Professional Documents
Culture Documents
Metodologa de Auditoria
2.1.2- Fase 2: Estudio Inicial
Para reaIizar dicho estudio ha de examinarse Ias funciones y actividades
generaIes de Ia informtica.
Para su reaIizacin eI auditor debe conocer Io siguiente:
Organizacin:
Para eI equipo auditor, eI conocimiento de quin ordena, quin disea
y quin ejecuta es fundamentaI. Para reaIizar esto en auditor deber fijarse
en:
1) Organigrama:
EI organigrama expresa Ia estructura oficiaI de Ia organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente aI oficiaI, se
pondr de manifiesto taI circunstancia.
2) Departamentos:
Se entiende como departamento a Ios rganos que siguen inmediatamente
a Ia Direccin. EI equipo auditor describir brevemente Ias funciones de
cada uno de eIIos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
EI equipo auditor verificar si se cumpIen Ias reIaciones funcionaIes y
Jerrquicas previstas por eI organigrama, o por eI contrario detectar, por
ejempIo, si aIgn empIeado tiene dos jefes.
Las de Jerarqua impIican Ia correspondiente subordinacin. Las funcionaIes
por eI contrario, indican reIaciones no estrictamente subordinabIes.
4) Flujos de Informacin:
Adems de Ias corrientes verticaIes intradepartamentaIes, Ia estructura
organizativa cuaIquiera que sea, produce corrientes de informacin
horizontaIes y obIicuas extradepartamentaIes.
Los fIujos de informacin entre Ios grupos de una organizacin son
necesarios para su eficiente gestin, siempre y cuando taIes corrientes no
distorsionen eI propio organigrama.
En ocasiones, Ias organizaciones crean espontneamente
canaIes
aIternativos de informacin, sin Ios cuaIes Ias funciones no podran
ejercerse con eficacia; estos canaIes aIternativos se producen porque hay
pequeos o grandes faIIos en Ia estructura y en eI organigrama que Ios
representa.
Otras veces, Ia aparicin de fIujos de informacin no previstos obedece a
afinidades personaIes o simpIe comodidad. Estos fIujos de informacin
son indeseabIes y producen graves perturbaciones en Ia organizacin.
5) Nmero de Puestos de trabajo
EI equipo auditor comprobar que Ios nombres de Ios Puesto de Ios
Puestos de Trabajo de Ia organizacin corresponden a Ias funciones reaIes
distintas.
Metodologa de Auditoria
Es frecuente que bajo nombres diferentes se reaIicen funciones
idnticas, Io cuaI indica Ia existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructuraIes; Ios auditores
darn a conocer taI circunstancia y expresarn eI nmero de puestos de
trabajo verdaderamente diferentes.
6) Nmero de personas por Puesto de Trabajo
Es un parmetro que Ios auditores informticos deben considerar. La
inadecuacin deI personaI determina que eI nmero de personas que
reaIizan Ias mismas funciones rara vez coincida con Ia estructura oficiaI de
Ia organizacin.
2.1.3- Fase 3: Entorno Operacional
EI equipo de auditora informtica debe poseer una adecuada referencia deI
entorno en eI que va a desenvoIverse.
Este conocimiento previo se Iogra determinando, fundamentaImente, Ios
siguientes extremos:
a. Situacin geogrfica de Ios Sistemas:
Se determinar Ia ubicacin geogrfica de Ios distintos Centros de
Proceso de Datos en Ia empresa. A continuacin, se verificar Ia
existencia de responsabIes en cada unos de eIIos, as como eI uso de Ios
mismos estndares de trabajo.
b. Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamentaI Ia configuracin eIegida
para cada uno de eIIos, ya que Ios mismos deben constituir un sistema
compatibIe e intercomunicado. La configuracin de Ios sistemas esta
muy Iigada a Ias poIticas de seguridad Igica de Ias compaas.
Los auditores, en su estudio iniciaI, deben tener en su poder Ia
distribucin e interconexin de Ios equipos.
c. Inventario de Hardware y Software:
EI auditor recabar informacin escrita, en donde figuren todos Ios
eIementos fsicos y Igicos de Ia instaIacin. En cuanto a Hardware
figurarn Ias CPUs, unidades de controI IocaI y remotas, perifricos de
todo tipo, etc.
EI inventario de software debe contener todos Ios productos Igicos deI
Sistema, desde eI software bsico hasta Ios programas de utiIidad
adquiridos o desarroIIados internamente. SueIe ser habituaI
cIasificarIos en facturabIes y no facturabIes.
d. Comunicacin y Redes de Comunicacin:
En eI estudio iniciaI Ios auditores dispondrn deI nmero, situacin y
caractersticas principaIes de Ias Ineas, as como de Ios accesos a Ia red
pbIica de comunicaciones. IguaImente, poseern informacin de Ias Redes
LocaIes de Ia Empresa.
Aplicaciones bases de datos y ficheros
EI estudio iniciaI que han de reaIizar Ios auditores se cierra y cuImina con
una idea generaI de Ios procesos informticos reaIizados en Ia empresa
Metodologa de Auditoria
auditada. Para eIIo debern conocer Io siguiente:
a)
c)
Documentacin
La existencia de una adecuada documentacin de Ias apIicaciones
proporciona beneficios tangibIes e inmediatos muy importantes.
La documentacin de programas disminuye gravemente eI
mantenimiento de Ios mismos.
de
Metodologa de Auditoria
Recursos Humanos
La cantidad de recursos depende deI voIumen auditabIe. Las
caractersticas y perfiIes deI personaI seIeccionado depende de Ia
materia auditabIe.
Es iguaImente seaIabIe que Ia auditora en generaI sueIe ser ejercida
por profesionaIes universitarios y por otras personas de probada
experiencia muItidiscipIinaria.
Perfiles Profesionales de los auditores informticos
Profesin
Informtico en generaI
Tcnico de Sistemas
Experto
en Bases de
Administracin de Ias mismas.
Experto
Comunicacin
en
Datos
Software
de
Tcnico de Organizacin
Experto
organizador
y
coordinador.
EspeciaIista en eI anIisis de fIujos de
informacin
Economista
con
conocimiento
Informtica. Gestin de costes.
de
Si Ia Revisin debe reaIizarse por reas generaIes o reas especficas. En eI primer caso,
Ia eIaboracin es ms compIeja y costosa.
Metodologa de Auditoria
soIamente eI nmero de auditores necesarios, sino Ias especiaIidades necesarias deI
personaI.
Herramientas:
- Cuestionario generaI iniciaI
- Cuestionario CheckIist
- Estndares
- Monitore
- SimuIadores (Generadores de datos)
- Paquetes de auditora (Generadores de Programas)
- Matrices de riesgo
2.1.6- Fase 6: Informe Final
La funcin de Ia auditora se materiaIiza excIusivamente por escrito. Por Io
tanto Ia eIaboracin finaI es eI exponente de su caIidad.
ResuIta evidente Ia necesidad de redactar borradores e informes parciaIes
previos aI informe finaI, Ios que son eIementos de contraste entre opinin
entre auditor y auditado y que pueden descubrir faIIos de apreciacin en eI
auditor.
Metodologa de Auditoria
ESTRUCTURA EL INFORME FINAL
EI informe comienza con Ia fecha de comienzo de Ia auditora y Ia fecha de redaccin
deI mismo. Se incIuyen Ios nombres deI equipo auditor y Ios nombres de todas Ias
personas entrevistadas, con indicacin de Ia jefatura, responsabiIidad y puesto de trabajo
que ostente.
- Definicin de objetivos y alcance de la auditora.
- Enumeracin de temas considerados:
Antes de tratarIos con profundidad, se enumerarn Io ms exhaustivamente posibIe
todos Ios temas objeto de Ia auditora.
-
Cuerpo expositivo:
Para cada tema, se seguir eI siguiente orden a saber:
a) S ituacin actuaI. Cuando se trate de una revisin peridica, en Ia que se
anaIiza no soIamente una situacin sino adems su evoIucin en eI tiempo,
se expondr Ia situacin prevista y Ia situacin reaI
b) Tendencias. Se tratarn de haIIar parmetros que permitan estabIecer
tendencias futuras.
c) Puntos dbiIes y amenazas
d) Recomendaciones y pIanes de accin. Constituyen junto con Ia exposicin de
puntos dbiIes, eI verdadero objetivo de Ia auditora informtica.
e) Redaccin posterior de Ia Carta de Introduccin o Presentacin.
MODELO CONCEPTUAL DE LA ESPOSICIN DEL INFORME FINAL
Metodologa de Auditoria
4 Conclusin del hecho
- No deben redactarse concIusiones ms que
exposicin haya sido muy extensa o compIeja.
en
Ios casos
en
que
Ia
Metodologa de Auditoria
Cabe acIarar, que esta primera fase puede omitirse cuando Ios auditores hayan
adquirido por otro medios Ia informacin que aqueIIos preimpresos hubieran
proporcionado.
Entrevistas
EI auditor comienza a continuacin Ias reIaciones personaIes con eI auditado. Lo hace
de tres formas:
1.
2.
3.
4.
Checklist
EI auditor profesionaI y experto es aquI que reeIabora muchas veces sus
cuestionarios en funcin de Ios escenarios auditados. Tiene cIaro Io que necesita saber, y
por qu. Sus cuestionarios son vitaIes para eI trabajo de anIisis, cruzamiento y sntesis
posterior, Io cuaI no quiere decir que haya de someter aI auditado a unas preguntas
estereotipadas que no conducen a nada. Muy por eI contrario, eI auditor conversar y
har preguntas "normaIes", que en reaIidad servirn para Ia cumpIimentacin sistemtica
de sus Cuestionarios, de sus CheckIists.
Hay opiniones que descaIifican eI uso de Ios CheckIists, ya que consideran que IeerIe
una piIa de preguntas recitadas de memoria o Iedas en voz aIta descaIifica aI auditor
informtico. Pero esto no es usar CheckIists, es una evidente faIta de profesionaIismo. EI
profesionaIismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiIes
y
fuertes.
EI profesionaIismo pasa por poseer preguntas muy estudiadas que han de
formuIarse fIexibIemente.
EI conjunto de estas preguntas recibe eI nombre de CheckIist. SaIvo excepciones, Ias
CheckIists deben ser contestadas oraImente, ya que superan en riqueza y generaIizacin a
cuaIquier otra forma.
Segn Ia cIaridad de Ias preguntas y eI taIante deI auditor, eI auditado responder
desde posiciones muy
distintas y con
disposicin muy
variabIe. EI auditado,
habituaImente informtico de profesin, percibe con cierta faciIidad eI perfiI tcnico
y Ios conocimientos deI auditor, precisamente a travs de Ias preguntas que ste Ie
formuIa. Esta percepcin configura eI principio de autoridad y prestigio que eI auditor debe
poseer.
Ing. Romer Rodolfo Benites Arango
CIP: 109310
Metodologa de Auditoria
Por eIIo, aun siendo importante tener eIaboradas Iistas de preguntas muy
sistematizadas, coherentes y cIasificadas por materias, todava Io es ms eI modo y eI
orden de su formuIacin. Las empresas externas de Auditora Informtica guardan sus
CheckIists, pero de poco sirven si eI auditor no Ias utiIiza adecuada y oportunamente. No
debe oIvidarse que Ia funcin auditora se ejerce sobre bases de autoridad, prestigio y
tica.
EI auditor deber apIicar Ia CheckIist de modo que eI auditado responda cIara y
escuetamente. Se deber interrumpir Io menos posibIe a ste, y soIamente en Ios casos en
que Ias respuestas se aparten sustanciaImente de Ia pregunta. En aIgunas ocasiones, se
har necesario invitar a aquI a que exponga con mayor ampIitud un tema concreto, y
en cuaIquier caso, se deber evitar absoIutamente Ia presin sobre eI mismo.
AIgunas de Ias preguntas de Ias CheckIists utiIizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, eI auditor formuIar preguntas
equivaIentes a Ias mismas o a distintas personas, en Ias mismas fechas, o en fechas
diferentes. De este modo, se podrn descubrir con mayor faciIidad Ios puntos
contradictorios; eI auditor deber anaIizar Ios matices de Ias respuestas y reeIaborar
preguntas compIementarias cuando hayan existido contradicciones, hasta conseguir Ia
homogeneidad. EI entrevistado no debe percibir un excesivo formaIismo en Ias preguntas.
EI auditor, por su parte, tomar Ias notas imprescindibIes en presencia deI auditado, y
nunca escribir cruces ni marcar cuestionarios en su presencia.
Los cuestionarios o CheckIists responden fundamentaImente a dos tipos de
"fiIosofa" de caIificacin o evaIuacin:
a. Checklistderango
Contiene preguntas que eI auditor debe puntuar dentro de un rango
preestabIecido (por ejempIo, de 1 a 5, siendo 1 Ia respuesta ms negativa y eI 5 eI vaIor
ms positivo)
EjemplodeChecklistderango:
Se supone que se est reaIizando una auditora sobre Ia seguridad fsica de una
instaIacin y, dentro de eIIa, se anaIiza eI controI de Ios accesos de personas y cosas aI
Centro de Computos. Podran formuIarse Ias preguntas que figuran a continuacin, en
donde Ias respuestas tiene Ios siguientes significados:
1 : Muy deficiente
2 : Deficiente
3 : MejorabIe
4 : AceptabIe
5 : Correcto
Se figuran posibIes respuestas de Ios auditados. Las preguntas deben sucederse sin que
parezcan cIasificadas previamente. Basta con que eI auditor IIeve un pequeo guin. La
cumpIimentacin deI CheckIist no debe reaIizarse en presencia deI auditado.
!Existe personal especfico de vigilancia externa al edificio?
-No, soIamente un guardia por Ia noche que atiende adems otra instaIacin adyacente.
<Puntuacin: 1>
Para la vigilancia interna del edificio, iHay al menos un vigilante por
turno en los aledaos del Centro de Computos?
-Si, pero sube a Ias otras 4 pIantas cuando se Ie necesita. <Puntuacin: 2>
iHay salida de emergencia adems de la habilitada para la entrada y
salida de mquinas?
-Si, pero existen cajas apiIadas en dicha puerta. AIgunas veces Ias quitan.
<Puntuacin: 2>
Ing. Romer Rodolfo Benites Arango
CIP: 109310
Metodologa de Auditoria
Metodologa de Auditoria
adaptacin correspondientes en Ias preguntas a reaIizar.
Trazas y/o Huellas
Con frecuencia, eI auditor informtico debe verificar que Ios programas, tanto de Ios
Sistemas como de usuario, reaIizan exactamente Ias funciones previstas, y no otras.
Para eIIo se apoya en productos Software muy potentes y moduIares que, entre otras
funciones, rastrean Ios caminos que siguen Ios datos a travs deI programa.
Muy especiaImente, estas "Trazas" se utiIizan para comprobar Ia ejecucin de Ias
vaIidaciones de datos previstas. Las mencionadas trazas no deben modificar en absoIuto
eI Sistema. Si Ia herramienta auditora produce incrementos apreciabIes de carga, se
convendr de antemano Ias fechas y horas ms adecuadas para su empIeo.
Por Io que se refiere aI anIisis deI Sistema, Ios auditores informticos empIean
productos que comprueban Ios vaIores asignados por Tcnica de Sistemas a cada
uno de Ios parmetros variabIes de Ias Libreras ms importantes deI mismo. Estos
parmetros variabIes deben estar dentro de un intervaIo marcado por eI fabricante. A
modo de ejempIo, aIgunas instaIaciones descompensan eI nmero de iniciadores de
trabajos de determinados entornos o toman criterios especiaImente restrictivos o
permisivos en Ia asignacin de unidades de servicio para segn cuaIes tipos carga. Estas
actuaciones, en principio tiIes, pueden resuItar contraproducentes si se traspasan
Ios Imites.
No obstante Ia utiIidad de Ias Trazas, ha de repetirse Io expuesto en Ia descripcin
de
Ia auditora informtica de
Sistemas: eI auditor informtico empIea
preferentemente Ia ampIia informacin que proporciona eI propio Sistema: As,
Ios ficheros de Accounting o de contabiIidad, en donde se encuentra Ia
produccin compIeta de aquI, y Ios Log de dicho Sistema, en donde se recogen Ias
modificaciones de datos y se pormenoriza Ia actividad generaI.
DeI mismo modo, eI Sistema genera automticamente exacta informacin sobre eI
tratamiento de errores de maquina centraI, perifricos, etc.
La
auditora financiero-contabIe
convencionaI empIea trazas
con
mucha
frecuencia.
Son programas encaminados a verificar Io correcto de Ios cIcuIos de
nminas, primas, etc.
Software de Interrogacin
Hasta hace ya aIgunos aos se han utiIizado productos software IIamados
genricamente paquetes de auditora, capaces de generar programas para auditores
escasamente cuaIificados desde eI punto de vista informtico.
Ms tarde, dichos productos evoIucionaron hacia Ia obtencin de muestreos estadsticos
que permitieran Ia obtencin de consecuencias e hiptesis de Ia situacin reaI de una
instaIacin.
En Ia actuaIidad, Ios productos Software especiaIes para Ia auditora informtica se
orientan principaImente hacia Ienguajes que permiten Ia interrogacin de ficheros y
bases de datos de Ia empresa auditada. Estos productos son utiIizados soIamente por Ios
auditores externos, por cuanto Ios internos disponen deI software nativo propio de Ia
instaIacin.
Metodologa de Auditoria
DeI mismo modo, Ia proIiferacin de Ias redes IocaIes y de Ia fiIosofa "CIienteServidor", han IIevado a Ias firmas de software a desarroIIar interfaces de transporte
de
datos entre computadoras personaIes y mainframe, de modo que eI auditor
informtico copia en su propia PC Ia informacin ms reIevante para su trabajo.
Cabe recordar, que en Ia actuaIidad casi todos Ios usuarios finaIes poseen
informacin parciaI generada por Ia organizacin informtica de Ia Compaa.
datos e
Efectivamente,
son
stas
no
otras Ias
situaciones
que
eI
auditor
Metodologa de Auditoria
informtico encuentra con mayor frecuencia. Aunque pueden existir factores
tcnicos que causen Ias debiIidades descritas, hay que convenir en Ia mayor
incidencia de faIIos de gestin.
3.2- Areas de Aplicacin
Las reas en que eI mtodo CRMR puede ser apIicado se corresponden con Ias
sujetas a Ias condiciones de apIicacin seaIadas en punto anterior:
- Gestin de Datos
- ControI de Operaciones
- ControI y utiIizacin de recursos materiaIes y humanos
- Interfaces y reIaciones con usuarios
- PIanificacin
- Organizacin y administracin
Ciertamente, eI CRMR no es adecuado para evaIuar Ia procedencia de
adquisicin de nuevos equipos (Capacity PIanning) o para revisar muy a
fondo Ios caminos crticos o Ias hoIguras de un Proyecto compIejo.
3.3- Objetivos
CRMR tiene como objetivo fundamentaI evaIuar eI grado de bondad o
ineficiencia de Ios procedimientos y mtodos de gestin que se observan en un
Centro de Proceso de Datos. Las Recomendaciones que se emitan como
resuItado de Ia apIicacin deI CRMR, tendrn como finaIidad aIgunas de Ias
que se reIacionan:
- Identificar y fijar responsabiIidades
- Mejorar Ia fIexibiIidad de reaIizacin de actividades
- Aumentar Ia productividad
- Disminuir costes
- Mejorar Ios mtodos y procedimientos de Direccin
3.4- Alcance
Se fijarn Ios Imites que abarcar eI CRMR, antes de comenzar eI trabajo. Se
estabIecen tres cIases:
1. Reducido. EI resuItado consiste en seaIar Ias reas de actuacin con
potenciaIidad inmediata de obtencin de beneficios.
2. Medio. En este caso, eI CRMR ya estabIece concIusiones y Recomendaciones,
taI y como se hace en Ia auditora informtica ordinaria.
3. AmpIio. EI CRMR incIuye PIanes de Accin, aportando tcnicas de
impIementacin de Ias
4. Recomendaciones, a Ia par que desarroIIa Ias concIusiones.
3.5- Informacin necesaria para la evaluacin del CRMR
Se determinan en este punto Ios requisitos necesarios para que esta
simbiosis de auditora y consuItora pueda IIevarse a cabo con xito.
1. EI trabajo de campo deI CRMR ha de reaIizarse compIetamente integrado
en Ia estructura deI Centro de Proceso de Datos deI cIiente, y con Ios
recursos de ste.
2. Se deber cumpIir un detaIIado programa de trabajo por tareas.
3. EI auditor-consuItor recabar determinada informacin necesaria deI
cIiente.
Se tratan a continuacin Ios tres requisitos expuestos:
1. Integracin del auditor en el Centro de Procesos de Datos a revisar
No debe oIvidarse que se estn evaIuando actividades desde eI punto de
vista gerenciaI. EI contacto permanente deI auditor con eI trabajo
ordinario deI Centro de Proceso de Datos permite a aquI determinar eI
tipo de esquema organizativo que se sigue.
Metodologa de Auditoria
2. Programa de trabajo clasificado por tareas
Todo trabajo habr de ser descompuesto en tareas. Cada u n a
se someter a Ia siguiente sistemtica:
de eIIas
. Identificacin de Ia tarea
- Descripcin de Ia tarea
- Descripcin de Ia funcin de direccin cuando Ia tarea se reaIiza
incorrectamente.
- Descripcin de ventajas, sugerencias y beneficios que
puede
originar un cambio o modificacin de tarea
- Test para Ia evaIuacin de Ia prctica directiva en reIacin con Ia tarea
- PosibiIidades de agrupacin de tareas
- Ajustes en funcin de Ias pecuIiaridades de un departamento concreto
- Registro de resuItados, concIusiones y Recomendaciones.
3.6- Informacin necesaria para la realizacin del CRMR
EI cIiente es eI que faciIita Ia informacin que eI auditor contrastar con su
trabajo de campo.
Se exhibe a continuacin una CheckIist compIeta de Ios datos necesarios para
confeccionar eI CRMR:
Datos de mantenimiento preventivo de Hardware
Informes de anomaIas de Ios sistemas
Procedimientos estndar de actuaIizacin.
Procedimientos de emergencia.
Monitoreo de Ios Sistemas.
Informes deI rendimiento de Ios Sistemas.
Mantenimiento de Ias Libreras de Programas.
Gestin de Espacio en disco.
Documentacin de entrega de ApIicaciones a ExpIotacin.
Documentacin de aIta de cadenas en ExpIotacin.
UtiIizacin de CPU, canaIes y discos.
Datos de paginacin de Ios Sistemas.
VoIumen totaI y Iibre de aImacenamiento.
Ocupacin media de disco.
ManuaIes de Procedimientos de ExpIotacin.
Esta informacin cubre ampIiamente eI espectro deI CRMR y permite ejercer eI
seguimiento de Ias Recomendaciones reaIizadas.
3.7. Caso Prctico de una Auditora de Seguridad Informtica "Ciclo de
Seguridad"
A continuacin, un caso de auditora de rea generaI para proporcionar
una visin ms desarroIIada y ampIia de Ia funcin auditora.
Es una auditora de Seguridad Informtica que tiene como misin revisar
tanto Ia seguridad fsica deI Centro de Proceso de Datos en su sentido ms
ampIio, como Ia seguridad Igica de datos, procesos y funciones informticas
ms importantes de aquI.
Ciclo de Seguridad
EI objetivo de esta auditora de seguridad es revisar Ia situacin y Ias cuotas
de eficiencia de Ia misma en Ios rganos ms importantes de Ia estructura
informtica.
Metodologa de Auditoria
Para eIIo, se fijan Ios supuestos de partida:
EI rea auditada es Ia Seguridad. EI rea a auditar se divide en: Segmentos. Los
segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo Ia auditora se reaIizara en 3 niveIes. Los segmentos a auditar,
son:
Segmento 1: Seguridad de cumpIimiento de normas y estndares
Segmento 2: Seguridad de Sistema operativo
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de ApIicaciones.
Segmento 8: Seguridad Fsica.
Se darn Ios resuItados gIobaIes de todos Ios segmentos y se reaIizar un
tratamiento exhaustivo deI Segmento 8, a niveI de seccin y subseccin.
EI siguiente ejempIo se puede desarroIIar en 4 fases bien diferenciadas:
Fase 0. Causas de Ia reaIizacin deI cicIo de seguridad.
Fase L. Estrategia y Iogstica deI cicIo de seguridad.
Fase 2. CIcuIos y resuItados deI cicIo de seguridad.
Fase 3. Confeccin deI informe deI cicIo de seguridad.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Metodologa de Auditoria
Fase 1 : Estrategia y logstica del ciclo de Seguridad
Constituye Ia FASE 1 deI cicIo de seguridad y se desarroIIa en Ias actividades 1, 2 y 3:
Fase 1. Estrategia y logstica del ciclo de seguridad
1. Designacin deI equipo auditor.
2. Asignacin de interIocutores, vaIidadores y decisores deI cIiente
3. CumpIimentacin de un formuIario generaI por parte deI cIiente, para Ia
reaIizacin deI estudio iniciaI
Con Ias razones por Ias cuaIes va a ser reaIizada Ia auditora (Fase O), eI equipo
auditor disea eI proyecto de CicIo de Seguridad con arregIo a una estrategia
definida en funcin deI voIumen y compIejidad deI trabajo a reaIizar, que
constituye Ia Fase 1 deI punto anterior.
Para desarroIIar Ia estrategia, eI equipo auditor necesita recursos materiaIes y
humanos. La adecuacin de estos se reaIiza mediante un desarroIIo Iogstico, en eI
que Ios mismos deben ser determinados con exactitud. La cantidad, caIidad,
coordinacin y distribucin de Ios mencionados recursos, determina a su vez Ia
eficiencia y Ia economa deI Proyecto. Los pIanes deI equipo auditor se desarroIIa de
Ia siguiente manera:
1.
2.
3.
4.
Metodologa de Auditoria
aquI, que indefectibIemente debern ser simiIares si se han reproducido Ias
condiciones de carga de Ios Sistemas auditados. Si Ias pruebas reaIizadas por eI
equipo auditor no fueran consistentes con Ia informacin faciIitada por eI
auditado, se deber recabar nueva informacin y voIver a verificar Ios resuItados
de Ias pruebas auditoras.
La evaIuacin de Ios CheckIists, Ias pruebas reaIizadas, Ia informacin faciIitada por
eI cIiente y eI anIisis de todos Ios datos disponibIes, configuran todos Ios
eIementos necesarios para caIcuIar y estabIecer Ios resuItados de Ia auditora, que se
materiaIizarn en eI informe finaI.
A continuacin, un ejempIo de auditora de Ia Seccin de ControI de Accesos deI
Segmento de
Seguridad Fsica:
Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones:
1.
2.
3.
4.
Autorizaciones
ControIes Automticos
VigiIancia
Registros
Adems
de
Ia
tarjeta No, soIamente Ia primera.
magntica de identificacin,
ihay
que
pasar
otra
especiaI?
iSe pregunta a Ias visitas No, vaIe Ia primera autorizacin.
No,
basta
que
acompaados por eI
ExpIotacin o Director
vayan
Jefe de
24/30/80%
Metodologa de Auditoria
ControI de Accesos: Controles Automticos
Preguntas
Respuestas
Puntos
3
vigiIantes
Ios
14/20 70%
Puntos
5
5
Identificadas
Ias
visitas, No
iSe Ies acompaa hasta Ia
persona que desean ver?
14/20 70%
TOTAL VIGILANCIA
ControI de Accesos: Registros
Preguntas
iExiste una
adecuada poItica
registros?
iSe
ha registradoaIguna
persona?
vez a
de
una
Respuestas
No,
reconocemos
que
casi
nunca,
pero
hasta ahora
no
ha
habido
necesidad
Puntos
1
nunca
TOTAL REGISTROS
6/20 30%
l
Ing. Romer Rodolfo Benites Arango
CIP: 109310
Metodologa de Auditoria
Fase 2: Clculos y Resultados del Ciclo de Seguridad
Clculos y resultados del ciclo de seguridad
1.
CIcuIo y ponderacin de Secciones y Segmentos. Las Subsecciones no se
ponderan, soIo se caIcuIan.
2.
Identificacin de materias mejorabIes.
3.
Priorizacin de mejoras.
En eI punto anterior se han reaIizado Ias entrevistas y se han puntuado Ias
respuestas de toda Ia auditora de Seguridad.
EI trabajo de Ievantamiento de informacin est concIuido y contrastado con Ias
pruebas. A partir de ese momento, eI equipo auditor tiene en su poder todos Ios
datos necesarios para eIaborar eI informe finaI. SoIo faItara caIcuIar eI
porcentaje de bondad de cada rea; ste se obtiene caIcuIando eI sumatorio de
Ias respuestas obtenidas, recordando que
deben
afectarse a sus pesos
correspondientes.
Una vez reaIizado Ios cIcuIos, se ordenaran y cIasificaran Ios resuItados obtenidos
por materias mejorabIes, estabIeciendo prioridades de actuacin para IograrIas.
Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos:
Autorizaciones 8O%
ControIes Automticos 7O%
VigiIancia 7O%
Registros 3O%
Promedio de Control de Accesos 62,5%
Cabe recordar, que dentro deI Segmento de Seguridad Fsica, Ia Seccin de ControI
de Accesos tiene un peso finaI de 4.
Prosiguiendo con eI ejempIo, se procedi a Ia evaIuacin de Ias otras cuatro
Secciones, obtenindose Ios siguientes resuItados:
CicIo de Seguridad: Segmento 8, Seguridad Fsica.
Secciones
Peso
Puntos
Seccin 1. Datos
6
57.5%
Seccin 2. Control de Accesos
4
62.5%
Seccin 3. Equipos (Centro de
5
70%
computo)
Seccin 4. Documentos
3
52.5%
Seccin 5. Suministros
2
47.2%
Conocidas Ios promedios y Ios pesos de Ias cinco Secciones, se procede a caIcuIar y
ponderar eI Segmento 8 de Seguridad Fsica:
Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso +
PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5)
Metodologa de Auditoria
A continuacin, Ia evaIuacin finaI de Ios dems Segmentos deI cicIo de Seguridad:
CicIo de Seguridad. EvaIuacin y pesos de Segmentos
Segmentos
Pesos
Evaluacin
Seg1. Normas y Estandares
10
61%
Seg2. Sistema Operativo
10
90%
Seg3. Software basico
12
72%
Seg4. Comunicaciones
12
55%
Seg5. Base de Datos
12
77.5%
Seg6. Procesos
14
51.2%
Seg7. Aplicaciones
16
50.5%
Seg8. Seguridad Fisica
14
59.8%
Promedio Total Area de Seguridad
100.00
63.3%
Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad:
a.
b.
c.
d.
e.
Metodologa de Auditoria
Preguntas
Metodologa de Auditoria
objetivos sirve para poder acotar eI trabajo y conocer Ios resuItados
obtenidos.
Metodologa de Auditoria
-
Estndare
Monitores
SimuIadores (Generadores de datos)
Paquetes de auditora (Generadores de Programas
Matrices de riesgo
Metodologa de Auditoria
-