Indicaciones para elaborar plan de auditora

Una vez ustedes hayan realizado sus aportes sobre las vulnerabilidades, amenazas y riesgos, y
consolidado el cuadro, se darn cuenta que algunos de esos riesgos se repiten en los aportes de
varios de los compaeros y hay algunos de ellos que pueden ocasionar daos graves a la empresa o
al sistema auditado.

Teniendo en cuenta lo anteriormente mencionado, ustedes deben hacer la seleccin de la empresa

a auditar teniendo en cuanta que puedan tener facilidad de acceso a la informacin, a los procesos
informticos y a los recursos informticos que tenga esa organizacin.

Una vez seleccionada la empresa ustedes deben definir cul ser el objetivo de la auditora, para
hacerlo deben tener en cuenta los riesgos que se presentan con mayor frecuencia y cules son los
que causaran mayores daos a los recursos informticos o sistemas de informacin de llegar a
ocurrir.

Por ejemplo si los riesgos ms frecuentes son en las redes y en manejo de los sistemas por falta de
capacitacin, entonces el objetivo de la auditora sera: Realizar la auditora a la red de datos y al
manejo del hardware y software por parte de los usuarios dentro de la empresa xxxxxx de la
ciudad de xxxxxx.

Una vez est definido el objetivo general, para alcanzarlo se definen los objetivos especficos
teniendo en cuenta la metodologa de la auditora que se descompone en tres o cuatro fases
dependiendo si es una auditora interna donde ya se conoce el rea o sistema auditado, o es una
auditora externa donde an no se conoce el sistema o rea auditada. Las fases son: conocer el
sistema, planear la auditora, ejecutar la auditora, y la fase de resultados, para cada fase se define
un objetivo especfico. Por ejemplo los objetivos especficos del ejemplo seran:

Objetivo 1: Conocer las redes de datos que soportan la infraestructura tecnolgica y los usuarios
de los sistemas con el fin de analizar algunos de los riesgos que puedan presentarse realizando
visitas a la empresa y entrevistas con los usuarios.

Objetivo 2: Elaborar el plan de auditora diseando los formatos de recoleccin de informacin,

el plan de pruebas a realizar, seleccionando el estndar a aplicar y los procesos relacionados con
el objetivo de esta auditora, para obtener una informacin confiable.

Objetivo 3: Ejecutar las pruebas que han sido diseadas y aplicar los instrumentos que se han
diseado para determinar los riesgos existentes en la red de datos y los riesgos ms frecuentes
que enfrentan los usuarios en su cotidianidad para elaborar la matriz de riesgos y medir la
probabilidad de ocurrencia y el impacto que causa.

Objetivo 4: Realizar el dictamen de la auditora para los procesos evaluados en el estndar, y

presentar el informe de resultados de la auditora.

Una vez definidos los objetivos de la auditora, de cada recurso informtico que ser evaluado en el
objetivo general, se menciona los aspectos ms relevantes que sern evaluados en cada uno de
ellos. Para este caso los alcances seran:
De la red de datos se evaluar los siguientes aspectos:

- El inventario hardware de redes

- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- La administracin de los usuarios en la red

De los usuarios se evaluar:

- La competencia de los usuarios en el manejo de la tecnologa

- La formacin de cada uno de los usuarios respecto al cargo desempeado
- La experiencia de los usuarios
- Los programas de capacitacin de los usuarios de la tecnologa

Estos sern los aspectos elegidos para ser evaluados y que tienen relacin directa con las
vulnerabilidades, amenazas y riesgos encontrados inicialmente.

Posteriormente se debe especificar la metodologa que est ligada al cumplimiento de los objetivos
especficos, cada objetivo especfico se descompone en actividades que se debern realizar para
poder cumplirlos. Voy a dar el ejemplo con el primer objetivo:

Metodologa para Objetivo 1: Conocer las redes de datos que soportan la infraestructura
tecnolgica y los usuarios de los sistemas con el fin de analizar algunos de los riesgos que puedan
presentarse realizando visitas a la empresa y entrevistas con los usuarios.

- Solicitar la documentacin de los planes de la red

- Solicitar el inventario del hardware de las redes
- Realizar una entrevista inicial con el encargado de administrar la red
- Conocer los problemas ms frecuentes en la red por parte de los usuarios
- Solicitar informacin de los usuarios
- Aplicar una encuesta inicial para medir el grado de dominio de los usuarios de los recursos
tecnolgicos
- Solicitar un informe de las capacitaciones realizadas en el manejo de tecnologa y de los
sistemas
- Entrevistar a usuarios calves para conocer la opinin acerca de los programas de
formacin y capacitacin

Estas son las actividades para lograr el primer objetivo, de la misma manera se hace para los otros
tres objetivos especficos planteados.

Posteriormente se hace una relacin de los recursos que uno necesita para desarrollar la auditora,
en este caso los recursos se dividen en talento humano que sern ustedes, los recursos fsicos que
son el sitio o empresa donde se llevar a cabo la auditora, los recursos tecnolgicos (el hardware,
cmaras, grabadoras digitales, memorias, celulares y el software que se necesite para pruebas) y los
recursos econmicos que se presentan en una tabla de presupuesto.
Recursos humanos:

Nombres y apellidos de los integrantes del grupo.

Recursos fsicos: la auditora se llevar a cabo en la empresa xxxxx de la ciudad de xxxx a las redes
y los usuarios de los sistemas.

Recursos tecnolgicos: grabadora digital para entrevistas, cmara fotogrfica para pruebas que
servirn de evidencia, computador porttil, software para pruebas de auditora sobre escaneo y
trfico en la red

Recursos econmicos:

tem Cantidad subtotal

Computador 2 2.000.000
Cmara digital 1 400.000
Grabadora digital 1 120.000
otros . .

Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANNT, para

construirlo se toman las actividades que han sido definidas para cumplir cada objetivo y se especifica
el tiempo de duracin de cada actividad en el tiempo. El tiempo se debe definir desde ahora hasta
la entrega final del informe de auditora.

Cronograma

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4

ACTIVIDAD 1
Fase ACTIVIDAD 2
conocimiernto .
ACTIVIDAD 3
Fase ACTIVIDAD 4
Planeacin de
la auditora
ACTIVIDAD 5
Fase
Ejecucin ACTIVIDAD 6
auditoria ACTIVIDAD 7

Fase de
ACTIVIDAD 8
resultados
Por favor tener en cuenta el ejemplo enviado
anteriormente y el ejemplo que est en el
blog donde pueden encontrar el plan de
auditoria completo EN LA OPCIN DEL MEN
MEMORANDO DE PLANEACIN

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.h
tml