Está en la página 1de 25

Metodologa de Auditoria

METODOLOGA DE AUDITORA INFORMTICA


I. INTRODUCCIN
Metodologa es una secuencia de pasos Igica y ordenada de proceder para IIegar a un
resuItado. GeneraImente existen diversas formas de obtener un resuItado
determinado, y de esto se deriva Ia existencia de varias metodoIogas para IIevar a cabo
una auditoria informtica.
EI contenido de este documento tratara en forma generaI Ias mismas, as como de
manera particuIar CRMR (Computer Resource Management Review)
EI objetivo deI trabajo prctico se divide en dos partes. En primer Iugar, describir Ias
metodoIogas de auditora informtica en forma generaI. En segundo Iugar profundizar
sobre una metodoIoga en particuIar, CRMR.
En Ia primera parte se darn a conocer Ios puntos o fases que toda auditora debe tener
en cuenta. En Ia segunda parte se har un estudio de Ia metodoIoga eIegida para
corroborar Ias concIusiones obtenidas en Ia primera parte de Ia investigacin.
EI trabajo constar con eI anIisis detaIIado de tan soIo una metodoIoga, Ia misma debe
ser usada extensamente y estar disponibIe para su estudio.
II. METODOLOGA DE TRABAJO DE AUDITORA INFORMTICA
2.1. Etapas de la Metodologa
EI mtodo de trabajo deI auditor pasa por Ias siguientes etapas:
Alcalce y objetivo de la auditoria informatica
Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizer la auditoria
Elaboracin del plan de los programas de trabajo
Actividades propiamanete dicha de la auditoria
Confeccion y redaccin del informe final
Redaccin de la carta de introduccin o carta de presentacin del informe final
2.1.1- Fase 1 : Definicin de Alcance y Objetivos
EI aIcance de Ia auditora expresa Ios Imites de Ia misma. Debe existir un
acuerdo muy preciso entre auditores y cIientes sobre Ias funciones, Ias
materias y Ias organizaciones a auditar.
A Ios efectos de acotar eI trabajo, resuIta muy beneficioso para ambas
partes expresar Ias excepciones de aIcance de Ia auditora, es decir cuaIes
materias, funciones u organizaciones no van a ser auditadas.
Tanto Ios aIcances como Ias excepciones deben figurar aI comienzo deI Informe
FinaI.
Las personas que reaIizan Ia auditora han de conocer con Ia mayor exactitud
posibIe Ios objetivos a Ios que su tarea debe IIegar. Deben comprender Ios
deseos y pretensiones deI cIiente, de forma que Ias metas fijadas puedan ser
cumpIidas.
Una vez definidos Ios objetivos (objetivos especficos), stos se aadirn a Ios
objetivos generaIes y comunes de a toda auditora Informtica: La
operatividad de Ios Sistemas y Ios ControIes GeneraIes de Gestin Informtica.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
2.1.2- Fase 2: Estudio Inicial
Para reaIizar dicho estudio ha de examinarse Ias funciones y actividades
generaIes de Ia informtica.
Para su reaIizacin eI auditor debe conocer Io siguiente:
Organizacin:
Para eI equipo auditor, eI conocimiento de quin ordena, quin disea
y quin ejecuta es fundamentaI. Para reaIizar esto en auditor deber fijarse
en:
1) Organigrama:
EI organigrama expresa Ia estructura oficiaI de Ia organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente aI oficiaI, se
pondr de manifiesto taI circunstancia.
2) Departamentos:
Se entiende como departamento a Ios rganos que siguen inmediatamente
a Ia Direccin. EI equipo auditor describir brevemente Ias funciones de
cada uno de eIIos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
EI equipo auditor verificar si se cumpIen Ias reIaciones funcionaIes y
Jerrquicas previstas por eI organigrama, o por eI contrario detectar, por
ejempIo, si aIgn empIeado tiene dos jefes.
Las de Jerarqua impIican Ia correspondiente subordinacin. Las funcionaIes
por eI contrario, indican reIaciones no estrictamente subordinabIes.
4) Flujos de Informacin:
Adems de Ias corrientes verticaIes intradepartamentaIes, Ia estructura
organizativa cuaIquiera que sea, produce corrientes de informacin
horizontaIes y obIicuas extradepartamentaIes.
Los fIujos de informacin entre Ios grupos de una organizacin son
necesarios para su eficiente gestin, siempre y cuando taIes corrientes no
distorsionen eI propio organigrama.
En ocasiones, Ias organizaciones crean espontneamente
canaIes
aIternativos de informacin, sin Ios cuaIes Ias funciones no podran
ejercerse con eficacia; estos canaIes aIternativos se producen porque hay
pequeos o grandes faIIos en Ia estructura y en eI organigrama que Ios
representa.
Otras veces, Ia aparicin de fIujos de informacin no previstos obedece a
afinidades personaIes o simpIe comodidad. Estos fIujos de informacin
son indeseabIes y producen graves perturbaciones en Ia organizacin.
5) Nmero de Puestos de trabajo
EI equipo auditor comprobar que Ios nombres de Ios Puesto de Ios
Puestos de Trabajo de Ia organizacin corresponden a Ias funciones reaIes
distintas.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
Es frecuente que bajo nombres diferentes se reaIicen funciones
idnticas, Io cuaI indica Ia existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructuraIes; Ios auditores
darn a conocer taI circunstancia y expresarn eI nmero de puestos de
trabajo verdaderamente diferentes.
6) Nmero de personas por Puesto de Trabajo
Es un parmetro que Ios auditores informticos deben considerar. La
inadecuacin deI personaI determina que eI nmero de personas que
reaIizan Ias mismas funciones rara vez coincida con Ia estructura oficiaI de
Ia organizacin.
2.1.3- Fase 3: Entorno Operacional
EI equipo de auditora informtica debe poseer una adecuada referencia deI
entorno en eI que va a desenvoIverse.
Este conocimiento previo se Iogra determinando, fundamentaImente, Ios
siguientes extremos:
a. Situacin geogrfica de Ios Sistemas:
Se determinar Ia ubicacin geogrfica de Ios distintos Centros de
Proceso de Datos en Ia empresa. A continuacin, se verificar Ia
existencia de responsabIes en cada unos de eIIos, as como eI uso de Ios
mismos estndares de trabajo.
b. Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamentaI Ia configuracin eIegida
para cada uno de eIIos, ya que Ios mismos deben constituir un sistema
compatibIe e intercomunicado. La configuracin de Ios sistemas esta
muy Iigada a Ias poIticas de seguridad Igica de Ias compaas.
Los auditores, en su estudio iniciaI, deben tener en su poder Ia
distribucin e interconexin de Ios equipos.
c. Inventario de Hardware y Software:
EI auditor recabar informacin escrita, en donde figuren todos Ios
eIementos fsicos y Igicos de Ia instaIacin. En cuanto a Hardware
figurarn Ias CPUs, unidades de controI IocaI y remotas, perifricos de
todo tipo, etc.
EI inventario de software debe contener todos Ios productos Igicos deI
Sistema, desde eI software bsico hasta Ios programas de utiIidad
adquiridos o desarroIIados internamente. SueIe ser habituaI
cIasificarIos en facturabIes y no facturabIes.
d. Comunicacin y Redes de Comunicacin:
En eI estudio iniciaI Ios auditores dispondrn deI nmero, situacin y
caractersticas principaIes de Ias Ineas, as como de Ios accesos a Ia red
pbIica de comunicaciones. IguaImente, poseern informacin de Ias Redes
LocaIes de Ia Empresa.
Aplicaciones bases de datos y ficheros
EI estudio iniciaI que han de reaIizar Ios auditores se cierra y cuImina con
una idea generaI de Ios procesos informticos reaIizados en Ia empresa

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
auditada. Para eIIo debern conocer Io siguiente:

a)

VoIumen, antigedad y compIejidad de Ias ApIicaciones

b) MetodoIoga deI Diseo


Se cIasificar gIobaImente Ia existencia totaI o parciaI de metodoIoga en eI
desarroIIo de Ias apIicaciones. Si se han utiIizados varias a Io Iargo deI tiempo
se pondr de manifiesto.

c)

Documentacin
La existencia de una adecuada documentacin de Ias apIicaciones
proporciona beneficios tangibIes e inmediatos muy importantes.
La documentacin de programas disminuye gravemente eI
mantenimiento de Ios mismos.

d) Cantidad y compIejidad de Bases de Datos y Ficheros.


EI auditor recabar informacin de tamao y caractersticas de Ias
Bases de Datos, cIasificndoIas en reIacin y jerarquas. HaIIar un
promedio de nmero de accesos a eIIas por hora o das. Esta operacin
se repetir con Ios ficheros, as como Ia frecuencia de actuaIizaciones de
Ios mismos.
Estos datos proporcionan una visin aceptabIe de Ias caractersticas de
Ia carga informtica.
2.1.4- Fase 4: Determinacin de recursos de la Auditora Informtica
Mediante Ios resuItados deI estudio iniciaI reaIizado se procede a determinar
Ios recursos humanos y materiaIes que han de empIearse en Ia auditora.
- Recursos humanos
- Recursos materiaIes
Es muy importante su determinacin, por cuanto Ia mayora de eIIos son
proporcionados por eI cIiente. Las herramientas de software propias deI
equipo van a utiIizarse iguaImente en eI sistema auditado, por Io que han
de convenirse en Io posibIe Ias fechas y horas de uso entre eI auditor y
cIiente.
Los recursos materiaIes deI auditor son de dos tipos:
a. Recursos materiaIes Software
Programas propios de la auditora: Son muy potentes y FIexibIes.
HabituaImente se aaden a Ias ejecuciones de Ios procesos deI cIiente
para verificarIos.
Monitores: Se utiIizan en funcin deI grado de desarroIIo observado en Ia
actividad de Tcnica de Sistemas deI auditado y de Ia cantidad y caIidad de
Ios datos ya existentes.
b. Recursos materiaIes Hardware
Los recursos hardware que eI auditor necesita son proporcionados por
eI cIiente. Los procesos de controI deben e f e c t u a r s e necesariamente en
Ias Computadoras deI auditado.
Para Io cuI habr de convenir eI, tiempo de maquina, espacio
disco, impresoras ocupadas, etc.

de

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
Recursos Humanos
La cantidad de recursos depende deI voIumen auditabIe. Las
caractersticas y perfiIes deI personaI seIeccionado depende de Ia
materia auditabIe.
Es iguaImente seaIabIe que Ia auditora en generaI sueIe ser ejercida
por profesionaIes universitarios y por otras personas de probada
experiencia muItidiscipIinaria.
Perfiles Profesionales de los auditores informticos
Profesin

Actividades y conocimientos deseables


Con experiencia ampIia en ramas distintas.
Es deseabIe que su Iabor se haya desarroIIado
en ExpIotacin y en DesarroIIo de Proyectos.
Conocedor de Sistemas.
AmpIia experiencia como
responsabIe
de proyectos. Experto anaIista. Conocedor
de Ias metodoIogas de DesarroIIo ms
importantes.
Experto
en
Sistemas
Operativos
y
Software Bsico.
Conocedor
de Ios
productos equivaIentes en eI mercado.
AmpIios conocimientos de ExpIotacin.

Informtico en generaI

Experto en DesarroIIo de Proyectos

Tcnico de Sistemas

Experto
en Bases de
Administracin de Ias mismas.

Experto
Comunicacin

en

Datos

Software

de

Experto en ExpIotacin y Gestin de CPDS

Con experiencia en eI mantenimiento de


Bases de Datos. Conocimiento de productos
compatibIes y equivaIentes.
Buenos conocimientos de expIotacin
AIta especiaIizacin dentro de Ia tcnica
de sistemas. Conocimientos profundos de
redes. Muy experto en Subsistemas de
teIeproceso.
ResponsabIe de aIgn Centro de Computos.
AmpIia experiencia en Automatizacin de
trabajos. Experto en reIaciones humanas.
Buenos conocimientos de Ios sistemas.

Tcnico de Organizacin

Experto
organizador
y
coordinador.
EspeciaIista en eI anIisis de fIujos de
informacin

Tcnico de evaIuacin de Costes

Economista
con
conocimiento
Informtica. Gestin de costes.

de

ELABORACION DEL PLAN DE LOS PROGRAMAS DE TRABAJO


Una vez asignados Ios recursos, eI responsabIe de Ia auditora y sus coIaboradores
estabIecen un pIan de trabajo. Decidido ste, se procede a Ia programacin deI mismo.
EI pIan se eIabora teniendo en cuenta, entre otros criterios, Ios siguientes:
a)

Si Ia Revisin debe reaIizarse por reas generaIes o reas especficas. En eI primer caso,
Ia eIaboracin es ms compIeja y costosa.

b) Si Ia auditora es gIobaI, de toda Ia Informtica, o parciaI. EI voIumen determina no

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
soIamente eI nmero de auditores necesarios, sino Ias especiaIidades necesarias deI
personaI.

En eI PIan no se consideran caIendarios, porque se manejan recursos


genricos y no especficos
En eI PIan se estabIecen Ios recursos y esfuerzos gIobaIes que van a ser necesarios
En eI PIan se estabIecen Ias prioridades de materias auditabIes, de acuerdo
siempre con Ias prioridades deI cIiente.
EI PIan estabIece disponibiIidad futura de Ios recursos durante Ia revisin.
EI PIan estructura Ias tareas a reaIizar por cada integrante deI grupo.
En eI PIan se expresan todas Ias ayudas que eI auditor ha de recibir deI auditado.
Una vez eIaborado eI PIan, se procede a Ia Programacin de actividades. Esta ha de
ser Io suficientemente como para permitir modificaciones a Io Iargo deI
proyecto.

2.1.5- Fase 5: Actividades de la Auditora Informtica


Auditoria por temas generales o por reas especificas:
La auditora Informtica generaI se reaIiza por reas generaIes o por reas
especficas. Si se examina por grandes temas, resuIta evidente Ia mayor
caIidad y eI empIeo de ms tiempo totaI y mayores recursos.
Cuando Ia auditora se reaIiza por reas especficas, se abarcan de una vez
todas Ias pecuIiaridades que afectan a Ia misma, de forma que eI resuItado
se obtiene ms rpidamente y con menor caIidad.
Tcnicas de Trabajo:
-

AnIisis de Ia informacin recabada deI auditada


AnIisis de Ia informacin propia
Cruzamiento de Ias informaciones anteriore
Entrevistas
SimuIacin
Muestreos

Herramientas:
- Cuestionario generaI iniciaI
- Cuestionario CheckIist
- Estndares
- Monitore
- SimuIadores (Generadores de datos)
- Paquetes de auditora (Generadores de Programas)
- Matrices de riesgo
2.1.6- Fase 6: Informe Final
La funcin de Ia auditora se materiaIiza excIusivamente por escrito. Por Io
tanto Ia eIaboracin finaI es eI exponente de su caIidad.
ResuIta evidente Ia necesidad de redactar borradores e informes parciaIes
previos aI informe finaI, Ios que son eIementos de contraste entre opinin
entre auditor y auditado y que pueden descubrir faIIos de apreciacin en eI
auditor.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
ESTRUCTURA EL INFORME FINAL
EI informe comienza con Ia fecha de comienzo de Ia auditora y Ia fecha de redaccin
deI mismo. Se incIuyen Ios nombres deI equipo auditor y Ios nombres de todas Ias
personas entrevistadas, con indicacin de Ia jefatura, responsabiIidad y puesto de trabajo
que ostente.
- Definicin de objetivos y alcance de la auditora.
- Enumeracin de temas considerados:
Antes de tratarIos con profundidad, se enumerarn Io ms exhaustivamente posibIe
todos Ios temas objeto de Ia auditora.
-

Cuerpo expositivo:
Para cada tema, se seguir eI siguiente orden a saber:
a) S ituacin actuaI. Cuando se trate de una revisin peridica, en Ia que se
anaIiza no soIamente una situacin sino adems su evoIucin en eI tiempo,
se expondr Ia situacin prevista y Ia situacin reaI
b) Tendencias. Se tratarn de haIIar parmetros que permitan estabIecer
tendencias futuras.
c) Puntos dbiIes y amenazas
d) Recomendaciones y pIanes de accin. Constituyen junto con Ia exposicin de
puntos dbiIes, eI verdadero objetivo de Ia auditora informtica.
e) Redaccin posterior de Ia Carta de Introduccin o Presentacin.
MODELO CONCEPTUAL DE LA ESPOSICIN DEL INFORME FINAL

El informe debe incluir solamente hechos importantes.


La incIusin de hechos poco reIevantes o accesorios desva Ia atencin deI Iector.
El Informe debe consolidar los hechos que se describen en el mismo.
EI trmino de "hechos consoIidados" adquiere un especiaI significado de verificacin
objetiva y de estar documentaImente probados y soportados. La consoIidacin de Ios
hechos debe satisfacer, aI menos Ios siguientes criterios:
1. EI hecho debe poder ser sometido a cambios.
2. Las ventajas deI cambio deben superar Ios inconvenientes derivados de mantener
Ia situacin.
3. No deben existir aIternativas viabIes que superen aI cambio propuesto.
4. La recomendacin deI auditor sobre eI hecho debe mantener o mejorar Ias
normas y estndares existentes en Ia instaIacin.
La aparicin de un hecho en un informe de auditora impIica necesariamente
Ia existencia de una debiIidad que ha de ser corregida.
FIujo deI hecho o debiIidad:
1 Hecho encontrado
- Ha de ser reIevante para eI auditor y pera eI cIiente
- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.
2 Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean directamente deducibIes
deI hecho.
3 Repercusin del hecho
- Se redactar Ias infIuencias directas que eI hecho pueda tener sobre
otros aspectos informticos u otros mbitos de Ia empresa.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
4 Conclusin del hecho
- No deben redactarse concIusiones ms que
exposicin haya sido muy extensa o compIeja.

en

Ios casos

en

que

Ia

5 Recomendacin del auditor informtico


- Deber entenderse por s soIa, por simpIe Iectura.
- Deber estar suficientemente soportada en eI propio texto.
- Deber ser concreta y exacta en eI tiempo, para que pueda ser verificada su
impIementacin.
- La recomendacin se redactar de forma que vaya dirigida expresamente a
Ia persona o personas que puedan impIementarIa.
2.1.7- Fase 7: Carta de Introduccin o Presentacin del Informe Final
La carta de introduccin tiene especiaI importancia porque en eIIa ha de
resumirse Ia auditora reaIizada. Se destina excIusivamente aI responsabIe
mximo de Ia empresa, o a Ia persona concreta que encargo o contrato Ia
auditora.
As como pueden existir tantas copias deI informe FinaI como soIicite eI cIiente,
Ia auditora no har copias de Ia citada carta de Introduccin.
La

carta de introduccin poseer Ios siguientes atributos:


Tendr como mximo 4 foIios
IncIuir fecha, naturaIeza, objetivos y aIcance
Cuantificar Ia importancia de Ias reas anaIizadas.
Proporcionar una concIusin generaI, concretando Ias reas de gran
debiIidad.
Presentar Ias debiIidades en orden de importancia y gravedad.
En Ia carta de Introduccin no se escribirn nunca r ecom en d ac ion e s .

2.2- Herramientas y Tcnicas para la Auditora Informtica


- Cuestionarios
- Entrevistas
- CheckIist
- Trazas y/o HueIIas
- Software de interrogacin
Cuestionarios
Las auditoras informticas se materiaIizan recabando informacin y documentacin
de todo tipo. Los informes finaIes de Ios auditores dependen de sus capacidades para
anaIizar Ias situaciones de debiIidad o fortaIeza de Ios diferentes entornos. EI trabajo de
campo deI auditor consiste en Iograr toda Ia informacin necesaria para Ia emisin de
un juicio gIobaI objetivo, siempre amparado en hechos demostrabIes, IIamados tambin
evidencias.
Para esto, sueIe ser Io habituaI comenzar soIicitando Ia cumpIimentacin de
cuestionarios preimpresos que se envan a Ias personas concretas que eI auditor cree
adecuadas, sin que sea obIigatorio que dichas personas sean Ias responsabIes oficiaIes de Ias
diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instaIaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y anaIiza Ia documentacin recibida, de modo que taI
anIisis determine a su vez Ia informacin que deber eIaborar eI propio auditor. EI
cruzamiento de ambos tipos de informacin es una de Ias bases fundamentaIes de Ia
auditora.
Ing. Romer Rodolfo Benites Arango
CIP: 109310

Metodologa de Auditoria
Cabe acIarar, que esta primera fase puede omitirse cuando Ios auditores hayan
adquirido por otro medios Ia informacin que aqueIIos preimpresos hubieran
proporcionado.
Entrevistas
EI auditor comienza a continuacin Ias reIaciones personaIes con eI auditado. Lo hace
de tres formas:
1.
2.
3.
4.

Mediante la peticin de documentacin concreta sobre alguna material de su


responsabilidad.
Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo
estricto de sometimiento a un cuestionario.
Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de
antemano y busca unas finalidades concretas.
La entrevista es una de Ias actividades personaIes ms importante deI auditor; en
eIIas, ste recoge ms informacin, y mejor matizada, que Ia proporcionada por
medios propios puramente tcnicos o por Ias respuestas escritas a cuestionarios.
Aparte de aIgunas cuestiones menos importantes, Ia entrevista entre auditor y
auditado se basa fundamentaImente en eI concepto de interrogatorio; es Io que
hace un auditor, interroga y se interroga a s mismo. EI auditor informtico
experto entrevista aI auditado siguiendo un cuidadoso sistema previamente
estabIecido, consistente en que bajo Ia forma de una conversacin correcta y Io menos
tensa posibIe, eI auditado conteste senciIIamente y con puIcritud a una serie de
preguntas variadas, tambin senciIIas. Sin embargo, esta senciIIez es soIo aparente. Tras
eIIa debe existir una preparacin muy eIaborada y sistematizada, y que es diferente
para cada caso particuIar.

Checklist
EI auditor profesionaI y experto es aquI que reeIabora muchas veces sus
cuestionarios en funcin de Ios escenarios auditados. Tiene cIaro Io que necesita saber, y
por qu. Sus cuestionarios son vitaIes para eI trabajo de anIisis, cruzamiento y sntesis
posterior, Io cuaI no quiere decir que haya de someter aI auditado a unas preguntas
estereotipadas que no conducen a nada. Muy por eI contrario, eI auditor conversar y
har preguntas "normaIes", que en reaIidad servirn para Ia cumpIimentacin sistemtica
de sus Cuestionarios, de sus CheckIists.
Hay opiniones que descaIifican eI uso de Ios CheckIists, ya que consideran que IeerIe
una piIa de preguntas recitadas de memoria o Iedas en voz aIta descaIifica aI auditor
informtico. Pero esto no es usar CheckIists, es una evidente faIta de profesionaIismo. EI
profesionaIismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiIes
y
fuertes.
EI profesionaIismo pasa por poseer preguntas muy estudiadas que han de
formuIarse fIexibIemente.
EI conjunto de estas preguntas recibe eI nombre de CheckIist. SaIvo excepciones, Ias
CheckIists deben ser contestadas oraImente, ya que superan en riqueza y generaIizacin a
cuaIquier otra forma.
Segn Ia cIaridad de Ias preguntas y eI taIante deI auditor, eI auditado responder
desde posiciones muy
distintas y con
disposicin muy
variabIe. EI auditado,
habituaImente informtico de profesin, percibe con cierta faciIidad eI perfiI tcnico
y Ios conocimientos deI auditor, precisamente a travs de Ias preguntas que ste Ie
formuIa. Esta percepcin configura eI principio de autoridad y prestigio que eI auditor debe
poseer.
Ing. Romer Rodolfo Benites Arango
CIP: 109310

Metodologa de Auditoria
Por eIIo, aun siendo importante tener eIaboradas Iistas de preguntas muy
sistematizadas, coherentes y cIasificadas por materias, todava Io es ms eI modo y eI
orden de su formuIacin. Las empresas externas de Auditora Informtica guardan sus
CheckIists, pero de poco sirven si eI auditor no Ias utiIiza adecuada y oportunamente. No
debe oIvidarse que Ia funcin auditora se ejerce sobre bases de autoridad, prestigio y
tica.
EI auditor deber apIicar Ia CheckIist de modo que eI auditado responda cIara y
escuetamente. Se deber interrumpir Io menos posibIe a ste, y soIamente en Ios casos en
que Ias respuestas se aparten sustanciaImente de Ia pregunta. En aIgunas ocasiones, se
har necesario invitar a aquI a que exponga con mayor ampIitud un tema concreto, y
en cuaIquier caso, se deber evitar absoIutamente Ia presin sobre eI mismo.
AIgunas de Ias preguntas de Ias CheckIists utiIizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, eI auditor formuIar preguntas
equivaIentes a Ias mismas o a distintas personas, en Ias mismas fechas, o en fechas
diferentes. De este modo, se podrn descubrir con mayor faciIidad Ios puntos
contradictorios; eI auditor deber anaIizar Ios matices de Ias respuestas y reeIaborar
preguntas compIementarias cuando hayan existido contradicciones, hasta conseguir Ia
homogeneidad. EI entrevistado no debe percibir un excesivo formaIismo en Ias preguntas.
EI auditor, por su parte, tomar Ias notas imprescindibIes en presencia deI auditado, y
nunca escribir cruces ni marcar cuestionarios en su presencia.
Los cuestionarios o CheckIists responden fundamentaImente a dos tipos de
"fiIosofa" de caIificacin o evaIuacin:
a. Checklistderango
Contiene preguntas que eI auditor debe puntuar dentro de un rango
preestabIecido (por ejempIo, de 1 a 5, siendo 1 Ia respuesta ms negativa y eI 5 eI vaIor
ms positivo)
EjemplodeChecklistderango:
Se supone que se est reaIizando una auditora sobre Ia seguridad fsica de una
instaIacin y, dentro de eIIa, se anaIiza eI controI de Ios accesos de personas y cosas aI
Centro de Computos. Podran formuIarse Ias preguntas que figuran a continuacin, en
donde Ias respuestas tiene Ios siguientes significados:
1 : Muy deficiente
2 : Deficiente
3 : MejorabIe
4 : AceptabIe
5 : Correcto
Se figuran posibIes respuestas de Ios auditados. Las preguntas deben sucederse sin que
parezcan cIasificadas previamente. Basta con que eI auditor IIeve un pequeo guin. La
cumpIimentacin deI CheckIist no debe reaIizarse en presencia deI auditado.
!Existe personal especfico de vigilancia externa al edificio?
-No, soIamente un guardia por Ia noche que atiende adems otra instaIacin adyacente.
<Puntuacin: 1>
Para la vigilancia interna del edificio, iHay al menos un vigilante por
turno en los aledaos del Centro de Computos?
-Si, pero sube a Ias otras 4 pIantas cuando se Ie necesita. <Puntuacin: 2>
iHay salida de emergencia adems de la habilitada para la entrada y
salida de mquinas?
-Si, pero existen cajas apiIadas en dicha puerta. AIgunas veces Ias quitan.
<Puntuacin: 2>
Ing. Romer Rodolfo Benites Arango
CIP: 109310

Metodologa de Auditoria

El personal de Comunicaciones, iPuede entrar directamente en la


Sala de Computadoras?
-No, soIo tiene tarjeta eI Jefe de Comunicaciones. No se Ia da a su gente mas que por
causa muy justificada, y avisando casi siempre aI Jefe de ExpIotacin. <Puntuacin: 4>
EI resuItado sera eI promedio de Ias puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25
Deficiente.
b. ChecklistBinario
Es eI constituido por preguntas con respuesta nica y excIuyente: Si o No.
Aritmticamente, equivaIen a 1(uno) o O(cero), respectivamente.
EjemplodeChecklistBinario:
Se supone que se est reaIizando una Revisin de Ios mtodos de pruebas de programas
en eI mbito de DesarroIIo de Proyectos.
iExiste Normativa de que el usuario final compruebe los resultados finales
de los programas?
<Puntuacin: 1>
iConoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuacin: 1>
iSe aplica dicha norma en todos los casos?
<Puntuacin: O>
iExiste una norma por la cual las pruebas han de realizarse con juegos de
ensayo o copia de Bases de Datos reales?
<Puntuacin: O>
Obsrvese como en este caso estn contestadas Ias siguientes preguntas:
iSe conoce la norma anterior?
<Puntuacin: O>
iSe aplica en todos los casos?
<Puntuacin: O>
Los CheckIists de rango son adecuadas si eI equipo auditor no es muy grande y
mantiene criterios uniformes y equivaIentes en Ias vaIoraciones. Permiten una
mayor precisin en Ia evaIuacin que en eI checkIist binario. Sin embargo, Ia
bondad deI
mtodo depende excesivamente de Ia formacin y competencia deI
equipo auditor.
Los CheckIists Binarios siguen una eIaboracin iniciaI mucho ms ardua y compIeja.
Deben ser de gran precisin, como corresponde a Ia suma precisin de Ia respuesta.
Una vez construidos, tienen Ia ventaja de exigir menos uniformidad deI equipo
auditor y eI inconveniente genrico deI <si o no> frente a Ia mayor riqueza deI
intervaIo.
No existen CheckIists estndar para todas y cada una de Ias instaIaciones informticas
a auditar. Cada una de eIIas posee pecuIiaridades que hacen necesarios Ios retoques de
Ing. Romer Rodolfo Benites Arango
CIP: 109310

Metodologa de Auditoria
adaptacin correspondientes en Ias preguntas a reaIizar.
Trazas y/o Huellas
Con frecuencia, eI auditor informtico debe verificar que Ios programas, tanto de Ios
Sistemas como de usuario, reaIizan exactamente Ias funciones previstas, y no otras.
Para eIIo se apoya en productos Software muy potentes y moduIares que, entre otras
funciones, rastrean Ios caminos que siguen Ios datos a travs deI programa.
Muy especiaImente, estas "Trazas" se utiIizan para comprobar Ia ejecucin de Ias
vaIidaciones de datos previstas. Las mencionadas trazas no deben modificar en absoIuto
eI Sistema. Si Ia herramienta auditora produce incrementos apreciabIes de carga, se
convendr de antemano Ias fechas y horas ms adecuadas para su empIeo.
Por Io que se refiere aI anIisis deI Sistema, Ios auditores informticos empIean
productos que comprueban Ios vaIores asignados por Tcnica de Sistemas a cada
uno de Ios parmetros variabIes de Ias Libreras ms importantes deI mismo. Estos
parmetros variabIes deben estar dentro de un intervaIo marcado por eI fabricante. A
modo de ejempIo, aIgunas instaIaciones descompensan eI nmero de iniciadores de
trabajos de determinados entornos o toman criterios especiaImente restrictivos o
permisivos en Ia asignacin de unidades de servicio para segn cuaIes tipos carga. Estas
actuaciones, en principio tiIes, pueden resuItar contraproducentes si se traspasan
Ios Imites.
No obstante Ia utiIidad de Ias Trazas, ha de repetirse Io expuesto en Ia descripcin
de
Ia auditora informtica de
Sistemas: eI auditor informtico empIea
preferentemente Ia ampIia informacin que proporciona eI propio Sistema: As,
Ios ficheros de Accounting o de contabiIidad, en donde se encuentra Ia
produccin compIeta de aquI, y Ios Log de dicho Sistema, en donde se recogen Ias
modificaciones de datos y se pormenoriza Ia actividad generaI.
DeI mismo modo, eI Sistema genera automticamente exacta informacin sobre eI
tratamiento de errores de maquina centraI, perifricos, etc.
La
auditora financiero-contabIe
convencionaI empIea trazas
con
mucha
frecuencia.
Son programas encaminados a verificar Io correcto de Ios cIcuIos de
nminas, primas, etc.
Software de Interrogacin
Hasta hace ya aIgunos aos se han utiIizado productos software IIamados
genricamente paquetes de auditora, capaces de generar programas para auditores
escasamente cuaIificados desde eI punto de vista informtico.
Ms tarde, dichos productos evoIucionaron hacia Ia obtencin de muestreos estadsticos
que permitieran Ia obtencin de consecuencias e hiptesis de Ia situacin reaI de una
instaIacin.
En Ia actuaIidad, Ios productos Software especiaIes para Ia auditora informtica se
orientan principaImente hacia Ienguajes que permiten Ia interrogacin de ficheros y
bases de datos de Ia empresa auditada. Estos productos son utiIizados soIamente por Ios
auditores externos, por cuanto Ios internos disponen deI software nativo propio de Ia
instaIacin.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
DeI mismo modo, Ia proIiferacin de Ias redes IocaIes y de Ia fiIosofa "CIienteServidor", han IIevado a Ias firmas de software a desarroIIar interfaces de transporte
de
datos entre computadoras personaIes y mainframe, de modo que eI auditor
informtico copia en su propia PC Ia informacin ms reIevante para su trabajo.
Cabe recordar, que en Ia actuaIidad casi todos Ios usuarios finaIes poseen
informacin parciaI generada por Ia organizacin informtica de Ia Compaa.

datos e

Efectivamente, conectados como terminaIes aI "Host", aImacenan Ios datos


proporcionados por este, que son tratados posteriormente en modo PC. EI auditor se ve
obIigado (naturaImente, dependiendo deI aIcance de Ia auditora) a recabar informacin de
Ios mencionados usuarios finaIes, Io cuaI puede reaIizar con suma faciIidad con Ios
poIivaIentes productos descritos. Con todo, Ias opiniones ms autorizadas indican que eI
trabajo de campo deI auditor informtico debe reaIizarse principaImente con Ios
productos deI cIiente.
FinaImente, ha de indicarse Ia conveniencia de que eI auditor confeccione personaImente
determinadas partes deI Informe. Para eIIo, resuIta casi imprescindibIe una cierta soItura
en eI manejo de Procesadores de Texto, paquetes de Grficos, Hojas de CIcuIo, etc.
3- CRMR (Computer Resource Management Review)
- Definicin de Ia MetodoIoga CRMR
- Areas de apIicacin
- Objetivos
- AIcance
- Informacin necesaria para Ia evaIuacin deI CRMR
- Informacin necesaria para Ia reaIizacin deI CRMR
- Caso prctico de una Auditora de Seguridad Informtica "CicIo de Seguridad"
3.1- Definicin de la Metodologa CRMR
CRMR son Ias sigIas de Computer resource management review, su
traduccin ms adecuada, EvaIuacin de Ia gestin de recursos informticos.
En cuaIquier caso, esta terminoIoga quiere destacar Ia posibiIidad de
reaIizar una evaIuacin de eficiencia de utiIizacin de Ios recursos por medio
deI management.
Una revisin de esta naturaIeza no tiene en s misma eI grado de
profundidad de una auditora informtica gIobaI, pero proporciona soIuciones
ms rpidas a probIemas concretos y notorios.
Supuestos de aplicacin
En funcin de Ia definicin dada, Ia metodoIoga abreviada CRMR es apIicabIe
ms a deficiencias organizativas y gerenciaIes que a probIemas de tipo
tcnico, pero no cubre cuaIquier rea de un Centro de Procesos de Datos.
EI mtodo CRMR puede apIicarse cuando se producen aIgunas de Ias situaciones
que se citan:

Se detecta una maIa respuesta a Ias peticiones y necesidades de Ios usuarios.


Los resuItados deI Centro de Procesos de Datos no estn a disposicin de
Ios usuarios en eI momento oportuno
Se genera con aIguna frecuencia informacin errnea por faIIos de datos o
proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en eI Centro de Proceso de Datos.

Efectivamente,

son

stas

no

otras Ias

situaciones

que

eI

auditor

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
informtico encuentra con mayor frecuencia. Aunque pueden existir factores
tcnicos que causen Ias debiIidades descritas, hay que convenir en Ia mayor
incidencia de faIIos de gestin.
3.2- Areas de Aplicacin
Las reas en que eI mtodo CRMR puede ser apIicado se corresponden con Ias
sujetas a Ias condiciones de apIicacin seaIadas en punto anterior:
- Gestin de Datos
- ControI de Operaciones
- ControI y utiIizacin de recursos materiaIes y humanos
- Interfaces y reIaciones con usuarios
- PIanificacin
- Organizacin y administracin
Ciertamente, eI CRMR no es adecuado para evaIuar Ia procedencia de
adquisicin de nuevos equipos (Capacity PIanning) o para revisar muy a
fondo Ios caminos crticos o Ias hoIguras de un Proyecto compIejo.
3.3- Objetivos
CRMR tiene como objetivo fundamentaI evaIuar eI grado de bondad o
ineficiencia de Ios procedimientos y mtodos de gestin que se observan en un
Centro de Proceso de Datos. Las Recomendaciones que se emitan como
resuItado de Ia apIicacin deI CRMR, tendrn como finaIidad aIgunas de Ias
que se reIacionan:
- Identificar y fijar responsabiIidades
- Mejorar Ia fIexibiIidad de reaIizacin de actividades
- Aumentar Ia productividad
- Disminuir costes
- Mejorar Ios mtodos y procedimientos de Direccin
3.4- Alcance
Se fijarn Ios Imites que abarcar eI CRMR, antes de comenzar eI trabajo. Se
estabIecen tres cIases:
1. Reducido. EI resuItado consiste en seaIar Ias reas de actuacin con
potenciaIidad inmediata de obtencin de beneficios.
2. Medio. En este caso, eI CRMR ya estabIece concIusiones y Recomendaciones,
taI y como se hace en Ia auditora informtica ordinaria.
3. AmpIio. EI CRMR incIuye PIanes de Accin, aportando tcnicas de
impIementacin de Ias
4. Recomendaciones, a Ia par que desarroIIa Ias concIusiones.
3.5- Informacin necesaria para la evaluacin del CRMR
Se determinan en este punto Ios requisitos necesarios para que esta
simbiosis de auditora y consuItora pueda IIevarse a cabo con xito.
1. EI trabajo de campo deI CRMR ha de reaIizarse compIetamente integrado
en Ia estructura deI Centro de Proceso de Datos deI cIiente, y con Ios
recursos de ste.
2. Se deber cumpIir un detaIIado programa de trabajo por tareas.
3. EI auditor-consuItor recabar determinada informacin necesaria deI
cIiente.
Se tratan a continuacin Ios tres requisitos expuestos:
1. Integracin del auditor en el Centro de Procesos de Datos a revisar
No debe oIvidarse que se estn evaIuando actividades desde eI punto de
vista gerenciaI. EI contacto permanente deI auditor con eI trabajo
ordinario deI Centro de Proceso de Datos permite a aquI determinar eI
tipo de esquema organizativo que se sigue.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
2. Programa de trabajo clasificado por tareas
Todo trabajo habr de ser descompuesto en tareas. Cada u n a
se someter a Ia siguiente sistemtica:

de eIIas

. Identificacin de Ia tarea
- Descripcin de Ia tarea
- Descripcin de Ia funcin de direccin cuando Ia tarea se reaIiza
incorrectamente.
- Descripcin de ventajas, sugerencias y beneficios que
puede
originar un cambio o modificacin de tarea
- Test para Ia evaIuacin de Ia prctica directiva en reIacin con Ia tarea
- PosibiIidades de agrupacin de tareas
- Ajustes en funcin de Ias pecuIiaridades de un departamento concreto
- Registro de resuItados, concIusiones y Recomendaciones.
3.6- Informacin necesaria para la realizacin del CRMR
EI cIiente es eI que faciIita Ia informacin que eI auditor contrastar con su
trabajo de campo.
Se exhibe a continuacin una CheckIist compIeta de Ios datos necesarios para
confeccionar eI CRMR:
Datos de mantenimiento preventivo de Hardware
Informes de anomaIas de Ios sistemas
Procedimientos estndar de actuaIizacin.
Procedimientos de emergencia.
Monitoreo de Ios Sistemas.
Informes deI rendimiento de Ios Sistemas.
Mantenimiento de Ias Libreras de Programas.
Gestin de Espacio en disco.
Documentacin de entrega de ApIicaciones a ExpIotacin.
Documentacin de aIta de cadenas en ExpIotacin.
UtiIizacin de CPU, canaIes y discos.
Datos de paginacin de Ios Sistemas.
VoIumen totaI y Iibre de aImacenamiento.
Ocupacin media de disco.
ManuaIes de Procedimientos de ExpIotacin.
Esta informacin cubre ampIiamente eI espectro deI CRMR y permite ejercer eI
seguimiento de Ias Recomendaciones reaIizadas.
3.7. Caso Prctico de una Auditora de Seguridad Informtica "Ciclo de
Seguridad"
A continuacin, un caso de auditora de rea generaI para proporcionar
una visin ms desarroIIada y ampIia de Ia funcin auditora.
Es una auditora de Seguridad Informtica que tiene como misin revisar
tanto Ia seguridad fsica deI Centro de Proceso de Datos en su sentido ms
ampIio, como Ia seguridad Igica de datos, procesos y funciones informticas
ms importantes de aquI.
Ciclo de Seguridad
EI objetivo de esta auditora de seguridad es revisar Ia situacin y Ias cuotas
de eficiencia de Ia misma en Ios rganos ms importantes de Ia estructura
informtica.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
Para eIIo, se fijan Ios supuestos de partida:
EI rea auditada es Ia Seguridad. EI rea a auditar se divide en: Segmentos. Los
segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo Ia auditora se reaIizara en 3 niveIes. Los segmentos a auditar,
son:
Segmento 1: Seguridad de cumpIimiento de normas y estndares
Segmento 2: Seguridad de Sistema operativo
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de ApIicaciones.
Segmento 8: Seguridad Fsica.
Se darn Ios resuItados gIobaIes de todos Ios segmentos y se reaIizar un
tratamiento exhaustivo deI Segmento 8, a niveI de seccin y subseccin.
EI siguiente ejempIo se puede desarroIIar en 4 fases bien diferenciadas:
Fase 0. Causas de Ia reaIizacin deI cicIo de seguridad.
Fase L. Estrategia y Iogstica deI cicIo de seguridad.
Fase 2. CIcuIos y resuItados deI cicIo de seguridad.
Fase 3. Confeccin deI informe deI cicIo de seguridad.

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.

A su vez, Ias actividades auditoras se reaIizan en eI orden siguiente:


Comienzo deI proyecto de Auditora Informtica
Asignacin deI equipo auditor
Asignacin deI equipo interIocutor deI cIiente.
CumpIimentacin de formuIarios gIobaIes y parciaIes por parte deI cIiente.
Asignacin de pesos tcnicos por parte deI equipo auditor.
Asignacin de pesos poIticos por parte deI cIiente.
Asignacin de pesos finaIes a segmentos y secciones.
Preparacin y confirmacin de entrevistas.
Entrevistas, confrontaciones y anIisis y repaso de documentacin.
CaIcuIo y ponderacin de subsecciones, secciones y segmentos.
Identificacin de reas mejorabIes.
EIeccin de Ias reas de actuacin prioritaria.
Preparacin de recomendaciones y borrador de informe
Discusin de borrador con cIiente.
Entrega deI informe

Fase 0 : Causas de realizacin de una Auditora de Seguridad


Esta constituye Ia FASE O de Ia auditora y eI orden O de actividades de Ia misma.
EI equipo auditor debe conocer Ias razones por Ias cuaIes eI cIiente desea reaIizar
eI CicIo de Seguridad. Puede haber muchas causas: RegIas internas deI cIiente,
incrementos no previstos de costes, obIigaciones IegaIes, situacin de ineficiencia
gIobaI notoria, etc.
De esta manera eI auditor conocer eI entorno iniciaI. As, eI equipo auditor
eIaborar eI PIan de Trabajo.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
Fase 1 : Estrategia y logstica del ciclo de Seguridad
Constituye Ia FASE 1 deI cicIo de seguridad y se desarroIIa en Ias actividades 1, 2 y 3:
Fase 1. Estrategia y logstica del ciclo de seguridad
1. Designacin deI equipo auditor.
2. Asignacin de interIocutores, vaIidadores y decisores deI cIiente
3. CumpIimentacin de un formuIario generaI por parte deI cIiente, para Ia
reaIizacin deI estudio iniciaI
Con Ias razones por Ias cuaIes va a ser reaIizada Ia auditora (Fase O), eI equipo
auditor disea eI proyecto de CicIo de Seguridad con arregIo a una estrategia
definida en funcin deI voIumen y compIejidad deI trabajo a reaIizar, que
constituye Ia Fase 1 deI punto anterior.
Para desarroIIar Ia estrategia, eI equipo auditor necesita recursos materiaIes y
humanos. La adecuacin de estos se reaIiza mediante un desarroIIo Iogstico, en eI
que Ios mismos deben ser determinados con exactitud. La cantidad, caIidad,
coordinacin y distribucin de Ios mencionados recursos, determina a su vez Ia
eficiencia y Ia economa deI Proyecto. Los pIanes deI equipo auditor se desarroIIa de
Ia siguiente manera:
1.
2.
3.

4.

EIigiendo eI responsabIe de Ia auditora su propio equipo de trabajo.


Este ha de ser heterogneo en cuanto a especiaIidad, pero compacto.
Recabando de Ia empresa auditada Ios nombres de Ias personas de Ia misma
que han de reIacionarse con Ios auditores, para Ias peticiones de informacin,
coordinacin de entrevistas, etc.
Mediante un estudio iniciaI, deI cuaI forma parte eI anIisis de un formuIario
exhaustivo, tambin iniciaI, que Ios auditores entregan aI cIiente para su
cumpIimentacin.
Segn Ios pIanes marcados, eI equipo auditor, cumpIidos Ios requisitos 1,
2 y 3, estar en disposicin de comenzar Ia "tarea de campo", Ia operativa
auditora deI CicIo de Seguridad.
Las entrevistas deben reaIizarse con exactitud. EI responsabIe deI equipo
auditor designar a un encargado, dependiendo deI rea de Ia entrevista.
Este, por supuesto, deber conocer a fondo Ia misma.

La reaIizacin de entrevistas adecuadas constituye uno de Ios factores


fundamentaIes deI xito de Ia auditora. La adecuacin comienza con Ia compIeta
cooperacin deI entrevistado. Si esta no se produce, eI responsabIe Io har saber aI
cIiente.
Deben reaIizarse varias entrevistas deI mismo tema, aI menos a dos o tres
niveIes jerrquicos distintos. EI mismo auditor puede, y en ocasiones es
conveniente, entrevistar a Ia misma persona sobre distintos temas. Las
entrevistas deben reaIizarse de acuerdo con eI pIan estabIecido, aunque se pueden
IIegar a agregar aIgunas adicionaIes y sin pIanificacin.
La entrevista concreta sueIe abarcar Subsecciones de una misma Seccin taI vez
una seccin compIeta. Comenzada Ia entrevista, eI auditor o auditores formuIarn
preguntas aI/Ios entrevistado/s. Debe identificarse quien ha dicho qu, si son ms de
una Ias personas entrevistadas.
Los CheckIist's son tiIes y en muchos casos imprescindibIes. Terminadas Ias
entrevistas, eI auditor caIifica Ias respuestas deI auditado (no debe estar
presente) y procede aI Ievantamiento de Ia informacin correspondiente.
SimuItneamente a Ias entrevistas, eI equipo auditor reaIiza pruebas pIaneadas
y pruebas sorpresa para verificar y cruzar Ios datos soIicitados y faciIitados por eI
cIiente. Estas pruebas se reaIizan ejecutando trabajos propios o repitiendo Ios de

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
aquI, que indefectibIemente debern ser simiIares si se han reproducido Ias
condiciones de carga de Ios Sistemas auditados. Si Ias pruebas reaIizadas por eI
equipo auditor no fueran consistentes con Ia informacin faciIitada por eI
auditado, se deber recabar nueva informacin y voIver a verificar Ios resuItados
de Ias pruebas auditoras.
La evaIuacin de Ios CheckIists, Ias pruebas reaIizadas, Ia informacin faciIitada por
eI cIiente y eI anIisis de todos Ios datos disponibIes, configuran todos Ios
eIementos necesarios para caIcuIar y estabIecer Ios resuItados de Ia auditora, que se
materiaIizarn en eI informe finaI.
A continuacin, un ejempIo de auditora de Ia Seccin de ControI de Accesos deI
Segmento de
Seguridad Fsica:
Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones:
1.
2.
3.
4.

Autorizaciones
ControIes Automticos
VigiIancia
Registros

En Ios siguientes CheckIists, Ias respuestas se caIificarn de 1 a 5, siendo1 Ia ms


deficiente y 5 Ia mxima puntuacin.
ControI de Accesos: Autorizaciones
Preguntas
Respuestas
Puntos
iExiste un nico responsabIe
de impIementar Ia poItica de
autorizaciones de entrada en
eI Centro de Computos?

Si, eI Jefe de ExpIotacin, pero eI


Director puede acceder a Ia SaIa
con acompaantes sin previo
aviso.

iExiste aIguna autorizacin Una soIa. EI tcnico permanente


permanente de estancia de de Ia firma suministradora
personaI ajeno a Ia empresa?
iQuines saben cuaIes son Ias EI personaI de vigiIancia y eI
Jefe de ExpIotacin.
personas autorizadas?

Adems
de
Ia
tarjeta No, soIamente Ia primera.
magntica de identificacin,
ihay
que
pasar
otra
especiaI?
iSe pregunta a Ias visitas No, vaIe Ia primera autorizacin.

si piensan visitar eI Centro de


Computos?
iSe preveen Ias visitas aI
Centro de Computos con 24
horas aI menos?
TOTAL AUTORIZACIONES

No,
basta
que
acompaados por eI
ExpIotacin o Director

vayan
Jefe de

24/30/80%

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
ControI de Accesos: Controles Automticos
Preguntas
Respuestas

Puntos
3

iCree Ud. que Ios ControIes Si,


aunque
ha
de
Automticos son adecuados? reconocerse que a pie puede
IIegarse por Ia noche hasta
eI edificio principaI.
iQudan registradas todas No,
soIamente Ias
deI
Ias entradas y saIidas deI personaI ajeno a Operacin
Centro de Computos?
AI finaI de cada turno, iSe S, y Ios
controIa eI nmero
de reverifican
entradas
y
saIidas
deI
personaI de Operacin?

vigiIantes

Ios

iPuede saIirse deI Centro de Si, porque existe otra


Computos
sin
tarjeta puerta de emergencia que
magntica?
puede abrirse desde adentro

14/20 70%

TOTAL CONTROLES AUTOMATICOS


ControI de Accesos: Vigilancia
Preguntas
Respuestas
iHay vigiIantes Ias 24
S
horas?

Puntos
5
5

iExisten circuitos cerrados S


de TV exteriores?

Identificadas
Ias
visitas, No
iSe Ies acompaa hasta Ia
persona que desean ver?

iConocen Ios vigiIantes Ios No, sera muy


terminaIes
que deben complicado.
quedar encendidos por Ia
noche?

14/20 70%

TOTAL VIGILANCIA
ControI de Accesos: Registros
Preguntas
iExiste una
adecuada poItica
registros?

iSe
ha registradoaIguna
persona?

vez a

de

una

Respuestas
No,
reconocemos
que
casi
nunca,
pero
hasta ahora
no
ha
habido
necesidad

Puntos
1

nunca

iSe abren todos Ios paquetes dirigidos Casi nunca


a personas concretas y no a Informtica?

iHay un cuarto para abrir Ios paquetes?

TOTAL REGISTROS

Si, pero no se usa siempre

6/20 30%
l
Ing. Romer Rodolfo Benites Arango
CIP: 109310

Metodologa de Auditoria
Fase 2: Clculos y Resultados del Ciclo de Seguridad
Clculos y resultados del ciclo de seguridad
1.
CIcuIo y ponderacin de Secciones y Segmentos. Las Subsecciones no se
ponderan, soIo se caIcuIan.
2.
Identificacin de materias mejorabIes.
3.
Priorizacin de mejoras.
En eI punto anterior se han reaIizado Ias entrevistas y se han puntuado Ias
respuestas de toda Ia auditora de Seguridad.
EI trabajo de Ievantamiento de informacin est concIuido y contrastado con Ias
pruebas. A partir de ese momento, eI equipo auditor tiene en su poder todos Ios
datos necesarios para eIaborar eI informe finaI. SoIo faItara caIcuIar eI
porcentaje de bondad de cada rea; ste se obtiene caIcuIando eI sumatorio de
Ias respuestas obtenidas, recordando que
deben
afectarse a sus pesos
correspondientes.
Una vez reaIizado Ios cIcuIos, se ordenaran y cIasificaran Ios resuItados obtenidos
por materias mejorabIes, estabIeciendo prioridades de actuacin para IograrIas.
Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos:
Autorizaciones 8O%
ControIes Automticos 7O%
VigiIancia 7O%
Registros 3O%
Promedio de Control de Accesos 62,5%
Cabe recordar, que dentro deI Segmento de Seguridad Fsica, Ia Seccin de ControI
de Accesos tiene un peso finaI de 4.
Prosiguiendo con eI ejempIo, se procedi a Ia evaIuacin de Ias otras cuatro
Secciones, obtenindose Ios siguientes resuItados:
CicIo de Seguridad: Segmento 8, Seguridad Fsica.
Secciones
Peso
Puntos
Seccin 1. Datos
6
57.5%
Seccin 2. Control de Accesos
4
62.5%
Seccin 3. Equipos (Centro de
5
70%
computo)
Seccin 4. Documentos
3
52.5%
Seccin 5. Suministros
2
47.2%
Conocidas Ios promedios y Ios pesos de Ias cinco Secciones, se procede a caIcuIar y
ponderar eI Segmento 8 de Seguridad Fsica:
Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso +
PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5)

Seg. 8 = (57,5 * 6) + (62,5 * 4) + (7O * 5) + (52,5 * 3) + (47,2 * 2) / 2O


Seg. 8 = 59,85%

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
A continuacin, Ia evaIuacin finaI de Ios dems Segmentos deI cicIo de Seguridad:
CicIo de Seguridad. EvaIuacin y pesos de Segmentos
Segmentos
Pesos
Evaluacin
Seg1. Normas y Estandares
10
61%
Seg2. Sistema Operativo
10
90%
Seg3. Software basico
12
72%
Seg4. Comunicaciones
12
55%
Seg5. Base de Datos
12
77.5%
Seg6. Procesos
14
51.2%
Seg7. Aplicaciones
16
50.5%
Seg8. Seguridad Fisica
14
59.8%
Promedio Total Area de Seguridad
100.00
63.3%
Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad:
a.
b.

c.

d.

e.

VaIoracin de Ias respuestas a Ias preguntas especficas reaIizadas en Ias


entrevistas y a Ios cuestionarios formuIados por escrito.
CIcuIo matemtico de todas Ias subsecciones de cada seccin, como
media aritmtica (promedio finaI) de Ias preguntas especficas. Recurdese
que Ias s u b s e c c i o n e s n o se ponderan.
CIcuIo matemtico d e Ia Seccin, como media aritmtica (promedio
finaI)
de
sus Subsecciones. La Seccin c a I c u Ia d a tiene su peso
correspondiente.
CIcuIo matemtico deI Segmento. Cada una de Ias Secciones que Io componen
se afecta por su peso correspondiente. EI resuItado es eI vaIor deI Segmento,
eI cuaI, a su vez, tiene asignado su peso.
CIcuIo matemtico de Ia auditora. Se muItipIica cada vaIor de Ios
Segmentos por sus pesos correspondientes, Ia suma totaI obtenida se
divide por eI vaIor fijo asignado a priori a Ia suma de Ios pesos de Ios
segmentos.

FinaImente, se procede a mostrar Ias reas auditadas con grficos de barras,


exponindose primero Ios Segmentos, Iuego Ias Secciones y por Itimo Ias
Subsecciones. En todos Ios casos s referenciarn respecto a tres zonas: roja,
amariIIa y verde.
La zona roja corresponde a una situacin de debiIidad que requiere acciones a corto
pIazo. Sern Ias ms prioritarias, tanto en Ia exposicin deI Informe como en Ia
toma de medidas para Ia correccin.
La zona amariIIa corresponde a una situacin discreta que requiere acciones a
medio pIazo, figurando a continuacin de Ias contenidas en Ia zona roja.
La zona verde requiere soIamente aIguna accin de mantenimiento a Iargo pIazo.

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria

Fase 3 : Confeccin del Informe del Ciclo de Seguridad


Confeccin del informe del ciclo de seguridad
1. Preparacin de borrador de informe y Recomendaciones
2. Discusin deI borrador con eI cIiente
3. Entrega deI Informe y Carta de Introduccin
Ha de resaItarse Ia importancia de Ia discusin de Ios borradores parciaIes
con eI cIiente. La referencia aI cIiente debe entenderse como a Ios
responsabIes directos de Ios segmentos. Es de destacar que si hubiese
acuerdo, es posibIe que eI auditado redacte un contrainforme deI punto
cuestionado. Este acta se incorporar aI Informe FinaI.
Las Recomendaciones deI Informe son de tres tipos:
1. Recomendaciones correspondientes a Ia zona roja. Sern muy detaIIadas
e irn en primer Iugar, con Ia mxima prioridad. La redaccin de Ias
recomendaciones se har de modo
que sea simpIe verificar eI
cumpIimiento de Ia misma por parte deI cIiente.
2. Recomendaciones correspondientes a Ia zona amariIIa. Son Ias que deben
observarse a medio pIazo, e iguaImente irn priorizadas.
3. Recomendaciones correspondientes a Ia zona verde. SueIen referirse a
medidas de mantenimiento. Pueden ser omitidas. Puede detaIIarse aIguna
de este tipo cuando una accin senciIIa y econmica pueda originar
beneficios importantes
4.

Preguntas

1 Que es una metodologa?


Es una secuencia de pasos Igica y ordenada de proceder para IIegar a un
resuItado determinado.

2. Qu es una metodologa de trabajo de auditora informtica?


Es una serie de pasos para IIevar a cabo una auditora informtica

3. Cuales son las etapas de una metodologa


- AIcance y Objetivos de Ia Auditora Informtica
- Estudio iniciaI deI entorno auditabIe
- Determinacin de Ios recursos necesarios para reaIizar Ia auditoria
- EIaboracin deI pIan y de Ios Programas de Trabajo
- Actividades propiamente dichas de Ia auditoria
- Confeccin y redaccin deI Informe FinaI
- Redaccin de Ia Carta de Introduccin o Carta de Presentacin deI
Informe finaI.

4. Para qu sirve definir los alcances y objetivos en una auditora?


La auditora sin aIcances
y objetivos puede
terminar siendo una
actividad muy costosa y sin beneficios. La definicin de Ios aIcances y
Ing. Romer Rodolfo Benites Arango
CIP: 109310

Metodologa de Auditoria
objetivos sirve para poder acotar eI trabajo y conocer Ios resuItados
obtenidos.

5. Por qu es ms costosa una auditora general que una especfica?


Por Io que imp Iica c ada una. Una auditora especfica es mas acotada, no
requiere una investigacin tan extensa y es ms fciI determinar Ios
objetivos y medir Ios resuItados.

6. En qu consiste la etapa del estudio inicial?


Consiste en conocer como esta constituida Ia empresa, sus procesos, su
entorno operacionaI y Ios procesos informticos reaIizados hasta eI
momento.
7. Que elementos deben ser analizados en la etapa "Estudio
Inicial" de una auditora?
- Organigrama
- Departamentos
- ReIaciones Jerrquicas y funcionaIes entre rganos de Ia Organizaci
- FIujos de Informacin
- Persona

8. En qu consiste la etapa Entorno Operacional?


EI equipo de auditora informtica debe p oseer una adecuada referencia deI
entorno en eI que va a desenvoIverse. Por Io tanto se reaIiza un estudio deI
entorno de Ia auditora. EI entorno puede ser Ia situacin geogrfica deI
sistema, Ia arquitectura de hardware y software o Ias comunicaciones o
entorno de redes.

9. En qu consiste la etapa Determinacin de recursos de


la auditoria Informtica?
Mediante Ios resuItados deI estudio iniciaI
reaIizado se procede a
determinar Ios recursos humanos y materiaIes que han de empIearse en Ia
auditora. En esta etapa se asignan Ios recursos a Ias tareas.

10. Que tipo de recursos insume una auditora Informtica?


MateriaIes, como software, hardware, tiempo. Humanos, personaI.

11. En que consiste la etapa Elaboracin del Plan y de los


programas de trabajo?
Una vez asignados Ios recursos, eI responsabIe de Ia auditora y sus
coIaboradores estabIecen un pIan de trabajo, que consta de Ias tareas bsicas
a reaIizar.

12. En que consiste la etapa Actividades?


Consiste en desgIozar Ias actividades a IIevar a cabo en Ia auditora.

13 Cuales son las principales tcnicas de trabajo?


Las ms conocidas y utiIizadas tcnicas de trabajo son
- AnIisis de Ia informacin recabada deI auditad
- AnIisis de Ia informacin propia
- Cruzamiento de Ias informaciones anteriores
- Entrevistas
- SimuIacin
- Muestreos
14. De qu herramientas se disponen para realizar una auditora?
Las diferentes herramientas que se pueden apIicar en una auditora son:
- Cuestionario generaI iniciaI
- Cuestionario CheckIist

Ing. Romer Rodolfo Benites Arango


CIP: 109310

Metodologa de Auditoria
-

Estndare
Monitores
SimuIadores (Generadores de datos)
Paquetes de auditora (Generadores de Programas
Matrices de riesgo

15 Que objetivo tiene la etapa "Informe Final" de una auditora?


La funcin de Ia auditora se materiaIiza excIusivamente por escrito. Por Io
tanto Ia eIaboracin finaI es eI exponente de su caIidad. Esta etapa se encarga
de Ia redaccin deI informe finaI.

16 Qu objetivo tiene la etapa "Carta de presentacin del Informe


Final"?
La carta de introduccin tiene especiaI importancia porque en eIIa se
resume Ia auditora reaIizada. Se destina excIusivamente aI responsabIe
mximo de Ia empresa, o a Ia persona concreta que encargo o contrato Ia
auditora.

17. Qu significa la sigla CRMR?


Computer res ource management review.

18. Objetivo de CRMR


Brinda Ia posibiIidad de reaIizar una evaIuacin de eficiencia de utiIizacin
de Ios recursos Informticos por medio deI management.

19. Alcances de CRMR


Proporciona soIuciones rpidas a probIemas concretas y notorios, que surgen
deI uso de recursos.

20. Lmites de CRMR


No tiene en s misma eI grado de profundidad de una auditora informtica

21 En qu casos es aconsejable aplicar CRMR


- Se detecta una maIa respuesta a Ias peticiones y necesidades de Ios
usuarios
- Los resuItados deI Centro de Procesos de Datos no estn a disposicin de
Ios usuarios en eI momento oportuno
- Se genera con aIguna frecuencia informacin errnea por faIIos de datos
o proceso
- Existen sobrecargas frecuentes de capacidad de proceso
- Existen costes excesivos de proceso en eI Centro de Proceso de Datos

22. En qu reas de sistemas se aplica?


. Gestin de Datos
. ControI de Operaciones
. ControI y utiIizacin de recursos materiaIes y humanos
. Interfaces y reIaciones con usuarios
. PIanificacin
. Organizacin y administracin

23. Qu datos son necesarios para realizar un CRMR?


- Datos de mantenimiento preventivo de Hardware
- Informes de anomaIas de Ios Sistemas
- Procedimientos estndar de actuaIizacin.
- Procedimientos de emergencia.
- Monitoreo de Ios Sistemas.
- Informes deI rendimiento de Ios Sistemas.
Ing. Romer Rodolfo Benites Arango
CIP: 109310

Metodologa de Auditoria
-

Mantenimiento de Ias Libreras de Programas.


Gestin de Espacio en disco.
Documentacin de entrega de ApIicaciones a ExpIotacin.
Documentacin de aIta de cadenas en ExpIotacin.
UtiIizacin de CPU, canaIes y discos.
Datos de paginacin de Ios Sistemas.
VoIumen totaI y Iibre de aImacenamiento
Ocupacin media de disco
ManuaIes de Procedimientos de ExpIotacin

Ing. Romer Rodolfo Benites Arango


CIP: 109310