existen duplicidades de funciones y procesos mal refinados,
se evidencia una falta de alineación y control interno.

 Insatisfacción y mala percepción de usuarios: Un elevado volumen de
reclamaciones por demoras en la atención de incidencias, solicitudes de
cambios no atendidas o sistemas poco intuitivos revela deficiencias en el
servicio y en la relación de TI y el resto de la organización.

 Incidentes de seguridad: La repetición de incidentes (ya sea malware,
accesos no autorizados, entre otros) sin una causa aparente o sin un plan de
respuesta eficaz manifiesta debilidades en los controles preventivos y
detectivos.

 Ineficiencia operativa: Cuellos de botella frecuentes en procesos críticos,
recursos infrautilizados o sobredimensionados y falta de automatización
reflejan un uso inadecuado de la infraestructura tecnológica.

Cuando los indicios de debilidades en los controles se vuelven evidentes resulta
esencial contar con un auditor informático capacitado para evaluar la situación de
forma imparcial.

Un auditor informático ejerce un rol clave en la gobernanza de TI, pues combina
el rigor metodológico con un profundo entendimiento de la tecnología y del entorno
empresarial. La misión principal del auditor (aparte de la revisión de sistemas) es

aportar una perspectiva estratégica que fortalezca el control interno y minimice
riesgos operativos, financieros y de cumplimiento normativo.

Ahora bien, todo auditor ha de cumplir dos requisitos indispensables, la
independencia y la idoneidad.

La independencia se refiere a la característica que diferencia a la auditoría
de cualquier otra función dentro de la organización, es decir, el auditor ha de ser
independiente del objeto auditado, a su vez debe de depender de un nivel jerárquico
suficientemente alto para evitar que el responsable de las observaciones sea su
superior directo (eliminando limitación cualquier o sanciones laborales) sin
mencionar que todo auditor debe de tener claro que la responsabilidad de la
corrección del sistema pertenece al ente contratante, y debe evitar involucrarse de
manera que se diluya o comparta esta responsabilidad.

En cuanto a la idoneidad, esta se refiere a la capacidad y conocimientos
necesarios para realizar la tarea. Es decir, todo auditor ha de poseer el
entrenamiento tanto técnico como práctico, además de tener madurez en cuanto al
juicio del auditor, el cual se crea en base a experiencias acumuladas.

En resumen, los fundamentos de la auditoría informática conforman un ciclo de
mejora continua que fortalece la gobernanza de TI. La evaluación y optimización de
los controles de gestión, junto con la detección temprana de síntomas de alerta,
aseguran la protección de la información y el cumplimiento de estándares y
normativas. Contar con un auditor informático capacitado y éticamente responsable
resulta esencial para traducir los hallazgos en recomendaciones prácticas y
estratégicas. En última instancia, implantar una cultura de auditoría constante
promueve la resiliencia operativa y aporta valor sostenido a la organización.