Auditoría Informática

AUDITORA INFORMTICA
JUAN ESTEBAN ARANGO CASTRILLN

MAGISTER EN INFORMTICA PLURIDISCIPLINAR
Electiva II
Facultad de Ingenieras
POLITCNICO COLOMBIANO JAIME ISAZA CADAVID
Medelln, Colombia
CONTENIDO DE LA UNIDAD
Glosario de Trminos
Auditora Informtica
Definicin Informtica.
Concepto de Auditora Informtica.
Campos de Auditora Informtica.
Auditor Informtico.
Metodologas de Evaluacin de Sistemas

Definicin.
Clasificacin.
Metodologas de Auditora Informtica

Evaluacin de Riesgo.
Ejemplos.
2
GLOSARIO DE TERMINOS
TIC Tecnologa de la Informacin y las
Comunicaciones: se encargan del estudio, desarrollo,
implementacin, almacenamiento y distribucin de la
informacin mediante la utilizacin de hardware y
software como medio de sistema informtico.
SI SSII - Sistema(s) de Informacin: es el conjunto
de personas, datos y actividades que procesan los
datos y la informacin en una determinada empresa,
incluyendo procesos manuales y automticos.
Se define como un conjunto de procesos planificados,
para dar soporte y ejecutar una actividad.
3
EFICACIA: Es la capacidad de lograr unos objetivos
deseados o esperados.
EFICIENCIA: Es la capacidad de lograr el objetivo en
cuestin con el mnimo posible de recursos.
AMENAZA: Personas o cosas vistas como posible
fuente de peligro o catstrofe.
VULNERABILIDAD: Situacin creada por la falta de
uno o varios controles, con lo que la amenaza se
pudiera materializar y afectar el entorno informtico.
4
AMENAZA:
Criminalidad y Cibercrimen.
Sucesos de Origen fsico.
Negligencia y decisiones institucionales.
VULNERABILIDAD:
Ambientales y fsicas
Econmica.
Socio-Educativa.
Institucional y Poltica.
5
RIESGO: Probabilidad de que una amenaza llegue a
suceder por una vulnerabilidad.
EXPOSICIN O IMPACTO: Es la evaluacin del efecto
del riesgo. Es muy frecuente evaluar el impacto en
trminos econmicos.
CONFIDENCIALIDAD: Es el nivel de proteccin que
tiene la informacin con el fin de que la misma no
pueda se accedida por personas no autorizadas.
INTEGRIDAD: Se refiere a que la informacin sea
exacta y completa; adems de que sta haya sido
validada apropiadamente.
DISPONIBILIDAD: Consiste en tener la informacin
actual e histrica disponible cuando la misma fuese
requerida.
CONFORMIDAD: Es garantizar que la informacin
cumple con las necesidades del negocio y con su
normativa
aplicable
(Leyes,
Reglamentos,
Regulaciones)
7
FIABILIDAD: Consiste en la provisin de la
informacin apropiada a la Administracin, para que
sta tenga el respaldo apropiado para ejercer sus
responsabilidades sobre los informes que publican y
firman.
APLICACIONES: Conjunto
manuales y automticos.
de
procedimientos
SOPORTE: Se refiere a todos los recursos para alojar y

apoyar el funcionamiento de TI.
DATOS: Todo registro de operaciones, manipulaciones
y transformaciones que se hayan dado sobre los
mismos, sean stos numricos, alfanumricos,
estructurados, no estructurados y multimedia.
PERSONAL:
Comprende
las
habilidades,
conocimientos y capacidades para planificar,
organizar, adquirir, implantar, sustentar y monitorear
Sistemas de Informacin.
OBJETIVOS DE CONTROL: Son los objetivos a cumplir
en el control de procesos. Es un concepto clave en
Auditora Informtica.
9
AUDITORA INFORMTICA
Informtica: Se deriva del francs Informatique. La
palabra se forma de la conjuncin de Information y
automatique. Su creacin se da con el fin de dar una
alternativa menos tecnocrtica y mecnica del concepto
de proceso de datos.
En 1966 la Acadmica Francesa reconoce este nuevo
concepto y lo defini como:
Ciencia del tratamiento sistemtico y eficaz, realizado
especialmente mediante mquinas automticas, de la
informacin como vehculo del saber humano y de la
comunicacin en los mbitos tcnico, econmico y social.
10
AUDITORA INFORMTICA
Definicin
Ron Weber: (1988). La auditora informtica es
el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema
informtico salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo los fines
de la organizacin y utiliza eficientemente los
recursos.
En el anlisis no se deben contemplar
nicamente los aspectos tcnicos, sino tambin
los aspectos de gestin y planificacin.
11
AUDITORA INFORMTICA
Definicin
Mair William: (1978). Es la verificacin de
controles en las siguientes tres reas de la
organizacin (Informtica):
Aplicaciones (Programas de Produccin).
Desarrollo de Sistemas.
Instalaciones del Centro de Cmputo.
12
AUDITORA INFORMTICA
Definicin
Segn Piattini & Del Peso (2001), es el proceso
de recoger, agrupar y evaluar evidencias para
determinar si un sistema informtico
salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo eficazmente los fines
de la organizacin y utiliza eficientemente los
recursos.
13
AUDITORA INFORMTICA
La auditora informtica sustenta y confirma la
consecucin de los objetivos tradicionales de la
Auditora:
Objetivos de proteccin de activos e

integridad de datos (Auditora Externa).
Objetivos de gestin que abarcan:
Proteccin de Activos.
Eficiencia.
Eficacia.
(Auditora Interna)
14
AUDITORA INFORMTICA
Principales Objetivos
Salvaguardar los Activos: Proteccin de HW,
SW y Recursos Humanos.
Integridad de los datos: Consistencia y no
duplicidad.
Efectividad de los sistemas: Cumplimiento de
los objetivos Organizacionales.
Eficiencia de los sistemas: Cumplir con los
objetivos con los menores recursos.
Seguridad y confidencialidad.
15
CAMPOS DE AUDITORA INFORMTICA I

Evaluacin Administrativa del Departamento
de Informtica: Evaluacin de:
Objetivos del departamento, direccin o gerencia.
Metas, planes, polticas y procedimientos de
procesos electrnicos.
Organizacin del rea y su estructura orgnica.
Funciones,
niveles
de
autoridad
y
responsabilidades del Departamento.
Integracin de recursos materiales y tcnicos.
Costos y controles presupuestales.
Controles administrativos del Departamento de
Informtica
16

Evaluacin de los Sistema y Procedimiento,
as como de la eficiencia y eficacia que tiene
los Sistemas de Informacin: Comprende:
Evaluacin del anlisis de los sistemas y sus
diferentes etapas.
Evaluacin del diseo lgico del sistema.
Evaluacin del desarrollo fsico del sistema.
Control de proyectos.
Control de sistemas y programacin.
Instructivos y documentacin.
Formas de implantacin de SI.
Seguridad fsica y lgica de los sistemas.
17

Confidencialidad de los sistema.
Controles de mantenimiento.
Formas de respaldo de los sistemas.
Prevencin de factores que puedan causar
contingencia.
Procedimientos de recuperacin de desastres.
Productividad.
Derechos de Autor.
Secretos industriales.
18

Evaluacin del proceso de datos y de los
equipos de cmputo: Comprende:
Controles de los datos fuentes.
Control de operacin.
Control de salida de datos.
Control de medios de almacenamiento masivo.
Control de medios de comunicacin.
Orden en el centro de cmputo.
19

Seguridad: Comprende la evaluacin de:
Seguridad fsica y lgica.
Confidencialidad.
Respaldos de informacin.
Restauracin de Informacin.
Seguridad Personal.
Seguros.
Seguridad en la utilizacin de los equipos de
cmputo.
Plan de Contingencia y Procedimientos
de
recuperacin en caso de desastre
Restauracin de equipos de cmputos y SI.
20
AUDITORA INFORMTICA
Auditor Informtico
Persona con conocimientos en:
Informtica
Normas, procedimientos y tcnicas
auditora.
Tcnicas de comunicacin.
Legislacin Informtica.
Gerencia de Proyectos.
Seguridad Fsica y Lgica de SI.
Administracin de Bases de Datos.
Metodologas de desarrollo de software.
de
21
AUDITORA INFORMTICA
Auditor Informtico
El objetivo del auditor es evaluar y comprobar en
determinados momentos del tiempo los controles
y procedimientos informticos ms complejos, los
cuales son objeto del anlisis, desarrollando y
aplicando metodologas de auditora.
Actualmente no es posible verificar manualmente
procedimientos informatizados que resumen,
calculan, clasifican datos, por lo que se deber
emplear software de auditora CAATS .
22
AUDITORA INFORMTICA
Auditor Informtico
El auditor es responsable de revisar e informar a
la Direccin de la Organizacin sobre el diseo y
funcionamiento de los controles implantados, as
como la fiabilidad de la informacin suministrada.
23
AUDITORA INFORMTICA
Funciones del Auditor Informtico
1. Participar en las revisiones durante y despus del
diseo, realizacin, implantacin y explotacin de
aplicaciones informticas, as como en las fases
anlogas de realizacin de cambios importantes.
2. Revisar y analizar los controles implantados en los
sistemas de informacin para verificar su
adecuacin de acuerdo a las directrices de la
Direccin, requisitos legales, proteccin de
confidencialidad y cobertura ante errores y fraudes.
24
AUDITORA INFORMTICA
Funciones del Auditor Informtico
3. Revisar y analizar el nivel de eficacia, utilidad,
fiabilidad y seguridad de los equipos y sistemas
informticos en general.
Es importante aclarar que stos son los 3 grandes
grupos de funciones y cada uno de ellos es
conformado por otras sub-funciones, segn el alcance
de la auditora.
25
AUDITORA INFORMTICA
Diferencias Control Interno y Auditora
Informtica
La auditora informtica es la revisin independiente del control interno
informtico
CONTROL INTERNO INFORMATICO
AUDITORA INFORMTICA
Semejanzas
Personal interno. Cocimiento especializados en TICs.

Verificacin del cumplimiento de controles internos, normativa y procedimientos
establecidos por Direccin de Informtica y la Direccin general para los SI.
Diferencias
Anlisis de los controles en el da a da.

Informa a la Direccin del Departamento
de Informtica.
Son personal interno.
El alcance de sus funciones es
nicamente sobre el Departamento de
Informtica.
Anlisis de un momento informtico

determinado.
Informa a la direccin General de la
Organizacin.
Personal Interno y/o externo.
Tiene cobertura sobre todos los
componentes de los Sistemas de
Informacin de la Organizacin.
Fuente Piattini & Del Peso (2001)
26
AUDITORA INFORMTICA
Contramedidas:
Tambin conocidos como Controles. En trminos
generales, son un conjunto de acciones y medidas
destinadas a proteger y preservar la informacin y los
medios de procesos de una organizacin (Piattini &
Del Peso, 2001).
El nivel de seguridad de una organizacin est
relacionado de forma directa con la eficacia y calidad
de los controles implantados.
27
AUDITORA INFORMTICA
Elementos que conforman una Contramedida

28
AUDITORA INFORMTICA
Contramedidas: Elementos
LAS NORMATIVAS: Definen de forma clara y precisa
lo que debe existir y ser cumplido desde el punto
vista conceptual como prctico. Permiten ir de lo
general a lo particular. Se inspira en estndares,
polticas, marco jurdico, normas corporativas,
experiencias y prcticas profesionales.
LA ORGANIZACIN: Conformada por personas con
funciones especificas, actuaciones concretas y
procedimientos definidos y aprobados por la
Direccin de la Organizacin. Es el aspecto ms
importante para la creacin de controles.
29
AUDITORA INFORMTICA
LAS
METODOLOGAS:
Fundamentales
para
desarrollar cualquier proyecto de forma ordenada y
eficaz.
LOS OBJETIVOS DE CONTROL: Es lo que debe cumplir
(lograr) el control de procesos. Es el elemento ms
importante despus de la LA ORGANIZACIN.
LOS PROCEDIMIENTOS DE CONTROL: Procedimientos
operativos de las distintas reas de la organizacin.
Permiten la consecucin de uno o varios Objetivos
de Control. Deben ser documentados y aprobados
por la Direccin de la Organizacin.
30
AUDITORA INFORMTICA
TECNOLOGA DE SEGURIDAD: Conformadas por
elementos de HW y SW que ayudan a controlar y
mitigar un determinado riesgo informtico.
LAS HERRAMIENTAS DE CONTROL: Elementos
software que ayudan a definir uno o varios
procedimientos de control para cumplir con una
normativa (interna o externa) y un objetivo de
control.
31
AUDITORA INFORMTICA
Organizacin interna de la Seguridad Informtica

32
METODOLOGAS DE EVALUACIN DE
SISTEMAS
33
SISTEMAS
MTODO: Modo de decir o hacer con orden una cosa
(Diccionario de la Lengua de la Real Acadmica
Espaola).
METODOLOGA: Conjunto de mtodos que se siguen
en una investigacin cientfica o una exposicin
doctrinal (Diccionario de la Lengua de la Real
Acadmica Espaola).
SEGURIDAD DE LOS SISTEMAS DE INFORMACIN:
Doctrina que trata de los riesgos informticos o
creados por la informtica.
34
SISTEMAS
RIESGO: Probabilidad de que una amenaza llegue a
suceder por una vulnerabilidad. Los riesgos se
pueden:
Evitar: Ej: No construir un centro de datos
donde hay peligro constante de inundacin.
Transferir: Ej: Uso de un centro de cmputo
contratado.
Reducir: Ej: Sistemas de deteccin y extincin
de incendios.
Asumir: Es lo que se hace sino se controla el
riesgo en absoluto.
35
SISTEMAS
Las dos metodologas de evaluacin de sistemas ms
relevantes son:
Anlisis de Riesgo: Facilita la evaluacin de los
riesgos y recomienda acciones con base en el
costo-beneficio de las misma.
Auditora Informtica: Identifica el nivel de
exposicin por la falta de controles.
36
SISTEMAS
Tipos de Metodologas
Cuantitativas: Basadas en modelos matemticos
que ayudan a la realizacin del trabajo.
Cualitativas: Basadas en el criterio y raciocinio
humano, el cual es capaz de definir un proceso de
trabajo teniendo en cuenta la experiencia
acumulada.
37
SISTEMAS
Metodologas Cuantitativas
Sirven para producir una lista de riesgos que
pueden compararse entre si, porque tienen
asignados unos valores numricos.
Dichos valores son datos de probabilidad de
ocurrencia (riesgo) de evento basadas en modelos
matemticos que ayudan a la realizacin del
trabajo.
Algunos coeficientes utilizados en estas
metodologas son: A.L.E.
(Anualized Loss
Expectancy) y el R.O.I (Return of Investment).
38
SISTEMAS
Metodologas Cualitativas/Subjetivas
Se basan en mtodos estadsticos y lgica borrosa
(fuzzy logic).
Para su aplicacin requieren de un profesional
experimentado.
Consumen menos recurso humano y tiempo
respecto las metodologas cuantitativas.
39
SISTEMAS
Las metodologas ms comunes son:
Anlisis de Riesgos.
Plan de Contingencia.
40
SISTEMAS
Anlisis de Riesgo
Son desarrolladas para la identificacin de la falta
de controles y el establecimiento de un plan de
contra medidas (Plan de seguridad).
Pueden ser cuantitativas y cualitativas, la cuales
se diferencia en la utilizacin del modelo
matemtico y el sistema de simulacin.
41
Anlisis de Riesgo: Esquema bsico

Cuestionario
Etapa 1
Identificar los Riesgos
Etapa 2
Calcular el Impacto
Etapa 3
Identificar contramedidas y Costos
Etapa 4
Simulaciones
Etapa 5
Creacin de los Informes
Etapa 6
Basado en Piattini & Del Peso (2001)

42
SISTEMAS
Plan de Contingencias
Es una estrategia planificada constituida por:
Conjunto de recursos de respaldo.
Organizacin de Emergencia.
Procedimientos
de
actuacin
para
conseguir una restauracin progresiva y
gil de los servicios del negocio
Tambin es conocidos como Plan de Recuperacin
del Negocio.
43
SISTEMAS
Se debe diferenciar del plan de restauracin
interno, lo cual no afecta gravemente la
continuidad del negocio.
Los conceptos a considerar son La Continuidad
y El Negocio.
Estudia todo lo que puede paralizar la actividad y
producir prdidas.
44
SISTEMAS
Plan de Contingencias: Segn Piattini & Del Peso,
(2001), Sus fases son:
Fase 1: Anlisis y diseo
Fase 2: Desarrollo del Plan
Fase 3: Pruebas y Mantenimiento
45
PLAN DE CONTINGENCIA
Fase 1: Anlisis y Diseo
Se estudia la problemtica, las necesidades de
recursos, las alternativas de respaldo y los costos
beneficios de las mismas.
Es la fase ms importante, porque permite
concluir si es viable o es muy costoso el
seguimiento del plan.
Se pueden utilizar dos metodologas:
Risk Analysis
Business Impact Analysis (BIA)
46
Risk Analysis: Comprende las siguientes tareas:
1. Identificacin de Amenazas.
2. Anlisis de la probabilidad de materializacin
de las amenazas.
3. Seleccin de amenazas.
4. Identificacin de entornos amenazados.
5. Identificacin de servicios afectados.
47
6. Estimacin del impacto econmico
paralizacin de cada servicio.
por
7. Seleccin de los servicios a cubrir.

8. Seleccin final del mbito a cubrir.
9. Identificacin
entornos.
de
alternativas
para
los
10. Seleccin de alternativas.

11. Diseo de estrategia de respaldo.
12. Seleccin de las estrategias de respaldo.
48
Business Impact
siguientes tareas:
Analysis:
Comprende
las
1. Identificacin de servicios finales.

2. Anlisis de impacto.
3. Seleccin de servicios crticos.
4. Determinacin de recursos de soporte.
49
5. Identificacin de alternativas para entornos.
6. Seleccin de alternativas.
7. Diseo de estrategias globales de respaldo.
8. Seleccin de las estrategia global de respaldo.
Nota: El BIA permite determinar los Recovery
Time Objective (RTO) y Recovery Point
Objective (RPO).
50
Se desarrolla la estrategia seleccionada,
implantndose todas la acciones proyectadas.
Se definen las distintas organizaciones de
emergencia.
51
Se desarrollan los procedimiento de actuacin, lo
cual permite generar la documentacin del plan.
Fase en la cual se analiza la vuelta a la
normalidad, ya que pasar de la situacin normal a
la alternativa debe concluirse con la
reconstruccin de la situacin inicial antes de la
contingencia.
52
Fase 3: Pruebas y Mantenimiento
Se definen las pruebas, sus caractersticas y sus
ciclos.
Se realiza la primera prueba como comprobacin
de todo el trabajo realizado.
Se mentaliza al persona implicado.
Se define la estrategia de mantenimiento, su
normativa y procedimientos.
53
METODOLOGAS DE AUDITORA
INFORMTICA
54
INFORMTICA
Existen tres tipos de Metodologas:
Evaluacion de Riesgos (EDR): Risk Oriented
Approach (ROA), la cual fue diseada por Arthur
Andersen.
Basada en Cuestionarios (Check list).
De Productos Informticos.
Las tres se basan en la minimizacin del riesgo, lo
cual se conseguir en funcin de la existencia de
controles y de que estos funcionen (Piattini & Del
Peso, 2001)
55
INFORMTICA
Cada Organizacin que ofrezca servicios de
Auditores
(Deloitte,
Ernst
&
Young,
Pricewaterhouse, KPMG, e.t.c) o cada empresa
puede desarrollar una metodologa propia.
La ms difundida es la basada en Evaluacin de
Riesgos (EDR) recomendada por ISACA.
56
INFORMTICA
Evaluacin de Riesgo (EDR):
El Auditor Interno realiza una evaluacin del
riesgo potencial existente sobre los Sistemas de
Informacin de la Organizacin.
Como consecuencia de la ausencia de controles o
bien por ser deficientes, estos riesgos deben ser
cuantificados y valorados, con el fin de
determinar el nivel de fiabilidad que brinda el
sistema sobre la exactitud, integridad y
procesamiento de la informacin.
57
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Objetivos de Control:
Es la reduccin del Riesgo.
La cuantificacin
de los riesgos
potenciales, conocidos o no, es la base para
establecer los objetivos de control.
Los objetivos de control pueden ser
definidos previamente por el equipo de
Auditora o bien establecerse durante la
planificacin de la Auditora.
58
INFORMTICA
Tcnicas de Control:
Tambin conocidos como controles.
Por cada objetivo de control / riesgo
potencial, se identifican las tcnicas de
control existentes que deben minimizar el
riesgo, logrando cumplir con el objetivo de
control.
Por ejemplo, en relacin a Seguridad de la
informacin existe una gua de controles
en la norma ISO/IEC 27002
59
INFORMTICA
Ejemplos Guas de Controles
60
INFORMTICA
Pruebas (Definicin): Segn (Fernndez, Riss &
Benito, 2009):
Permiten obtener evidencias y verificar la
consistencia de los controles existentes.
Permiten medir el riesgo por deficiencia de
los controles o por ausencia de ellos.
Toda opinin o evaluacin de un auditor
debe estar basada en pruebas realizadas y
en la evidencia obtenida.
61
INFORMTICA
Pruebas de cumplimiento: Segn (Fernndez, Riss
& Benito, 2009)
Se utilizan para probar y verificar el
cumplimiento de una tcnica de control
(controles).
Renen evidencias de auditora para
indicar si un control funciona de forma
efectiva y logra sus objetivos.
62
INFORMTICA
Pruebas de cumplimiento:
El diseo de las pruebas de cumplimiento,
cuyo fin es el de reunir evidencias de un
funcionamiento efectivo de los controles
internos, debe tener en cuenta:
a. Se ejecutaron los procedimientos
previstos?
b. Se ejecutaron adecuadamente?
c. Fueron ejecutados por alguien que
cumple los requisitos de segregacin de
funciones?
63
INFORMTICA
Pruebas de cumplimiento: Ejemplos
Examen de Evidencia: Revisar documentos,
registros y procedimientos relacionados
con controles.
Reprocesos: Consiste en repetir los
procedimientos de control que se estn
auditando.
Observacin: Se fundamenta en observar
actividades relacionadas con el control
auditado.
64
INFORMTICA
Pruebas Sustantivas:
Se utilizan cuando las pruebas de
cumplimiento no han satisfecho los
objetivos del Auditor.
Permiten comprobar la fiabilidad y
consistencia de los controles existentes e
identificar la magnitud y el impacto de los
errores e incidencias, as como saber si se
estn aplicando en la intensidad adecuada.
Su objetivo es la obtencin de evidencias.
65
INFORMTICA
Pruebas Sustantivas: Ejemplos (Echenique, 2001).
Pruebas para identificar errores en el
procesamiento de datos en los SI.
Pruebas para asegurar la calidad de los
datos.
Pruebas para identificar la inconsistencia
de los datos.
Pruebas para revisar la seguridad de la red
y Sistemas de informacin.
66
INFORMTICA
Pruebas Sustantivas: Ejemplos (Echenique, 2001).
Confrontacin
externas.
de
datos
con
fuentes
Pruebas para identificar problemas de

legalidad.
Revisar que el inventario de activos
informticos se refleje en la Contabilidad
organizacional.
Identificacin de problemas de seguridad.
67
INFORMTICA
Metodos para obtener evidencias:
Inspeccin.
Observacin.
Preguntas.
Clculos.
Examen analtico.
Confirmacin.
68
INFORMTICA
Clases de evidencia:
Fsica: Ej: Evidencia fsica de activos
Documental: Ej: Revisin de Documentos.
Confirmaciones: Ej: Confirmacin Bancaria
Testimonial: Eje: Reuniones y entrevistas
Analtica: Clculos matemticos y estadist.
Registral: Registro de acceso
69
INFORMTICA
Herramientas del Auditor Informtico:
Observacin.
Realizacin de cuestionarios.
Muestreo Estadstico.
Entrevista a auditados y no auditados.
Listas de chequeo.
Flujo-gramas.
Mapas conceptuales.
70
INFORMTICA
EMPEZAR
EXISTE
CONTROL?
NO
REALIZACIN DE
PRUEBAS
SUSTANTIVAS
SI
PRUEBA DE
CUMPLIMIENTO
EXISTE
DEFICIENCIAS?
CONFIRMACIN
MEDIANTE
PRUEBAS
NO
SI
CONFORME
CON EL
CONTROL?
NO
COMENTARIO
VERBAL O
LEVE
COMENTARIO
MEDIO O GRAVE
SEGN
DEFICIENCIAS O
INCIDENCIAS
SI
FIN
(VER EL IMPACTO)
Flujograma para
Auditora
Informtica
FIN
FIN
Basado en Fernndez, Riss & Benito (2009) 71
INFORMTICA
Evaluacin de Riesgo (EDR): Ejemplo
Riesgo: Acceso no autorizado a S.I.
Objetivo de Control: El departamento de Sistemas
de Informacin debe establecer normativas de
acceso a sus datos y S.I.
Controles: Los procedimientos de acceso lgico a
los datos incluye la revisin y aprobacin de
perfiles de usuarios.
72
INFORMTICA
Pruebas:
De cumplimiento:
Realizar pruebas para
verificar el cumplimiento del procedimiento de
acceso lgico a los datos.
Prueba: comprobar que se ha implantado un
procedimiento por escrito para someter a todos
los perfiles de acceso a un proceso de
aprobaciones y medidas de seguridad, y que ste
ha sido comunicado a todas las reas
involucradas o interesadas.
73
INFORMTICA
Pruebas:
Sustantivas: Realizar pruebas para verificar la
creacin, revisin y aprobacin de perfiles; para
lo cual se debe revisar quien aprob la creacin
del perfil y que ste cumpla con las medidas de
seguridad establecidas.
Prueba: Seleccionar una muestra de perfiles e
identificar aquellos que no se hayan creado,
revisado y aprobado adecuadamente, evaluando
el impacto/riesgo de las incidencias detectadas.
74
INFORMTICA
Basada en Cuestionarios o Checklist:
El Auditor revisa los controles con la ayuda de
una lista de control (checklist), el cual consta de
una serie de preguntas o cuestiones a verificar.
La evaluacin consiste en identificar la existencia
de unos controles establecidos o estandarizados
por la organizacin.
Suelen utilizarse por auditores con poca
experiencia, como gua de referencia, para
asegurar que se han revisado todos los controles.
75
INFORMTICA
Basada en Cuestionarios o Checklist:
Ejemplo checklist parcial para el rea de desarrollo.
CUESTION
SI NO N/A
Se han desarrollado estndares, han sido documentados, divulgados y actualizados?

Cada fase del ciclo de desarrollo ha sido debidamente detallada?
Se analizan las distintas opciones, costes, necesidades de usuarios y recursos?
Se realizan estos proyectos teniendo en cuenta los objetivos de la organizacin y los
proyectos tecnolgicos a largo plazo?
Se establece un plan para cada fase y los responsables realizan un seguimiento de su
cumplimiento, evaluando los retrasos u otras incidencias y desviaciones?
Se ha establecido claramente la participacin de otras reas, en que fase y en el proceso
de aprobaciones?
Firma el User Team las especificaciones, el diseo funcional y su implantacin?
Participa el User Team en las pruebas, preparando sus propios datos?
Se han planificado las actividades de Paralelo y la conversacin adecuadamente en
cuanto a la participacin de usuarios, disponibilidad de la instalacin e impacto en las
actividades cotidianas?
Fuente: Fernndez, Riss & Benito (2009)
76
INFORMTICA
De Productos Informticos:
A la vista de la cantidad de productos Software /
aplicaciones existentes en el mercado, es
razonable pensar en realizar las auditoras con un
mtodo propio o diseado por la empresa
fabricante del producto.
El formato de la metodologa a nivel general
consiste en:
Descripcin: Se explica la herramienta,
utilidad, su finalidad, mbito y entorno de
funcionamiento.
77
INFORMTICA
Riesgo especfico del producto: En
determinadas situaciones o escenarios,
incluso
al
interactuar
con
otras
aplicaciones. Qu puede pasar si
Controles que minimizan los riesgos: Una
vez determinados los riesgos especficos,
implantar controles que los reduzcan. Es
importante tener presente:
Riesgo vs Control vs Costo
78
INFORMTICA
Pruebas de Controles: Pueden ser de
cumplimiento y/o sustantivas, para lo cual
se utilizan:
Audit Tools: son programas de utilidad que tiene el propio
producto que vamos a auditar.
Audit Trails: Son habitualmente los logs. Tiene evidencias de lo
que sucede en el interior del sistema. Tienen como
desventaja que consumen mayor tiempo de procesador, pues
por cada operacin anotan en el registro.
Audit Retrievals: son programas especficos, generalmente
utilizados exclusivamente por los tcnicos del producto
informtico para obtener informacin
79
METODOLOGAS QUE AYUDAN A LA

AUDITORA INFORMTICA
80

AUDITORA INFORMTICA
Es importante diferenciar una metodologa de
auditora de una metodologa de anlisis de
riesgos.
En la metodologa de auditora basada en riesgos
(ROA), se utiliza la valoracin de riesgos como
punto de partida en la auditora, pero no es una
metodologa de anlisis de riesgos.
81

AUDITORA INFORMTICA
En los entornos tecnolgicos, una metodologa de
Anlisis de Riesgo comprende:
Anlisis de Riesgos: Proceso sistemtico para
identificar y estimar la magnitud del riesgo.
Anlisis de Riesgos Cualitativos: Consiste
en utilizar una escala de puntuaciones para
situar la gravedad del impacto.
Anlisis de Riesgos Cuantitativos: Permite
identificar las prdidas econmicas y
financieras que causara el impacto.
82

AUDITORA INFORMTICA
Gestin de los Riesgos: Seleccin e implantacin
de
salvaguardas / controles para conocer,
prevenir, impedir, reducir, controlar o transferir los
riesgos identificado.
Se manejan los conceptos de Activos, Amenazas,
Vulnerabilidades, Riesgos y Salvaguardas /
Controles.
83

AUDITORA INFORMTICA
Algunas de las ms extendidas son:
MAGERIT v2: Metodologa Anlisis y GEstin de
RIesgos Tecnolgico, desarrollada por la
Administracin Pblica Espaola.
CRAMM:
Central
Computer
and
Telecommunications Agency Risks Analysis
Management Method, desarrollada en 1985 por
el CCTA del Reino Unido, hoy da mantenida y
distribuida por SIEMENS.
84

AUDITORA INFORMTICA
Algunas de las ms extendidas son:
OCTAVE, Operationally Critical Threat, Asset, and
Vulnerability Evaluation, desarollada por la
Carnegie-Mellon en Estados Unidos.
EBIOS, desarrollada por la Administracin Francesa
en 1995.
NIST SP800-30. Gua de gestin de riesgos
publicada por el gobierno Norteamericano.
85
EJEMPLOS
86
REPASO
Tipo Prueba
Funcin
De Cumplimiento
Verifican la existencia y
aplicacin de un control
determinado
Sustantivas
Verificacin de la fiabilidad
y consistencia de los
controles existentes
Aplicacin
Responden las siguientes
preguntas:
Estamos aplicando los
controles que decimos que
aplicamos?
Estn aplicndose
realmente esos controles?
Responden a la pregunta:
Se estn aplicando en la
intensidad adecuada?
.
87
REPASO
Tipo Control
Funcin
Ejemplos
Preventivo
Impedir que el problema de

seguridad ocurra
Segregacin de Funciones
Validacin de inputs
Firewalls
Detectivo
Detectar cuando ocurre un

problema de seguridad y
emitir un aviso
Deteccin Intrusos
Auditoras
CRCs, Checksums.
Correctivo
Resolver el problema de
seguridad, una vez que
ocurra o despus
Copias de Seguridad
Reprocesos
Compensatorios
Controles de menor calidad

que se usan cuando no hay
alternativas
Antiphising
88
CONTROLES DE GESTIN
Control
Objetivo de Control
(algunos)
Implantacin Control
(ejemplos)
Tipo de Control
Eliminar riesgos de Colusin (Daos a 3ros)
Asegurar independencia de funciones
Organigramas, incluyendo la descripcin
funcional de cada puesto.
Cualificacin estricta de perfiles.
Direccin por Comits
Existencia de Funcin auditora
Preventivo
89
CONTROLES DE GESTIN
Control
Pruebas de
Cumplimiento
Verificacin en tarjetas de visita de

aplicacin del organigrama.
Existencia de calendario de Auditora
Actas de reunin de Comits
(ejemplos)
Pruebas Sustantivas
(ejemplos)
Tipo de Control
Entrevista con responsables funcionales

sobre sus atribuciones en el trabajo
Existencia y contenidos de informes de
auditora existentes
Contenidos de los Actas de Comits
Incidencias por colusin de personal
Preventivo
90
CONTROLES DE GESTIN
Poltica de Seguridad
Control
Polticas de Seguridad
Objetivo de Control
Difusin de los objetivos corporativos en

materia de Seguridad
Alineacin de toda la organizacin en la
consecucin de los objetivos fijados
(algunos)
Implantacin Control
(ejemplos)
Tipo de Control
Documento de Poltica de Seguridad

Respaldo de la Direccin a la Poltica de
Seguridad
Firma
Difusin de la Poltica de Seguridad
Preventivo
91
CONTROLES DE GESTIN
Poltica de Seguridad
Control
Polticas de Seguridad
Pruebas de
Cumplimiento
Existencia de documento de Poltica de

Seguridad
La poltica de Seguridad est difundida
Se pueden localizar copias de la Poltica de
Seguridad en los lugares previstos.
(ejemplos)
Pruebas Sustantivas
(ejemplos)
Frecuencia de re-difusin de la Poltica

Antigedad de la Poltica de Seguridad
Conocimiento por el personal de la Poltica
de Seguridad
92
CONTROLES DE GESTIN
Planificacin de Seguridad de TI
Control
Planificacin de Seguridad / IT
Objetivo de Control
Apoyo de la Seguridad / IT a los objetivos de

la Compaa, a corto / medio / largo plazo
Priorizacin de actividades de Seguridad / IT
(algunos)
Implantacin Control
(ejemplos)
Tipo de Control
Realizacin de Anlisis de Riesgos. Uso de

sus resultados.
Existencia de Planes a largo plazo en
Seguridad / IT
Seguimiento del cumplimiento de los planes
previstos.
Preventivo
93
CONTROLES DE GESTIN
Planificacin de Seguridad de TI
Control
Planificacin de Seguridad / IT
Pruebas de
Cumplimiento
Existencia de Planes de Seguridad / IT

documentados
Verificacin de ejecucin de acciones
sealadas en el Plan
(ejemplos)
Pruebas Sustantivas
(ejemplos)
Grado de actualizacin de los planes

Evidencias de seguimiento de los planes
Existencia de comunicaciones sobre grado
de avance de los planes.
94
REFERENCIAS
Webb, P., Pollard, C. & Ridley, G. (2006) Attempting to
Define IT Governance: Wisdomor Folly. Proceedings
of the 39th Hawaii International Conference on
System Science. IEEE Computer Society.
Piattini & Del Peso. (2001). Auditoria Informtica: un
enfoque prctico. Segunda Edicin. RAMA Editorial.
Madrid Espaa.
Echenique, G. (2001). Auditoria en Informtica. Segunda
Edicin. McGraw-Hill. Mexico D.F.
95
REFERENCIAS
William, M. (1978). Computer control & audit. Institute
of Internal Auditors; Enlarged 2nd edition.
Arango, J. E. (2009). Apuntes sobre Auditoria Informtica.
Mster en Informtica con enfoque en Auditoria y
Derecho Informtico. Alcal de Henares Espaa.
Superintendencia de Bancos. (2002). Manual de Control
Interno Informtico para Entidades Financieras.
Asuncin, Paraguay.
Fernndez, C., Riss, B & Benito, M. (2009). Auditoria y
Peritaje Informtico. Universidad Alcal de Henares.
Espaa.
96

Auditoría Informática

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoría Informática

Enviado por

Direitos autorais:

Formatos disponíveis

AUDITORA INFORMTICA

JUAN ESTEBAN ARANGO CASTRILLN

Metodologas de Evaluacin de Sistemas

Metodologas de Auditora Informtica

SOPORTE: Se refiere a todos los recursos para alojar y

Objetivos de proteccin de activos e

CAMPOS DE AUDITORA INFORMTICA I

CAMPOS DE AUDITORA INFORMTICA I

CAMPOS DE AUDITORA INFORMTICA I

CAMPOS DE AUDITORA INFORMTICA I

CAMPOS DE AUDITORA INFORMTICA I

Personal interno. Cocimiento especializados en TICs.

Anlisis de los controles en el da a da.

Anlisis de un momento informtico

Fuente Piattini & Del Peso (2001)

Fuente Piattini & Del Peso (2001)

Fuente Piattini & Del Peso (2001)

Anlisis de Riesgo: Esquema bsico

Identificar los Riesgos

Identificar contramedidas y Costos

Creacin de los Informes

Basado en Piattini & Del Peso (2001)

7. Seleccin de los servicios a cubrir.

10. Seleccin de alternativas.

1. Identificacin de servicios finales.

Pruebas para identificar problemas de

Se han desarrollado estndares, han sido documentados, divulgados y actualizados?

Fuente: Fernndez, Riss & Benito (2009)

METODOLOGAS QUE AYUDAN A LA

METODOLOGAS QUE AYUDAN A LA

METODOLOGAS QUE AYUDAN A LA

METODOLOGAS QUE AYUDAN A LA

METODOLOGAS QUE AYUDAN A LA

METODOLOGAS QUE AYUDAN A LA

Impedir que el problema de

Detectar cuando ocurre un

Controles de menor calidad

Verificacin en tarjetas de visita de

Entrevista con responsables funcionales

Difusin de los objetivos corporativos en

Documento de Poltica de Seguridad

Existencia de documento de Poltica de

Frecuencia de re-difusin de la Poltica

Apoyo de la Seguridad / IT a los objetivos de

Realizacin de Anlisis de Riesgos. Uso de

Existencia de Planes de Seguridad / IT

Grado de actualizacin de los planes

Você também pode gostar