Practica

Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema
ndice
pginas
Introduccin ............................................................................ 2
El plan auditor informtico ..................................................... 2-3
Metodologa ............................................................................ 3-5
Etapas de la metodologa de auditora .................................... 5-18
a) efinicin de m!ito " o!#eti$os ............................ 5
!) iagnstico ............................................................. 5-1%
c) Etapa de #ustificacin ............................................. 1%-12
d) Etapa de adecuacin ............................................... 12-1&
e) Etapa de formali'acin ........................................... 1&-15
f) Etapa de desarrollo e implantacin .......................... 15-18
g) (resentacin del informe final ................................ 18
)i!liografa ............................................................................. 1*
1
Introduccin
(ara entender la necesidad de la reali'acin de auditoras informticas es necesario
comprender el papel destacado " creciente de las tecnologas de informacin en nuestra
sociedad. +on esta ma"or importancia ,a ido incrementndose tam!i-n la sofisticacin
de los sistemas .ue les dan apo"o. /a comple#idad " dimensiones .ue ,an ad.uirido
estos sistemas ,an ,ec,o .ue sea crtica la implantacin de normas " procedimientos
para su utili'acin0 desarrollo0 implantacin " mantenimiento.
/a auditora informtica $ela por el adecuado cumplimiento de las normas .ue rigen los
sistemas informticos " por .ue el sistema informtico1
2uncione de manera continuada.
3ir$a a los o!#eti$os para los .ue fue dise4ado.
3ea seguro.
5aga una utili'acin de los recursos ptima.
6uestro tra!a#o se centra en el tercero de los o!#eti$os. En este documento a!ordaremos
la ela!oracin de una metodologa para la reali'acin de la auditora informtica de la
seguridad de una intranet.
7na intranet es una infraestructura !asada en los estndares " tecnologas de Internet
.ue soporta el compartir informacin dentro de un grupo !ien definido " limitado.
8un.ue una intranet sea una red pri$ada en la .ue se tengan grupos !ien definidos "
limitados0 no se encuentra a sal$o de ata.ues .ue pudiesen poner en riesgo la
informacin .ue mane#a.
/a ma"or preocupacin de la ma"ora de los e#ecuti$os " directi$os respecto a la
implantacin de una intranet es la seguridad. 8l igual .ue en otros aspectos de la
implementacin de una intranet0 los asuntos ms complicados en la seguridad no son de
carcter t-cnico0 sino organi'acional o estrat-gico.
El plan auditor informtico
El plan auditor informtico es el documento en .ue se define esta funcin " el tra!a#o
.ue reali'a dentro de la entidad en .ue se encuadra. 3u contenido de!e estar orientado
con la estrategia organi'ati$a " con el resto de los planes auditores.
En un plan auditor diferenciamos1
2unciones1 7!icacin de la auditora informtica dentro de la empresa0 sus
funciones0 estructura del departamento " recursos .ue aglutina.
2
(rocedimientos1 Manera en .ue se reali'arn las distintas tareas de las
auditoras.
9ipos de auditoras .ue se reali'an.
3istema de e$aluacin " los aspectos .ue e$al:a.
/ista de distri!ucin de informes.
3eguimiento de las acciones correctoras.
(lanes de tra!a#o " su periodicidad.
El plan auditor informtico se concreta en la prctica0 entre otros aspectos0 en una
metodologa de tra!a#o .ue determina los ,itos desde el inicio de la auditora
informtica0 "a sea por auditor interno o e;terno0 ,asta la entrega del informe final " la
manera de alcan'arlos.
Metodologa
/a auditora informtica de!e respaldarse en un proceso formal .ue asegure su pre$io
entendimiento por cada uno de los responsa!les de lle$ar a la prctica dic,o proceso en
la empresa. 8l igual .ue otras funciones en el negocio0 la auditora informtica efect:a
sus tareas " acti$idades mediante una metodologa.
6o es recomenda!le fomentar la dependencia en el desempe4o de esta importante
funcin slo con !ase en la e;periencia0 ,a!ilidades0 criterios " conocimientos sin una
referencia metodolgica. +ontar con un m-todo garanti'a .ue las cualidades de cada
auditor sean orientadas a tra!a#ar en e.uipo para la o!tencin de resultados de alta
calidad " de acuerdo a estndares predeterminados.
/a funcin de auditora informtica ,a de contar tam!i-n con un desarrollo de
acti$idades !asado en un m-todo de tra!a#o formal0 .ue sea entendido por los auditores
" complementado con t-cnicas " ,erramientas propias de la funcin.
El o!#eti$o es !rindar a los responsa!les de dic,as reas un camino estructurado por el
.ue o!tengan los resultados esperados por la empresa0 siguiendo un plan.
Es importante se4alar .ue el uso de la metodologa no garanti'a por s sola el -;ito de
los pro"ectos de auditoria en informtica< adems0 se re.uiere un !uen dominio " uso
constante de los siguientes aspectos complementarios1
= 9-cnicas
= 5erramientas de producti$idad
= 5a!ilidades personales
= +onocimientos t-cnicos " administrati$os
3
= E;periencia en los campos de auditora e informtica
= +onocimiento de los factores del negocio " del medio e;terno al mismo
= 8ctuali'acin permanente
= +omunicacin constante con asociaciones nacionales e internacionales
relacionadas.
El uso de un proceso de tra!a#o metodolgico " estndar en la funcin de auditora
informtica genera las siguientes $enta#as1
- /os recursos orientan sus esfuer'os a la o!tencin de productos " ser$icios de
calidad0 con caractersticas " re.uisitos comunes para todos los responsa!les.
- /as tareas " productos terminados de los pro"ectos se encuentran definidos "
formali'ados en un documento al alcance de los auditores informticos.
- 3e facilita en alto grado la administracin " seguimiento de los pro"ectos0 pues
la metodologa o!liga a la planificacin detallada de cada pro"ecto !a#o criterios
estndares.
- 2acilita la superacin profesional " ,umana de los indi$iduos0 "a .ue orienta los
esfuer'os ,acia la especiali'acin0 responsa!ilidad0 estructuracin " depuracin
de las funciones del auditor.
- El proceso de capacitacin o actuali'acin en el uso de un proceso metodolgico
es ms gil " eficiente0 dado .ue se tra!a#a so!re tareas " pautas perfectamente
definidas.
>e.uisitos para el -;ito del proceso metodolgico
+ontar con una metodologa formalmente documentada no es garanta de .ue los
pro"ectos de auditora informtica tendrn -;ito< pero0 no cumplir con las siguientes
condiciones conducir a la funcin de auditora informtica a .ue sus pro"ectos no
cumplan con los tiempos0 costos o resultados esperados1
- 8pro!acin de la metodologa por la alta direccin.
- 8decuacin de la metodologa a los re.uerimientos especficos del negocio
?cuidado con reducir tareas " eliminar productos importantes con el fin de
a,orrar tiempo o por criterios personales< es :til apo"arse en un asesor e;perto).
- ocumentacin o actuali'acin de la metodologa.
- +apacitacin formal en el uso de la metodologa ?de acuerdo con el perfil " ni$el
de participacin de cada indi$iduo in$olucrado).
- Ela!oracin de los planes de auditora informtica seg:n la metodologa.
&
- @erificacin del uso formal de la metodologa en cada pro"ecto.
- +apacitacin formal para el personal de nue$o ingreso o cuando se lle$en a ca!o
actuali'aciones rele$antes a la metodologa.
Etapas de la metodologa de auditora
/a metodologa de auditora de seguridad de la Intranet se estructura en seis etapas .ue
detallamos a continuacin1

a) Definicin de mbito y objetivos:
/o primero .ue de!e tener en cuenta una auditora son los re.uerimientos del sistema1
A6ecesitan disponi!ilidad las 2& ,oras de los siete das de la semana o slo un ,orario
limitadoB
A+ules son los re.uerimientos del accesoB AEst limitado el acceso a al intranet a la
alta direccin o pueden acceder todos los empleadosB A(ueden acceder clientes0
pro$eedores o accionistasB
A+untos usuarios utili'an en promedio la intranet en las puntas de acti$idadB
ACu- cantidad de datos ,a" almacenadosB
AE;iste o!ligacin legal de almacenar datos durante un perodo de tiempo determinadoB
AE;isten datos personales o e;tremadamente confidenciales .ue re.uieran una especial
proteccinB
ACu- criticidad tienen los datos almacenados para nuestro negocio en caso de acceso de
competidores u otros intrusos0 o si se destru"en los datosB
8 partir de estos re.uerimientos0 partiendo de .ue nuestro o!#eti$o es la seguridad de la
intranet0 se esta!lecer los asuntos0 infraestructura " personal .ue integran la intranet "
.ue sern o!#eto de la auditora.
b) Diagnstico:
El siguiente paso .ue tiene .ue dar el auditor informtico dentro de las empresas o
instituciones al efectuar un pro"ecto de auditora informtica es ,acer un diagnstico del
negocio0 .ue inclu"e a la alta direccin " las reas usuarias.
3e !usca la opinin de la primera para poder sa!er el grado de satisfaccin " confian'a
.ue tienen en los productos0 ser$icios " recursos de informtica en el negocio.
5
9am!i-n se detectan las fortale'as0 aciertos " apo"o .ue !rinda dic,a funcin0 por otro
lado son mu" importantes las oportunidades .ue puede ofrece la informtica para ,acer
ms competiti$o el negocio.
/as acti$idades del auditor informtico de!en .uedar !ien definidas en los componentes
formales .ue integran cual.uier tra!a#o dentro de una organi'acin.
En esta fase0 se $isuali'an los primeros sntomas0 los cuales posteriormente pueden ser
los ms rele$antes.
+onocimiento del negocio1
El auditor en informtica de!e conocer e interiori'arse en el tipo de organi'acin .ue
act:a1 la misin0 estrategias0 planes " el ni$el #err.uico de la funcin de informtica<
tam!i-n es importante sa!er las entidades e;ternas a la empresa .ue se relacionan con
cada rea de la misma.
8po"o al negocio1
El auditor informtico de!e tener una idea glo!al del grado de apo"o " satisfaccin .ue
e;iste en el negocio0 " sa!er ,acia donde se orienta el soporte de la funcin de
informtica. (or e#emplo0 se de!en conocer de manera general los siguientes aspectos1
= /a participacin de la informtica en los pro"ectos cla$e para el negocio0
= Imagen de informtica ante la alta direccin0
= Drado de satisfaccin .ue e;iste por los ser$icios prestados por la informtica0
= E;pectati$as .ue tiene el negocio so!re la funcin de la informtica0
= e!ilidades " fortale'as de informtica
= Etros de inter-s especfico del auditor
Freas de oportunidad1
8.u se detectan las caractersticas .ue $an a facilitar la implementacin de soluciones
!rindadas por informtica " .ue tendrn un gran impacto so!re alguna funcin o
gerencia del negocio. 9am!i-n se pueden proponer acciones inmediatas o a corto pla'o0
de las cuales se podr o!tener !eneficios directos.
En esta fase preliminar el estudio es corto en tiempo " general en su in$estigacin. Es
mu" importante mencionar .ue las propuestas de las reas de oportunidad de!en ser
anali'adas " documentadas antes de ponerlas en prctica.
iagnstico de informtica
8.u el auditor se coordina directamente con el responsa!le de la funcin de
informtica.
G
+onocimiento de la funcin de informtica1
En esta parte el auditor conocer la estructura interna de informtica0 funciones0
o!#eti$os0 estrategias0 planes " polticas.
/a tecnologa de softHare " ,ardHare es en la .ue se apo"a para lle$ar a ca!o su
funcin dentro del negocio.
/as entre$istas de!en ,acerse con el responsa!le de informtica. El auditor de!e ser
profesional " -tico en su tra!a#o para !rindarles seguridad de .ue al final de su tarea
!eneficiar a los .ue lo contrataron.
El auditor en informtica de!e lograr un e.uipo de tra!a#o unido0 " .ue el lder de
pro"ectos ?es .uien se encarga de coordinar " super$isar los pro"ectos de la auditora<
puede tener a uno o ms auditores) desarrolle una !uena comunicacin con el personal
de informtica en esta etapa.
Es cla$e remarcar " e$aluar los ser$icios .ue presta informtica a las diferentes reas
del negocio " en los distintos ni$eles organi'acionales0 estos ser$icios pueden ser
e#ecutados por personal e;terno " coordinados por informtica.
E!ser$acin1
(ara o!tener toda la informacin posi!le so!re el diagnstico del negocio " de
informtica0 el auditor se apo"ara so!re cuestionarios detallados.
e!emos anali'ar las reas siguientes1
eguridad fsica1
8l e;aminar la seguridad fsica el auditor de!er estar preocupado por la locali'acin
fsica del sistema " desde dnde se puede acceder al mismo.
(ara la ma"ora de los sistemas0 tiene sentido instalar el ser$idor de datos " ser$idor
He! en una ,a!itacin con aire acondicionado .ue no tenga $entanas " sea de difcil
acceso ?preferi!lemente con acceso controlado por alg:n lector de tar#etas de seguridad
o sistema de cla$es de seguridad).
(ara sistemas ms crticos0 puede ser tam!i-n importante limitar los poseedores de esas
tar#etas " cam!iar el cdigo de acceso a la ,a!itacin de los ser$idores de manera
regular.
En funcin del ni$el de seguridad re.uerido0 pude ser necesario compro!ar .ue los
guardias de seguridad estn formados para la defensa contra intrusos.
(ara sistemas con re.uerimientos de alta disponi!ilidad " alta criticidad para el negocio0
es crucial asegurar .ue la totalidad del sistema ,a sido duplicado en pre$encin de
desastres0 de manera .ue se pueda cam!iar al sistema de reser$a en caso necesario.
I
Es importante compro!ar .ue el sitio de reser$a es tan seguro como el principal.
!rocedimientos" roles y responsabilidades:
Es fundamental asegurar .ue las polticas puestas en prctica en la Intranet para
asegurar la auditora " tra'a!ilidad se usan de manera efecti$a. 8lgunos sistemas
re.uerirn0 por moti$os legales u operacionales0 un registro de transacciones ma"or .ue
otros0 pero todos de!ern registrar los intentos de acceso a la red fallidos " su
procedencia ?I( u otro identificador).
AE;isten procedimientos implantados para asegurar .ue los Jaudit. logsK o registros de
auditora de la acti$idad del sistema se re$isen en !usca de indicios de acti$idades
maliciosasB ACui-n los lle$a a ca!oB A+on .u- frecuenciaB A3on efecti$osB
AE;isten normas .ue e$iten .ue las contrase4as de acceso puedan ser descu!iertas
fcilmenteB (or e#emplo0 Aes o!ligatorio .ue las cla$es de acceso tengan oc,o
caracteres .ue com!inen letras " n:merosB A2uer'a el sistema a cam!iar las cla$es de
acceso regularmenteB
El softHare anti$irus ms efecti$o no puede enfrentarse a un $irus tan nue$o para la .ue
no e;ista antdoto toda$a. A3e ,an implantado procedimientos so!re lo .ue de!e
,acerse si se descu!re un ata.ue de un $irusB Ae!en cerrarse los ser$idores de correo
ante una e$entualidad como estaB AL los ser$idores He!B.
En estos casos Aa .ui-n se de!e informar del ata.ueB ACui-n es el responsa!le de
decidir lo seria .ue es la amena'aB.
Es importante .ue el auditor contraste .ue los procedimientos no slo estn escritos en
un documento " ol$idados0 sino .ue e;iste un conocimiento acepta!le por parte de los
responsa!les de su e#ecucin.
Identificacin" autenticacin y acceso:
7n auditor de!e $igilar no slo las rutas fsicas al sistema ?,ardHare)0 sino tam!i-n las
lgicas0 esto es0 desde .u- redes se puede acceder al sistema " de .u- manera. AE;iste
una red pri$ada $irtual .ue permita el acceso al rea local ?/86) desde fuera del
edificio fsicoB A3e permite el acceso al sistema desde sitios He!B A(uede el personal
acceder a la Intranet desde sus ,ogaresB
(ara cada punto de acceso lgico el auditor de!e compro!ar .ue e;isten medios
efecti$os de identificar " autenticar los grupos de usuarios a los .ue se permite acceder
desde el mismo.
ependiendo del ni$el de seguridad re.uerido esto puede implicar simplemente usar
usuarios " cla$es de acceso0 emisin de passHords de un solo uso0 uso de cla$es de
encriptacin 33/ almacenadas en sus (+c o usar cla$es 3E9 residentes en una tar#eta
leda por un lector especial.
8
onde no sea necesario cam!iar cla$es a menudo0 pero los datos son confidenciales0 se
pueden com!inar las cla$es de acceso con otros medios orientados a autenticar al
usuario como las tar#etas de coordenadas u la identificacin de la direccin I( del
e.uipo.
Es importante $er lo !ien .ue se gestionan las sesiones0 cuentas " accesos. A+aducan las
sesiones0 tras un perodo de inacti$idadB Este mecanismo e$ita el uso no autori'ado de
un (+ en el .ue un usuario ,a"a de#ado la sesin a!ierta.
A3e !orran las cuentas de antiguos usuarios de manera regularB A3e controla
adecuadamente .uien puede crear nue$as cuentas de usuarioB A3e corresponden los
perfiles de acceso con las tareas .ue desempe4an los usuarios .ue los detentanB.
#e$uerimientos de la ar$uitectura t%cnica:
El auditor de!e garanti'ar .ue la ar.uitectura t-cnica puede soportar el ni$el de
seguridad re.uerido.
/a ar.uitectura t-cnica de una intranet se dise4a para permitir el acceso slo a usuarios
internos a sistemas " datos internos. +on este escenario0 un fireHall o ser$idor pro;"
puede facilitar la puerta de acceso a tra$-s de la cual los empleados puedan acceder a
Internet0 pero nadie pueda acceder al sistema interno desde Internet. El fireHall se puede
utili'ar tam!i-n para restringir los tipos de contenidos a los .ue pueden acceder en
Internet los usuarios internos. /os empleados con cone;iones m$iles generalmente
usarn una red pri$ada $irtual para el acceso. Es importante .ue el auditor comprue!e
todas las rutas de acceso " salida de la intranet0 para asegurar .ue slo puedan acceder
usuarios autori'ados.
e!e compro!arse .ue no e;istan puertas falsas o J!acM doorsK a la intranet desde la
e;tranet ?si e;iste) a tra$-s de las cuales un ,acMer pueda acceder a los sistemas
internos. 7na de las !acM doors ms comunes en este escenario es no ,a!er
des,a!ilitado 29( en el ser$idor He! de la e;tranet.
El auditor de!e compro!ar la integridad de los datos permanece intacta incluso0 si el
sitio fallase por alguna ra'n. Esto implica e;aminar la manera en .ue se estructuran las
transacciones dentro de la !ase de datos0 para asegurar .ue cuando e;istan transacciones
parciales0 o !ien se pueden retrotraer si lle$a a inconsistencias o .ue el usuario tenga
alguna manera de completar la transaccin cuando el sitio se recupere.

Es interesante sugerir0 dentro de la auditora0 t-cnicas .ue e$iten la cada de la intranet0
como una planificacin adecuada o la utili'acin de sistemas redundantes.
El !alanceo de carga de!e ser tam!i-n considerado. El !alanceo puede implicar un
grupo de ser$idores He! .ue tra!a#an #untos " se reparten la carga o simplemente
repartir los datos en diferentes !ases " ser$idores de !ases de datos0 dependiendo de
donde se pre$ean los Jcuellos de !otellaK.
(ara los casos en .ue la intranet se caiga0 puede ser prudente .ue el auditor sugiera
me#oras en la estrategia de recuperacinN !acMup utili'ada e in$estigar el plan de
recuperacin de desastres.
*
El auditor de seguridad de!er tener mu" en cuenta la manera en .ue se desarrolla el
softHare .ue se utili'ar en el sistema .ue est siendo auditado. Muc,os de los
pro!lemas de seguridad estn relacionados con errores incorporados en la fase de
programacin.
/os procesos de dise4o0 desarrollo0 re$isin del cdigo0 prue!as " cam!ios se de!en
re$isar cuidadosamente para asegurar .ue ,an sido configurados para e$itar la
incorporacin de errores al sistema.

e!en responderse preguntas como las siguientes1
A@igilan los desarrolladores0 administradores de !ases de datos " administradores de la
red del riesgo de Jagu#erosK de seguridadB
A3e mantienen al da dic,os empleados $a cursos0 listas de correos0 grupos de Internet0
etc.B
AEstn implantadas !uenas prcticas de codificacin .ue contemplen tratamiento de
errores0 caducidad de sesiones " condiciones e;cepcionalesB
A3e re$isa la seguridad de los dise4os " los programas adecuadamente antes de ser
pro!adosB
AInclu"en las prue!as aspectos de seguridadB
oft&are antivirus:
7na organi'acin .ue se tome la seguridad seriamente tendr polticas de escaneo de
$irus.
/as polticas asegurarn .ue todos los (+s .ue accedan a la red tengan instalado
softHare anti$irus .ue se actuali'a de manera frecuente.
espu-s de una descone;in del escaneado de $irus0 el sistema de!e ser escaneado con
anterioridad a $ol$er a ser conectado a la intranet.
/os ser$idores de fic,eros " ser$idores He!0 de!en tener tam!i-n instalado softHare
anti$irus.
c) Etapa de justificacin:
7na $e' finali'ada la etapa anterior0 el auditor informtico se centrar en ela!orar un
documento .ue es fundamental para la apro!acin del pro"ecto.
El documento contiene tres partes .ue contemplan1 las reas .ue se auditarn ?matri' de
riesgo)0 el tiempo sugerido para ,acerlo ?plan de auditora informtica) " el $isto !ueno
?compromiso e#ecuti$o).
Matri' de riesgo1
1%
El o!#eti$o principal es detectar las reas de ma"or peligro en relacin con informtica "
.ue re.uieren una re$isin formal " oportuna. E#emplos de las reas suscepti!les a
auditar1
= 8dministracin de informtica ?misin0 organi'acin0 ser$icios0 etc.)
= 7suarios de informtica ?comunicacin e integracin0 pro"ectos con#untos)
= 3istemas de informacin ?planeacin0 desarrollo0 operacin)
= Mantenimiento ?,ardHare0 softHare0 telecomunicaciones)
= >edes locales ?administracin0 instalacin0 operacinN seguridad)
= 3oftHare ?administracin " legali'acin de lengua#es de programacin0 sistemas
operati$os)
= 3eguridad ?,ardHare0 softHareN aplicaciones)
= In$estigacin tecnolgica ?metodologas0 t-cnicas0 ,erramientas0 capacitacin)
(rocedimiento de anlisis " ela!oracin de la matri'1
Es importante identificar el ni$el de riesgo de cada uno de los elementos en el negocio a
tra$-s del diagnstico de la situacin actual de informtica. /as reas .ue se $an a
diagnosticar pueden $ariar seg:n el tama4o " estructura del negocio.
El auditor de!e utili'ar los elementos de medicin " e$aluacin posi!les sin caer en un
anlisis detallado0 "a .ue solo se trata de detectar la pro!lemtica principal de cada rea.
3i se producen dificultades de considera!le importancia de alg:n elemento e$aluado0 se
de!en tomar acciones inmediatas para eliminar o minimi'ar el pro!lema.
9am!i-n ,a" .ue determinar el ni$el de riesgo .ue e;iste en cada rea de la funcin de
informtica0 "a .ue son suscepti!les a una e$aluacin " control para asegurar .ue se
desarrolle de acuerdo con los estndares0 polticas " procedimientos .ue se le asignaron
seg:n su funcin.
(lan de auditora informtica1
7na $e' ela!oradas0 re$isadas " documentadas la matri' de riesgos0 se procede a la
formulacin del plan general de informtica0 .ue consiste en plantear las tareas ms
importantes .ue se e#ecutarn durante cierto perodo al efectuar la auditora.
Este plan se deri$a de los siguientes elementos1 Freas de oportunidad0 matri' de riesgos
" las prioridades de la alta direccin0 de auditora " de informtica.
El lder del pro"ecto de!e1
11
= Estimar el tiempo necesario para auditar cada rea determinada en la matri' de
riesgo
= 8nali'ar " definir los aspectos ms rele$antes .ue se e$aluarn
= 8signar prioridades a cada rea por re$isar o e$aluar
= Esta!lecer fec,as estimadas de inicio " terminacin por rea de re$isin
= Esta!lecer fec,as de re$isin formales e informales
= efinir responsa!les directos por etapas de pro"ecto
El plan detallado se lle$a a ca!o0 posteriormente0 en la etapa de adecuacin.
+ompromiso e#ecuti$o
Es la ultima tarea de esta etapa " su o!#eti$o principal es o!tener el $isto !ueno
?apro!acin) inicial de la alta direccin " dems responsa!les para continuar con el
pro"ecto de auditora.
d) Etapa de adecuacin:
Esta etapa es un con#unto de tareas estructuradas para .ue el pro"ecto de auditora
informtica se adapte a las necesidades de la empresa estudiada0 pero sin ol$idar la
referencia de los estndares0 polticas " procedimientos de auditora .ue siempre son
aceptados " recomendados por las asociaciones relacionadas con el proceso.
8 continuacin se mencionan los elementos .ue se de!en contemplar antes de iniciar
formalmente la re$isin de las reas apro!adas en la etapa anterior.
E!#eti$os " re.uerimientos de -;ito por cada rea .ue se auditar1
/uego de terminar las etapas preliminares " de #ustificacin0 el auditor podr definir
me#or los o!#eti$os " re.uerimientos particulares0 tomando como referencia la matri' de
riesgo0 con el o!#eti$o de concluir e;itosamente la re$isin de las reas mencionadas en
el plan de auditora informtica.
3a!iendo .ue en el pro"ecto0 a medida .ue a$an'a surgen cancelaciones0 prioridades0
re.uerimientos0 e;pectati$as0 nue$os in$olucrados0 etc. el auditor se encuentra o!ligado
a actuali'ar el plan de tra!a#o " detallar fec,as0 tiempos0 resultados esperados0 funciones
" responsa!ilidades0 as como estimar gastos " el numero de personas de las reas
usuarias " de informtica .ue participarn en el pro"ecto.
8s0 "a es posi!le estimar0 con !astante precisin0 los aspectos o componentes .ue se
de!en e$aluar por cada rea de informtica durante el desarrollo de la etapa de
adecuacin.
(lan detallado del pro"ecto de auditora informtica
12
Es una de las tareas ms importantes de la etapa de adecuacin0 "a .ue en ella se define
cada detalle de los elementos del pro"ecto< se especifican las tareas0 productos
terminados0 responsa!les0 fec,as0 etc.0 .ue sern $alidados " apro!ados en la etapa de
formali'acin para arrancar el pro"ecto.
5a" dos tipos de planes detallados con orientacin diferente " o!#eti$o com:n1
= (lan interno1 /e corresponde al lder de pro"ecto " su propsito es ,acer un
seguimiento interno a las tareas " responsa!ilidades de los auditores en
informtica.
= (lan detallado de auditoria en informtica1 3e especifica el detalle emanado del
plan general de auditora informtica definido en la fase de #ustificacin.
/os datos mencionados en este plan pretenden ser gua del pro"ecto de auditora desde
el punto de $ista del cliente0 "a .ue descri!en tareas0 productos terminados0
responsa!les0 in$olucrados0 fec,as de re$isin0 etc.
efinicin de t-cnicas " ,erramientas
Esta es una parte mu" importante para el !uen desempe4o de la auditora informtica
.ue consiste en definir las t-cnicas " ,erramientas fundamentales para re$isar
eficientemente cada rea seleccionada.

7n claro e#emplo son los softHare .ue inclu"en un con#unto de t-cnicas como anlisis0
documentacin0 muestreo0 etc.0 resultan elementos indispensa!les para asegurar la
calidad " confia!ilidad de la auditora.
/a e;periencia profesional .ue se ,a"a o!tenido en cada una de las reas ?desarrollo0
telecomunicaciones0 mantenimiento0 !ase de datos0 seguridad0 etc.) ,ace ms $ia!le la
auditora como la definicin de soluciones.
8decuacin a la alta poltica de empresa
9odas las tareas reali'adas por la auditora informtica de!en cumplir con los
estndares0 polticas " procedimientos esta!lecidos por las asociaciones profesionales
relati$as a la misma< tam!i-n se cumplirn con los de las empresas donde se preste el
ser$icio durante la gestin de auditoria.
ic,as asociaciones integradas por profesionales de gran e;periencia " conocimiento en
el campo .ue se enfocan a esta!lecer0 formali'ar0 difundir " recomendar la aplicacin de
los estndares0 polticas " procedimientos ms con$enientes a las necesidades actuales "
futuras del rea de especiali'acin a la .ue se dedican.
efinido " detallado el plan0 el auditor proceder con o!#eti$idad " disciplina a
esta!lecer referencias cru'adas entre los estndares0 polticas " procedimientos
generalmente aceptados " cada uno de los componentes de informtica .ue se auditarn.
Ela!oracin de cuestionarios
13
7n con#unto de cuestionarios particulares complementan el tra!a#o del auditor durante
el desarrollo de su e$aluacin< de los mismos deri$an entre$istas0 $isitas a los centros de
cmputo o departamentos usuarios.
/os cuestionarios representan una ,erramienta de gran $alor para el auditor informtico<
se estructuran de manera .ue funcionan como gua para $erificar la confia!ilidad de la
informacin del personal entre$istado< adems0 permiten perci!ir el grado de
cumplimiento de estndares0 polticas " procedimientos .ue generalmente son
aceptados.
e) Etapa de formali'acin:
/as etapas anteriores !rindan en con#unto0 al auditor0 un panorama de la situacin de la
empresa " de la funcin de informtica< en ellas se detectaron las de!ilidades "
fortale'as ms rele$antes0 tam!i-n se defini la planeacin " pro"eccin de las reas
.ue re.uieren ser auditadas0 " se documentaron las adecuaciones.
En esta etapa corresponde a la alta direccin dar su apro!acin " apo"o formal para el
desarrollo del pro"ecto de auditora ?presentado por el lder de pro"ectos " el
responsa!le de auditora informtica)0 de manera tal .ue0 su funcin es #ustificar el
desarrollo del pro"ecto !asndose en lo .ue se ,i'o en las etapas anteriores.
1) @erificacin de prioridades0 restricciones " alcance del pro"ecto1
/a $erificacin0 $alidacin0 clasificacin " documentacin de las prioridades0
restricciones " alcances del pro"ecto tienen un alto $alor para el auditor informtico0 "a
.ue mediante su reali'acin se clarifica el rum!o0 lmites " co!ertura .ue tendr el
pro"ecto.
Es recomenda!le .ue el auditor documente lo e;puesto en las reuniones o entre$istas0
donde se mencionen los puntos tratados " las conclusiones. L para .ue tenga mas
$alide' el documento0 se necesita las firmas de conformidad de cada participante.
(rioridades1 3on las acciones .ue de!en lle$arse a ca!o antes .ue las dems sugeridas
para el pro"ecto. (or e#emplo0 la urgencia de me#orar alg:n ,ec,o .ue per#udica en alto
grado al negocio.
>estricciones1 3on los ,ec,o o circunstancias .ue no se identifican con facilidad " .ue
ocurren o pueden ocurrir durante el transcurso de la auditora " .ue afectan directa o
indirectamente al pro"ecto. Deneralmente son limitaciones o carencias .ue no se
podran resol$er de inmediato o a lo largo del pro"ecto0 por e#emplo el !a#o presupuesto
para asignar recursos al pro"ecto.
8lcance1 8.u se aclara .ue se reali'ar en el pro"ecto ?tareas0 etapas) " los resultados
?productos terminados). /o .ue no se mencione a.u no se o!tendr durante el pro"ecto.
2) (resentacin formal del plan de auditora informtica1
1&
Esta tarea es la ms importante para el lder del pro"ecto " el responsa!le de la auditora
informtica0 "a .ue se #ustificara la continuidad del proceso. /as acti$idades
fundamentales del responsa!le de esta tarea son1
= 8segurarse de contar con toda la informacin resumida " presenta!le0 "a .ue su
principal audiencia ser la alta direccin.
= >e$isarla " $erificarla con este :ltimo.
= +oncertar en una cita en una fec,a " lugar apropiados.
= 3er fluido0 claro " contundente en la presentacin.
= 8segurar el entendimiento de la audiencia de los datos presentados.
3) 8pro!acin formal del pro"ecto1
Esta no es una tarea .ue demande muc,o tiempo a pesar de ser una de las ms
importantes0 "a .ue en ella surge la apro!acin formal del pro"ecto de auditora.
ado el $isto !ueno de los in$olucrados0 la responsa!ilidad de la funcin de auditora
informtica es mas clara " e$idente.
&) +ompromiso e#ecuti$o1
7na $e' terminada la tarea anterior0 el siguiente paso es lograr .ue la alta direccin0 los
usuarios cla$e0 el responsa!le de informtica " el de la auditora se comprometan a lo
largo del pro"ecto0 desde ese momento ,asta el desarrollo e implantacin de las
acciones recomendadas por auditora informtica en su informe final.
f) Etapa de desarrollo e implantacin:
En esta etapa0 el auditor informtico $a a e#ercer su funcin de manera prctica0 es decir0
comien'a a e#ecutar sus tareas con profesionalismo0 -tica personal " aplicando sus
conocimientos " e;periencias0 de acuerdo con el plan apro!ado en la etapa anterior< con
el fin de o!tener un producto final de calidad " !eneficios tangi!les para el negocio.
+omprende los siguientes puntos1
= +oncertacin de fec,as1
2ec,as de entre$istas0 de $isitas " de aplicacin de cuestionarios. /a accin es
inmediata " ,a" .ue corro!orar las fec,as apro!adas o actuali'adas. /as $isitas se
reali'an con el o!#eti$o de $alidar el uso de polticas " procedimientos de seguridad "
control0 como el registro de acceso a centros de cmputo " reas en donde e;iste
documentacin o tecnologa importante para el negocio.
3e solicita al responsa!le de informtica una lista con los nom!res0 puestos "
departamentos del personal de informtica " de las reas usuarias in$olucradas en el
pro"ecto.
15
= @erificacin de las tareas " productos in$olucrados1
El personal in$olucrado tam!i-n de!e ser re$isado al igual .ue tareas " productos. 3e
$erifica si la tarea anterior alter el orden de las acciones mencionadas en el plan
detallado0 " ,a" .ue asegurar .ue los cam!ios sean mnimos " de !a#o impacto en el
plan. 9am!i-n se tienen .ue documentar los cam!ios necesarios " #ustificados.
= +lasificar t-cnicas " ,erramientas1
@erificar la lista de m-todos0 t-cnicas " ,erramientas sugeridas por el rea auditada0
#unto con los cuestionarios sugeridos con el o!#eti$o de asegurar .ue sean los re.ueridos
para cada rea .ue se auditar. 8ctuali'ar cuestionarios slo si es necesario0 " ela!orar
la entre$ista con !ase en la e;periencia0 cuestionarios " necesidades del pro"ecto.
= >eali'acin de entre$istas " cuestionarios1
Efectuar cada una de las entre$istas en las fec,as " ,oras planeadas " aplicar cada uno
de los cuestionarios en las fec,as planeadas. ?siempre ,a" .ue documentar todo los
,ec,os). E!tener apo"o re.uerido ?reportes0 copias0 documentos fuente0 entre otros).
>egistrar entre$istas " cuestionarios pendientes.
= Efectuar $isitas para la $erificacin1
5acer $isitas a centros de cmputo o a los usuarios de informtica. 6otificar la $isita a
los representantes de dic,o departamento. >egistrar la informacin ms rele$ante "
o!tener el soporte re.uerido. >egistrar $isitas pendientes.
= Ela!oracin de informes preliminares1
(or lo general son de largo pla'o " su informacin es sacada detalladamente de las
$isitas reali'adas0 comentarios documentados " pre$iamente anali'ados. /uego se
ela!ora o!ser$aciones " conclusiones de cada uno de los componentes " reas auditadas
" llenar la ,o#a de resumen de o!ser$aciones " recomendaciones de la auditora
informtica.
= >e$isin de estos informes1
3e tiene .ue $erificar detalladamente cada rea comprendida con la a"uda de !orradores
re$isados. 8segurarse de registrar por escrito el soporte re.uerido para $alidar cada una
de las o!ser$aciones ?copias de reporte0 documentos fuente0 etc.). L por :ltimo0
concertar citas con el responsa!le de informtica " los usuarios para sacar conclusiones.
= +lasificacin " documentacin de los informes0 para su correcta lectura1
>egistrar de manera formal cada o!ser$acin0 conclusin " recomendacin sugerida0
re$isada " apro!ada " luego clasificar la informacin por componente de rea auditada.
= 2inali'acin de tareas o productos pendientes1
1G
3e anali'ar la informacin emanada de cada entre$ista0 $isita o cuestionario0 " luego se
de!er actuali'ar0 documentar " clasificar el informe de la auditora.
= Ela!oracin del informe final de la auditora informtica1
Ela!orar un informe orientado a la alta direccin " otro mas detallado ?.ue contenga
antecedentes0 o!ser$aciones0 recomendaciones0 etc.) para el responsa!le de informtica
" los usuarios cla$e.
= (resentacin a la alta direccin e in$olucrados cla$e1
3e de!e $erificar .ue los informes sean claros0 completos " congruentes entre s.
+ompro!ar .ue se encuentre con el soporte documentado de lo mencionado en los
informes " formali'ar la fec,a de la presentacin de informes a la alta direccin.
= 8pro!acin del pro"ecto " compromiso e#ecuti$o1
3e o!tiene la apro!acin " el compromiso formal de la alta direccin para luego
ela!orar un plan de implantacin general de acciones sugeridas " clasificadas por pla'os
sugeridos. /uego se presenta el costo !eneficio del plan a seguir. L por :ltimo se delega
a informtica " las reas usuarias la implantacin de las acciones recomendadas.
En este momento nos encontramos en la etapa media del proceso de la auditora.
/a etapa de formali'acin "a se encuentra determinada0 " la etapa de desarrollo se
encuentra en e#ecucin0 para pasar luego a la etapa de implantacin.
Esta es la ms importante para los in$olucrados en el pro"ecto de auditora informtica0
"a .ue termina la tarea de los auditores " comien'a para los responsa!les de las reas
usuarias " de informtica. Ellos e#ecutaran las acciones recomendadas en los informes
detallados " apro!ados por la alta direccin. /a funcin del auditor se con$ierte as en
una la!or de seguimiento " apo"o.
/os elementos cla$e de la etapa de implantacin son1
= efinicin de re.uerimientos para el -;ito de la etapa de implantacin ?la e#ecuta el
responsa!le de informtica)1
3e anali'an algunos aspectos ?recursos ,umano0 materiales tecnolgicos0 in$ersiones0
etc.) .ue se necesitan para e#ecutar las acciones recomendadas en los pla'os acordados
anteriormente.
= esarrollo del plan ?tam!i-n a cargo del responsa!le de informtica)1
3e documentan dic,os re.uerimientos "0 de ser necesario0 solicitar la apro!acin de la
alta direccin.
= Implantacin de las acciones sugeridas por auditoria en informtica ?responsa!le de
inf.)1
1I
= (rimero ,a" .ue $erificar .ue se cuente con los recursos estimados en la
tarea anterior.
= +onsultar los informes para $erificar acciones " tiempos de terminacin
= Ela!orar un plan de implantacin .ue tenga1
9areas.
(roductos terminados
>esponsa!les e in$olucrados
2ec,as de inicio " t-rmino
2ec,as de re$isin
= @erificar tareas0 productos terminados0 etc. del plan de implantacin
= E#ecutar cada una de las tareas
= 3eguimiento a la implantacin ?esta tarea le corresponde al auditor informtico)1
9iene .ue solicitar el plan de implantacin para re$isar su congruencia con los informes
de la auditora informtica. /uego0 compro!ar el cumplimiento formal de las tareas en
los tiempos " formas .ue considere con$enientes para asegurar resultados. ocumentar
de!ilidades " anomalas rele$antes. L por ultimo0 sugerir acciones para el cumplimiento
oportuno de la implantacin al ni$el .ue se considere pertinente.
g) !resentacin del informe final:
/a funcin de la auditora se materiali'a e;clusi$amente por escrito. (or lo tanto la
ela!oracin del informe final es el e;ponente de su calidad. >esulta e$idente la
necesidad de redactar !orradores e informes parciales pre$ios al informe final0 los .ue
son elementos de contraste entre opinin entre auditor " auditado " .ue pueden
descu!rir fallos de apreciacin en el auditor.
Estructura del informe final
El informe comien'a con la fec,a de comien'o de la auditora " la fec,a de redaccin
del mismo. 3e inclu"en los nom!res del e.uipo auditor " los nom!res de todas las
personas entre$istadas0 con indicacin de la #efatura0 responsa!ilidad " puesto de tra!a#o
.ue ostente.
3e incorporarn los informes parciales .ue ,a"an sido entregados.
8 continuacin se especificar el m!ito " o!#eti$os de la auditora.
3e relacionarn una por una las reas anali'adas1 su situacin0 sus de!ilidades0 las
amena'as .ue implican " sus oportunidades.
2inalmente se relacionan las recomendaciones0 su plan de implantacin0 seguimiento "
control.
18
El informe tiene especial importancia por.ue en -l ,a de resumirse la auditora
reali'ada. 3e destina e;clusi$amente al responsa!le m;imo de la empresa0 o a la
persona concreta .ue encargo o contrato la auditora. 8s como pueden e;istir tantas
copias del informe final como solicite el cliente0 la auditora no ,ar copias del citado
informe.
(ibliografa
De Pablos, C., Izquierdo, V. Direccin y gestin de los sistemas de informacin en la empresa
!IC ditorial "##$
Piattini %., Del Peso, . &uditor'a Inform(tica. )n nfoque Pr(ctico. *&%& $++,.
%art'n, &., de -uinto, .. %anual de seguridad en Internet. !oluciones t/cnicas y 0ur'dicas.
.undacin una 1alicia moderna. I1&P "##2
Oo,nston0 M J5oH to (erform a 3ecurit" 8uditK InformI9. (earson Education 2%%5
1*

Practica

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Practica

Cargado por

Copyright:

Formatos disponibles

Metodologa para la Auditora Informtica de la Seguridad de la Intranet de un Sistema

También podría gustarte