Indicaciones para elaborar plan de auditoría

Para la selección de la empresa a auditar deben tener en cuenta que deberán tener facilidad de
acceso a la información del área informática, a los procesos informáticos y a los recursos
informáticos que tenga esa organización. En general la información que se necesita para la
auditoria está relacionada con el uso de las TICs en la empresa. Recuerden que es mejor no
mencionar la palabra AUDITORIA, sino decir que deben hacer un trabajo de revisión del
funcionamiento de la tecnología dentro de la empresa o del uso de TIC’s en la empresa, debido a
que la auditoria que se aplica actualmente está relacionada con los estados financieros de la
empresa.

Una vez se ha realizado la observación de las vulnerabilidades, amenazas y riesgos existentes en la

empresa seleccionada y que fueron expuestos en la tabla enviada en el ejemplo anterior, en la
columna categoría aparecerán los activos informáticos que se ven impactados o afectados por la
ocurrencia de los riesgos, esos activos que se muestran allí servirán para definir el objetivo de la
auditoria y los alcances de la misma, y esto garantiza que se van a encontrar esos riesgos y otros
más en el proceso de auditoría que están asociados a esos activos informáticos.

En la siguiente tabla tomada del ejemplo que se les envió anteriormente, se puede ver la columna
categoría, y que los riesgos afectan o impactan al software, la seguridad física, el control de acceso
físico del personal, y el hardware.

Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la empresa propuesta

agrupados por categorías (hardware, software, redes, comunicaciones, seguridad física,
seguridad lógica, personal del área, bases de datos, sistemas operativos, entre otros).

N° Vulnerabilidad Amenazas Riesgo Categoría

1 Uso de software no Difusión de software Falta de actualización de los Software
licenciado en la empresa dañino antivirus, ya que son copias
ilegales que no permiten su
actualización.
2 Adquisición de software Manipulación de la Falta de actualización del Software
que no tiene soporte del configuración sistema operativo de los
fabricante Fallos en el sistema equipos de cómputo que
operativo tienen Windows XP, 7, 8 y 10
3 No existe proceso de Accesos no autorizados No existe directivas de Seguridad
revisión de contraseñas contraseñas para las cuentas lógica
de usuario
4 Falta de control de Suplantación de identidad Se encuentran activas cuentas Seguridad
cuentas de usuario de usuario de personal que ya lógica
no labora en la empresa.
5 No existen Desastres naturales debido No existen planes de Seguridad
procedimientos para la a movimiento telúricos contingencia en caso de lógica
administración de la pérdidas de información y
información copias de seguridad.
6 Ausencia de planes para Desastres naturales No se realizan copias de Seguridad
 recuperación de seguridad de manera lógica
información periódica de la información
sensible en medios externos.
7 No existe control de Intercepción No se utiliza ningún sistema Seguridad
acceso a la información Modificación de cifrado de discos en el lógica
servidor o en los equipos
8 La información Intercepción Los sistemas de información Seguridad
transmitida no está Modificación disponibles no cifran los datos lógica
cifrada o hay pérdida de cuando se están almacenando
información o transmitiendo
9 Falta de conocimiento Errores de usuario El personal no cuenta con Manejo y
de los usuarios en el programas de capacitación y control de
tema de seguridad formación en seguridad personal
informática y de la informática y de la
información información.
10 No existe un Control y Utilización de los recursos No existe control de acceso a Redes
monitoreo en el acceso del sistema para fines no direcciones de internet por
a Internet previstos parte del administrador, lo
que hace insegura a la red de
datos
11 Acceso no autorizado al Acceso físico a los recursos Los servidores y equipos del Manejo y
área de sistemas del sistema área de sistemas no se control de
encuentran bajo algún personal
armario cerrado o en alguna
oficina con acceso restringido.
12 No existe control de los Introducción de Alteración o pérdida de la Hardware
dispositivos de información falsa información registrada en
almacenamiento (usb, base
cd, discos) de datos o equipos
13 Acceso no autorizado a Entrada o Accesos no No se tiene implementado un Manejo y
las áreas restringidas autorizados sistema de identificación de control de
empleados, visitantes, personal
acompañantes y registro de
visitantes.
14 Ausencia de un Sistema No establecer políticas y No existe un proceso de Manejo y
de Gestión de Seguridad procedimientos de auditoría a la seguridad control de
de la Información seguridad de la informática y de la personal
información. información que garantice el
sistema de control adecuado
para la implementación de
políticas y procedimientos en
el Sistema de Seguridad.
16 Robo de información Falta de control de acceso Falta de controles y Seguridad
en internet restricciones para el acceso a lógica
internet.
17 Fallas en el suministro Bajas de voltaje y poca Solo existe una ups la cual se Hardware
de energía concientización por parte tiene para el servidor Hp
 del personal Proliant Ml110 G6, en caso de
administrativo. un bajón de energía, no
alcanza a soportar con la
conectividad de todos los
computadores e impresoras
multifuncionales de la
empresa

En este ejemplo, se puede identificar claramente que el objetivo de la auditoria debería estar
dirigido a evaluar la seguridad lógica, el control de acceso físico, el hardware y software. Y como se
pueden dar cuenta en cada uno de los riesgos se muestra de qué manera se ven afectados los
activos en la empresa, eso nos servirá para definir los alcances de la auditoría que son los aspectos
a evaluar de cada uno de los activos informáticos que están en el objetivo general.

El objetivo general de la auditoría se definirá debe ser concreto, claro y específico, mencionando
los activos informáticos donde se haya detectado las vulnerabilidades, amenazas y riesgos y que se
ven afectos por ellos. Continuando con el ejemplo, el objetivo general de la auditoría será:
evaluar la seguridad lógica, el control de acceso físico, el hardware y software en la empresa
XXXXXX de la ciudad de XXXXXX

Una vez está definido el objetivo general, se definen los objetivos específicos que tienen que ver
con la metodología en sus 4 fases (conocimiento sistema o área auditada, la planeación auditoria,
la ejecución auditoria, resultados de la auditoria). Para cada fase se define un objetivo específico
que permita cumplir cada fase. Por ejemplo:

Objetivo 1: Conocer el funcionamiento de los sistemas, la seguridad lógica y los usuarios con
acceso al mismo, determinar el funcionamiento de los sistemas de seguridad y control de acceso a
la empresa y zonas restringidas, evaluar el hardware y software existente en la empresa para la
detección de las vulnerabilidades y amenazas existentes que originan los riesgos mediante visitas a
la empresa y entrevistas con los usuarios.

Objetivo 2: Elaborar el plan de auditoría de acuerdo a los objetivos planteados, diseñar el plan de
pruebas que permitan evidenciar los riesgos, diseñar los formatos de fuentes de recolección de
información, y seleccionar el estándar que será aplicado para realizar la auditoria (CobIT).

Objetivo 3: Aplicar los instrumentos de recolección de información que se han diseñado, y

ejecutar las pruebas que han sido diseñadas para encontrar los riesgos existentes para los
procesos de CobIT que se haya elegido y posteriormente hacer el análisis y evaluación de riesgos
hasta descubrir los riesgos de mayor probabilidad e impacto y el tratamiento que se les dará a
cada uno de ellos.

Objetivo 4: Elaborar los informes de los hallazgos encontrados, el dictamen de la auditoría con la
medición del nivel de madurez, y el informe final de resultados de la auditoria.

NOTA: Estos objetivos específicos pueden copiarse y adaptarse de acuerdo a los riesgos que se
haya detectado en la empresa elegida
Una vez definidos los objetivos de la auditoría, tomamos los activos informáticos mencionados en
el objetivo general y para cada uno de ellos se determina que aspectos serán evaluados, estos
serán los alcances de la auditoria, por ejemplo:

De la seguridad física se evaluará:

- Los sistemas de seguridad existentes en la empresa

- El personal de seguridad en la entrada y salida y al interior de la empresa
- La demarcación de oficinas y zonas restringidas y el mapa de ubicación de las oficinas
- Los sistemas contra incendios
- Los planes de contingencia en caso de desastre
- Capacitación de personal para eventos de desastre.

De la seguridad lógica se evaluará:

- La seguridad de la red de datos

- La seguridad del sistema operativo
- La seguridad propia del sistema
- La seguridad de la base de datos
- Las cuentas de usuario con permisos y privilegios
- Los antivirus y licencias

Hay que tener en cuenta que estos aspectos a evaluar se obtienen del cuadro de vulnerabilidades,
amenazas y riesgos detectados inicialmente. Aquí es importante que la persona que propuso la
empresa brinde la información necesaria para poder determinar esas vulnerabilidades, amenazas
y riesgos para determinar los alcances concretos de la auditoria.

El siguiente punto del plan de auditoria es la metodología de la auditoría que está ligada al
cumplimiento de los objetivos específicos mencionados anteriormente, donde cada objetivo
específico se descompone en actividades o tareas para su cumplimiento. En el siguiente ejemplo
se muestra la metodología a seguir para cumplir el objetivo específico 1:

Objetivo 1: Conocer el funcionamiento de los sistemas, la seguridad lógica y los usuarios con
acceso al mismo, determinar el funcionamiento de los sistemas de seguridad y control de acceso a
la empresa y zonas restringidas, evaluar el hardware y software existente en la empresa para la
detección de las vulnerabilidades y amenazas existentes que originan los riesgos mediante visitas a
la empresa y entrevistas con los usuarios.

Metodología

- Solicitar un usuario para conocer el sistema y el funcionamiento de la seguridad lógica del

sistema
- Solicitar el registro de todos los usuarios activos en el sistema con permisos y privilegios
- Solicitar planes arquitectónicos del sistema de seguridad físico
- Solicitar el inventario de hardware y software
- Solicitar información del personal para seguridad interna, a la entrada y salida
- Solicitar información sobre los sistemas de seguridad y sistemas contra incendios
 - Realizar entrevistas con el personal de seguridad para conocer el funcionamiento y
procesos de seguridad física y control de acceso a la empresa y zonas restringidas
- Realizar una entrevista con el administrador del sistema y usuarios para obtener
información sobre incidentes de seguridad lógica que se hayan presentado.

NOTA: De la misma manera se hará para los otros objetivos específicos que han sido planteados.

El siguiente punto en el plan de auditoría será hacer una relación de los recursos que se necesitan
para desarrollar la auditoría, los recursos pueden ser: Talento humano que serán ustedes como
auditores, los recursos físicos o sitio donde se lleva a cabo la auditoria, los recursos tecnológicos
(el hardware, cámaras, grabadoras digitales, memorias, celulares y el software que se necesite
para pruebas) y los recursos económicos que se presentan en una tabla de presupuesto.

Recursos humanos: Nombres y apellidos de los integrantes del grupo.

Nombres y apellidos Rol o papel en la auditoria

Francisco Solarte Auditor líder
Pepito Pérez Auditor seguridad física
Ana Ruales Auditor seguridad lógica
Juan Rodríguez Auditor software
Miriam Hernández Auditor Hardware

Recursos físicos: la auditoría se llevará a cabo en la empresa xxxxx de la ciudad de xxxx

específicamente en el área de las TICs.

Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas que
servirán de evidencia, computador portátil, software para pruebas de auditoría sobre escaneo y
tráfico en la red

Recursos económicos:

Ítem Cantidad subtotal

Computador 2 2.000.000
Cámara digital 1 400.000
Grabadora digital 1 120.000
otros …. ….

Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANNT, para

construirlo se toman las actividades que han sido definidas para cumplir cada objetivo y se
especifica el tiempo de duración de cada actividad en el tiempo. El tiempo se debe definir desde
ahora hasta la entrega final del informe de auditoría.
Cronograma Auditoría

Mes 1 Mes 2 Mes 3

Actividad
 1  2  3  4  1  2  3  4  1  2  3  4

Fase ACTIVIDAD 1
conocimiento ACTIVIDAD 2
del sistema …….
ACTIVIDAD 3
Fase ACTIVIDAD 4
Planeación de
la auditoría
ACTIVIDAD 5
Fase
Ejecución ACTIVIDAD 6
auditoria ACTIVIDAD 7

Fase de
ACTIVIDAD 8
resultados

NOTA: Revisar este ejemplo y el ejemplo que

está en el blog en el submenú de plan de
auditoria.
El link del blog es el siguiente:
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.h
tml