Etapa de planeacin
1
- La visita inicial para el arranque de la auditora cuya finalidad es saber Cmo se
encuentran distribuidos los equipos en el rea?, Cuntos, cules, cmo y de qu
tipo son los servidores y terminales que existen en el rea?, Qu caractersticas
generales de los sistemas que sern auditados?, Qu tipo de instalaciones y
conexiones fsicas existen en el rea?, Cul es la reaccin del personal frente al
auditor?, Cules son las medidas de seguridad fsica existentes en el rea?, y
Qu limitaciones se observan para realizar la auditora?. Con esta informacin el
auditor podr disear las medidas necesarias para una adecuada planeacin de la
auditora y establecer algunas acciones concretas que le ayuden al desarrollo de
la evaluacin.
Determinar los puntos que sern evaluados: Una vez determinados los
objetivos de la auditora se debe relacionar los aspectos que sern evaluados, y
para esto se debe considerar aspectos especficos del rea informtica y de los
sistemas computacionales tales como: la gestin administrativa del rea
informtica y el centro de cmputo, el cumplimiento de las funciones del personal
informtico y usuarios de los sistemas, los sistemas en desarrollo, la operacin de
los sistemas en produccin, los programas de capacitacin para el personal del
rea y usuarios de los sistemas, proteccin de las bases de datos, datos
confidenciales y accesos a las mismas, proteccin de las copias de seguridad y la
restauracin de la informacin, entre otros aspectos.
2
Elaborar planes, programas y presupuestos: Para realizar la planeacin formal
de la auditora informtica y de sistemas, en la cual se concretan los planes,
programas y presupuestos para llevarla a cabo se debe elaborar los documentos
formales para el desarrollo de la auditora, donde se delimiten las etapas, eventos
y actividades y los tiempos de ejecucin para el cumplimiento del objetivo,
anexando el presupuesto con los costos de los recursos que se utilizarn para
llevarla a cabo.
3
Etapa de dictamen de la auditora
4
errores. Tambin deben contener de manera clara y concreta, las desviaciones
detectadas en la evaluacin.
5
COBIT (Objetivos de Control para la informacin y Tecnologas relacionadas)
Se definen 34 objetivos de control generales, uno para cada uno de los procesos
de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se
describen a continuacin junto con sus procesos y una descripcin general de las
actividades de cada uno:
Procesos:
6
sistemas de informacin, a travs de la creacin y mantenimiento de un
modelo de informacin de la organizacin.
7
Administracin de proyectos: Establecer prioridades y entregar servicios
oportunamente, de acuerdo al presupuesto de inversin, para ello se realiza
una identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems deber adoptar y
aplicar slidas tcnicas para cada proyecto emprendido.
Administracin de calidad: Satisfacer los requerimientos del cliente.
Mediante una planeacin, implementacin y mantenimiento de estndares y
sistemas de calidad por parte de la organizacin.
Procesos:
8
Desarrollo y mantenimiento de procedimientos: Asegurar el uso
apropiado de las tecnologas establecidas, mediante el desarrollo de
manuales de procedimientos de operaciones para usuarios, requerimientos
de servicio y material de entrenamiento.
Instalacin y aceptacin de los sistemas: Confirmar que la solucin sea
adecuada, mediante la realizacin de una migracin de instalacin,
conversin y plan de aceptacin adecuadamente formalizada.
Administracin de los cambios: Minimizar la probabilidad de
interrupciones, alteraciones no autorizadas, errores, mediante un sistema
de administracin que permita el anlisis, implementacin y seguimiento de
todos los cambios requeridos a la infraestructura de TI actual.
Procesos:
9
Administracin de desempeo y capacidad: Realizar controles de
manejo de capacidad, desempeo que recopilen datos, manejo de cargas
de trabajo, tamao de aplicaciones, manejo y demanda de recursos.
Asegurar el servicio continuo: Mantener el servicio disponible de acuerdo
con los requerimientos y continuar su suministro en caso de interrupciones,
mediante un plan de continuidad probado, relacionado con los
requerimientos de negocio.
Garantizar la seguridad de sistemas: Realizar controles de acceso lgico
que aseguren sistemas, datos y programas a solo usuarios autorizados
para salvaguardar la informacin contra uso no autorizado, divulgacin,
modificacin, dao o prdida.
Educacin y entrenamiento de usuarios: Asegurar que los usuarios
estn haciendo un uso efectivo de la tecnologa, estn conscientes de los
riesgos, responsabilidades, realizando un plan completo de entrenamiento y
desarrollo.
Identificacin y asignacin de costos: Realizar un sistema de
contabilidad de costos que stos sean registrados, calculados y asignados
a los niveles de detalle requeridos.
Apoyo y asistencia a los clientes de TI: Asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando
una mesa de ayuda que proporcione soporte y asesora de primera lnea.
Administracin de la configuracin: Dar cuenta de todos los
componentes de TI, prevenir alteraciones no autorizadas, verificar la
existencia fsica y proporcionar una base para el sano manejo de cambios,
realizando controles que identifiquen y registren todos los activos de TI, as
como su localizacin fsica y un programa regular de verificacin que
confirme su existencia.
Administracin de problemas: Asegurar que los problemas e incidentes
sean resueltos y sus causas sean investigadas para prevenir que vuelvan a
suceder implementando un sistema de manejo de problemas para registrar
y dar seguimiento a todos los incidentes.
Administracin de datos: Asegurar que los datos permanezcan
completos, precisos, vlidos durante su entrada, actualizacin, salida y
10
almacenamiento, a travs de una combinacin efectiva de controles
generales y de aplicacin sobre las operaciones de TI.
Administracin de las instalaciones: Proporcionar un ambiente fsico
conveniente que proteja al equipo y al personal de TI contra peligros
naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace
posible con la instalacin de controles fsicos y ambientales adecuados que
sean revisados regularmente para su funcionamiento apropiado definiendo
procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad fsica.
Administracin de la operacin: Asegurar que las funciones importantes
de soporte de TI estn siendo llevadas a cabo regularmente, de una
manera ordenada a travs de una calendarizacin de actividades de
soporte que sea registrada y completada.
Dominio: Monitoreo
Procesos
11
implementacin, lo que se logra con el uso de auditoras independientes
desarrolladas a intervalos regulares de tiempo.
12
por cada proceso es evaluado y al final se presenta el dictamen y el informe final
de resultados.
En los diferentes formatos se observa los siguientes campos que deben ser
diligenciados por el auditor para cada uno de los procesos evaluados:
13
o Objetivo de la entrevista: Hace una breve referencia al objetivo que se
pretende con la aplicacin de la entrevista y el proceso COBIT que se est
revisando.
o Descripcin de actividad/prueba: Se hace una breve referencia al
objetivo del proceso seleccionado dentro de los dominios del COBIT que se
est revisando.
o Entrevistado: Nombre de la persona entrevistada.
o Cargo: Nombre del cargo de la persona que ser entrevistada.
o Tema: Los temas que sern tratados en la entrevista por parte del auditor.
o Pregunta: Espacio donde se indicara la descripcin de la consulta.
o Auditores: Informacin de quien ser el auditor que aplica la entrevista.
o Fecha aplicacin: Fecha en que se aplica la entrevista.
o Hallazgo: Aqu se encontrara la descripcin de cada hallazgo, as como la
referencia al cuestionario cuantitativo que lo soporta.
o Consecuencias y riesgos: En este apartado se encuentra la descripcin
de las consecuencias del hallazgo as como la cuantificacin del riesgo
encontrado.
o Evidencias: Aqu encontramos en nombre de la evidencia y el nmero del
anexo donde sta se encuentra.
o Recomendaciones: En este ltimo apartado se hace una descripcin de
las recomendaciones que el equipo auditor ha presentado a las entidades
auditadas
14
Formato de entrevista
15
puede aplicarse al inicio de la auditora para conocer los aspectos generales y
durante el proceso de auditora con la intencin de conocer en profundidad el tema
evaluado. La entrevista generalmente se aplica solo al personal clave
(administrador del sistema, usuarios de mayor experiencia, administrador del rea
informtica, otros).
Formato cuestionario
16
riesgos que an no se haya detectado. El cuestionario se aplica solamente al
personal clave que posee la informacin para responderlo, por eso es
necesario identificar las personas que puedan dar respuesta a los interrogantes
planteados en el cuestionario. Las preguntas en el cuestionario son de dos
tipos, el primer tipo son las preguntas sobre la existencia de controles o riesgos, y
el segundo tipo son las de completitud que tienen por objetivo saber si se est
aplicando completamente los controles o de manera parcial.
17
o Descripcin de actividad/prueba: Se hace una breve referencia al
objetivo del proceso seleccionado dentro de los dominios del COBIT que se
est revisando.
o Material de soporte: Se indica el nombre del material que soporta el
proceso, para el caso ser COBIT.
o S No: Posibilidades de respuesta cuantitativa (1, 2, 3, 4, 5) para medicin
del nivel de riesgo.
o Porcentaje de riesgo: Hace referencia a la probabilidad de que el proceso
se vea afectado por las acciones de las cuales se est indagando, entre
mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir
perjudicado.
Las equivalencias utilizadas para la puntuacin sern de uno a cinco, siendo uno
el valor mnimo considerado de poca importancia y cinco el mximo considerado
de mucha importancia.
Formato de hallazgos
18
Una vez los riesgos han sido conformados mediante pruebas y evidencias, estos
riesgos pasan a denominarse hallazgos. Los formatos de los hallazgos son de
suma importancia en la auditora ya que llevan la informacin de todo el proceso
realizado y una descripcin de cmo se est presentando el riesgo, sus
consecuencias para la medicin o valoracin en el proceso de evaluacin de
riesgos que se lleva a cabo posteriormente. Adems en el formato de hallazgos se
puede encontrar la informacin de las recomendaciones para determinar los
posibles controles para mitigarlos.
Listas de chequeos
19
Tiene como objetivo fundamental la verificacin de la existencia de controles en
cada uno de los procesos evaluados. Se usa para verificar el cumplimiento de una
norma estndar que se debe evaluar en la auditora.
Las respuestas a esas preguntas de la lista de chequeo para cada proceso deben
responderse marcando solamente la respuesta S o No o N/A (S/No/NA) o
cumple totalmente, cumple parcialmente o no cumple (CT/CP/NC).
Plan de pruebas
20
El plan de pruebas debe prepararse y ejecutarse con anticipacin para poder
hacer las solicitudes de permiso al rea informtica o al administrador del sistema
que ser evaluado. Las pruebas deben llevarse a cabo en el tiempo que demore la
auditora y habr algunas pruebas que requieran ms tiempo, por lo tanto esas
pruebas quedarn dentro de las recomendaciones para que sean ejecutadas
posterior a la auditora.
Cada uno de los auditores debe planear las pruebas para cada uno de los
procesos de acuerdo a los aspectos que se requiera evaluar, por lo tanto es
responsabilidad del auditor determinar las pruebas que sirvan para soportar el
dictamen de la auditora en cada uno de los procesos.
21
Para este proceso tan importante dentro de la auditora es necesario que ya se
haya identificado inicialmente las vulnerabilidades y amenazas existentes en cada
uno de los procesos evaluados, y que se haya definido los riesgos existentes a
causa de esas debilidades.
Este proceso puede llevarse a cabo inicialmente para determinar una lista de
riesgos iniciales general y proponer el objetivo de la auditora de acuerdo a los
resultados, si se observa que los problemas se originan en la infraestructura
tecnolgica entonces la auditora deber orientarse hacia el anlisis de dicha
infraestructura. Una vez iniciado el proceso de auditora el proceso de anlisis y
evaluacin de riesgos me permite evaluar cada uno de los dominios y procesos
(COBIT) que se han seleccionado para la valoracin de los riesgos en dicho
proceso.
22
23
Matriz de probabilidad de impacto
Esta matriz fue creada para catalogar un riesgo y saber qu clase de dao puede
causar un mal procedimiento en el proceso auditado. En la matriz existe la
columna de probabilidad de ocurrencia donde se pondr el valor del porcentaje de
riesgo segn su resultado. Luego se deber determinar el impacto segn la
relevancia del proceso, esta clasificacin ser hecha por el equipo auditor
basndose en el conocimiento de la entidad y del proceso auditado. Una vez
hechos estos procedimientos se podr clasificar el riesgo para su mejor
entendimiento en la matriz grfica.
Escala de probabilidad:
Bajo.
Medio.
Alto.
24
Escala de impacto:
Gua de hallazgo
25
Resultados de la auditora
Dictamen de la auditora
26
2.2 Ejemplo de una auditora
Plan de Auditora
Objetivos
Objetivo general:
Objetivos especficos:
27
Alcance y delimitacin: La presente auditora pretende identificar las condiciones
actuales del hardware, la red de datos y elctrica de la institucin educativa, con
el fin de verificar el cumplimiento de normas y la prestacin del servicio de internet
para optimizar el uso de los recursos existentes para mejorar el servicio a los
usuarios.
Instalaciones elctricas
Instalacin cableada de la red de datos
Sistemas de proteccin elctricos.
Seguridad de acceso fsico a las instalaciones
Recursos:
29
Fsicos: Instalaciones de la institucin educativa, aulas de informtica y
dispositivos de red.
Tecnolgicos: Equipos de cmputo, software instalado para la red, cmara
digital, Intranet institucin educativa.
Presupuesto:
Cronograma:
Plan de auditora
30
Alcances: En cuanto a los alcances de la auditora se trabajar el mdulo de
matrcula acadmica en lnea, incluyendo los procesos de registro y control, y el
sistema de control interno que maneja la dependencia para la proteccin de los
datos e informacin. Del mdulo de matrcula acadmica se evaluar: Asignaturas
a matricular del Pensum, asignaturas a matricular de formacin humanstica,
matricular idiomas extranjeros, cancelacin de asignaturas del Pensum,
cancelacin de formacin humansticas, cancelacin idiomas extranjeros,
autorizaciones, reporte de matrcula, actualizacin de informacin, calificaciones,
calendario, horarios, horarios humanstica.
Programa de auditora
31
Relacionadas), donde se especifica el dominio, el proceso y los objetivos de
control que se debe trabajar en relacin directa con el objetivo y alcances, dentro
de ellos se elegira los siguientes:
Procesos:
32
PO2.3 Administracin de la integridad de datos: Los desarrolladores de la
aplicacin deben garantizar la integridad y consistencia de los datos almacenados
mediante la creacin de procesos y procedimientos.
PO3 Definir los procesos, organizacin y relaciones de TI: Dentro del rea de
sistemas debe estar claro y definido el personal de la tecnologa de la informacin,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento
de servicios que satisfagan los objetivos de la Institucin. Los objetivos de control
que se evaluarn son los siguientes:
33
PO3.3 Propiedad de datos y del sistema: Proporcionar a la dependencia de
registro y control los procedimientos y herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos y los sistemas de informacin.
34
PO5 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y
comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de
la dependencia, con el objetivo de asegurar el logro de los objetivos de TI. Los
objetivos de control que sern evaluados son los siguientes:
PO5.2 Identificacin de eventos: Identificar los riesgos (una amenaza explota las
vulnerabilidades existentes), clasificndolas si son relevantes y en qu medida
afectan al rea informtica y la dependencia de registro y control donde se maneja
el sistema de informacin.
PO5.3 Evaluacin de los riesgos de TI: Medir los riesgos a travs de la evaluacin
peridica de la probabilidad e impacto de los riesgos identificados, usando
mtodos cuantitativos y cualitativos, que permitan la medicin del riesgo
encontrado.
Dominio: Adquirir e implementar (AI) para llevar a cabo la estrategia TI, se debe
identificar las soluciones, desarrollarlas y adquirirlas, as como implementarlas e
35
integrarlas en la empresa, esto para garantizar que las soluciones satisfaga los
objetivos de la empresa. De este dominio se ha seleccionado los siguientes
procesos:
Procesos:
36
AI 1.4 Seguridad y disponibilidad de las aplicaciones: Abordar la seguridad de las
aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos
identificados y en lnea con la clasificacin de datos, la arquitectura de la
informacin, la arquitectura de seguridad de la informacin y la tolerancia a riesgos
de la organizacin.
37
proteger la infraestructura de acuerdo con las estrategias tecnolgicas convenidas
y la disposicin del ambiente de desarrollo y pruebas. Esto garantiza que exista un
soporte tecnolgico en la organizacin. Los objetivos de control que sern
evaluados son los siguientes:
38
AI 2.4 Ambiente de prueba de factibilidad: Establecer el ambiente de desarrollo y
pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e
integracin de aplicaciones e infraestructura, en las primeras fases del proceso de
adquisicin y desarrollo. Hay que considerar la funcionalidad, la configuracin de
hardware, software, pruebas de integracin, desempeo, migracin entre
ambientes, control de las versiones, datos y herramientas de prueba y seguridad.
Procesos:
39
importante desarrollar, mantener y probar planes de continuidad y as asegurar el
mnimo impacto en caso de una interrupcin de servicios TI, esto se logra con el
desarrollo y mantenimiento (mejorado) de los planes de contingencia de TI, con
entrenamiento y pruebas de los planes de contingencia de TI y guardando copias
de los planes de contingencia. Los objetivos de control que sern evaluados son
los siguientes:
40
DS 1.5 Entrenamiento del plan de continuidad de TI: La organizacin debe
asegurarse que todos las partes involucradas reciban capacitaciones de forma
regular respecto a los procesos, sus roles y responsabilidades en caso de
incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los
resultados de las pruebas de contingencia.
Las directivas de TI debe asegurar que los acuerdos con sitios externos sean
evaluados peridicamente, al menos una vez por ao, respecto al contenido, a la
proteccin ambiental y a la seguridad. Asegurarse de la compatibilidad del
hardware, del software para poder recuperar los datos archivados, peridicamente
probar y renovar los datos archivados.
DS 1.7 Revisin post reanudacin: Una vez lograda una exitosa reanudacin de
las funciones de TI despus de un desastre, determinar si las directivas de TI ha
establecido procedimientos para valorar lo adecuado del plan y actualizar el plan
en consecuencia.
41
DS 2.1 Plan de seguridad de TI: Trasladar los requerimientos de la dependencia,
riesgos, cumplimiento dentro de un plan de seguridad de TI completo, teniendo en
consideracin la infraestructura de TI y la cultura de seguridad. Asegurar que el
plan esta implementado en las polticas, procedimientos de seguridad junto con las
inversiones apropiadas en los servicios, personal, software y hardware. Comunicar
las polticas, procedimientos de seguridad a los interesados y a los usuarios.
Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del
usuario, aprobados por el responsable del sistema e implementado por la persona
responsable de la seguridad. Las identidades del usuario y los derechos de
acceso se mantienen en un repositorio central. Se despliegan tcnicas efectivas
en costos y procedimientos rentables, se mantienen actualizados para establecer
la identificacin del usuario, realizar la autenticacin y habilitar los derechos de
acceso.
42
Realizar revisiones regulares de la gestin de todas las cuentas y los privilegios
asociados.
43
DS 3 Educar y entrenar a los usuarios: Para una educacin efectiva de todos
los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren
identificar las necesidades de entrenamiento de cada grupo de usuarios. Adems
de identificar las necesidades, este proceso incluye la definicin, ejecucin de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los
resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de
la tecnologa al disminuir los errores, incrementando la productividad, el
cumplimiento de los controles clave tales como las medidas de seguridad de los
usuarios. Para ello se tomaran en cuenta los siguientes objetivos de control:
44
llamadas, incidentes reportados, requerimientos de servicios, solicitudes de
informacin. Deben existir procedimientos de monitoreo, de escalamiento basados
en los niveles de servicio acordados en los SLAs, que permitan clasificar y
priorizar cualquier problema reportado como incidente, solicitud de servicio o
solicitud de informacin. Medir la satisfaccin del usuario final respecto a la calidad
de la mesa de servicios y de los servicios de TI.
45
DS 5.1 Revisin de integridad de la configuracin: El rea informtica debe revisar
peridicamente los datos de configuracin para verificar, confirmar la integridad de
la configuracin actual, ejecutar rutinas de revisin de software instalado para
establecer inconsistencias o desviaciones que perjudiquen los intereses de la
organizacin o que violen polticas de uso.
Esta seleccin, diseo del esquema de un centro de datos debe tomar en cuenta
el riesgo asociado con desastres naturales y causados por el hombre. Tambin
debe considerar las leyes, regulaciones correspondientes, tales como
regulaciones de seguridad y de salud en el trabajo.
46
aplica para todas las personas que accedan a las instalaciones, incluyendo
personal, estudiantes, visitantes o cualquier tercera persona.
Dominio: Monitorear y evaluar (ME). Todos los procesos del mdulo de matrcula
necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad
y suficiencia en cuanto a los requerimientos de control, integridad,
confidencialidad, por tal se evaluara el siguiente proceso:
Proceso:
47
ME 1.2 Excepciones de control: Identificar los incidentes, analizar e identificar sus
causas raz subyacente para establecer acciones correctivas necesarias, verificar
si los resultados de los controles, son reportados, analizados rpidamente, para
evitar errores e inconsistencias y que sean corregidos a tiempo.
Dictamen de la auditora
48
Hallazgos que soportan el Dictamen:
Recomendaciones:
49
Asignar funciones de auditora a uno de los funcionarios que est en
capacidad de registrar los movimientos realizados por los sper usuarios
del sistema, pudiendo el mismo realizar auditoras y ejerciendo controles
adecuados sobre la seguridad del servidor e produccin y sobre la base de
datos.
50
procesamiento de datos, revisin metodolgica del sistema para proponer
mejoras al diseo inadecuado o cuestionable de algunos mdulos,
correccin de las deficiencias u obsolescencias de los mecanismos de
control interno del sistema, determinacin de especificaciones tcnicas
inapropiadas, deteccin de deficiencias en el entrenamiento de los
funcionarios que ejecutan los procesos, determinacin de estndares de
control de calidad de la informacin de la base de datos, anlisis de
cumplimiento de la validacin de las reglas del negocio en el sistema,
cumplimiento normativo y de las polticas internas en el proceso del rea
comercial a cargo del sistema.
Recomendaciones:
51
Lista de chequeo 2
52
Lista de chequeo 3
53
Lista de chequeo 4
54
Lista de chequeo 5
55
Lista de chequeo 6
56
Gua de prueba 1.
Gua de prueba 2.
Gua de prueba 4.
57
Gua de prueba 5.
Gua de prueba 6.
58
Gua de hallazgos 2.
Gua de hallazgos 3.
59
Gua de hallazgos 4.
60
Gua de hallazgos 5.
Gua de hallazgos 6.
61
62