Proceso de auditoría informática

Eduardo Andrés Flores Sepúlveda

Auditoria Informática
Instituto IACC
17 de Marzo de 2019
 Desarrollo

INSTRUCCIONES: Responda a los planteamientos que se exponen a continuación:

1) Durante la planificación de una auditoría, se describen actividades orientadas a

realizar un levantamiento de políticas y procedimientos relacionados al plan de
recuperación ante desastres de una compañía. Con esta actividad se pretende
identificar los controles claves, sus responsables y la evidencia a solicitar. Indique el
objetivo y las principales características de este tipo de auditoría.

Respuesta:
Tanto el plan de contingencias, como el plan de seguridad, tienen como
objetivo proveer a la organización de requerimientos, que le permitan
recuperarse ante desastres. P o r l o t a n t o , l a metodología tiene como
objetivo guiar de la forma más efectiva, un plan de recuperación ante
cualquier eventualidad sufrida por la organización. Este plan de
contingencia s e define como: la identificación y protección de los
procesos críticos de la organización y los recursos requeridos para mantener
un aceptable nivel de transacciones y de ejecución, protegiendo a su vez
estos recursos y preparando procedimientos para asegurar la supervivencia
de la organización en caso de presentarse una eventualidad.

Entre los objetivos del plan de contingencia se encuentran los siguientes:

- Minimizar el impacto del desastre en la organización.

- Determinar tareas para evaluar los procesos indispensables de la
organización.
- Evaluar los procesos de la organización, con el apoyo y autorización
respectivos de la organización, y a través de una buena metodología.

Y cuenta con las siguientes características:

- Alcance y objetivos del plan: los que se refieren a la definición de los

elementos fundamentales del plan, es decir, lo que debe lograr y lo que
aborda
- Da respuesta a incidentes y limitaciones: Esto se refiere a la definición
de las actividades, es decir, lo que el plan puede o no puede iniciar,
como por ejemplo, realizar una evaluación inicial, realizar una
evaluación de los daños y/o evaluar los posibles resultados.
- Equipos de respuesta a incidentes, datos de contacto y
responsabilidades: Los cuales se refieren a la enumeración de los
nombres y los datos de contacto de las personas asignadas al equipo de
respuesta a incidentes. Donde se pueden especificar sus funciones y
responsabilidades, como por ejemplo: el líder del equipo, el especialista
en evaluación de daños, el responsable del enlace con los socorristas o
coordinador de la evacuación.

- Pasos del proceso de notificación: Donde es esencial proporcionar

información sobre el incidente en cuestión, a los individuos
designados de manera inmediata. Por lo que en esta sección se define
que, al momento de ocurrir un incidente; quién se debe contactar, la
rapidez con que se debe contactar y la información que debe ser
comunicada.

- Medidas de evaluación de daños: Es una parte fundamental examinar y

evaluar la magnitud de los daños al edificio o plantas en el edificio, los
alrededores y otros elementos operacionales que se especifican en el
plan.
- Pasos del proceso de declaración: En esta sección se proporcionan
criterios para que el equipo de las respuesta necesarias ante los
incidentes que pueda declarar un desastre, o proporcionar información a
las personas designadas, como por ejemplo: los ejecutivos de la
empresa, son los encargados de declarar oficialmente un desastre.
- Pasos del proceso de escalamiento: Se refiere a la información sobre la
evolución de los hechos y, su expansión o descenso, lo cual es esencial
para los socorristas u otras personas designadas en el plan si las
actividades de respuesta a incidentes deben ser aumentadas o
recortadas.
 - Tomar decisión de poner en marcha las actividades de emergencia
adicionales: La cual se toma en base a las evaluaciones de los miembros
del equipo de respuesta a incidentes, socorristas y otras personas
autorizadas, las que pueden ser como por ejemplo el lanzamiento de un
plan de evacuación, o la de la construcción de un refugio.

- Pasos para desactivar el Plan de Respuesta a Incidentes: Los cuales se

siguen una vez que se considera que la situación se puede llevar a cabo
con éxito, o si las primeras personas en responder toman el control de
la situación, a continuación se describen los procedimientos para
desactivar el plan y retirar el equipo de respuesta a incidentes:

 Planificar las actividades de prueba: Con el objetivo de asegurarse de

que el plan de respuesta a incidentes esté actualizado y listo para su
uso, para lo cual se recomiendan ejercicios periódicos para asegurarse
de que los pasos del plan son pertinentes y los miembros del equipo
estén debidamente capacitados, por lo entienden sus funciones y sus
responsabilidades; por lo que también es una buena ocasión de que los
socorristas chequeen el plan y presenten consejos de mejora, en caso
de necesitarlos.

 Planificar las actividades de mantenimiento: Se refieren a que los

planes de respuesta a incidentes deben tener las actualizaciones
programadas para validar los nombres y datos de contacto de los
miembros del equipo, así como también cualquier otra información
relevante del plan de contingencia.
2) Considerando lo enunciado en el punto anterior, indique a qué paso o fase del
programa de auditoría corresponde. Justifique su respuesta.
Pasos del programa de auditoría
Definición del plan
Primariamente para que un plan de recuperación ante desastres funcione, se
debe involucrar a la gerencia. Pues la gerencia es responsable de la
coordinación del plan, por lo que debe asegurar su efectividad. Además,
debe proveer los recursos necesarios para un desarrollo efectivo del plan. Por
lo que todos los departamentos de la organización participan en la definición
del plan, donde se establecen prioridades.
Posteriormente, se debe preparar un análisis de riesgo y crear una lista de
posibles desastres naturales o causados por errores humanos, luego se
clasifican según sus probabilidades. Una vez finalizada la lista, cada
departamento debe analizar las posibles consecuencias y el impacto
relacionado con cada tipo de desastre. Lo cual servirá como referencia para
identificar lo que se necesita incluir para mejorar el plan. Por lo que un plan
completo debe considerar una pérdida total del centro de datos y eventos de
larga duración de más de una semana.
Una vez bien definidas las necesidades de cada departamento, se determinan
y se les asigna una prioridad, lo cual es importante, puesto que ninguna
compañía tiene recursos infinitos. Se analizan los procesos y operaciones, para
determinar la máxima cantidad de tiempo que la organización puede
sobrevivir sin ellos. Luego se establece un orden de recuperación según el
grado de importancia.

Selección de estrategias de recuperación

En la siguiente etapa se determinan las alternativas más prácticas para
proceder en caso de un desastre. Por lo que todos los aspectos de la
organización son analizados, incluyendo hardware, software,
comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas
a considerar van a varían según la función del equipo, por lo que pueden
incluir duplicación de centros de datos, alquiler de equipos e instalaciones,
contratos de almacenamiento, etc. Sin embargo igualmente, se analizan los
costos asociados.

Componentes esenciales
Los datos y documentos que principalmente se deben proteger, son listas,
inventarios, copias de seguridad de software y datos, además de cualquier
otra lista importante de materiales y documentación. La elaboración previa
de plantillas de verificación ayuda a simplificar este proceso.
Posteriormente la gerencia debe respaldar un resumen del plan, a través de
un documento que organiza los procedimientos, identifica las etapas
importantes, elimina redundancias y define el plan de trabajo. Este resumen
debe detallar cada procedimiento, tomando en consideración el
mantenimiento y la actualización del plan a medida de que el negocio
evoluciona, debe asignar responsabilidades a diferentes equipos y/o
departamentos y alternos.

Criterios y procedimientos de prueba del plan

Los planes de recuperación deben ser probados en su totalidad, por lo menos
una vez al año. Por lo que la documentación debe especificar los
procedimientos y la frecuencia con que se realizan las pruebas. Donde se,
verificara la validez y funcionalidad del plan, se determinar la
compatibilidad de los procedimientos e instalaciones, se identificarán áreas
que necesiten cambios, se entrenarán a los empleados y se demostrará la
habilidad de la organización de recuperarse de un desastre.

Luego de las pruebas, el plan debe ser actualizado. Se sugiere que las
pruebas se realicen en horas que minimicen trastornos en las operaciones.
Una vez corroborado que el plan funciona, se deben realizar pruebas
adicionales, con el objetivo de que todos los empleados tengan acceso
virtual y remoto a estas posiciones y funciones en el caso de un desastre.

Aprobación final
Una vez que el plan haya sido puesto a prueba y mejorado y/o corregido, la
gerencia deberá dar su aprobación. L a g e r e n c i a e s l a encargada de
establecer las pólizas, los procedimientos y las responsabilidades en caso de
contingencia, además de actualizar y dar aprobación al plan anualmente.
3) El banco donde usted se desempeña como auditor informático fue víctima de un
sabotaje informático, que se materializó en un robo de mil millones de pesos de
cuentas corrientes de importantes empresas. Se presume que este acto se realizó a
través de la página web corporativa. En base a lo anterior, indique el proceso a
auditar para mitigar el riesgo de que vuelva a ocurrir un sabotaje de estas
características. Justifique su respuesta.

Respuesta
La evaluación del riesgo es una fase muy importante en el desarrollo del
proceso de planeación, por lo que, en esta etapa se debe efectuar una
evaluación a cada una de las cuentas, con el objetivo de determinar cuál o
cuáles se consideran importantes dentro del proceso de revisión que estamos
desarrollando, además se deben relacionar las aseveraciones relacionada a
cada una de ellas. Para lo cual, debemos evaluar los factores de riesgos
cualitativos y cuantitativos relacionados con los rubros de los estados
financieros.

Pasos para evaluación de riesgos:

- Primero identificar o clasificar una cuenta como significativa dentro de

los estados financieros.
- Luego se identifican los riesgos que puedan afectar a los procesos: Por
lo que se deben evaluar todos los aspectos que puedan afectar los
procesos de los rubros de los estados financieros.
- Posteriormente se realiza el entendimiento de la entidad: El cual es uno
de los procesos claves para identificar y valorar los riesgos de
incorrección material en los estados financieros, a través del
conocimiento de la entidad y su entorno, incluyendo el control interno
de la entidad.
 Bibliografía

- IACC 2019. Auditoria Informática. Proceso de auditoría informática.

Contenido de la Semana 5