METODOLOGIAS DE AUDITORIA

INFORMATICA
Auditoria Informatica.- Certifica la integridad de los datos
informaticos que usan los auditores financieros para que puedan
utilizar los sistemas de informacin para sus dictamenes.
Auditoria Financiera.- Dictamen sobre los estados de cuentas que
utiliza herramientas de Sw de ayuda.
Las metodologas de auditoria informatica son del tipo
cualitativo/subjetivo; estan basadas en profesionales de
experiencia y formacin
Existen dos metodologias de Auditoria Informtica:
-Auditorias de Controles Generales y
-Metodologas de Auditores Internos

METODOLOGIAS DE AUDITORIA
INFORMATICA

Auditorias de Controles Generales
Dan una opinion
sobre la habilidad de los datos del computador para la
Auditoria financiera cuyo resultado es un informe donde
se destacan las vulnerabilidades encontradas.
Tiene apartados para definir pruebas y anotar sus
resultados.

Auditorias Internas .Esta
formada
por
recomendaciones de Plan de trabajo; deber hacer
cuestionarios y definir cuantas pruebas estime oportunas;
adems debe crear sus metodologas necesarias para
auditar reas o aspectos que defina en el plan auditor.

EL PLAN AUDITOR INFORMATICO

Es el esquema mas importante del auditor informatico
Las partes con las que cuenta un plan auditor informatico
son:
- Funciones
- Procedimientos para las distintas tareas de las auditorias
- Tipos de auditoria
- Sistema de evaluacin
- Nivel de exposicin
- Lista de distribucin de informes
- Seguimiento de acciones correctorias
- Plan quincenal
- Plan de trabajo anual

AUDITORIA INTERNA Y EXTERNA

La auditoria interna es la realizada con recursos materiales y
personas que pertenecen a la empresa auditada, sta existe
por expresa decisin de la empresa.
Ventajas de la auditoria interna
Puede actuar peridicamente realizando Revisiones globales,
como parte de su Plan Anual y de su actividad normal.
Los auditados conocen estos planes y se habitan a las
Auditorias, especialmente cuando las consecuencias de las
Recomendaciones habidas benefician su trabajo.
Por otro lado, la auditoria externa es realizada por personas
afines a la empresa auditada; se presupone una mayor
objetividad que en la Auditoria Interna, debido al mayor
distanciamiento entre auditores y auditados.

AUDITORIA INTERNA Y EXTERNA

Una Empresa o Institucin que posee auditoria interna puede
y debe en ocasiones contratar servicios de auditoria
externa. Las razones para hacerlo suelen ser:
- Necesidad de auditar una materia de gran especializacin,
para la cual los servicios propios no estn suficientemente
capacitados.
- Contrastar algn Informe interno con el que resulte del
externo, en aquellos supuestos de emisin interna de graves
recomendaciones que chocan con la opinin generalizada
de la propia empresa.
- Es necesario que se le realicen auditoras externas como
para tener una visin desde afuera de la empresa.

NORMAS
Personales
Ejecucin del trabajo
Informacin

TCNICAS

Estudio General
Anlisis
Inspeccin
Confirmacin
Investigacin
Declaracin
Certificacin
Observacin
Clculo

PROCEDIMIENTOS

Obtener conocimientos
Analizar las caractersticas del control interno
Verificar resultados
Dar conclusiones

HERRAMIENTAS
Cuestionario general inicial
Cuestionario Checklist
Estndares
Monitores
Simuladores (Generadores de datos)
Paquetes de auditora (Generadores de
Programas)
Matrices de riesgo

3.5 CONTROL INTERNO INFORMTICO. SUS MTODOS Y

PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL
3.5.1 LA FUNCIN DEL CONTROL AUTOMTICO INDEPENDIENTE, DEBE
SER INDEPENDIENTE DEL DEPARTAMENTO CONTROLADO
- EL REA INFORMTICA MONTA LOS PROCESOS INFORMTICOS
SEGUROS.
- EL CONTROL INTERNO MONTA LOS CONTROLES.
-L A A U D I T O R I A I N F O R M T I C A E V A L A E L G R A D O D E C O N T R O L
LA AUDITORIA INFORMTICA
-T I E N E
LA
FUNCIN
DE
VIGILANCIA
Y
EVALUACIN
MEDIANTE
DICTMENES Y TODAS SUS METODOLOGAS VAN ENCAMINADAS A
ESTA FUNCIN.
-T I E N E S U S P R O P I O S O B J E T I V O S D I S T I N T O S A L O S A U D I T O R E S D E
CUENTAS AUNQUE NECESARIOS PARA QUE STAS PUEDAN UTILIZAR
LA
INFORMACIN
DE
SUS
SISTEMAS PARA
SUS
EVALUACIONES
FINANCIERAS
Y
OPERATIVAS.
EVALAN
EFICIENCIA,
COSTO
Y
SEGURIDAD EN SU MS AMPLIA VISIN, ESTO ES TODO LOS RIESGOS
INFORMATIVOS Y YA SEAN LOS CLSICOS (CONFIDENCIALIDAD,
INTEGRIDAD Y DISPONIBILIDAD) O LOS COSTOS Y LOS JURDICOS,
DADO QUE YA NO HAY UNA CLARA SEPARACIN EN LA MAYORA DE
LOS CASOS.
-O P E R A N S E G N E L P L A N O A U D I T O R
-U T I L I Z A N M E T O D O L O G A S D E E V A L U A C I N D E T I P O C U A L I T A T I V O .
-E S T A B L E C E N P L A N E S Q U I N Q U E N A L E S C O M O C I C L O S C O M P L E T O S
-S I S T E M A S D E E V A L U A C I N D E R E P E T I C I N D E L A A U D I T O R I A P O R
NIVEL DE EXPOSICIN DEL REA AUDITADA Y EL RESULTADO DE LA
LTIMA AUDITORIA DE STA REA.
-L A F U N C I N D E S O P O R T E I N F O R M T I C O D E T O D O S L O S A U D I T O R E S
(OPCIONALMENTE), AUNQUE DEJANDO CLARO QUE NO SE DEBE
PENSAR CON ESTO QUE LA AUDITORIA INFORMTICA CONSISTE EN
ESTO SOLAMENTE.

CONTROL INTERNO INFORMTICO. SUS MTODOS Y

PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL
CONTROL INFORMTICO
- Tiene funciones propias (administracin de la seguridad lgica, etc)
- Funciones de control dual con otros departamentos
- Funciones normativas y del cumplimiento del marco jurdico.
- Operan segn procedimientos de control en los que se ven involucrados y que luego
desarrollarn.
- Al igual que en la auditoria y de forma opcional puede ser el soporte informtico de
control interno no informtico
FUNCIONES DE CONTROL INTERNO
- Ms comunes
- Definicin de propietarios y perfiles segn clasificacin de la informacin (utilizando
metodologa)
- Administracin delegada en control dual (dos personas intervienen en una accin)
como medida de control de la seguridad lgica .
- Responsable del desarrollo y actualizacin del plan de contingencias, manuales,
procedimientos y plan de seguridad.
- Promueve el plan de seguridad informtico al comit de seguridad.
- Dictar normas de seguridad informtica.
- Definir los procedimientos de control.
- Control del entorno.
- Control de soporte magntico segn clasificacin de la informacin.
- Control de soporte fsico (listado, etc)

CONTROL INTERNO INFORMTICO. SUS MTODOS Y

PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL

FUNCIONES DE CONTROL INTERNO

Control de informacin comprometida o sensible.
Control de micro informtica y usuarios
Control de calidad de software
Control de calidad del servicio informtico
Control de costes
Responsable del departamento (gestin de recursos humanos y tcnicos)
Control de licencias y relaciones contractuales con terceros.
Control y manejo de claves de cifrado
Relaciones externas con entidades relacionadas con la seguridad de la informacin.
Definicin de requerimientos de seguridad de proyectos nuevos.
Vigilancia del cumplimiento de las normas y controles.
Control de cambios y versiones
Control de paso de aplicaciones a explotaciones
Control de medidas de seguridad fsica o corporativa en la informtica
Responsable de datos personales (LOPD y cdigo penal)
Otros controles que se designen
Otras funciones que se designen.

CONTROL INTERNO INFORMTICO. SUS MTODOS Y

PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL
- El objetivo es de que exista una actuacin segura entre los usuarios, la informtica y
control interno. Todos ellos auditados por auditoria informtica
- El plan de Seguridad Informatica tiene 2 proyectos de vital importancia clasificacin
de la informacin (B) y procedimientos de control (C)

Contramedida
1

Anlisis de
riesgo

Objetivo de
control

Clasificacin
de la
B
informacin
tecnologa
Objetivo de
Control 1
C

Objetivo de
Control 2

Contramedida
2
Contramedida
3

Plan de
acciones

3.5.2 METODOLOGAS DE CLASIFICACION DE LA

INFORMACION Y DE OBTENCION DE LOS PROCEDIMIENTOS
DE CONTROL
CLASIFICACION DE LA INFORMACION.

Metodologa PRIMA

SI IDENTIFICAMOS DISTINTOS NIVELES DE CONTRAMEDIDIAS PARA

DISTINTSAS ENTIDADES DE INFORMACIN CON DISTINTOS NIVELES DE
CRITICIDAD, ESTAREMOS OPTIMIZAMOS LA EFICIENCIA DE LAS
CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS.
ENTIDAD DE INFORMACIN.- ES EL OBJETIVO A PROTEGER EN EL ENTORNO
INFORMTICO Y QUE LA CLASIFICACIN DE LA INFORMACIN AYUDA A
PROTEGER, ESPECIALIZANDO LAS CONTRAMEDIDAS SEGN EL NIVEL DE
CONFIDENCIALIDAD O IMPORTANCIA QUE TENGAN.
METODOLOGA DEL TIPO CUALITATIVO/SUBJETIVO CON JERARQUAS QUE
SEGN SEAN PRESERVACIN: VITAL-CRITICA VALUADA -NO SENSIBLE. O
PROTECCIN: ALTAMENTE CONFIDENCIAL-CONFIDENCIAL-RESTRINGIDA NO SENSIBLE.
PRIMA DEFINE BASICAMENTE:
- ESTRATEGICA (MUY CONFIDENCIAL, MUY RESTRINGIDA)
- RESTRINGIDA (A LOS PROPIETARIOS DE LA INFORMACIN)
- DE USO INTERNO (A TODOS LOS EMPLEADOS)
- DE USO GENERAL (SIN RESTRICCIN)

LOS PASOS DE LA METODOLOGA SON LOS SIGUIENTES:

1. Identificacin de la informacin

2. Inventario de entidades de informacin residentes y operativas

3. Identificacin de propietarios
4. Definicin de jerarquas de informacin
5. Definicin de la matriz de clasificacin
6. Confeccin de la matriz de clasificacin
7. Realizacin del plan de acciones
8. Implantacin y mantenimiento
OBTENCIN DE LOS PROCEDIMIENTOS DE CONTROL:
METODOLOGA:

Fase 1.- Definicin de objetivos de control:

Tarea 1: Anlisis de la empresa
Tarea 2: Recopilacin de estndares
Tarea 3: Definicin de los objetivos de control
Fase 2.- Definicin de los controles:
Tarea 1: Definicin de los controles
Tarea 2: Definicin de necesidades tecnolgicas
Tarea 3: Definicin de los procedimientos de control
Tarea 4: Definicin de las necesidades de recursos humanos

Fase 3: Implantacin de los controles:

- Procedimientos propios de control de la actividad informtica
- Procedimiento de distintas reas usuarias de la informtica, mejorados
- Procedimientos de reas informticas mejorados
- Procedimiento de control dual entre control interno informtica y el rea informtica, los
usuarios informticos y el rea de control no informtico.

3.5.3 LAS HERRAMIENTAS DE CONTROL

Las herramientas de control (software) ms comunes son:
- Seguridad lgica del sistema
- Seguridad lgica complementaria al sistema
- Seguridad lgica para entornos distribuidos. Control de acceso fsico
- Control de copias
- Gestin de soportes magnticos
- Gestin y control de impresin y envos de listados por red.
- Control de proyectos
- Control de versiones
- Control y gestin de incidencias
- Control de cambios
- Etc.

OBJETIVOS DE CONTROL DE ACCESO LOGICO

Segregacin de funciones entre los usuarios del sistema s productores de
software, jefes de proyecto, tcnico de sistemas, operadores de explotacin,
operadores de telecomunicaciones, grupo de usuarios de aplicaciones,
administrador de la seguridad lgica, auditoria, y tantos como se designen.
Integridad de los LOG e imposibilidad de desactivarlos por ningn perfil
para poder revisarlos .
Gestin centralizada de la seguridad o al menos nica.
Contrasea nica para los distintos sistemas de la red y la autentificacin de
entrada una sola vez. Y una vez dentro, controlar los derechos de uso.
La contrasea y archivos con perfiles y derechos y la inaccesibles a todos,
incluso a los administradores de seguridad.
El sistema debe rechazar a los usuarios que no usan la clave del sistema
correctamente, inhabilitando y avisando a control que tomar las medidas
oportunas.
Separacin de entornos
El LOG o los LOGs de actividad no podrn desactivarse a voluntad, y si se
duda de su integridad o carencia, resolver con un terminal externo
controlado.
El sistema debe obligar al usuario a cambiar la contrasea, de forma que slo
la conozca l, que es la nica garanta de autenticidad de sus datos.
Es frecuente encontrar mecanismos de auto-LOGOUT, que expulsan del
sistema la terminal que permanece inactiva ms de un tiempo determinado.

EST CONTROLADA LA SEGURIDAD LGICA EN LA ACTUALIDAD? SE CUMPLE EL

MARCO JURDICO SIN SEGURIDAD LGICA?; LA FORMA MS APROPIADA DE RESOLVER
ESTE PROBLEMA ES UTILIZAR UN MTODO PRCTICO QUE DESARROLLAREMOS:
ANLISIS DE PLATAFORMA
CATLOGO DE REQUERIMIENTO PREVIOS DE IMPLANTACIN
ANLISIS DE APLICACIONES
INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS
(en este punto trataremos todo el esquema de funcionalidades de la seguridad lgica
actual; crear nuevas jerarquas de estndares a cumplir y tratar de definir los controles
que se deberan tener, ya sea de usuario de las aplicaciones como de los usuarios de
los sistemas y el uso de las herramientas)

ADMINISTRACIN DE LA SEGURIDAD; nos interesa ver las siguientes funcionalidades u

objetivos de control requeridos al nuevo sistema de control de acceso:
- Permite el producto establecer un conjunto de reglas de control aplicables a todos
los recursos del sistema?
- Permite el producto al administrador de seguridad establecer un perfil de privilegios
de acceso para un usuario o grupos de usuarios
Permite el producto al administrador de seguridad asignar diferentes
administradores?
- Permite el producto al administrador de seguridad asignar a estos administradores
la responsabilidad de gestionar privilegios de acceso para grupos y recursos definidos?
- Permite a un administrador pedir acceso para l mismo, tanto como para cualquier
usuario de su rea de responsabilidad?
- impide el producto que un administrador se provea l mismo de sus propias
peticiones?