Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Metodología de la Auditoría
FASE ACTIVIDADES
Conocimiento del 1. Identificar el origen de la auditoria.
sistema o área 2. Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada.
auditada 3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización.
4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas
encontradas.
1. Elaborar el plan de auditoría: objetivos, alcances, metodología, recursos y cronograma de actividades
2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC
27005, CMMI, MAGERIT, OCTAVE, COSO, otro)
3. De acuerdo al estándar elegido, seleccionar los ítems (dominios, objetivos de control) que serán evaluados
que estén en relación directa con el objetivo y alcances definidos en el plan de auditoría.
Planeación de la
4. Seleccionar el equipo de trabajo y asignar tareas específicas
Auditoria
5. Determinar las actividades que se llevarán a cabo y los tiempos destinados en cada ítem evaluado.
(Programa de auditoría)
6. Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de
chequeo, formatos de cuestionarios)
7. Diseñar el plan de pruebas (formato pruebas)
1. Aplicar los instrumentos de recolección de información diseñados
2. Ejecutar las pruebas del plan de pruebas
3. Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT, OCTAVE,
Ejecución de la
ISO/IEC 27005, COSO)
Auditoria
4. Realizar la valoración de las amenazas y vulnerabilidades encontradas
5. Realizar el proceso de evaluación de riesgos
6. Determinar el tratamiento de los riesgos
1. Determinar las soluciones para los hallazgos encontrados (controles de acuerdo a la norma aplicada)
Resultados de la 2. Elaborar el Dictamen de auditoría para los ítems evaluados (Nivel de madurez).
Auditoria 3. Elaborar el informe final de auditoría para su presentación y sustentación
4. FI-GQ-GCMU-004-015
Integrar y organizar los V. 001-17-04-2013
papeles de trabajo de la auditoria
Auditoría de sistemas
Plan de Auditoría
ÍTEMS DESCRIPCIÓN
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
CobIT (Objetivos de Control para la Información y Tecnologías relacionadas)
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Estructura del CobIT
Objetivos de control:
actividades requeridas para
lograr un resultado medible.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Dominio PLANEAR Y ORGANIZAR (PO): Contiene a los procesos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
Dominio ENTREGAR SERVICIOS Y DAR SOPORTE (DS): Contiene los procesos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
AI3.1 Plan de Adquisición de Infraestructura
Tecnológica
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Programa de auditoria estándar CobIT
DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de Seguridad
DS5 Garantizar la
DS5.8 Administración de Llaves Criptográficas
Seguridad de los
DS5.9 Prevención, Detección y Corrección de
Sistemas
Software Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Instrumentos de Recolección Información
PORCENTAJE DE RIESGO
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: entrevistas, cuestionarios
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: seguridad en la red
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: Inyecciones SQL
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Pruebas de auditoria: Fotográficas
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
IMPACTO
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Análisis y evaluación riesgos
Medio R2, R5 R6
PROBABILIDAD
31-60%
Bajo R3, R8 R9
0-30%
IMPACTO
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Hallazgos
Área informática R/PT: P1
Hallazgos de la Auditoría H1
Dominio Adquisición e Implementación
Proceso AI3 Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R15, R16, R18, R19
Descripción
En el área informática no se lleva un registro de mantenimiento y de cambios de hardware, además
no existe personal de mantenimiento dedicado a este proceso, el mantenimiento está sujeto a las
directrices de la dirección financiera de acuerdo al presupuesto, el inventario no se actualiza
periódicamente cuando se han realizado cambios o adquisición de nuevo hardware
Recomendación
El Encargado de la administración debe sugerir calendarización de inventarios y mantenimientos de
hardware
Causa
Falta de recursos económicos y la falta de planeación por parte del encargado de la administración
del área informática en la organización.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es
moderado
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Hallazgos
Área informática R/PT: P2
Hallazgos de la Auditoría H2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Riesgos Asociados R15, R16, R18, R19
Descripción
La Institución tiene programadas jornadas de mantenimiento y el coordinador del área las programa al
inicio del año. La Administración solo da de baja equipos no funcionales, pero no hace solicitudes de
cambio de equipos, el nuevo hardware está supeditado a los recursos disponibles .
Recomendación
El administrador del área informática debe programar los mantenimientos por lo menos dos veces al año,
las actualizaciones de cambio o repotenciación de equipos se deben presupuestar para las vigencias
futuras.
Causa
El coordinador del área informática deben realizar planes de actualización de equipos y de mantenimiento
preventivo, asignando los recursos económicos necesarios para vigencias futuras.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: Tratamiento de riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez
DICTAMEN DE LA AUDITORÍA
Objetivo de la Auditoria:
Dictamen: Se califica un nivel de madurez: 3 DEFINIDO
Hallazgos que soportan el Dictamen:
Recomendaciones:
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Auditoría de sistemas
Resultados de la auditoría: nivel de madurez
Proceso COBIT AI3: Adquirir y mantener infraestructura tecnológica
Hallazgo
No esta detallada los procedimientos a seguir o un plan de contingencia en
caso de que el hardware no funciones. No se lleva un registro del
mantenimiento del hardware
Recomendaciones
Se debe crear un plan y procesos de mantenimiento que permitan documentar
las actividades de mantenimiento, para que se realicen de manera oportuna.
En la dependencia debe existir un plan de contingencia que permita dar
solución inmediata en caso de presentarse algún fallo en el hardware. En
cuanto a los diferentes niveles de daños, se hace necesario presuponer el daño
total para tener un plan de contingencia lo más completo posible.
Evidencias
Evidencias/Entrevista Audio/Entrevista Funcionarios OCARA.wma
FI-GQ-GCMU-004-015 V. 001-17-04-2013
PREGUNTAS?
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Francisco Nicolás Solarte
solartefrancisco@gmail.com
Blog
http://auditordesistemas.blogspot.com.co/
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Gracias
FI-GQ-GCMU-004-015 V. 001-17-04-2013