Documente Academic
Documente Profesional
Documente Cultură
#
!
4 Enfoca pensa!ientos
!ediante el uso de n!eros&
Facilita la co!paracin de
ulnera#ilidades !u,
distintas&
4 <roporciona una cifra
$ustificante para cada
contra!edida&
4 Enfoque lo a!plio que se
desee&
4 <lan de tra#a$o fle-i#le o
reactio&
4 Se concentra en la
identificacin de eentos&
4 Inclu,e factores intangi#les&
C
#
n
t
a
!
4 Esti!acin de pro#a#ilidad
depende de estad"sticas
fia#les ine-istentes&
4 Esti!acin de las p.rdidas
potenciales slo si son
alores cuantifica#les&
4 /etodolog"as est*ndares&
4 Dif"ciles de !antener o
!odificar&
4 Dependencia de un
profesional&
4 Depende fuerte!ente de la
+a#ilidad , calidad del
personal inolucrado&
4 <uede e-cluir riesgos
significantes desconocidos
Ddepende de la capacidad
del profesional para usar la
gu"aE&
4 Identificacin de eentos
reales !*s claros al no tener
que aplicarles pro#a#ilidades
co!ple$as de calcular&
4 Dependencia de un
profesional&
=?
2.1.+.,.2.). Met#d#&#"*a! m8! c#mune!% 7as !etodolog"as !*s
co!unes de ealuacin de siste!as que pode!os encontrar son de
an*lisis de riesgos o de diagnsticos de seguridad, las de plan de
contingencias, , las de auditor"a de controles generales&
=@
2.1.+.,.2.).1. Met#d#&#"*a! de An8&i!i! de Rie!"#% Est*n
desarrolladas para la identificacin de la falta de controles , el
esta#leci!iento de un plan de contra!edidas& E-isten dos tipos: 7as
cuantitatias , las cualitatias, de las que e-isten gran cantidad de
a!#as clases , slo citare!os algunas de ellas&
El esque!a #*sico de una !etodolog"a de an*lisis de riesgos es, en
esencia, el representado a continuacin:
FIG7RA 2.).
F7NCIONAMIENTO ESA7EMBTICO 6BSICO DE
C7ALA7IER METODOLOGA
En #ase a estos cuestionarios se identifican ulnera#ilidades , riesgos
, se eala el i!pacto para !*s tarde identificar las contra!edidas ,
el coste& 7a siguiente etapa es la !*s i!portante, pues !ediante un
$uego de si!ulacin Dque se lla!ar* KNu. pasa si&&L%E que analizar*
el efecto de las distintas contra!edidas en la dis!inucin de los
(uestionario
(alcular el i!pacto
Identificar las contra!edidas , el coste
Si!ulaciones
(reacin de los Infor!es
Identificar los Riesgos
Etapa 1
Etapa 2
Etapa 6
Etapa :
Etapa ;
Etapa =
=9
riesgos analizados, eligiendo de esta !anera un plan de
contra!edidas Dplan de seguridadE que co!pondr* el infor!e final de
la ealuacin&
De for!a gen.rica las !etodolog"as e-istentes se diferencian en:
Si son cuantitatias o cualitatias, o sea si para el
KNu. pasa si&&&L% utilizan un !odelo !ate!*tico o
algn siste!a cercano a la eleccin su#$etia& 'unque,
#ien pensado, al apro-i!ar las pro#a#ilidades por
esperanzas !ate!*ticas su#$etia!ente, las
!etodolog"as cuantitatias, aunque utilicen aparatos
!ate!*ticos en sus si!ulaciones, tienen un gran
co!ponente su#$etio&
O ade!*s se diferencian en el propio siste!a de
si!ulacin&
Se +an identificado == !etodolog"as& Entre ellas est*n: '8'7IPO,
ADSS, AIS RISQ 'SESCR, A>DDO SOS1E/, (CAR', (R'//,
DDIS /'RIC8 '<R, /E7IS', RIS'8, RISQ<'(, RISQS'1(9&
?3
Despu.s de estas !etodolog"as +an nacido !uc+as otras co!o la
/')ERI1, desarrollada por la ad!inistracin espa5olaF /'RIC8,
<RI/' D<reencin de Riesgos Infor!*ticos con /etodolog"a '#iertaE
, DE7<9I& ' continuacin se detallan algunas de las !etodolog"as:
2.1.+.,.2.).1.1. Met#d#&#"*a MAGERIT ?Met#d#&#"*a de An8&i!i! >
Se!in de Rie!"#! de &#! Si!tema! de In'#macin@
% El esque!a co!pleto de Etapas, 'ctiidades , 1areas del
Su#!odelo de <rocesos de /')ERI1 es el siguiente:
Etapa 1& <lanificacin del 'n*lisis , )estin de Riesgos
'ctiidad 1&1& Cportunidad de Realizacin
1area 1&1&1& DnicaE (larificar la oportunidad de realizacin
'ctiidad 1&2& Definicin de Do!inio , C#$etios
1area 1&2&1& Especificar los o#$etios del pro,ecto
1area 1&2&2& Definir el do!inio , los l"!ites del pro,ecto
1area 1&2&6& Identificar el entorno , restricciones generales
1area 1&2&:& Esti!ar di!ensin, costos , retornos del pro,ecto
'ctiidad 1&6& <lanificacin del <ro,ecto
1area 1&6&1& Ealuar cargas , planificar entreistas
1area 1&6&2& Crganizar a los participantes
1area 1&6&6& <lanificar el tra#a$o
?1
'ctiidad 1&:& 7anza!iento del <ro,ecto
1area 1&:&1& 'daptar los cuestionarios
1area 1&:&2& Seleccionar criterios de ealuacin , t.cnicas para
el pro,ecto
1area 1&:&6& 'signar los recursos necesarios
1area 1&:&:& Sensi#ilizar Dca!pa5a infor!atiaE
Etapa 2& 'n*lisis de Riesgos
'ctiidad 2&1& Recogida de Infor!acin
1area 2&1&1& <reparar la infor!acin
1area 2&1&2& Realizacin de las entreistas
1area 2&1&6& 'nalizar la infor!acin recogida
'ctiidad 2&2& Identificacin , 'grupacin de 'ctios
1area 2&2&1& Identificar 'ctios , grupos de 'ctios
1area 2&2&2& Identificar !ecanis!os de salaguarda e-istentes
1area 2&2&6& 0alorar 'ctios
'ctiidad 2&6& Identificacin , Ealuacin de '!enazas
1area 2&6&1& Identificar , 'grupar '!enazas
1area 2&6&2& Esta#lecer los *r#oles de fallos generados por
a!enazas
'ctiidad 2&:& Identificacin , Esti!acin de 0ulnera#ilidades
1area 2&:&1& Identificar ulnera#ilidades
?2
1area 2&:&2& Esti!ar ulnera#ilidades
'ctiidad 2&;& Identificacin , 0aloracin de I!pactos
1area 2&;&1& Identificar I!pactos
1area 2&;&2& 1ipificar I!pactos
1area 2&;&6& 0alorar i!pactos
'ctiidad 2&=& Ealuacin del Riesgo
1area 2&=&1& Ealuar el riesgo intr"nseco
1area 2&=&2& 'nalizar las funciones de salaguarda e-istentes
1area 2&=&6& Ealuar el riesgo efectio
Etapa 6& )estin del Riesgo
'ctiidad 6&1& Interpretacin del Riesgo
1area 6&1&1& DnicaE Interpretar los riesgos
'ctiidad 6&2& Identificacin , Esti!acin de Funciones de salaguarda
1area 6&2&1& Identificar funciones de salaguarda
1area 6&2&2& Esti!ar la efectiidad de las funciones de
salaguarda
'ctiidad 6&6& Seleccin de Funciones de Salaguarda
1area 6&6&1& 'plicar los par*!etros de seleccin
1area 6&6&2& Ealuar el riesgo
'ctiidad 6&:& (u!pli!iento de C#$etios
1area 6&:&1& DnicaE Deter!inar el cu!pli!iento de los o#$etios
?6
Etapa :& Seleccin de Salaguardas
'ctiidad :&1& Identificacin de !ecanis!os de salaguarda
1area :&1&1& Identificar los !ecanis!os posi#les
1area :&1&2& Estudiar !ecanis!os i!plantados
1area :&1&6& Incorporar restricciones
'ctiidad :&2& Seleccin de !ecanis!os de salaguarda
1area :&2&1& Identificar !ecanis!os a i!plantar
1area :&2&2& Ealuar el riesgo D!ecanis!os elegidosE
1area :&2&6& Seleccionar !ecanis!os a i!plantar
'ctiidad :&6& Especificacin de los !ecanis!os a i!plantar
1area :&6&1& DnicaE Especificar los !ecanis!os a i!plantar
'ctiidad :&:& <lanificacin de la I!plantacin
1area :&:&1& <riorizar !ecanis!os
1area :&:&2& Ealuar los recursos necesarios
1area :&:&6& Ela#orar cronogra!as tentatios
'ctiidad :&;& Integracin de resultados
1area :&;&1& DnicaE Integrar los resultados
2.1.+.,.2.).1.2. Met#d#&#"*a MARION% /.todo docu!entado en dos
li#ros de los cuales el !*s actual es 7a Securit. des reseau-4
/et+odes et 1ec+niques de B&/& 7a!ere , 7erou-, B& 1ourl,& 1iene
?:
dos productos: /'RIC8 '<R, para siste!as indiiduales, , /'RIC8
RST para siste!as distri#uidos , conectiidad&
Es un !.todo cuantitatio , se #asa en la encuesta anual de
!ie!#ros la #ase de incidentes francesa D(&7&>&S&I&F&E& 8o conte!pla
pro#a#ilidades, sino esperanzas !ate!*ticas que son apro-i!aciones
nu!.ricas Dalores su#$etiosE&
7a /'RIC8 '<R utiliza cuestionarios , par*!etros correlacionados
enfocados a las distintas soluciones de contra!edidas, en seis
categor"as& 7as categor"as son: seguridad infor!*tica general,
factores socioecon!icos, concienciacin so#re la seguridad de
softMare , !ateriales, seguridad en e-plotacin , seguridad de
desarrollo&
El an*lisis de riesgos lo +ace so#re diez *reas pro#le!*ticas& Estas
*reas son: riesgos !ateriales, sa#ota$es f"sicos, aer"as,
co!unicaciones, errores de desarrollo, errores de e-plotacin, fraude,
ro#o de infor!acin, ro#o de softMare, pro#le!as de personal&
?;
2.1.+.,.2.).1.). Met#d#&#"*a RISCC4AC% 1odas las !etodolog"as
que se desarrollan en la actualidad est*n pensadas para su aplicacin
en +erra!ientas& 7a pri!era de esta fa!ilia la desarroll <RCFI7E
'8U7ISIS (CR<CR'1IC8, , la pri!era instalacin en cliente data de
19@:& Segn D'1'<RC es el softMare !*s endido&
Su enfoque es !etodolog"a cualitatia& Sus resultados son
e-porta#les a procesadores de te-to, #ases de datos, +o$a electrnica
o siste!as gr*ficos& Est* estructurada en tres nieles: Entorno,
<rocesador , 'plicaciones con 2= categor"as de riesgo en cada niel&
1iene un KNu. pasa si&&&L% con un niel de riesgo de ealuacin
su#$etia del 1 al ; , ofrece una lista de contra!edidas o
reco!endaciones #*sicas para a,udar al infor!e final o plan de
acciones&
2.1.+.,.2.).1.+. Met#d#&#"*a CRAMM% Se desarroll entre 19@; ,
19@? por AIS , ((1' D(entral (o!puter V 1eleco!unication 'genc,
RisW 'n*lisis V /anage!ent /eted, InglaterraE& I!plantado en !*s de
?;3 organizaciones en Europa, so#re todo de la ad!inistracin
p#lica& Es una !etodolog"a cualitatia , per!ite +acer an*lisis KNu.
pasa si&&&L%&
?=
2.1.+.,.2.).1.,. Met#d#&#"*a 4RIMA ?4e/encin de Rie!"#!
In'#m8tic#! c#n Met#d#&#"*a A9ieta@% Es un con$unto de
!etodolog"as espa5olas desarrolladas entre los a5os 1993 , la
actualidad con un enfoque su#$etio& Sus caracter"sticas esenciales
son:
(u#rir las necesidades de los profesionales que
desarrollan cada uno de los pro,ectos necesarios de
un plan de seguridad&
F*cil!ente adapta#le a cualquier tipo de +erra!ienta&
<osee cuestionarios de preguntas para la identificacin
de de#ilidades o faltas de controles&
<osee listas de a,uda para los usuarios !enos
e-peri!entados de de#ilidades, riesgos ,
contra!edidas Dsiste!a de a,udaE&
<er!ite f*cil!ente la generacin de infor!es finales&
7as 7istas de ',uda% D0er Figura 2&=&E , los
cuestionarios son a#iertos, , por tanto es posi#le
introducir infor!acin nuea o ca!#iar la e-istente& De
a+" la e-presin a#ierta de su no!#re&
??
1iene un KNu. pasa si&&&L% cualitatio, , capacidad de
aprendiza$e al poseer una #ase de conoci!iento o
registro de incidentes que an ariando las esperanzas
!ate!*ticas de partida , adapt*ndose a los entornos
de tra#a$o&
FIG7RA 2.+.
FASES DE LA METODOLOGA 4RIMA
(on la !is!a filosof"a a#ierta e-isten en la actualidad las siguientes
!etodolog"as:
'n*lisis de Riesgos&
Identificacin
De#ilidades
'n*lisis del
I!pacto , Riesgo
Infor!e Final
Definicin de contra!edidas
0aloracin de contra!edidas
Realizacin del <lan de
'cciones , <ro,ectos
1o!a de
datos
(+ecW list
'!enazas
0ulnera#ilidades
<onderacin
0aloracin
Econ!ica
<rioridad
Duracin
(oste Econ&
Dificultad
De#ilidades
Riesgos
<lan de 'cciones
<lan de <ro,ectos
Buegos de
Ensa,o
DCpcionalesE
?@
<lan de (ontingencias Infor!*tica , de recuperacin
del negocio&
<lan de restauracin interno infor!*tico&
(lasificacin de la infor!acin&
Definicin , desarrollo de procedi!ientos de control
infor!*ticos&
<lan de cifrado&
'uditor"a Infor!*tica&
Definicin , desarrollo de control de acceso lgico&
FIG7RA 2.,.
LISTA DE AD7DA DE LA METODOLOGA 4RIMA
Aase de Datos de
Incidentes D'E
Relacin de
De#ilidades DAE
Relacin de
eentos por sector
de actiidad
Estad"sticas ,
)r*ficos
?9
2.1.+.,.2.).1... Met#d#&#"*a DEL4EI% 7a siguiente !etodolog"a
analizada, es la /etodolog"a Delp+i& El esque!a co!pleto del !.todo
Delp+i es el siguiente:
1& (rear la !atriz de '!enazas , C#$etos: 'l co!ienzo se de#e
realizar una reunin con todo el personal inolucrado en el tra#a$o&
Esta reunin tiene por o#$eto no slo identificar las a!enazas , los
o#$etos del *rea, sino ta!#i.n esta#lecer no!#res cortos para
deno!inar las a!enazas , los o#$etos , redactar una #ree definicin
de cada uno de ellos&
2& Identificar los controles necesarios: Este paso de#e darse al
co!ienzo en la reunin del grupo de personas inolucradas en el *rea&
Relacin de Riesgos
D(E
Relacin de
contra!edidas DDE
(onoci!ientos
)enerales DEE
Relacin de
<ro,ectos DFE
/en Aase de
Datos del
(onoci!iento
D13E
@3
Es all" donde se precisan los controles para salaguardar los o#$etos
en relacin con las a!enazas&
7os !ie!#ros del grupo de#en discutir los controles que de#er*n
incluirse& ' !edida que esos controles se an ad!itiendo, es
necesario crear una lista con los siguientes datos:
8!ero de Identificacin,
8o!#re corto que distingue a cada control,
Aree descripcin so#re la funcionalidad , utilidad del
control,
Identificacin de la persona responsa#le de la
i!ple!entacin de los controles&
6& Registrar los controles dentro de la !atriz: Este paso se e$ecuta
para colocar dentro de las celdas el n!ero de identificacin de los
controles
:& (ategorizar los riesgos: 'qu" se identifican las *reas de alto, !edio
, #a$o riesgo, coloc*ndolas en orden de niel de e-posicin& <ara la
@1
e$ecucin de este paso se utiliza el !.todo Delp+i , la co!paracin de
los nieles de riesgo&
El !.todo Delp+i, consiste en reunir a un grupo de e-pertos para
solucionar deter!inados pro#le!as& Dic+o grupo realiza la
categorizacin indiidual de las a!enazas , de los o#$etos de riesgo&
El equipo Delp+i sesiona con$unta!ente para co!#inar sus
e-periencias en la realizacin de las siguientes tareas:
(ategorizar las a!enazas por nieles de riesgos& D0er
'ne-o =E <ara efecto de este e$ercicio, se +a organizado un
grupo de cinco personas, quienes se so!eten a otacin
+asta co!pletar la !atriz& D0er 'ne-o ?E 7a categorizacin
se o#tiene su!ando co!o se !uestra en el ane-o @& 7uego
se su!an los dos otos para o#tener el total final de cada
a!enaza& El resultado se utiliza para producir una lista de
categorizacin de a!enazas, por nieles de riesgo de !a,or
a !enor& D0er 'ne-o @E&
(ategorizar la Sensi#ilidad de los C#$etos: Este proceso se
inicia copiando los o#$etos que registra la !atriz de control
@2
de riesgos en una +o$a de co!paracin de categor"as de
riesgos D0er 'ne-o 9E& <ara categorizar la sensi#ilidad de los
o#$etos se utiliza la percepcin que tenga cada uno de los
!ie!#ros del equipo Delp+i so#re cu*l o#$eto de cada
pare$a de o#$etos puede causar !a,or p.rdida econ!ica si
se da5a o causa de!oras en el procesa!iento& El grupo
ota +asta co!pletar la !atiz D0er 'ne-o 13E& Despu.s se
su!an los resultados derec+os de diagonales de las
colu!nas, en for!a ertical, , luego se su!an los resultados
izquierdos de las diagonales de las colu!nas, en for!a
+orizontal, en el sentido de las filas de la !atriz& Se su!an
los resultados para o#tener el total final& D0er 'ne-o 11E&
(o!#inar las dos (ategor"as: >na ez ter!inadas las dos
categor"as, se ela#ora una !atriz de control de riesgos,
colocando los totales en orden de !a,or a !enor, en los dos
casos& D0er 'ne-o 12E&
Seguida!ente se !ultiplican los correspondientes alores ,
con los resultados se organiza una !atriz& 1er!inada esta
operacin se procede a o#tener el niel de riesgo G
@6
sensi#ilidad de las celdas de acuerdo con el alor del
producto& <uede ser que al ter!inar este proceso se
presenten repeticiones&
Diidir las celdas en regiones de !a,or, !ediano , !enor
riesgo: Este proceso se realiza diidiendo la cantidad de
nieles de riesgo G sensi#ilidad por cinco Dn!ero de
personas del grupoE& El cociente se utiliza para indicar las
celdas de !a,or o !enor riesgo& De !anera que las celdas
con nieles de riesgo G sensi#ilidad inferiores o iguales al
cociente son las celdas de !a,or riesgo& 7as celdas con
nieles de riesgo G sensi#ilidad superiores al cociente e
inferiores o iguales a tres eces el cociente son las celdas
de !ediano riesgo , las celdas con nieles de riesgo G
sensi#ilidad superiores a tres eces el cociente son las
celdas de #a$o riesgo&
En la !atriz se resta al n!ero de celdas las repeticiones Dsi
es que las +a,E, para efectos del c*lculo& Este alor es
diidido para el n!ero de personas del grupo o#teniendo
@:
un cociente con el cual se organiza el cuadro de riesgo G
sensi#ilidad , la !atriz correspondiente& D0er 'ne-o 16E
;& Dise5ar los controles Definitios: (on el resultado del tra#a$o
apo,ados en el !.todo Delp+i, se dise5an , docu!entan
definitia!ente los controles a niel: preentio, detectio , correctio,
de acuerdo con el *rea que se est. analizando&
Este es un tra#a$o dispendioso, de#ido a que todo depende del
conoci!iento que se tenga del *rea infor!*tica , del siste!a de
control interno infor!*tico desea#le&
=& Resultados del 'n*lisis de Riesgos& 7os resultados del an*lisis de
riesgos, de#en ser escritos , dados a conocer oportuna!ente para
que sean incorporados en el *rea analizada&
2.1.+.,.). Met#d#&#"*a! de Audit#ia In'#m8tica% 7as nicas
!etodolog"as que pode!os encontrar en la auditor"a infor!*tica son
dos fa!ilias distintas: las auditorias de (ontroles )enerales co!o
producto est*ndar de la de 'uditores <rofesionales, que son una
@;
+o!ologacin de las !is!as a niel internacional, , las /etodolog"as
de los auditores internos&
Entre las dos !etodolog"as de aluacin de siste!as Dan*lisis de
riesgos , auditor"aE e-isten si!ilitudes , grandes diferencias& '!#as
tienen papeles de tra#a$o o#tenidos del tra#a$o de ca!po tras el plan
de entreistas, pero los cuestionarios son total!ente distintos&
7as !etodolog"as de auditoria son del tipo cualitatio G su#$etio& Se
puede decir que son las su#$etias por e-celencia& <or lo tanto, est*n
#asadas en profesionales de gran niel de e-periencia , for!acin,
capaces de dictar reco!endaciones t.cnicas, operatias , $ur"dicas,
que e-igen una gran profesionalidad , for!acin continuada& Slo as"
esta funcin se consolidar* en las entidades, esto es, por el respeto
profesional% a los que e$ercen la funcin&
El concepto de las !etodolog"as de an*lisis de riesgos de tie!pos
!edios% es !*s #ien para consultores profesionales que para
auditores internos&
@=
2.1.+.,.+. Met#d#&#"*a! de C&a!i'icacin de &a In'#macin > de
O9tencin de &#! 4#cedimient#! de C#nt#&%
2.1.+.,.+.1. C&a!i'icacin de &a In'#macin% 8o es frecuente
encontrar !etodolog"as de este tipo, pero la !etodolog"a <RI/' tiene
dos !dulos que desarrollan estos dos aspectos que se !uestran a
continuacin&
Se podr"a preguntar si es suficiente con un an*lisis de riesgos para
o#tener un plan de contra!edidas que nos llear* a una situacin de
control co!o se desea& 7a respuesta es no, dado que todas las
entidades de infor!acin a proteger no tienen el !is!o grado de
i!portancia, , el an*lisis de riesgos !etodolgica!ente no per!ite
aplicar una diferenciacin de contra!edidas segn el actio o recurso
que protege, sino por la pro#a#ilidad del riesgo analizado&
1iene que ser otro concepto, esto es si se identifican distintos nieles
de contra!edidas para distintas entidades de infor!acin con distinto
niel de criticidad, se estar* opti!izando la eficiencia de las
contra!edidas , reduciendo los costos de las !is!as%&
@?
Esta !etodolog"a es del tipo cualitatio, , co!o el resto de la
!etodolog"a <RI/' tiene listas de a,uda con el concepto a#ierto, esto
es, que el profesional puede a5adir en la +erra!ienta nieles o
$erarqu"as, est*ndares , o#$etios a cu!plir por niel, , a,udas de
contra!edidas&
C sea los factores a considerar son los requeri!ientos legislatios, la
sensi#ilidad a la diulgacin DconfidencialidadE, a la !odificacin
DintegridadE, , a la destruccin&
7as $erarqu"as suelen ser cuatro, , segn se trate de ptica de
preseracin o de proteccin, los cuatro grupos ser"an: 0ital, (r"tica,
aluada , 8o sensi#le&
<RI/', aunque per!ite definirla a oluntad, #*sica!ente define:
Estrat.gica Dinfor!acin !u, restringida, !u,
confidencial, ital para la su#sistencia de la e!presaE&
Restringida Da los propietarios de la infor!acinE&
De uso interno Da todos los e!pleadosE&
De uso general Dsin restriccinE&
@@
7os pasos de la !etodolog"a son los siguientes:
1& Identificacin de la Infor!acin&
2& Inentario de Entidades de Infor!acin Residentes , Cperatias&
Inentario de progra!as, arc+ios de datos, estructuras de datos,
soportes de infor!acin, etc&
6& Identificacin de <ropietarios& Son los que necesitan para su
tra#a$o, usan o custodian la infor!acin&
:& Definicin de $erarqu"as de infor!acin& Suelen ser cuatro, por que
es dif"cil distinguir entre !*s nieles&
;& Definicin de la /atriz de (lasificacin& Esto consiste en definir las
pol"ticas, est*ndares, o#$etios de control , contra!edidas por
tipos , $erarqu"as de infor!acin&
=& (onfeccin de la /atriz de (lasificacin& En esta fase se
co!ple!enta toda la !atriz, asign*ndole a cada entidad un niel
de $erarqu"a, lo que se asocia a una serie de +itos a cu!plir, para
cu,o cu!pli!iento se de#er*n desarrollar acciones concretas en el
punto siguiente&
?& Realizacin del <lan de 'cciones& Se confecciona el plan detallado
de acciones& <or e$e!plo, se refor!a una aplicacin de n!inas
@9
para que un e!pleado utilice el progra!a de su#idas de salario ,
su superisor lo aprue#e&
@& I!plantacin , /anteni!iento& Se i!planta el plan de acciones ,
se !antiene actualizado&
O as" se co!pleta esta !etodolog"a&
2.1.+.,.+.2. O9tencin de &#! 4#cedimient#! de C#nt#&% Ctra
/etodolog"a necesaria para la o#tencin de los controles es la
C#tencin de los <rocedi!ientos de (ontrol%& Es frecuente encontrar
!anuales de procedi!ientos en todas las *reas de la e!presa que
e-plican las funciones , c!o se realizan las distintas tareas
diaria!ente, siendo .stos necesarios para que los auditores realicen
sus reisiones operatias, ealuando si los procedi!ientos son
correctos , est*n apro#ados , so#re todo si se cu!plen&
<ero se podr"a preguntar si desde el punto de ista de control
infor!*tico es suficiente , c!o se podr"an !e$orar&
7a respuesta es dada por la !etodolog"a que se e-pone a
continuacin, que dar* otro plan de acciones que contri#uir*
93
su!*ndose a los distintos pro,ectos de un plan de seguridad para
!e$orar el entra!ado de contra!edidas&
7a !etodolog"a se !uestra a continuacin:
Fase I& Definicin de C#$etios de (ontrol&
1area 1: 'n*lisis de la e!presa& Se estudian los procesos,
organigra!as , funciones&
1area 2: Recopilacin de est*ndares& Se estudian todas las
fuentes de infor!acin necesarias para conseguir definir en la
siguiente fase los o#$etios de control a cu!plir Dpor e$e!plo:
ISC, (IS', etcE&
1area 6: Definir los o#$etios de control&
Fase II& Definicin de los (ontroles&
1area 1: Definir los controles& (on los o#$etios de control
definidos, se analizan los procesos , se a definiendo los
distintos controles que se necesiten&
1area 2: Definicin de 8ecesidades 1ecnolgicas D+ardMare ,
+erra!ientas de controlE&
91
1area 6: Definicin de los <rocedi!ientos de (ontrol& Se
desarrollan los distintos procedi!ientos que se generan en las
*reas usuarias, infor!*tica, control infor!*tico , control no
infor!*tico&
1area :: Definicin de las necesidades de recursos +u!anos&
Fase III& I!plantacin de los (ontroles&
>na ez definidos los controles, las +erra!ientas de control , los
recursos +u!anos necesarios, no resta !*s que i!plantarlos en for!a
de acciones espec"ficas&
1er!inado el proceso de i!plantacin de acciones +a#r* que
docu!entar los procedi!ientos nueos , reisar los afectados de
ca!#io& 7os procedi!ientos resultantes ser*n:
<rocedi!ientos propios de control de la actiidad infor!*tica
Dcontrol interno infor!*ticoE&
<rocedi!ientos de distintas *reas usuarias de la infor!*tica,
!e$orados&
<rocedi!ientos de *reas infor!*ticas, !e$orados&
92
<rocedi!ientos de control dual entre control interno
infor!*tica , el *rea infor!*tica, los usuarios infor!*ticos, ,
el *rea de control no infor!*tico&
2.1.+.,.,. Met#d#&#"*a de E/a&uacin de Rie!"#!% Este tipo de
!etodolog"a, conocida ta!#i.n por risW oriented approac+, es la que
propone la IS'(', , e!pieza fi$ando los o#$etios de control que
!ini!izan los riesgos potenciales a los que est* so!etido el entorno&
2.2. De'inici#ne! C#nce$tua&e!
A&cance% Distancia a que llega una cosa& Efectuada la reisin de
antecedentes, se procede a preparar el progra!a de auditoria,
precisando periodo , alcance del e-a!en&
96
Antecedente% 1odo lo que sire para $uzgar +ec+os posteriores&
'cordada la realizacin de una auditoria, el grupo designado para
practicarla efecta una reisin de antecedentes con el estudio de
papeles de tra#a$o e infor!es anteriores&
Audit#*a% E-a!en o#$etio, siste!*tico, profesional e independiente,
aplicado a una organizacin por un auditor co!petente&
Caacte*!tica!% (ualidades o rasgos que siren para distinguir una
persona o una cosa de sus se!e$antes& 7a consideracin de las
caracter"sticas de la organizacin es funda!ental en la i!plantacin ,
desarrollo de la auditoria interna&
C#nt#& en TI% 7as pol"ticas, procedi!ientos, pr*cticas , estructuras
organizacionales dise5adas para garantizar razona#le4!ente que los
o#$etios del negocio ser*n alcanzados , que eentos no desea#les
ser*n preenidos o detectados , corregidos
9:
Citei#% <auta, nor!a, regla para conocer la erdadF $uicio,
discerni!iento frente a un asunto deter!inado& El auditor funda!enta
su tra#a$o en la ealuacin del cu!pli!iento de criterios esta#lecidos&
8ingn tipo de auditoria es posi#le si no +a, criterios esta#lecidos
so#re los cuales un auditor de#e ealuar&
C#n#"ama% Relacin de actiidades por desarrollar en fec+as
deter!inadas, las cuales +acen parte de los planes , progra!as de
las organizaciones , a su ez se constitu,e en un !ecanis!o del
control interno&
De!em$eFa% 9acer aquello a lo que uno est* o#ligado, lo cual de#e
estar garantizado en un alto grado por los !ecanis!os de control&
Dia"n!tic#% 'n*lisis que per!ite deter!inar el con$unto de s"nto!as
o caracter"sticas de la eolucin o el desarrollo de un proceso
deter!inado, el cu*l resulta !u, til para conocer el grado de
desarrollo , fortaleci!iento del siste!a de control interno de una
organizacin&
9;
Di!eF#% Aosque$o for!al de un proceso o cosa& Dise5o de los
ele!entos , !ecanis!os del siste!a de control interno&
Ec#n#m*a% 'd!inistracin recta , prudente de los #ienes& ' este
requisito que de#e tener toda organizacin de#e contri#uir
per!anente!ente el siste!a de control interno , de auditoria interna&
E'icacia% 0irtud, fuerza , poder para o#rar&
E'iciencia% 7ogro de !etas , o#$etios en t.r!inos de cantidad ,
calidad& 0irtud , facultad para lograr un efecto deter!inado&
Gn'a!i!% Fuerza de e-presin o entonacin& 7os progra!as de
auditoria se confeccionan so#re la #ase de poner .nfasis en las *reas
!*s i!portantes , las *reas donde los controles internos son
deficientes&
E!tate"ia% <rocedi!iento o plan que se aplica para lograr un
propsito u o#$etio&
9=
Gtica% <arte de la filosof"a que trata de la !oral , de las o#ligaciones
del +o!#re& El auditor cuenta con su propia .tica profesional para el
desarrollo de sus funciones&
E/a&ua% 0alorar, esti!ar el alor de las cosas o situaciones&
E/idencia% 7a eidencia se constitu,e en el soporte , respaldo a las
afir!aciones dadas&
Fa!e% (ualquiera de los aspectos o ca!#ios dentro de un proceso&
Funcin% Es el con$unto de actiidades u operaciones que dan
caracter"sticas propias , definidas a un cargo, para deter!inar nieles
de responsa#ilidad , autoridad, , de#en estar for!uladas ,
docu!entadas en un !anual de funciones , procedi!ientos el que a
su ez se constitu,e en el ele!ento de control&
G#9ien# de TI% >na estructura de relaciones , procesos para dirigir ,
controlar la e!presa con el fin de lograr sus o#$etios al a5adir alor
9?
!ientras se equili#ran los riesgos contra el re4torno so#re 1I , sus
procesos&
Im$&anta% Esta#lecer , poner en e$ecucin doctrinas nueas,
pr*cticas o costu!#res&
In'#m8tica% 'plicacin racional, siste!*tica de la infor!acin para el
desarrollo econ!ico, social , pol"tico&
In(eente% >nido insepara#le!ente , por naturaleza a una cosa& El
riesgo es in+erente al desarrollo de las actiidades de una
organizacin por lo que no se pueden orientar todos los recursos a
eli!inarlo total!ente& 7o i!portante es identificarlo , !ane$arlo&
Inte"idad% (alidad de "ntegro& Nue tiene todas sus partes& 7os
papeles de tra#a$o protegen la integridad profesional del auditor ,
a,udan a $ustificar su actuacin&
Manua&% Docu!ento gu"a que descri#e asuntos o actiidades de
acuerdo con un ordena!iento lgico, , est* su$eto a per!anente
9@
ealuacin , actualizacin& Es una de las fuentes de criterios a ealuar
dentro del an*lisis de riesgos&
Mecani!m#!% (o!#inacin de partes que producen o transfor!an un
!oi!iento& <ara que e-ista un #uen control se de#en esta#lecer
!ecanis!os de segui!iento , control&
M-t#d#% /odo de o#rar con orden& 7a ealuacin de control interno
por el !.todo de cuestionario consiste en conertir en preguntas todas
las nor!as de control interno, de tal !anera que una respuesta
afir!atia indique la e-istencia , o#seracin de la nor!a , una
respuesta negatia indique su ausencia o incu!pli!iento&
N#ma!% Son los requisitos de calidad relatios a la persona del
auditor, al tra#a$o que realiza , a la e!isin de su opinin&
O9:eti/#% Relatio al o#$eto en s" , no a nuestro !odo de pensar o
sentir& El infor!e de#e presentar co!entarios, conclusiones ,
reco!endaciones en for!a o#$etia&
99
O9:eti/# de C#nt#&% >na sentencia del resultado o propsito que se
desea alcanzar i!ple!entando procedi!ientos de control en una
actiidad de 1I particular&
O$#tunidad% Se refiere a la .poca en que se de#en aplicar los
procedi!ientos del an*lisis, de tal for!a que se o#tengan los
resultados !*s eficientes que sean posi#les&
O"ani;acin% >nin oluntaria de una serie de indiiduosF est*
integrada por !ltiples "nculos contractuales entre factores
Dpersonas, sericio , procesosE con una funcin de asignacin
eficiente de los recursos , #a$o la direccin , coordinacin de una
autoridad directia&
4&anea% 1razar, for!ar, disponer el plan de una o#ra& For$ar planes&
4#ndea% <esar, deter!inar el peso de una cosa& E-a!inar con
atencin las razones de una cosa para for!ar un $uicio de ella&
133
4inci$i#!% Aase, origen, funda!ento !*-i!o por el que cada quien
rige sus actuaciones& 7a actuacin del auditor est* regida por
principios .ticos profesionales&
4#cedimient#% /.todo para +acer alguna cosa& Entonces pode!os
referirnos a procedi!ientos operatios, ad!inistratios , de control&
4#ce!#% (on$unto de fases sucesias de un fen!eno o asunto, las
cuales son controladas, superisadas , ealuadas por el siste!a de
control interno&
4#"ama% Escrito que indica las condiciones de un an*lisis& El auditor
de#e for!ular un progra!a general de tra#a$o que inclu,e un resu!en
de las actiidades a desarrollar&
Rec#mendacin% Encargo que se +ace a una persona respecto de
otra o de alguna cosa& El infor!e del an*lisis de#e tener
reco!endaciones que per!itan su#sanar las deficiencias
encontradas&
131
Recu!#! Mateia&e!% 1odo lo referente a !o#iliario de oficina ,
equipos de co!putacin con que cuenta la organizacin&
Re&e/ante% So#resaliente, e-celente, i!portante& El infor!e del
an*lisis de#e #rindar la infor!acin necesaria , releante relacionada
con el e-a!en practicado&
S89ana% Refi.rase a los reportes largos que se i!pri!"an antes&
Semicuanti'ica% 'signar rangos nu!.ricos a las caracter"sticas 'lto,
/edio, , Aa$o&
Si!tem8tic#% Nue sigue un siste!a& D"cese de quien procede por
principios so!eti.ndose a un siste!a fi$o en su conducta, escritos,
opiniones& Es una de las caracter"sticas del e-a!en de auditor"a&
T-cnica% (on$unto de procedi!ientos de un arte o ciencia& 9a#ilidad
para usar esos procedi!ientos& En el desarrollo del e-a!en de
auditor"a se +ace uso de las t.cnicas de auditor"a&
132
T-cnica!% Son los recursos pr*cticos de inestigacin , prue#a que el
auditor utiliza para o#tener la infor!acin que necesita&
5ei'ica% <ro#ar que es erdad una cosa que se duda& 7a auditor"a
es un e-a!en que erifica , eala deter!inadas *reas de una
e!presa&