Indicaciones para elaborar plan de auditoría

Para la selección de la empresa a auditar deben tener en cuenta que deberán

tener facilidad de acceso a la información, a los procesos informáticos y a los
recursos informáticos que tenga esa organización. En general la información que
se necesita para la auditoria está relacionada con el uso de las TICs en la
empresa.
Una vez se hayan realizado sus aportes sobre la descripción de la empresa
seleccionada, se debe hacer la búsqueda de los problemas que se presentan en la
empresa con el uso y manejo de los activos informáticos o sistemas de
información o en el área informática o de TIC’s con la intención de descubrir las
vulnerabilidades, amenazas, riesgos posibles detectados inicialmente y cuáles son
los activos informáticos (hardware, redes, seguridad física, seguridad lógica,
talento humano, software, equipos auxiliares de regulación y alimentación
eléctrica, bases de datos, sistemas operativos, servidores, servicios de red,
servicios que presta el área informática, usuarios de los sistemas, empleados del
área informática) impactados por la ocurrencia de los riesgos.

Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la

empresa propuesta agrupados por categorías

N Vulnerabilidad Amenazas Riesgo Categoría

°
1 Uso de software no Difusión de software Falta de actualización de Software
licenciado en la dañino los antivirus, ya que son
empresa copias ilegales que no
permiten su
actualización.
2 Adquisición de Manipulación de la Falta de actualización Software
software que no configuración del sistema operativo de
tiene soporte del Fallos en el sistema los equipos de cómputo
fabricante operativo que tienen Windows XP,
7, 8 y 10
3 No existe proceso Accesos no No existe directivas de Seguridad
de revisión de autorizados contraseñas para las lógica
contraseñas cuentas de usuario
4 Falta de control de Suplantación de Se encuentran activas Seguridad
cuentas de usuario identidad cuentas de usuario de lógica
personal que ya no
labora en la empresa.
5 No existen Desastres naturales No existen planes de Seguridad
 procedimientos para debido a movimiento contingencia en caso de lógica
la administración de telúricos pérdidas de información
la información y copias de seguridad.
6 Ausencia de planes Desastres naturales No se realizan copias Seguridad
para recuperación de seguridad de manera lógica
de información periódica de la
información sensible en
medios externos.
7 No existe control de Intercepción No se utiliza ningún Seguridad
acceso a la Modificación sistema de cifrado de lógica
información discos en el servidor o
en los equipos
8 La información Intercepción Los sistemas de Seguridad
transmitida no está Modificación información disponibles lógica
cifrada o hay no cifran los datos
pérdida de cuando se están
información almacenando o
transmitiendo
9 Falta de Errores de usuario El personal no cuenta Talento
conocimiento de los con programas de Humano -
usuarios en el tema capacitación y formación usuarios
de seguridad en seguridad informática
informática y de la y de la información.
información
10 No existe un Control Utilización de los No existe control de Redes
y monitoreo en el recursos del sistema acceso a direcciones de
acceso a Internet para fines no previstos internet por parte del
administrador, lo que
hace insegura a la red
de datos
11 Acceso no Acceso físico a los Los servidores y equipos Talento
autorizado al área recursos del sistema del área de sistemas no Humano –
de sistemas se encuentran bajo personal
algún armario cerrado o de la
en alguna oficina con empresa
acceso restringido.
12 No existe control de Introducción de Alteración o pérdida de Hardware
los dispositivos de información falsa la información registrada
almacenamiento en base
(usb, cd, discos) de datos o equipos
13 Acceso no Entrada o Accesos no No se tiene Talento
autorizado a las autorizados implementado un Humano –
áreas restringidas sistema de identificación personal
de empleados, interno y
visitantes, visitantes
acompañantes y registro empresa
 de visitantes.
14 Ausencia de un No establecer políticas No existe un proceso de Talento
Sistema de Gestión y procedimientos de auditoría a la seguridad Humano –
de Seguridad de la seguridad de la informática y de la personal
Información información. información que área
garantice el sistema de informática
control adecuado para la
implementación de
políticas y
procedimientos en el
Sistema de Seguridad.
15 Fuga de información Mal uso del correo Uso indebido del correo Seguridad
institucional, ya que no de electrónico para el lógica
se utiliza solo para envío de información a
comunicación laboral. personal externo
16 Robo de información Falta de control de Falta de controles y Seguridad
acceso en internet restricciones para el lógica
acceso a internet.
17 Fallas en el Bajas de voltaje y Solo existe una ups la Hardware
suministro de poca concientización cual se tiene para el
energía por parte del personal servidor Hp Proliant
administrativo. Ml110 G6, en caso de un
bajón de energía, no
alcanza a soportar con la
conectividad de todos
los computadores e
impresoras
multifuncionales de la
empresa
18 No existe sistema Atentados a las El empleado o trabajador
Talento
de vigilancia y instalaciones de la puede ser una víctima Humano –
personal suficiente empresa (vandalismo) directa o indirecta de personal
para vigilancia una agresión externa ende
interna. contra de la Empresa. seguridad
en la
empresa
19 No se hace revisión Accesos No Al no contar con VPN, Seguridad
de virus, troyanos y autorizados al sistema no analiza el tráfico por lógica
espías en la VPN a VPN IPSec, L”TP, PPTP
través del uso de y SSL en busca de
sistema de usuario software
remoto (acceso malintencionado, correo
remoto) no deseado, contenidos
inapropiados e
intusiones.
20 No existe un firewall Accesos No La no aplicabilidad en Seguridad
 activo. autorizados Firewall – saber qué lógica
puertos se deben
bloquear o permitir, la
forma de interactuar con
ella o es propietario de
ella, quien tiene acceso
a la consola de control.
21 Falta de Fallas en la Falta de actualización y Software
capacitación del configuración de los configuración adecuada
personal del área equipos del equipo por parte del
informática. personal del área de
sistemas

22 El cableado Daños de las Algunos de los Redes

estructurado no comunicaciones. segmentos de la red se
cumple con las encuentran a la
normas intemperie lo que puede
causar manipulación de
red, daños a la red,
rupturas y su transmisión
de datos presentan
caídas de paquetes de
información.
23 No hay seguimiento No existe Detección El Ingeniero encargado Seguridad
a los controles de de intrusiones, la administración de los lógica
seguridad del contención y/o sistemas de la empresa,
sistema informático eliminación. no cumple con las
funciones de
administración de la
seguridad del sistema y
tampoco tiene
implementados controles
de seguridad por lo que
se han presentado
ataques al sistema
24 No se controla los No existe perfiles de Modificación sin Seguridad
permisos y usuario en el sistema autorización de los lógica
privilegios de los datos, o de software
usuarios instalado en el sistema,
incluyendo borrado de
archivos.

25 Fallos en la red LAN Mala configuración de Existen fallas en la Redes

la seguridad de los seguridad y las
dispositivos de red comunicaciones
tales como routers, originadas por la
 switches. inadecuada
configuración de los
dispositivos de la red.

26 Fallas en los Caídas de los Ausencia de parches de Software

sistemas operativos sistemas operativos seguridad y
instalados sin actualizaciones, pérdida
licencia de información.

Una vez se han identificado los activos informáticos que se afectan con mayor
frecuencia, estos se convertirán en los activos que serán objetivo general de la
auditoria. En el plan de auditoria se mencionará como objetivo general esos
activos que están siendo impactados de acuerdo con los problemas
(vulnerabilidades, amenazas, riesgos) detectados inicialmente en la empresa
seleccionada.

En el cuadro anterior se puede evidenciar que los activos informáticos más

impactados por los problemas detectados inicialmente son: la seguridad lógica, el
talento humano, el software y las redes en su orden.

En este caso el Objetivo de la auditoria sería: Evaluar la seguridad lógica, el

talento humano (empleados, seguridad, usuarios, empleados área
informática), el software instalado y el funcionamiento de la red y los
servicios de red en la empresa XXXXX de la ciudad de XXXXXXX.

Una vez está definido el objetivo general, para alcanzarlo se definen los objetivos
específicos teniendo en cuenta la metodología de la auditoría que se descompone
en cuatro fases: Conocer el sistema o área auditada, planear la auditoría, ejecutar
la auditoría, y la fase de resultados. Para cumplir cada fase se define un objetivo
específico.
Objetivo 1: Conocer la seguridad lógica, el talento humano contratado por la
empresa, el software instalado, y el funcionamiento de la red de datos para
conocer los problemas existentes, analizando las vulnerabilidades y amenazas
que originan los riesgos con el propósito de obtener soluciones viables.
Objetivo 2: Elaborar el plan de auditoría para determinar actividades que se
desarrollan en la auditoria y la asignación de los recursos para cada actividad en
el tiempo, elaborar los instrumentos de recolección de información que permitan
conocer otros riesgos que no han sido detectados inicialmente, diseñar las
pruebas que permitan evidenciar los riesgos, y determinar del estándar CobIT
cuales de los procesos tienen relación directa con el objetivo general y que serán
evaluados.
Objetivo 3: Ejecutar las pruebas y aplicar los instrumentos de recolección de
información que se han diseñado para encontrar los riesgos existentes para los
procesos de CobIT relacionados directamente con los activos a evaluar, y aplicar
las listas de chequeo para verificar los controles existentes (seguridad lógica, el
talento humano (empleados, seguridad, usuarios, empleados área informática), el
software instalado y el funcionamiento de la red y los servicios de red),
posteriormente hacer el análisis y evaluación de riesgos para determinar las
posibles causas que originan los riesgos y valorar los riesgos por probabilidad e
impacto para buscar las mejores soluciones que permitan mitigarlos.
Objetivo 4: Determinar los hallazgos encontrados con sus respectivas pruebas,
elaborar el dictamen de la auditoría para cada proceso de CobIT evaluado que
permita medir el nivel de madurez de la empresa, y elaborar el informe final de los
hallazgos encontrados y las recomendaciones de solución de esos problemas en
la empresa.
Una vez definidos los objetivos específicos de la auditoría, se toma los activos
informáticos que serán el objetivo de la auditoria (seguridad lógica, el talento
humano (empleados, seguridad, usuarios, empleados área informática), el
software instalado y el funcionamiento de la red y los servicios de red) y se
menciona que aspectos serán evaluados, de acuerdo con los problemas
detectados inicialmente. Esos aspectos mencionados sobre cada uno de esos
activos informáticos objeto de la auditoria se denominan los alcances de la
auditoria.

Para este caso, los alcances de la auditoria serán:

De la seguridad lógica:
- La asignación de login y password para acceso a los sistemas.
- El control de acceso a la información confidencial de la empresa
- El cambio periódico de claves y las claves usadas por los usuarios
- Problemas de ingeniería social para acceso a las claves, información y
sistemas
De la red de datos se evaluará los siguientes aspectos:
- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de normas de cableado estructurado
- La seguridad de acceso a los elementos de la red
- Configuración de los servicios de red disponibles
- La administración de los usuarios en la red
- Administración de seguridad en la red
Del talento humano
- Capacitación y formación talento humano
- Cumplimiento de funciones por los empleados del área informática
 - Contratación de personal de seguridad para la empresa
- Controles de las visitas y acompañamiento de visitantes al interior de la
empresa
- Responsables de la seguridad física y lógica
- Responsables de información sensible de la empresa
- Formación en seguridad de los empleados
la seguridad física se evaluará:
- Los sistemas de seguridad existentes en la empresa
- El personal de seguridad en la entrada y salida y al interior de la empresa
- La demarcación de oficinas y zonas restringidas y el mapa de ubicación de
las oficinas
- Los sistemas contra incendios
- Los planes de contingencia en caso de desastre
- Capacitación de personal para eventos de desastre.
Hay que tener en cuenta que estos aspectos fueron extraídos de los problemas
detectados inicialmente con respecto a las vulnerabilidades, amenazas y riesgos
existentes en la empresa. Por lo tanto, la persona que propuso la empresa deberá
brindar la información necesaria para poder determinar esos aspectos a evaluar.
El siguiente punto del plan de auditoria es la metodología que está ligada al
cumplimiento de los objetivos específicos, donde cada objetivo específico se
descompone en actividades o tareas que se deben realizar para cada uno de
ellos. En el siguiente ejemplo se muestra la metodología para cumplir el objetivo
específico 1:
Metodología Objetivo 1: Conocer la seguridad lógica, el talento humano
contratado por la empresa, el software instalado, y el funcionamiento de la red de
datos para conocer los problemas existentes, analizando las vulnerabilidades y
amenazas que originan los riesgos con el propósito de obtener soluciones viables.
- Solicitar el documento de políticas y procedimientos de seguridad
existentes
- Solicitar información del hardware de redes y el inventario de software
instalado en cada equipo.
- Solicitar la documentación de los planos de la red
- Solicitar información del personal para seguridad interna, a la entrada
y salida
- Solicitar información sobre las capacitaciones del personal y su
formación
- Realizar una entrevista con el personal de seguridad y con los
empleados para determinar algunos riesgos al respecto.
 - Realizar una entrevista inicial con el encargado de administrar la red
para conocer los problemas más frecuentes en la red
- Realizar una entrevista inicial con el encargado de administrar el
sistema para determinar los problemas de seguridad física y lógica
existentes
- Obtener información sobre incidentes de seguridad física y lógica que
se hayan presentado en la empresa.
De la misma manera se hará para los otros objetivos específicos que han sido
planteados.
El siguiente punto en el plan de auditoría es hacer una relación de los recursos
que se necesitan para desarrollar la auditoría, los recursos pueden ser: Talento
humano que serán ustedes como auditores, los recursos físicos o sitio donde se
lleva a cabo la auditoria, los recursos tecnológicos (el hardware, cámaras,
grabadoras digitales, memorias, celulares y el software que se necesite para
pruebas) y los recursos económicos que se presentan en una tabla de
presupuesto.
Recursos humanos:
Apellidos y Nombres Roles en la Auditoria
Estudiante 1 Auditor Junior
Estudiante 2 Auditor Junior
Estudiante 3 Líder Auditor
Estudiante 4 Auditor Junior
Estudiante 5 Auditor Junior

Recursos físicos: la auditoría se llevará a cabo en la empresa xxxxx de la ciudad

de xxxx específicamente en el área de las TICs.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica
para pruebas que servirán de evidencia, computador portátil, software para
pruebas de auditoría sobre escaneo y tráfico en la red.
Recursos económicos:
Ítem Cantidad subtotal
Computador 2 000.000
Cámara digital 1 000.000
Grabadora digital 1 000.000
otros …. ….

Total 0000000000
Y finalmente se hace el cronograma de actividades, donde se determina el tiempo
de duración de cada una de las actividades programadas para cumplir los
objetivos específicos. Se representa mediante un diagrama de GANNT, para
construirlo se toman las actividades generales de cada objetivo y se especifica el
tiempo de duración de cada actividad. Para el tiempo, deben tener en cuenta la
agenda de actividades del curso.

Mes 1 Mes 2 Mes 3

Actividad
 1  2  3  4  1  2  3  4  1  2  3  4

ACTIVIDAD 1
Objetivo 1 ACTIVIDAD 2
…….
ACTIVIDAD 3
Objetivo 2 ACTIVIDAD 4
ACTIVIDAD 5

Objetivo 3 ACTIVIDAD 6
ACTIVIDAD 7

Objetivo 4 ACTIVIDAD 8

NOTA: Revisar el ejemplo que está en el blog

del curso. En el submenú de plan de
auditoria.
El link del blog es el siguiente:
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.h
tml