Metodología de Auditoria

Auditoría de sistemas
Metodología práctica para auditoría de sistemas

aplicando el estándar CobIT 4.1
Francisco Nicolás Javier Solarte Solarte
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Metodología de la Auditoría
FASE ACTIVIDADES
Conocimiento del 1. Identificar el origen de la auditoria.
sistema o área 2. Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada.
auditada 3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización.
4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas
encontradas.
1. Elaborar el plan de auditoría: objetivos, alcances, metodología, recursos y cronograma de actividades
2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC
27005, CMMI, MAGERIT, OCTAVE, COSO, otro)
3. De acuerdo al estándar elegido, seleccionar los ítems (dominios, objetivos de control) que serán evaluados
que estén en relación directa con el objetivo y alcances definidos en el plan de auditoría.
Planeación de la
4. Seleccionar el equipo de trabajo y asignar tareas específicas
Auditoria
5. Determinar las actividades que se llevarán a cabo y los tiempos destinados en cada ítem evaluado.
(Programa de auditoría)
6. Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de
chequeo, formatos de cuestionarios)
7. Diseñar el plan de pruebas (formato pruebas)
1. Aplicar los instrumentos de recolección de información diseñados
2. Ejecutar las pruebas del plan de pruebas
3. Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT, OCTAVE,
Ejecución de la
ISO/IEC 27005, COSO)
Auditoria
4. Realizar la valoración de las amenazas y vulnerabilidades encontradas
5. Realizar el proceso de evaluación de riesgos
6. Determinar el tratamiento de los riesgos
1. Determinar las soluciones para los hallazgos encontrados (controles de acuerdo a la norma aplicada)
Resultados de la 2. Elaborar el Dictamen de auditoría para los ítems evaluados (Nivel de madurez).
Auditoria 3. Elaborar el informe final de auditoría para su presentación y sustentación
4. FI-GQ-GCMU-004-015
Integrar y organizar los V. 001-17-04-2013
papeles de trabajo de la auditoria
Plan de Auditoría
ÍTEMS DESCRIPCIÓN
Antecedentes Resultados de auditorias anteriores
Objetivos Evaluar, Revisar, Verificar, Confirmar

Para cada fase un objetivo específico
Componentes del sistema a auditar
Alcances Aspectos a evaluar de cada
componente auditable
Metodología Actividades, tareas, pasos para llevar
a cabo cada objetivo específico
Recursos Recursos físicos, materiales,
tecnológicos y talento humano
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Programa de auditoria estándar CobIT
CobIT (Objetivos de Control para la Información y Tecnologías relacionadas)
Criterios de información CobIT

- Efectividad: Información relevante pertinente para procesos del negocio. Su
entrega sea oportuna, correcta, y consistente.
- Eficiencia: Provisión de información a través de la utilización óptima
(productiva y económica) de recursos.
- Confidencialidad: Protección de información sensible contra divulgación no
autorizada.
- Integridad: Precisión y suficiencia de la información, validez de acuerdo con
los valores y expectativas del negocio.
- Disponibilidad: Disponibilidad de la información cuando es requerida
- Cumplimiento: Cumplimiento de leyes, regulaciones y acuerdos contratos
- Confiabilidad de la información: Se refiere a la provisión de información
apropiada para la administración
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Recursos auditables en COBIT
- Datos: Los elementos de datos en su más amplio sentido, (externos e

internos), estructurados y no estructurados, gráficos, sonido, etc.
- Aplicaciones: Se entiende como sistemas de aplicación la suma de
procedimientos manuales y programados.
- Tecnología: hardware, software, sistemas operativos, sistemas de
administración de bases de datos, redes, comunicaciones, multimedia, etc.
- Instalaciones: Recursos para alojar y dar soporte a los sistemas de
información.
- Personal: Habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de información.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Estructura del CobIT
Dominios: Son agrupaciones de

procesos que corresponden a
una responsabilidad personal
Procesos: Son una serie de

actividades unidas con
delimitación o cortes de control
Objetivos de control:
actividades requeridas para
lograr un resultado medible.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Dominio PLANEAR Y ORGANIZAR (PO): Contiene a los procesos
PO1 Definir un Plan Estratégico de TI.

PO2 Definir la Arquitectura de Información.
PO3 Determinar la dirección tecnológica.
PO4 Definir la Organización y Relaciones de TI.
PO5 Manejar la Inversión en TI.
PO6 Comunicar las directrices gerenciales.
PO7 Administrar Recursos Humanos.
PO8 Asegurar el cumplir Requerimientos Externos.
PO9 Evaluar Riesgos.
PO10 Administrar proyectos.
PO11 Administrar Calidad.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Dominio ADQUIRIR E IMPLEMENTAR (AI): Contiene a los procesos
AI1 Identificar Soluciones.

AI2 Adquisición y Mantener Software de Aplicación.
AI3 Adquirir y Mantener Arquitectura de TI.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Dominio ENTREGAR SERVICIOS Y DAR SOPORTE (DS): Contiene los procesos
DS1 Definir niveles de servicio.

DS2 Administrar Servicios de Terceros.
DS3 Administrar Desempeño y Calidad.
DS4 Asegurar Servicio Continuo.
DS5 Garantizar la Seguridad de Sistemas.
DS6 Identificar y Asignar Costos.
DS7 Capacitar Usuarios.
DS8 Asistir a los Clientes de TI.
DS9 Administrar la Configuración.
DS10 Administrar Problemas e Incidentes.
DS11 Administrar Datos.
DS12 Administrar Instalaciones.
DS13 Administrar Operaciones
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Dominio MONITOREAR Y EVALUAR (ME): contiene a los procesos
ME1 Monitorear los procesos.

ME2 Evaluar lo adecuado del control Interno.
ME3 Obtener aseguramiento independiente.
ME4 Proveer auditoría independiente.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
AI2.5 Configuración e Implementación de Software

Aplicativo Adquirido
AI2.6 Actualizaciones Importantes en Sistemas
AI2 Adquirir y Existentes
Mantener AI2.7 Desarrollo de Software Aplicativo
Software AI2.8 Aseguramiento de la Calidad del Software
Aplicativo
AI2.9 Administración de los Requerimientos de
Aplicaciones
AI2.10 Mantenimiento de Software Aplicativo
FI-GQ-GCMU-004-015 V. 001-17-04-2013
AI3.1 Plan de Adquisición de Infraestructura
Tecnológica
AI3 Adquirir y AI3.2 Protección y Disponibilidad del Recurso de

Mantener Infraestructura
Infraestructur
a Tecnológica
AI3.3 Mantenimiento de la infraestructura
AI3.4 Ambiente de Prueba de Factibilidad
FI-GQ-GCMU-004-015 V. 001-17-04-2013
DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la
Seguridad
DS5.6 Definición de Incidente de Seguridad
DS5.7 Protección de la Tecnología de Seguridad
DS5 Garantizar la
DS5.8 Administración de Llaves Criptográficas
Seguridad de los
DS5.9 Prevención, Detección y Corrección de
Sistemas
Software Malicioso
DS5.10 Seguridad de la Red
DS5.11 Intercambio de Datos Sensitivos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Instrumentos de Recolección Información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
FI-GQ-GCMU-004-015 V. 001-17-04-2013
FI-GQ-GCMU-004-015 V. 001-17-04-2013
FI-GQ-GCMU-004-015 V. 001-17-04-2013
FI-GQ-GCMU-004-015 V. 001-17-04-2013
PORCENTAJE DE RIESGO
Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (11 * 100) / 36 = 30.55

Porcentaje de riesgo = 100 – 30.55 = 69.45
Para determinar el nivel de riesgo total, se tiene en cuenta la escala :

1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial:
Porcentaje de riesgo = 69.45
Impacto según relevancia del proceso: Riesgo Medio
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Análisis y evaluación riesgos
FI-GQ-GCMU-004-015 V. 001-17-04-2013
FI-GQ-GCMU-004-015 V. 001-17-04-2013
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Pruebas de auditoria: entrevistas, cuestionarios
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Pruebas de auditoria: seguridad en la red
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Pruebas de auditoria: Inyecciones SQL
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Pruebas de auditoria: Fotográficas
FI-GQ-GCMU-004-015 V. 001-17-04-2013
MATRIZ DE PROBABILIDAD DE IMPACTO

Zona de Riesgo Zona de riesgo Zona de riesgo
Alto Moderado Importante Inaceptable
61-100%
Medio Zona de riesgo Zona de riesgo Zona de riesgo

PROBABILIDAD
31-60% Tolerable Moderado Importante
Bajo Zona de riesgo Zona de riesgo Zona de riesgo

0-30% Aceptable Tolerable Moderado
Leve Moderado Catastrófico
IMPACTO
FI-GQ-GCMU-004-015 V. 001-17-04-2013
MATRIZ DE PROBABILIDAD DE IMPACTO

R4, R7 R1
Alto
61-100%
Medio R2, R5 R6
PROBABILIDAD
31-60%
Bajo R3, R8 R9
0-30%
Leve Moderado Catastrófico
IMPACTO
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Resultados de la auditoría: Hallazgos
Área informática R/PT: P1
Hallazgos de la Auditoría H1
Dominio Adquisición e Implementación
Proceso AI3 Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R15, R16, R18, R19
Descripción
En el área informática no se lleva un registro de mantenimiento y de cambios de hardware, además
no existe personal de mantenimiento dedicado a este proceso, el mantenimiento está sujeto a las
directrices de la dirección financiera de acuerdo al presupuesto, el inventario no se actualiza
periódicamente cuando se han realizado cambios o adquisición de nuevo hardware
Recomendación
El Encargado de la administración debe sugerir calendarización de inventarios y mantenimientos de
hardware
Causa
Falta de recursos económicos y la falta de planeación por parte del encargado de la administración
del área informática en la organización.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es
moderado
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Resultados de la auditoría: Hallazgos
Área informática R/PT: P2
Hallazgos de la Auditoría H2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Riesgos Asociados R15, R16, R18, R19
Descripción
La Institución tiene programadas jornadas de mantenimiento y el coordinador del área las programa al
inicio del año. La Administración solo da de baja equipos no funcionales, pero no hace solicitudes de
cambio de equipos, el nuevo hardware está supeditado a los recursos disponibles .
Recomendación
El administrador del área informática debe programar los mantenimientos por lo menos dos veces al año,
las actualizaciones de cambio o repotenciación de equipos se deben presupuestar para las vigencias
futuras.
Causa
El coordinador del área informática deben realizar planes de actualización de equipos y de mantenimiento
preventivo, asignando los recursos económicos necesarios para vigencias futuras.
Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al impacto es moderado
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Resultados de la auditoría: Tratamiento de riesgos
NIVEL DE RIESGO TRATAMIENTO DEL RIESGO

Aceptable Finaliza el proceso.
Una de las tres opciones:
Tolerable a. Se transfiere el riesgo por ejemplo tomando
un seguro.
b. Se evita el riesgo retirando el activo de
Intolerable
información.
c. Se reduce o mitiga el riesgo por medio de
Extremo
controles.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Resultados de la auditoría: nivel de madurez
FI-GQ-GCMU-004-015 V. 001-17-04-2013
DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES

DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.
Objetivo de la Auditoria:
Dictamen: Se califica un nivel de madurez: 3 DEFINIDO
Hallazgos que soportan el Dictamen:
Recomendaciones:
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Proceso COBIT AI3: Adquirir y mantener infraestructura tecnológica
Hallazgo
No esta detallada los procedimientos a seguir o un plan de contingencia en
caso de que el hardware no funciones. No se lleva un registro del
mantenimiento del hardware
Recomendaciones
Se debe crear un plan y procesos de mantenimiento que permitan documentar
las actividades de mantenimiento, para que se realicen de manera oportuna.
En la dependencia debe existir un plan de contingencia que permita dar
solución inmediata en caso de presentarse algún fallo en el hardware. En
cuanto a los diferentes niveles de daños, se hace necesario presuponer el daño
total para tener un plan de contingencia lo más completo posible.
Evidencias
Evidencias/Entrevista Audio/Entrevista Funcionarios OCARA.wma
FI-GQ-GCMU-004-015 V. 001-17-04-2013
PREGUNTAS?
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Francisco Nicolás Solarte
Docente de carrera Universidad Nacional

Abierta y a Distancia - UNAD
Docente hora cátedra Universidad de Nariño
solartefrancisco@gmail.com
Blog
http://auditordesistemas.blogspot.com.co/
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Gracias
FI-GQ-GCMU-004-015 V. 001-17-04-2013

Metodología de Auditoria

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Metodología de Auditoria

Cargado por

Copyright:

Formatos disponibles

Auditoría de sistemas

Metodología práctica para auditoría de sistemas

Francisco Nicolás Javier Solarte Solarte

Antecedentes Resultados de auditorias anteriores

Objetivos Evaluar, Revisar, Verificar, Confirmar

Criterios de información CobIT

Recursos auditables en COBIT

- Datos: Los elementos de datos en su más amplio sentido, (externos e

Dominios: Son agrupaciones de

Procesos: Son una serie de

PO1 Definir un Plan Estratégico de TI.

Dominio ADQUIRIR E IMPLEMENTAR (AI): Contiene a los procesos

AI1 Identificar Soluciones.

DS1 Definir niveles de servicio.

Dominio MONITOREAR Y EVALUAR (ME): contiene a los procesos

ME1 Monitorear los procesos.

AI2.4 Seguridad y Disponibilidad de las Aplicaciones

AI2.5 Configuración e Implementación de Software

AI3 Adquirir y AI3.2 Protección y Disponibilidad del Recurso de

AI3.4 Ambiente de Prueba de Factibilidad

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo parcial = (11 * 100) / 36 = 30.55

Para determinar el nivel de riesgo total, se tiene en cuenta la escala :

MATRIZ DE PROBABILIDAD DE IMPACTO

Medio Zona de riesgo Zona de riesgo Zona de riesgo

31-60% Tolerable Moderado Importante

Bajo Zona de riesgo Zona de riesgo Zona de riesgo

Leve Moderado Catastrófico

MATRIZ DE PROBABILIDAD DE IMPACTO

Leve Moderado Catastrófico

Nivel del Riesgo

NIVEL DE RIESGO TRATAMIENTO DEL RIESGO

PROCESO COBIT: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES

Docente de carrera Universidad Nacional

También podría gustarte