Escolar Documentos
Profissional Documentos
Cultura Documentos
Mtodo:
Es el modo de decir o hacer con orden una cosa.
Metodologa:
Es el conjunto de mtodos que se siguen en un trabajo cientfico, que permiten abordar ste de forma organizada y consecuente.
Son el reflejo del trabajo del profesional y estn directamente relacionadas con su experiencia.
Son necesarias para que un equipo de profesionales alcance un resultado homogneo en equipos de trabajo heterogneos.
La informtica ha sido tradicionalmente una materia compleja en todos sus aspectos. Y ha sido necesario por ello la utilizacin de
metodologas desde su diseo de ingeniera hasta el desarrollo del software, y como no, la auditora de los sistemas de informacin.
Dentro del mundo de la informtica existen muchas disciplinas en las que el uso de metodologas es una prctica habitual. Una es la
seguridad de sistemas de informacin.
Contramedida:
Factores que intervienen en su composicin
LA ORGANIZACIN:
Son personas con funciones especficas, y con procedimientos definidos metodolgicamente y aprobados por la direccin de la empresa.
LAS METODOLOGAS:
Son necesarias para realizar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
TECNOLOGAS DE SEGURIDAD:
Son todos los elementos de hardware y software que ayudan a controlar un riesgo informtico.
Contramedida:
Factores que intervienen en su composicin
NO SE PUEDEN ESTABLECER
CONTROLES SIN PERSONAS.
DE UN CORRECTO
PLANTEAMIENTO SURGIRN
PROCEDIMIENTOS EFICACES
Plan de Seguridad
Todos los factores que componen la contramedida estn relacionados entre s y la calidad de cada uno est relacionada con la de los dems.
Cuando se evala el nivel de Seguridad de Sistemas en una Institucin, se estn evaluando todos estos factores (pirmide) y se plantea un
Plan de Seguridad nuevo, que mejore todos los factores, aunque conforme vayamos realizando los distintos proyectos del plan, no irn
mejorando todos por igual.
Al finalizar el plan se habr conseguido una situacin nueva en la que el nivel de control sea superior al anterior.
Dirigir la estrategia y
las polticas
Realizar diariamente
procedimientos de
control
Evaluar el control
segn el Plan Auditor
Diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados valores numricos. stos
valores en el caso de metodologas de anlisis de riesgos o de planes de contingencias son datos de probabilidad de ocurrencia (riesgo)
de un evento, y que se deben extraer de un registro de incidencias donde el nmero de incidencias tienda a infinito o sea suficientemente
grande.
Debilidad de los datos (de la probabilidad de ocurrencia por los pocos registros de incidentes).
Cualitativa/Subjetivas:
Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo y seleccionar en base la experiencia acumulada.
La Auditor
Auditora Inform
Informtica:
tica slo identifica el nivel de exposicin por la falta de controles.
El An
Anlisis de Riesgos:
Riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de las mismas.
Las metodologas de anlisis de riesgos se utilizan desde los aos 70 en la industria del seguro basndose en grandes volmenes
de datos estadsticos agrupados en tablas actuarias.
Se emplearon en Informtica a los 80 y adolece del problema de que los registros estadsticos de incidentes son escasos y por tanto
el rigor cientfico de los clculos probabilsticos es pobre. Aunque existen bases de incidentes en varios pases, estos datos no son
muy fiables por varios motivos: la tendencia a la ocultacin de los afectados, la localizacin geogrfica, las distintas mentalidades, la
informtica cambiante, que los riesgos se presentan en un perodo de tiempo solamente, etc.
MARION
RISCKPAC
Mtodologas pensadas para su aplicacin en herramientas, la primera de ellas desarrollada por PROFILE ANALYSIS
CORPORATION instalada en cliente en 1984.
Enfoque cualitativo/subjetivo.
CRAMM
Desarrollada en 1985 y 1987 por BIS y CCTA (Central Computer & Telecomunication Agency Risk Analisis & Management
Method, Inglaterra).
Implantado en ms de 750 organizaciones en Europa sobre todo en la Administracin Pblica.
Mtodologa cualitativa.
Plan de Contingencias
Es una estrategia planificada constituida por un conjunto de recursos
recursos de respaldo, una organizaci
organizacin de emergencia y unos
procedimientos de actuaci
actuacin, encaminada a conseguir una restauraci
restauracin progresiva y gil de los servicios de negocio afectados por
una paralizaci
paralizacin total o parcial de la capacidad operativa de la empresa.
Esta estrategia materializada en un manual es el resultado de todo un proceso de anlisis y definiciones que es lo que da lugar a las
Metodologas.
Plan de Contingencia
FASES DE UN PLAN:
I ) An
Anlisis y dise
diseo:
Se estudia la problemtica, las necesidades de recursos, las alternativas de respaldo y se analiza el costo-beneficio de las mismas.
Esta es la fase ms importante pudiendo llegarse al final de la misma incluso a la conclusin de que no es viable o es muy costoso
su seguimiento.
En la forma de desarrollar esta fase se distinguen dos familias metodolgicas:
Risck Analisis: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan
(registros de incidentes escasos y poco fiables).
Bussines Impact: se basan en el estudio del impacto (prdida econmica o de imagen) que ocasiona la falta de algn recurso de
los que soporta la actividad del negocio.
Auditor
Auditora de controles generales: como producto estndar de las compaas auditoras profesionales, que son una homologacin
de las mismas a nivel internacional.
Su objetivo es dar una opinin sobre la fiabilidad de los datos del ordenador para la auditora financiera.
El resultado externo es un escueto informe como parte del informe de auditora donde se destacan las vulnerabilidades
encontradas.
Basadas en pequeos cuestionarios estndares, que dan como resultado informes muy generalistas. Tienen
apartados para definir pruebas y anotar sus resultados que las diferencia de las metodologas de anlisis de riesgos.
Metodolog
Metodologas de los auditores internos:
Debe ser diseada y desarrollada por el propio auditor y sta ser la significacin de su grado de experiencia y habilidad.
El auditor informtico necesita de una larga experiencia tutelada y una gran formacin tanto auditora como informtica.
Funciones: ubicacin de la figura en el organigrama de la empresa. Debe existir una clara segregacin de funciones con la
Informtica y de control interno informtico. Deben describirse las funciones de forma precisa y la organizacin interna del
departamento con todos sus recursos.
Tipos de auditor
auditoras que realiza: metodologas y cuestionarios de las mismas. Existen tres tipos de auditoras segn su alcance:
Full o completa de un rea (Ejemplo: control interno, informtica)
Limitada a un aspecto (Ejemplo: una aplicacin, la seguridad lgica, el software de base, etc)
Corrective Action Review (CAR) que es la comprobacin de acciones correctivas de auditoras anteriores.
Sistemas de evaluaci
evaluacin y los distintos aspectos que eval
evala (como nivel de gestin econmica, gestin de recursos humanos,
cumplimiento de normas, etc y realizar una evaluacin global de resumen para toda la auditora. Esta evaluacin suele hacerse en
tres niveles: bien, regular o mal, significando la visin de grado de gravedad. Esta evaluacin final nos servir para definir la fecha
de repeticin de la misma auditora en el futuro segn el nivel de exposicin que se le haya dado a este tipo de auditora en
cuestin.
Nivel de exposici
exposicin (un nmero del 1 al 10 definido subjetivamente y que me permite en base a la evaluacin final de la ltima
auditora realizada sobre ese tema definir la fecha de la repeticin de la misma auditora.
Plan de trabajo anual deben estimarse tiempos de manera racional y componer un calendario que una vez terminado me dar un
resultado de horas de trabajo previstas y por tanto los recursos que se necesitarn.
Herramientas gratuitas:
http://www.bsa.org/country/Tools%20and%20Resources/Free%20Software%20Audit%20Tools.aspx
Herramientas de auditora gratuitas diseadas para ayudarle a auditar, identificar y rastrear software licenciado y no-licenciado instalado en sus
computadoras y servidores. Las auditoras son un componente clave de cualquier programa de software asset management (gestin del software).
La Evidencia
La evidencia en la Auditor
Auditora Inform
Informtica es la base razonable de la opini
opinin del Auditor, esto es el Informe de Auditor
Auditora Inform
Informtica.
La evidencia que debe obtener el auditor consiste en una amplia gama de informaci
informacin y datos que lo puedan ayudar a elaborar su informe
final.
Proporcionar la informacin bsica y fundamental necesaria para realizar la planeacin, organizacin y desarrollo de todas las etapas del proceso de
auditora.
Respaldar la opinin del auditor permitiendo realizar un examen de supervisin y proporcionando los informes suficientes y necesarios que sern
incluidos en el informe de auditora, adems sirve como evidencia en caso de presentarse alguna demanda.
Permiten establecer un registro histrico disponible permanentemente en caso que se presente algn requerimiento.
En lo referente a su redacci
redaccin el informe debe ser claro, adecuado, suficiente y comprensible.
comprensible.
Aunque no existe un formato vinculante, existen esquemas recomendados con los requisitos m
mnimos aconsejables respecto a
estructura y contenido:
1. Identificaci
Identificacin del informe: el ttulo del informe deber identificarse con objeto de distinguirlo de otros informes.
2. Identificaci
Identificacin del cliente: debern identificarse a los destinatarios y a las personas que efecten el encargo.
3. Identificaci
Identificacin de la entidad auditada: es decir de la entidad objeto de la auditora informtica.
4. Objetivos de la Auditor
Auditora Inform
Informtica: para identificar su propsito, sealando los objetivos incumplidos.
5. Normativa aplicada y excepciones:
excepciones normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el
posible impacto en los resultados de la auditora.
6. Alcance de la Auditor
Auditora: naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de
informacin, sealando limitaciones al alcance y restricciones del auditado.
7. Conclusiones: Informe corto de opinin; debe contener uno de los siguientes tipos de opinin: favorable o sin salvedades, con
salvedades, desfavorable o adversa y denegada.
8. Resultados: Informe largo y otros informes; los usuarios desean saber ms y desean transparencia como valor aadido. El lmite lo
marcan los papeles de trabajo o documentacin de la Auditora Informtica, pero existen aspectos a tener en cuenta: el secreto de la
empresa, el secreto profesional, etc.
9. Fecha del Informe:
Informe es importante no slo por la cuantificacin de honorarios y el cumplimiento con el cliente, sino para conocer la
magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusin del trabajo de campo, incluso la del cierre del
ejercicio, si es que se est realizando un Informe de Auditora Informtica como herramienta de apoyo a la Auditora de Cuentas.
10. Identificaci
Identificacin y firma del Auditor:
Auditor Este aspecto es formal del informe, es esencial tanto si es individual como si forma parte de una
sociedad de auditora, que deber corresponder a un socio o socios legalmente as considerados.
11. Distribuci
Distribucin del Informe:
Informe En el contrato o en la carta propuesta del Auditor Informtico, deber definirse quin o quienes podrn
hacer uso del informe as como los usos concretos que tendr, pues los honorarios debern guardar relacin directa con la
responsabilidad civil.
Las recomendaciones deben ser razonables, verificables, interesantes econmicamente y adecuadas al tamao de la organizacin.
Despus de la revisin del informe final con los responsables del rea revisada se debe distribuir a las otras personas autorizadas.
El rea tiene la posibilidad de aceptar o rechazar cada punto de control. Todos los puntos rechazados se explicarn por escrito. El
rea acepta los riesgos implcitos de la debilidad encontrada por el auditor.
Se debe hacer un seguimiento de la implantacin de las recomendaciones, para asegurarse que el trabajo de revisin produce
resultados concretos. (Auditora Interna)
Fuente:
Auditora de Tecnologas y Sistemas de Informacin, Mario Piattini Velthuis, Emilio del Peso Navarro, Mar del Peso Ruiz.
Auditora Informtica Un enfoque prctico, Mario Piattini Velthuis, Emilio del Peso Navarro.