METODOLOGIAS DE AUDITORIA INFORMATICA Las metodologas son necesarias para desarrollar cualquier proyecto que nos propongamos de manera

ordenada y eficaz. La auditoria informtica solo identifica el nivel de exposicin por la falta de controles mientras el anlisis de riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de la misma. odas las metodologas existentes en seguridad de sistemas van encaminadas a establecer y me!orar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en "ec"os sea lo mas ba!a posible o al menos quede reducida de una forma razonable en costo-beneficio. odas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informtico# se puede agrupar en dos grandes familias$ Cuantitativas: %asadas en un modelo matemtico num&rico que ayuda a la realizacin del traba!o# estn dise'adas par producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores num&rico. (stn dise'adas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores num&ricos. (stos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito. Cualitativas: %asadas en el criterio y raciocinio "umano capaz de definir un proceso de traba!o# para seleccionar en base al experiencia acumulada. )uede excluir riesgos significantes desconocidos *depende de la capacidad del profesional para usar el c"ec+-list,gua-. %asadas en m&todos estadsticos y lgica borrosa# que requiere menos recursos "umanos , tiempo que las metodologas cuantitativas. Ventajas: (nfoque lo amplio que se desee. )lan de traba!o flexible y reactivo. .e concentra en la identificacin de eventos. Desventajas /epende fuertemente de la "abilidad y calidad del personal involucrado. 0dentificacin de eventos reales ms claros al no tener que aplicarles probabilidades comple!as de calcular. /ependencia profesional. Metodolog as en Audito! a In"o!#$ti%a& Las metodologas de auditora informtica son de tipo cualitativo,sub!etivo. .e puede decir que son sub!etivas por excelencia. (stn basadas en profesionales de gran nivel de experiencia y formacin# capaces de dictar recomendaciones t&cnicas# operativas y !urdicas# que exigen en gran profesionalidad y formacin continua. .olo existen dos tipos de metodologas para la auditora informtica$

 Cont!oles Gene!ales&' .on el producto estndar de los auditores profesionales. (l ob!etivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera# es resultado es escueto y forma parte del informe de auditora# en donde se "acen notar las vulnerabilidades encontradas. (stn desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan. Metodolog as de los audito!es inte!nos&' (stn formuladas por recomendaciones de plan de traba!o y de todo el proceso que se debe seguir. ambi&n se define el ob!etivo de la misma# que "abr que describirlo en el memorando de apertura al auditado. /e la misma forma se describe en forma de cuestionarios gen&ricos# con una orientacin de los controles a revisar. (l auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor.

METODOLOG(A ROA Ris) O!iented A**!oa%+

(n la actualidad existen tres tipos de metodologas de auditoria informtica$ 1.2.3. *10.4 210(5 (/ 3))12367-# dise'ada por 3rt"ur 3ndersen. 67(64L0. o cuestionarios. 38/0 2103 /( )12/86 2. *por e!emplo# 1ed Local 9indo:s 5 ; sistemas de <estin de base de /atos /%=; paquete de seguridad 136># etc.-.

(n s las tres metodologas estn basadas en la minimizacin de los riesgos# que se conseguir en funcin de que existan los controles y de que &stos funcionen. (n consecuencia el auditor deber revisar estos controles y su funcionamiento.

,Gu a de auto evalua%i-n.

(sta pretende ser un sistema sencillo y fiable de conocer la situacin general del sistema de informacin de una empresa# as como definir el estado del control de dic"os sistemas tomando como control la definicin de la 0.3363.

,A /ui0n va di!igida.
(sta gua va orientada a las )eque'as y ?edianas empresas# y dentro de las mismas# a los responsables de los sistemas de informacion# gerentes directivos o auditores.

Cono%i#ientos ne%esa!ios
5o resulta necesario tener conocimientos informticos para realizar una auditoria informtica mediante la t&cnica utilizada en esta gua. 5o obstante se cree necesario un mnimo de formacin especfica para# al menos# saber qu& es lo que se quiere analizar# as como algunos conceptos no nos resulten excesivamente extra'os.

?inicomputador. 1ed local. )6. )erif&ricos. .oft:are de base. (ficacia de un servicio informtica. .eguridad lgica. .eguridad fsica. (tc.

Ento!nos de a*li%a%i-n
?inicomputadores e informtica distribuida. 1edes de @rea local. )6s.

Metodolog a utili1ada
La metodologa utilizada es la (valuacion de 1esgos *123 1is+ 2riented 3pproac"- recomendada por 0.363. (sta evaluacin de riesgos se desarrolla sobre determinadas reas de aplicacin y ba!o t&cnicas de 6"ec+list *cuestionarios- adaptados a cada entorno especifico; deber tenerse en cuenta que determinados controles se repetiran en diversas reas de riesgo. (sto a que dic"os controles tienen incidencia independiente en cada una y# que se pretende poder analizar cada rea independientemente# es necesaria dic"a repeticin. 3s mismo los controles gerenciales y algunos controles de caracteristicas especiales# como pueden ser los de base de datos# se aplicarn teniendo en cuenta las particularidades de cada entorno.

Fases de la autoeval%ion
Riesgo en la %ontinuidad del *!o%eso .on aquellos riesgos de situaciones que pudieran afectar a la realizacin del traba!o informtico o incluso que pudieran llegar a paralizarlo# y# por ende# llegar a per!udicar gravemente a la empresa o incluso tambi&n a paralizarla. Riesgos en la e"i%a%ia del se!vi%io in"o!#$ti%o (ntenderemos como eficacia del servicio la realizacin de los traba!os encomendados. 3s pues# los riesgos en al eficacia sern aquellos que alteren dic"a realizacin o que afecten a la exactitud de los resultados ofrecidos por el servicio informtico. Riesgo en la e"i%ien%ia del se!vi%io in"o!#$ti%o 3

(ntenderemos como eficiencia del servicio la me!or forma de realizar los procesos o traba!os# ya sea a nivel econmico o t&cnico# pretendiendo con el anlisis de estos riesgos me!orar la calidad de servicio. Riesgos e%on-#i%os di!e%tos (n cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directos inadecuados# gastos varios que no deberan producirse# e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes. Riesgos de la segu!idad l-gi%a odos aquellos que posibiliten accesos no autorizados ala informacin mecanizada mediante t&cnicas informticas o de otro tipos. Riesgos de la segu!idad " si%a 6omprendern todos aquellos que actAen sobre el deterioro o aprobacin de elementos de informacin de una forma meramente fsica. Valo!a%i-n de !esultados La autogua se compone de una serie de cuestionarios de control. /ic"os cuestionarios podrn ser contestados mediante dos sistemas indicados en los mismos.

2i3liog!a" a
)03 ?3. 050# ?ario y (milio del )eso. 3uditora 0nformtica. 8n enfoque prctico. (ditorial 13-