Auditoría de los Recursos

Índice
1. Introducción 1

2. Normas de Auditoría 5
2.1. Marcos técnicos para Auditorías de TI . . . . . . . . . . . . . 5
2.1.1. Marco 1: Personas, procesos, herramientas y medidas 6
2.1.2. Marco 2: STRIDE . . . . . . . . . . . . . . . . . . . . . 7
2.1.3. Marco 3: PDIO . . . . . . . . . . . . . . . . . . . . . . 8

1. Introducción
Auditoría— Revisión sistemática de una actividad o de una situación pa-
ra evaluar el cumplimiento de las reglas o criterios objetivos a que
aquellas deben someterse.
Revisión y verificación de las cuentas y de la situación económica de
una empresa o entidad.

La auditoría tradicional se ha enfocado en la revisión organizacional

registros y controles financieros para validar la precisión e integridad de
los datos financieros. Los auditores externos generalmente se centraron en
cuestiones materiales o de nivel macro, y los auditores internos se centra-
ron principalmente en los controles a nivel de transacción, protegiendo los
activos, validando la adecuación y validez de la información.

1
 Sin embargo, los cambios en el entorno regulatorio en los últimos años
han causado un aumento significativo en el alcance y profundidad de estas
responsabilidades.
Con el cambio en el entorno, la extensión, el enfoque, la confianza y
la calidad del trabajo de auditoría han aumentado significativamente en
cantidad, profundidad y dependencia. Por lo tanto, el entorno empresa-
rial actual, ya sea global o nacional, requiere cada vez más auditorías de
seguridad periódicas e inspecciones que incluyen el cumplimiento de:

Requerimientos legales; por ejemplo, leyes federales de los EE. UU.

como Sarbanes-Oxley (SOX)1 , la Ley de responsabilidad y portabili-
dad del seguro médico (HIPAA) y la Ley Gramm-Leach-Bliley (GLBA).

Estándares de la industria, como el Estándar de Seguridad de Datos

de la Industria de Tarjetas de Pago (PCI DSS) para organizaciones que
aceptan pagos con tarjeta de crédito.

Normas de auditoría, como las auditorías ISO 17799, ISO 27001 e ISO
27002, Declaración de Normas de Auditoría (SAS) 70, tanto tipo I co-
mo tipo II; y Declaración sobre las normas para los compromisos de
certificación (SSAE) No. 16.

Estas auditorías generalmente abordan:

Las redes.

Los sistemas host.

La conectividad relacionada con Internet.

Los dispositivos de protección y detección.

Las instalaciones físicas.

Los elementos relacionados con las políticas.

1 Estaley surgió en respuesta a los escándalos financieros de grandes corporaciones, como por ejemplo:
Enron, Tyco International, WorldCom y Peregrine Systems, ya que éstos disminuyeron la confianza que
tenía opinión pública en los sistemas de contabilidad y sobre todo, en la auditoría.

2
 Todos estos de manera recurrente, ya que una postura estática puede
dejar a la organización vulnerable sin darse cuenta.
Estas revisiones y auditorías pueden ser consideradas por la adminis-
tración de una organización con actitudes que varían entre dos extremos:

1. Son un costo de hacer negocios, requerido por un regulador o ley

gubernamental.

2. Es bueno tenerlo, pero no gastes demasiado dinero.

Ambos extremos, particularmente el último, ignoran el valor para la or-

ganización de tales revisiones, ya que el gasto puede ser el criterio principal
(o único) evaluado por la alta gerencia.
El valor de las auditorías de tecnología de la información (TI) se puede
resumir de la siguiente manera:

Reducir el riesgo. Las auditorías de TI que se planifican y ejecutan en fun-

ción de las mejores prácticas identificarán y evaluarán los riesgos en
el entorno de TI de una organización. Una vez que se evalúan los
riesgos, puede haber una visión clara sobre qué curso tomar: reducir
o mitigar los riesgos mediante controles, transferir el riesgo a través
de un seguro o simplemente aceptar el riesgo como parte del entorno
operativo.

Fortalecer los controles (y mejorar la seguridad). Basado en los riesgos eva-

luados como se discutió anteriormente, el siguiente paso es identifi-
car y evaluar los controles correspondientes. Si se evalúa que los con-
troles están mal diseñados o son ineficaces, se pueden tomar medidas
correctivas.

Cumplir con la normativa. Las amplias reglamentaciones a nivel federal y

estatal incluyen requisitos específicos para la seguridad de la infor-
mación.
El auditor de TI cumple una función crítica para garantizar que se
cumplan requisitos específicos, se evalúen los riesgos y se controlen
los implementados. Es fundamental para una organización tener la
seguridad de que se cumplen todos los requisitos.

3
Facilitar la comunicación entre la gestión empresarial y tecnológica. Una
auditoria abre canales de comunicación entre el negocio y la tecnolo-
gía de una organización administración.
Los auditores pasan tiempo entrevistando, observando y probando
lo que sucede en la realidad y en la práctica.
Una auditoría puede proporcionar información valiosa en informes
escritos y presentaciones orales. La alta gerencia necesita saber de pri-
mera mano cómo está funcionando su organización.

Mejorar el gobierno de TI. El IT Governance Institute (ITGI) proporciona

esta definición: “El Gobierno de TI es responsabilidad de los ejecu-
tivos y la junta directiva, y consiste del liderazgo, las estructuras or-
ganizativas y los procesos que aseguran que la empresa TI sostiene y
extiende las estrategias y objetivos de la organización”.
El liderazgo, las estructuras organizativas y los procesos menciona-
dos en la definición apuntan a los auditores de TI como actores clave.
La auditoría de TI y la gestión general de TI se centran en valor, ries-
gos y controles en torno al entorno tecnológico de una organización.
Los auditores de TI revisan el valor, los riesgos y los controles en to-
dos los componentes clave de la tecnología: aplicaciones, informa-
ción, infraestructura y personas.

Es útil recordar la diferencia entre una auditoría y una evaluación:

Una auditoría es un proceso formal, generalmente realizado por un

profesional de auditoría certificado, que se enfoca en verificar el cum-
plimiento de las políticas internas establecidas, los estándares forma-
les externos y los requisitos legales. Un informe de auditoría gene-
ralmente proporciona listas detalladas de exactamente qué requisitos
formales se han cumplido o no.

Una evaluación es un proceso informal, generalmente realizado por

un experto de la industria que puede o no estar certificado por un
organismo profesional, centrándose en mejorar la eficiencia y la efi-
cacia, a menudo utilizando las mejores prácticas de la industria in-
formal y la experiencia del evaluador. Un informe de evaluación ge-

4
 neralmente proporciona un análisis detallado de fallas y recomen-
daciones concretas para formas específicas de mejorar lo que se ha
evaluado.

2. Normas de Auditoría
Las normas y prácticas de auditoría ayudan a las organizaciones a cum-
plir los requisitos reglamentarios y brindan orientación a la industria para
garantizar la debida diligencia, la certificación y garantizar la seguridad de
los interesados.
Las entidades que establecen estándares incluyen organizaciones inter-
nacionales, niveles de gobierno federales y estatales y grupos o asociacio-
nes específicos de la industria cuyo enfoque incluye el cumplimiento nor-
mativo.
Los principios rectores y la información publicada por estas entidades
pueden ser necesarios o, al menos, proporcionar a los gerentes la informa-
ción más reciente sobre los avances de la industria. Los gerentes no solo
deben conocer los nuevos desarrollos en la metodología de auditoría; tam-
bién deben ser expertos en identificar y aplicar la mejor solución disponible
para su arquitectura física y lógica única.

2.1. Marcos técnicos para Auditorías de TI

Los mejores auditores de TI luchan contra la realidad del riesgo acep-
table y los controles vagos, buscando marcos sólidos para ayudar con su
auditoría. Una buena investigación y un buen marco pueden ayudar a de-
terminar las preguntas para muchas de las auditorías únicas o nuevas que
no se han enfrentado en el pasado.
Se pueden aplicar tres modelos útiles, desde una perspectiva de alto
nivel para asegurarse de que se hayan cubierto todas las preguntas rele-
vantes. Además de los modelos, las mejores prácticas generales ayudan a
completar las bases técnicas para garantizar que la auditoría revele cual-
quier debilidad material en los controles clave.
En todo caso, los procesos de auditoría han de ser realizados por au-

5
ditores competentes, objetivos e independientes, y el informe que se emita
señalará las posibles deficiencias y ha de contener recomendaciones; nece-
sariamente ha de discutirse previamente con los auditados.

2.1.1. Marco 1: Personas, procesos, herramientas y medidas

El primer marco útil—Personas, Procesos, Herramientas y Medidas

(PPTM—People, Processes, Tools, and Measures), es simple desde el punto
de vista conceptual, pero su amplio alcance penetra rápidamente en proce-
sos críticos y controles importantes que a menudo se pasan por alto. Tome
una aplicación elegida al azar sobre la que no se sabe nada y aplique los
conceptos de PPTM a la aplicación para comprenderla y desarrollar una
serie de controles para probar e información útil para recopilar.

1. Las Personas crean la aplicación, ingresan datos en la aplicación y

usan la salida o el almacenamiento de los datos manejados por la
aplicación. Las personas son un componente que toca o usa la aplica-
ción, y como tal deben tener controles que gobiernen la interacción.
Por ejemplo, ¿cómo se autentica o autoriza a las personas como ad-
ministradores o usuarios de la aplicación?

2. Los Procesos rodean las operaciones de la aplicación. ¿Qué procesos

rigen las prácticas operativas estándar y cómo se pueden validar?

3. Las Herramientas son los controles físicos, como otras aplicaciones

que pueden interactuar con la aplicación o garantizar la calidad o
validación de la aplicación. Otros tipos de controles de herramientas
incluyen verificar la plataforma que usa la aplicación. Qué controles
físicos existieron durante la implementación o están actualmente en
operaciones para asegurarse de que la aplicación se encuentre en un
entorno seguro?

4. Las Medidas son métricas a menudo pasadas por alto, aunque re-
presentan algunos de los datos más útiles en auditorías exhaustivas.
Pueden verificar que la aplicación está realizando su función en apo-
yo de su rol comercial asignado. Por ejemplo, las métricas pueden in-
formar sobre la eficiencia operativa de una aplicación y qué tan bien

6
 podría escalar para satisfacer las necesidades del cliente a lo largo del
tiempo.

2.1.2. Marco 2: STRIDE

STRIDE, un acrónimo basado en una lista ordenada de problemas que

se muestra a continuación, abarca seis áreas de riesgo comunes a las dife-
rentes tecnologías.
STRIDE ayudará a comprender cómo el área de riesgo podría desem-
peñar un papel en la tecnología a auditar y luego a encontrar los controles
que alivian ese riesgo.

S—Spoofing. La suplantación de identidad describe el riesgo de que cual-

quier usuario asuma la identidad de otro usuario o enmascare directa
o indirectamente los atributos de otro usuario. Por ejemplo, un usua-
rio que inicia sesión en un sitio web bancario generalmente no debe-
ría poder asumir la identidad de otro usuario.

T—Tampering. La manipulación de datos describe la necesidad de vali-

dación de entrada, validación de proceso y validación de salida. La
integridad de los datos debe preservarse en todo momento y, en al-
gunos casos, protegerse de la manipulación, con cifrado o mediante
verificación independiente.

R—Repudiation. El repudio describe un escenario en el que un usuario

puede sugerir que nunca se produjo una transacción. Las pistas de
auditoría deficientes conducen a esta situación. El no repudio es el
control que protege contra el repudio. Incluye firmar un mensaje con
fecha y hora como un momento único y no duplicable.

I—Information. La divulgación de información describe los controles adi-

cionales para evitar que la información salga del sistema a partes o
programas no autorizados.

D—Denial. La denegación de servicio describe una condición en la que la

aplicación o la tecnología podrían eliminarse del servicio de forma
malintencionada o inadvertida. Si esto es un problema, deben existir

7
 controles como sistemas redundantes, copias de seguridad y medidas
para evitar eventos de denegación de servicio.

E—Elevation. La elevación de privilegios describe la situación en la que un

usuario obtiene derechos administrativos de forma malintencionada
o inadvertida.

2.1.3. Marco 3: PDIO

PDIO—Plan, Diseño, Implementación y Operaciones—toma prestado

de los procesos de gestión de proyectos de Cisco System y describe el ciclo
de vida de una tecnología. Este marco puede ser muy poderoso, especial-
mente cuando se combina con PPTM.
Los administradores abordan personas, procesos, herramientas y medi-
das en cada paso de la planificación, diseño, implementación y operaciones
de un proyecto.
PDIO puede verse desde una macroperspectiva para comprender un
proyecto nuevo completo o desde una microperspectiva para comprender
cada elemento más pequeño. La comprensión general de una auditoría es
la marca de un gran resultado que proporciona información increíblemente
valiosa y útil a los clientes para que puedan fortalecer sus controles.n

Referencias
[1] B OSWORTH , S., K ABAY, M.E. & W HYNE , E. (2014). Computer Secu-
rity Handbook. United States of America: John Wiley & Sons, Inc.