Gracias por compartir el tema. Aquí tienes un resumen detallado y el cuestionario con las preguntas y respuestas correspondientes.
Resumen: Tema 80 – Auditoría informática
La auditoría informática es el proceso mediante el cual se evalúa de manera sistemática los sistemas de información, su operatividad, la eficacia de los controles internos y el cumplimiento de la normativa vigente. Su objetivo es identificar áreas de mejora, prevenir riesgos, garantizar el uso adecuado de los recursos informáticos y proporcionar información precisa para la toma de decisiones.
Concepto y funcionalidades básicas
La auditoría informática consiste en revisar y evaluar los sistemas informáticos, hardware, software, procesos y las bases de datos para garantizar que funcionen correctamente, que sean seguros y que se ajusten a las políticas establecidas. Los auditores también verifican la efectividad de las medidas de seguridad implementadas y si se siguen las mejores prácticas de gestión de TI.
Funcionalidades básicas de la auditoría informática:
- Evaluación de los controles internos.
- Comprobación de la integridad y seguridad de los datos.
- Validación de los procesos y procedimientos.
- Análisis de riesgos informáticos.
- Revisión del cumplimiento de normativas y estándares aplicables.
Normas técnicas y estándares
La auditoría informática se guía por diversas normas técnicas y estándares internacionales. Algunos de los más relevantes son:
- ISO/IEC 27001: Norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información.
- COBIT: Framework para la gestión y gobernanza de TI, desarrollado por ISACA.
- ITIL: Conjunto de prácticas para la gestión de servicios de TI.
- NIST SP 800-53: Guías de control de seguridad para sistemas federales de EE.UU., también aplicables en auditorías.
Organización de la función auditora
La función auditora en las organizaciones debe estar organizada para garantizar su efectividad. El equipo auditor puede estar compuesto por:
- Auditores internos: Personal de la misma organización que realiza auditorías periódicas.
- Auditores externos: Profesionales independientes que realizan auditorías para verificar el cumplimiento de estándares y regulaciones externas.
La organización de la función auditora incluye la planificación de la auditoría, la ejecución de las pruebas, la elaboración de los informes y el seguimiento de las recomendaciones.
Clases de auditoría informática
Existen diversas clases de auditoría informática que se realizan en función del objetivo y ámbito del análisis:
- Auditoría de sistemas: Evaluación de la infraestructura tecnológica y los sistemas operativos.
- Auditoría de aplicaciones: Revisión de los programas y software utilizados en la organización.
- Auditoría de bases de datos: Inspección de las bases de datos para garantizar la integridad y seguridad de la información.
- Auditoría de seguridad: Revisión de las políticas de seguridad, control de acceso y protección de datos.
- Auditoría de cumplimiento: Verificación del cumplimiento de las normativas y estándares legales relacionados con la informática.
Aspectos específicos de la auditoría informática en la administración pública
En la administración pública, la auditoría informática tiene particularidades que la distinguen de otros sectores. Los aspectos clave incluyen:
- Cumplimiento de normativas: La administración pública debe cumplir con leyes como la Ley de Protección de Datos Personales, normas de seguridad cibernética, y regulaciones de contratación pública.
- Transparencia y rendición de cuentas: La auditoría informática en el sector público asegura que los recursos tecnológicos se usen de forma eficiente y en beneficio de la sociedad.
- Gestión de riesgos: La administración pública maneja grandes volúmenes de datos sensibles, por lo que la gestión de riesgos informáticos es crucial.
- Controles internos y externos: Las auditorías deben garantizar que los controles internos sean sólidos y que los procesos sean transparentes, sometidos a supervisión externa.
Cuestionario: Tema 80 – Auditoría informática
- ¿Cuál es el principal objetivo de la auditoría informática?
- A) Analizar los flujos de trabajo de los empleados.
- B) Evaluar los sistemas informáticos y los controles de seguridad.
- C) Desarrollar nuevos sistemas informáticos para la organización.
- D) Mejorar la calidad de los servicios de atención al cliente.
Respuesta correcta: B) Evaluar los sistemas informáticos y los controles de seguridad.
Justificación: El principal objetivo de la auditoría informática es garantizar que los sistemas informáticos sean seguros y eficientes, así como comprobar que los controles internos sean adecuados. Las otras opciones no están directamente relacionadas con la función principal de la auditoría informática. - ¿Qué norma internacional se centra en la gestión de la seguridad de la información en las organizaciones?
- A) ISO/IEC 27001
- B) ISO/IEC 9001
- C) COBIT
- D) NIST SP 800-53
Respuesta correcta: A) ISO/IEC 27001
Justificación: La ISO/IEC 27001 establece los requisitos para la creación de un sistema de gestión de la seguridad de la información. Las demás normas (ISO 9001, COBIT y NIST) también son importantes, pero no están específicamente orientadas a la gestión de la seguridad de la información. - ¿Cuál es el objetivo principal de una auditoría de sistemas informáticos?
- A) Evaluar el rendimiento de los sistemas operativos.
- B) Verificar la eficacia de los controles de seguridad y el cumplimiento de las políticas de TI.
- C) Desarrollar nuevos sistemas informáticos más eficientes.
- D) Establecer las normas internas para la contratación de software.
Respuesta correcta: B) Verificar la eficacia de los controles de seguridad y el cumplimiento de las políticas de TI.
Justificación: La auditoría de sistemas informáticos evalúa principalmente la efectividad de los controles de seguridad y la alineación con las políticas de TI. Las otras opciones no reflejan el propósito principal de esta clase de auditoría. - ¿Qué tipo de auditoría informática se centra en la evaluación de la seguridad y protección de los datos almacenados?
- A) Auditoría de aplicaciones.
- B) Auditoría de sistemas.
- C) Auditoría de bases de datos.
- D) Auditoría de marketing digital.
Respuesta correcta: C) Auditoría de bases de datos.
Justificación: La auditoría de bases de datos se enfoca en la seguridad, integridad y control de los datos almacenados. Las otras opciones no están directamente relacionadas con la protección y evaluación de bases de datos. - ¿Cuál de los siguientes es un marco para la gestión de TI que ayuda a las organizaciones a garantizar la calidad y la gobernanza de sus sistemas de TI?
- A) ITIL.
- B) ISO/IEC 27001.
- C) COBIT.
- D) NIST SP 800-53.
Respuesta correcta: C) COBIT.
Justificación: COBIT es un marco que proporciona buenas prácticas para la gestión y gobernanza de TI, enfocándose en la alineación de la tecnología con los objetivos de negocio. ITIL también se enfoca en la gestión de servicios de TI, pero COBIT es más amplio en términos de gobernanza. - ¿Cuál es un aspecto clave en la auditoría informática dentro de la administración pública?
- A) Garantizar la competitividad entre empresas de TI.
- B) Garantizar la transparencia y la seguridad en el manejo de datos personales y públicos.
- C) Evaluar la rentabilidad económica de los proyectos tecnológicos.
- D) Mejorar la experiencia de los usuarios internos.
Respuesta correcta: B) Garantizar la transparencia y la seguridad en el manejo de datos personales y públicos.
Justificación: En el sector público, las auditorías informáticas deben garantizar que se cumpla la legislación vigente, especialmente en lo relacionado con la protección de datos y la seguridad de la información. Las otras opciones no son el foco principal de una auditoría en el sector público. - ¿Qué tipo de auditoría informática se encarga de revisar las políticas de seguridad de una organización?
- A) Auditoría de sistemas.
- B) Auditoría de seguridad.
- C) Auditoría de bases de datos.
- D) Auditoría de rendimiento.
Respuesta correcta: B) Auditoría de seguridad.
Justificación: La auditoría de seguridad está específicamente orientada a evaluar las políticas y prácticas relacionadas con la protección de la información, el control de accesos y la gestión de incidentes de seguridad. Las otras opciones no se enfocan en estos aspectos. - ¿Cuál es el enfoque de la auditoría de cumplimiento en la auditoría informática?
- A) Verificar la eficacia de las políticas de desarrollo de software.
- B) Asegurar que los sistemas y procedimientos informáticos cumplen con las normativas y regulaciones externas.
- C) Evaluar la eficiencia del hardware utilizado en la organización.
- D) Controlar los accesos a los sistemas operativos y bases de datos.
Respuesta correcta: B) Asegurar que los sistemas y procedimientos informáticos cumplen con las normativas y regulaciones externas.
Justificación: La auditoría de cumplimiento se centra en verificar que las organizaciones cumplan con las normativas, leyes y regulaciones externas que rigen el tratamiento y la protección de los datos. Las otras opciones no abordan este propósito específico. - ¿Cuál de las siguientes no es una función típica de la auditoría informática?
- A) Evaluar los controles de seguridad.
- B) Realizar pruebas de penetración para detectar vulnerabilidades.
- C) Desarrollar estrategias de marketing digital.
- D) Verificar el cumplimiento de las normativas legales.
Respuesta correcta: C) Desarrollar estrategias de marketing digital.
Justificación: El marketing digital no es parte de las funciones de la auditoría informática, que se enfoca en evaluar la seguridad, la eficacia de los controles y el cumplimiento de las normativas legales. Las otras opciones son todas tareas relacionadas con la auditoría informática. - ¿Qué debe garantizar una auditoría informática en la administración pública respecto a los recursos tecnológicos?
- A) Que los recursos tecnológicos sean adquiridos al menor precio posible.
- B) Que se utilicen las últimas tecnologías del mercado.
- C) Que se gestionen los recursos tecnológicos de manera eficiente y transparente, cumpliendo con las normativas.
- D) Que los recursos tecnológicos sean utilizados exclusivamente por empleados públicos.
Respuesta correcta: C) Que se gestionen los recursos tecnológicos de manera eficiente y transparente, cumpliendo con las normativas.
Justificación: En el sector público, es esencial que la auditoría informática asegure la eficiencia, transparencia y el cumplimiento de las leyes y normativas aplicables. Las otras opciones no son prioritarias en el contexto de la auditoría pública. - ¿Qué rol desempeñan los auditores internos en una organización?
- A) Desarrollan nuevos sistemas informáticos.
- B) Identifican y gestionan los riesgos relacionados con la informática.
- C) Supervisan y auditan la gestión de los sistemas de información y procesos internos.
- D) Implementan medidas de seguridad en todos los sistemas informáticos.
Respuesta correcta: C) Supervisan y auditan la gestión de los sistemas de información y procesos internos.
Justificación: Los auditores internos se encargan de supervisar y auditar los procesos y sistemas informáticos para asegurar que cumplan con las políticas internas y las regulaciones.
- A) Desarrollan nuevos sistemas informáticos: Esta es una función del área de desarrollo de TI, no de la auditoría.
- B) Identifican y gestionan los riesgos relacionados con la informática: Aunque los auditores pueden identificar riesgos, su rol no es gestionar directamente estos riesgos.
- D) Implementan medidas de seguridad en todos los sistemas informáticos: Este es el trabajo del departamento de seguridad informática, no de los auditores.
- ¿Qué tipo de auditoría informática se centra en la revisión de las políticas de control de acceso y la protección de la información sensible?
- A) Auditoría de rendimiento.
- B) Auditoría de seguridad.
- C) Auditoría de sistemas.
- D) Auditoría de cumplimiento.
Respuesta correcta: B) Auditoría de seguridad.
Justificación: La auditoría de seguridad está específicamente orientada a revisar las políticas de control de acceso, protección de datos y medidas de seguridad en los sistemas informáticos.
- A) Auditoría de rendimiento: Esta auditoría se enfoca en evaluar la eficiencia y el rendimiento de los sistemas, no en la seguridad.
- C) Auditoría de sistemas: Aunque se revisan los sistemas, la auditoría de seguridad se centra más en la protección de la información y la gestión de accesos.
- D) Auditoría de cumplimiento: Se enfoca en verificar el cumplimiento de normativas y leyes, no en la seguridad específica de los sistemas.
- ¿Qué debe incluir un plan de auditoría informática en una organización?
- A) La contratación de nuevos auditores externos.
- B) Una evaluación detallada de las infraestructuras físicas.
- C) Un plan detallado que cubra los sistemas, la seguridad y los controles internos.
- D) Una evaluación de la situación financiera de la organización.
Respuesta correcta: C) Un plan detallado que cubra los sistemas, la seguridad y los controles internos.
Justificación: Un plan de auditoría debe incluir todos los aspectos relacionados con los sistemas informáticos, la seguridad de la información y los controles internos para garantizar la correcta gestión y protección de los datos.
- A) La contratación de nuevos auditores externos: No es parte del plan de auditoría en sí, sino una acción independiente que se puede tomar si es necesario.
- B) Una evaluación detallada de las infraestructuras físicas: Aunque puede formar parte de la auditoría, el enfoque principal de la auditoría informática es más amplio, abarcando sistemas, seguridad y controles internos.
- D) Una evaluación de la situación financiera de la organización: Esta es más propia de una auditoría financiera, no de una auditoría informática.
- ¿Cuál es el propósito de una auditoría de cumplimiento en el contexto de la auditoría informática?
- A) Evaluar la calidad de las bases de datos de la organización.
- B) Comprobar que los sistemas de TI cumplen con las normativas y regulaciones vigentes.
- C) Revisar el rendimiento de los sistemas informáticos.
- D) Auditar los procesos de desarrollo de software en la organización.
Respuesta correcta: B) Comprobar que los sistemas de TI cumplen con las normativas y regulaciones vigentes.
Justificación: Una auditoría de cumplimiento se centra en asegurar que los sistemas y procesos informáticos sigan las regulaciones legales y normativas externas, como las de protección de datos.
- A) Evaluar la calidad de las bases de datos de la organización: Esta es más propia de una auditoría de bases de datos, no de cumplimiento.
- C) Revisar el rendimiento de los sistemas informáticos: Esto corresponde más a una auditoría de rendimiento.
- D) Auditar los procesos de desarrollo de software en la organización: Esta es parte de una auditoría de aplicaciones, no de una auditoría de cumplimiento.
- ¿Qué herramienta se utiliza comúnmente para gestionar y controlar los riesgos en el ámbito de la auditoría informática?
- A) PILAR.
- B) COBIT.
- C) NIST SP 800-53.
- D) ITIL.
Respuesta correcta: A) PILAR.
Justificación: PILAR es una herramienta específica utilizada en la gestión de riesgos informáticos y en la evaluación de impacto en sistemas de información.
- B) COBIT: Aunque COBIT es un marco para la gobernanza de TI, no es una herramienta específica para la gestión de riesgos.
- C) NIST SP 800-53: Es una guía para el control de seguridad de sistemas, pero no es una herramienta directa de gestión de riesgos.
- D) ITIL: ITIL es un conjunto de prácticas para la gestión de servicios de TI, pero no se enfoca en la gestión de riesgos.
- En la auditoría informática, ¿qué aspecto se evalúa en una auditoría de sistemas?
- A) El cumplimiento de las políticas de contratación de TI.
- B) La eficacia de los controles de seguridad y el correcto funcionamiento de los sistemas informáticos.
- C) La eficiencia de las políticas de marketing digital.
- D) La evaluación de la infraestructura de hardware.
Respuesta correcta: B) La eficacia de los controles de seguridad y el correcto funcionamiento de los sistemas informáticos.
Justificación: La auditoría de sistemas se centra en la revisión del funcionamiento de los sistemas informáticos y la eficacia de los controles de seguridad.
- A) El cumplimiento de las políticas de contratación de TI: Este es un aspecto que podría ser auditado en una auditoría de cumplimiento, no en una auditoría de sistemas.
- C) La eficiencia de las políticas de marketing digital: Esto no está relacionado con la auditoría de sistemas informáticos.
- D) La evaluación de la infraestructura de hardware: Aunque puede formar parte de la auditoría, el foco principal de la auditoría de sistemas es el software y los controles de seguridad.
- ¿Cuál de los siguientes aspectos no es parte de una auditoría informática de seguridad?
- A) Revisión de los sistemas de control de acceso.
- B) Evaluación de la encriptación de datos.
- C) Revisión de la infraestructura de red y protección contra ciberataques.
- D) Revisión de las políticas de desarrollo de software.
Respuesta correcta: D) Revisión de las políticas de desarrollo de software.
Justificación: Una auditoría de seguridad se centra en la protección de la información, los controles de acceso, la encriptación de datos y la infraestructura de red, no en las políticas de desarrollo de software.
- A) Revisión de los sistemas de control de acceso: Es una parte fundamental de la auditoría de seguridad.
- B) Evaluación de la encriptación de datos: También es una parte importante de la auditoría de seguridad.
- C) Revisión de la infraestructura de red y protección contra ciberataques: Es un aspecto clave de la auditoría de seguridad informática.
- ¿Qué significa que una auditoría informática sea «cualitativa»?
- A) Se basa en métricas numéricas y estadísticas.
- B) Evalúa los riesgos informáticos de manera subjetiva y mediante juicios de expertos.
- C) Revisa exclusivamente el rendimiento de los sistemas operativos.
- D) Realiza una comparación entre las normativas internas y externas de TI.
Respuesta correcta: B) Evalúa los riesgos informáticos de manera subjetiva y mediante juicios de expertos.
Justificación: Una auditoría cualitativa se basa en el análisis subjetivo y la interpretación de los expertos sobre los riesgos informáticos.
- A) Se basa en métricas numéricas y estadísticas: Esto corresponde a una auditoría cuantitativa, no cualitativa.
- C) Revisa exclusivamente el rendimiento de los sistemas operativos: Esto es parte de una auditoría de rendimiento, no una auditoría cualitativa.
- D) Realiza una comparación entre las normativas internas y externas de TI: Esto es más propio de una auditoría de cumplimiento.
- ¿Cuál de los siguientes no es un componente del Esquema Nacional de Seguridad (ENS)?
- A) Principios de seguridad.
- B) Medidas de protección de datos personales.
- C) Medidas de protección de infraestructuras críticas.
- D) Control de acceso y autenticación.
Respuesta correcta:** C) Medidas de protección de infraestructuras críticas.
Justificación: El ENS se enfoca principalmente en la protección de la información, el control de acceso, la gestión de incidentes de seguridad y la protección de datos personales, pero no aborda directamente las infraestructuras críticas.
- A) Principios de seguridad: Es un componente clave del ENS.
- B) Medidas de protección de datos personales: Son una parte esencial del ENS.
- D) Control de acceso y autenticación: Son fundamentales para garantizar la seguridad dentro del ENS.
- ¿Qué debe garantizar una auditoría informática en el ámbito de la administración pública?
- A) La rentabilidad de las inversiones en tecnología.
- B) El cumplimiento de los requisitos de seguridad establecidos en la legislación.
- C) La compra de tecnología de última generación.
- D) La creación de nuevas aplicaciones informáticas.
Respuesta correcta: B) El cumplimiento de los requisitos de seguridad establecidos en la legislación.
Justificación: En la administración pública, las auditorías informáticas deben garantizar el cumplimiento de las normativas de seguridad, protección de datos y transparencia.
- A) La rentabilidad de las inversiones en tecnología: Aunque puede ser relevante, no es el foco principal de la auditoría informática.
- C) La compra de tecnología de última generación: No es el objetivo de una auditoría informática.
- D) La creación de nuevas aplicaciones informáticas: Esto es responsabilidad de los desarrolladores de software, no de la auditoría.