Auditora Informtica

Pasos de una
auditora

Una metodologa es necesaria
para que un equipo de
profesionales alcance un
resultado homogneo con
equipos de trabajo
heterogneos
Al finalizar la clase el alumn@:
Ser capaz de explicar los pasos que
se deben dar al hacer una auditora.
Habr comprendido que una de las
claves del xito consiste en contar con
el apoyo de la empresa.
Sabr explicar qu hay que hacer para
ganarse ese apoyo.
Habr comprendido que hay que se
minuciosos a la hora de examinar el
sistema.
Podr explicar cmo asegurarse de
que no se deja nada sin examinar.
Ser capaz de explicar cmo valorar
cada apartado del SGI en su justa
medida.
Ser capaz de explicar qu
documentos se producen durante el
desarrollo de la auditora.
Objetivos de la clase
Esquema general
Determinar las finalidades (4)
Adquirir conocimiento global
del SGI (10)
Determinar medios necesarios (6)
Fijar objetivos y plan de trabajo (3)
Firmar contrato de auditora
Revisar el plan de auditora (4)
Examinar el SGI (16)
Emitir una valoracin (2)
Dar asistencia post-auditora (2)
Temas
Es siempre el primer paso.
Pueden venir definidas por la direccin
del SGI a auditar, o por un tercero (p.e.:
peritaje judicial).
En cualquier caso suele dejarse
ampliamente a la iniciativa del auditor
Determinar las finalidades
A esta fase tambin se le llama:
definicin de alcance y objetivos de la
auditora.
En esta fase se trata de definir de forma
expresa los lmites de la auditora.
La mejor forma de hacerlo es definir no
slo lo que se va a auditar sino tambin
aquello que no va a ser auditado
(excepciones de alcance de la
auditora).
Determinar las finalidades
Es muy importante que antes de
comenzar sus investigaciones, el auditor
haya definido bien lo que pretende
investigar y que ello sea aceptado por la
direccin del SGI.
Es por ello, que debe redactarse lo que
se llama: primera carta de misin, o
Carta propuesta
Determinar las finalidades
La primera carta de misin debe ser
revisada por el cliente y aceptada por
ste antes de comenzar la auditora.
Por ello debe estar redactada en un
lenguaje no excesivamente tcnico.
La determinacin de finalidades es un
proceso iterativo.
El equipo de auditora redacta una
primera carta de misin y la muestra al
cliente. Este la revisa y, bien la acepta o
bien expresa modificaciones que pasan a
una nueva versin. Y as hasta lograr un
acuerdo.

Determinar las finalidades
Una vez definida la finalidad de la
auditora, lo siguiente es adquirir
conocimiento global del SGI.
Es importante para:
Poder determinar con precisin qu
medios o acciones son necesarias.
El conocimiento del modo de
funcionamiento de la empresa ayuda al
auditor a ser razonable a la hora de
juzgarla.
La informacin debe ser obtenida
siempre por el equipo de auditora.
Adquirir conocimiento global del SGI
1. El entorno organizativo de la empresa.
Porque es imprescindible conocer
quien disea, quien ordena y
quien ejecuta en el SGI.
Para ello hay que conseguir el
organigrama detallado que
indique como est ubicada la
informtica dentro de la empresa.
Adems del organigrama oficial
que nos den, es importante que el
propio auditor dibuje el
organigrama real de la empresa.
Adquirir conocimiento global del SGI
Tambin conseguir el
Organigrama actualizado del
personal.
Refleja las responsabilidades de
cada miembro del personal y su
nivel jerrquico.
Expresa la estructura de la
organizacin que se est auditando.
Es necesario conseguir el
organigrama oficial y que el auditor
dibuje el organigrama real de la
organizacin.
Adquirir conocimiento global del SGI
Se dibuja una caja por cada funcin,
no por cada persona.
El nmero junto a las cajas indica
las personas asignadas a ese
puesto de trabajo.
En ocasiones, se usan nombres
diferentes para referirse a la misma
funcin. Es importante que en el
organigrama real se indique el
nmero de funciones realmente
diferentes.
Adquirir conocimiento global del SGI
Entorno operacional. Incluye los puntos:
Situacin geogrfica de los
sistemas.
Determinar si hay distintos CPDs.
Si los hay, comprobar que en cada
uno exista un responsable.
Y que se usen los mismos
estndares en todos ellos.
Hay que obtener conocimiento sobre:
Adquirir conocimiento global del SGI
Arquitectura y configuracin de
hardware y software.
Inventario de computadoras, y
equipos auxiliares, indicando el
fabricante, modelo, capacidad y
detalle de prestaciones.
Verificar la existencia real de dichos
equipos y su estado real de
funcionamiento.
Inventario de programas usados y su
contexto de aplicacin.
Si existen varios CPDs, comprobar
que las configuraciones sean
compatibles.
Adquirir conocimiento global del SGI
Conjunto de estndares
Documentacin
Sobre todo si el software est
desarrollado en el propio SGI, hay
que comprobar si existe
documentacin que facilite el
mantenimiento
Informes sobre las bases de datos
Tamao y caractersticas de las
bases de datos
Estadsticas de uso, incluyendo
promedio de accesos por unidad de
tiempo
Es importante para determinar de
forma real la carga del trabajo del
sistema
Adquirir conocimiento global del SGI
Determinar medios necesarios
El tercer paso es determinar los
medios que son necesarios para
realizar la auditora y evaluar su
disponibilidad:
No olvidar que los medios son tanto
tcnicos como humanos y que parte de
ellos los suministra el SGI auditado.
Los medios del SGI afectan de forma
indirecta al costo total de la auditora.
Hay que determinarlos con precisin.
Son aquellos elementos materiales
implicados en la auditora
Propios de la empresa:
Sus computadoras, documentacin
(incluyendo informes de antiguas
auditoras), resultados producidos por el
SGI, etc.
Del equipo de auditora:
Equipos de medicin, porttiles o PDAs
para recopilar datos, programas (para
anlisis estadstico, para monitorear la
red o la carga de trabajo, etc.), etc.
Medios tcnicos:
Determinar medios necesarios
Medios humanos:
Son todas las personas que participan
en la auditora
Propios de la empresa:
Personal que es necesario entrevistar
Hay que incluir personas
representativas de todos los procesos y
niveles del SGI, desde directivos a
usuarios finales
Determinar medios necesarios
El equipo de auditora
Debe ser competente para realizar
por s solo todo el anlisis del SGI
Debera estar formado por:
Informtico general. Con amplia
experiencia
en SGIs.
Experto en desarrollo de proyectos.
Analista
experimentado conocedor de los mtodos
de desarrollo.
Tcnico de sistemas. Experto en
sistemas
operativos y software.
Experto en Bases de datos.
Experto en comunicaciones. Redes y
teleproceso.
Experto en gestin y explotacin de un
C.I.
Debera haber trabajado como responsable
de un centro de clculo.
Experto en anlisis de flujos de
informacin.
Tcnico en evaluacin de costos.
Determinar medios necesarios
El uso de todos los medios debe ser
aprobado por escrito por la empresa:
Hay que contar con autorizacin para
entrevistar a los empleados necesarios.
Para usar sus instalaciones y equipos.
Para leer sus documentos y estndares.
Para que nuestro personal tenga
acceso a sus instalaciones.
Para que nuestro personal pueda usar
sus medios tcnicos (permiso para
conectar nuestros porttiles a su red,
etc.).
Determinar medios necesarios
Esa aprobacin nunca debe ser
ilimitada. Hay que definir con
precisin:
Qu personas hay que entrevistar,
durante cuanto tiempo, cuantas veces.
Qu terminales, computadoras,
impresoras, etc. hay que usar, durante
cuanto tiempo.
Cuantos miembros del equipo van a
acudir al SGI, a qu reas de ste van a
poder acceder y a qu reas no, qu
material van a poder usar en cada una,
cuanto tiempo van a acceder.
Determinar medios necesarios
Fijar objetivos y plan de trabajo
Esta fase slo se empezar
despus de:
Haber definido las finalidades
(incluyendo excepciones de alcance), y
que stas hayan sido aprobadas por la
empresa.
Haber recopilado conocimiento global
sobre el sistema.
Haber determinado con precisin los
medios necesarios para realizar la
auditora.
No debemos olvidar que tanto el plan
como la lista de medios debe ser
revisado y aprobado por el cliente:
Por ello no incluiremos informacin
demasiado tcnica.
Esa informacin se aadir al plan
cuando se revise tras la firma del
contrato.
Fijar objetivos y plan de trabajo
El plan debe reflejar:
Plazos previstos.
Tipo de informacin que hay que reunir.
Verificaciones que se van a realizar.
Medios asignados a cada accin a
realizar.
Etapas intermedias y resultados que se
obtiene en cada etapa.
Ayudas que el auditor va a recibir del
auditado.
Fijar objetivos y plan de trabajo
Firmar el contrato de auditora
Ahora es el momento de firmar el
contrato de auditora:
En sta segunda carta de misin hay
que aadir a las finalidades definidas en
la primera:
Descripcin precisa de medios a
emplear.
Acciones concretas de investigacin
que se van a realizar, con su ordenacin y
duracin.
Plazos globales.
Presupuesto.
Revisar el plan de auditora
Tras firmar el contrato es cuando
empieza el anlisis a fondo del
sistema:
Sin embargo, antes, conviene revisar el
plan aprobado con el cliente para aadir
informacin tcnica para los auditores:
La planeacin se expresa mediante
diagramas de Pert y Gant .
Se establecen responsabilidades para
los distintos miembros del equipo de
auditora.
Tambin se puede retocar algn
aspecto del plan.
Sobre todo se ponderan las finalidades.

La Ponderacin de las finalidades se
hace para que cada aspecto del SGI
analizado sea tenido en cuenta en la
valoracin final del mismo en su justa
medida:
Hay que hacer una Particin de los
aspectos del sistema a analizar en
segmentos, stos en secciones, y stas
a su vez en subsecciones.
Revisar el plan de auditora
Examinar el SGI
Consiste en:
Recabar informacin sobre el SGI.
Analizar dicha informacin para
identificar la debilidad o fortaleza del
SGI.
El trabajo de campo del auditor
consiste en lograr toda la informacin
necesaria para poder emitir un juicio
objetivo:
Hay dos formas para obtener
informacin:
Observacin directa del SGI
p.e.: Medir trfico de red, comprobar el tipo
y nmero de extintores instalados, etc.
Conversaciones con el personal del SGI
Examinar el SGI
Casi siempre la informacin necesaria
para emitir un juicio se puede obtener de
ambas formas.
En ese caso es interesante cruzar los
resultados obtenidos de una y otra forma
para detectar inconsistencias.
Es lo que se denomina principio de
doble fuente de informacin.
Examinar el SGI
Para cada subseccin el equipo de
auditora debe redactar una lista de
comprobacin (checklist):
Los tems de esa checklist son aquellas
piezas de informacin que permitan
puntuar la subseccin.
Para cada checklist el equipo de
auditora debe indicar cmo se punta.
Examinar el SGI
Cada tem se comprueba y se punta
con una nota entre 0 y 10.
La nota de la subseccin es la media
aritmtica de la nota de cada tem.
Un mal diseo de la checklist asociada
a una subseccin puede hacer que sta se
punte de forma incorrecta.
Examinar el SGI
La entrevista es una de las actividades
personales mas importantes del
auditor
Nunca iniciar una entrevista sin saber
exactamente qu informacin se
pretende obtener del entrevistado.
Cada entrevista debe ser planificada
minuciosamente.
Nunca olvidar que en parte nuestro juicio sobre el
SGI estar basado en la informacin obtenida
mediante entrevistas y si sta es incorrecta el
juicio tambin lo ser.
Examinar el SGI
La entrevista se basa en el concepto
de interrogatorio:
Hay que conseguir que bajo la
apariencia de una conversacin correcta
y lo menos tensa posible, el auditado
conteste con precisin a las cuestiones
que nos interesan.
Examinar el SGI
Hay que conseguir que el entrevistado
se sienta cmodo:
De esa forma es ms propenso a hablar
sin medir lo que dice.
Para ello, nunca grabar o tomar notas
en su presencia.
El auditor debe memorizar las
respuestas y justo al acabar tomar notas
para no olvidar las respuestas.
Nunca se debe interrumpir al
entrevistado a menos que su respuesta
se aparte sustancialmente de la
pregunta.
Examinar el SGI
Tampoco se debe comenzar con
preguntas directas o que parezca que
pongan en duda sus conocimientos
como:
Cumples el estndar X?
Sabes como manejar el extintor Y?
En su lugar hay que comenzar con
preguntas generales que ayuden a
centrar el tema pero que al no referirse
directamente a su competencia o
responsabilidad le hagan estar mas
tranquilo
Ha habido alguna situacin de
emergencia?
Recibi algn curso de formacin?
Examinar el SGI
Si el entrevistado es informtico de
profesin, percibe enseguida el perfil
tcnico y conocimientos del
entrevistador a travs de sus preguntas.
Si percibe que el entrevistador
tiene poco nivel contestar con
lenguaje muy tcnico.
Por ello es fundamental usar el
lenguaje adecuadamente para que
quede claro que ambos dominan el
medio.
Examinar el SGI
Como medida de seguridad se debe
formular a un mismo entrevistado la
misma pregunta varias veces:
Bien en la misma entrevista, pero
entonces con apariencias distintas.
Bien en distintas entrevistas.
Ello permite detectar inconsistencias en
sus respuestas que pueden estar
causadas por miedo o ganas de quedar
bien.
Examinar el SGI
Emitir una valoracin
El resultado de una auditora se
expresa exclusivamente por escrito:
Es bueno redactar un informe de
auditora preliminar, que se entrega al
cliente para que lo revise.
Despus se ha de entregar el informe
de auditora definitivo.
Los informes de auditora deben
entregarse al cliente lo mas rpidamente
posible despus de terminar la auditora.
Junto con los informes, el auditor debe
devolver a la empresa todos los
documentos de sta que aun estn en
su poder.
Emitir una valoracin
Dar asistencia post-auditora
Plan de mejoras
Consiste en que el equipo de auditora
debe siempre estar dispuesto a poner
en prctica las recomendaciones
expresadas en su informe:
El costo de esta asistencia no se
incluye en el costo de la auditora.
Por ello si la empresa acepta poner en
marcha las recomendaciones debe
firmarse un nuevo contrato para ello.
Es muy importante ofertar la asistencia
post-auditora por dos razones:
Ayuda a la empresa a decidirse a poner
en prctica las recomendaciones
hechas.
Es una prueba de que son aplicables.
Dar asistencia post-auditora
Fases de una auditoria

Planeacin
Revisin Preliminar
Examen y Evaluacin de
la informacin
Revisin Detallada
Ejemplo :
Seguridad

El objetivo de esta auditora de seguridad, es revisar la situacin y la eficiencia de la misma
en los rganos ms importantes de la estructura informtica.

Para ello, se fijan los supuestos de partida:
El rea auditada es la Seguridad.
El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.

De este modo la auditora se realizara en 3 niveles.
Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares
Segmento 2: Seguridad de Sistema operativo
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de Aplicaciones.
Segmento 8: Seguridad Fsica.
Los segmentos se dividen en secciones, en este caso la
seguridad fsica se divide en :
Control de Accesos
Barreras Fsicas
Seguros

Vamos a dividir a la Seccin de Control de Accesos en
cuatro Subsecciones:

Autorizaciones
Controles Automticos
Vigilancia
Registros