ADR 2 Cap02 AuditoriaV2011 08 PDF

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS

Unidad 2: Seguridad de la Informacin y Auditora

Autor: Lic. Sergio Gasparroni Agosto de 2011
Revisora: Lic. Fabiana Mara Riva. Pgina 1/54

CAPTULO 2

AUDITORA

El Objetivo de este captulo es introducir al alumno en los conocimientos sobre auditora en
general y auditora informtica en particular que definen sus entornos de aplicacin y los tipos de
controles, herramientas y metodologas de trabajo para su planificacin, desarrollo y emisin de
resultados sobre los aspectos auditados.

Bibliografa utilizada:
Adems de la bibliografa mencionada en esta unidad se han tenido en cuenta para la
confeccin de este apunte:
Piattini Velthius, Mario. Auditora Informtica. Un Enfoque Prctico. 2da. Edicin Ed.
Alfaomega 2001
Arens Alvin , Elder Randal , Beasley Mark. Auditora: Un Enfoque Integral Ed. Pearson
Educacin 2007
Echenique Garcia, Jose. Auditora en Informtica Ed. MCGraw-Hill 1995
Federacin de Consejos de Profesionales de C.Econmicas. Manual de Auditora Informes
5 y 6
Fco. Javier Nava Garcia Apuntes de Auditora Informtica
http://www.gavab.es/wiki/download/ai/Temario/AudInf-Apuntes-1...10.pdf


Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora

NDICE

INTRODUCCIN ..........................................................................................................3
CONCEPTO DE AUDITORA .............................................................................................4
TIPOS DE AUDITORAS .................................................................................................5
AUDITORA INTERNA ............................................................................................................. 6
AUDITORA EXTERNA ............................................................................................................. 7
AUDITORA DE TECNOLOGAS DE INFORMACIN ...................................................................8
TIPOS DE AUDITORAS DE TI ................................................................................................... 9
ESTNDARES DE LA AUDITORA DE TI ....................................................................................... 10
METODOLOGA DE TRABAJO EN LA AUDITORA DE TI ........................................................... 12
ELEMENTOS DE LA AUDITORA ................................................................................................ 12
DEFINICIN DE OBJETIVOS Y ALCANCE ...................................................................................... 13
EL ESTUDIO INICIAL RELEVAMIENTO ORGANIZACIONAL ................................................................ 17
INFORME DE DIAGNSTICO INICIAL ......................................................................................... 18
DETERMINACIN DE LOS RECURSOS DE LA AUDITORA ................................................................... 18
ELABORACIN DEL PLAN DE AUDITORA ..................................................................................... 19
Tipos de Controles a realizar ......................................................................................... 20
Tcnicas de Evaluacin y Fiabilidad de los Controles ...................................................... 22
Tcnicas y Herramientas de Trabajo para Auditoria TI ...................................................... 24
Tcnicas y Herramientas para el anlisis de datos ........................................................... 27
Tcnicas y Herramientas para el anlisis de Logs ............................................................. 28
ENTORNO DE APLICACIN ..................................................................................................... 28
PRESENTACIN DE CONCLUSIONES - INFORME FINAL DE AUDITORA .................................................. 37
Presentacin de Conclusiones de Auditora...................................................................... 37
Estructura del Informe Final de Auditora y Plan de Accin ................................................ 37
ANEXO I ......................................................................................................................... 38
HERRAMIENTAS DE EVALUACIONES .......................................................................................... 38
MODELOS DE ENCUESTAS Y CUESTIONARIOS ............................................................................... 38
AUDITORA DE TI ............................................................................................................... 38
EVALUACIN DEL DESARROLLO DE SISTEMAS .............................................................................. 39
CONTROLES EN LA ADMINISTRACIN DE PROYECTOS ...................................................................... 39
EVALUACIN DEL DISEO Y PRUEBA DE LOS SISTEMAS ................................................................... 40
ENCUESTAS DE SATISFACCIN DE USUARIOS TI .......................................................................... 41
CONTROLES DE APLICACIONES ENTRADA DE DATOS .................................................................... 42
CONTROLES DE APLICACIONES OPERACIN .............................................................................. 44
CONTROLES DE LOS MEDIOS DE ALMACENAMIENTO....................................................................... 46
ANEXO II ........................................................................................................................ 49
MODELO DE CONTRATO. AUDITORA DE TI ................................................................................. 49


INTRODUCCIN

La Administracin de los Recursos tiene en las Organizaciones un objetivo comn que es el
manejo adecuado de las variables que regulan el crecimiento, adaptacin al cambio para mantener
competitividad en la dinmica de los mercados, el control y uso eficiente de los recursos y
fundamentalmente de la eficacia en el logro de las metas y objetivos establecidos en su Plan de
Negocios.
La administracin efectiva de la informacin y de la tecnologa de la Informacin (TI) asociada
se ha constituido en la herramienta fundamental para la gestin integral de las Organizaciones y
en el elemento crtico para el xito y supervivencia de las organizaciones. Esta criticidad emerge
de:
la creciente dependencia en informacin y en los sistemas que proporcionan dicha
informacin para la toma de decisiones y logro de la eficacia empresarial. Todo Sistema de
Informacin de Gestin tiene como objetivo proporcionar la informacin adecuada, en el
momento adecuado, a la persona adecuada y con el menor costo
la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber
amenazas y la guerra de informacin
la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de
informacin
el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las
prcticas de negocio, crear nuevas oportunidades, lograr ventajas competitivas y reducir
costos
La gestin de riesgos, seguridad y auditora de una Organizacin, en general, y de las
tecnologas de la informacin en particular, buscan establecer las pautas para lograr el ambiente
requerido analizando, detectando, verificando, exponiendo y determinando alternativas de solucin
sobre la administracin de los recursos de TI, integrados en el contexto organizacional.
Las Organizaciones requieren disponer de los medios que generen un mbito con buen nivel de
seguridad interna y un marco de proteccin adecuado a las necesidades e influencias del entorno,
a fines de lograr el desarrollo de sus estrategias de negocios.
Como consecuencia de esto ser muy importante la utilizacin de polticas claras y buenas
prcticas para la seguridad y el control de las TI cuyos objetivos estn alineados con los objetivos
de la organizacin y que los mismos se desarrollen a partir de la perspectiva de la auditora.

CONCEPTO DE AUDITORA

El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha
considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. El concepto
de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la
eficacia y eficiencia de una seccin, un organismo, una entidad, un activo, etc.
La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se
refiere a todo aquel que tiene la virtud de or.
En una auditora se realiza la revisin y comprobacin de los procesos, exponiendo las
debilidades y disfunciones observadas, estableciendo en consecuencia las recomendaciones,
sugerencias y planes de accin para su eliminacin.
En el diccionario de la Real Academia Espaola, Auditora es la revisin sistemtica de una
actividad o de una situacin para evaluar el cumplimiento de las reglas o criterios objetivos a que
aquellas deben someterse
En la legislacin espaola el Decreto que reglamenta la Ley de Auditora de Cuentas define: Se
entender por auditora de cuentas al anlisis realizado por personas idneas e independientes,
mediante tcnicas de revisin y verificacin, sobre la informacin econmico-financiera deducida
de los documentos contables examinados y que tiene por objetivo emitir informe de opinin
responsable sobre la fiabilidad de la misma a fin de conocer y valorar dicha informacin por
terceros
En resumen, la auditora es un examen metdico que se realiza para evaluar un
producto, proceso u organizacin, a fines de verificar la concordancia de su situacin
real con el objetivo definido, exponiendo sus diferencias, disfunciones, debilidades y
errores para mejorar su eficacia y eficiencia a travs de un plan de adecuacin sugerido
para su logro.

TIPOS DE AUDITORAS

En funcin a la posicin del auditor frente a la empresa, la auditora puede ser:
Interna (a cargo del departamento de la propia empresa que depende directamente de la
Direccin o Gerencia General)
Externa (a cargo de profesionales independientes y externos a la empresa)

En funcin a su amplitud la auditora puede ser:
Total (cuando afecta a todos los elementos de la Organizacin)
Parcial (se enfoca en determinadas reas, sectores o elementos de la Organizacin)

En funcin a su frecuencia la auditora puede ser:
Permanente (se realiza peridicamente a lo largo del ejercicio econmico)
Ocasional (se realiza en forma espordica o destinada a una situacin puntual)

En funcin a las reas o procesos a los que se refiera, podemos definir los siguientes tipos de
Auditoras:
Auditoras de Organizacin
Auditoras de Gestin
Auditoras Operacionales
Auditoras Financieras
Auditoras Contables
Auditoras de Tecnologas de Informacin



AUDITORA INTERNA

Es una funcin independiente de evaluacin establecida dentro de la propia Organizacin para
examinar y evaluar sus actividades como un servicio a la misma. Su finalidad es apoyar a sus
miembros en el desempeo de sus responsabilidades y toma de decisiones. Para ello la Auditora
Interna les proporciona anlisis, evaluaciones, recomendaciones, asesoras e informacin sobre las
actividades verificadas.
Objetivos de la Auditora Interna:
Revisin y evaluacin de los controles administrativos, contables, financieros y operativos.
Divulgacin y control de las polticas, planificacin y procedimientos establecidos en la
Organizacin. Anlisis y determinacin de sus niveles de cumplimientos.
Custodia y contabilizacin de los activos de toda la organizacin
Examen de la fiabilidad de los datos e informacin exacta para las gerencias
La eficacia del Departamento de Auditora Interna est basada en los siguientes factores:
Adecuada planificacin: elaboracin de un plan de auditora interna.
Adecuada y efectiva supervisin: participacin en la planificacin, revisin de los papeles de
trabajo y de los informes preparados.
Formacin continua de los auditores: adecuada formacin tcnica inicial y actualizacin
mediante la participacin en cursos y seminarios. Se recomienda la inscripcin en asociaciones
profesionales de auditora.
Evidencia documental: preparacin de papeles de trabajo necesarios para soporte del trabajo
realizado y de las conclusiones alcanzadas.

AUDITORA EXTERNA

Es un examen o evaluacin de la situacin de una Organizacin, sector o proceso, realizado por
profesionales externos o consultores independientes, con el propsito de emitir un dictamen con
una opinin tcnica sobre la razonabilidad o viabilidad de la situacin, los niveles de cumplimientos
de las normas y requerimientos tcnicos que involucran a la Organizacin, sector o proceso en
cuestin. El dictamen del Auditor Externo, adems, hace referencia a aspectos sobre valuacin y
exposicin de la informacin y los focos de riesgo.
Objetivos de la Auditora Externa:
Identificacin de los elementos de juicio fundamentados en la naturaleza de los hechos
examinados
Deteccin de la existencia o ausencia de errores, disfunciones o anomalas en los hechos
examinados. Medicin de la magnitud de los mismos.
Control de actividades de investigacin y desarrollo de la Organizacin.
Control de las Polticas externas y estrategias definidas en el Plan de Negocio.
Redaccin de Informe o Dictamen con el diagnstico de la situacin actual, sugerencias y
recomendaciones con alternativas de solucin sobre los inconvenientes detectados.

Diferencias entre Auditora Interna y Externa:
El auditor interno es un empleado de la Organizacin, su independencia est limitada de
acuerdo a la estructura y su responsabilidad se encuadra en el mbito laboral. En cambio el
auditor externo es un profesional totalmente independiente y su relacin es de tipo profesional
(contratacin de servicios).
El objetivo de la auditora interna es el examen de la gestin, mientras que el de la auditora
externa es el examen de los estados encomendados (financieros, contables, operacionales, etc.)
para determinar si reflejan la situacin real de la entidad auditada.
En la auditora interna, se emite un informe con recomendaciones para la gerencia y restringido
al mbito de la propia Organizacin; mientras que en la auditora externa, est dirigido tambin
a terceros y trasciende el mbito de la Organizacin.


AUDITORA DE TECNOLOGAS DE INFORMACIN

De acuerdo a las definiciones citadas podemos decir que toda Auditora contiene procesos de
anlisis, verificacin y exposicin de las debilidades, errores o disfunciones detectadas en la
operatoria de la Organizacin, con las cuales se redacta el Informe sobre diagnstico de situacin
y recomendaciones en base al plan de sugerencias con las alternativas de solucin ms adecuadas.
As como los procesos y recursos de gestin, financieros y operativos son auditados en funcin
de las polticas, normas y criterios de la organizacin, tambin lo deben ser los procesos y recursos
(activos de informacin, de software, fsicos, servicios, recursos humanos, etc.) relacionados con
las TI.
Podemos definir la Auditora de Tecnologas de Informacin como un examen metdico
(utilizando herramientas, procedimientos y tcnicas) que se realiza para evaluar o
controlar, total o parcialmente, la aplicacin de las Tecnologas de Informacin con el fin
de verificar si sus actividades se desarrollan en forma eficiente y de acuerdo a la
normativa o polticas generales y especficas de la Organizacin, para garantizar la
confiabilidad, confidencialidad y seguridad de la informacin, la eficacia en el logro de
los objetivos establecidos y la calidad del servicio brindado.
Por lo expuesto, para la realizacin de una auditora de TI eficaz, se debe entender a la
organizacin en su ms amplio sentido, diferenciando sus caractersticas y los objetivos a los que
apuntan, ya sean empresas privadas o pblicas, instituciones, universidades, ministerios,
hospitales, etc. Todas utilizan las TI para gestionar sus negocios de forma rpida y eficiente con el
fin de obtener beneficios econmicos o lograr sus objetivos como empresa o institucin.
La importancia de llevar un control efectivo se puede deducir de varios aspectos como los
citados en la introduccin. He aqu algunos:
Los sistemas de procesamiento de datos se convirtieron en los blancos ms apreciados no solo
para el espionaje, sino para la delincuencia y el terrorismo. En este caso se deber garantizar la
seguridad de los sistemas denominada generalmente como Auditora de Seguridad de la
Informacin.
Las computadoras creadas para procesar datos pueden producir resultados o informacin
errnea si dichos datos son, a su vez, errneos. Este concepto es a veces olvidado o descuidado
por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos,
con la posibilidad de que se provoque un efecto cascada y afecte a las restantes aplicaciones y los
resultados generales del negocio por tomas de decisiones inadecuadas. En este caso se deber
administrar eficientemente los datos e interviene la denominada Auditora de Datos.

Un Sistema Informtico mal diseado puede convertirse en una herramienta peligrosa para la
empresa: modelizaciones, simulaciones o sistemas de gestin gerencial utilizados para la toma de
decisiones no puede depender de un Software y Hardware mal diseados por cuanto afecta en
forma directa al desarrollo y sustentabilidad de la organizacin. Esto refiere a los procesos de
entrega y soporte y por tanto interviene la Auditora de Sistemas y Soportes de Aplicaciones.

TIPOS DE AUDITORAS DE TI

Dentro de la auditora de TI se mencionan los siguientes tipos (entre otros), sin llegar a ser
independientes unos de otros:
Auditora de la gestin: Referido a la contratacin de bienes y servicios, procesos y
procedimientos para la liberacin de software, etc.
Auditora de Datos: referido a la auditora de los activos de informacin: Clasificacin de los
datos, trazabilidad del flujo de informacin, auditora de integridad de la informacin
almacenada en bases de datos, archivos, etc., conformidad con los requisitos de informacin de
la organizacin.
Auditora de Sistemas y Soporte de Aplicaciones:
Auditora de las aplicaciones o activos de software: del software desarrollado por la
organizacin o tercerizado
Auditora de los procesos de desarrollo: documentacin de: planes de trabajo,
requisitos, diseo, pruebas, gestin de cambios, etc.
Auditora de Seguridad de la Informacin
Auditora legal de Proteccin de Datos: Cumplimiento legal de las medidas de seguridad
exigidas por la legislacin vigente correspondiente a la proteccin de datos.
Auditora de la seguridad de la Informacin: Referidos a datos e informacin verificando
disponibilidad, integridad y confidencialidad de la informacin.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de sta. Tambin
est referida a las protecciones externas (arcos de seguridad, campos magnticos, CCTV,
vigilantes, etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los
sistemas de informacin, transmisin y almacenamiento seguro de la informacin, seguridad
perimetral, configuraciones de la tecnologa de base.
Auditora de las comunicaciones: Se refiere a la auditoria de los procesos de
autenticacin en los sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y
calidad de los datos.

ESTNDARES DE LA AUDITORA DE TI

ISACA (Information Systems Audit and Control Association) es una organizacin que emite
estndares de auditora y control de SI (cdigo tico, normas, objetivos y procedimientos de
control, guas de auditora, etc.) que son aceptados por la comunidad internacional de auditora de
SI. Esta asociacin expide, a quin cumpla sus requisitos, el certificado CISA (Certified Information
Systems Auditor) de reconocido prestigio internacional.
Las Normas Generales
1
para la auditora de la informacin de ISACA explicitan los objetivos de
ISACA que son entre otros el desarrollo y difusin de los estndares de auditora de sistemas de
informacin y el uso de COBIT como fuente de asesoramiento con respecto a las mejores
prcticas. Estas Normas hacen referencia a:
S1. Estatuto: o carta de compromiso para comunicar el propsito, la responsabilidad y las
limitaciones de la funcin o de la auditora asignada. El estatuto debe ser aceptado y
aprobado en el nivel apropiado dentro de la organizacin
S2. Independencia: (tanto en actitud como apariencia) del profesional y organizacional para
permitir una conclusin objetiva de la tarea que se audita
S3. tica y Normas profesionales: que el profesional auditor debe respetar y que son
revisadas peridicamente
S4. Competencia profesional: que el auditor debe poseer para desempear la tarea o conducir
al grupo que la realice, cumpliendo con los requisitos de educacin o desarrollo profesional
continuos de CISA y otras designaciones profesionales relacionadas con las auditoras

1
Las normas completas pueden descargarse de: http://www.isaca.org/Knowledge-Center/Standards/Pages/Standards-for-IS-
Auditing-Spanish-.aspx

S5. Planeacin: El auditor de SI debe establecer un plan que detalle la naturaleza, objetivos,
plazos, alcance y recursos requeridos para completar la auditora, desarrollar y documentar
un enfoque basado en riesgos.
S6. Realizacin de Labores de Auditora: supervisin, obtencin de evidencia y
documentacin.
S7. Reporte: caractersticas del informe de auditora en cuanto a formato y contenido
S8. Actividades de seguimiento: evaluacin de las acciones tomadas por la gerencia en
funcin del reporte presentado
S9. Irregularidades y acciones ilegales: cuestiones relevantes a tener en cuenta en la
evaluacin de riesgos de irregularidades y acciones ilegales.
S10. Gobernabilidad de TI: alineacin de los SI con la misin, visin, valores, objetivos y
estrategias de la organizacin. Revisin en cuanto al desempeo esperado (eficacia y
eficiencia) por la empresa, recursos, procesos administrativos, requisitos legales,
ambientales, de calidad de la informacin, fudiciarios y de seguridad y evaluar su
cumplimiento.
S11. Uso de la evaluacin de riesgos en la planeacin de la auditora: utilizacin de tcnica
o enfoque apropiado de evaluacin de riesgos al desarrollar el plan general de auditora de SI
y al determinar prioridades para la asignacin eficaz de los recursos de auditora de SI.
Identificar y evaluar los riesgos relevantes al rea bajo revisin.
S12. Materialidad de auditora: considerar la existencia de debilidades materiales o ausencias
de controles que puedan ocasionar una deficiencia importante o debilidad material en el
sistema de informacin.
S13. Uso del trabajo de otros expertos: siempre y cuando sus credenciales profesionales,
competencias, experiencia relevante, recursos, independencia y procesos de control de
calidad resulten apropiados antes de su contratacin.
S14. Evidencia de auditora: Consideraciones acerca de cundo una evidencia es apropiada,
fiable, suficiente y cmo debe ser protegida y retenida la misma.
S15. Controles de TI: El auditor de SI debe evaluar y supervisar los controles de TI que son
parte integral del entorno de control interno de la organizacin y asistir a la gerencia
proporcionando consejos con respecto al diseo, la implementacin, la operacin y la mejora
de controles de TI.


METODOLOGA DE TRABAJO EN LA AUDITORA DE TI

Una vez definido el concepto de Auditora de TI e identificados los tipos, fines y utilidades de
cada uno, se procede a describir la metodologa de trabajo que el equipo auditor desarrollar en
base a la contratacin con el cliente (auditora externa) o al requerimiento planificado por la
Direccin (auditora interna), cumpliendo con las actividades que componen el proceso de
Auditora hasta su conclusin con la entrega del Informe o Dictamen Final y Plan de acciones
sugeridas.

ELEMENTOS DE LA AUDITORA

Artefactos de Entrada:
Marco de Referencia
Anlisis
Verificacin
Exposicin de las debilidades, errores y disfunciones

Artefactos de Desarrollo (Entregables intermedios):
Definicin de objetivos y alcances de la Auditora
Relevamiento Inicial
Informe de Diagnstico Inicial de Situacin
Definicin del tipo controles (metodologa)
Baseline de Tiempos y Costos (Elaboracin del Plan de trabajo)
Conformacin de recursos ( equipo RR.HH, Oficinas y tecnologas)
Desarrollo de las actividades (Anlisis, entrevistas, verificaciones, etc.)
Borrador de Recomendaciones
Artefactos de Salida: (Entregables finales)
Presentacin de Conclusiones y redaccin de Informe o Dictamen Final
Plan de accin (alternativas de solucin)


DEFINICIN DE OBJETIVOS Y ALCANCE

Para la definicin de los objetivos y alcance debe haber un acuerdo muy preciso entre el equipo
auditor y el cliente (interno o externo) sobre los activos (funciones, procesos, estructuras,
recursos, etc.) que se auditarn en la Organizacin. Para ello se realiza el Estudio Inicial y
Relevamiento Organizacional que permitir tener un conocimiento global de estructura y
complejidad de los procesos y redactar el Diagnstico Inicial sobre la situacin relevada.
Por ejemplo en la auditora de un sistema en produccin deber acordarse previamente si se
incluye o no la funcin de soporte tcnico. Igualmente se debera acordar de antemano si se audita
la percepcin de los usuarios o solo la eficiencia interna del sistema, etc.
Al margen de los objetivos generales y comunes de toda Auditora de TI, se agregan entonces
los objetivos especficos que se definan con el cliente o Direccin de la Organizacin. Para definir
dichos objetivos especficos se debe tener una clara interpretacin de las necesidades o
pretensiones del cliente o la Direccin a fines de dar respuestas concretas sobre las mismas.
Para tener una adecuada definicin del alcance, se debern expresar las excepciones o lmites
para especificar, documentando en este punto, cules son los activos que no entrarn en el
proceso de auditora.
Se deben fijar los interlocutores, es decir las personas designadas por el cliente o Direccin
responsables con poder de decisin y de validacin dentro de la empresa para que interacte con
el equipo auditor. Asimismo se debe fijar el/los destinatario/s de los Informes.
Para la definicin de Objetivos y Alcance se podr utilizar un marco de trabajo para las
Auditoras de TI como lo es el de las normas COBIT (Objetivos de Control para la Informacin y
Tecnologas afines) que adems considera el informe de COSO
2
(Comitee of Sponsoring of the
Treadway Comission) que es una organizacin dedicada a mejorar la calidad de los reportes
financieros contemplando la tica del negocio, controles internos efectivos y gobierno corporativo.
En este marco se tienen en cuenta las siguientes pautas:
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos
objetivos de control de alto nivel o requerimientos de negocio para la informacin. Estos
son:
requerimientos de calidad: calidad, costo y entrega del servicio
requerimientos de seguridad: integridad, disponibilidad, confidencialidad

2
http://www.coso.org/

requerimientos fiduciarios: eficiencia y eficacia de operaciones, confiabilidad de la
informacin (reportes financieros), cumplimiento de leyes, normas y acuerdos
contractuales.
Considera los requerimientos de COSO, necesidades de calidad y seguridad de la empresas, a
travs de la definicin de los siguientes criterios:
Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del
negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera
utilizable
Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms
productiva y econmica) de recursos.
Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no
autorizada.
Integridad: Se refiere a la precisin y suficiencia de la informacin, as como a su validez
de acuerdo con los valores y expectativas del negocio.
Disponibilidad: Se refiere a que la informacin est accesible cuando sta es requerida
por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los
recursos necesarios y capacidades asociadas.
Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de
negocio impuestos externamente.
Confiabilidad: Se refiere a la provisin de informacin apropiada para la administracin
con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros
y de cumplimiento.
Se promueve el foco en procesos o actividades de tecnologas de la informacin que
deben existir en la organizacin para cumplir con los objetivos de control de alto nivel y
criterios, divididos en los siguientes dominios:
Planeamiento y organizacin: Este dominio cubre las estrategias y las tcticas, y tiene
que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de
los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe
implementar una estructura organizacional y una estructura tecnolgica apropiadas.
Adquisicin e Implementacin: Para llevar a cabo la estrategia de TI, las soluciones de
TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e
integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los
sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio.

Entrega de Servicios y Soporte: Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de
la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las
instalaciones operacionales.
Monitoreo y Evaluacin: Todos los procesos de TI deben evaluarse de forma regular en el
tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este
dominio abarca la administracin del desempeo, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicacin de las polticas y normas.

Se apoya el control de las actividades de TI incluidas en estos dominios con objetivos de
control detallados que se seleccionarn en funcin de las metas de TI que la organizacin
haya definido.

Cada objetivo de control detallado implica prcticas de control que aplicarn sobre alguno de los
siguientes recursos de TI:
Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos
manuales que procesan informacin.
Informacin: son los datos en todas sus formas de entrada, procesados y generados por
los sistemas de informacin, en cualquier forma en que son utilizados por el negocio.
Infraestructura: es la tecnologa y las instalaciones (hardware, sistemas operativos,
sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio
donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las
aplicaciones.
Personas: personal requerido para planear, organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser
internas, por outsourcing o contratadas, de acuerdo a como se requieran.

El resumen de COBIT puede verse en el siguiente cuadro:



EL ESTUDIO INICIAL RELEVAMIENTO ORGANIZACIONAL

Organigrama: para tener un conocimiento integral de la estructura jerrquica de la
Organizacin e identificar entre otras las funciones de mando, diseo y ejecucin, se analiza su
Organigrama oficial (especfico del rea de Sistemas y en relacin al resto de la Organizacin),
dejando observada la existencia o no de un organigrama fctico diferente que se haya
detectado a travs de los flujos de informacin y relaciones funcionales o jerrquicas relevadas.
Estructura del rea de Sistemas y funciones: el equipo auditor har una breve descripcin
la estructura del rea identificando las funciones ms relevantes de cada dependencia
(desarrollo, comunicaciones, soporte tcnico, etc.)
Relaciones funcionales y Jerrquicas: se identifican si existen canales de informacin
paralelos o alternativos (extraoficiales), necesarios para ejercer las funciones con eficacia y que
aparecieron por ciertas fallas en la estructura oficial o bien solo por afinidades personales o
simples comodidades.
Recursos: se controlarn los puestos de trabajos, cantidad de personas y funciones asignadas
para detectar si existen duplicaciones de puestos, o distribucin ineficiente (deficiencias o
sobredimensionamientos de funciones/personal)
Entorno Operacional: en los casos que la Organizacin dispone de varios departamentos de
sistemas, se relevar su distribucin geogrfica, estructuras adecuadas y uso de los mismos
estndares de trabajo.
Arquitectura y configuraciones de HW y SW: se verificar adems de la flexibilidad de las
configuraciones y compatibilidades de los sistemas, el cumplimiento de las polticas de
Seguridad Lgica de la compaa, la existencia de Planes de Contingencia, etc.
Inventario de HW y SW: se comprobar la existencia del equipamiento inventariado por la
Organizacin (PCs, instalaciones, redes, etc.) y software disponible (adquiridos o desarrollados
internamente).
Aplicaciones: se relevar antigedad y complejidad de las aplicaciones y bases de datos,
metodologa de diseo y desarrollos complementarios de las mismas, manuales y
documentacin para mantenimiento/actualizaciones.


INFORME DE DIAGNSTICO INICIAL
En base al Estudio Inicial realizado y experiencia del equipo auditor, se confecciona el Informe
de Diagnstico Inicial cuyos resultados permitirn identificar los puntos dbiles y fuertes, los
riesgos eventuales y posibles alternativas de solucin. Asimismo permitir determinar los recursos
necesarios (humanos y tecnolgicos) para realizar la Auditora.

DETERMINACIN DE LOS RECURSOS DE LA AUDITORA

Equipamiento y tecnologa (HW y SW): los recursos de HW necesarios para el equipo de
auditora son proporcionados por el cliente ya que los controles deberan ser realizados sobre el
equipamiento auditado. Las herramientas de SW son propias del equipo auditor y se aaden a
las ejecuciones de los sistemas auditados. Esto demanda un preciso detalle en las pautas de
contratacin sobre fechas, horas y duracin de los procesos de control, equipamiento y soporte
necesario compartidos o con dedicacin exclusiva.
Conformacin del equipo de Auditora: los perfiles y cantidad de personal necesarios para
realizar la auditora dependern de la complejidad y volumen del rea o proceso auditable. El
auditor lder o responsable del equipo, disear una combinacin adecuada de los perfiles
necesarios ya sean expertos informticos o en organizacin y contables, generalmente de
formacin universitaria y probada experiencia multidisciplinaria.

PERFILES PROFESIONALES DE LOS AUDITORES INFORMATICOS

Especialidad

Experiencia y Conocimientos deseables
Lder o Responsable
Informtico
Amplia experiencia en desarrollo de Proyectos IT, normas de
diseo y operacin de sistemas, manejo y organizacin de
equipos multidisciplinarios
Experto en Desarrollo de
Proyectos
Amplia experiencia como Lder de Proyectos, experto analista
y experiencia en metodologas de desarrollo
Experto en Administracin de
Bases de Datos
Amplia experiencia en diseo y mantenimiento de BD.
Conocimientos de productos compatibles.

Tcnico de Sistemas
Experto en Sistemas Operativos y SW de base. Conocimiento
de productos en el mercado. Experiencia en explotacin
Experto en Software de Especialista en tecnologa de sistemas, redes y amplia

Comunicaciones experiencia en subsistemas de teleprocesos.
Experto en Explotacin y
Gestin de Centros de
Procesamiento de Datos
Responsable de Centro de procesamiento de datos, amplia
experiencia en automatizacin de procesos y conocimientos
de sistemas
Analista en Organizacin Experto en organizacin, anlisis de procedimientos y flujos
de informacin
Analista de Costos Experiencia en Gestin de Costos y conocimientos en
informtica.

ELABORACIN DEL PLAN DE AUDITORA

De acuerdo al Informe de Diagnstico Inicial y a la definicin de los objetivos y alcance de la
Auditora, luego de la asignacin de los recursos se define el Plan de Auditora que, como todo
Proyecto, se elabora teniendo en cuenta los siguientes criterios:
Se establecen la prioridades de activos auditables de acuerdo a los que defina el Cliente,
asesorado con los conocimientos y experiencia aportadas por el equipo auditor.
Se definen los Dominios, Objetivos del Control y prcticas de control a realizar en funcin a las
necesidades evaluadas
Se establecen las tcnicas de evaluacin y fiabilidad de los controles a utilizar (Anlisis de
informacin, monitoreos, simulaciones, muestreos, etc.)
Se establecen las herramientas de trabajo (entrevistas, cuestionarios, checklists, matrices de
riesgos, SW. de auditoras, etc.)
Se establece el Programa de Trabajo: Baseline de Tiempos con el calendario de las actividades
y definicin de los hitos para control de los resultados.
Se define el Presupuesto de Auditora (Baseline de Costos) en base al Programa de Trabajo
establecido y al costo de los recursos asignados al proyecto.


TIPOS DE CONTROLES A REALIZAR

Controles Preventivos: reducen las probabilidades o eliminan las causas de los riesgos (P.Ej.
las instrucciones en un documento fuente reducen la probabilidad de que la persona que ingrese
datos al documento lo haga en forma errnea)
Controles Detectivos: detectan el riesgo una vez ocurrido, reducen impacto ante la presencia
de un error (P.Ej. en el ingreso de datos a un SI, un control de validacin de entrada puede
detectar el error y evitar su procesamiento)
Controles Correctivos: identifican y corrigen las causas del riesgo ocurrido (mediante
programas que analizan e identifican la naturaleza de los errores, aplicando correcciones
automticas o ayudando con antecedentes y alternativas para su solucin)


A partir de estos tipos de controles genricos, se podrn definir prcticas de control especficas,
tanto lgicas como fsicas, como por ejemplo:

Controles automticos de periodicidad de cambios de clave de acceso: (control
correctivo). Este control apunta al Objetivo de Control de Alto Nivel: Requerimientos de
Seguridad, Criterios: Confidencialidad - Dominio: Monitoreo y Evaluacin, Actividad de TI:
Monitorizar los procesos, Recursos: Infraestructura Aplicaciones Personas

Controles de copias de respaldo: existencia de copias de seguridad y recuperacin (control
preventivo). Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos de
Seguridad Requerimientos Fiduciarios, Criterios: Disponibilidad - Efectividad - Dominio:
Entrega y Soporte, Actividad de TI: Asegurar el Servicio Continuo, Recursos: Infraestructura
Aplicaciones Informacin

Testeo funcional de aplicaciones: se realizan previamente a la puesta en produccin de
software, ya sea desarrollado internamente como tercerizado (control preventivo). Este control
apunta a los Objetivos de Control de Alto Nivel: Requerimientos de Calidad Requerimientos
Fiduciarios, Criterios: Eficiencia - Efectividad - Dominio: Adquisicin e Implementacin,
Actividad de TI: Adquisicin y mantenimiento de aplicaciones, Recursos: Infraestructura
Aplicaciones Informacin Personas

Controles de segregacin de funciones, roles y responsabilidades: verificacin de que las
estructuras y asignacin de funciones correspondan al nivel de entrega de servicio requerido
(controles correctivos). Este control apunta a los Objetivos de Control de Alto Nivel:
Requerimientos de Calidad (entrega del servicio), Criterios: Efectividad - Eficiencia Dominio:
Planificacin y Organizacin, Actividad de TI: Definir la organizacin y relaciones de las TI,
Recursos: Personas

Controles de adecuacin y evolucin de la capacidad de la infraestructura actual: para
la justificacin que la solucin de TI actual es la opcin ms adecuada para la empresa (control
correctivo - preventivo), debe existir un plan de infraestructura tecnolgica. Este control apunta
a los Objetivos de Control de Alto Nivel: Requerimientos Fiduciarios, Criterios: Efectividad -
Eficiencia, Dominio: Planificacin y Organizacin, Actividad de TI: Determinar la direccin
tecnolgica, Recursos: Infraestructura



TCNICAS DE EVALUACIN Y FIABILIDAD DE LOS CONTROLES

Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba
que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y
conclusiones, su empleo se basa en su criterio o juicio, segn las circunstancias.
Las tcnicas y los procedimientos estn estrechamente relacionados, si las tcnicas no son
elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual
las tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor.

Administracin de las Complejidades de los SI
Para la auditora de sistemas complejos y en funcin al objetivo definido de la misma, se
analizan y determinan las estrategias de factorizacin o descomposicin en subsistemas para
permitir evaluar sus fiabilidades y las implicancias sobre el nivel de fiabilidad global del sistema
que componen. Estas evaluaciones dependern de la correcta identificacin de cada subsistema,
sus funciones que contribuyen al objetivo global del sistema, sus cohesiones internas para
cumplirlas y las autonomas e interrelaciones entre dichos subsistemas.
Las estrategias de factorizacin hacen foco en:
Las funciones gerenciales para la planificacin y controles que aseguran el desarrollo,
implementacin, operacin y mantenimiento de los SI, administracin de los datos,
aseguramiento de calidad y seguridad de la informacin.


Las aplicaciones utilizadas en las diferentes reas y niveles de la Organizacin, las que a su
vez se analizan de acuerdo a las funciones de accesos, comunicaciones, procesamientos,
bases de datos, entradas y salidas, etc.

Fiabilidad de los SI Identificacin de los eventos
Una vez identificados los subsistemas y niveles de jerarquas de complejidad, se realiza la
evaluacin de fiabilidad de los controles para lo cual de deben identificar los eventos:
En relacin a las funciones gerenciales, se analizan los objetivos definidos para cada funcin
y su cumplimiento (P.Ej. la funcin de Planificacin estratgica de los sistemas asignada al
responsable del area de TI que cubra las necesidades de informacin para las decisiones
empresariales de mediano y corto plazo y que est integrada a la estrategia global del
negocio). Se identificarn los eventos relacionados con dichas funciones para determinar el
grado de cumplimiento de sus objetivos, para lo cual los auditores debern contar con
amplios conocimientos y habilidades sobre las visiones, estrategias y polticas definidas
para cada tipo de organizacin.
En relacin a los subsistemas de aplicaciones, se analizan las transacciones identificando
los eventos resultantes de las mismas para lo cual el auditor debe comprender sus formas
de procesamiento. A dicho fin se utilizan tcnicas de seguimientos o recorridos (walk-
through) para analizar cada paso del proceso, determinando su grado de cumplimiento,
eficiencia y eficacia en los resultados. Por razones de costos y tiempos los auditores
seleccionan grupos de transacciones con procesos similares y solo aquellas que consideren
relevantes desde el punto de vista de los objetivos de la auditora.


Evaluacin de la Fiabilidad de los Controles
Una vez identificados los eventos resultantes, los auditores debern evaluar la existencia y el
adecuado funcionamiento de los controles para cubrir las situaciones ilcitas (ingresos no
autorizados, datos errneos, incompletos, redundantes, ineficaces, etc). A dicho efecto
debern obtener evidencias que determinen la fiabilidad de los controles y analizar si se
encuentran dentro de los niveles de aceptacin definidos para la auditora. Existen listas
publicadas de fallas tpicas de las funciones gerenciales y tablas de errores e irregularidades
tpicas de las transacciones en las aplicaciones, que ayudan a determinar la fiabilidad de los
controles.

TCNICAS Y HERRAMIENTAS DE TRABAJO PARA AUDITORIA TI

Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican
generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares,
verbales, por escrito, por revisin del contenido de documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas y herramientas de trabajo para la auditora TI se
agrupan especficamente de la siguiente manera:

Cuestionarios: Las auditoras informticas se materializan recabando informacin y
documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades
para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio
global objetivo, siempre amparado en hechos demostrables (evidencias). Para esto, suele ser lo
habitual comenzar solicitando el cumplimiento de cuestionarios preimpresos que se envan a las
personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas
sean las responsables oficiales de las diversas reas a auditar. Estos cuestionarios no pueden ni
deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada
situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de
ambos tipos de informacin es una de las bases fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por
otro medios la informacin que aquellos preimpresos hubieran proporcionado.


Entrevistas: El auditor comienza a continuacin las relaciones personales con el auditado. Lo
hace de tres formas:
Mediante la peticin de documentacin concreta sobre alguna materia de su
responsabilidad.
Mediante entrevistas en las que no se sigue un plan predeterminado ni un mtodo estricto
de sometimiento a un cuestionario.
Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano
y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor. En ella recoge
ms informacin, y mejor matizada, que la proporcionada por medios propios puramente
tcnicos o por las respuestas escritas a cuestionarios.
El auditor de TI entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el
auditado conteste a una serie de preguntas variadas y con una preparacin muy elaborada para
que resulte sencilla y entendible para cada caso particular.

Checklist: El auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. Sus cuestionarios son vitales para el
trabajo de anlisis, cruzamiento y sntesis posterior.
Algunas de las preguntas de las listas de chequeo utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a
distintas personas en las mismas fechas, o a las mismas en fechas diferentes. De este modo, se
podrn descubrir con mayor facilidad los puntos contradictorios, reelaborando en este caso
preguntas complementarias hasta lograr la homogeneidad de las respuestas.

Trazas y/o Huellas: Con frecuencia, el auditor de TI debe verificar que los programas, tanto
de los Sistemas como de usuario, realizan las funciones previstas con los niveles de
confiabilidad y calidad requeridos de acuerdo a las normas de la empresa. Para ello se apoya en
productos de Software que, entre otras funciones, rastrean los caminos que siguen los datos a
travs del software.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones
de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las
fechas y horas ms adecuadas para su empleo.


Software de Interrogacin: Hasta hace ya algunos aos se han utilizado productos software
llamados genricamente paquetes de auditora, capaces de generar programas para auditores
escasamente cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que
permitieran la obtencin de una hiptesis de la situacin real de una instalacin.
En la actualidad, estos productos se orientan principalmente hacia lenguajes que permiten la
interrogacin de archivos y bases de datos de la empresa auditada. Son utilizados solamente
por los auditores externos, por cuanto los internos disponen del software nativo propio de la
instalacin.

Tcnica de Muestreo: se utiliza cuando, por razones de tiempo y costo, resulta prcticamente
imposible verificar la totalidad de las transacciones y eventos del universo de tems definidos
para auditar. Esta tcnica se utiliza para inferir las caractersticas de dicho universo a partir de
los resultados del anlisis de las caractersticas sobre la muestra seleccionada.
Hay dos enfoque generales para el muestreo de auditoras:
El muestreo estadstico: mtodo objetivo que se utiliza para determinar el tamao de la
muestra y los criterios de seleccin de los tems auditables. Esta evaluacin expresada en
% determina el grado de precisin de la muestra sobre el universo que representa.
El muestreo no estadstico o por juicio: mtodo subjetivo basado en la experiencia del
auditor que determina el tamao y seleccin de la muestra (cantidad y tipos de tems
auditables)
Ambos mtodos exigen que el auditor utilice su propio juicio para definir las caractersticas del
muestreo, aunque el estadstico permite determinar el nivel de riesgo a travs del coeficiente de
representacin.
Los pasos utilizados para la aplicacin de la tcnica de muestreo son:
Determinacin del objetivo de la prueba
Definicin del universo que se someter a muestreo
Seleccin de la tcnica a utilizar: Muestreo de atributos (tcnica usadas en pruebas de
cumplimiento sobre la ocurrencia de un cierto control o conjunto de controles relacionados,
que determina la presencia o ausencia de estos atributos) o Muestreo de Variables (tcnica
usada en pruebas sustantivas sobre caractersticas del universo para determinar los desvos
del estndar)
Determinacin del tamao y seleccin de la muestra
Evaluacin de la muestra de acuerdo a los objetivos definidos para la auditora.


TCNICAS Y HERRAMIENTAS PARA EL ANLISIS DE DATOS

Comparacin de programas: Esta tcnica se emplea para efectuar una comparacin de
cdigo (fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin y
la versin de un programa piloto que ha sido modificado en forma indebida, para encontrar
diferencias.

Mapeo y rastreo de programas: Esta tcnica emplea un software especializado que permite
analizar los programas en ejecucin, indicando el nmero de veces que cada lnea de cdigo es
procesada y las de las variables de memoria que estuvieron presentes.

Anlisis de cdigo de programas: Se emplea para analizar los programas de una aplicacin.
El anlisis puede efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo
ejecutable).

Datos de prueba: Se emplea para verificar que los procedimientos de control incluidos los
programas de una aplicacin funcionen correctamente. Los datos de prueba consisten en la
preparacin de una serie de transacciones que contienen tanto datos correctos como datos
errneos predeterminados.

Datos de prueba integrados: Tcnica muy similar a la anterior, con la diferencia de que en
sta se debe crear una entidad, falsa dentro de los sistemas de informacin.

Simulacin paralela: Tcnica muy utilizada que consiste en desarrollar programas o mdulos
que simulen a los programas del sistema auditado. El objetivo es procesar los dos programas o
mdulos de forma paralela e identificar diferencias entre los resultados de ambos.


TCNICAS Y HERRAMIENTAS PARA EL ANLISIS DE LOGS
Hoy en da los sistemas se encuentran expuestos a distintas amenazas que aumentan sus
vulnerabilidades y al mismo tiempo que se hacen ms complejos, el nmero de ataques tambin
aumenta. Por este motivo las organizaciones deben reconocer la importancia y utilidad de la
informacin contenida en los logs de los sistemas as como mostrar algunas herramientas que
ayuden a automatizar el proceso de anlisis de las mismas.
El crecimiento de Internet y redes sociales enfatizan esta problemtica, los sistemas generan
una gran cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de
gran ayuda ante un incidente de seguridad, as como para los controles del auditor.
Un archivo de log puede registrar mucha informacin acerca de eventos relacionados con el
sistema que la genera los cuales pueden ser: Fecha y hora, direcciones IP origen y destino,
direccin IP que genera la bitcora, usuarios, errores.
La importancia de los logs es la de Las Herramientas de anlisis de bitcoras mas conocidas
son las siguientes:
Para UNIX, Logcheck, SWATCH.
Para Windows, LogAgent
Los logs contienen informacin crtica, es por ello la importancia de ser analizada, ya que
posibilita la deteccin de comportamientos inusuales, la recuperacin de informacin ante
incidentes de seguridad, las secuencias para resolver problemas, las evidencias en aspectos
legales y fundamental ayuda en las tareas de cmputo forense.
El uso de herramientas automatizadas es de mucha utilidad para el anlisis de logs, es
importante registrar todos los logs necesarios de la totalidad de los sistemas disponibles para
mantener un control integral de la informacin.

ENTORNO DE APLICACIN

La aplicacin de prcticas de control de auditora, en funcin de los dominios, objetivos y
controles definidos puede centrarse en las siguientes reas de aplicacin:
Planeamiento y Organizacin

Organizacin general del rea de Sistemas y reas asociadas:
Verificacin de la estructura de Sistemas, dependencias y su integracin con el resto de
la Organizacin
Verificacin de relaciones informales y evaluacin de impactos

Revisin de las polticas del personal, niveles de cumplimientos, incorporaciones,
perfiles, planes de desarrollo, estructura de compensaciones, rotacin de tareas,
licencias, procedimientos para desvinculaciones, etc.
Comprobacin de la existencia de Normas y procedimientos de trabajos especficos del
rea. Verificacin de los niveles de cumplimiento
Revisin de todo tipo de contratacin o locacin de servicios relacionada con el rea
Evaluacin del rendimiento e incidencia de los consultores externos
Determinacin del impacto y grado de dependencia de los servicios de procesamientos
externos de datos (si existen)

Gestin de Proyectos:
Revisin del grado de alineamiento o relacin entre los Planes de Sistemas y los Planes
Estratgicos de la Organizacin. Control de las mediciones de avances.
Verificacin de la validez de los procesos de Estimacin de Proyectos
Verificacin de la fiabilidad y precisin aplicados en el Estudio de Viabilidad de Proyectos
Verificacin de los niveles de responsabilidad de un Proyecto y grado de participacin de
los usuarios
Evaluacin de la Gestin de riesgos y niveles de cumplimiento
Evaluacin de los estndares de calidad



Administracin de la Documentacin:
Verificacin de los estndares de documentacin y niveles de cumplimiento
Verificacin del acceso a los diferentes tipos de documentacin autorizada para Usuarios
y personal de programacin
Revisin de la documentacin de Usuarios, control de su correcta interpretacin y uso,
formas de accesos y disponibilidad.
Revisin de los procedimientos utilizados para la generacin, comunicacin, cambios y
actualizacin de la documentacin relacionada con el rea de TI

Adquisicin e Implementacin
Ingeniera de Requerimientos:
Evaluacin de la metodologa utilizada para la Gestin de Requerimientos
Evaluacin de la metodologa utilizada en los procesos de diseo y construccin
Evaluacin de los tipos de pruebas que se aplican al desarrollo e implementacin de
soluciones informticas

Gestin de Adquisiciones de Hw y SW:
Verificacin de los estudios de necesidades de HW y SW asociados con los proyectos
definidos para el Plan de Sistemas
Revisin de la metodologa utilizada en las compras y contrataciones de diferentes
montos si se alinean con las normas establecidas para toda la organizacin

Revisin de contrataciones de servicios externos (comunicaciones, mantenimientos de
redes y versiones de SW), alquileres o leasing de equipamientos, anlisis de
documentacin y justificacin de los contratos

Puesta en Produccin de las Soluciones Informticas:
Verificar la integridad de los procesos de puesta en Produccin y aprobacin de las
soluciones de SW
Comprobacin de los medios de seguridad con los que contar la solucin de SW
implementada
Gestin de Mantenimientos y Cambios:
Verificacin de los procesos de la Gestin de Mantenimiento y Cambios
Revisin de inventario o registros de mantenimientos realizados en los sistemas,
analizando la prioridad y razonabilidad de los cambios aplicados

Entrega de Servicios y Soporte
Gestin de Configuraciones:
Verificacin de las versiones de programas y configuraciones de tablas de las bases en
produccin si son las vigentes
Revisin de la existencia de procedimientos que impidan correr versiones de programas
no activos
Verificacin de los procesos de incorporacin de nuevos programas a las libreras
productivas
Verificacin de los espacios o depsitos si son adecuados para el almacenamiento de
cintas y discos. Comprobacin de la perfecta y visible identificacin de estos medios
para los casos que se requieran volver a versiones anteriores
Investigacin del diario de produccin y archivos de logs
Procesos de Soporte - Seguridad General:
Revisin del presupuesto especfico dentro del rea de sistema
Verificacin del cumplimiento y control de seguimiento de las funciones de soporte
Control de idoneidad de las personas asignadas, planes de capacitaciones especficas
Comprobacin de los procedimientos sobre prevencin, deteccin y correccin o
recuperacin frente a ocurrencias de desastre naturales (terremotos, inundaciones,
tornados, etc.)
Verificacin de procedimientos preventivos y correctivos sobre los riesgos de incendios
externos, cortes de suministro de energa, picos de tensin elctrica, manifestaciones o
huelgas, accidentes de trnsitos (terrestres o aereos), campos magnticos, amenazas
de bombas, etc.
Verificacin de los Planes de Contingencias y comprobacin de simulacros

Revisin de la contratacin de servicios alternativos para los planes de recuperacin,
plizas de Seguros, etc.

Procesos de Soporte - Seguridad Fsica:
Comprobacin de las condiciones ambientales si son adecuadas para el equipamiento e
instalaciones (iluminacin, climatizacin, distribucin de equipos, comunicaciones, etc.)
Verificacin de instalaciones contra incendios (uso de materiales infugos, extinguidores
adecuados, sistemas de deteccin de humo, sensores de temperatura, etc.)
Verificacin de instalaciones para vigilancia y seguridad del rea (personal de custodia,
cmaras de video, blindajes adecuados, sistemas de alarmas, etc.)
Revisin de controles para accesos no autorizados: resguardo de llaves, sistemas
electrnicos de tarjetas o introduccin de claves, sistemas biomtricos y otros (para
evitar daos, vandalismo, robo o copiado de informacin confidencial, sabotajes o
cualquier alteracin sobre equipos o instalaciones para causar destruccin, etc.)
Verificacin del HW inventariado
Almacenamientos y suministros de repuestos e insumos
Biblioteca de soportes magnticos
Evaluacin de la eficiencia de uso del HW (revisin de la documentacin y perfiles del
personal autorizado para su utilizacin)

Procesos de Soporte - Seguridad Lgica:
Verificacin de licencias del SW inventariado
Revisin de los procedimientos de planificacin y mantenimiento de las aplicaciones
Comprobacin de la existencia de normas documentadas sobre la administracin de
copias de seguridad (acceso, disposicin y manejo, destruccin, etc)
Verificacin de los procedimientos para la administracin de accesos lgicos (de acuerdo
a los roles de los usuarios y servicios habilitados) para determinar sus modalidades de
accesos (lectura, escritura, modificaciones y ejecuciones), limitaciones en la ubicacin
de los datos y disponibilidad de horarios a los recursos determinados del sistema,
actualizaciones por cambios de roles o funciones en los servicios, etc.
Verificacin de los procesos de control peridico sobre las vigencias de accesos,
contraseas inactivas, nmina de usuarios activos, etc.
Verificacin de los procesos de identificacin y autenticacin para el acceso y control de
actividades de los usuarios (combinacin de contraseas con los controles de accesos
fsicos, sistemas de bloqueos por reiteracin de accesos errneos, etc.)
Verificacin de la confidencialidad e integridad de las bases de datos
Comprobar la existencia de procedimientos para situaciones de desvinculacin de
usuarios y bajas en las contrataciones de servicios externos.


Monitoreo y evaluacin Eficiencia y Eficacia de las operaciones

Monitoreo y evaluacin del desempeo de TI:
Evaluacin del rendimiento de un sistema en funcionamiento
Evaluacin de las mediciones realizadas por el rea de Sistemas
Comparacin de los estndares en tiempo de ejecucin de la instalacin con las
observaciones realizadas
Recomendacin de las modificaciones necesarias para la optimizacin del sistema en
funcionamiento

Monitoreo y control de las aplicaciones
Controles en las autorizaciones de entradas de datos (firma en formularios de lotes,
accesos en lnea, contraseas exclusivas, ID de terminales, documentacin fuente)
Controles y validaciones de entradas por lotes en procesos interactivos (identificacin de
lotes, verificacin de totales, balances, integridad de datos, administracin de errores)
Controles de validacin y edicin de datos (controles de secuencia, lmite, rango,
validacin, integridad, tablas relacionadas, duplicaciones, relaciones lgicas, etc.)
Controles de procesamientos de datos (reclculos paralelos, edicin del proceso,
verificacin de totales y razonabilidad de los clculos, informe de excepciones, etc.)
Controles sobre archivos de datos (autorizaciones de actualizacin y mantenimiento de
archivo, uso de versin correcta, histrico de transacciones, etiquetas, etc.)
Controles de salida (verificacin de registro y almacenamiento de formularios crticos o
confidenciales, documentos negociables como los cheques, autorizaciones de
distribucin, verificaciones de recepcin, administracin de errores de salida, etc.)





Monitoreo y evaluacin del control interno
Evaluacin de satisfaccin de los usuarios
Evaluacin de los niveles de servicios acordados (disponibilidad de sistemas, tiempos de
respuestas)

Estndares industriales Benchmarking
Investigacin de los estndares del mercado
Proveedores y Competencias
Publicaciones sobre actividades especficas, Asociaciones profesionales
Evaluacin de los niveles de rendimientos para los entornos de TI

Garantizar el cumplimiento del marco regulatorio
Proporcionar gobierno de TI

PRESENTACIN DE CONCLUSIONES - INFORME FINAL DE AUDITORA
Previo a la Redaccin del Informe Final de Auditora, se confeccionan los borradores de las
conclusiones sobre los controles, anlisis y evaluaciones realizadas por el equipo auditor. En base
a dichas conclusiones, se elaboran las recomendaciones, para evaluar conjuntamente con el cliente
las diferencias o errores de apreciacin. Esto permitir la correccin o confirmacin de los
borradores y recomendaciones mencionadas.

PRESENTACIN DE CONCLUSIONES DE AUDITORA

Se argumentan y documentan en forma objetiva las conclusiones arribadas por el equipo
auditor para evitar que sean refutadas o llevadas a niveles personales durante la discusin de lo
expuesto
A travs de la evaluacin conjunta previa con el cliente de los borradores de las conclusiones,
se busca el mayor acercamiento y minimizacin de diferencias de apreciacin a fines de lograr
un adecuado consenso y evitar en lo posible el rechazo que puede causar la Auditora al cliente
o personal auditado

ESTRUCTURA DEL INFORME FINAL DE AUDITORA Y PLAN DE ACCIN

Se confecciona la Carta de Introduccin o Presentacin del Informe Final: Consta no
ms de 3 o 4 folios y solo es dirigida al responsable de la empresa a cargo de la contratacin de
la Auditora y acompaando al Informe dirigido al mismo. Los restantes destinos del cliente solo
contarn con la copia del Informe. Incluye los objetivos, naturaleza y alcance del Proyecto,
cuantificacin de la importancia de las reas analizadas, priorizacin y cuantificacin de las
debilidades mas significativas

Cuerpo del Informe Final:
Definicin de los objetivos, naturaleza y alcance del Proyecto
Identificacin de los entornos de aplicacin de la Auditora, detallando por cada uno de
ellos:
Descripcin de la situacin actual (identificacin concreta de los hechos con necesidades
de cambios o mejoras)
Conclusiones y Tendencias (estimacin en base a los parmetros relacionados)
Puntos dbiles y amenazas (detalle de consecuencias deducibles de los hechos,
repercusiones o influencias sobre otros aspectos de la Organizacin)
Recomendaciones y Plan de de Accin (especficas a cada hecho y cuantificable en el
tiempo para su seguimiento y control de implementacin)


ANEXO I

HERRAMIENTAS DE EVALUACIONES

MODELOS DE ENCUESTAS Y CUESTIONARIOS

AUDITORA DE TI


EVALUACIN DEL DESARROLLO DE SISTEMAS

En esta etapa del sistema se debern auditar las aplicaciones, su diseo, el leguaje utilizado,
interconexin entre los programas y caractersticas del hardware empleado (total o parcial) para el
desarrollo del sistema. Las caractersticas que deben evaluarse en los sistemas son:
Dinmicos (susceptibles de modificarse).
Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un
todo)
Integrados (un solo objetivo). En l habr sistemas que puedan ser interrelacionados y no
programas aislados.
Accesibles (que estn disponibles).
Necesarios (que se pruebe su utilizacin).
Comprensibles (que contengan todos los atributos).
Oportunos (que est la informacin en el momento que se requiere).
Funcionales (que proporcionen la informacin adecuada a cada nivel).
Estndar (que la informacin tenga la misma interpretacin en los distintos niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerrquicos (por niveles funcionales).
Seguros (que slo las personas autorizadas tengan acceso).
nicos (que no duplique informacin).

CONTROLES EN LA ADMINISTRACIN DE PROYECTOS

Existe una lista de proyectos de sistema de procedimiento de informacin y fechas
programadas de implantacin que puedan ser considerados como plan maestro?
Est relacionado el plan maestro con un plan general de desarrollo de la dependencia?
Ofrece el plan maestro la atencin de solicitudes urgentes de los usuarios?
Asigna el plan maestro un porcentaje del tiempo total de produccin al reproceso o fallas de
equipo?
Escribir la lista de proyectos a corto plazo y largo plazo.
Escribir una lista de sistemas en proceso periodicidad y usuarios.
Quin autoriza los proyectos?
Cmo se asignan los recursos?
Cmo se estiman los tiempos de duracin?
Quin interviene en la planeacin de los proyectos?
Cmo se calcula el presupuesto del proyecto?
Qu tcnicas se usan en el control de los proyectos?
Quin asigna las prioridades?
Cmo se asignan las prioridades?
Cmo se controla el avance del proyecto?
Con qu periodicidad se revisa el reporte de avance del proyecto?
Cmo se estima el rendimiento del personal?

Con que frecuencia se estiman los costos del proyecto para compararlo con lo
presupuestado?
Qu acciones correctivas se toman en caso de desviaciones?
Qu pasos y tcnicas siguen en la planeacin y control de los proyectos?
Enumerarlos secuencialmente.
( ) Determinacin de los objetivos.
( ) Sealamiento de las polticas.
( ) Designacin del funcionario responsable del proyecto.
( ) Integracin del grupo de trabajo.
( ) Integracin de un comit de decisiones.
( ) Desarrollo de la investigacin.
( ) Documentacin de la investigacin.
( ) Factibilidad de los sistemas.
( ) Anlisis y valuacin de propuestas.
( ) Seleccin de equipos.
Se llevan a cabo revisiones peridicas de los sistemas para determinar si an cumplen con
los objetivos para los cuales fueron diseados?
Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el departamento
de informtica podra satisfacer las necesidades de la dependencia, segn la situacin actual.

EVALUACIN DEL DISEO Y PRUEBA DE LOS SISTEMAS

Quines intervienen al disear un sistema?
Usuario.
Analista.
Programadores.
Operadores.
Gerente de departamento.
Auditores internos.
Asesores.
Otros.
Los analistas son tambin programadores?
S ( ) NO ( )
Qu lenguaje o lenguajes conocen los analistas?
Cuntos analistas hay y qu experiencia tienen?
Qu lenguaje conocen los programadores?
Cmo se controla el trabajo de los analistas?
Cmo se controla el trabajo de los programadores?
Indique qu pasos siguen los programadores en el desarrollo de un programa:
Estudio de la definicin ( )
Discusin con el analista ( )
Diagrama de bloques ( )
Tabla de decisiones ( )
Prueba de escritorio ( )
Codificacin ( )
Es enviado a captura o los programadores capturan? ( )
Quin los captura ( )
Compilacin ( )
Elaborar datos de prueba ( )

Solicitar datos al analista ( )
Correr programas con datos ( )
Revisin de resultados ( )
Correccin del programa ( )
Documentar el programa ( )
Someter resultados de prueba ( )
Entrega del programa ( )
Qu documentacin acompaa al programa cuando se entrega?

ENCUESTAS DE SATISFACCIN DE USUARIOS TI

A fines de verificar si los servicios del Area de TI cubren las necesidades de los usuarios, se
disean guas de cuestionarios:
Considera que el Area de TI cumple con los resultados esperados?.-
Si ( ) No ( ) Por que?
Cmo considera usted, en general, el servicio proporcionado por el Area de TI?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
Por que?
Cubre sus necesidades los servicios proporcionados por el Area de TI?
No las cubre ( )
Parcialmente ( )
La mayor parte ( )
Todas ( ) Por que?
Hay predisposicin del Area de TI para sus requerimientos?
Generalmente no existe ( )
Hay ocasionalmente ( )
Regularmente ( )
Siempre ( ) Por que?
Son cumplidos con puntualidad los trabajos y requerimientos solicitados?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( ) Por que?
Que piensa del servicio y atencin de los integrantes del Area de TI?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( ) Por que?
Que piensa de la asesora y orientacin que se imparte sobre informtica?
No se proporciona ( )
Es insuficiente ( )
Satisfactoria ( )
Excelente ( ) Por que?
Que piensa de la seguridad en el manejo de la informacin proporcionada por el sistema que
utiliza?
Nula ( )

Riesgosa ( )
Satisfactoria ( )
Excelente ( )
Lo desconoce ( ) Por que?
Existen fallas de exactitud en los procesos de informacin?
Cules?
Cmo utiliza los reportes que se le proporcionan?
Cules no Utiliza?
De aquellos que no utiliza por que razn los recibe?
Que sugerencias presenta en cuanto a la eliminacin de reportes, modificacin, fusin,
divisin de reporte?
Se cuenta con un manual de usuario por Sistema?
SI ( ) NO ( )
Es claro y objetivo el manual del usuario?
SI ( ) NO ( )
Que opinin tiene el manual?
NOTA: Pida el manual del usuario para evaluarlo.
Quin interviene de su departamento en el diseo de sistemas?
Que sistemas deseara que se incluyeran?
Observaciones

CONTROLES DE APLICACIONES ENTRADA DE DATOS

Indique el porcentaje de datos que se reciben en el rea de captacin
Indique el contenido de la orden de trabajo que se recibe en el rea de captacin de datos:
Nmero de folio ( ) Nmero(s) de formato(s) ( )
Fecha y hora de Nombre, Depto. ( )
Recepcin ( ) Usuario ( )
Nombre del documento ( ) Nombre responsable ( )
Volumen aproximado Clave de cargo
de registro ( ) (Nmero de cuenta) ( )
Nmero de registros ( ) Fecha y hora de entrega de
Clave del capturista ( ) documentos y registros captados ( )
Fecha estimada de entrega ( )
Indique cul(es) control(es) interno(s) existe(n) en el rea de captacin de datos:
Firmas de autorizacin ( )
Recepcin de trabajos ( ) Control de trabajos atrasados ( )
Revisin del documento ( ) Avance de trabajos ( )
Fuente (legibilidad, verificacin de datos completos, etc.) ( )
Prioridades de captacin ( ) Errores por trabajo ( )
Produccin de trabajo ( ) Correccin de errores ( )
Produccin de cada operador ( ) Entrega de trabajos ( )
Verificacin de cifras Costo Mensual por trabajo ( )
Verificacin de cifras de control de entrada con las de salida. ( )
Existe un programa de trabajo de captacin de datos?
Se elabora ese programa para cada turno?
Diariamente ( )
Semanalmente ( )
Mensualmente ( )

La elaboracin del programa de trabajos se hace:
Internamente ( )
Se les sealan a los usuarios las prioridades ( )
Que accin(es) se toma(n) si el trabajo programado no se recibe a tiempo?
Quin controla las entradas de documentos fuentes?
En que forma las controla?
Que cifras de control se obtienen?
Que documentos de entrada se tienen?
Se anota que persona recibe la informacin y su volumen?
Se anota a que capturista se entrega la informacin, el volumen y la hora?
Se verifica la cantidad de la informacin recibida para su captura?
Se revisan las cifras de control antes de enviarlas a captura?
Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de
asegurar que la informacin es completa y valida?
Existe un procedimiento escrito que indique como tratar la informacin invlida (sin firma
ilegible, no corresponden las cifras de control)?
En caso de resguardo de informacin de entrada en sistemas, Se custodian en un lugar
seguro?
Si se queda en el departamento de sistemas, Por cuanto tiempo se guarda?
Existe un registro de anomalas en la informacin debido a mala codificacin?
Existe un registro de los documentos que entran a capturar?
Se hace un reporte diario, semanal o mensual de captura?
Se hace un reporte diario, semanal o mensual de anomalas en la informacin de entrada?
Se lleva un control de la produccin por persona?
Quin revisa este control?
Existen instrucciones escritas para capturar cada aplicacin o, en su defecto existe una
relacin de programas?
Se tienen copias de los archivos en otros locales?
Dnde se encuentran esos locales?
Que seguridad fsica y confidencialidad se tiene en esos locales?
Quin entrega los documentos de salida?
En que forma se entregan?
Que documentos y que controles se tienen?
Se tiene un responsable (usuario) de la informacin de cada sistema? Cmo se atienden
solicitudes de informacin a otros usuarios del mismo sistema?


CONTROLES DE APLICACIONES OPERACIN

El objetivo del presente ejemplo de cuestionario es sealar los procedimientos e instructivos
formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos.
Existen procedimientos formales para la operacin del Area de Sistemas?
SI ( ) NO ( )
Estn actualizados los procedimientos?
SI ( ) NO ( )
Indique la periodicidad de la actualizacin de los procedimientos:
Semestral ( )
Anual ( )
Cada vez que haya cambio de equipo ( )
Indique el contenido de los instructivos de operacin para cada aplicacin:
Identificacin del sistema ( )
Identificacin del programa ( )
Periodicidad y duracin de la corrida ( )
Especificacin de formas especiales ( )
Especificacin de salidas de impresoras ( )
Etiquetas de archivos de salida, nombre, archivo lgico, fechas de creacin y expiracin ( )
Instructivo sobre materiales de entrada y salida ( )
Altos programados y la acciones requeridas ( )
Instructivos especficos a los operadores en caso de falla del equipo ( )
Instructivos de reinicio ( )
Procedimientos de recuperacin para proceso de gran duracin o criterios ( )
Identificacin de todos los dispositivos a ser usados ( )
Especificaciones de resultados (cifras de control, registros de salida por archivo, etc. ) ( )
Existen rdenes de proceso para cada corrida en la computadora (incluyendo pruebas,
compilaciones y produccin)?
SI ( ) NO ( )
Son suficientemente claras para los operadores estas rdenes?
SI ( ) NO ( )
Existe una estandarizacin de las ordenes de proceso?
SI ( ) NO ( )
Existe un control que asegure la justificacin de los procesos en el computador? (Que los
procesos que se estn autorizados y tengan una razn de ser procesados.
SI ( ) NO ( )
Cmo programan los operadores los trabajos dentro del departamento de cmputo?
Primero que entra, primero que sale ( )
se respetan las prioridades, ( )
Otra (especifique) ( )
Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza?
SI ( ) NO ( )
Quin revisa este reporte en su caso?
Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cmputo,
tomando en cuenta equipo y operador, a travs de inspeccin visual, y describa sus
observaciones.
Existen procedimientos escritos para la recuperacin del sistema en caso de falla?
Cmo se acta en caso de errores?
Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes?

Se tienen procedimientos especficos que indiquen al operador que hacer cuando un
programa interrumpe su ejecucin u otras dificultades en proceso?
Puede el operador modificar los datos de entrada?
Se prohibe a analistas y programadores la operacin del sistema que programo o analizo?
Se prohibe al operador modificar informacin de archivos o bibliotecas de programas?
El operador realiza funciones de mantenimiento diario en dispositivos que as lo requieran?
Las intervenciones de los operadores:
Son muy numerosas? SI ( ) NO ( )
Se limitan los mensajes esenciales? SI ( ) NO ( )
Otras (especifique)
Se tiene un control adecuado sobre los sistemas y programas que estn en operacin?
SI ( ) NO ( )
Se rota al personal de control de informacin con los operadores procurando un entrenamien-
to cruzado y evitando la manipulacin fraudulenta de datos?
SI ( ) NO ( )
Cuentan los operadores con una bitcora para mantener registros de cualquier evento y
accin tomada por ellos?
Si ( )
por mquina ( )
escrita manualmente ( )
NO ( )
Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y
mantenimiento o instalaciones de software.
Existen procedimientos para evitar las corridas de programas no autorizados?
SI ( ) NO ( )
Existe un plan definido para el cambio de turno de operaciones que evite el descontrol y
discontinuidad de la operacin.
Verificar que sea razonable el plan para coordinar el cambio de turno.
Se hacen inspecciones peridicas de muestreo?
SI ( ) NO ( ) - Describir metodologa utilizada.
Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc. fuera
del Area de Sistemas?
SI ( ) NO ( )
Se controla estrictamente el acceso a la documentacin de programas o de aplicaciones
rutinarias?
SI ( ) NO ( ) Cmo?
Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la
clasificacin de seguridad de operador.
Existen procedimientos formales que se deban observar antes de que sean aceptados en
operacin, sistemas nuevos o modificaciones a los mismos?
SI ( ) NO ( )
Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las
versiones anteriores?
SI ( ) NO ( )
Durante cuanto tiempo?
Que precauciones se toman durante el periodo de implementacin?
Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o
nuevo estn acordes con los instructivos de operacin.
Se catalogan los programas liberados para produccin rutinaria?
SI ( ) NO ( )

Mencione que instructivos se proporcionan a las personas que intervienen en la operacin
rutinaria de un sistema.
Indique que tipo de controles tiene sobre los archivos magnticos de los archivos de datos,
que aseguren la utilizacin de los datos precisos en los procesos correspondientes.
Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo?
SI ( ) NO ( )
Indique como est organizado este archivo de bitcora.
Por fecha ( )
por fecha y hora ( )
por turno de operacin ( )
Otros ( )
Cul es la utilizacin sistemtica de las bitcoras?
Adems de las mencionadas anteriormente, que otras funciones o reas se encuentran en el
departamento de cmputo actualmente?
Verifique que se lleve un registro de utilizacin del equipo diario, sistemas en lnea y batch,
de tal manera que se pueda medir la eficiencia del uso de equipo.
Se tiene inventario actualizado de los equipos y terminales con su localizacin?
SI ( ) NO ( )
Cmo se controlan los procesos en lnea?
Se tienen seguros sobre todos los equipos?
SI ( ) NO ( )
Con que compaa? Solicitar plizas de seguros y verificar tipo de seguro y montos.
Cmo se controlan las llaves de acceso (Password)?.

CONTROLES DE LOS MEDIOS DE ALMACENAMIENTO

El objetivo de este cuestionario es evaluar la metodologa para administrar los dispositivos de
almacenamientos de la informacin.
Los locales asignados a la cintoteca y discoteca tienen:
Aire acondicionado ( )
Proteccin contra el fuego ( ) (sealar que tipo de proteccin)
Cerradura especial ( )
Otra
Tienen los soportes magnticos con proteccin automtica contra el fuego?
SI ( ) NO ( )
Que informacin mnima contiene el inventario de los soportes magnticos?
Nmero de serie ( )
Nmero o clave del usuario ( )
Nmero del archivo lgico ( )
Nombre del sistema que lo genera ( )
Fecha de expiracin del archivo ( )
Nmero de volumen ( )

Se verifican con frecuencia la validez de los inventarios de los archivos magnticos?
SI ( ) NO ( )
En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y
explican satisfactoriamente las discrepancias?
SI ( ) NO ( )

Que tan frecuentes son estas discrepancias?
Se tienen procedimientos que permitan la reconstruccin de un archivo, el cual fue
inadvertidamente destruido?
SI ( ) NO ( )
Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de
acceso?
SI ( ) NO ( ) Cmo?
Existe un control estricto de las copias de estos archivos?
SI ( ) NO ( )
Que medio se utiliza para almacenarlos?
Mueble con cerradura ( )
Bveda ( )
Otros (especifique)
Este almacn esta situado:
En el mismo edificio del departamento ( )
En otro lugar ( ) Cul?
Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
SI ( ) NO ( )
Se certifica la destruccin o baja de los archivos defectuosos?
SI ( ) NO ( )
Se registran como parte del inventario las nuevas cintas que recibe la biblioteca?
SI ( ) NO ( )
Se tiene un responsable, por turno, de los almacenamientos de archivos?
SI ( ) NO ( )
Se realizan controles peridicos a los medios de almacenamiento?
SI ( ) NO ( )
Que medidas se toman en el caso de extravo de algn dispositivo de almacenamiento?
Se restringe el acceso a los lugares asignados para guardar los dispositivos de
almacenamiento, al personal autorizado?
SI ( ) NO ( )
Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales?
SI ( ) NO ( )
Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se
devolvern?
SI ( ) NO ( )
Se lleva control sobre los archivos prestados por cada aplicacin?
SI ( ) NO ( )
En caso de prstamo Conque informacin se documentan?
Nombre del destinatario autorizado a quin se hace el prstamo.
fecha de recepcin ( )
fecha en que se debe devolver ( )
archivos que contiene ( )
formatos ( )
cifras de control ( )
cdigo de grabacin ( )
nombre del responsable que los presto ( )
otros
Indique qu procedimiento se sigue en el reemplazo de las cintas que contienen los archivos
maestros
Que poltica de conservacin de archivos se utiliza?

En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los
archivos?
SI ( ) NO ( )
Estos procedimientos los conocen los operadores?
SI ( ) NO ( )
Con que periodicidad se revisan estos procedimientos?
MENSUAL ( ) ANUAL ( ) SEMESTRAL ( ) OTRA ( )
Existe un responsable en caso de falla?
SI ( ) NO ( )
Explique que polticas se siguen para la obtencin de archivos de respaldo?
Existe un procedimiento para el manejo de informacin de los medios de almacenamientos?
SI ( ) NO ( )
Est en conocimiento y es cumplimentado por los responsables asignados?
SI ( ) NO ( )
Se distribuyen en forma peridica entre los jefes de sistemas y programacin informes de
archivos para que liberen los dispositivos de almacenamiento?
SI ( ) NO ( )
Con qu frecuencia?



ANEXO II

MODELO DE CONTRATO. AUDITORA DE TI











ADR 2 Cap02 AuditoriaV2011 08 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ADR 2 Cap02 AuditoriaV2011 08 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION

Asignatura: ADMINISTRACION DE RECURSOS

Você também pode gostar