Tcnic

as e
Instru
mentos
en una
auditor
a de
sistem
as

Alumno: Luis Sequeda

Cdigo: 022058
Anlisis de Sistemas 3
Prof. Herminia Zambrano

Valencia, 22 de junio de 2015

Tcnicas e instrumentos para auditora

Partimos de la base, que una auditora es la revisin del cumplimiento de
una normativa o sistema implantado para verificar su cumplimiento. As mismo, la
auditora, es la accin que permite identificar no conformidades o problemas que a
simple vista no se ven en todo un SGSI implementado. Por ejemplo las
vulnerabilidades que puede tener un sistema de informacin y que la empresa lo
utiliza para su funcionamiento o para la prestacin de un servicio. De esta manera
se confirma lo que Dejan Kosutic, afirma El punto con las auditoras internas es
que descubran problemas que de otra forma permaneceran ocultos y, por
consiguiente, perjudicaran el negocio. Seamos realistas, cometer errores es
humano; por lo tanto, es imposible tener un sistema sin fallas; aunque s es
posible tener un sistema que se mejore a s mismo y que aprenda de sus errores.
Las auditoras internas son una parte crucial de ese tipo de sistemas.
Para realizar una auditora se requiere de una planificacin previa por parte
del equipo auditor. En este sentido, se determina el alcance de la auditora, los
instrumentos necesarios para realizarla y las tcnicas para verificacin del
cumplimiento de medidas de seguridad. Para la realizacin de las auditoras se
deben contemplar:

Revisin de documentacin.

Entrevistas.

Visitas a instalaciones del auditado y observacin de la operativa habitual.

Pruebas tcnicas sobre los sistemas de informacin y comunicaciones.

Revisin de documentacin:

En la leccin anterior, se present de forma general, cada una de las

metodologas utilizadas para el proceso de auditora. La metodologa Cobit,
presenta una gua prctica o directrices para realizar las auditoras y determinar el
grado de cumplimiento.

Entrevistas:

Las entrevistas deben se planeadas, identificadas con el objetivo que se

persigue de la entrevista. Existen diferentes tipos de entrevistas, sta se hace a
travs de cuestionarios abiertos o a travs de cuestionarios cerrados al
auditado. El cuestionario es un instrumento que puede ser diseado por el auditor,
es decir determinar el tipo de preguntas que disear para aplicar el cuestionario.
El tipo de entrevista que se utilice depende de los objetivos que se pretenda lograr
con la entrevista.

Visitas a instalaciones del auditado y observacin de la operativa

habitual:
Estas visitas, se realizan para verificacin de las instalaciones de la

organizacin auditada con el objetivo de verificacin de condiciones como el

acceso fsico por parte de empleados y funcionarios, la seguridad perimetral
implementada, la observacin, la forma como trabajan los funcionarios en sus
puestos de trabajo, el estado de las conexiones de seguridad, entre otros
importantes que consideren en la planificacin de la auditora y se requiere de una
exploracin visual.

Pruebas

tcnicas

comunicaciones:

sobre

los

sistemas

de

informacin

Esta prueba tiene un componente netamente tcnico a los sistemas de

informacin y comunicaciones de la empresa. A diferencia de las anteriores
tcnicas, que el auditaje es para verificacin de controles implementados en la
organizacin. En esta tcnica de auditora se precisan auditoras sobre:
Auditora de sistemas de control industrial y las TIC
Para este tipo de auditora se hacen pruebas en:

Mecanismos de control de acceso fsico

Suministro elctrico

Sistemas de control de temperatura y humedad,

Sistemas de deteccin y extincin de incendios

Sistemas de video vigilancia y alarmas contra intrusiones fsicas.

Auditora tcnica de sistemas, comunicaciones y aplicaciones

En este tipo de auditora se hace pruebas a los sistemas diseado, creados
e implementados en la empresa. Las pruebas consisten en:

Anlisis de vulnerabilidades de sistemas o redes.

Anlisis de vulnerabilidades de hosts

Auditora de aplicaciones
Este tipo de auditoras se pueden realizar a travs de la metodologa

OSSTMM y OWASP, la cuales son diseadas para este fin.

Conceptos aplicables de la auditoria

Control: el control es una funcin administrativa: es la fase del proceso

administrativo que mide y evala el desempeo y toma la accin correctiva
cuando se necesita. de este modo, el control es un proceso esencialmente
regulador.

Control interno: se podra decir que la funcin primordial del control

interno es regular, hacer ms eficiente el logro de los objetivos de la
organizacin.

Control externo: es aquel ejercido por personal externo a la empresa y su

propsito es evaluar en qu proporcin las metas y objetivos trazados en
las polticas, planes, programas por la administracin de la misma se estn
cumpliendo.

Control interno informtico: el control interno informtico controla

diariamente que todas las actividades de sistemas de informacin sean
realizadas cumpliendo los procedimientos, estndares y normas fijados por
la direccin de la organizacin y/o la direccin informtica, as como los
requerimientos legales.
La funcin del control interno informtico es asegurarse de que las medidas
que se obtienen de los mecanismos implantados por cada responsable
sean correctas y vlidas.
Control interno informtico suele ser un rgano staff de la direccin del
departamento de informtica y est dotado de las personas y medios
materiales proporcionados a los cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:

a) Controlar

que todas las actividades se realicen cumpliendo los

procedimientos y

normas fijados, evaluar su bondad y asegurarse

del cumplimiento de las normas

b) Asesorar

sobre el conocimiento de las normas.

c) Colaborar
las auditoras

legales.

y apoyar el trabajo de Auditoria informtica, as como de

externas al grupo.

Papeles de trabajo: son la herramienta y soporte en la planeacin,

organizacin y coordinacin del examen de auditora, y a su vez brindan
respaldo a la opinin del auditor
Los papeles de trabajo son registros que mantiene el auditor de los
procedimientos aplicados, pruebas desarrolladas, informacin obtenida y
conclusiones pertinentes a que se lleg en el trabajo
Objetivos de los papeles de trabajo:
a) Proporcionar la informacin bsica y

fundamental necesaria para

facilitar la planeacin, organizacin y

desarrollo de todas las etapas

del proceso de auditora.

b) Respaldar la opinin del auditor permitiendo
supervisin y proporcionando los informes

realizar un examen de
suficientes y necesarios

que sern incluidos en el informe de auditora tipos de papeles de

trabajo

Archivo permanente: la informacin que aqu se almacena cubre varios

perodos de la auditoria y son de utilidad en exmenes posteriores,
representando inters para el administrador de la aplicacin y fuente de
consulta de aspectos como la naturaleza y justificacin de la aplicacin.

Archivo corriente: se almacena la informacin correspondiente al periodo

auditado, constituyndose en evidencia del trabajo desarrollado por el auditor,

mostrando todas sus fases y sirviendo como respaldo para presentar los informes
respectivos.

Bibliografa

La informacin del presente trabajo se obtuvo de las siguientes pginas

web:

http://auditoriadesistemas.bligoo.com.mx/

http://datateca.unad.edu.co/

http://es.slideshare.net/UNEG-AS/unegas-2012inf10-instrumentos-ytcnicas-aplicables-a-la-auditora-de-sistemas-computacionales