Repblica Bolivariana de Venezuela

Ministerio del poder popular para la Educcin Superior

I.U.T Marilis Mndez
V Semestre-Informtica









FACILITADORA: ALUMNA:
Ing. Alis Sequeda Yadiry Prez C. I: 14 693 610
Carlos Ramos C.I: 21 317 520



San Fernando, 09 julio 2014
Revisin de Controles de la Gestin Informtica:
Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo
de la auditora es la verificacin de la observancia de las normas
tericamente existentes en el departamento de Informtica y su coherencia
con las del resto de la empresa. Para ello, habrn de revisarse
sucesivamente y en este orden:
1. Las Normas Generales de la Instalacin Informtica. Se realizar una
revisin inicial sin estudiar a fondo las contradicciones que pudieran
existir, pero registrando las reas que carezcan de normativa, y sobre
todo verificando que esta Normativa General Informtica no est en
contradiccin con alguna Norma General no informtica de la
empresa.
2. Los Procedimientos Generales Informticos. Se verificar su
existencia, al menos en los sectores ms importantes. Por ejemplo, la
recepcin definitiva de las mquinas debera estar firmada por los
responsables de Explotacin. Tampoco el alta de una nueva
Aplicacin podra producirse si no existieran los Procedimientos de
Backup y Recuperacin correspondientes.
3. Los Procedimientos Especficos Informticos. Igualmente, se revisara
su existencia en las reas fundamentales. As, Explotacin no debera
explotar una Aplicacin sin haber exigido a Desarrollo la pertinente
documentacin. Del mismo modo, deber comprobarse que los
Procedimientos Especficos no se opongan a los Procedimientos
Generales. En todos los casos anteriores, a su vez, deber verificarse
que no existe contradiccin alguna con la Normativa y los
Procedimientos Generales de la propia empresa, a los que la
Informtica debe estar sometida.
Auditora Informtica de Explotacin:
La Explotacin Informtica se ocupa de producir resultados
informticos de todo tipo: listados impresos, ficheros soportados
magnticamente para otros informticos, ordenes automatizadas para lanzar
o modificar procesos industriales, etc. La explotacin informtica se puede
considerar como una fabrica con ciertas peculiaridades que la distinguen de
las reales. Para realizar la Explotacin Informtica se dispone de una materia
prima, los Datos, que sea necesario transformar, y que se someten
previamente a controles de integridad y calidad. La transformacin se realiza
por medio del Proceso informtico, el cual est gobernado por programas.
Obtenido el producto final, los resultados son sometidos a varios controles de
calidad y, finalmente, son distribuidos al cliente, al usuario.
Auditar Explotacin consiste en auditar las secciones que la componen y sus
interrelaciones. La Explotacin Informtica se divide en tres grandes reas:
Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios
grupos.
Control de Entrada de Datos:
Se analizar la captura de la informacin en soporte compatible con los
Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega
de datos; la correcta transmisin de datos entre entornos diferentes. Se
verificar que los controles de integridad y calidad de datos se realizan de
acuerdo a Norma.
Planificacin y Recepcin de Aplicaciones:
Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo,
verificando su cumplimiento y su calidad de interlocutor nico. Debern
realizarse muestreos selectivos de la Documentacin de las Aplicaciones
explotadas. Se inquirir sobre la anticipacin de contactos con Desarrollo
para la planificacin a medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria.
Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o
lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que las
Aplicaciones de Teleproceso estn permanentemente activas y la funcin de
Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch
absorbe una buena parte de los efectivos de Explotacin. En muchos
Centros de Proceso de Datos, ste rgano recibe el nombre de Centro de
Control de Batch. Este grupo determina el xito de la explotacin, en cuanto
que es uno de los factores ms importantes en el mantenimiento de la
produccin.
*Batch y Tiempo Real:
Las Aplicaciones que son Batch son Aplicaciones que cargan mucha
informacin durante el da y durante la noche se corre un proceso enorme
que lo que hace es relacionar toda la informacin, calcular cosas y obtener
como salida, por ejemplo, reportes. O sea, recolecta informacin durante el
da, pero todava no procesa nada. Es solamente un tema de "Data Entry"
que recolecta informacin, corre el proceso Batch (por lotes), y calcula todo
lo necesario para arrancar al da siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber
ingresado la informacin correspondiente, inmediatamente procesan y
devuelven un resultado. Son Sistemas que tienen que responder en Tiempo
Real.
Operacin. Salas de Ordenadores:
Se intentarn analizar las relaciones personales y la coherencia de cargos y
salarios, as como la equidad en la asignacin de turnos de trabajo. Se
verificar la existencia de un responsable de Sala en cada turno de trabajo.
Se analizar el grado de automatizacin de comandos, se verificara la
existencia y grado de uso de los Manuales de Operacin. Se analizar no
solo la existencia de planes de formacin, sino el cumplimiento de los
mismos y el tiempo transcurrido para cada Operador desde el ltimo Curso
recibido. Se estudiarn los montajes diarios y por horas de cintas o
cartuchos, as como los tiempos transcurridos entre la peticin de montaje
por parte del Sistema hasta el montaje real. Se verificarn las lneas de papel
impresas diarias y por horas, as como la manipulacin de papel que
comportan.
Centro de Control de Red y Centro de Diagnosis:
El Centro de Control de Red suele ubicarse en el rea de produccin de
Explotacin. Sus funciones se refieren exclusivamente al mbito de las
Comunicaciones, estando muy relacionado con la organizacin de Software
de Comunicaciones de Tcnicas de Sistemas. Debe analizarse la fluidez de
esa relacin y el grado de coordinacin entre ambos. Se verificar la
existencia de un punto focal nico, desde el cual sean perceptibles todos las
lneas asociadas al Sistema. El Centro de Diagnosis es el ente en donde se
atienden las llamadas de los usuarios-clientes que han sufrido averas o
incidencias, tanto de Software como de Hardware. El Centro de Diagnosis
est especialmente indicado para informticos grandes y con usuarios
dispersos en un amplio territorio. Es uno de los elementos que ms
contribuyen a configurar la imagen de la Informtica de la empresa. Debe ser
auditada desde esta perspectiva, desde la sensibilidad del usuario sobre el
servicio que se le dispone. No basta con comprobar la eficiencia tcnica del
Centro, es necesario analizarlo simultneamente en el mbito de Usuario.
Auditora Informtica de Desarrollo de Proyectos o Aplicaciones:
La funcin de Desarrollo es una evolucin del llamado Anlisis y
Programacin de Sistemas y Aplicaciones. A su vez, engloba muchas reas,
tantas como sectores informatizables tiene la empresa. Muy escuetamente,
una Aplicacin recorre las siguientes fases:
Prerrequisitos del Usuario (nico o plural) y del entorno
Anlisis funcional
Diseo
Anlisis orgnico (Preprogramacion y Programacin)
Pruebas
Entrega a Explotacin y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso
contrario, adems del disparo de los costes, podr producirse la
insatisfaccin del usuario. Finalmente, la auditora deber comprobar la
seguridad de los programas en el sentido de garantizar que los ejecutados
por la maquina sean exactamente los previstos y no otros.
Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el
anlisis de cuatro consideraciones:

1. Revisin de las metodologas utilizadas: Se analizaran stas, de modo
que se asegure la modularidad de las posibles futuras ampliaciones
de la Aplicacin y el fcil mantenimiento de las mismas.
2. Control Interno de las Aplicaciones: se debern revisar las mismas
fases que presuntamente han debido seguir el rea correspondiente
de Desarrollo:
Estudio de Vialidad de la Aplicacin. [importante para Aplicaciones
largas, complejas y caras]
Definicin Lgica de la Aplicacin. [se analizar que se han observado
los postulados lgicos de actuacin, en funcin de la metodologa
elegida y la finalidad que persigue el proyecto]
Desarrollo Tcnico de la Aplicacin. [Se verificar que ste es
ordenado y correcto. Las herramientas tcnicas utilizadas en los
diversos programas debern ser compatibles]
Diseo de Programas. [debern poseer la mxima sencillez,
modularidad y economa de recursos]
Mtodos de Pruebas. [Se realizarn de acuerdo a las Normas de la
Instalacin. Se utilizarn juegos de ensayo de datos, sin que sea
permisible el uso de datos reales]
Documentacin. [cumplir la Normativa establecida en la Instalacin,
tanto la de Desarrollo como la de entrega de Aplicaciones a
Explotacin]
Equipo de Programacin. [Deben fijarse las tareas de anlisis puro, de
programacin y las intermedias. En Aplicaciones complejas se
produciran variaciones en la composicin del grupo, pero estos
debern estar previstos]

1. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien
desarrollada, deber considerarse fracasada si no sirve a los intereses
del usuario que la solicit. La aquiescencia del usuario proporciona
grandes ventajas posteriores, ya que evitar reprogramaciones y
disminuir el mantenimiento de la Aplicacin.
2. Control de Procesos y Ejecuciones de Programas Crticos: El auditor
no debe descartar la posibili-dad de que se est ejecutando un mdulo
que no se corresponde con el programa fuente que desarroll, codific
y prob el rea de Desarrollo de Aplicaciones. Se ha de comprobar la
correspondencia biunvoca y exclusiva entre el programa codificado y
su compilacin. Si los programas fuente y los programa mdulo no
coincidieran podras provocar, desde errores de bulto que produciran
graves y altos costes de mantenimiento, hasta fraudes, pasando por
acciones de sabotaje, espionaje industrial-informativo, etc. Por ende,
hay normas muy rgidas en cuanto a las Libreras de programas;
aquellos programas fuente que hayan sido dados por bueno por
Desarrollo, son entregados a Explotacin con el fin de que ste:
1. Copie el programa fuente en la Librera de Fuentes de Explotacin, a
la que nadie ms tiene acceso
2. Compile y monte ese programa, depositndolo en la Librera de
Mdulos de Explotacin, a la que nadie ms tiene acceso.
3. Copie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigir
pasar nuevamente por el punto 1.
Como este sistema para auditar y dar el alta a una nueva Aplicacin es
bastante ardua y compleja, hoy (algunas empresas lo usarn, otras no) se
utiliza un sistema llamado U.A.T (User Acceptance Test). Este consiste en
que el futuro usuario de esta Aplicacin use la Aplicacin como si la estuviera
usando en Produccin para que detecte o se denoten por s solos los errores
de la misma. Estos defectos que se encuentran se van corrigiendo a medida
que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario
tiene que dar el Sign Off ("Esto est bien"). Todo este testeo, auditora lo
tiene que controlar, tiene que evaluar que el testeo sea correcto, que exista
un plan de testeo, que est involucrado tanto el cliente como el desarrollador
y que estos defectos se corrijan. Auditora tiene que corroborar que el U.A.T.
prueba todo y que el Sign Off del usuario sea un Sign Off por todo.
Auditora Informtica de Comunicaciones y Redes:
Para el informtico y para el auditor informtico, el entramado
conceptual que constituyen las Redes Nodales, Lneas, Concentradores,
Multiplexores, Redes Locales, etc. no son sino el soporte fsico-lgico del
Tiempo Real. El auditor tropieza con la dificultad tcnica del entorno, pues ha
de analizar situaciones y hechos alejados entre s, y est condicionado a la
participacin del monopolio telefnico que presta el soporte. Como en otros
casos, la auditora de este sector requiere un equipo de especialis-tas,
expertos simultneamente en Comunicaciones y en Redes Locales (no hay
que olvidarse que en entornos geogrficos reducidos, algunas empresas
optan por el uso interno de Redes Locales, diseadas y cableadas con
recursos propios).
El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin
de las lneas contratadas con informacin abundante sobre tiempos de
desuso. Deber proveerse de la topologa de la Red de Comunicaciones,
actualizada, ya que la des actualizacin de esta documentacin significara
una grave debilidad. La inexistencia de datos sobre la cuantas lneas existen,
cmo son y donde estn instaladas, supondra que se bordea la
Inoperatividad Informtica. Sin embargo, las debilidades ms frecuentes o
importantes se encuentran en las disfunciones organizativas. La contratacin
e instalacin de lneas va asociada a la instalacin de los Puestos de Trabajo
correspondientes (Pantallas, Servidores de Redes Locales, Computadoras
con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades
deben estar muy coordinadas y a ser posible, dependientes de una sola
organizacin.
Metodologa de Trabajo de Auditora Informtica
El mtodo de trabajo del auditor pasa por las siguientes etapas:
Alcance y Objetivos de la Auditora Informtica.
Estudio inicial del entorno auditable.
Determinacin de los recursos necesarios para realizar la auditora.
Elaboracin del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditora.
Confeccin y redaccin del Informe Final.
Redaccin de la Carta de Introduccin o Carta de Presentacin del
Informe final.
Definicin de Alcance y Objetivos
El alcance de la auditora expresa los lmites de la misma. Debe existir un
acuerdo muy preciso entre auditores y clientes sobre las funciones, las
materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes
expresar las excepciones de alcance de la auditora, es decir cuales
materias, funciones u organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del
Informe Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud
posible los objetivos a los que su tarea debe llegar. Deben comprender los
deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser
cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a
los objetivos generales y comunes de a toda auditora Informtica: La
operatividad de los Sistemas y los Controles Generales de Gestin
Informtica.
Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades
generales de la informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y
quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se
pondr de manifiesto tal circunstancia.
2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a
la Direccin. El equipo auditor describir brevemente las funciones de cada
uno de ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones funcionales y
Jerrquicas previstas por el organigrama, o por el contrario detectar, por
ejemplo, si algn empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales
por el contrario, indican relaciones no estrictamente subordinables.
4. Adems de las corrientes verticales interdepartamentales, la
estructura organizativa cualquiera que sea, produce corrientes de
informacin horizontales y oblicuas extra departamentales.
Los flujos de informacin entre los grupos de una organizacin son
necesarios para su eficiente gestin, siempre y cuando tales corrientes no
distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontneamente canales
alternativos de informacin, sin los cuales las funciones no podran ejercerse
con eficacia; estos canales alternativos se producen porque hay pequeos o
grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece a
afinidades personales o simple comodidad. Estos flujos de informacin son
indeseables y producen graves perturbaciones en la organizacin.
5. Flujos de Informacin:
El equipo auditor comprobar que los nombres de los Puesto de los Puestos
de Trabajo de la organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo
cual indica la existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores
darn a conocer tal circunstancia y expresarn el nmero de puestos de
trabajo verdaderamente diferentes.
6. Nmero de Puestos de trabajo
7. Nmero de personas por Puesto de Trabajo
Es un parmetro que los auditores informticos deben considerar. La
inadecuacin del personal determina que el nmero de personas que
realizan las mismas funciones rara vez coincida con la estructura oficial de la
organizacin.
Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del
entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los
siguientes extremos:
a. Se determinar la ubicacin geogrfica de los distintos Centros de
Proceso de Datos en la empresa. A continuacin, se verificar la
existencia de responsables en cada unos de ellos, as como el uso de
los mismos estndares de trabajo.
b) Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuracin elegida para
cada uno de ellos, ya que los mismos deben constituir un sistema compatible
e intercomunicado. La configuracin de los sistemas est muy ligada a las
polticas de seguridad lgica de las compaas.
Los auditores, en su estudio inicial, deben tener en su poder la distribucin e
interconexin de los equipos.
b. Situacin geogrfica de los Sistemas:
El auditor recabar informacin escrita, en donde figuren todos los elementos
fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs,
unidades de control local y remoto, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del
Sistema, desde el software bsico hasta los programas de utilidad adquiridos
o desarrollados internamente. Suele ser habitual clasificarlos en facturables y
no facturables.
d) Comunicacin y Redes de Comunicacin:
En el estudio inicial los auditores dispondrn del nmero, situacin y
caractersticas principales de las lneas, as como de los accesos a la red
pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una
idea general de los procesos informticos realizados en la empresa auditada.
Para ello debern conocer lo siguiente:
c. Inventario de Hardware y Software:
a. Volumen, antigedad y complejidad de las Aplicaciones
Se clasificar globalmente la existencia total o parcial de metodologa en el
desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del
tiempo se pondr de manifiesto.
b. Metodologa del Diseo
La existencia de una adecuada documentacin de las aplicaciones
proporciona beneficios tangibles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de
los mismos.
c. Documentacin
El auditor recabar informacin de tamao y caractersticas de las Bases de
Datos, clasificndolas en relacin y jerarquas. Hallar un promedio de
nmero de accesos a ellas por hora o das. Esta operacin se repetir con
los ficheros, as como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visin aceptable de las caractersticas de la
carga informtica.
Determinacin de recursos de la auditora Informtica
Mediante los resultados del estudio inicial realizado se procede a determinar
los recursos humanos y materiales que han de emplearse en la auditora.
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo
van a utilizarse igualmente en el sistema auditado, por lo que han de
convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
d. Cantidad y complejidad de Bases de Datos y Ficheros.
Programas propios de la auditoria: Son muy potentes y Flexibles.
Habitualmente se aaden a las ejecuciones de los procesos del cliente para
verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la
actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de
los datos ya existentes.
a. Recursos materiales Software
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.
Para lo cual habr de convenir, tiempo de mquina, espacio de disco,
impresoras ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas
y perfiles del personal seleccionado dependen de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por
profesionales universitarios y por otras personas de probada experiencia
multidisciplinaria.
Perfiles Profesionales de los auditores informticos
Profesin Actividades y conocimientos deseables
Informtico Generalista Con experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado
en Explotacin y en Desarrollo de
Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de
Proyectos
Amplia experiencia como responsable de
proyectos. Experto analista. Conocedor de
las metodologas de Desarrollo ms
importantes.
Tcnico de Sistemas Experto en Sistemas Operativos y Software
Bsico. Conocedor de los productos
equivalentes en el mercado. Amplios
conocimientos de Explotacin.
Experto en Bases de Datos y
Administracin de las mismas.
Con experiencia en el mantenimiento de
Bases de Datos. Conocimiento de productos
compatibles y equivalentes. Buenos
conocimientos de explotacin
Experto en Software de
Comunicacin
Alta especializacin dentro de la tcnica de
sistemas. Conocimientos profundos de
redes. Muy experto en Subsistemas de
teleproceso.
Experto en Explotacin y
Gestin de CPDS
Responsable de algn Centro de Clculo.
Amplia experiencia en Automatizacin de
trabajos. Experto en relaciones humanas.
Buenos conocimientos de los sistemas.
Tcnico de Organizacin Experto organizador y coordinador.
Especialista en el anlisis de flujos de
informacin.
Tcnico de evaluacin de
Costes
Economista con conocimiento de
Informtica. Gestin de costes.
Elaboracin del Plan y de los programas de trabajo
Una vez asignados los recursos, el responsable de la auditora y sus
colaboradores establecen un plan de trabajo. Decidido ste, se procede a la
programacin del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisin debe realizarse por reas generales o reas especficas. En
el primer caso, la elaboracin es ms compleja y costosa.
b) Si la auditora es global, de toda la Informtica, o parcial. El volumen
determina no solamente el nmero de auditores necesarios, sino las
especialidades necesarias del personal.
En el plan no se consideran calendarios, porque se manejan recursos
genricos y no especficos.
En el Plan se establecen los recursos y esfuerzos globales que van a
ser necesarios.
En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la
revisin.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir
del auditado.
Una vez elaborado el Plan, se procede a la Programacin de actividades.
Esta ha de ser lo suficientemente como para permitir modificaciones a lo
largo del proyecto.
Actividades de la Auditora Informtica
Auditora por temas generales o por reas especficas:
La auditora Informtica general se realiza por reas generales o por reas
especficas. Si se examina por grandes temas, resulta evidente la mayor
calidad y el empleo de ms tiempo total y mayores recursos.
Cuando la auditora se realiza por reas especficas, se abarcan de una vez
todas las peculiaridades que afectan a la misma, de forma que el resultado
se obtiene ms rpidamente y con menor calidad.
Tcnicas de Trabajo:
- Anlisis de la informacin recabada del auditado.
- Anlisis de la informacin propia.
- Cruzamiento de las informaciones anteriores.
- Entrevistas.
- Simulacin.
- Muestreos.
Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.
- Estndares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditora (Generadores de Programas).
- Matrices de riesgo.
Informe Final
La funcin de la auditora se materializa exclusivamente por escrito. Por lo
tanto la elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales
previos al informe final, los que son elementos de contraste entre opinin
entre auditor y auditado y que pueden descubrir fallos de apreciacin en el
auditor.
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditora y la fecha de
redaccin del mismo. Se incluyen los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicacin de la jefatura,
responsabilidad y puesto de trabajo que ostente.
Definicin de objetivos y alcance de la auditora.
Enumeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente
posible todos los temas objeto de la auditora.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual. Cuando se trate de una revisin peridica, en la que se
analiza no solamente una situacin sino adems su evolucin en el tiempo,
se expondr la situacin prevista y la situacin real
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
c) Puntos dbiles y amenazas.
d) Recomendaciones y planes de accin. Constituyen junto con la exposicin
de puntos dbiles, el verdadero objetivo de la auditora informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.
Modelo conceptual de la exposicin del informe final:
- El informe debe incluir solamente hechos importantes.
La inclusin de hechos poco relevantes o accesorios desva la atencin del
lector.
- El Informe debe consolidar los hechos que se describen en el mismo.
El trmino de "hechos consolidados" adquiere un especial significado de
verificacin objetiva y de estar documentalmente probados y soportados. La
consolidacin de los hechos debe satisfacer, al menos los siguientes
criterios:
1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados
de mantener la situacin.
3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendacin del auditor sobre el hecho debe mantener o
mejorar las normas y estndares existentes en la instalacin.
La aparicin de un hecho en un informe de auditora implica necesariamente
la existencia de una debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1 Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.
2 Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.
3 Repercusin del hecho
- Se redactar las influencias directas que el hecho pueda tener sobre otros
aspectos informticos u otros mbitos de la empresa.
4 Conclusin del hecho
- No deben redactarse conclusiones ms que en los casos en que la
exposicin haya sido muy extensa o compleja.
5 Recomendacin del auditor informtico
- Deber entenderse por s sola, por simple lectura.
- Deber estar suficientemente soportada en el propio texto.
- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada
su implementacin.
- La recomendacin se redactar de forma que vaya dirigida expresamente a
la persona o personas que puedan implementarla.
Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de
resumirse la auditora realizada. Se destina exclusivamente al responsable
mximo de la empresa, o a la persona concreta que encargo o contrato la
auditora.
As como pueden existir tantas copias del informe Final como solicite el
cliente, la auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran
debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.
CRMR (Computer resource management review)
Definicin de la metodologa CRMR:
CRMR son las siglas de <<Computer resource management review>>; su
traduccin ms adecuada, Evaluacin de la gestin de recursos informticos.
En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar
una evaluacin de eficiencia de utilizacin de los recursos por medio del
management.
Una revisin de esta naturaleza no tiene en s misma el grado de profundidad
de una auditora informtica global, pero proporciona soluciones ms rpidas
a problemas concretos y notorios.
Supuestos de aplicacin:
En funcin de la definicin dada, la metodologa abreviada CRMR es
aplicable ms a deficiencias organizativas y gerenciales que a problemas de
tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de
Datos.
El mtodo CRMR puede aplicarse cuando se producen algunas de las
situaciones que se citan:
Se detecta una mala respuesta a las peticiones y necesidades de los
usuarios.
Los resultados del Centro de Procesos de Datos no estn a
disposicin de los usuarios en el momento oportuno.
Se genera con alguna frecuencia informacin errnea por fallos de
datos o proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en el Centro de Proceso de
Datos.
Efectivamente, son stas y no otras las situaciones que el auditor informtico
encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos
que causen las debilidades descritas, hay que convenir en la mayor
incidencia de fallos de gestin.
reas de aplicacin:
Las reas en que el mtodo CRMR puede ser aplicado se corresponden con
las sujetas a las condiciones de aplicacin sealadas en punto anteriores:
Gestin de Datos.
Control de Operaciones.
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de
adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a
fondo los caminos crticos o las holguras de un Proyecto complejo.
Objetivos:
CRMR tiene como objetivo fundamental evaluar el grado de bondad o
ineficiencia de los procedimientos y mtodos de gestin que se observan en
un Centro de Proceso de Datos. Las Recomendaciones que se emitan como
resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las
que se relacionan:
Identificar y fijas responsabilidades.
Mejorar la flexibilidad de realizacin de actividades.
Aumentar la productividad.
Disminuir costes
Mejorar los mtodos y procedimientos de Direccin.
Alcance:
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
1. Reducido. El resultado consiste en sealar las reas de actuacin con
potencialidad inmediata de obtencin de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y
Recomendaciones, tal y como se hace en la auditora informtica
ordinaria.
3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de
implementacin de las Recomendaciones, a la par que desarrolla las
conclusiones.
Informacin necesaria para la evaluacin del CRMR:
Se determinan en este punto los requisitos necesarios para que esta
simbiosis de auditora y consultora pueda llevarse a cabo con xito.
1. El trabajo de campo del CRMR ha de realizarse completamente
integrado en la estructura del Centro de Proceso de Datos del cliente,
y con los recursos de ste.
2. Se deber cumplir un detallado programa de trabajo por tareas.
3. El auditor-consultor recabar determinada informacin necesaria del
cliente.
Se tratan a continuacin los tres requisitos expuestos:
1. No debe olvidarse que se estn evaluando actividades desde el punto
de vista gerencial. El contacto permanente del auditor con el trabajo
ordinario del Centro de Proceso de Datos permite a aqul determinar
el tipo de esquema organizativo que se sigue.
2. Integracin del auditor en el Centro de Procesos de Datos a revisar
3. Programa de trabajo clasificado por tareas
Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas se
someter a la siguiente sistemtica:
Identificacin de la tarea.
Descripcin de la tarea.
Descripcin de la funcin de direccin cuando la tarea se realiza
incorrectamente.
Descripcin de ventajas, sugerencias y beneficios que puede originar
un cambio o modificacin de tarea
Test para la evaluacin de la prctica directiva en relacin con la
tarea.
Posibilidades de agrupacin de tareas.
Ajustes en funcin de las peculiaridades de un departamento
concreto.
Registro de resultados, conclusiones y Recomendaciones.
1. Informacin necesaria para la realizacin del CRMR
El cliente es el que facilita la informacin que el auditor contrastar con su
trabajo de campo.
Se exhibe a continuacin una Checklist completa de los datos necesarios
para confeccionar el CRMR:
Datos de mantenimiento preventivo de Hardware.
Informes de anomalas de los Sistemas.
Procedimientos estndar de actualizacin.
Procedimientos de emergencia.
Monitorizacin de los Sistemas.
Informes del rendimiento de los Sistemas.
Mantenimiento de las Libreras de Programas.
Gestin de Espacio en disco.
Documentacin de entrega de Aplicaciones a Explotacin.
Documentacin de alta de cadenas en Explotacin.
Utilizacin de CPU, canales y discos.
Datos de paginacin de los Sistemas.
Volumen total y libre de almacenamiento.
Ocupacin media de disco.
Manuales de Procedimientos de Explotacin.
Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer
el seguimiento de las Recomendaciones realizadas.
Caso Prctico de una Auditora de Seguridad Informtica <<Ciclo de
Seguridad>>
A continuacin, un caso de auditora de rea general para proporcionar una
visin ms desarrollada y amplia de la funcin auditora.
Es una auditora de Seguridad Informtica que tiene como misin revisar
tanto la seguridad fsica del Centro de Proceso de Datos en su sentido ms
amplio, como la seguridad lgica de datos, procesos y funciones informticas
ms importantes de aqul.
Ciclo de Seguridad
El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas
de eficiencia de la misma en los rganos ms importantes de la estructura
informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditora se realizara en 3 niveles.
Los segmentos a auditar, son:
Segmento 1: Seguridad de cumplimiento de normas y estndares.
Segmento 2: Seguridad de Sistema Operativo.
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de Aplicaciones.
Segmento 8: Seguridad Fsica.
Se darn los resultados globales de todos los segmentos y se realizar un
tratamiento exhaustivo del Segmento 8, a nivel de seccin y subseccin.
Conceptualmente la auditoria informtica en general y la de Seguridad en
particular, ha de desarrollarse en seis fases bien diferenciadas:
Fase 0. Causas de la realizacin del ciclo de seguridad.
Fase 1. Estrategia y logstica del ciclo de seguridad.
Fase 2. Ponderacin de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Clculos y resultados del ciclo de seguridad.
Fase 5. Confeccin del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
1. Comienzo del proyecto de Auditora Informtica.
2. Asignacin del equipo auditor.
3. Asignacin del equipo interlocutor del cliente.
4. Cumplimentacin de formularios globales y parciales por parte del
cliente.
5. Asignacin de pesos tcnicos por parte del equipo auditor.
6. Asignacin de pesos polticos por parte del cliente.
7. Asignacin de pesos finales a segmentos y secciones.
8. Preparacin y confirmacin de entrevistas.
9. Entrevistas, confrontaciones y anlisis y repaso de documentacin.
10. Clculo y ponderacin de subsecciones, secciones y segmentos.
11. Identificacin de reas mejorables.
12. Eleccin de las reas de actuacin prioritaria.
13. Preparacin de recomendaciones y borrador de informe
14. Discusin de borrador con cliente.
15. Entrega del informe.
Causas de realizacin de una Auditora de Seguridad
Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la
misma.
El equipo auditor debe conocer las razones por las cuales el cliente desea
realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas
del cliente, incrementos no previstos de costes, obligaciones legales,
situacin de ineficiencia global notoria, etc.
De esta manera el auditor conocer el entorno inicial. As, el equipo auditor
elaborar el Plan de Trabajo.
Estrategia y logstica del ciclo de Seguridad
Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las
actividades 1, 2 y 3:
Fase 1. Estrategia y logstica del ciclo de seguridad
1. Designacin del equipo auditor.
2. Asignacin de interlocutores, validadores y decisores del cliente.
3. Cumplimentacin de un formulario general por parte del cliente, para
la realizacin del estudio inicial.
Con las razones por las cuales va a ser realizada la auditora (Fase 0), el
equipo auditor disea el proyecto de Ciclo de Seguridad con arreglo a una
estrategia definida en funcin del volumen y complejidad del trabajo a
realizar, que constituye la Fase 1 del punto anterior.
Para desarrollar la estrategia, el equipo auditor necesita recursos materiales
y humanos. La adecuacin de estos se realiza mediante un desarrollo
logstico, en el que los mismos deben ser determinados con exactitud. La
cantidad, calidad, coordinacin y distribucin de los mencionados recursos,
determina a su vez la eficiencia y la economa del Proyecto.
Los planes del equipo auditor se desarrollan de la siguiente manera:
1. Eligiendo el responsable de la auditoria su propio equipo de trabajo.
Este ha de ser heterogneo en cuanto a especialidad, pero compacto.
2. Recabando de la empresa auditada los nombres de las personas de la
misma que han de relacionarse con los auditores, para las peticiones
de informacin, coordinacin de entrevistas, etc.
Segn los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y
3, estar en disposicin de comenzar la "tarea de campo", la operativa
auditora del Ciclo de Seguridad.
Ponderacin de los Sectores Auditados
Este constituye la Fase 2 del Proyecto y engloba las siguientes actividades:
FASE 2. Ponderacin de sectores del ciclo de seguridad.
3. Mediante un estudio inicial, del cual forma parte el anlisis de un
formulario exhaustivo, tambin inicial, que los auditores entregan al
cliente para su cumplimentacin.
4. Asignacin de pesos tcnicos. Se entienden por tales las
ponderaciones que el equipo auditor hace de los segmentos y
secciones, en funcin de su importancia.
5. Asignacin de pesos polticos. Son las mismas ponderaciones
anteriores, pero evaluadas por el cliente.
Se pondera la importancia relativa de la seguridad en los diversos sectores
de la organizacin informtica auditada.
Las asignaciones de pesos a Secciones y Segmentos del rea de seguridad
que se audita, se realizan del siguiente modo:
Pesos tcnicos
Son los coeficientes que el equipo auditor asigna a los Segmentos y a las
Secciones.
Pesos polticos
Son los coeficientes o pesos que el cliente concede a cada Segmento y a
cada Seccin del Ciclo de Seguridad.
Ciclo de Seguridad. Suma Pesos Segmentos = 100
(con independencia del nmero de segmentos consideradas)
Segmentos Pesos
Tcnicos
Pesos Polticos Pesos Finales
Seg1. Normas y
Estndares
12 8 10
Seg2. Sistema 10 10 10
Operativo
Seg3. Software
Bsico
10 14 12
Seg4.
Comunicaciones
12 12 12
Seg5. Bases de
Datos
12 12 12
Seg6. Procesos 16 12 14
Seg7. Aplicaciones 16 16 16
Seg8. Seguridad
Fsica
12 16 14
TOTAL 100 100 100
Pesos finales
Son el promedio de los pesos anteriores.
El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es
el que se ha asignado a la totalidad del rea de Seguridad, como podra
haberse elegido otro cualquiera. El total de puntos se mantiene cualquiera
que hubiera sido el nmero de segmentos. Si hubieran existido cinco
segmentos, en lugar de 8, la suma de los cinco habra de seguir siendo de
100 puntos.
Suma Peso Secciones = 20
(con independencia del nmero de Secciones consideradas)
Secciones Pesos Pesos Polticos Pesos Finales
Tcnicos
Secc1. Seg. Fsica
de Datos
6 6 6
Secc2. Control de
Accesos
5 3 4
Secc3. Equipos 6 4 5
Secc4.
Documentos
2 4 3
Secc5. Suministros 1 3 2
TOTAL 20 20 20
Puede observarse la diferente apreciacin de pesos por parte del cliente y
del equipo auditor. Mientras stos estiman que las Normas y Estndares y
los Procesos son muy importantes, el cliente no los considera tanto, a la vez
que prima, tal vez excesivamente, el Software Bsico.
Del mismo modo, se concede a todos los segmentos el mismo valor total que
se desee, por ejemplo 20, con absoluta independencia del nmero de
Secciones que tenga cada Segmento. En este caso, se han definido y
pesado cinco Secciones del Segmento de Seguridad Fsica. Cabe aclarar,
solo se desarroll un solo Segmento a modo de ejemplo.
Operativa del ciclo de Seguridad
Una vez asignados los pesos finales a todos los Segmentos y Secciones, se
comienza la Fase 3, que implica las siguientes actividades:
FASE 3. Operativa del ciclo de seguridad
6. Asignacin de pesos finales a los Segmentos y Secciones. El peso
final es el promedio del peso tcnico y del peso poltico. La
Subsecciones se calculan pero no se ponderan.
7. Preparacin y confirmacin de entrevistas.
8. Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso
de la misma.
Las entrevistas deben realizarse con exactitud. El responsable del equipo
auditor designar a un encargado, dependiendo del rea de la entrevista.
Este, por supuesto, deber conocer a fondo la misma.
La realizacin de entrevistas adecuadas constituye uno de los factores
fundamentales del xito de la auditora. La adecuacin comienza con la
completa cooperacin del entrevistado. Si esta no se produce, el responsable
lo har saber al cliente.
Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres
niveles jerrquicos distintos. El mismo auditor puede, y en ocasiones es
conveniente, entrevistar a la misma persona sobre distintos temas. Las
entrevistas deben realizarse de acuerdo con el plan establecido, aunque se
pueden llegar a agregar algunas adicionales y sin planificacin.
La entrevista concreta suele abarcar Subsecciones de una misma Seccin tal
vez una seccin completa. Comenzada la entrevista, el auditor o auditores
formularn preguntas al/los entrevistado/s. Debe identificarse quien ha dicho
qu, si son ms de una las personas entrevistadas.
Las Checklists son tiles y en muchos casos imprescindibles. Terminadas
las entrevistas, el auditor califica las respuestas del auditado (no debe estar
presente) y procede al levantamiento de la informacin correspondiente.
Simultneamente a las entrevistas, el equipo auditor realiza pruebas
planeadas y pruebas sorpresa para verificar y cruzar los datos solicitados y
facilitados por el cliente. Estas pruebas se realizan ejecutando trabajos
propios o repitiendo los de aqul, que indefectiblemente debern ser
similares si se han reproducido las condiciones de carga de los Sistemas
auditados. Si las pruebas realizadas por el equipo auditor no fueran
consistentes con la informacin facilitada por el auditado, se deber recabar
nueva informacin y reverificar los resultados de las pruebas auditoras.
La evaluacin de las Checklists, las pruebas realizadas, la informacin
facilitada por el cliente y el anlisis de todos los datos disponibles, configuran
todos los elementos necesarios para calcular y establecer los resultados de
la auditoria, que se materializarn en el informe final.
A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos
del Segmento de Seguridad Fsica:
Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones:
1. Autorizaciones
2. Controles Automticos
3. Vigilancia
4. Registros
En las siguientes Checklists, las respuestas se calificarn de 1 a 5, siendo1
la ms deficiente y 5 la mxima puntuacin.
Control de Accesos: Autorizaciones
Preguntas Respuestas Puntos
Existe un nico responsable de
implementar la poltica de
autorizaciones de entrada en el
Centro de Clculo?
Si, el Jefe de Explotacin, pero
el Director puede acceder a la
Sala con acompaantes sin
previo aviso.
4
Existe alguna autorizacin
permanente de estancia de
personal ajeno a la empresa?
Una sola. El tcnico permanente
de la firma suministradora.
5
Quines saben cuales son las
personas autorizadas?
El personal de vigilancia y el
Jefe de Explo-tacin.
5
Adems de la tarjeta magntica de
identifica-cin, hay que pasar otra
especial?
No, solamente la primera. 4
Se pregunta a las visitas si
piensan visitar el Centro de
Clculo?
No, vale la primera autorizacin. 3
Se preveen las visitas al Centro
de Clculo con 24 horas al
menos?
No, basta que vayan
acompaados por el Jefe de
Explotacin o Director
3
TOTAL AUTORIZACIONES 24/30
80%
Control de Accesos: Controles Automticos
Preguntas Respuestas Puntos
Cree Ud. que los Controles
Automticos son adecuados?
Si, aunque ha de reconocerse
que a pie puede llegarse por la
noche hasta el edificio
3
principal.
Quedan registradas todas las
entradas y salidas del Centro de
Clculo?
No, solamente las del personal
ajeno a Operacin.
3
Al final de cada turno, Se controla
el nmero de entradas y salidas del
personal de Operacin?
S, y los vigilantes los
reverifican.
5
Puede salirse del Centro de
Clculo sin tarjeta magntica?
Si, porque existe otra puerta
de emergen-cia que puede
abrirse desde adentro
3
TOTAL CONTROLES AUTOMATICOS 14/20
70%
Control de Accesos: Vigilancia
Preguntas Respuestas Puntos
Hay vigilantes las 24 horas? S. 5
Existen circuitos cerrados de TV
exteriores?
S. 5
Identificadas las visitas, Se les
acompaa hasta la persona que
desean ver?
No. 2
Conocen los vigilantes los
terminales que deben quedar
encendidos por la noche?
No, sera muy complicado. 2
TOTAL VIGILANCIA 14/20
70%
Control de Accesos: Registros
Preguntas Respuestas Puntos
Existe una adecuada poltica de
registros?
No, reconocemos que casi
nunca, pero hasta ahora no ha
habido necesidad.
1
Se ha registrado alguna vez a una
persona?
Nunca. 1
Se abren todos los paquetes
dirigidos a personas concretas y no
a Informtica?
Casi nunca. 1
Hay un cuarto para abrir los
paquetes?
Si, pero no se usa siempre. 3
TOTAL REGISTROS 6/20
30%
Clculos y Resultados del Ciclo de Seguridad
FASE 4. Clculos y resultados del ciclo de seguridad
1. Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones
no se ponderan, solo se calculan.
2. Identificacin de materias mejorables.
3. Priorizacin de mejoras.
En el punto anterior se han realizado las entrevistas y se han puntuado las
respuestas de toda la auditora de Seguridad.
El trabajo de levantamiento de informacin est concluido y contrastado con
las pruebas. A partir de ese momento, el equipo auditor tiene en su poder
todos los datos necesarios para elaborar el informe final. Solo faltara
calcular el porcentaje de bondad de cada rea; ste se obtiene calculando el
sumatorio de las respuestas obtenidas, recordando que deben afectarse a
sus pesos correspondientes.
Una vez realizado los clculos, se ordenaran y clasificaran los resultados
obtenidos por materias mejorables, estableciendo prioridades de actuacin
para lograrlas.
Clculo del ejemplo de las Subsecciones de la Seccin de Control de
Accesos:
Autorizaciones 80%
Controles Automticos 70%
Vigilancia 70%
Registros 30%
Promedio de Control de Accesos 62,5%
Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin de
Control de Accesos tiene un peso final de 4.
Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras cuatro
Secciones, obtenindose los siguientes resultados:
Ciclo de Seguridad: Segmento 8, Seguridad Fsica.
Secciones Peso Puntos
Seccin 1. Datos 6 57,5%
Seccin 2. Control de Accesos 4 62,5%
Seccin 3. Equipos (Centro de
Clculo)
5 70%
Seccin 4. Documentos 3 52,5%
Seccin 5. Suministros 2 47,2%
Conocidas los promedios y los pesos de las cinco Secciones, se procede a
calcular y ponderar el Segmento 8 de Seguridad Fsica:
Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 *
peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 +
peso4 + peso5)
Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20
Seg. 8 = 59,85%
A continuacin, la evaluacin final de los dems Segmentos del ciclo de
Seguridad:
Ciclo de Seguridad. Evaluacin y pesos de Segmentos
Segmentos Pesos Evaluacin
Seg1. Normas y Estndares 10 61%
Seg2. Sistema Operativo 10 90%
Seg3. Software Bsico 12 72%
Seg4. Comunicaciones 12 55%
Seg5. Bases de Datos 12 77,5%
Seg6. Procesos 14 51,2%
Seg7. Aplicaciones 16 50,5%
Seg8. Seguridad Fsica 14 59,8%
Promedio Total rea de
Seguridad
100 63,3%
Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad:
a. Valoracin de las respuestas a las preguntas especficas realizadas
en las entrevistas y a los cuestionarios formulados por escrito.
b. Clculo matemtico de todas las subsecciones de cada seccin, como
media aritmtica (promedio final) de las preguntas especficas.
Recurdese que las subsecciones no se ponderan.
c. Clculo matemtico de la Seccin, como media aritmtica (promedio
final) de sus Subsecciones. La Seccin calculada tiene su peso
correspondiente.
d. Clculo matemtico del Segmento. Cada una de las Secciones que lo
componen se afecta por su peso correspondiente. El resultado es el
valor del Segmento, el cual, a su vez, tiene asignado su peso.
e. Clculo matemtico de la auditora. Se multiplica cada valor de los
Segmentos por sus pesos correspondientes, la suma total obtenida se
divide por el valor fijo asignado a priori a la suma de los pesos de los
segmentos.
Finalmente, se procede a mostrar las reas auditadas con grficos de barras,
exponindose primero los Segmentos, luego las Secciones y por ltimo las
Subsecciones. En todos los casos s referenciarn respecto a tres zonas:
roja, amarilla y verde.
La zona roja corresponde a una situacin de debilidad que requiere acciones
a corto plazo. Sern las ms prioritarias, tanto en la exposicin del Informe
como en la toma de medidas para la correccin.
La zona amarilla corresponde a una situacin discreta que requiere acciones
a medio plazo, figurando a continuacin de las contenidas en la zona roja.
La zona verde requiere solamente alguna accin de mantenimiento a largo
plazo.
Nula P
ob
re
Insufi
cient
e
S
ufi
c.
Ade
cuad
o
bu
en
a
Ex
ce
l.


Confeccin del Informe del Ciclo de Seguridad
Fase5. Confeccin del informe del ciclo de seguridad
1. Preparacin de borrador de informe y Recomendaciones.
2. Discusin del borrador con el cliente.
3. Entrega del Informe y Carta de Introduccin.
Ha de resaltarse la importancia de la discusin de los borradores parciales
con el cliente. La referencia al cliente debe entenderse como a los
responsables directos de los segmentos. Es de destacar que si hubiese
acuerdo, es posible que el auditado redacte un contra informe del punto
cuestionado. Esta acta se incorporar al Informe Final.
Las Recomendaciones del Informe son de tres tipos:
1. Recomendaciones correspondientes a la zona roja. Sern muy
detalladas e irn en primer lugar, con la mxima prioridad. La
redaccin de las recomendaciones se har de modo que sea simple
verificar el cumplimiento de la misma por parte del cliente.
2. Recomendaciones correspondientes a la zona amarilla. Son las que
deben observarse a medio plazo, e igualmente irn priorizadas.
3. Recomendaciones correspondientes a la zona verde. Suelen referirse
a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse
alguna de este tipo cuando una accin sencilla y econmica pueda
originar beneficios importantes.

Perfil del auditor informtico
El auditor informtico como encargado de la verificacin y certificacin de la
informtica dentro de las organizaciones, deber contar con un perfil que le
permita poder desempear su trabajo con la calidad y la efectividad
esperada. Para ello a continuacin se establecen algunos elementos con que
deber contar:
Conocimientos Generales. Todo tipo de conocimientos tecnolgicos, de
forma actualizada y especializada respecto a las plataformas existentes en la
organizacin; Normas estndares para la auditora interna; Polticas
organizacionales sobre la informacin y las tecnologas de la informacin.
Caractersticas de la organizacin respecto a la tica, estructura
organizacional, tipo de supervisin existente, compensaciones monetarias a
los empleados, extensin de la presin laboral sobre los empleados, historia
de la organizacin, cambios recientes en la administracin, operaciones o
sistemas, la industria o ambiente competitivo en la cual se desempea la
organizacin, aspectos legales.
Herramientas. Herramientas de control y verificacin de la seguridad;
Herramientas de monitoreo de actividades, etc.
Tcnica. Tcnicas de Evaluacin de riesgos. Muestreo. Clculo pos
operacin. Monitoreo de actividades. Recopilacin de grandes cantidades de
informacin .Verificacin de desviaciones en el comportamiento de la data;
Anlisis e interpretacin de la evidencia, etc.
Modelo conceptual de la exposicin del informe final

- El informe debe incluir solamente hechos importantes.

La inclusin de hechos poco relevantes o accesorios desva la atencin del
lector.



El Informe debe consolidar los hechos que se describen en el mismo.

El trmino de "hechos consolidados" adquiere un especial significado de
verificacin objetiva y de estar documentalmente probados y soportados. La
consolidacin de los hechos debe satisfacer, al menos los siguientes
criterios:

1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situacin.
3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las
normas y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de auditora implica necesariamente
la existencia de una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1 Hecho encontrado.

- Ha de ser relevante para el auditor y pera el cliente.

- Ha de ser exacto, y adems convincente.

- No deben existir hechos repetidos.

2 Consecuencias del hecho

- Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.

3 Repercusin del hecho

- Se redactar las influencias directas que el hecho pueda tener sobre otros
aspectos informticos u otros mbitos de la empresa.

4 Conclusin del hecho

- No deben redactarse conclusiones ms que en los casos en que la
exposicin haya sido muy extensa o compleja.

5 Recomendacin del auditor informtico

- Deber entenderse por s sola,
-Por simple lectura.

- Deber estar suficientemente soportada en el propio texto.

- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada
su implementacin.

- La recomendacin se redactar de forma que vaya dirigida expresamente a
la persona o personas que puedan implementarla.

Carta de introduccin o presentacin del informe final:

La carta de introduccin tiene especial importancia porque en ella ha de
resumirse la auditora realizada. Se destina exclusivamente al responsable
mximo de la empresa, o a la persona concreta que encargo o contrato la
auditoria.

As como pueden existir tantas copias del informe Final como solicite el
cliente, la auditoria no har copias de la citada carta de Introduccin.

La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran
debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.