INTRODUCCIN A LAS METODOLOGIAS

Segn el Diccionario de la lengua de la Real Academia Espaola, mtodo es el "modo de decir

o hacer con orden una cosa". Asimismo define el diccionario la palabra metodologa como
"conjunto de mtodos que se siguen en una investigacin cientfica o en una exposicin
doctrinal". Esto significa que cualquier proceso cientfico debe estar sujeto a una disciplina de
proceso definida con anterioridad que llamaremos METODOLOGA.
(Jos Mara Gonzlez).
Las metodologas usadas por un profesional dicen mucho de su forma de entender su trabajo, y
estn directamente relacionadas con su experiencia profesional acumulada como parte del
comportamiento humano de acierto /error.
Las metodologas.- son necesarias para desarrollar cualquier proyecto que nos propongamos de
manera ordenada y eficaz.

METODOLOGA GENERAL DE AUDITORA INFORMTICA

La auditora informtica como proceso formal, el cual es ejecutado por especialistas del rea de
auditora, es un proceso metodolgico, que tiene el propsito de evaluar los recursos (humanos,
tecnolgicos, materiales, financieros), que estn relacionados con la funcin de informtica,
para garantizar que se opere con criterios de integracin y desempeo altamente satisfactorios y
que tambin apoyen la productividad y la rentabilidad de la organizacin.

METODOLOGIAS DE EVALUACIN DE SISTEMAS

Conceptos fundamentales:
En el mundo de la seguridad de sistemas se utilizan todas las metodologas necesarias para
realizar un plan de seguridad adems de las de auditora informtica.
Las dos metodologas de evaluacin de sistemas por antonomasia son las de ANLISIS DE
RIESGOS y las de AUDITORA INFORMTICA, con dos enfoques distintos. La auditora
informtica slo identifica el nivel de exposicin" por la falta de controles, mientras el anlisis
de riesgos facilita la "evaluacin" de los riesgos y recomienda acciones en base al costobeneficio de las mismas.

Los elementos comunes, que se deben comprender para para poder entender y valorar en su
integridad el concepto de riesgo son:

Figura1: Relacin conceptos riesgo

Activo: Son recursos del sistema de informacin o relacionados con ste, necesarios para
que la Organizacin funcione correctamente y alcance los objetivos propuestos por su
direccin.
Amenaza: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o catstrofe,
que pueden desencadenar un incidente en la Organizacin, produciendo daos materiales o
prdidas inmateriales en sus activos.
Ejemplos: inundacin, incendio, robo de datos, sabotaje, agujeros publicados, falta de
procedimientos de emergencia, divulgacin de datos, implicaciones con la ley, aplicaciones
mal diseadas, gastos incontrolados, etc.
Vulnerabilidad: La situacin creada, por la falta de uno o varios controles, con la que la
amenaza pudiera acaecer y as afectar al entorno informtico.
Ejemplos: falta de control de acceso lgico, falta de control de versiones, inexistencia de
un control de soportes magnticos, falta de separacin de entornos en e l sistema, falta de
cifrado en las telecomunicaciones, etc.
Exposicin o impacto: La evaluacin del efecto del riesgo.
Ejemplo: es frecuente evaluar el impacto en trminos econmicos, aunque no siempre lo
es, como vidas humanas, imagen de la empresa, honor, defensa nacional, etc.
Riesgo: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
Ejemplo: los datos estadsticos de cada evento de una base de datos de incidentes.

En la norma ISO 27002 [ISO/IEC 05], se define el anlisis de riesgos como: Proceso mediante
el cual se identifican las amenazas y las vulnerabilidades en una organizacin, se valora su
impacto y la probabilidad de que ocurran.
Las amenazas reales se presentan de forma compleja y son difciles de predecir.
Ejemplo: por varias causas se rompen las dos entradas de agua, inundan las lneas telefnicas
(pues existe un poro en el cable), hay un cortocircuito y se quema el transformador de la central
local. En estos casos la probabilidad resultante es muy difcil de calcular.
Todos los riesgos que se presentan podemos:
EVITARLOS (por ejemplo: no construir un centro donde hay peligro constante de
inundaciones).
TRANSFERIRLOS (por ejemplo: uso de un centro de clculo contratado).
REDUCIRLOS (por ejemplo: sistema de deteccin y extincin de incendios).
ASUMIRLOS- Que es lo que se hace si no se controla el riesgo en absoluto.
Para los tres primeros, se acta si se establecen controles o contramedidas. Todas las
metodologas existentes en seguridad de sistemas van encaminada' a establecer y mejorar un
entramado de contramedidas que garanticen que la probabilidad de que las amenazas se
materialicen en hechos (por falta de control) sea lo ms baja posible o al menos quede reducida
de una forma razonable en costo-beneficio.
Metodologas de anlisis de riesgos
Estn desarrolladas para la identificacin de la falta de controles y el establecimiento de un plan
de contramedidas. Existen dos tipos:
Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin
del trabajo.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de
trabajo, para seleccionar en base a la experiencia acumulada.

Esquema bsico de una metodologa de anlisis de riesgos:

Cuestionario

Etapa 1

Identificar los riesgos

Etapa 2

Calcular el impacto

Etapa 3

Identificar las
contramedidas y el coste

Etapa 4

Simulaciones

Etapa 5

Creacin de los
informes

Etapa 6

En base a unos cuestionarios se identifican vulnerabilidades y riesgos y se evala el impacto

para ms tarde identificar las contramedidas y el coste. La siguiente etapa es la ms importante,
pues mediante un juego de simulacin (que llamaremos "Qu pasa si...?") analizamos el efecto
de las distintas contramedidas en la disminucin de los riesgos analizados, eligiendo de esta
manera un plan de contramedidas (plan de seguridad) que compondr el informe final de la
evaluacin.

COMUNICACIN AL INICIO DE LA AUDITORA

Para la comunicacin del inicio del examen, en el transcurso del examen y la convocatoria a la
lectura del borrador de informe, se considerarn las disposiciones constantes en el Reglamento
de Delegacin de Firmas de la Contralora General del Estado.

Para la ejecucin de una auditora, el auditor jefe de equipo, mediante oficio notificar el inicio
del examen a los principales funcionarios vinculados con las operaciones a ser examinadas de
conformidad con el objetivo y alcance de la auditora. En el caso de servidores que se
encuentren desempeando funciones, proceder de conformidad al Reglamento de
Responsabilidades y cuando el servidor respectivo haya renunciado o salido de su cargo, se
citar el artculo pertinente de la ley.

Dicha comunicacin se la efectuar en forma individual y de ser necesario, en el domicilio del

interesado, por correo certificado o a travs de la prensa. Para el caso de particulares se les
notificar o requerir informacin de conformidad con las disposiciones legales pertinentes.
La comunicacin inicial, se complementa con las entrevistas a los principales funcionarios de la
entidad auditada, en esta oportunidad a ms de recabar informacin, el auditor puede emitir
criterios y sugerencias preliminares para corregir los problemas que se puedan detectar en el
desarrollo de tales entrevistas.
Ejemplo de: Notificacin de inicio de auditoria o examen especial a los dignatarios, servidores,
ex servidores y dems personas relacionadas con el examen.

VISITA PRELIMINAR
Consiste en realizar una visita preliminar al rea de informtica que ser auditada, luego de
conocer el origen de la peticin de realizar la auditoria y antes de iniciarla formalmente; el
propsito es el de tener un primer contacto con el personal asignado a dicha rea, conocer la
distribucin de los sistemas y donde se localizan los servidores y equipos terminales en el centro
de cmputo, sus caractersticas, las medidas de seguridad y otros aspectos sobre que
problemticas que se presentan en el rea auditada.
La visita inicial para el arranque de la auditoria cuya finalidad es saber:
Cmo se encuentran distribuidos los equipos en el rea?,
Cuntos, cules, cmo y de qu tipo son los servidores y terminales que existen en el

rea?,
Qu caractersticas generales de los sistemas que sern auditados?,
Qu tipo de instalaciones y conexiones fsicas existen en el rea?,
Cul es la reaccin del personal frente al auditor?,
Cules son las medidas de seguridad fsica existentes en el rea?, y
Qu limitaciones se observan para realizar la auditoria?.

Con esta informacin el auditor podr disear las medidas necesarias para una adecuada
planeacin de la auditoria y establecer algunas acciones concretas que le ayuden al desarrollo de
la evaluacin, como:

Contacto inicial
con funcionarios
y empleados del
rea

Identificacin
preliminar de la
problemtica de
sistemas

Calcular los
recursos y
personas
necesarias para
la auditora

El esquema de la visita preliminar se seala las siguientes actividades:

Elaboracin
de los
cuestionarios
Solicitud de
manuales y
documentaciones

PAPELES DE TRABAJO

Recopilacin
de la
informacin

En el argot de auditora se conoce como papeles de trabajo la "totalidad de los documentos

preparados o recibidos por el auditor, de manera que, en conjunto constituyen un compendio de
la informacin utilizada y de las pruebas efectuadas en la ejecucin de su trabajo, junto con las
decisiones que ha debido tomar para llegar a formarse su opinin".
El Informe de Auditora, si se precisa que sea profesional, tiene que estar basado en la
documentacin o papeles de trabajo, como utilidad inmediata, previa supervisin.
La documentacin, adems de fuente de experiencia del Auditor Informtico para trabajos
posteriores as como para poder realizar su gestin interna de calidad, es fuente en algunos
casos en los que la corporacin profesional puede realizar un control de calidad, o hacerlo algn
organismo oficial. Los papeles de trabajo pueden llegar a tener valor en los Tribunales de
justicia.
Ejemplos de papeles de trabajo:
MEMORANDO DE PLANIFICACION
COOPERATIVA DE TRANSPORTE
DE PASAJERON EN TAXIS
SERVITAXI N 04
MEMORANDO DE PLANIFICACION
DEL 1 DE ENERO AL 31 DE DICIEMBRE DEL 2014

ELABORADO POR:

FECHA:

SUPERVISADO POR:

FECHA:

PROGRAMA DE AUDITORIA
COOPERATIVA DE TRANSPORTE
DE PASAJERON EN TAXIS
SERVITAXI N 04
PROGRAMA DE AUDITORIA
DEL 1 DE ENERO AL 31 DE DICIEMBRE DEL 2014

ACTIVIDADES A REALIZARSE

REF

ELABORADO
POR:

OBSERVACIONES

CEDULA NARRATIVA VISITA PRELIMINAR

COOPERATIVA DE TRANSPORTE
DE PASAJERON EN TAXIS
SERVITAXI N 04
CEDULA NARRATIVA
VISITA PRELIMINAR
DEL 1 DE ENERO AL 31 DE DICIEMBRE DEL 2014

AREA:
RESPONSABLE
FECHA:
OBJETIVO:
COMENTARIOS.

ELABORADO POR:

FECHA:

SUPERVISADO POR:

FECHA:

CUESTIONARIO
COOPERATIVA DE TRANSPORTE
DE PASAJERON EN TAXIS
SERVITAXI N 04
CUESTIONARIO
DEL 1 DE ENERO AL 31 DE DICIEMBRE DEL 2014

RESPUESTA
N.

PUNTAJE

PREGUNTAS

OBERVACIONES
SI

NO

OPTIMO

OBTENIDO

ELABORADO POR:

FECHA:

SUPERVISADO POR:

FECHA:

CONCLUSIN:
En resumen la metodologa que utilice el auditor depender de los niveles profesionales y de su
visin de cmo conseguir un mejor resultado en el nivel de control para reducir los riesgos a un
nivel aceptable, tambin en el proceso de auditora en la primera fase nos encontramos con la
visita preliminar o previa la cual nos ayudar a conseguir archivos, documentos e informacin
que sern nuestras herramientas para el proceso de auditora, en base a esos se podr conseguir
mejores resultados, debemos recordar que el auditor debe tener una actitud vigilante, una aptitud
positiva y una formacin continua, para innovar sus conocimientos en este mundo globalizado y
cambiante.

BIBLIOGRAFA:

PIATTINI VELTHUIS, Mario; DEL PESO NAVARRO, Emilio; Auditora Informtica

un enfoque prctico, Editorial RA-MA, 2001.

http://e-archivo.uc3m.es/handle/10016/16802#preview

http://www.contraloria.gob.ec/documentos/normatividad/NAFG-Cap-V.pdf

http://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG
%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y
%20tramite%20informes.pdf