1.

Guía para la auditoría de la documentación y normativa de

seguridad existente en la organización auditada

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de

pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo

a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla

desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre

la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una

investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de

trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o

formular durante el desarrollo de la misma.

Investigación preliminar

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la

información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las

áreas basándose en los siguientes puntos:

Administración

Se recopila la información para obtener una visión general del departamento por medio de

observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y

alcances del departamento.

Para analizar y dimensionar la estructura por auditar se debe solicitar:

 A nivel del área de informática

Objetivos a corto y largo plazo.

Recursos materiales y técnicos

Solicitar documentos sobre los equipos, número de ellos, localización y características.

Estudios de viabilidad.

Número de equipos, localización y las características (de los equipos instalados y por instalar y

programados)

Fechas de instalación de los equipos y planes de instalación.

Contratos vigentes de compra, renta y servicio de mantenimiento.

Contratos de seguros.

Convenios que se tienen con otras instalaciones.

Configuración de los equipos y capacidades actuales y máximas.

Planes de expansión.

Ubicación general de los equipos.

Políticas de operación.

Políticas de uso de los equipos.

Sistemas

Descripción general de los sistemas instalados y de los que estén por instalarse que contengan

volúmenes de información.

Manual de formas.

Manual de procedimientos de los sistemas.

Descripción genérica.

Diagramas de entrada, archivos, salida.

Salidas.
 Fecha de instalación de los sistemas.

Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que

pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

No tiene y se necesita.

No se tiene y no se necesita.

Se tiene la información pero:

No se usa.

Es incompleta.

No esta actualizada.

No es la adecuada.

Se usa, está actualizada, es la adecuada y está completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el

caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las

necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se

utilice, se debe analizar porqué no se usa. En caso de que se tenga la información, se debe analizar

si se usa, si está actualizada, si es la adecuada y si está completa.

El éxito del análisis crítico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin

fundamento)

Investigar las causas, no los efectos.

Atender razones, no excusas.

 No confiar en la memoria, preguntar constantemente.

Criticar objetivamente y a fondo todos los informes y los datos recabados.

Personal participante

Una de las partes más importantes dentro de la planeación de la auditoría en informática es el

personal que deberá participar y sus características.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal

que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la

optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica profesional y

capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe

pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el

desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las

reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un

grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería

casi imposible obtener información en el momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento que se

solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos

proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que se

debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del

sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben

tener personas con las siguientes características:

Técnico en informática.

Experiencia en el área de informática.

Experiencia en operación y análisis de sistemas.

 Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en

áreas específicas como base de datos, redes, etc.

Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero

si deben intervenir una o varias personas con las características apuntadas.

Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, la figura

del organismo, las fases y subfases que comprenden la descripción de la actividad, el número de

personas participantes, las fechas estimadas de inicio y terminación, el número de días hábiles y el

número de días/hombre estimado. El control del avance de la auditoría lo podemos llevar mediante

el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el

trabajo se está llevando a cabo de acuerdo con el programa de auditoría, con los recursos estimados

y en el tiempo señalado en la planeación.

El hecho de contar con la información del avance nos permite revisar el trabajo elaborado por

cualquiera de los asistentes. Como ejemplo de propuesta de auditoría en informática.

ANEXO 1
ANEXO 2
2. Guía para la elaboración del plan de auditoría

Obtener información sobre auditorías anteriores.

Obtener información general sobre la materia: organización, funciones, normas, planes,

programas.

Obtener información sobre los procesos de atención del establecimiento de salud.

Definir la norma contra la cual se realizará la auditoría.

Definir el equipo auditor.

Capacitar y/o entrenar al equipo.

Establecer los criterios para evaluar en base a los requerimientos del sistema.

Elaborar las listas de verificación en base a las normas seleccionadas.

Establecer las fechas de acuerdo con los auditados.

Elaborar el plan definitivo de auditoría.

Preparación del plan de auditoría

El plan de auditoría debería incluir lo siguiente:

Los objetivos de la auditoría;

los criterios de auditoría y los documentos de referencia;

el alcance de la auditoría, incluyendo la identificación de las unidades de la organización y

unidades funcionales y los procesos que van a auditarse;

Preparación del plan de auditoría

Las fechas y lugares donde se van a realizar las actividades de la auditoría in situ;

La hora y la duración estimadas de las actividades de la auditoría in situ, incluyendo las

reuniones con la dirección del auditado y las reuniones del equipo auditor;

Las funciones y responsabilidades de los miembros del equipo auditor y de los acompañantes;

La asignación de los recursos necesarios a las áreas críticas de la auditoría.

Además, el plan de auditoría debería incluir lo siguiente, cuando sea apropiado:

 la identificación del representante del auditado en la auditoría;

el idioma de trabajo y del informe de la auditoría, cuando sea diferente del idioma del auditor

y/o del auditado; j) los temas del informe de la auditoría;

Preparativos logísticos (viajes, recursos disponibles in situ, etc.);

Asuntos relacionados con la confidencialidad;

Cualquier acción de seguimiento de la auditoría.

El plan debería ser revisado y aceptado por el cliente de la auditoría y presentado al auditado antes

de que comiencen las actividades de la auditoría in situ.

Cualquier objeción del auditado debería ser resuelta entre el líder del equipo auditor, el auditado y

el cliente de la auditoría. Cualquier revisión al plan de auditoría debería ser acordada entre las

partes interesadas antes de continuar la auditoría.

3. Guía para las pruebas de auditoría

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: verifican el grado de confiabilidad del SI del organismo. Se suelen

obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico,

revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la

información.

Pruebas de cumplimiento: verifican el grado de cumplimiento de lo revelado mediante el

análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son

aplicables efectiva y uniformemente.

Objetivo

Definir los procedimientos de Auditoría que permitan recolectar la evidencia que apoye los hallazgos

y recomendaciones.

Consideraciones

Una vez realizados los pasos anteriores en este punto se tienen las bases para diseñar las pruebas

de auditoría que se han de efectuar.

Este es un trabajo de escritorio donde se determina en términos generales: el objetivo de la prueba,

se describe brevemente (procedimientos a emplear), tipo de la prueba, técnicas a utilizar, recursos

requeridos en cuanto a información, hardware, software y personal.

Tipos de pruebas

Pruebas de cumplimiento: busca determinar si existe el control para el riesgo identificado.

Pruebas sustantivas: busca conocer la forma en que esta implementado el control, en caso de

que este exista.

Técnicas comúnmente usadas para el Diseño y Ejecución de Pruebas de Auditoría

Observación

Indagación
 Conciliación (cruce de información con persona o documentos)

Inspección

Investigación analítica: evaluar tendencias

Confirmación

TAAC'S: técnicas de Auditoría asistidas por computador.

Ejecutar Pruebas de Auditoría

Objetivo

Obtener evidencia sobre los controles establecidos, su utilización, y el entendimiento y ejecución de

los mismos por parte de las personas.

Análisis del Efecto de las debilidades de Seguridad consiste en dos pasos:

Identificar las debilidades

Determinar el impacto más probable que tendrá cada debilidad

Diseño de Controles

Este tema fue tratado en capitulo anterior.

H. Elaboración de Informe de Auditoría

Objetivos

Comunicar a las personas o entes involucrados en la organización con los sistemas los

resultados de la auditoría, para que ellos hagan la gestión necesaria para implementar los

controles que cubran aquellas situaciones de riesgo de mayor relevancia, y mantengan y

optimicen los que funcionan eficientemente.

Servir de apoyo en la toma de decisiones, gracias a la información que proveen.

Hacer parte de la documentación para futuras auditorías.

Consideraciones

Por ser información que de cierta manera puede afectar la imagen de la empresa si sale a la luz

pública, debe ser de carácter confidencial.

La elaboración del informe debe ser cuidadosa e en cuanto a la información que contiene, no

debe dar lugar a ambigüedades, y los hallazgos y recomendaciones deben ser claramente

descritos.

El informe debe estar documentado: información provista por la empresa y principalmente las

pruebas de auditoría; Pues esto es el sustento de los hallazgos, conclusiones y

recomendaciones
4. Guía para la elaboración del informe de auditoría

Departamento de Auditoría Informática

Lugar y fecha

En las páginas siguientes se muestra la estructura sugerida para un informe de Auditoría de

sistemas. Esta es una de las formas posibles de redactar este informe, pero por supuesto no es la

única.

Se suele acompañar con una carta a cada una de las personas a las que va dirigido, indicando que se

adjunta el informe y si los resultados del informe fueron previamente comentados con los auditados

a efectos de garantizar el completo entendimiento de su contenido. Esta carta irá firmada por el

responsable del Departamento de Auditoría.

La marca de agua “Confidencial” corresponde a la clasificación de seguridad. Se pondrá la que

proceda.

(O Auditoría Interna, Auditoría Externa, etc.)

Título del Informe

Programa que obtiene el informe

Período de tiempo cubierto
Clasificación de seguridad 7
Fecha de retención
Método de destrucción
Distribución de la síntesis del informe (A quién va dirigido el informe resumido)

N° de copias

Presidente: Nombre y apellidos

Vicepresidente: Nombre y apellidos Etc.

Distribución del informe completo (A quién va dirigido el informe completo)

N° de copias
Nombre y apellidos del director o responsable Nombre y apellidos del director o responsable

Índice

1. Introducción

1.1. Objetivos y naturaleza del trabajo (Indicar brevemente el objetivo u objetivos de la auditoría)

1.2. Alcance y limitaciones (Indicar el período de tiempo que cubre la auditoría y las actividades que

han sido auditadas)

1.3. Procedimientos de auditoría empleados (Entrevistas, técnicas de análisis y muestreos,

reuniones, verificaciones de documentos, etc.)

1.4. Otras consideraciones (Indicar dónde se encuentran archivados los documentos que ha utilizado

auditoría para elaborar el informe y agradecer las colaboraciones prestadas)

2. Resumen de las conclusiones (Justificación de la auditoría e incidencias principales detectadas,

sin mostrar la solución o soluciones propuestas. Informe resumido para la Dirección)

Lugar y fecha

Nombre, apellidos y firmas de los responsables de la auditoría

Fin de la síntesis del informe

3. Detalle y desarrollo de las conclusiones

3.1. Consideraciones generales (Exponer cualquier información necesaria para explicar el porqué de

la auditoría, las dificultades de la misma, sus causas, etc.

En general, un resumen de la necesidad de la auditoría y cualquier otra información relevante para

entender los procesos auditados.)

3.2. Resumen de las incidencias

3.2.1. Incidencia 1

3.2.2. Incidencia 2
3.2.3. Etc.

4. Recomendaciones

Categoría: (Consideraciones generales, Departamento, Responsables, etc. En general,

cualquier forma lógica de categorizar las recomendaciones)

Incidencia: (Exponer detalladamente la incidencia encontrada)

Recomendaciones:

Solución 1 (En orden de preferencia, de mejor a peor)

Solución 2

Solución 3

Etc.

Comentarios de los responsables: (Si el informe ya ha sido revisado por las partes implicadas,

se ajuntarán aquí las consideraciones éstas hayan hecho sobre la incidencia y sobre las

soluciones propuestas por auditoría, adjuntando soluciones propias si procede, y aceptando o

rechazando la incidencia, justificando siempre las respuestas dadas)

(Se repetirán estos cuatro apartados por cada incidencia detectada)

5. Anexos. (Se adjuntarán en este apartado los anexos que sean necesarios para facilitar la revisión

del informe, pudiendo ser, entre otros, los que se muestran a continuación)

Anexo 1: Tabla resumen de las incidencias detectadas, indicando la aceptación o rechazo por

parte de los auditados.

Anexo 2: Tabla resumen de soluciones propuestas por auditoría.

Anexo 3: Tabla resumen de soluciones propuestas por los auditados.

Anexo 4: Estadísticas de las incidencias detectadas.

Anexo 4: Glosario de términos (si procede)

Fin del informe completo

Recuerda

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie

de pasos previos que permitirán dimensionar el tamaño y características de área dentro del

organismo a auditar, sus sistemas, organización y equipo.

Se recopila la información para obtener una visión general del departamento por medio de

observaciones, entrevistas preliminares y solicitud de documentos para poder definir el

objetivo y alcances del departamento.

Una de las partes más importantes dentro de la planeación de la auditoría en informática es el

personal que deberá participar y sus características.

Una vez realizados los pasos anteriores en este punto se tienen las bases para diseñar las

pruebas de auditoría que se han de efectuar.

Este es un trabajo de escritorio donde se determina en términos generales: el objetivo de la

prueba, se describe brevemente (procedimientos a emplear), tipo de la prueba, técnicas a

utilizar, recursos requeridos en cuanto a información, hardware, software y personal.

Se suele acompañar con una carta a cada una de las personas a las que va dirigido, indicando

que se adjunta el informe y si los resultados del informe fueron previamente comentados con

los auditados a efectos de garantizar el completo entendimiento de su contenido. Esta carta irá

firmada por el responsable del Departamento de Auditoría.