Unidad 3: Proceso de

Auditoría
Ing. Elizabeth Guerrero
Definiciones
Amenaza  una persona o cosa vista como
posible fuente de peligro o catástrofe
(inundación, incendio, robo de datos,
sabotaje, agujeros publicados, etc.)
Vulnerabilidad  la situación creada, por la
falta de uno o varios controles, con los que
la amenaza pudiera acaecer y así afectar al
entorno informático (falta de control de
acceso logico, de versiones, inexistencia de
un control de soporte magnético, etc.).
Definiciones
Riesgo  la probabilidad de que una
amenaza llegue a acaecer por una
vulnerabilidad (los datos estadísticos de
cada evento de una base de datos de
incidentes).
Exposición o Impacto  la evaluación del
efecto del riesgo. (es frecuente evaluar el
impacto en términos económicos, aunque
no siempre lo es, como vidas humanas,
imágenes de la empresa, honor, etc.).
Tópicos generales
 Determinación del área a auditar.
 Riesgos y
 contingencias
Determinación del área a auditar
 Planificar el área a Auditar es fundamental,
pues habrá que hacerla desde el punto de
vista de los dos objetivos:

◦ Evaluación de los sistemas y procedimientos.

◦ Evaluación de los equipos de cómputo.
Determinación del área a auditar
 Para analizar y dimensionar la estructura por auditar se debe solicitar:
 A NIVEL DEL ÁREA DE INFORMÁTICA.- Objetivos a corto y largo plazo.
 RECURSOS MATERIALES Y TECNICOS.- Solicitar documentos sobre los
equipos, número de ellos, localización y características.
◦ Estudios de viabilidad.
◦ Número de equipos, localización y las características (de los equipos instalados
y por instalar y programados)
◦ Fechas de instalación de los equipos y planes de instalación.
◦ Contratos vigentes de compra, renta y servicio de mantenimiento.
◦ Contratos de seguros.
◦ Convenios que se tienen con otras instalaciones.
◦ Configuración de los equipos y capacidades actuales y máximas.
◦ Planes de expansión.
◦ Ubicación general de los equipos.
◦ Políticas de operación.
◦ Políticas de uso de los equipos.
Determinación del área a auditar
 SISTEMAS
◦ Descripción general de los sistemas instalados y de los
que estén por instalarse que contengan volúmenes de
◦ información.
◦ Manual de formas.
◦ Manual de procedimientos de los sistemas.
◦ Descripción genérica.
◦ Diagramas de entrada, archivos, salida.
◦ Salidas.
◦ Fecha de instalación de los sistemas.
◦ Proyecto de instalación de nuevos sistemas.
Análisis de Riesgos
 El análisis de riesgo, también conocido como
evaluación de riesgo, es el estudio de las
causas de las posibles amenazas y probables
eventos no deseados y los daños y
consecuencias que éstas puedan producir.
Análisis de Riesgos
 El primer paso del análisis es identificar los activos
a proteger o evaluar.
 La evaluación de riesgos involucra comparar el nivel
de riesgo detectado durante el proceso de análisis
con criterios de riesgo establecidos previamente.
 Los resultados obtenidos del análisis, van a permitir
aplicar alguno de los métodos para el tratamiento
de los riesgos, que involucra identificar el conjunto
de opciones que existen para tratar los riesgos,
evaluarlas, preparar planes para este tratamiento y
ejecutarlos.
 Tipos de riesgo

 Riesgo inherente
 Riesgo de Control
 Riesgo de detección
 RIESGO INHERENTE
 Cuando un error no se puede evitar que
suceda porque no existen controles
compensatorios relacionados que se
puedan establecer.
 RIESGO DE CONTROL
 Cuando un error material no puede ser
evitado o detectado en forma oportuna por
el sistema de control interno.
 RIESGO DE DETECCIÓN
 Es el riesgo de que el auditor realice
pruebas exitosas a partir de un
procedimiento inadecuado. El auditor puede
llegar a la conclusión de que no existen
errores materiales cuando en realidad los
hay.
Esquema básico de un proceso de
análisis de riesgos
Cuestionario • Etapa 1

Identificar los riesgos • Etapa 2

Caldular el impacto • Etapa 3

Identificar las • Etapa 4

contramedidas y el coste

Simulaciones • Etapa 5

Creación de los informes • Etapa 6

Esquema básico de un proceso de
análisis de riesgos
Se identifican vulnerabilidades y riesgos en
base a cuestionarios y se evalúa el impacto
para luego identificar las contramedidas y el
coste.
La siguiente etapa es la más importante,
mediante el juego de simulación (¿Qué pasa
SI…?) se analiza el efecto de las distintas
contramedidas en la disminución de los
riesgos analizados, eligiendo de esta manera
un plan de contramedidas (plan de seguridad)
que compondrá el informe final de evaluación
Riesgos relacionados con la
informática
 Riesgos de integridad
◦ Interfaz de usuario
◦ Procesamiento
◦ Procesamiento de errores
◦ Interfaz
◦ Administración de cambios
◦ Información

◦ Ver documento Riesgos Informáticos y seguridad

Adobe Acrobat
Document
Riesgos relacionados con la
informática
 Riesgos de relación
 Riesgos de acceso
◦ Procesos de negocio
◦ Aplicación
◦ Administración de la información
◦ Entorno de procesamiento
◦ Redes
◦ Nivel Físico
Riesgos relacionados con la
informática
 Riesgos de utilidad
 Riesgos de infraestructura
◦ Planeación organizacional
◦ Definición de las aplicaciones
◦ Administración de seguridad
◦ Operaciones de red y computacionales
◦ Administración de sistemas de bases de datos
◦ Información / Negocio
 Riesgos de seguridad general (eléctrico,
incendio, niveles inadecuados de energía
eléctrica, radiaciones, mecanicos)
Plan de contigencia

Es una estrategía planificada constituida por:

• Un conjunto de recursos de respaldo
• Una organización de emergencia y
• Unos procedimientos de actuación

Encaminaminada a conseguir una restauración

progresiva y ágil de los servicios de negocio
afectados por una paralización total o parcial de la
capacidad operativa de la empresa
Plan de Contingencia
 Un Plan de contingencias contiene las medidas
técnicas, humanas y organizativas necesarias
para garantizar la continuidad del negocio y las
operaciones de una empresa.
 Un plan de contingencias es un caso particular
de plan de continuidad del negocio aplicado al
departamento de informática o tecnologías.
 Dada la importancia de las tecnologías en las
organizaciones modernas, el plan de
contingencias es el más relevante.
 Fase 3
• Pruebas y Mantenimiento
Fase 2
• Desarrollo del Plan
• Análisis y Diseño: para su desarrollo se diferencias dos
familias metodológicas: Fase 1
• Análisis de Riesgos
• Impacto de Negocio
Fases de un plan de contingencia
Fase 1. Análisis y Diseño
 Se estudia la problemática, las necesidades de recursos,
las alternativas de respaldo, y se analiza el coste/beneficio
de las mismas.
 Familias metodológicas:

1. Análisis de Riesgo: se basan en el estudio de los posibles

riesgos desde el punto de vista de probabilidad de que
los mismos sucedan.
2. Impacto de Negocio: se basan en el estudio del impacto
(pérdida económica o de imagen) que ocaciona la falta de
algun recurso de los que soporta la actividad del negocio.
Permiten hacer estudios coste/beneficio que justifican las
inversiones con más rigor que los estudios de
probabilidad que se obtienen con los análisis de riesgos
Fase 2: Desarrollo del Plan
 Se desarrolla la estrategia seleccionada,
implantándose hasta el final todas las
acciones previstas.
 Se analiza la vuelta a la normalidad, dado que

pasr de la situación normal a la alternativa

debe concluirse con la restitución de la
situación inicial antes de la contingencia.
Fase 3. Pruebas y mantenimiento
 Se definen las pruebas, sus caracterísiticas y
sus ciclos, y se realiza la primera prueba
como comprobación de todo el trabajo
realizado, asi como mentalizar al personal
implicado
 Se define la estrategia de mantenimiento, la

organización destinada a ello y la normativa y

procedimientos necesarios para llevarlo a
cabo.
Plan de Contingencia Ejemplo
 Por ejemplo, la empresa sufre un corte total de energía o
explota, ¿Cómo sigo operando en otro lugar?
 Lo que generalmente se pide es que se hagan Backups de la
información diariamente y que aparte, sea doble, para tener un
Backup en la empresa y otro afuera de ésta.
 Una empresa puede tener unas oficinas paralelas que posean
servicios básicos (luz, teléfono, agua) distintos de los de la
empresa principal, es decir, si a la empresa principal le proveía
teléfono Telecom, a las oficinas paralelas, Telefónica.
 En este caso, si se produce la inoperancia de Sistemas en la
empresa principal, se utilizaría el Backup para seguir operando
en las oficinas paralelas.
 Los Backups se pueden acumular durante dos meses, o el
tiempo que estipule la empresa, y después se van reciclando.
• Definir varios aspectos a evaluar como gestión de recursos,
cumplimiento de normas.
Evaluación
• Realizar una evaluación global de resumen para toda la
auditoría
Sistema de
• Niveles: Bien, Regular o Mal (grado de gravedad)
• Auditoría completa de un área
Auditorías
• Limitada a un aspecto
• Comprobación de acciones correctivas de auditorías anteriores
Tipos de
• Para las distintas tareas de auditoría
Procedimientos
• Describir las funciones de forma precisa, y la organización
interna del departamento, con todos sus recursos
Funciones
Las partes de un plan auditor informático: 
Plan Auditor Informático
Ciclos de Auditorías
Nivel de Exposición Evaluación Frecuencia Visitas
10-9 B 18 meses
R 9 meses
M 6 meses
8 -7 B 18 meses
R 12 meses
M 9 meses
6–5 B 24 meses
R 18 meses
M 12 meses
4 -1 B 36 meses
R 24 meses
Nivel de exposición
 El valor del nivel de exposición significa la
suma de factores como impacto, peso del
área, situación de control en el área

 En la tabla anterior se aprecia un numero del

1 al 10 definido subjetivamente y que
permite en base a la evaluación final de la
última auditoría realizada definir la fecha de
la repetición de la misma auditoría.
• Deben estimarse tiempos de manera racional y
componer un calendario que una vez terminado anual
nos dé un resultado de horas de trabajo previstas Plan de trabajo
y, por lo tanto, de los recursos que se
necesitarán
• Todas las áreas a auditar deben corresponderse
con cuestionarios metodológicos y deben
Plan quinqueenal
repetirse en 4 o 5 años
acciones correctoras
Seguimiento de las
de informes
Lista de distribución
Plan Auditor Informático