Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería en Sistemas De Información

Maestría en Seguridad Informática
Auditoría Informática
Ma. Ing. Albino Cesare Buratti Aldana

Tarea 2
Simulación de auditoría

Marvin Ronaldo Palma Rojas - 1993 - 16 – 2001

José Manuel Contreras Molina - 1993 – 16 - 3652
Randolfo Antonio de la Vega Osorio – 1993 – 16 – 14135
Alberto José Caal Santisteban – 1993 – 16 - 1917
Plan Sábado
Sección “A”
28 de enero de 2022
 ÍNDICE
INTRODUCCIÓN .................................................................................................... 3

RESUMEN .............................................................................................................. 4

ACTIVIDAD 1 – DEFINICIÓN DE LOS OBJETIVOS DE AUDITORÍA .................... 5

ACTIVIDAD 2 – RECURSOS NECESARIOS PARA LA AUDITORÍA ..................... 5

Herramientas de auditoría ................................................................................... 5

Herramientas al sistema ...................................................................................... 5

Personal involucrado ........................................................................................... 6

ACTIVIDAD 3 – CRONOGRAMA DE TRABAJO .................................................... 7

ACTIVIDAD 4 – IDENTIFICACIÓN DE POSIBLES HALLAZGOS .......................... 9

CONCLUSIONES ................................................................................................. 13

RECOMENDACIONES ......................................................................................... 14

REFERENCIAS..................................................................................................... 15

APÉNDICE A. ....................................................................................................... 16

Cuestionario ...................................................................................................... 16

APÉNDICE B. ....................................................................................................... 17

Check List .......................................................................................................... 17

 3

INTRODUCCIÓN

En los últimos años, Gerencia de TI ha identificado deficiencias en las áreas de

seguridad lógica y gestión de cambios, estos hallazgos pueden desencadenar el
incumplimiento de los requerimientos regulatorios a los que se adapta la
organización. Por ello, se evaluará el área de seguridad física y lógica, gestión de
cambios, controles en producción, gestión de red, gobierno de TI y la gestión de
usuarios finales.

En efecto, se definirán los objetivos de la auditoría, se establecerán los recursos

necesarios para realizarla, se desarrollará el cronograma de trabajo y se
identificarán posibles hallazgos, evidencia y recomendaciones, en las áreas por
evaluar. Para esto, se seguirán las buenas prácticas establecidas en las normas
ISO 27002.
 4

RESUMEN
Las actividades realizadas simulan el escenario de una organización que desea
evaluar el grado de preparación para el cumplimiento de los nuevos requerimientos
regulatorios. Derivado de este requerimiento general, se realiza la evaluación de
distintas áreas de Gerencia de TI.

Como punto de partida se definen los objetivos, se establecen los recursos

requeridos para realizar la auditoría, se despliega un cronograma de actividades por
realizar y se establecen posibles hallazgos en las áreas por evaluar.

El proceso de identificación de hallazgos se basa en las buenas prácticas

detalladas en las normas ISO 27002. Con la orientación regulatoria de estas normas
se logran constatar posibles vulnerabilidades que deben ser tomadas en cuenta de
forma preliminar, como punto de partida para una indagación más profunda en el
proceso de la auditoría.

Palabras clave: auditoría, evaluación, objetivos, recursos, cronograma,

hallazgos, ISO 27002
 5

ACTIVIDAD 1 – DEFINICIÓN DE LOS OBJETIVOS DE AUDITORÍA

• Evaluar el grado de preparación de la organización para el cumplimiento de

los nuevos requerimientos regulatorios.
• Evaluar las revisiones de gerencia y las pruebas del ambiente general de
control de TI.
• Evaluar las áreas de seguridad física y lógica, gestión de cambios, gestión
de usuarios finales, controles en producción y gestión de red.
• Revisión y evaluación de la segregación de funciones de TI y su
documentación.
• Evaluar los flujos de procesos que describen las actividades de TI.

ACTIVIDAD 2 – RECURSOS NECESARIOS PARA LA AUDITORÍA

Se determina la documentación y medios necesarios para llevar a cabo la

revisión y evaluación, se seleccionan procedimientos, herramientas e instrumentos
para los recursos y programas establecidos anteriormente para la auditoria. El
objetivo es comprobar de manera sistemática y ordenada los cumplimientos de los
requisitos de la auditoría, las herramientas a utilizar son:

Herramientas de auditoría
• Cuestionarios.
• Estándares y protocolos.
• Check List.

Herramientas al sistema
• Backus y copias espejos de discos duros.
• Software de Recuperación de archivos borrados.
 6

Personal involucrado
Equipo auditor:

• Auditor Senior

Supervisor:

• Supervisor de ejecución de la auditoria.

Interlocutor:

• Mediador entre equipo auditor y auditado.

 7

ACTIVIDAD 3 – CRONOGRAMA DE TRABAJO

ACTIVIDAD Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Reunión de
Apertura y
Documentación

Definición del
Alcance,
Objetivos
Generales y
Específicos de la
Auditoría

Revisión del
Procedimiento
General

Identificación del
Personal Clave

Identificación de
Factores de
Riesgo

Verificación de la
toma de
Requerimientos

Definición de
Procesos
Significativos a
Auditar

Definición de
Requerimientos

Reuniones de
Entendimiento

Diagramación de
Entendimiento

Evaluación del
Control Interno de
Seguridad Física y
Lógica

Evaluación del
Control Interno de
Gestión de
Cambios
 8

Evaluación del
Control Interno de
Producción y
Gestión de la Red

Evaluación del
Control del
Gobierno de TI

Evaluación del
Control y Gestión
de Usuarios
Finales

Revisión y
Discusión de los
Resultados del
Pre-Informe

Correcciones de
los Resultados de
los Hallazgos,
Observaciones,
Recomendaciones
y Conclusiones

Elaboración del
Informe de
Auditoría

Presentación del
Informe

Tabla 1: Cronograma de trabajo. (Elaboración propia)

 9

ACTIVIDAD 4 – IDENTIFICACIÓN DE POSIBLES HALLAZGOS

Macro aspectos Núm. Hallazgo Evidencia Recomendación

Mantenimiento de Equipo: La actualización de Debe de verificarse el

Se deben revisar los servidores SO es parcialmente funcionamiento
para verificar que todo esté efectiva en los adecuado de los
funcionando físicamente como servidores. servidores, proveer
se debe. mantenimiento de
limpieza para aprovechar
al máximo con el recurso
1
físico con el que cuenta el
servidor, respecto a los
controles establecidos en
la norma ISO 27002,
implementando el control
Seguridad Física de mantenimiento de los
equipos (ISO, 2017)
Controles Físicos de Se falla en reforzar Para tener un mejor
Entrada: Esto para tener un un adecuado control de acceso al
control mejorado de acceso al control sobre las sistema, se puede incluir
sistema. claves de acceso. algún lector de huella
para que haya un único
2 portador de dicho
acceso, respecto al
Control de acceso a
sistemas y aplicaciones
de la norma ISO 27002
(ISO, 2017)
Gestión de Contraseñas de Se falla en reforzar De igual manera para
Usuario: Esto permitirá un un adecuado tener un mejor manejo
mejor control sobre los control sobre las sobre los usuarios que
colaboradores que estén claves de acceso. están activos, se debe
activos dentro del sistema y realizar un documento
sus claves. sobre dichos usuarios. Lo
usuarios deben tener un
1 código único que los
identifique y las claves
deben de cumplir con los
estándares de seguridad,
por lo que cada clave
debe contar con letras
Control de mayúsculas, minúsculas,
acceso a signos y números.
sistemas y Política de Control de Se comparten las Se debe elaborar un
aplicaciones Accesos: Dicha política cuentas de documento y brindar
Core brindará un concepto más administrador. copia a cada uno de los
amplio sobre el uso adecuado usuarios sobre las
de los usuarios. políticas de acceso, este
documento contendrá
normas y reglas
estipuladas las cuales
2
deben cumplirse al pie de
la letra, entre dichas
normas se dejará en
claro que no se puede
brindar o prestar alguna
cuenta de usuario, en
especial si es de un nivel
de acceso superior, esto
 10

evitará posibles
sabotajes o fraudes
dentro de los sistemas,
de acuerdo al control de
Gestión de acceso de
usuario de la norma ISO
27002 (ISO, 2017)

Procedimientos de Control Se han identificado Debe establecerse como

de Cambios en los Sistemas: reiterados se debe proceder en los
Esto indicará a detalle los problemas en el cambios aplicados al
cambios a realizar dentro y área de gestión de sistema, debe
fuera del sistema. cambios. capacitarse e informarles
a los colaboradores para
que los cambios sean
comprensibles y se
1
maneje el sistema de
manera adecuada,
siguiendo las pautas
planteadas en el control
de Seguridad en los
Gestión de
procesos de desarrollo y
Cambios
soporte de la norma ISO
27002 (ISO, 2017)
Revisión Técnica de las Se falla en Tras los cambios
aplicaciones tras efectuar documentar los realizados en los
cambios: Esto dará una cambios. sistemas, se pondrá a
bitácora de los cambios y como prueba y revisarán los
ha funcionado en el sistema. flujos de proceso, para
2 redactar y verificar que
sigan funcionando de
manera adecuada y
mejor aún, que el flujo de
procesos en el sistema
haya mejorado.
Controles de Auditoría de los Se evaluará el Este control mantendrá al
Sistemas de Información: grado de tanto a la empresa sobre
Esto brindará conocimiento preparación de la auditorías anteriores que
sobre auditorías anteriores y la organización para se han realizado, de la
evaluación del sistema. medir el misma manera preparará
cumplimiento de a la empresa para la
los nuevos nueva auditoría que
1
requerimientos de verificará si se está
regulación. cumpliendo con las
regulaciones, de acuerdo
Gestión de la al dominio de Seguridad
seguridad en la operativa de la
operativa norma ISO 27002 (ISO,
2017)
Documentación de Se evaluará la Está documentación
Procedimientos de revisión de tendrá toda la
Operación: Brindará un gerencia y las información sobre el flujo
panorama general sobre el pruebas del de actividades del
2 flujo de procesos. ambiente general sistema, la función
de control. principal de los módulos y
como se digitaliza la
información recibida por
colaboradores, teniendo
 11

un panorama del
ambiente y por ende se
podrá controlar de mejor
manera.

Controles de Red: Se debe Descarga de Se debe realizar una

tener en consideración las actualizaciones de revisión y tener
restricciones que han sido SO a servidores. documentado las
agregadas a la red. restricciones para
realizar peticiones a
internet, puesto que se
puede descargar el SO,
1
pero no debería tener
permiso para descargar
juegos y/o aplicaciones
de chat, esto de acuerdo
al Control de red
establecido en la norma
Gestión de
ISO 27002 (ISO, 2017)
Seguridad en la
Segregación de Redes: Esto Descarga de La red debe ser
Redes
permitirá una división de la red actualizaciones de segmentada, esto para
para tener diferentes puntos de SO a servidores. tener divisiones de
acceso y cada uno con sus trabajo y que no interfiera
restricciones. con cada una de las
áreas, esto quiere decir
que habrá un segmento
2
dedicado a cada área y
también para los
servidores, tendrán
distintas restricciones
para acceder a contenido
en internet o limitar las
descargas.
Responsabilidades y En años anteriores Deberá quedar
Procedimientos: Esto se han reiterado documentado quienes
determinará quienes estarán a problemas en las son los responsables de
cargo de incidentes y como áreas de seguridad la gestión de cambios y
deben de afrontarlos. lógica y gestión de quienes deben de brindar
cambios. apoyo y cómo deben de
proceder si llega a existir
1
un percance de acuerdo
con la seguridad lógica,
respecto al control de
Responsabilidades y
procedimientos de la
Gestión de
norma ISO 27002 (ISO,
Incidentes de
2017)
Seguridad
Aprendizaje de Incidentes: En años anteriores Después de solventar los
Esto ayudará a tener un se han reiterado incidentes, se debe tener
personal capacitado para problemas en las una reunión de
futuros acontecimientos. áreas de seguridad aprendizaje que ayudará
lógica y gestión de a comprender de mejor
cambios. manera qué pasó, y que
2
se debe realizar en esos
casos, para tener noción
sobre los procedimientos
que se deben realizar,
respecto al control de
Aprendizaje de
 12

incidentes informáticos
de la norma ISO 27002
(ISO, 2017)

Pruebas de Aceptación: Los Se debe evaluar la Al finalizar el cambio o

usuarios finales podrán realizar gestión de usuarios
implementación de los
pruebas para verificar el finales. módulos, el usuario final
correcto funcionamiento. debe realizar pruebas
1
para poder verificar el
flujo de procesos y dar el
visto bueno de su
Gestión de
funcionamiento.
usuarios finales
Protección de Datos Se debe evaluar la Se garantizará por medio
Utilizados en Pruebas gestión de usuarios de un documento, que las
finales. pruebas ingresadas por
2 los usuarios finales serán
protegidos, puesto que
esto ya es parte del flujo
de procesos del sistema.
Tabla 2: Identificación de posibles hallazgos, evidencia y recomendaciones. (Elaboración
propia)
 13

CONCLUSIONES
Se identificaron los posibles hallazgos, con evidencias basadas en el enunciado
del problema, con el análisis de este punto de partida se logra establecer un
contexto de los alcances, herramientas necesarias, tiempos de trabajo y posibles
áreas y aspectos por explorarse. Por ello, se concluye que las actividades realizadas
deben ser parte del proceso inicial de auditoría, estableciendo un punto de inicio
con los aspectos que determinarán las evaluaciones por realizar, así como los
recursos que serán necesarios.

Las herramientas necesarias para un proceso de auditoría informática pueden

variar según las necesidades de indagación que requiera el proceso de evaluación,
se concluyó que las herramientas fundamentales para el escenario planteado son
cuestionarios y listas de chequeo, por su versatilidad para obtener información
específica, debido a los indicios iniciales del escenario.
 14

RECOMENDACIONES
Se considera interesante complementar el proceso de auditoría con las normas
ISO 27001 que establecen un Sistema de gestión de seguridad de la información,
esto con un plano más general y con posibles pautas para la documentación de
procesos de tratamiento de la información. Se proponen además los siguientes
puntos:

• Validación de documentación de los procesos existentes, basadas en

las buenas prácticas establecidas en las normas ISO 27001.
• Establecer los contextos iniciales de cada área por evaluar, como se
indica en las normas ISO 31000.
• Ejecutar análisis de riesgo para la evaluación de las posibles
amenazas o vulnerabilidades, estableciendo su nivel de riesgo.
 15

REFERENCIAS
ISO. (2017). ISO 27002: Código de prácticas para los controles de seguridad de la
información.
 16

APÉNDICE A.
Cuestionario
1. ¿Podrías comentarnos el procedimiento para el desarrollo de un nuevo
requerimiento?

2. ¿Conoce los estándares para una clave de usuario segura?

3. ¿Cuenta con un documento formal para solicitar los datos necesarios para la
realización de pruebas?

4. ¿Los proyectos cuenta con un cronograma establecido?

5. ¿El proyecto cuenta con un plan general de pruebas?

6. ¿Considera que la gestión de cambios se ejecuta de manera adecuada al

actualizar el sistema?

7. ¿Cuentan con seguridad de acceso físico, como lector de huellas o de carné?

8. Una vez el requerimiento está en manos del área asignada, ¿De qué manera
se le da seguimiento?
 17

APÉNDICE B.
Check List

LISTA DE VERIFICACIÓN

DOMINIO PROCESO

OBJETO
DE Requisitos de usuario
CONTROL

CONFORME
ID ASPECTO EVALUADO OBSERVACIONES
SI NO

RQUIS-01

RQUIS-02

RQUIS-03

RQUIS-04

RQUIS-05

RQUIS-06

Tabla 3: Lista de verificación para los requisitos del usuario. (Elaboración Propia)
 18

LISTA DE VERIFICACIÓN

DOMINIO PROCESO

OBJETO
DE Planificación del proyecto.
CONTROL

CONFORME
ID ASPECTO EVALUADO OBSERVACIONES
SI NO

PLANP-01

PLANP-02

PLANP-03

PLANP-04

PLANP-05

Tabla 4: Lista de verificación para la planificación del proyecto. (Elaboración propia)