Proceso de auditoría informática

Patricio Astorga Vega

Auditoria Informática

Instituto IACC

16 octubre 2017
 Desarrollo

INSTRUCCIONES: Responda a los planteamientos que se exponen a continuación:

1) Durante la planificación de una auditoría, se describen actividades orientadas a realizar

un levantamiento de políticas y procedimientos relacionados al plan de recuperación ante

desastres de una compañía. Con esta actividad se pretende identificar los controles claves,

sus responsables y la evidencia a solicitar. Indique el objetivo y las principales

características de este tipo de auditoría.

El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organización

de requerimientos para su recuperación ante desastres. La metodología tiene como finalidad

conducir de la manera más efectiva un plan de recuperación ante una contingencia sufrida por la

organización. El plan de contingencia es definido como: la identificación y protección de los

procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel

de transacciones y de ejecución, protegiendo estos recursos y preparando procedimientos para

asegurar la sobrevivencia de la organización en caso de desastre.

los objetivos del plan de contingencia se encuentran:

 Minimizar el impacto del desastre en la organización.

 Establecer tareas para evaluar los procesos indispensables de la organización.

 Evaluar los procesos de la organización, con el apoyo y autorización respectivos a través

de una buena metodología.

Características:

 Alcance y objetivos del plan. Esta parte del plan define los elementos fundamentales del

plan, lo que se supone que debe lograr y lo que aborda

 Supuestos de respuesta a incidentes y limitaciones. Esta sección define las actividades

que el plan puede o no puede iniciar, como la realización de una evaluación inicial, la

realización de una evaluación de los daños y la evaluación de los posibles resultados.

 Equipos de respuesta a incidentes, datos de contacto y responsabilidades. En esta sección

se enumeran los nombres y datos de contacto de los individuos asignados al equipo de

respuesta a incidentes. Puede especificar sus funciones y responsabilidades, como líder

del equipo, especialista en evaluación de daños, responsable del enlace con los socorristas

o coordinador de la evacuación.

 Pasos del proceso de notificación. Es esencial proporcionar información sobre el

incidente a los individuos designados lo antes posible. En esta sección se define quién se

debe contactar, la rapidez con que se debe contactar después de que ocurra un incidente y

la información que debe ser comunicada.

 Medidas de evaluación de daños. Una parte fundamental de la evaluación inicial de la

situación es examinar y evaluar la magnitud de los daños al edificio o plantas en el

edificio, los alrededores y otros elementos operacionales que se especifican en el plan.

 Pasos del proceso de declaración. Esta sección proporciona criterios para que el equipo

de respuesta a incidentes pueda declarar un desastre o proporcionar información a las

personas designadas (por ejemplo, los ejecutivos de la empresa) para que puedan declarar

oficialmente un desastre.

 Pasos del proceso de escalamiento. Información sobre la evolución de los hechos y su

expansión (o descenso) es esencial para los socorristas u otras personas designadas en el

plan si las actividades de respuesta a incidentes deben ser aumentadas (o recortadas).

  Decisión de poner en marcha actividades de emergencia adicionales. Con base en

evaluaciones de los miembros del equipo de respuesta a incidentes, socorristas y otras

personas autorizadas, puede requerirse la toma de decisiones para poner en marcha

actividades de respuesta adicionales, tales como el lanzamiento de un plan de evacuación

o de un refugio.

 Pasos para desactivar el Plan de Respuesta a Incidentes. Si la situación se puede llevar

con éxito a una conclusión, o si los primeros en responder toman el control de la

situación, en esta sección se describen los procedimientos para desactivar el plan y retirar

el equipo de respuesta a incidentes.

 Planificar las actividades de prueba. Para asegurarse de que el plan de respuesta a

incidentes está actualizado y listo para su uso, se recomiendan ejercicios periódicos para

asegurarse de que los pasos en el plan son pertinentes y los miembros del equipo estén

debidamente capacitados y entienden sus funciones y responsabilidades; también es una

buena oportunidad de que los socorristas revisen el plan y ofrezcan sus consejos.

 Planificar las actividades de mantenimiento. Los planes de respuesta a incidentes deben

tener las actualizaciones programadas para validar los nombres y datos de contacto de los

miembros del equipo, así como cualquier otra información relevante del plan.

2) Considerando lo enunciado en el punto anterior, indique a qué paso o fase del programa

de auditoría corresponde. Justifique su respuesta.

Pasos del programa de auditoría

Definición del plan

Para que un plan de recuperación ante desastres funcione, tiene que involucrar a la gerencia.

Ellos son los responsables de su coordinación y deben asegurar su efectividad. Adicionalmente,

deben proveer los recursos necesarios para un desarrollo efectivo del plan. Todos los

departamentos de la organización participan en la definición del plan.

Establecimiento de prioridades

A continuación, la compañía debe preparar un análisis de riesgo y crear una lista de posibles

desastres naturales o causados por errores humanos, y clasificarlos según sus probabilidades.

Una vez terminada la lista, cada departamento debe analizar las posibles consecuencias y el

impacto relacionado con cada tipo de desastre. Esto servirá como referencia para identificar lo

que se necesita incluir en el plan. Un plan completo debe considerar una pérdida total del centro

de datos y eventos de larga duración de más de una semana.

Una vez definidas las necesidades de cada departamento, se les asigna una prioridad. Esto es

importante, porque ninguna compañía tiene recursos infinitos. Los procesos y operaciones son

analizados para determinar la máxima cantidad de tiempo que la organización puede sobrevivir

sin ellos. Se establece un orden de recuperación según el grado de importancia.

Selección de estrategias de recuperación

En esta etapa se determina las alternativas más prácticas para proceder en caso de un desastre.

Todos los aspectos de la organización son analizados, incluyendo hardware, software,

comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar varían

según la función del equipo y pueden incluir duplicación de centros de datos, alquiler de equipos

e instalaciones, contratos de almacenamiento y muchas más. Igualmente, se analiza los costos

asociados.

Componentes esenciales

Entre los datos y documentos que se debe proteger se encuentran listas, inventarios, copias de

seguridad de software y datos, cualquier otra lista importante de materiales y documentación. La

creación previa de plantillas de verificación ayuda a simplificar este proceso.

Un resumen del plan debe ser respaldado por la gerencia. Este documento organiza los

procedimientos, identifica las etapas importantes, elimina redundancias y define el plan de

trabajo. La persona o personas que escriban el plan deben detallar cada procedimiento, tomando

en consideración el mantenimiento y la actualización del plan a medida de que el negocio

evoluciona. El plan asigna responsabilidad a diferentes equipos / departamentos y alternos.

Criterios y procedimientos de prueba del plan

La experiencia indica que los planes de recuperación deben ser probados en su totalidad por lo

menos una vez al año. La documentación debe especificar los procedimientos y la frecuencia con

que se realizan las pruebas. Las razones principales para probar el plan son: verificar la validez y

funcionalidad del plan, determinar la compatibilidad de los procedimientos e instalaciones,

identificar áreas que necesiten cambios, entrenar a los empleados y demostrar la habilidad de la

organización de recuperarse de un desastre.

Después de las pruebas el plan debe ser actualizado. Se sugiere que la prueba original se realice

en horas que minimicen trastornos en las operaciones. Una vez demostrada la funcionalidad del

plan, se debe hacer pruebas adicionales donde todos los empleados tengan acceso virtual y

remoto a estas posiciones y funciones en el caso de un desastre.

Aprobación final

Después de que el plan haya sido puesto a prueba y corregido, la gerencia deberá aprobarlo.

Ellos son los encargados de establecer las pólizas, los procedimientos y responsabilidades en

caso de contingencia, y de actualizar y dar el visto al plan anualmente. A la vez, sería

recomendable evaluar los planes de contingencia de proveedores externos.

3) El banco donde usted se desempeña como auditor informático fue víctima de un sabotaje

informático, que se materializó en un robo de mil millones de pesos de cuentas corrientes

de importantes empresas. Se presume que este acto se realizó a través de la página web

corporativa. En base a lo anterior, indique el proceso a auditar para mitigar el riesgo de

que vuelva a ocurrir un sabotaje de estas características. Justifique su respuesta.

La evaluación del riesgo es una fase muy importante en el desarrollo del proceso de planeación,

por lo tanto en esta etapa se debe efectuar una evaluación a cada una de las cuentas, con el fin de

determinar cuál o cuáles se consideran como significativas dentro del proceso de revisión que

estamos desarrollando, de igual forma una vez identificadas las cuentas se deben relacionar las

aseveraciones relacionada a cada una de ellas. Cabe resaltar que para determinar o identificar las

cuentas, revelaciones y aseveraciones relevantes, debemos evaluar los factores de riesgos

cualitativos y cuantitativos relacionados con los rubros de los estados financieros.

Pasos para evaluación de riesgos:

 Identificar o clasificar una cuenta como significativa dentro de los estados financieros, y

dicha cuenta se puede determinar.

 Identificación de riesgos que puedan afectar a los procesos: Se deben evaluar todos los

aspectos que puedan afectar los procesos de los rubros de los estados financieros.

 Entendimiento de la entidad: Este es uno de los procesos claves para la identificar y

valorar los riesgos de incorrección material en los estados financieros, mediante el

conocimiento de la entidad y su entorno incluido el control interno de la entidad

 Bibliografía

 Auditoria Informática Semana 5 Iacc.