OPE 2025 TFA INF. Tema 80. Auditoría informática. Concepto y funcionalidades básicas. Normas técnicas y estándares. Organización de la función auditora. Clases de auditoria informática. Aspectos específicos de la auditoría informática en la administración pública.

OPE 2025. TFA INFORMÁTICA
Esteban CastroDeja un comentario en OPE 2025 TFA INF. Tema 80. Auditoría informática. Concepto y funcionalidades básicas. Normas técnicas y estándares. Organización de la función auditora. Clases de auditoria informática. Aspectos específicos de la auditoría informática en la administración pública.

La auditoría informática es un proceso fundamental para evaluar la seguridad, integridad, disponibilidad y eficiencia de los sistemas de información. Su objetivo es garantizar que las tecnologías utilizadas en una organización cumplan con los estándares y normativas establecidas, detectando vulnerabilidades y optimizando procesos.

En este tema se estudiarán los conceptos clave de auditoría informática, las normas técnicas y estándares aplicables, la organización de la función auditora, las clases de auditoría informática y los aspectos específicos de la auditoría en la administración pública.

1. 🖥️ Concepto y Funcionalidades Básicas de la Auditoría Informática

La auditoría informática es el conjunto de procedimientos que permiten evaluar la eficacia, seguridad y cumplimiento normativo de los sistemas de información en una organización.

1.1 Objetivos de la Auditoría Informática

✅ Garantizar la seguridad y protección de los datos.
✅ Evaluar el cumplimiento normativo y regulatorio.
✅ Detectar vulnerabilidades y amenazas en los sistemas.
✅ Optimizar el uso de los recursos tecnológicos.
✅ Garantizar la continuidad operativa y la recuperación ante desastres.

1.2 Funcionalidades Básicas

📌 Revisión de controles internos: Análisis de los procedimientos de seguridad.
📌 Evaluación de riesgos: Identificación de amenazas tecnológicas.
📌 Cumplimiento normativo: Aplicación de estándares de seguridad.
📌 Análisis forense: Investigación de incidentes de seguridad.

2. 📜 Normas Técnicas y Estándares en Auditoría Informática

Los auditores informáticos siguen diversas normas y estándares para garantizar la seguridad y fiabilidad de los sistemas de información.

2.1 Principales Estándares y Normativas

📌 ISO 27001: Estándar de seguridad de la información.
📌 COBIT (Control Objectives for Information and Related Technologies): Marco de gobierno de TI.
📌 ITIL (Information Technology Infrastructure Library): Buenas prácticas en gestión de TI.
📌 NIST (National Institute of Standards and Technology): Guías y estándares en ciberseguridad.
📌 RGPD (Reglamento General de Protección de Datos): Protección de datos personales.
📌 ENS (Esquema Nacional de Seguridad): Normativa específica en España para la seguridad de la información en la administración pública.

3. 🏢 Organización de la Función Auditora

La auditoría informática se organiza en diversas fases y estructuras según el tipo de auditoría y la entidad auditada.

3.1 Estructura de la Función Auditora

📌 Auditor Interno: Auditoría realizada por personal de la propia organización.
📌 Auditor Externo: Evaluación realizada por entidades externas especializadas.
📌 Comités de Auditoría: Órganos de supervisión y control en grandes organizaciones.

3.2 Fases de una Auditoría Informática

Planificación: Definición de objetivos y alcance de la auditoría.
Ejecución: Recopilación de información, entrevistas y pruebas técnicas.
Análisis de Resultados: Evaluación de los hallazgos y detección de riesgos.
Elaboración del Informe: Presentación de conclusiones y recomendaciones.
Seguimiento: Implementación de mejoras y corrección de vulnerabilidades.

4. 📊 Clases de Auditoría Informática

Existen diferentes tipos de auditoría informática según el enfoque y los objetivos específicos.

📌 Auditoría de Seguridad: Evalúa la protección de la información y los accesos.
📌 Auditoría de Cumplimiento: Verifica la adherencia a normativas y regulaciones.
📌 Auditoría de Sistemas: Evalúa la infraestructura tecnológica y su rendimiento.
📌 Auditoría de Desarrollo de Software: Revisión de calidad y seguridad en el ciclo de vida del software.
📌 Auditoría de Redes: Análisis de la configuración, protección y rendimiento de las redes.

5. 🏛️ Auditoría Informática en la Administración Pública

En el sector público, la auditoría informática es esencial para garantizar la transparencia, seguridad y cumplimiento normativo en la gestión de la información.

5.1 Características Específicas

✅ Aplicación del Esquema Nacional de Seguridad (ENS).
✅ Evaluación de la gestión de identidad y acceso en sistemas administrativos.
✅ Análisis de la seguridad en trámites electrónicos y servicios públicos.
✅ Supervisión de contratos tecnológicos y proveedores de servicios TI.
✅ Cumplimiento del Reglamento General de Protección de Datos (RGPD).

 

📝 Cuestionario – Tema 80: Auditoría Informática

1. ¿Cuál es el principal objetivo de una auditoría informática?

a) Aumentar la velocidad de los sistemas informáticos
b) Evaluar la seguridad, integridad y eficiencia de los sistemas de información
c) Sustituir los sistemas tradicionales por nuevas tecnologías
d) Diseñar software de gestión empresarial

Respuesta correcta: b) Evaluar la seguridad, integridad y eficiencia de los sistemas de información
🔎 Explicación: La auditoría informática tiene como finalidad verificar el correcto funcionamiento, la seguridad y el cumplimiento normativo de los sistemas de información.

2. ¿Qué norma internacional establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI)?

a) ITIL
b) ISO 27001
c) COBIT
d) NIST

Respuesta correcta: b) ISO 27001
🔎 Explicación: ISO 27001 es el estándar internacional que define los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en una organización.

3. ¿Qué tipo de auditoría verifica el cumplimiento de normativas y regulaciones?

a) Auditoría de seguridad
b) Auditoría de cumplimiento
c) Auditoría de redes
d) Auditoría de desarrollo de software

Respuesta correcta: b) Auditoría de cumplimiento
🔎 Explicación: La auditoría de cumplimiento tiene como objetivo verificar que los sistemas y procesos cumplen con normativas como RGPD, ENS, ISO 27001, entre otras.

4. ¿Cuál de los siguientes estándares está relacionado con el gobierno de TI?

a) ISO 9001
b) ITIL
c) COBIT
d) NIST

Respuesta correcta: c) COBIT
🔎 Explicación: COBIT (Control Objectives for Information and Related Technologies) es un marco de referencia para el gobierno y gestión de TI en las organizaciones.

5. ¿Qué fase de la auditoría informática consiste en la recopilación de datos y ejecución de pruebas?

a) Planificación
b) Ejecución
c) Análisis de resultados
d) Elaboración del informe

Respuesta correcta: b) Ejecución
🔎 Explicación: Durante la fase de ejecución, se recopila información, se realizan entrevistas y se ejecutan pruebas técnicas para analizar la seguridad y funcionamiento del sistema.

6. ¿Qué auditoría evalúa la seguridad de la infraestructura tecnológica?

a) Auditoría de desarrollo de software
b) Auditoría de seguridad
c) Auditoría de cumplimiento
d) Auditoría de procesos

Respuesta correcta: b) Auditoría de seguridad
🔎 Explicación: La auditoría de seguridad analiza los controles de acceso, cifrado, firewalls, detección de intrusos y otros mecanismos para proteger la información.

7. ¿Cuál es el marco de referencia utilizado en España para la seguridad de la información en la administración pública?

a) ISO 27001
b) NIST
c) ENS
d) ITIL

Respuesta correcta: c) ENS (Esquema Nacional de Seguridad)
🔎 Explicación: El ENS establece los principios básicos y requisitos mínimos para garantizar la seguridad de los sistemas de información en la Administración Pública en España.

8. ¿Qué actividad realiza un auditor informático en la fase de análisis de resultados?

a) Define los objetivos de la auditoría
b) Recopila evidencias de seguridad
c) Evalúa los hallazgos y detecta vulnerabilidades
d) Redacta el informe final

Respuesta correcta: c) Evalúa los hallazgos y detecta vulnerabilidades
🔎 Explicación: En esta fase, el auditor analiza los datos recopilados para identificar problemas, riesgos y áreas de mejora en los sistemas auditados.

9. ¿Cuál es el objetivo de la auditoría de redes?

a) Analizar la seguridad y el rendimiento de la infraestructura de comunicaciones
b) Evaluar los procesos internos de la organización
c) Controlar el acceso de los usuarios a los servidores
d) Implementar nuevas redes informáticas

Respuesta correcta: a) Analizar la seguridad y el rendimiento de la infraestructura de comunicaciones
🔎 Explicación: La auditoría de redes permite identificar vulnerabilidades, mejorar la seguridad y optimizar el rendimiento de las comunicaciones internas.

10. ¿Qué normativa protege los datos personales en la Unión Europea?

a) ITIL
b) RGPD
c) ISO 9001
d) COBIT

Respuesta correcta: b) RGPD
🔎 Explicación: El Reglamento General de Protección de Datos (RGPD) regula el tratamiento y protección de los datos personales en la UE.

11. ¿Cuál es el objetivo principal de la fase de planificación en una auditoría informática?

a) Realizar pruebas de seguridad en los sistemas
b) Determinar los objetivos, alcance y metodología de la auditoría
c) Implementar nuevas soluciones tecnológicas
d) Documentar los resultados de la auditoría

Respuesta correcta: b) Determinar los objetivos, alcance y metodología de la auditoría
🔎 Explicación: La fase de planificación define el alcance, los objetivos y los procedimientos que se utilizarán durante la auditoría.

12. ¿Qué tipo de auditoría revisa el proceso de desarrollo de software para garantizar su calidad y seguridad?

a) Auditoría de redes
b) Auditoría de cumplimiento
c) Auditoría de desarrollo de software
d) Auditoría operativa

Respuesta correcta: c) Auditoría de desarrollo de software
🔎 Explicación: Esta auditoría revisa el ciclo de vida del desarrollo de software, incluyendo seguridad, pruebas y calidad del código.

13. ¿Qué documento se genera al finalizar una auditoría informática?

a) Informe de auditoría
b) Informe de desempeño
c) Propuesta de implementación
d) Registro de acceso

Respuesta correcta: a) Informe de auditoría
🔎 Explicación: El informe de auditoría recoge los hallazgos, riesgos identificados y recomendaciones para mejorar la seguridad y eficiencia de los sistemas.

14. ¿Qué técnica se utiliza en auditoría informática para evaluar la seguridad de una red?

a) Análisis forense
b) Pruebas de penetración (Pentesting)
c) Copias de seguridad
d) Implementación de firewalls

Respuesta correcta: b) Pruebas de penetración (Pentesting)
🔎 Explicación: El Pentesting es una técnica que simula ataques para identificar vulnerabilidades y evaluar la seguridad de una red.

15. ¿Cuál de las siguientes actividades forma parte de la auditoría de seguridad informática?

a) Evaluación de políticas de acceso y autenticación
b) Redacción de códigos de programación
c) Creación de bases de datos transaccionales
d) Instalación de servidores

Respuesta correcta: a) Evaluación de políticas de acceso y autenticación
🔎 Explicación: La auditoría de seguridad evalúa los mecanismos de autenticación y control de acceso para proteger la información.

16. ¿Qué organismo en España regula el Esquema Nacional de Seguridad (ENS)?

a) AEPD (Agencia Española de Protección de Datos)
b) INCIBE (Instituto Nacional de Ciberseguridad)
c) CCN (Centro Criptológico Nacional)
d) ISO (International Organization for Standardization)

Respuesta correcta: c) CCN (Centro Criptológico Nacional)
🔎 Explicación: El CCN es el organismo encargado de supervisar y regular la aplicación del ENS en España.

17. ¿Cuál es el propósito de una auditoría de cumplimiento en la Administración Pública?

a) Implementar nuevas tecnologías
b) Garantizar que los sistemas cumplen con normativas y regulaciones específicas
c) Sustituir software obsoleto
d) Optimizar el ancho de banda de la red

Respuesta correcta: b) Garantizar que los sistemas cumplen con normativas y regulaciones específicas
🔎 Explicación: La auditoría de cumplimiento verifica que los sistemas cumplan con normativas como el ENS, RGPD y la ISO 27001.

18. ¿Qué elemento NO forma parte de una auditoría informática?

a) Evaluación de riesgos
b) Pruebas de seguridad
c) Elaboración de un plan de contingencia
d) Desarrollo de software

Respuesta correcta: d) Desarrollo de software
🔎 Explicación: Una auditoría informática no desarrolla software, sino que evalúa su seguridad, cumplimiento y eficiencia.

19. ¿Qué estándar proporciona mejores prácticas para la gestión de servicios de TI?

a) ITIL
b) ISO 14001
c) PCI DSS
d) COBIT

Respuesta correcta: a) ITIL
🔎 Explicación: ITIL es un conjunto de buenas prácticas para la gestión eficiente de los servicios de TI.

20. ¿Qué técnica permite analizar los registros de actividad de los sistemas informáticos?

a) Auditoría de código
b) Pruebas de estrés
c) Análisis forense
d) Test de carga

Respuesta correcta: c) Análisis forense
🔎 Explicación: El análisis forense permite examinar registros y eventos del sistema para investigar incidentes de seguridad.

21. ¿Cuál es el principal objetivo de la fase de seguimiento en una auditoría informática?

a) Implementar mejoras y corregir vulnerabilidades detectadas
b) Recolectar información inicial
c) Redactar un nuevo informe de auditoría
d) Desarrollar nuevas políticas de seguridad

Respuesta correcta: a) Implementar mejoras y corregir vulnerabilidades detectadas
🔎 Explicación: La fase de seguimiento asegura que se implementen las recomendaciones establecidas en el informe de auditoría.

22. ¿Qué norma es obligatoria en España para sistemas de información de la administración pública?

a) ENS
b) NIST
c) COBIT
d) ISO 9001

Respuesta correcta: a) ENS
🔎 Explicación: El Esquema Nacional de Seguridad (ENS) es obligatorio en España para la seguridad de los sistemas de información en la administración pública.

23. ¿Cuál de las siguientes actividades forma parte de una auditoría de redes?

a) Evaluación de la infraestructura de comunicaciones
b) Redacción de contratos con proveedores
c) Análisis de código fuente
d) Implementación de servidores

Respuesta correcta: a) Evaluación de la infraestructura de comunicaciones
🔎 Explicación: La auditoría de redes analiza la seguridad, eficiencia y disponibilidad de la infraestructura de comunicaciones.

24. ¿Qué acción se recomienda tras la auditoría de seguridad informática?

a) No realizar ningún cambio inmediato
b) Implementar medidas correctivas y reforzar la seguridad
c) Deshabilitar los controles de seguridad temporalmente
d) Realizar una auditoría de redes

Respuesta correcta: b) Implementar medidas correctivas y reforzar la seguridad
🔎 Explicación: Tras una auditoría de seguridad, se deben aplicar las recomendaciones para corregir vulnerabilidades y mejorar la protección.

25. ¿Qué componente de una auditoría informática ayuda a identificar riesgos potenciales en un sistema?

a) Evaluación de impacto
b) Implementación de firewalls
c) Instalación de software de monitoreo
d) Despliegue de nuevas redes

Respuesta correcta: a) Evaluación de impacto
🔎 Explicación: La evaluación de impacto permite identificar y analizar los posibles riesgos que podrían afectar la seguridad y eficiencia del sistema.

26. ¿Cuál de los siguientes es un objetivo de la auditoría de sistemas?

a) Optimizar el consumo energético de los servidores
b) Evaluar la disponibilidad, integridad y seguridad de los sistemas de información
c) Diseñar software de gestión empresarial
d) Mejorar la experiencia del usuario en aplicaciones web

Respuesta correcta: b) Evaluar la disponibilidad, integridad y seguridad de los sistemas de información
🔎 Explicación: La auditoría de sistemas tiene como objetivo verificar el rendimiento, la seguridad y la confiabilidad de los sistemas de información.

27. ¿Qué se evalúa en una auditoría de continuidad del negocio?

a) La eficiencia del código fuente de las aplicaciones
b) La disponibilidad de recursos humanos en TI
c) La capacidad de la organización para recuperarse ante fallos o desastres
d) La velocidad de procesamiento de la red

Respuesta correcta: c) La capacidad de la organización para recuperarse ante fallos o desastres
🔎 Explicación: La auditoría de continuidad del negocio verifica los planes de recuperación y contingencia ante eventos críticos que puedan afectar la operatividad.

28. ¿Cuál de los siguientes aspectos se analiza en una auditoría forense informática?

a) Cumplimiento de contratos con proveedores
b) Investigación de incidentes de seguridad y recolección de evidencias digitales
c) Velocidad de conexión a Internet
d) Análisis de la rentabilidad de un software

Respuesta correcta: b) Investigación de incidentes de seguridad y recolección de evidencias digitales
🔎 Explicación: La auditoría forense informática se encarga de analizar ataques, fraudes y actividades maliciosas en sistemas de información.

29. ¿Qué técnica de auditoría permite detectar accesos no autorizados a un sistema?

a) Pruebas de carga
b) Análisis de logs y registros de actividad
c) Monitoreo del tráfico de red en tiempo real
d) Instalación de antivirus

Respuesta correcta: b) Análisis de logs y registros de actividad
🔎 Explicación: Los logs de actividad permiten identificar intentos de acceso no autorizados, actividad sospechosa y anomalías en los sistemas.

30. ¿Qué norma internacional proporciona un marco para la gestión de la privacidad de la información?

a) ISO 27018
b) ITIL
c) COBIT
d) PCI DSS

Respuesta correcta: a) ISO 27018
🔎 Explicación: ISO 27018 establece directrices para la protección de datos personales en servicios en la nube y otras plataformas digitales.

31. ¿Cuál de los siguientes controles de seguridad es más efectivo para prevenir accesos no autorizados?

a) Uso de firewalls
b) Implementación de doble autenticación (MFA)
c) Análisis de vulnerabilidades trimestral
d) Realizar auditorías una vez al año

Respuesta correcta: b) Implementación de doble autenticación (MFA)
🔎 Explicación: La doble autenticación (MFA) refuerza la seguridad al exigir un segundo factor de verificación antes de acceder a un sistema.

32. ¿Qué aspecto es clave en una auditoría de aplicaciones web?

a) Evaluación de la usabilidad y experiencia del usuario
b) Análisis de vulnerabilidades como inyecciones SQL y XSS
c) Optimización del tiempo de carga de la página
d) Número de usuarios registrados en la plataforma

Respuesta correcta: b) Análisis de vulnerabilidades como inyecciones SQL y XSS
🔎 Explicación: Una auditoría de aplicaciones web evalúa riesgos como inyecciones SQL, ataques XSS y accesos no autorizados para garantizar la seguridad.

33. ¿Qué marco regulador establece medidas de seguridad para proteger la información financiera?

a) ISO 27001
b) GDPR
c) PCI DSS
d) NIST

Respuesta correcta: c) PCI DSS
🔎 Explicación: PCI DSS es un estándar de seguridad que establece requisitos para proteger la información de tarjetas de pago en empresas financieras y comerciales.

34. ¿Cuál es una medida efectiva para mejorar la seguridad de una red corporativa?

a) Utilizar solo contraseñas largas sin cambiarlas periódicamente
b) Segmentar la red y aplicar controles de acceso estrictos
c) Permitir conexiones abiertas para facilitar el acceso de los empleados
d) Evitar actualizaciones de seguridad para mantener la compatibilidad

Respuesta correcta: b) Segmentar la red y aplicar controles de acceso estrictos
🔎 Explicación: La segmentación de red y los controles de acceso ayudan a limitar el movimiento lateral de posibles atacantes y proteger la infraestructura TI.

 

📌 Mapa Conceptual: Auditoría Informática

🖥️ 1. Concepto y Funcionalidades de la Auditoría Informática

📌 Evaluación de sistemas de información para garantizar seguridad, integridad y eficiencia.
📌 Identificación de vulnerabilidades y riesgos en infraestructuras tecnológicas.
📌 Cumplimiento normativo y mejora de procesos en entornos TI.

📜 2. Normas y Estándares en Auditoría Informática

📌 🔐 ISO 27001: Seguridad de la información y gestión de riesgos.
📌 📑 COBIT: Gobierno y gestión de TI.
📌 ⚙️ ITIL: Mejores prácticas en gestión de servicios TI.
📌 📜 ENS: Regulación de la seguridad de la información en la Administración Pública en España.
📌 🔏 RGPD: Protección de datos personales en la Unión Europea.
📌 💳 PCI DSS: Seguridad en transacciones electrónicas.
📌 🛡️ NIST: Guías de ciberseguridad y estándares técnicos.

🏢 3. Organización de la Función Auditora

📌 🏠 Auditoría Interna: Evaluación realizada dentro de la organización.
📌 🏢 Auditoría Externa: Evaluación realizada por entidades especializadas.
📌 📆 Fases de una Auditoría:

  • 🔍 Planificación: Definir objetivos y alcance.
  • 📊 Ejecución: Recopilar información y pruebas.
  • ⚖️ Análisis de Resultados: Identificación de vulnerabilidades.
  • 📃 Informe de Auditoría: Conclusiones y recomendaciones.
  • 🔄 Seguimiento: Implementación de mejoras.

📊 4. Clases de Auditoría Informática

📌 🔒 Auditoría de Seguridad: Evaluación de controles de acceso, cifrado y firewalls.
📌 ✅ Auditoría de Cumplimiento: Verificación de normativas y estándares.
📌 🖥️ Auditoría de Sistemas: Evaluación del rendimiento y fiabilidad de infraestructuras TI.
📌 🌐 Auditoría de Redes: Análisis de conectividad, firewalls y segmentación de red.
📌 👨‍💻 Auditoría de Desarrollo de Software: Evaluación de calidad y seguridad en el ciclo de vida del software.
📌 🔍 Auditoría Forense: Investigación de incidentes de seguridad y análisis de registros.
📌 📂 Auditoría de Continuidad del Negocio: Planes de contingencia y recuperación ante desastres.

🏛️ 5. Auditoría Informática en la Administración Pública

📌 📜 ENS (Esquema Nacional de Seguridad): Obligatorio en sistemas públicos en España.
📌 🔑 Gestión de Identidades y Accesos: Control de usuarios en sistemas administrativos.
📌 💻 Trámites Electrónicos: Seguridad en procesos digitales gubernamentales.
📌 📑 Supervisión de Proveedores TI: Evaluación de contratos y cumplimiento normativo.
📌 🔬 Análisis Epidemiológico en el SAS: Uso de auditoría TI en sanidad pública.

📌 Resumen del Mapa Conceptual

La auditoría informática evalúa la seguridad, integridad y cumplimiento normativo de los sistemas de información.
Los estándares y normativas como ISO 27001, COBIT, ENS y RGPD establecen las mejores prácticas en seguridad y gestión de datos.
La organización de la función auditora sigue fases estructuradas: planificación, ejecución, análisis, informe y seguimiento.
Existen diferentes tipos de auditoría informática: seguridad, cumplimiento, sistemas, redes, desarrollo de software y forense.
En la Administración Pública, la auditoría informática es clave para garantizar la transparencia, seguridad y cumplimiento legal.

 

 

Publicaciones relacionadas

OPE 2025 TFA INF. Tema 76. La seguridad de las tecnologías de la información: objetivos, estrategias, políticas, organización y planificación. La evaluación y certificación de la seguridad de las tecnologías de la información. Medidas de seguridad (físicas, técnicas, organizativas y legales). Planes de contingencia y recuperación ante desastres. Respaldo y continuidad. Política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y del Servicio Andaluz de Salud. Estrategia Europea, Nacional y Andaluza de Ciberseguridad.

Esteban Castro

OPE 2025 TFA INF. Tema 59. Redes de telecomunicaciones. Conceptos básicos. Elementos. Clasificación. Redes de telefonía. Redes de datos. Redes de ordenadores (LAN, MAN, WAN, INTERNET). Redes de comunicaciones móviles. Redes de cable.

Esteban Castro

OPE 2025 TFA INF. Tema 30. Gestión del Porfolio de Sistemas de Información. Mapa de soluciones digitales. Sistemas de información transversales del Servicio Andaluz de Salud.

Esteban Castro

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *