Unidad 3

Metodologas Herramientas e Informe de Auditora

Instituto Superior Privado

Robustiano Macedo Martnez

Lic. Andrea M. Pelez

1 7

Mtodo:
Es el modo de decir o hacer con orden una cosa.

Metodologa:
Es el conjunto de mtodos que se siguen en un trabajo cientfico, que permiten abordar ste de forma organizada y consecuente.

Metodologas en la Auditora de los SI:

Son el reflejo del trabajo del profesional y estn directamente relacionadas con su experiencia.
Son necesarias para que un equipo de profesionales alcance un resultado homogneo en equipos de trabajo heterogneos.
La informtica ha sido tradicionalmente una materia compleja en todos sus aspectos. Y ha sido necesario por ello la utilizacin de
metodologas desde su diseo de ingeniera hasta el desarrollo del software, y como no, la auditora de los sistemas de informacin.
Dentro del mundo de la informtica existen muchas disciplinas en las que el uso de metodologas es una prctica habitual. Una es la
seguridad de sistemas de informacin.

Seguridad y Auditora de los SI

Entonces la auditora est involucrada en este

proceso de proteccin y preservacin de la
informacin y de sus medios de proceso.

El nivel de seguridad informtica es un objetivo a

evaluar y est directamente relacionado con la
calidad y eficacia de un conjunto de acciones y

medidas destinadas a proteger y preservar la

informacin de la entidad y sus medios de
proceso (Contramedidas).

La informtica en una entidad, crea unos riesgos

informticos, de los que hay que proteger y
preservar a la entidad con un entramado de
contramedidas, y la calidad y eficacia de las
mismas es el objetivo a evaluar para as poder
identificar sus puntos dbiles y poder mejorarlos,

sta es una de las funciones de los auditores

informticos.

Contramedida:
Factores que intervienen en su composicin

Contramedida: Factores que intervienen en su composicin

LA NORMATIVA:
Debe definirse de forma clara y precisa todo lo que debe existir y cumplir (conceptual y prctico, general y particular), basado en estndares y
polticas.

LA ORGANIZACIN:
Son personas con funciones especficas, y con procedimientos definidos metodolgicamente y aprobados por la direccin de la empresa.

LAS METODOLOGAS:
Son necesarias para realizar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

LOS OBJETIVOS DE CONTROL:

Son los objetivos a cumplir en el control de los procesos.

LOS PROCEDIMIENTOS DE CONTROL:

Son los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada para la consecucin de uno o
varios objetivos de control y por lo tanto deben estar documentados y aprobados por la Direccin.

TECNOLOGAS DE SEGURIDAD:
Son todos los elementos de hardware y software que ayudan a controlar un riesgo informtico.

LAS HERRAMIENTAS DE CONTROL:

Son todos los elementos de software que permiten definir uno o varios procedimientos de control, para cumplir una normativa y un objetivo de
control.

Contramedida:
Factores que intervienen en su composicin

NO SE PUEDEN ESTABLECER
CONTROLES SIN PERSONAS.

DE UN CORRECTO
PLANTEAMIENTO SURGIRN
PROCEDIMIENTOS EFICACES

SIN LA EXISTENCIA DE LOS

PROCEDIMIENTOS DE
CONTROL LAS
HERRAMIENTAS SON
SOLAMENTE UNA ANCDOTA.

Plan de Seguridad

Todos los factores que componen la contramedida estn relacionados entre s y la calidad de cada uno est relacionada con la de los dems.
Cuando se evala el nivel de Seguridad de Sistemas en una Institucin, se estn evaluando todos estos factores (pirmide) y se plantea un
Plan de Seguridad nuevo, que mejore todos los factores, aunque conforme vayamos realizando los distintos proyectos del plan, no irn
mejorando todos por igual.
Al finalizar el plan se habr conseguido una situacin nueva en la que el nivel de control sea superior al anterior.

PLAN DE SEGURIDAD: Estrategia planificada de acciones y proyectos que llevan a

un sistema de informacin y a sus centros de proceso de una situacin inicial
determinada (y a mejorar) a una situacin mejorada.

Organizacin de la seguridad de sistemas

Dirigir la estrategia y
las polticas

Realizar diariamente
procedimientos de
control

Evaluar el control
segn el Plan Auditor

Metodologas de Evaluacin de Sistemas: Conceptos Fundamentales

Ejemplo: es frecuente evaluar el impacto en trminos econmicos, aunque
no siempre lo es, como vidas humanas, imagen de la empresa, honor, etc.

Ejemplo: inundacin, incendio, robo

de datos, sabotaje, falta de
procedimientos de emergencia,
divulgacin de datos, gastos
incontrolados, etc.

Ejemplo: falta de control de acceso

lgico, falta de control de versiones,
inexistencia de un control de soportes
magnticos, falta de cifrado en las
telecomunicaciones, etc.

Metodologas de Evaluacin de Sistemas: Tipos de Metodologas

Cuantitativas:
Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo.

Diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados valores numricos. stos
valores en el caso de metodologas de anlisis de riesgos o de planes de contingencias son datos de probabilidad de ocurrencia (riesgo)
de un evento, y que se deben extraer de un registro de incidencias donde el nmero de incidencias tienda a infinito o sea suficientemente
grande.

Debilidad de los datos (de la probabilidad de ocurrencia por los pocos registros de incidentes).

Imposibilidad de evaluar econmicamente todos los impactos que puedan ocurrir.

Cualitativa/Subjetivas:

Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo y seleccionar en base la experiencia acumulada.

Precisan de un profesional experimentado.

Requieren menos recursos humanos/tiempo que las metodologas cuantitativas.

Metodologas de Evaluacin de Sistemas: Metodologas ms comunes

Las metodologas ms comunes que podemos encontrar de evaluacin de sistemas son de An
Anlisis de Riesgos, las de
Plan de contingencias y las de Auditor
Auditora Inform
Informtica.

Las siguientes metodologas tienen dos enfoques distintos:

La Auditor
Auditora Inform
Informtica:
tica slo identifica el nivel de exposicin por la falta de controles.

El An
Anlisis de Riesgos:
Riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de las mismas.

Las metodologas de anlisis de riesgos se utilizan desde los aos 70 en la industria del seguro basndose en grandes volmenes
de datos estadsticos agrupados en tablas actuarias.
Se emplearon en Informtica a los 80 y adolece del problema de que los registros estadsticos de incidentes son escasos y por tanto
el rigor cientfico de los clculos probabilsticos es pobre. Aunque existen bases de incidentes en varios pases, estos datos no son
muy fiables por varios motivos: la tendencia a la ocultacin de los afectados, la localizacin geogrfica, las distintas mentalidades, la
informtica cambiante, que los riesgos se presentan en un perodo de tiempo solamente, etc.

Todas las metodolog

metodologas existentes en seguridad de sistemas van encaminadas a establecer
establecer y mejorar un entramado de
contramedidas que garanticen que la probabilidad de que las amenazas
amenazas se materialicen en hechos por la falta de control
sea lo m
ms baja posible o al menos quede reducida de una forma razonable en costo - beneficio.

Metodologa de Anlisis de Riesgos

Est
Estn desarrolladas para la identificaci
identificacin de la falta de controles y establecimiento de un plan de contramedidas.
contramedidas.
Citamos algunas de ellas:

MARION

Mtodo documentado en dos libros (La securit des reseaux-Methodes et Techniques)

Tiene dos productos:
MARION AP+ para sistemas individuales
MARION RSX para sistemas distribuidos y conectividad.
Mtodo cuantitativo.
Basado en la encuesta anual de miembros del C.L.U.S.I.F. (base de incidentes francesa)

RISCKPAC

Mtodologas pensadas para su aplicacin en herramientas, la primera de ellas desarrollada por PROFILE ANALYSIS
CORPORATION instalada en cliente en 1984.
Enfoque cualitativo/subjetivo.

CRAMM

Desarrollada en 1985 y 1987 por BIS y CCTA (Central Computer & Telecomunication Agency Risk Analisis & Management
Method, Inglaterra).
Implantado en ms de 750 organizaciones en Europa sobre todo en la Administracin Pblica.
Mtodologa cualitativa.

PRIMA (PREVENCIN DE RIESGOS INFORMTICOS CON METODOLOGA ABIERTA)

Desarrollada entre los aos 1990 y la actualidad.

Adaptable a cualquier tipo de herramienta.
Enfoque subjetivo.
Contiene listas de ayuda y cuestionarios abiertos.

En bases a unos cuestionarios se identifican

vulnerabilidades y riesgos, se evala el impacto,
para ms tarde identificar las contramedidas y el
coste. La siguiente etapa es la ms importante que
mediante un juego de simulacin (Qu pasa si..?)
Analizamos el efecto de las distintas contramedidas
en la disminucin de los riesgos analizados,
eligiendo el plan de contramedidas (plan de
seguridad) que compondr el informe final de la
evaluacin.

Funcionamiento del software de anlisis de riesgo

Plan de Contingencias
Es una estrategia planificada constituida por un conjunto de recursos
recursos de respaldo, una organizaci
organizacin de emergencia y unos
procedimientos de actuaci
actuacin, encaminada a conseguir una restauraci
restauracin progresiva y gil de los servicios de negocio afectados por
una paralizaci
paralizacin total o parcial de la capacidad operativa de la empresa.

Esta estrategia materializada en un manual es el resultado de todo un proceso de anlisis y definiciones que es lo que da lugar a las
Metodologas.

El concepto a considerar es la continuidad del negocio,

negocio es decir todo lo que puede paralizar la actividad y producir prdidas. Todo lo
que no considere este criterio no ser nunca un plan de contingencias.

Plan de Contingencia
FASES DE UN PLAN:
I ) An
Anlisis y dise
diseo:
Se estudia la problemtica, las necesidades de recursos, las alternativas de respaldo y se analiza el costo-beneficio de las mismas.
Esta es la fase ms importante pudiendo llegarse al final de la misma incluso a la conclusin de que no es viable o es muy costoso
su seguimiento.
En la forma de desarrollar esta fase se distinguen dos familias metodolgicas:
Risck Analisis: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan
(registros de incidentes escasos y poco fiables).
Bussines Impact: se basan en el estudio del impacto (prdida econmica o de imagen) que ocasiona la falta de algn recurso de
los que soporta la actividad del negocio.

II ) Desarrollo del plan:

Se desarrolla la estrategia seleccionada, implantndose hasta el final todas las acciones previstas.
Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuacin generando as la
documentacin del plan.
III ) Pruebas y mantenimiento:
Se definen las pruebas (sus caractersticas y ciclos)
Comprobacin del trabajo realizado: primera prueba
Concienciacin al personal implicado (mentalizacin)
Adems se define: la estrategia de mantenimiento, la organizacin destinada a ello y la normativa y procedimientos necesarios para
llevarlo a cabo.

Metodologas de Auditora Informtica:

Auditor
Auditora de controles generales: como producto estndar de las compaas auditoras profesionales, que son una homologacin
de las mismas a nivel internacional.

Su objetivo es dar una opinin sobre la fiabilidad de los datos del ordenador para la auditora financiera.

El resultado externo es un escueto informe como parte del informe de auditora donde se destacan las vulnerabilidades
encontradas.

Basadas en pequeos cuestionarios estndares, que dan como resultado informes muy generalistas. Tienen
apartados para definir pruebas y anotar sus resultados que las diferencia de las metodologas de anlisis de riesgos.

Metodolog
Metodologas de los auditores internos:
Debe ser diseada y desarrollada por el propio auditor y sta ser la significacin de su grado de experiencia y habilidad.

El auditor informtico necesita de una larga experiencia tutelada y una gran formacin tanto auditora como informtica.

El esquema metodolgico del auditor est definido por el Plan auditor.

Plan auditor informtico

Es el esquema metodol
metodolgico m
ms importante del auditor inform
informtico. En este documento se debe escribir todo sobre esta
funci
funcin y el trabajo que realiza en la entidad. Debe estar en sinton
sintona con el plan auditor del resto de los auditores de la
entidad.
Las partes de un plan auditor informtico deber ser al menos las siguientes:

Funciones: ubicacin de la figura en el organigrama de la empresa. Debe existir una clara segregacin de funciones con la
Informtica y de control interno informtico. Deben describirse las funciones de forma precisa y la organizacin interna del
departamento con todos sus recursos.

Procedimientos para las distintas tareas de las auditor

auditoras:
as: procedimientos de apertura, entrega y discusin de debilidades,
entrega de informe preliminar, cierre de auditora, redaccin de informe final, etc.

Tipos de auditor
auditoras que realiza: metodologas y cuestionarios de las mismas. Existen tres tipos de auditoras segn su alcance:
Full o completa de un rea (Ejemplo: control interno, informtica)
Limitada a un aspecto (Ejemplo: una aplicacin, la seguridad lgica, el software de base, etc)
Corrective Action Review (CAR) que es la comprobacin de acciones correctivas de auditoras anteriores.

Plan auditor informtico

Sistemas de evaluaci
evaluacin y los distintos aspectos que eval
evala (como nivel de gestin econmica, gestin de recursos humanos,
cumplimiento de normas, etc y realizar una evaluacin global de resumen para toda la auditora. Esta evaluacin suele hacerse en
tres niveles: bien, regular o mal, significando la visin de grado de gravedad. Esta evaluacin final nos servir para definir la fecha
de repeticin de la misma auditora en el futuro segn el nivel de exposicin que se le haya dado a este tipo de auditora en
cuestin.

Nivel de exposici
exposicin (un nmero del 1 al 10 definido subjetivamente y que me permite en base a la evaluacin final de la ltima
auditora realizada sobre ese tema definir la fecha de la repeticin de la misma auditora.

Seguimiento de las acciones correctoras.

Plan de trabajo anual deben estimarse tiempos de manera racional y componer un calendario que una vez terminado me dar un
resultado de horas de trabajo previstas y por tanto los recursos que se necesitarn.

Herramientas para la auditora de los SI

Algunos ejemplos de CAAT
CAAT (Computer Assisted Audit Tools) algunos ejemplos de productos y empresas:

ACL, IDEA, Symantec y Computer Associates

ACL e IDEA herramientas canadienses ms conocidas en el mercado profesional:
ACL es una herramienta basada en comandos orientado a usuarios con mayor nivel de conocimientos tcnicos.
http://www.acl.com/Default.aspx
(Grupo BIMBO Material de consulta: www.acl.com/customers/success_stories.aspx

IDEA es una herramienta intuitiva orientado a usuarios finales no tcnicos.

http://www.caseware.com/products/idea

Herramientas gratuitas:
http://www.bsa.org/country/Tools%20and%20Resources/Free%20Software%20Audit%20Tools.aspx
Herramientas de auditora gratuitas diseadas para ayudarle a auditar, identificar y rastrear software licenciado y no-licenciado instalado en sus
computadoras y servidores. Las auditoras son un componente clave de cualquier programa de software asset management (gestin del software).

La Evidencia
La evidencia en la Auditor
Auditora Inform
Informtica es la base razonable de la opini
opinin del Auditor, esto es el Informe de Auditor
Auditora Inform
Informtica.
La evidencia que debe obtener el auditor consiste en una amplia gama de informaci
informacin y datos que lo puedan ayudar a elaborar su informe
final.

La evidencia tiene una serie de calificativos:

La evidencia relevante,
relevante que tiene una relacin lgica con los objetivos de la auditora.
La evidencia fiable,
fiable que es vlida y objetiva.
La evidencia suficiente,
suficiente que es de tipo cuantitativo para soportar la opinin profesional del auditor.
La evidencia adecuada,
adecuada que es de tipo cualitativo para afectar a las conclusiones del auditor.

Los Papeles de Trabajo

Se conoce como papeles de trabajo la totalidad de los documentos preparados o recibidos por el auditor,
auditor, de manera que, en conjunto,
constituyen un compendio de la informaci
informacin utilizada y de las pruebas efectuadas en la ejecuci
ejecucin del trabajo con las decisiones que ha
debido tomar para llegar a formarse su opini
opinin.
n.

La documentacin adems de fuente know how del Auditor Inform

Informtico para trabajos posteriores as como para poder realizar su gestin interna de
calidad, es fuente en algunos de casos en los que la corporaci
corporacin profesional puede realizar un control de calidad o hacerlo alg
algn organismo oficial. Los
papeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.

Objetivos de los Papeles de Trabajo:

Proporcionar la informacin bsica y fundamental necesaria para realizar la planeacin, organizacin y desarrollo de todas las etapas del proceso de
auditora.

Respaldar la opinin del auditor permitiendo realizar un examen de supervisin y proporcionando los informes suficientes y necesarios que sern
incluidos en el informe de auditora, adems sirve como evidencia en caso de presentarse alguna demanda.

Permiten establecer un registro histrico disponible permanentemente en caso que se presente algn requerimiento.

Servir como referencia para posteriores auditoras.

Servir de puente entre el informe de auditora y las reas auditadas.

Informe de Auditora Informtica Esquema y Contenido

El Informe de Auditor
Auditora Inform
Informtica es la comunicaci
comunicacin formal del Auditor al cliente, tanto del alcance de la auditor
auditora (objetivos, per
perodo
de cobertura, naturaleza y extensi
extensin del trabajo realizado) como de los resultados y conclusiones.

En lo referente a su redacci
redaccin el informe debe ser claro, adecuado, suficiente y comprensible.
comprensible.

Aunque no existe un formato vinculante, existen esquemas recomendados con los requisitos m
mnimos aconsejables respecto a
estructura y contenido:

1. Identificaci
Identificacin del informe: el ttulo del informe deber identificarse con objeto de distinguirlo de otros informes.
2. Identificaci
Identificacin del cliente: debern identificarse a los destinatarios y a las personas que efecten el encargo.
3. Identificaci
Identificacin de la entidad auditada: es decir de la entidad objeto de la auditora informtica.
4. Objetivos de la Auditor
Auditora Inform
Informtica: para identificar su propsito, sealando los objetivos incumplidos.
5. Normativa aplicada y excepciones:
excepciones normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el
posible impacto en los resultados de la auditora.
6. Alcance de la Auditor
Auditora: naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de
informacin, sealando limitaciones al alcance y restricciones del auditado.
7. Conclusiones: Informe corto de opinin; debe contener uno de los siguientes tipos de opinin: favorable o sin salvedades, con
salvedades, desfavorable o adversa y denegada.

Informe de Auditora Informtica Esquema y Contenido

8. Resultados: Informe largo y otros informes; los usuarios desean saber ms y desean transparencia como valor aadido. El lmite lo
marcan los papeles de trabajo o documentacin de la Auditora Informtica, pero existen aspectos a tener en cuenta: el secreto de la
empresa, el secreto profesional, etc.
9. Fecha del Informe:
Informe es importante no slo por la cuantificacin de honorarios y el cumplimiento con el cliente, sino para conocer la
magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusin del trabajo de campo, incluso la del cierre del
ejercicio, si es que se est realizando un Informe de Auditora Informtica como herramienta de apoyo a la Auditora de Cuentas.
10. Identificaci
Identificacin y firma del Auditor:
Auditor Este aspecto es formal del informe, es esencial tanto si es individual como si forma parte de una
sociedad de auditora, que deber corresponder a un socio o socios legalmente as considerados.
11. Distribuci
Distribucin del Informe:
Informe En el contrato o en la carta propuesta del Auditor Informtico, deber definirse quin o quienes podrn
hacer uso del informe as como los usos concretos que tendr, pues los honorarios debern guardar relacin directa con la
responsabilidad civil.

Informe de Auditora Informtica

Las recomendaciones deben ser razonables, verificables, interesantes econmicamente y adecuadas al tamao de la organizacin.

Debe tener un tono constructivo. Si es apropiado se anotan los puntos fuertes.

El lenguaje utilizado debe contener un mnimo de trminos tcnicos.

Para su distribucin se debe preparar un resumen del informe.

Despus de la revisin del informe final con los responsables del rea revisada se debe distribuir a las otras personas autorizadas.

El rea tiene la posibilidad de aceptar o rechazar cada punto de control. Todos los puntos rechazados se explicarn por escrito. El
rea acepta los riesgos implcitos de la debilidad encontrada por el auditor.

Se debe hacer un seguimiento de la implantacin de las recomendaciones, para asegurarse que el trabajo de revisin produce
resultados concretos. (Auditora Interna)

Fuente:
Auditora de Tecnologas y Sistemas de Informacin, Mario Piattini Velthuis, Emilio del Peso Navarro, Mar del Peso Ruiz.
Auditora Informtica Un enfoque prctico, Mario Piattini Velthuis, Emilio del Peso Navarro.