Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Los elementos comunes, que se deben comprender para para poder entender y valorar en su
integridad el concepto de riesgo son:
Activo: Son recursos del sistema de informacin o relacionados con ste, necesarios para
que la Organizacin funcione correctamente y alcance los objetivos propuestos por su
direccin.
Amenaza: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o catstrofe,
que pueden desencadenar un incidente en la Organizacin, produciendo daos materiales o
prdidas inmateriales en sus activos.
Ejemplos: inundacin, incendio, robo de datos, sabotaje, agujeros publicados, falta de
procedimientos de emergencia, divulgacin de datos, implicaciones con la ley, aplicaciones
mal diseadas, gastos incontrolados, etc.
Vulnerabilidad: La situacin creada, por la falta de uno o varios controles, con la que la
amenaza pudiera acaecer y as afectar al entorno informtico.
Ejemplos: falta de control de acceso lgico, falta de control de versiones, inexistencia de
un control de soportes magnticos, falta de separacin de entornos en e l sistema, falta de
cifrado en las telecomunicaciones, etc.
Exposicin o impacto: La evaluacin del efecto del riesgo.
Ejemplo: es frecuente evaluar el impacto en trminos econmicos, aunque no siempre lo
es, como vidas humanas, imagen de la empresa, honor, defensa nacional, etc.
Riesgo: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
Ejemplo: los datos estadsticos de cada evento de una base de datos de incidentes.
En la norma ISO 27002 [ISO/IEC 05], se define el anlisis de riesgos como: Proceso mediante
el cual se identifican las amenazas y las vulnerabilidades en una organizacin, se valora su
impacto y la probabilidad de que ocurran.
Las amenazas reales se presentan de forma compleja y son difciles de predecir.
Ejemplo: por varias causas se rompen las dos entradas de agua, inundan las lneas telefnicas
(pues existe un poro en el cable), hay un cortocircuito y se quema el transformador de la central
local. En estos casos la probabilidad resultante es muy difcil de calcular.
Todos los riesgos que se presentan podemos:
EVITARLOS (por ejemplo: no construir un centro donde hay peligro constante de
inundaciones).
TRANSFERIRLOS (por ejemplo: uso de un centro de clculo contratado).
REDUCIRLOS (por ejemplo: sistema de deteccin y extincin de incendios).
ASUMIRLOS- Que es lo que se hace si no se controla el riesgo en absoluto.
Para los tres primeros, se acta si se establecen controles o contramedidas. Todas las
metodologas existentes en seguridad de sistemas van encaminada' a establecer y mejorar un
entramado de contramedidas que garanticen que la probabilidad de que las amenazas se
materialicen en hechos (por falta de control) sea lo ms baja posible o al menos quede reducida
de una forma razonable en costo-beneficio.
Metodologas de anlisis de riesgos
Estn desarrolladas para la identificacin de la falta de controles y el establecimiento de un plan
de contramedidas. Existen dos tipos:
Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin
del trabajo.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de
trabajo, para seleccionar en base a la experiencia acumulada.
Cuestionario
Etapa 1
Etapa 2
Calcular el impacto
Etapa 3
Identificar las
contramedidas y el coste
Etapa 4
Simulaciones
Etapa 5
Creacin de los
informes
Etapa 6
Para la ejecucin de una auditora, el auditor jefe de equipo, mediante oficio notificar el inicio
del examen a los principales funcionarios vinculados con las operaciones a ser examinadas de
conformidad con el objetivo y alcance de la auditora. En el caso de servidores que se
encuentren desempeando funciones, proceder de conformidad al Reglamento de
Responsabilidades y cuando el servidor respectivo haya renunciado o salido de su cargo, se
citar el artculo pertinente de la ley.
VISITA PRELIMINAR
Consiste en realizar una visita preliminar al rea de informtica que ser auditada, luego de
conocer el origen de la peticin de realizar la auditoria y antes de iniciarla formalmente; el
propsito es el de tener un primer contacto con el personal asignado a dicha rea, conocer la
distribucin de los sistemas y donde se localizan los servidores y equipos terminales en el centro
de cmputo, sus caractersticas, las medidas de seguridad y otros aspectos sobre que
problemticas que se presentan en el rea auditada.
La visita inicial para el arranque de la auditoria cuya finalidad es saber:
Cmo se encuentran distribuidos los equipos en el rea?,
Cuntos, cules, cmo y de qu tipo son los servidores y terminales que existen en el
rea?,
Qu caractersticas generales de los sistemas que sern auditados?,
Qu tipo de instalaciones y conexiones fsicas existen en el rea?,
Cul es la reaccin del personal frente al auditor?,
Cules son las medidas de seguridad fsica existentes en el rea?, y
Qu limitaciones se observan para realizar la auditoria?.
Con esta informacin el auditor podr disear las medidas necesarias para una adecuada
planeacin de la auditoria y establecer algunas acciones concretas que le ayuden al desarrollo de
la evaluacin, como:
Contacto inicial
con funcionarios
y empleados del
rea
Identificacin
preliminar de la
problemtica de
sistemas
Calcular los
recursos y
personas
necesarias para
la auditora
Elaboracin
de los
cuestionarios
Solicitud de
manuales y
documentaciones
PAPELES DE TRABAJO
Recopilacin
de la
informacin
ELABORADO POR:
FECHA:
SUPERVISADO POR:
FECHA:
PROGRAMA DE AUDITORIA
COOPERATIVA DE TRANSPORTE
DE PASAJERON EN TAXIS
SERVITAXI N 04
PROGRAMA DE AUDITORIA
DEL 1 DE ENERO AL 31 DE DICIEMBRE DEL 2014
ACTIVIDADES A REALIZARSE
REF
ELABORADO
POR:
OBSERVACIONES
AREA:
RESPONSABLE
FECHA:
OBJETIVO:
COMENTARIOS.
ELABORADO POR:
FECHA:
SUPERVISADO POR:
FECHA:
CUESTIONARIO
COOPERATIVA DE TRANSPORTE
DE PASAJERON EN TAXIS
SERVITAXI N 04
CUESTIONARIO
DEL 1 DE ENERO AL 31 DE DICIEMBRE DEL 2014
RESPUESTA
N.
PUNTAJE
PREGUNTAS
OBERVACIONES
SI
NO
OPTIMO
OBTENIDO
ELABORADO POR:
FECHA:
SUPERVISADO POR:
FECHA:
CONCLUSIN:
En resumen la metodologa que utilice el auditor depender de los niveles profesionales y de su
visin de cmo conseguir un mejor resultado en el nivel de control para reducir los riesgos a un
nivel aceptable, tambin en el proceso de auditora en la primera fase nos encontramos con la
visita preliminar o previa la cual nos ayudar a conseguir archivos, documentos e informacin
que sern nuestras herramientas para el proceso de auditora, en base a esos se podr conseguir
mejores resultados, debemos recordar que el auditor debe tener una actitud vigilante, una aptitud
positiva y una formacin continua, para innovar sus conocimientos en este mundo globalizado y
cambiante.
BIBLIOGRAFA:
http://e-archivo.uc3m.es/handle/10016/16802#preview
http://www.contraloria.gob.ec/documentos/normatividad/NAFG-Cap-V.pdf
http://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG
%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y
%20tramite%20informes.pdf