Sei sulla pagina 1di 48
Auditoría Informática Pasos de una auditoría

Auditoría Informática

Pasos de una

auditoría

Una metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo con equipos
Una metodología es necesaria
para
que
un
equipo
de
profesionales
alcance
un
resultado
homogéneo
con
equipos
de
trabajo
heterogéneos

Objetivos de la clase

Al finalizar la clase el alumn@:

Será capaz de explicar los pasos que se deben dar al hacer una auditoría. Habrá comprendido que una de las claves del éxito consiste en contar con el apoyo de la empresa. Sabrá explicar qué hay que hacer para ganarse ese apoyo. Habrá comprendido que hay que se minuciosos a la hora de examinar el sistema. Podrá explicar cómo asegurarse de que no se deja nada sin examinar. Será capaz de explicar cómo valorar cada apartado del SGI en su justa medida. Será capaz de explicar qué documentos se producen durante el desarrollo de la auditoría.

Temas

Esquema general Determinar las finalidades (4) Adquirir conocimiento global del SGI (10) Determinar medios necesarios (6) Fijar objetivos y plan de trabajo (3) Firmar contrato de auditoría Revisar el plan de auditoría (4) Examinar el SGI (16) Emitir una valoración (2) Dar asistencia post-auditoría (2)

Determinar las finalidades

Es siempre el primer paso. Pueden venir definidas por la dirección del SGI a auditar, o por un tercero (p.e.:

peritaje judicial). En cualquier caso suele dejarse ampliamente a la iniciativa del auditor

Determinar las finalidades

A esta fase también se le llama:

definición de alcance y objetivos de la auditoría. En esta fase se trata de definir de forma expresa los límites de la auditoría. La mejor forma de hacerlo es definir no sólo lo que se va a auditar sino también aquello que no va a ser auditado

(excepciones de alcance de la

auditoría).

Determinar las finalidades

Es muy importante que antes de comenzar sus investigaciones, el auditor haya definido bien lo que pretende investigar y que ello sea aceptado por la dirección del SGI. Es por ello, que debe redactarse lo que se llama: primera carta de misión, o Carta propuesta

Determinar las finalidades

La primera carta de misión debe ser revisada por el cliente y aceptada por éste antes de comenzar la auditoría. Por ello debe estar redactada en un lenguaje no excesivamente técnico. La determinación de finalidades es un proceso iterativo. El equipo de auditoría redacta una primera carta de misión y la muestra al cliente. Este la revisa y, bien la acepta o bien expresa modificaciones que pasan a una nueva versión. Y así hasta lograr un acuerdo.

Adquirir conocimiento global del SGI

Una vez definida la finalidad de la auditoría, lo siguiente es adquirir conocimiento global del SGI. Es importante para:

Poder determinar con precisión qué medios o acciones son necesarias.

► El conocimiento del “modo de funcionamiento” de la empresa ayuda al

auditor a ser razonable a la hora de juzgarla. La información debe ser obtenida siempre por el equipo de auditoría.

Adquirir conocimiento global del SGI

1. El entorno organizativo de la empresa. Porque es imprescindible conocer quien diseña, quien ordena y quien ejecuta en el SGI. Para ello hay que conseguir el organigrama detallado que indique como está ubicada la informática dentro de la empresa. Además del organigrama oficial que nos den, es importante que el propio auditor dibuje el organigrama real de la empresa.

Adquirir conocimiento global del SGI

También conseguir el Organigrama actualizado del personal. Refleja las responsabilidades de cada miembro del personal y su

nivel jerárquico.

Expresa la estructura de la organización que se está auditando. Es necesario conseguir el organigrama oficial y que el auditor

dibuje el organigrama real de la

organización.

Adquirir conocimiento global del SGI

Se dibuja una caja por cada función, no por cada persona. El número junto a las cajas indica las personas asignadas a ese puesto de trabajo. En ocasiones, se usan nombres diferentes para referirse a la misma función. Es importante que en el organigrama real se indique el número de funciones realmente diferentes.

Adquirir conocimiento global del SGI

Hay que obtener conocimiento sobre:

Entorno operacional. Incluye los puntos:

Situación geográfica de los sistemas. Determinar si hay distintos CPDs. Si los hay, comprobar que en cada uno exista un responsable. Y que se usen los mismos estándares en todos ellos.

Adquirir conocimiento global del SGI

Arquitectura y configuración de hardware y software. Inventario de computadoras, y equipos auxiliares, indicando el

fabricante, modelo, capacidad y detalle de prestaciones. Verificar la existencia real de dichos equipos y su estado real de funcionamiento. Inventario de programas usados y su contexto de aplicación. Si existen varios CPDs, comprobar que las configuraciones sean compatibles.

Adquirir conocimiento global del SGI

Conjunto de estándares Documentación Sobre todo si el software está desarrollado en el propio SGI, hay

que comprobar si existe documentación que facilite el mantenimiento Informes sobre las bases de datos Tamaño y características de las bases de datos Estadísticas de uso, incluyendo promedio de accesos por unidad de tiempo Es importante para determinar de forma real la carga del trabajo del sistema

Determinar medios necesarios

El tercer paso es determinar los medios que son necesarios para realizar la auditoría y evaluar su disponibilidad:

No olvidar que los medios son tanto técnicos como humanos y que parte de ellos los suministra el SGI auditado. Los medios del SGI afectan de forma indirecta al costo total de la auditoría. Hay que determinarlos con precisión.

Determinar medios necesarios

Medios técnicos:

Son aquellos elementos materiales implicados en la auditoría Propios de la empresa:

Sus computadoras, documentación (incluyendo informes de antiguas

auditorías), resultados producidos por el

SGI, etc. Del equipo de auditoría:

Equipos de medición, portátiles o PDAs para recopilar datos, programas (para

análisis estadístico, para monitorear la

red o la carga de trabajo, etc.), etc.

Determinar medios necesarios

Medios humanos:

Son todas las personas que participan en la auditoría Propios de la empresa:

Personal que es necesario entrevistar Hay que incluir personas representativas de todos los procesos y

niveles del SGI, desde directivos a usuarios finales

Determinar medios necesarios

El equipo de auditoría Debe ser competente para realizar por sí solo todo el análisis del SGI Debería estar formado por:

Informático general. Con amplia experiencia en SGIs. Experto en desarrollo de proyectos. Analista

experimentado conocedor de los métodos

de desarrollo. Técnico de sistemas. Experto en sistemas operativos y software. Experto en Bases de datos. Experto en comunicaciones. Redes y teleproceso. Experto en gestión y explotación de un C.I. Debería haber trabajado como responsable de un centro de cálculo.

Experto en análisis de flujos de información. Técnico en evaluación de costos.

Determinar medios necesarios

El uso de todos los medios debe ser aprobado por escrito por la empresa:

Hay que contar con autorización para entrevistar a los empleados necesarios. Para usar sus instalaciones y equipos. Para leer sus documentos y estándares. Para que nuestro personal tenga acceso a sus instalaciones. Para que nuestro personal pueda usar sus medios técnicos (permiso para

conectar nuestros portátiles a su red,

etc.).

Determinar medios necesarios

Esa aprobación nunca debe ser ilimitada. Hay que definir con precisión:

Qué personas hay que entrevistar, durante cuanto tiempo, cuantas veces. Qué terminales, computadoras, impresoras, etc. hay que usar, durante cuanto tiempo. Cuantos miembros del equipo van a acudir al SGI, a qué áreas de éste van a poder acceder y a qué áreas no, qué

material van a poder usar en cada una,

cuanto tiempo van a acceder.

Fijar objetivos y plan de trabajo

Esta fase sólo se empezará

después de:

Haber definido las finalidades (incluyendo excepciones de alcance), y

que éstas hayan sido aprobadas por la

empresa. Haber recopilado conocimiento global sobre el sistema. Haber determinado con precisión los medios necesarios para realizar la auditoría.

Fijar objetivos y plan de trabajo

No debemos olvidar que tanto el plan

como la lista de medios debe ser revisado y aprobado por el cliente:

Por ello no incluiremos información demasiado técnica. Esa información se añadirá al plan cuando se revise tras la firma del contrato.

Fijar objetivos y plan de trabajo

El plan debe reflejar:

Plazos previstos. Tipo de información que hay que reunir. Verificaciones que se van a realizar. Medios asignados a cada acción a realizar. Etapas intermedias y resultados que se obtiene en cada etapa. Ayudas que el auditor va a recibir del auditado.

Firmar el contrato de auditoría

Ahora es el momento de firmar el contrato de auditoría:

En ésta segunda carta de misión hay que añadir a las finalidades definidas en la primera:

Descripción precisa de medios a emplear. Acciones concretas de investigación que se van a realizar, con su ordenación y duración. Plazos globales. Presupuesto.

Revisar el plan de auditoría

Tras firmar el contrato es cuando

empieza el análisis a fondo del sistema:

Sin embargo, antes, conviene revisar el

plan aprobado con el cliente para añadir información técnica para los auditores:

La planeación se expresa mediante diagramas de Pert y Gant .

Se establecen responsabilidades para los distintos miembros del equipo de auditoría. También se puede retocar algún aspecto del plan. Sobre todo se ponderan las finalidades.

Revisar el plan de auditoría

La Ponderación de las finalidades se hace para que cada aspecto del SGI analizado sea tenido en cuenta en la valoración final del mismo en su justa medida:

Hay que hacer una Partición de los aspectos del sistema a analizar en segmentos, éstos en secciones, y éstas

a su vez en subsecciones.

Examinar el SGI

Consiste en:

Recabar información sobre el SGI. Analizar dicha información para identificar la debilidad o fortaleza del SGI.

Examinar el SGI

El trabajo de campo del auditor

consiste en lograr toda la información necesaria para poder emitir un juicio objetivo:

Hay dos formas para obtener información:

Observación directa del SGI p.e.: Medir tráfico de red, comprobar el tipo y número de extintores instalados, etc. Conversaciones con el personal del SGI

Examinar el SGI

Casi siempre la información necesaria para emitir un juicio se puede obtener de ambas formas. En ese caso es interesante cruzar los resultados obtenidos de una y otra forma para detectar inconsistencias. Es lo que se denomina principio de doble fuente de información.

Examinar el SGI

Para cada subsección el equipo de

auditoría debe redactar una lista de comprobación (checklist):

Los ítems de esa checklist son aquellas piezas de información que permitan puntuar la subsección. Para cada checklist el equipo de auditoría debe indicar cómo se puntúa.

Examinar el SGI

Cada ítem se comprueba y se puntúa con una nota entre 0 y 10. La nota de la subsección es la media aritmética de la nota de cada ítem. Un mal diseño de la checklist asociada a una subsección puede hacer que ésta se

puntúe de forma incorrecta.

Examinar el SGI

La entrevista es una de las actividades personales mas importantes del auditor

Nunca iniciar una entrevista sin saber exactamente qué información se pretende obtener del entrevistado. Cada entrevista debe ser planificada minuciosamente. Nunca olvidar que en parte nuestro juicio sobre el SGI estará basado en la información obtenida mediante entrevistas y si ésta es incorrecta el juicio también lo será.

Examinar el SGI

La entrevista se basa en el concepto

de interrogatorio:

Hay que conseguir que bajo la apariencia de una conversación correcta y lo menos tensa posible, el auditado

conteste con precisión a las cuestiones

que nos interesan.

Examinar el SGI

Hay que conseguir que el entrevistado se sienta cómodo:

De esa forma es más propenso a hablar sin medir lo que dice. Para ello, nunca grabar o tomar notas en su presencia. El auditor debe memorizar las respuestas y justo al acabar tomar notas

para no olvidar las respuestas. Nunca se debe interrumpir al entrevistado a menos que su respuesta se aparte sustancialmente de la pregunta.

Examinar el SGI

Tampoco se debe comenzar con preguntas directas o que parezca que

pongan en duda sus conocimientos

como:

¿Cumples el estándar X? ¿Sabes como manejar el extintor Y? En su lugar hay que comenzar con preguntas generales que ayuden a

centrar el tema pero que al no referirse directamente a su competencia o responsabilidad le hagan estar mas tranquilo ¿Ha habido alguna situación de emergencia? ¿Recibió algún curso de formación?

Examinar el SGI

Si el entrevistado es informático de profesión, percibe enseguida el perfil técnico y conocimientos del entrevistador a través de sus preguntas. Si percibe que el entrevistador tiene poco nivel contestará con

lenguaje muy técnico.

Por ello es fundamental usar el lenguaje adecuadamente para que quede claro que ambos dominan el medio.

Examinar el SGI

Como medida de seguridad se debe

formular a un mismo entrevistado la misma pregunta varias veces:

Bien en la misma entrevista, pero entonces con apariencias distintas. Bien en distintas entrevistas. Ello permite detectar inconsistencias en sus respuestas que pueden estar

causadas por miedo o “ganas de quedar bien”.

Emitir una valoración

El resultado de una auditoría se expresa exclusivamente por escrito:

Es bueno redactar un informe de auditoría preliminar, que se entrega al cliente para que lo revise. Después se ha de entregar el informe de auditoría definitivo.

Emitir una valoración

Los informes de auditoría deben entregarse al cliente lo mas rápidamente posible después de terminar la auditoría. Junto con los informes, el auditor debe devolver a la empresa todos los documentos de ésta que aun estén en su poder.

Dar asistencia post-auditoría

Plan de mejoras

Consiste en que el equipo de auditoría debe siempre estar dispuesto a poner en práctica las recomendaciones

expresadas en su informe:

El costo de esta asistencia no se incluye en el costo de la auditoría. Por ello si la empresa acepta poner en marcha las recomendaciones debe firmarse un nuevo contrato para ello.

Dar asistencia post-auditoría

Es muy importante ofertar la asistencia post-auditoría por dos razones:

Ayuda a la empresa a decidirse a poner en práctica las recomendaciones hechas. Es una prueba de que son aplicables.

Fases de una auditoria

Planeación

Revisión Preliminar Revisión Detallada
Revisión Preliminar
Revisión Detallada
Fases de una auditoria Planeación Revisión Preliminar Revisión Detallada Examen y Evaluación de la información

Examen y Evaluación de la información

Ejemplo :
Ejemplo :

Seguridad

El objetivo de esta auditoría de seguridad, es revisar la situación y la eficiencia de la misma en los órganos más importantes de la estructura informática.

Para ello, se fijan los supuestos de partida:

El área auditada es la Seguridad. El área a auditar se divide en: Segmentos. Los segmentos se dividen en: Secciones. Las secciones se dividen en: Subsecciones.

De este modo la auditoría se realizara en 3 niveles. Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estándares

Segmento 2: Seguridad de Sistema operativo Segmento 3: Seguridad de Software. Segmento 4: Seguridad de Comunicaciones. Segmento 5: Seguridad de Base de Datos. Segmento 6: Seguridad de Proceso. Segmento 7: Seguridad de Aplicaciones. Segmento 8: Seguridad Física.

Los segmentos se dividen en secciones, en este caso la seguridad física se divide en :

Control de Accesos Barreras Físicas Seguros

Vamos a dividir a la Sección de Control de Accesos en cuatro Subsecciones:

Autorizaciones Controles Automáticos Vigilancia Registros