Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Producción
Identifique los usuarios directos que utilizaran esta aplicación, para está
validación verificaran con los encargados de la base de datos que estén
utilizando la aplicación de incidentes. Según el modelo de datos que obtengan,
deberán tener una tabla de usuario, una tabla roles, y una tabla rol Usuario.
(Anexo #1).
Lo siguiente es tener un método para validar los Usuarios (uno a uno, en
masas, etc.).
Los elementos necesarios para el registro de los incidentes que se reportan (ya
sea por parte interna de la dirección de Informática o por parte de los usuarios)
son:
a. Log de servidores
b. Log de aplicaciones
c. Log de herramientas de seguridad
d. Cualquier otra herramienta que permita la identificación de un
incidente de seguridad
Indicar los indicadores que señalan los posibles incidentes que han ocurrido
generalmente en algunos de estos elementos es
(Periodo en el
ÁREA (Área de la empresa en PERÍODO que se
la que se efectuara la ejecutara la
Auditoría) auditoría)
TIPO DE (Se especifica el tipo de
AUDITORÍA Auditoría. Ejemplo:
Auditoria de Sistemas
de Incidentes)
¿CADA ¿QUÉ
PROCE CUANT IMPAC
NOMB SO AL O TO
RE QUE PODRÍ PODRÍ NIVEL
DEL ESTA A A CALIFICAC DE
RIESG ASOCIA SUCED CAUS PROBABILI IMPACT IÓN DE RIESG
O DO ER? AR? DAD O RIESGO O
:
:
:
:
:
:
:
Primero debe realizar una primera visita preliminar, para conocer el lugar
en donde se encuentra el software de Gestión de incidentes.
En esta primera visita se deben hacer preguntas acerca del
funcionamiento del área en donde se encuentra la aplicación, si cuenta
con una base de datos, entre otras cuestiones. También se revisará la
instalación de la red en donde está en donde se encuentra la aplicación,
así como los procesos y manuales para la utilización del mismo; Debe
indicar la fecha exacta para realizar la visita preliminar.
Antes de esta visita preliminar se requiere de una serie de herramientas,
planes, e instrumentos antes de ir a realizar la visita preliminar y la
auditoría, al igual que investigar la empresa que va a ser auditada.
También debe determinar el tiempo de la auditoría y los costos que va a
tener la misma además de definir las herramientas de recolección de
información, ver que lo que se va a evaluar.
Emitir un permiso de la empresa a auditar y como se había mencionado
anteriormente solicite los manuales de procedimientos, diagramas de
procesos.
Todo lo anterior se debe realizar antes de la visita preliminar, después
de realizar la visita debe realizar un primer análisis de la información
obtenida en esa primera visita preliminar y de ser requerido se realizarán
visitas posteriores.
1. Frecuencia
2. Gravedad
3. Detección.
Con esos tres puntos aplique una fórmula que permite establecer
cuáles fallas son más o menos graves. Los riesgos más críticos deben
ser atendidos primero que los demás.
6. Elaborar la matriz de riesgos
Para realizar la evaluación de un incidente debe tener en cuenta los
niveles de impacto con base en los insumos entregados por el análisis
de riesgos y la clasificación de activos de información de la entidad. La
severidad del incidente puede ser:
Alto Impacto: Afecta a activos de información considerados de
impacto catastrófico y mayor que influyen directamente a los objetivos.
Se incluyen en esta categoría aquellos incidentes que afecten la
reputación y el buen nombre o involucren aspectos legales. Estos
incidentes deben tener respuesta inmediata.
Medio Impacto: Afecta a activos de información considerados de
impacto moderado que influyen directamente a los objetivos de un
proceso determinado.
Bajo Impacto: Afecta a activos de información considerados de
impacto menor e insignificante, que no influyen en ningún objetivo. Estos
incidentes deben ser monitoreados con el fin de evitar un cambio en el
impacto.
ENTIDAD: (Nombre de la
empresa la cal se va a AUDITORÍA: (Se especifica el tipo de Auditoría.
Auditar) Ejemplo: Auditoria de Atención de Incidentes)
En
Análisis Controles existentes foque de la
auditoría
Comp Ries
onent go
e Imp Prob Pu Desc Ti Clasif Per Tip P Instru
act abilida nta ripci po icació son o rueba ccion
o d je ón n al de s es
(A/ (A/M/B que pr detall para
M/ ) ejer ue adas la
B) ce ba ejecu
ción
de la
audito
ría
(Aqu
í se (Co Col
coloc loc Indi oc
a los ar (Coloc car ar Instruc
Descr
riesg si el ar el el ción
(Colo (Brev ipción
os imp probab Tip Clasifi pers tip de
car el e de las
asoci act ilidad o cació onal o cómo
númer descri prueb
ados o de que de n de que de se
o del pción as
a las es ocurra -- co los ejer pru debe
comp del que
activi alto si es ntr contro ce eb ejecut
onent riego. se
dade , alto, ol les esta a ar la
e) ) realiz
s de me medio, acti qu Audito
aron
la dio, bajo) vida e ría
aplic baj d utili
ació o) zo
n.)
(Aqu
í se (Co Col
--
coloc loc Indi oc
a los ar (Coloc car ar Instruc
Descr
riesg si el ar el el ción
(Colo (Brev ipción
os imp probab Tip Clasifi pers tip de
car el e de las
asoci act ilidad o cació onal o cómo
númer descri prueb
ados o de que de n de que de se
o del pción as
a las es ocurra co los ejer pru debe
comp del que
activi alto si es -- ntr contro ce eb ejecut
onent riego. se
dade , alto, ol les esta a ar la
e) ) realiz
s de me medio, acti qu Audito
aron
la dio, bajo) vida e ría
aplic baj d utili
ació o) zo
n.)
FORMATO DE HALLAZGOS
REF
HALLAZGO
PÁGINA
PROCESO Funcionamiento
AUDITADO de la red de datos D
1 1
E
RESPONSAB
LE
MATERIAL
DE COBIT
SOPORTE
PROCES
DOMINIO
O
DESCRIPCIÓ
N:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
ENTIDAD AUDITADA:
En este espacio se indicara el nombre de la entidad a la cual se le está
realizando el proceso de auditoría.
PROCESO AUDITADO:
En este espacio se indicara el nombre del proceso objeto de la
auditoria, para el caso será Contratación TI.
RESPONSABLES:
En este espacio se indicaran los nombres del equipo auditor que está
llevando a cabo el proceso de auditoría.
MATERIAL DE SOPORTE:
En este espacio se indicara el nombre del material que soporta el
proceso, para el caso será COBIT.
DOMINIO:
Espacio reservado para colocar el nombre del dominio de COBIT que se
está evaluando.
PROCESO:
Espacio reservado para el nombre del proceso en específico que se está
auditando dentro de los dominios del COBIT.
HALLAZGO:
Aquí se encontrara la descripción de cada hallazgo, así como la
referencia al cuestionario cuantitativo que lo soporta.
CONSECUENCIAS Y RIESGOS:
En este apartado se encuentra la descripción de las consecuencias del
hallazgo así como la cuantificación del riesgo encontrado.
EVIDENCIAS:
Aquí encontramos en nombre de la evidencia y el número del anexo
donde ésta se encuentra.
RECOMENDACIONES:
En este último apartado se hace una descripción de las
recomendaciones que el equipo auditor ha presentado a las entidades
auditadas.
Ejemplo Hallazgos
Tabla Hallazgo 1
HALLAZGO 1 REF
HHDN_O1
Funcionamiento del PÁGINA
PROCESO
aspecto físico de la D
AUDITADO 1 1
red de datos E
RESPONSA
Francisco Solarte
BLE
MATERIAL
DE COBIT
SOPORTE
Planea
r y Definir un plan
DOMINI PROCE
Organi estratégico de TI
O SO
zar (PO1)
(PO)
DESCRIPCIÓN:
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir un grupo encargado de evaluar y estudiar el desempeño
del aspecto físico de la red de datos se pierde la claridad para tomar
decisiones pertinentes en caso de un desempeño no aceptado de la
red de datos.
Al no existir políticas ni procedimientos relacionados con la
conformación de la arquitectura y del aspecto físico de la red de datos
se pierde la opción de ajustar a las condiciones adecuadas que
necesita la entidad los servicios de red de datos.
RIESGO:
· Probabilidad de ocurrencia: Media
· Impacto según relevancia del
proceso: Moderado
RECOMENDACIONES:
a. Aspectos preliminares
b. Características generales
c. Observaciones derivadas del análisis
Identificación: C.C
Colocar cédula de la persona
Objeto de la Auditoria
Colocar el objetivo de la auditoría
ANTECEDENTES
(Justificación de la Auditoría)
Colocar el justificante de porque se está efectuando la auditoria
Colocar la
norma
Enumerar los con que
4.1 hallazgos no se
(N°) encontrados cumplió
4.2
(N°)
____________________________
____________________________
NOMBRE NOMBRE
Cargo Cargo
1
____________________________
____________________________
NOMBRE NOMBRE
Cargo Cargo
Informe de Auditoría
Empresa: (Nombre de la empresa por auditar.)
Periodo auditado: (Periodo contable que se audita.)
Encargado de la auditoría: (Nombre del auditor.)
Destinatarios: (Público que podrá consultar el informe.)
Fecha del informe: (Fecha en que se realiza el informe.)
Párrafo de alcance
(Se especifica el tipo y periodo de los estados financieros que serán auditados y se hace
referencia a las Normas de Auditoría Generalmente Aceptadas.)
Párrafo legal
(Se estipula que conforme a lo establecido, se consideran únicamente el Estado de
Resultados, el Balance General y los Financiamientos del último año contable.)
Párrafo de énfasis
(Se mencionan aspectos que son relevantes respecto a la economía de la empresa pero que no
influyen en la opinión final del auditor.)
Párrafo de salvedades
(Se mencionan aspectos que son relevantes respecto a la economía de la empresa y que si
influyen en la opinión final del auditor.)
Párrafo de opinión
(El auditor emite su opinión respecto al estado económico de la empresa basado en su propio
juicio.)
• Hoja de identificación
• Manual de organización
• Descripción de puestos
Hoja de identificación:
Guía de auditoría:
Inventarios:
Una de las principales herramientas que utiliza el auditor de sistemas son los
inventarios, los cuales le sirven para contar los elementos que existen en el
área que va a evaluar, según los equipos, artículos o partes del sistema que se
traten; además, con la información que obtiene puede comparar lo que debería
existir y lo que realmente existe de los elementos que se están inventariando;
con ello puede comprobar que la guarda y custodia de los bienes de la
empresa sean adecuadas.
Este punto se refiere a todo lo relacionado con los cuadros estadísticos que
utiliza el auditor para recabar y evaluar la información obtenida en la
evaluación; en estos cuadros se incluyen las gráficas, datos, censos, muestras,
formulas estadísticas, etc. Es de suma importancia para el auditor archivar
estos cuadros en el legajo de papeles de trabajo, ya que le pueden servir para
acreditar sus opiniones; además, pueden servir de referencia para los auditores
novatos sobre la manera de elaborar estadísticas y obtener evidencias de una
evaluación de sistemas.