Nombre del Curso: AUDITORIA DE SISTEMAS
Momento 2 - TRABAJO COLABORATIVO
2
UNIVERSIDAD
NACIONAL ABIERTA Y A DISTANCIA – UNAD
INTRODUCCIÓN
Según la norma
ISO 19011:2011 la auditoría se define como: “proceso sistemático, independiente
y documentado para obtener evidencias”, este proceso realizado dentro de una
empresa permite la identificación de vulnerabilidades y amenazas que pueden
afectar un sistema tecnológico, sea este hardware o software.
El proceso
para realizar una auditoría compone una etapa de conocimiento, planeación,
donde se realiza un estudio general de la empresa a ser auditada, la ejecución
de la misma y la entrega de resultados.
En la etapa de
planeación se debe realizar el cronograma, planeación de actividades y
presupuesto, para que de esta manera se pueda planificar correctamente el
proceso y llevar la auditoría a buen término.
Dentro de este
trabajo realizaremos el plan de auditoría basado en COBIT 4.1, lo que nos
permitirá desarrollar nuestros conocimientos en este proceso tan importante
para el desarrollo de nuestro perfil profesional en el área de sistemas.
Esperamos que
la información recopilada incremente nuestras capacidades y nos brinde el
conocimiento necesario de este tema para la aplicación en nuestra vida
profesional.
OBJETIVOS
·
Que los estudiantes
identifiquen paso a paso lo que es la elaboración de cada fase de una auditoria informática.
·
Aplicar los conocimientos en
COBIT para la realización del trabajo de
la auditoria.
·
Afianzar los conocimientos
desarrollados en el primer trabajo.
·
Fortalecer los conceptos que
se tiene sobre la auditoria de sistemas.
·
Elaborar un plan de
auditoria para aplicarlo a la empresa escogida.
·
Realizar el programa de
auditoria teniendo en cuenta los estándares solicitados.
ACTIVIDAD INDIVIDUAL
Identificar
vulnerabilidades, amenazas, riesgos o fallas que puedan suceder o que están
sucediendo en las empresas con respecto al área informática o los sistemas de
información (errores de hardware, software, seguridad física o lógica, redes,
equipos de protección eléctrica, usuarios, la organización del área
informática, el desempeño de funciones, entre otros).
APORTE INDIVIDUAL xxxxxxxxxxxx
VULNERABILIDADES DE
LA CONTRALORÍA GENERAL DE LA REPÚBLICA
|
||||
ÍTEM
|
VULNERABILIDADES
|
TIPO DE VULNERABILIDAD
|
UBICACIÓN AMENAZA
|
RIESGOS
|
1
|
No es posible
implementar los lineamientos de seguridad en materia de red de datos, toda
vez que la infraestructura física de la red de datos no es suficiente para
abarcar la totalidad de los usuarios y fue necesario instalar acces point
para darles acceso a la red.
|
Vulnerabilidad
Física
|
Infraestructura
tecnológica
|
El riesgo radica en
la vulnerabilidad que poseen los redes inalámbricas, debido a que los
protocolos de seguridad de esta tecnología son fáciles de penetrar y existen
gran cantidad de herramientas que permiten hacerlo.
|
2
|
No se cuenta con el
ancho de banda suficiente para la correcta operación de los sistemas en línea
en la sede centro.
|
Vulnerabilidad
Física
|
Infraestructura
tecnológica
|
El riesgo radica en
la falta de capacidad de ancho de banda de internet para soportar
efectivamente los aplicativos en línea.
|
3
|
No se cuenta con
los ambientes adecuados para los equipos de las salas de audiencia y
videoconferencia.
|
Vulnerabilidad
Física
|
Infraestructura
tecnológica
|
El riesgo radica en
el deterioro que sufren los equipos de audiencia y de videoconferencia, toda
vez que hay que instalarlos y desinstalarlos cuando se requiere usarlos,
debido a la ausencia de un espacio físico independientes para estos.
|
4
|
No se cuenta con la
codificación de los puntos de red en el edificio, ni en el gabinete del rack
de telecomunicaciones.
|
Vulnerabilidad
Física
|
Infraestructura
tecnológica
|
El riesgo radica en
la imposibilidad de atender un requerimiento de manera oportuna, toda vez que
no se cuenta con la codificación requerida para la identificación de los
puntos de acceso a la red, lo cual va en contra vía a los principios de
eficiencia y eficacia.
|
5
|
Ausencia de
servidor como repositorio de archivos.
|
Vulnerabilidad
Hardware
|
Infraestructura
tecnológica
|
El riesgo radica en
la imposibilidad de realizar una copia de seguridad en un equipo-servidor que
actué como repositorio de archivos, con el ánimo de realizar un respaldo
global.
|
6
|
Ausencia de
servidor de direccionamiento de DHCP
en la sede centro.
|
Vulnerabilidad
Hardware
|
Infraestructura
tecnológica
|
En la sede centro
no se cuenta con un servidor que realice la asignación de IP por medio de
direccionamiento DHCP.
|
7
|
Ausencia de equipos
de contingencia.
|
Vulnerabilidad
Hardware
|
Parque
computacional
|
El riesgo radica en
la ausencia de equipos de cómputo de respaldo, toda vez que en el momento que
se genera un daño, no es posible reemplazarlo, para que continué funcionando
en pro de la correcta operación de los sistemas informáticos.
|
8
|
Agilidad en la ejecución
de los trámites de las garantías de los equipos de cómputo ante los
contratistas.
|
Vulnerabilidad
Hardware
|
Parque
computacional
|
Debido a que el
trámite de las garantías se encuentra centralizado en el nivel central esta
no se gestionan dentro los tiempos establecidos, ocasionando traumatismo y
afectando los procesos y trámites que se deben hacer en los sistemas de
información.
|
9
|
obsolescencia en el
regulador de 50 KVA de la acometida eléctrica regulada
|
Vulnerabilidad
Hardware
|
Parque
computacional
|
El riesgo radica en
el posible daño de los dispositivos computacionales a causa de la
obsolescencia del regulador de 50 KVA de la acometida eléctrica regulada, el
cual presenta fallas en la regulación del voltaje.
|
10
|
Falta de
capacitación específica para la ejecución de actividades inherentes.
|
Vulnerabilidad
humanas
|
Talento humano -
proceso de capacitación
|
Los procesos de
capacitación al momento de implementar las soluciones tecnológicas no son los
adecuados, con el ánimo de garantizar el correcto funcionamiento de las
herramientas tecnológicas y de información.
|
11
|
Ausencia de copias
de seguridad por parte de los funcionarios
|
Vulnerabilidad
humanas
|
Talento humano
|
Existe el constante
riesgo de pérdida de información, toda vez que los funcionarios no sacan copias
de seguridad, ni usan el servidor destinado como repositorio de archivos para
conservar las mismas.
|
APORTE INDIVIDUAL xxxxxxxxxxx
VULNERABILIDADES DE
LA GOBERNACIÓN DE ANTIOQUIA
|
||||
ÍTEM
|
VULNERABILIDADES
|
TIPO DE VULNERABILIDAD
|
UBICACIÓN AMENAZA
|
RIESGOS
|
1
|
La infraestructura
del edificio donde se encuentran las diferentes redes es demasiado antigua
para soportar las nuevas tecnologías y futuras expansiones.
|
Vulnerabilidad
Física
|
Infraestructura
tecnológica
|
Debido a la falta
de espacio en la infraestructura se encuentran cables a la vista, disposición
inadecuada de redes e infraestructura tecnológica vulnerable para ataques
físicos directos.
|
2
|
Contraseñas de
acceso a los equipos se comparte entre usuarios al momento de realizar
trabajos comunes.
|
Vulnerabilidades
humanas.
|
Talento humano
|
Debido a problemas
para trabajo en equipo o almacenamiento de información en equipos comunes,
los usuarios comparten la contraseña de acceso a los diferentes sistemas.
|
3
|
Demoras para la
atención de fallas de hardware y software por parte del outsourcing
contratado para dar soporte.
|
Vulnerabilidades
humanas
|
Talento humano
|
Debido a las largas
tardanzas para brindar soporte técnico a los usuarios, se presentan
afectaciones en los procesos y la prestación de servicios.
|
4
|
No existe un
control ni seguimiento claro a las unidades de red creadas para el
almacenamiento de información en los servidores.
|
Vulnerabilidades
tecnológicas
|
Infraestructura
tecnológica.
|
No se tiene un
inventario detallado de las unidades de red, de la información almacenada, ni
de la utilidad de la misma, lo que genera duplicación de información y
desperdicio de recursos
|
5
|
Existen algunos
equipos obsoletos que no cumplen las características mínimas para ejecutar
programas actuales.
|
Vulnerabilidades
tecnológicas.
|
Infraestructura
tecnológica.
|
Aunque ya se
reemplazaron gran cantidad de equipos obsoletos, todavía se utilizan muchos
equipos que no cumplen con las características mínimas para ejecutar los
programas requeridos.
|
6
|
Pobre o inexistente
documentación de procesos informáticos.
|
Vulnerabilidades
tecnológicas.
|
Sistema Integrado
de Gestión
|
Los procesos
realizados por la Dirección de informática no se encuentran totalmente
documentados ni estandarizados, lo que genera problemas al momento de rotar
el personal y realizar la capacitación del mismo.
|
7
|
No existe la
implementación de protocolos de backup para la información generada por los
usuarios.
|
Vulnerabilidades
tecnológicas.
|
Proceso de backup
|
No se ha
desarrollado un protocolo que permita realizar un backup general de la
información generada por los usuarios, lo que genera un posible riesgo ante
un desastre o evento catastrófico que genere daños físicos graves a la
infraestructura.
|
8
|
No existe una
política de desarrollo de software
|
Vulnerabilidades
tecnológicas
|
Desarrollo de
software
|
Al momento de
desarrollar software a la medida para la Gobernación, no se tienen reglas ni
estructura, lo que ha generado varias soluciones incompatibles entre sí y que
no siguen lineamientos de desarrollo.
|
9
|
Personal técnico no
cuenta con capacitación adecuada para atender necesidades de los usuarios.
|
Vulnerabilidad
Humana.
|
Talento Humano
|
Algunos miembros
del equipo de trabajo de la dirección de informática, no cuentan con el
conocimiento necesario para aportar nuevas soluciones que mejoren los
procesos realizados por la entidad, lo que afecta la prestación del servicio
y facilita el desperdicio de recursos.
|
10.
|
Algunos usuarios no
cuentan con el conocimiento técnico necesario para prevenir ataques
informáticos.
|
Vulnerabilidad
Humana.
|
Talento Humano.
|
Algunos usuarios no
cuentan con conocimiento técnico que les permita protegerse ante diferentes
ataques informáticos en la entidad (phising, virus informáticos, ingeniería
social) lo que arriesga el sistema informático y puede generar problemas
graves.
|
PORTE INDIVIDUAL xxxxxxxxxxxxx
vulnerabilidades fallas amenazas y riesgos
|
Responsables y causas
|
Consecuencias
|
|
1
|
Fallas en el cableado de red
|
Los principales responsables de esta falla serían los encargados de
revisar constantemente las instalaciones y el lugar donde está ubicado.
|
Problemas de navegación o cortes en el servicio de internet
|
2
|
Vulnerabilidad en la parte
informática
|
En esta parte la responsabilidad me
parece compartida. Por un lado las personas que regularmente manejan los
equipos (empleados) o los ingenieros encargados de monitorear el
funcionamiento de los mismos.
|
Posibles fraudes a la empresa, robos
de información, spyware.
|
3
|
Falta de un buen respaldo de información
|
Todos estos respaldos los debe realizar constantemente la persona
encargada del equipo
|
Pérdida parcial o total de la información contenida en los equipos
|
4
|
Mal manejo de los equipos
informáticos
|
Esto se debe al descuido o
inoperancia de los empleados mismos.
|
Programas documentos o parte física
de los equipos para reparación o cambio total.
|
5
|
Perdida de información importante como contraseñas
|
Es de vital importancia mantener las contraseñas o la información
importante en lugares seguros y respaldados.
|
Sistemas vulnerables a personas inescrupulosas, pérdida de tiempo
tratando de recuperar las claves del sistema.
|
6
|
Fallas que pueden producirse en el
sistema
|
Las fallas que pueda producirse en
los sistemas podrían ser intencionadas o darse de forma accidental
|
Distintas consecuencias como
reparación de equipo de cómputo o cambios de software
|
7
|
Pérdida o robo de equipos de computo
|
Se puede dar de manera esporádica por diversos motivos
|
Desfalcos de información, necesidad de conseguir nuevo material
|
8
|
Mal manejo de programas importantes
para la empresa
|
Los empleados pueden darle un mal uso a los equipos que contienen los
programas y estos versen afectados
|
Pérdida de tiempo recuperando
totalmente los programas, o corrigiendo los daños.
|
9
|
Correos intervenidos
|
Esto se puede producir por personas sin escrúpulos que solo buscan
atentar contra las políticas de la empresa
|
Filtración de la información que maneja la empresa cada día
|
10
|
Ataques de virus
|
Estos ataques se producen por tener
equipos desprotegidos o desactualizados
|
Pueden ocasionar graves daños a
software de la empresa.
|
ACTIVIDAD COLABORATIVA
AUDITORÍA AL HARDWARE DE EQUIPOS DE CÓMPUTO, RED FÍSICA,
EQUIPOS DE PROTECCIÓN ELÉCTRICA, Y SEGURIDAD FÍSICA.
Contraloría General de la República,
Gerencia Departamental Colegiada del Valle del Cauca
PLAN DE TRABAJO
Ejecutivo Superior: xxxxxxxxxxxxxxxxxxxxxx
Equipo Auditor: xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
OBJETIVOS Y ALCANCE DE LA AUDITORIA
OBJETIVO GENERAL
Evaluar y conceptuar sobre
control de tecnología relacionada a los diversos procesos operacionales,
misionales y de apoyo de la Contraloría General de la Republica Gerencia
Departamental Colegiada Valle del Cauca, en base a lineamientos y orientaciones
establecidos en el estándar COBIT.
.
OBJETIVOS ESPECÍFICOS
1. Evaluar la planeación y organización (PO) de las
estrategias y las tácticas que permiten contribuir al logro de los objetivos de
la organización, además de la
realización de la visión estratégica, comunicada y administrada desde
todas las perspectivas e implementación de la estructura organizacional y
tecnológica.
2. Evaluar la adquisición e implementación de las
soluciones en materia de tecnología de información así como la integración en los procesos de la
entidad así como el cambio y el mantenimiento de los sistemas existentes.
3. Evaluar la entrega de los servicios requeridos, la
prestación del servicio, la administración de la seguridad y de la continuidad,
el soporte del servicio a los usuarios, la administración de los datos y de las
instalaciones operativas.
4. Evaluar el monitoreo y evaluación en cuanto a su
calidad y cumplimiento de los requerimientos de control, así como también la
administración del desempeño, el monitoreo del control interno, el cumplimiento
regulatorio y la aplicación en la organización.
ANTECEDENTES
Se antecede a esta auditoria las
evaluaciones anuales que desarrolla la unidad de aseguramiento tecnológico e
informático USATI, con el ánimo de diagnosticar y evaluar las condiciones
funcionales y procedimentales, procurando identificar las amenazas y
vulnerabilidades correspondientes a las áreas de sistemas de las gerencias
departamentales colegiadas para posteriormente diseñar estrategias que permitan
mitigar los riegos que estas puedan acarrear.
METODOLOGÍA DE LA AUDITORÍA
Para llevar a cabo
la auditoria se tendrán en cuenta todos y cada uno de los objetivos planteados,
esta se basara y orientara en el estándar COBIT versión 4.1, para la evaluación
del hardware de equipos de cómputo, red
física, equipos de protección eléctrica, y seguridad física.
Para el desarrollo
de esta auditoria se hará una inspección física a todos los componentes que
motivan esta auditoria con el ánimo evaluar
que la planeación y organización, la adquisición e implementación, la entrega
de los servicios requeridos, el monitoreo y evaluación y demás acciones pertinentes, están en línea con los objetivos evaluadores
de la auditoria, así como también que estos estén en concordancia con los
principios de eficiencia y eficacia.
De acuerdo a lo
anterior la auditoria estará conformada por las siguientes fases y actividades
correspondientes:
Fase de la auditoria
|
|||
Fase
|
Nombre de la fase
|
Actividades
|
|
1
|
Planeación y programación
|
1
|
Solicitud informe de equipos de cómputo, red física, equipos de
protección eléctrica, y seguridad física.
|
2
|
Análisis de la información suministrada
|
||
3
|
Diseño del plan de Visitas
|
||
4
|
Mesa de trabajo
|
||
2
|
Ejecución de la auditoria
|
5
|
Visitas e inspección de las infraestructuras de telecomunicaciones y
eléctrica.
|
5.1
|
Evaluación de la planeación y organización de las infraestructuras de
telecomunicaciones y eléctrica.
|
||
5.2
|
Evaluación la adquisición e implementación de las infraestructuras de
telecomunicaciones y eléctrica.
|
||
5.3
|
Evaluación la entrega de los servicios requeridos de las
infraestructuras de telecomunicaciones y eléctrica.
|
||
5.4
|
Evaluación el monitoreo y evaluación de las infraestructuras de
telecomunicaciones y eléctrica.
|
||
3
|
Informe y plan de acción
|
6
|
Análisis preliminar de la información recolectada en el desarrollo de
la auditoria.
|
7
|
Mesa de trabajo
|
||
8
|
Consolidación del informe de auditoria
|
||
9
|
Entrega y exposición del informe de auditoría a la gerencia.
|
ALCANCE DE
LA AUDITORÍA
En esta auditoria
se evaluara la infraestructura física de la contraloría general de la republica
gerencia departamental colegiada Valle del Cuaca, tales como los equipos de
cómputo, red física, equipos de protección eléctrica, y seguridad física ya que
estos son los que permiten el funcionamiento de todos los aplicativos, sistemas
de información y soluciones tecnológicas que permiten el desarrollo de los
procesos misionales por parte de las personas que conforman el talento humano
de esta entidad.
No obstante, estos
aplicativos, sistemas de información y soluciones tecnológicas no se auditaran,
debido a que no es de interés, ni se encuentra en línea con los objetivos y
pretensiones de esta auditoría.
MESAS DE
TRABAJO
Se efectuarán, las
mesas de trabajo cada diez (8) días y las que se requieran de acuerdo a los
resultados que se obtengan.
TIEMPO
ESTIMADO
Se estima que la
duración de la auditoria se realizara los días hábiles comprendidos entre el 16
de abril al 11 de mayo de 2015. De requerir ampliación de términos se
solicitará su diligencia oportunamente.
RECURSO
HUMANO
El equipo auditor
que desempeñara la auditoria está conformado por los siguientes profesionales:
FUNCIONARIO
|
ROL
|
Williams Ávila Pardo
|
Ejecutivo Superior
|
xxxxxxxxxxxxxxxxxxx
|
Auditor
|
xxxxxxxxxxxxxxxx
|
Auditor
|
xxxxxxxxxxxxxxxx
|
Auditor
|
xxxxxxxxxxxxxxxx
|
Auditor
|
Se ha considerado
que de requerir personal adicional será oportunamente gestionado.
PRESUPUESTO
ELEMENTOS
|
COSTOS
|
TOTALES
|
Salario Ejecutivo Superior
|
$ 2.943.450
|
$ 2.943.450
|
Salario auditores: equipo auditores (tres
auditores
|
$ 2.000.000
|
$ 6.000.000
|
Utilitarios(3 computadores portátiles)
|
$ 1.000.000
|
$ 3.000.000
|
Videocámara
|
$ 300.000
|
$ 300.000
|
Viáticos para visitas
|
$ 100.000
|
$ 300.000
|
Viáticos para la realización de las mesas de trabajo( 2 mesas de trabajo)
|
$ 600.000
|
$ 1.200.000
|
Viáticos para posibles gastos adicionales o
por si se requiere más personal auditor ser contratado con tiempo
|
$ 2.000.000
|
$ 2.000.000
|
TOTAL:
|
15.743.450
|
Toda
auditoría realizada tiene un coste tanto en tiempo como en términos económicos,
esto depende de la entidad, empresa u organización a auditar, para este caso y
por ser la Contraloría General de la República en su Gerencia Departamental
Colegiada del Valle del Cauca. Se requerirán 18 días hábiles, acciones que
comenzarán a realizarse desde el día 16 de abril al 11 de mayo del presente
año, se ha realizado el plan de trabajo para tratar de utilizar solo los días
planificados en un principio y para tratar de realizar la auditoria de una
forma más llevadera. El coste presentado en la anterior tabla es basado en la
infraestructura y los requerimientos de la entidad. Además de la intensidad
horaria necesaria para llevar a cabo la auditoria.
En
la anterior tabla de presupuestos de consideró:
ü El
salario del Ejecutivo Superior y los
auditores, corresponde a los honorarios que reciben los auditores implicados en
realizar el procedimiento teniendo en cuenta los cargos y responsabilidades de
cada auditor.
ü Los
utilitarios que son los equipos necesarios para llevar a cabo las debidas revisiones
y conclusiones que se puedan sacar del procedimiento. Se maneja un equipo por
auditor porque cada uno tiene a su cargo distintos sectores de la empresa.
ü Se
considera de gran importancia tener una videocámara de buenas especificaciones
para apoyar las visitas.
ü Los
viáticos pueden parecer un poco elevados, pero se consideran justos puesto que
los implicados en el proceso no todos pertenecen a la región en la cual se
encuentra ubicada la entidad auditada.
ü Los
viáticos para las mesas de trabajo son aún más elevados, pero se debe tener en cuenta aparte de lo enteramente
mencionado, que cada mesa de trabajo forma parte vital de que la auditoria
este bien encaminada, y para esto se
necesita un ambiente cómodo en el cual los auditores tengan a su disposición lo
que sea necesario.
ü Se
considera un dinero extra por si se llega a complicar algún equipo, o la salud
de un auditor o simplemente por razones obvias de bastante carga laboral se
requiere de más personal capacitado.
CRONOGRAMA DE ACTIVIDADES
AUDITORÍA AL HARDWARE DE EQUIPOS DE CÓMPUTO, RED
FÍSICA, EQUIPOS DE PROTECCIÓN ELÉCTRICA, Y SEGURIDAD FÍSICA.
|
|||||||||||||||||||
Entidad:
|
Contraloría General de la República
|
||||||||||||||||||
N°
|
ACTIVIDAD
|
Abril
|
Mayo
|
||||||||||||||||
16
|
17
|
20
|
21
|
22
|
23
|
24
|
27
|
28
|
29
|
30
|
1
|
4
|
5
|
6
|
7
|
8
|
11
|
||
1
|
Solicitud
informe de equipos de cómputo, red física, equipos de protección eléctrica, y
seguridad física.
|
||||||||||||||||||
2
|
Análisis
de la información suministrada
|
||||||||||||||||||
3
|
Diseño
del plan de Visitas
|
||||||||||||||||||
4
|
Mesa de
trabajo
|
||||||||||||||||||
5
|
Visitas
e inspección de las infraestructuras de telecomunicaciones y eléctrica.
|
||||||||||||||||||
5.1
|
Evaluación
de la planeación y organización de las infraestructuras de telecomunicaciones
y eléctrica.
|
||||||||||||||||||
5.2
|
Evaluación
la adquisición e implementación de las infraestructuras de telecomunicaciones
y eléctrica.
|
||||||||||||||||||
5.3
|
Evaluación
la entrega de los servicios requeridos de las infraestructuras de
telecomunicaciones y eléctrica.
|
||||||||||||||||||
5.4
|
Evaluación
el monitoreo y evaluación de las infraestructuras de telecomunicaciones y eléctrica.
|
||||||||||||||||||
6
|
Análisis
preliminar de la información recolectada en el desarrollo de la auditoria.
|
||||||||||||||||||
7
|
Mesa de
trabajo
|
||||||||||||||||||
8
|
Consolidación
del informe de auditoria
|
||||||||||||||||||
9
|
Entrega
y exposición del informe de auditoría a la gerencia.
|
APROBACIÓN
COMITÉ TÉCNICO
ACTA
|
FECHA
|
No. 0001
|
Marzo 15 de 201x
|
CONCLUSIONES
·
La auditoría es una
herramienta que nos permite revisar y evaluar uno o varios procesos con el
ánimo de corregir un error y proponer soluciones para mitigar sus causas.
·
COBIT es un marco de
referencia con el cual se puede comparar
los controles de tecnologías de información con el fin de mejorarlos.
·
COBIT ofrece un amplio marco
de trabajo con el cual se puede incrementar y fortalecer la seguridad de la
información en las organizaciones.
·
Gracias a plan de auditoria
se puede tener la certeza de como realizara la auditoria que se establecen los
objetivos, alcance, metodología, recursos humanos, presupuesto y cronograma de
ejecución.
BIBLIOGRAFÍA
·
Thorin,
Marc; La Auditoría Informática: métodos, reglas, normas, Ed.
Masson, S.A., 1989
·
Modulo
unidad 2, Auditoria de sistemas, universidad nacional
abierta y a distancia. http://campus13.unad.edu.co/campus13_20151/mod/lesson/view.php?id=676