Auditora Informtica

Metodologas
Generalidades
Seguridad Informtica. Doctrina que trata de riesgos
informticos o creados por la informtica, entonces la
auditora es una de sus figuras involucradas en este
proceso de proteccin y preservacin de la informacin y
de sus medios de proceso.
Contramedidas
Herramientas
Tecnologa de Seguridad
Procedimientos de Control
Objetivos de Control
Metodologias
Organizacin
(Personas)
Normas
Estndares
Polticas
Funciones
Procedimientos
Planes
Informtica
Usuarios
Hardware Software
Conceptos
Metodologas. Necesarias para realizar cualquier proyecto
que nos propongamos de manera ordenada y eficaz.

Objetivos de Control. Objetivos a cumplir en el control de
los procesos.

Procedimientos de Control. Procedimientos operativos de
las distintas reas de la empresa, obtenidos con una
metodologa apropiada, para la consecucin de uno o
varios objetivos de control y por tanto debe estar
documentado.
Conceptos
Tecnologa de Seguridad. Elementos de hardware o
software que ayudan a controlar un riesgo informtico.

Herramientas de control. Elementos software que
permiten definir uno o varios procedimientos de control,
para cumplir una normatividad y un objeto de control.
Organizacin de la Seguridad
Seguridad Corporativa
Control Interno
Dpto. Informatico
Dpto. Usuarios
Direccion de Plan de Seguridad
Comit de Seguridad de la Informacin
Control Informtico Auditora Informtica
Responsable de Fichero
Controles Generales Informaticos
Plan Auditor
Dictamenes
Conceptos
Amenaza. Posible fuente de peligro o catstrofe.

Vulnerabilidad. Situacin creada por la falta de uno o
varios controles, con la que una amenaza pudiera acaecer
y as afectar al entorno informtico.

Riesgo. Posibilidad de que una amenaza llegue a acaecer
por la existencia de una vulnerabilidad.

Exposicin o Impacto. Evaluacin del efecto del riesgo.
Riesgo
Evitarlo.
Trasferirlo.
Reducirlo.
Asumirlo.
Tipos de Metodologas
Cuantitativas. Basadas en un modelo matemtico que
ayuda a la realizacin del trabajo.

Cualitativas. Basadas en el criterio y raciocinio humano
capaz de definir un proceso de trabajo y seleccionar en
base a la experiencia acumulada.
Fase Metodologicas
Check-List
- Amenazas
- Vulnerabilidades
Toma de
datos
Identificacin
Debilidades
Analisis del Impacto y riesgo
Definicin de contramedidas
Valoracin de contramedidas
Realizacin del Plan de Acciones y Proyectos
Informe Final
- Ponderacin
- Valoracin econmica
- Prioridad
- Duracin
- Costo Econmico
- Dificultad
- Debilidades
- Riesgos
- Plan de Acciones
- Plan el Proyectos
Tipos de Metodologas - Pros
Cuantitativa Cualitativa
Enfoca pensamientos mediante
el uso de nmeros.

Facilita la comparacin de
vulnerabilidades muy distintas.

Proporciona una cifra
justificante para cada
contramedida.
Enfoque lo amplio que se desee.


Plan de trabajo flexible y
reactivo.


Se concentra en la identificacin
de eventos.
Incluye factores intangibles.
Tipos de Metodologas - Contra
Cuantitativa Cualitativa
Estimacin de probabilidad de
estadsticas fiables inexistentes.

Estimacin de las perdidas
potenciales solo si son valores
cuantificables.

Metodologas estndares.

Difciles de mantener o
modificar.

Dependencia de un profesional.
Depende fuertemente de la
habilidad y calidad del personal
involucrado.

Pueden excluir riesgos
significantes desconocidos.

Identificacin de eventos reales
mas claros al no tener que
aplicarles probabilidades
complejas de calcular.

Dependencia de un profesional.
Software de Anlisis de Riesgo
Funcionamiento esquematico basico de cualquier
paquete:
Cuestionario
Identificar los riesgos
Calcular el impacto
Identificar las contramedidas y el costo
Simulaciones
Creacin de los Informes
Etapa 1
Etapa 2
Etapa 3
Etapa 4
Etapa 5
Etapa 6
Plan de Contingencias
El plan de contingencias y de recuperacin de negocio es
lo mismo.

Es una estrategia planificada constituida por un conjunto
de recursos de respaldo, una organizacin de
emergencia y unos procedimientos de actuacin,
encaminada a conseguir una restauracin progresiva y
gil de los servicio del negocio afectado por una
paralizacin parcial o total de la capacidad operativa de la
empresa.
Fases de un Plan de Contingencias
Fase I. Anlisis y Diseo. Se estudia la problemtica,
necesidades de recursos, alternativas de respaldo y se
analiza el costo/beneficio de las mismas.
Risck anlisis. Estudio de posibles riesgos desde el punto de vista
de probabilidades.
Identificacin de amenazas
Anlisis de la probabilidad de materializacin de la amenaza.
Seleccin de la amenaza.
Identificacin de entornos amenazados.
Estimacin del impacto econmico por paralizacin de cada servicio.
Seleccin de servicios a cubrir.
Seleccin final del mbito del plan.
Identificacin de alternativas para los entornos
Seleccin de alternativas
Diseo de estrategias de respaldo.
Seleccin de la estrategia de respaldo.
Fases de un Plan de Contingencias
Bussines Impact. Se basa en el estudio del impacto que ocasiona
la falta de algun recurso de los que soporta la actividad del negocio.
Identificacin de servicios finales
Anlisis de impacto. Evaluacin de daos econmicos y de imagen y de otros
aspectos no econmicos.
Seleccin de servicios crticos.
Determinacion de recursos de soporte.
Identificacion de alternativas para entornos.
Seleccin de alternativas
Diseo de estrategias globales de respaldo.
Seleccin de la estrategia global de respaldo.
Fases de un Plan de Contingencias
FASE II. Desarrollo del plan. Se desarrolla estrategia
seleccionada, implantndose hasta el final todas las
acciones previstas.

FASE III. Pruebas y Mantenimiento. Se definen pruebas,
caractersticas, ciclos y se realiza la primera prueba como
comprobacin de todo el trabajo realizado y mentalizar al
personal implicado.
Auditora Informtica
Metodologas de Auditora
Informtica
Generalidades
Auditoras de controles generales como producto
estndar de las compaas auditoras profesionales que son
una homologacin de las mismas a nivel internacional

Metodologa de los auditores internos.
Auditora Informtica
Plan de Auditora
Metodologas de Auditora Informtica
La metodologa usada por el auditor debe ser diseada y
desarrollada por el propio auditor.

Se basa en su grado de experiencia y habilidad.

Se deben crear las metodologas necesarias para auditar
los distintos aspectos definidos en el plan auditor
informtico.
Plan Auditor Informtico
Es el esquema metodolgico ms importante del auditor
informtico.

Describe todo sobre esta funcin y el trabajo que realiza.
Partes de un Plan Auditor Informtico
Las partes que lo componen deben ser al menos las
siguientes:
Objetivos
Funciones
Procedimientos
Tipos de auditoras a realizar
Sistema de evaluacin
Nivel de exposicin
Lista de distribucin de informes
Seguimiento de acciones correctivas
Plan de trabajo
Partes de un Plan Auditor Informtico
Objetivos
En el caso de un proceso, los objetivos especficos deben estar
orientados a detallar que componentes de la materia se auditarn,
agregando adems algn nfasis que se le requiera otorgar.

Partes de un Plan Auditor Informtico
Funciones
Ubicacin en el organigrama.
Deben describirse las funciones en forma precisa y la organizacin
interna del departamento, con todos sus recursos
Partes de un Plan Auditor Informtico
Procedimientos
Para las distintas tareas de las auditoras
Definicin de debilidades, entrega del informe preliminar, cierre de
la auditora, redaccin del informe final, etc.
Partes de un Plan Auditor Informtico
Tipos de Auditora a realizar
Metodologas y cuestionarios de las mismas
Ejemplo: revisin de la seguridad fsica, de controles internos, de la
aplicacin de facturacin, etc.
Existen tres tipos, segn el alcance:
Completa de un rea.
Limitada a un aspecto.
Comprobacin de acciones correctivas de auditoras anteriores.
Partes de un Plan Auditor Informtico
Sistema de Evaluacin y los distintos aspectos que
evala
Se deben definir varios aspectos (gestin econmica, de RH,
cumplimiento de normas)
Se debe realizar una evaluacin global de resumen para toda la
auditora (Bien, Regular, Mal, significando la visin del grado de
gravedad)
La evaluacin determina la fecha de repeticin de la auditora en el
futuro, dependiendo del nivel de exposicin encontrado.

Partes de un Plan Auditor Informtico
Nivel de Exposicin
Nos permite definir la fecha de repeticin de una auditora
dependiendo de la evaluacin final de la ltima realizada
Puede significar la suma de factores como impacto, peso del rea,
situacin de control en el rea
Partes de un Plan Auditor Informtico
Lista de Distribucin de Informes.
Se define la cantidad de informes con el resultado final de la
auditora que se van a distribuir
Partes de un Plan Auditor Informtico
Seguimiento de Acciones Correctivas
Dependiendo de las acciones correctivas sugeridas en el informe
final, se realiza un adecuado seguimiento.

Partes de un Plan Auditor Informtico
Plan de Trabajo
Se estiman tiempos y se realiza un calendario con horas de trabajo
previstas
Se definen los recursos que se necesitarn

Partes de un Plan Auditor Informtico
Sub etapas de la Planificacin:
Comprender los objetivos, validar los recursos asignados y
organizar el inicio del trabajo
Efectuar una investigacin preliminar para conocer o actualizar el
conocimiento de la materia a auditar
Definir el alcance
Documentar el plan de auditora
Partes de un Plan Auditor Informtico
Sub etapas de la Planificacin: Definir los Objetivos
En el caso de un proceso, los objetivos especficos deben estar
orientados a detallar que componentes de la materia se auditarn,
agregando adems algn nfasis que se le requiera otorgar.

Partes de un Plan Auditor Informtico
Sub etapas de la Planificacin: Efectuar una Investigacin
Preliminar
Obtener y/o actualizar informacin relevante (cuantitativa y
cualitativa) que permita al equipo de trabajo conocer las principales
caractersticas de la materia a auditar as como identificar los
asuntos relevantes y significativos del trabajo, enfocndose en
identificar principalmente los riesgos relevantes de la materia y sus
mecanismos de control y monitoreo, evaluar si se justifica o no la
actualizacin de los objetivos especficos del trabajo, y finalmente
determinar las estrategias frente al trabajo.
Partes de un Plan Auditor Informtico
Sub etapas de la Planificacin: Efectuar una Investigacin
Preliminar
Entender o actualizar el conocimiento de la materia a auditar;
estructura organizacional, procesos de negocio, operaciones y
procesos de TI con el propsito de identificar preliminarmente los
riesgos en los que se deber focalizar el trabajo.
Conocer la normativa externa e interna, informacin tcnica,
sistemas operativos, bases de datos, comunicaciones, etc. que
pudiera tener un impacto significativo en la materia a auditar.
Entrevistar al personal clave de TI.
Partes de un Plan Auditor Informtico
Sub etapas de la Planificacin: Definir el alcance
Identificar, definir y documentar los componentes de la materia que
sern sujetos de la auditora y los elementos ms relevantes que
componen la planificacin del trabajo de auditora.
Cabe destacar que cuando la materia a auditar corresponde a un
proceso, este puede estar relacionado a muchos subprocesos,
sistemas, cuentas contables, normas y controles. A todos estos
elementos los denominamos componentes de la materia.
Partes de un Plan Auditor Informtico
Sub etapas de la Planificacin: Documentar el Plan de
Auditora
Elaborar y formalizar el Plan de Auditora con el objeto de asegurar
la comprensin del trabajo a realizar y orientar al equipo de trabajo
para las actividades subsecuentes. El Plan de Auditora se debe
preparar en base al conocimiento adquirido en las sub etapas y
actividades anteriores.
Conclusiones
Las metodologas de auditora informtica son del tipo
cualitativo-subjetivo.

Estn basadas en profesionales de gran nivel de
experiencia y formacin, capaces de dictar
recomendaciones tcnicas, operativas y jurdicas