Indicaciones para elaborar plan de auditora

Una vez ustedes hayan realizado sus aportes sobre las vulnerabilidades,
amenazas y riesgos, y consolidado el cuadro, se darn cuenta que algunos de
esos riesgos se repiten en los aportes de varios de los compaeros y hay
algunos de ellos que pueden ocasionar daos graves a la empresa o al sistema
auditado.
Teniendo en cuenta lo anteriormente mencionado, ustedes deben hacer la
seleccin de la empresa a auditar teniendo en cuanta que puedan tener
facilidad de acceso a la informacin, a los procesos informticos y a los
recursos informticos que tenga esa organizacin.
Una vez seleccionada la empresa ustedes deben definir cul ser el objetivo de
la auditora, para hacerlo deben tener en cuenta los riesgos que se presentan
con mayor frecuencia y cules son los que causaran mayores daos a los
recursos informticos o sistemas de informacin de llegar a ocurrir.
Por ejemplo si los riesgos ms frecuentes son en las redes y en manejo de los
sistemas por falta de capacitacin, entonces el objetivo de la auditora sera:
Realizar la auditora a la red de datos y al manejo del hardware y
software por parte de los usuarios dentro de la empresa xxxxxx de la
ciudad de xxxxxx.
Una vez est definido el objetivo general, para alcanzarlo se definen los
objetivos especficos teniendo en cuenta la metodologa de la auditora que se
descompone en tres o cuatro fases dependiendo si es una auditora interna
donde ya se conoce el rea o sistema auditado, o es una auditora externa
donde an no se conoce el sistema o rea auditada. Las fases son: conocer el
sistema, planear la auditora, ejecutar la auditora, y la fase de resultados, para
cada fase se define un objetivo especfico. Por ejemplo los objetivos especficos
del ejemplo seran:
Objetivo 1: Conocer las redes de datos que soportan la infraestructura
tecnolgica y los usuarios de los sistemas con el fin de analizar
algunos de los riesgos que puedan presentarse realizando visitas a la
empresa y entrevistas con los usuarios.
Objetivo 2: Elaborar el plan de auditora diseando los formatos de
recoleccin de informacin, el plan de pruebas a realizar,
seleccionando el estndar a aplicar y los procesos relacionados con el
objetivo de esta auditora, para obtener una informacin confiable.
Objetivo 3: Ejecutar las pruebas que han sido diseadas y aplicar los
instrumentos que se han diseado para determinar los riesgos
existentes en la red de datos y los riesgos ms frecuentes que
enfrentan los usuarios en su cotidianidad para elaborar la matriz de
riesgos y medir la probabilidad de ocurrencia y el impacto que causa.

Objetivo 4: Realizar el dictamen de la auditora para los procesos

evaluados en el estndar, y presentar el informe de resultados de la
auditora.
Una vez definidos los objetivos de la auditora, de cada recurso informtico que
ser evaluado en el objetivo general, se menciona los aspectos ms relevantes
que sern evaluados en cada uno de ellos. Para este caso los alcances seran:
De la red de datos se evaluar los siguientes aspectos:
-

El inventario hardware de redes

La obsolescencia del hardware y cableado estructurado
El cumplimiento de la norma de cableado estructurado
La seguridad en la red de datos
La administracin de los usuarios en la red

De los usuarios se evaluar:

-

La competencia de los usuarios en el manejo de la tecnologa

La formacin de cada uno de los usuarios respecto al cargo
desempeado
La experiencia de los usuarios
Los programas de capacitacin de los usuarios de la tecnologa

Estos sern los aspectos elegidos para ser evaluados y que tienen relacin
directa con las vulnerabilidades, amenazas y riesgos encontrados inicialmente.
Posteriormente se debe especificar la metodologa que est ligada al
cumplimiento de los objetivos especficos, cada objetivo especfico se
descompone en actividades que se debern realizar para poder cumplirlos. Voy
a dar el ejemplo con el primer objetivo:
Metodologa para Objetivo 1: Conocer las redes de datos que soportan la
infraestructura tecnolgica y los usuarios de los sistemas con el fin de analizar
algunos de los riesgos que puedan presentarse realizando visitas a la empresa
y entrevistas con los usuarios.
-

Solicitar la documentacin de los planes de la red

Solicitar el inventario del hardware de las redes
Realizar una entrevista inicial con el encargado de administrar la
red
Conocer los problemas ms frecuentes en la red por parte de los
usuarios
Solicitar informacin de los usuarios
Aplicar una encuesta inicial para medir el grado de dominio de
los usuarios de los recursos tecnolgicos
Solicitar un informe de las capacitaciones realizadas en el
manejo de tecnologa y de los sistemas
Entrevistar a usuarios calves para conocer la opinin acerca de
los programas de formacin y capacitacin

Estas son las actividades para lograr el primer objetivo, de la misma manera se
hace para los otros tres objetivos especficos planteados.
Posteriormente se hace una relacin de los recursos que uno necesita para
desarrollar la auditora, en este caso los recursos se dividen en talento humano
que sern ustedes, los recursos fsicos que son el sitio o empresa donde se
llevar a cabo la auditora, los recursos tecnolgicos (el hardware, cmaras,
grabadoras digitales, memorias, celulares y el software que se necesite para
pruebas) y los recursos econmicos que se presentan en una tabla de
presupuesto.
Recursos humanos:
Nombres y apellidos

Rol en la auditora

Francisco Solarte

Lder de auditora

Marco Antonio Lpez

Auditor

Componente
a
auditar
Auditora al hardware de
red
Auditora a los usuarios
de red

Recursos fsicos: la auditora se llevar a cabo en la empresa xxxxx de

la ciudad de xxxx a las redes y los usuarios de los sistemas.
Recursos tecnolgicos: grabadora digital para entrevistas, cmara
fotogrfica para pruebas que servirn de evidencia, computador
porttil, software para pruebas de auditora sobre escaneo y trfico
en la red
Recursos econmicos:
tem
Computador
Cmara digital
Grabadora digital
otros

Cantidad
2
1
1
.

subtotal
2.000.000
400.000
120.000
.

Total

0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de

GANNT, para construirlo se toman las actividades que han sido definidas para
cumplir cada objetivo y se especifica el tiempo de duracin de cada actividad
en el tiempo. El tiempo se debe definir desde ahora hasta la entrega final del
informe de auditora.

Por favor tener en cuenta el ejemplo

que est en el blog donde pueden
encontrar el diagrama de GANNT