Documente Academic
Documente Profesional
Documente Cultură
AUDITORÍA DE SISTEMAS
SEMANA 6
Administración
Administración del procesodel proceso
de Auditoría de
Informática
auditoría informática
Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
IACC publicar, emitir, difundir, poner a disposición del público ni
permitido copiar, reproducir, reeditar, descargar,
utilizar los contenidos para fines comerciales de ninguna clase. 1
SEMANA 6 – AUDITORÍA DE SISTEMAS
APRENDIZAJES ESPERADOS
El estudiante será capaz de:
IACC
2
SEMANA 6 – AUDITORÍA DE SISTEMAS
IACC
3
SEMANA 6 – AUDITORÍA DE SISTEMAS
INTRODUCCIÓN
La auditoría, en todas sus tipologías, tiene cómo se asocia cada concepto a los pasos que
procesos, etapas y elementos. se deben ejecutar al llevar a cabo una
auditoría, enfatizando en las características
A partir de esta sesión se comienzan a tecnológicas.
caracterizar los elementos, etapas, procesos y
metodologías que constituyen una auditoría Además, se revisarán recomendaciones
informática. generales aplicables a cada etapa de una
auditoría y se plantearán recomendaciones
Por ello, se revisarán algunos términos para que cada una de ellas sea efectiva y
generales que serán utilizados en el proceso cumpla con el proceso que se está llevando a
de auditoría, se comenzará a aplicar la teoría cabo, así como con el alcance definido
estudiada en las unidades anteriores desde inicialmente.
un punto de vista más práctico, para entender
IACC
4
SEMANA 6 – AUDITORÍA DE SISTEMAS
El auditor, en su búsqueda de evidencia, debe optimizar todos los recursos e información de la cual
dispone, estableciendo un equilibrio entre costo y beneficio de sus actividades. Por esto, la
planificación de la auditoría se sustenta en el análisis y evaluación de los sistemas de control de la
entidad en proceso de auditoría.
Esta evaluación se realiza para verificar su confiabilidad, ya que si se puede confiar en ellos, el
auditor ahorra tiempo y, por ende, baja el costo, puesto que no será necesario diseñar pruebas para
todo. Sin embargo, siempre existe el riesgo de que los errores no sean detectados, por lo cual la
prueba a aplicar siempre debe ser seleccionada muy pensadamente.
Es por ello entonces, que una auditoría de sistemas, consta de las etapas que se grafican a
continuación:
PLANIFICACIÓN
TRABAJO DE
CAMPO Y
DESCUBRIMIENTO
DE HALLAZGOS Y
DESARROLLO DE COMUNICACIÓN INFORME
SOLUCIONES DE RESULTADOS
DOCUMENTACIÓN VALIDACIÓN FINAL
SEGUIMIENTO
Por lo tanto, la planificación de auditoría, que es la primera etapa de este proceso que se está
estudiando en esta sesión, consiste en elaborar el plan para realizar un examen a los sistemas, a fin
IACC
5
SEMANA 6 – AUDITORÍA DE SISTEMAS
Esta etapa es muy importante, pues toda auditoría debe planearse antes de realizarse, donde se
debe detallar cada actividad para prever el trabajo, definir los objetivos, las pruebas a aplicar y
también para conocer a la empresa y los recursos con que cuenta el auditor para ejecutarla, así
como el alcance y las limitaciones. De esta manera logramos:
En auditoría, los conceptos alcance y limitaciones son muy importantes: el primero se refiere a la
profundidad del examen a realizar, hasta dónde o hasta qué periodo, toda el área o solo una parte,
con qué nivel de acceso a la información; mientras que el segundo se refiere a las restricciones que
tiene el auditor para aplicar las pruebas que requiere para obtener la evidencia que sustente su
opinión.
Ya se trate de un auditor contratado para realizar una auditoría a una organización o si el auditor
es interno, lo primero que él hará es investigar. Durante la planificación, el auditor pasará tiempo
determinando el alcance, trabajando para la clarificación de este con el individuo o el encargado
de contratación o quizás trabajando con un agente de seguridad interno. Mientras se está
haciendo esta investigación, el auditor buscará una estrategia para auditar el proceso o el sistema
y formulará un checklist. Junto al checklist irá la creación de los procedimientos de auditoría
reales para el auditor.
IACC
6
SEMANA 6 – AUDITORÍA DE SISTEMAS
1) Investigación
2) Determinación del alcance
3) Determinación de la estrategia de auditoría
4) Creación de una lista de chequeos y procedimientos de auditoría
La primera interrogante que se podría plantear es “¿dónde investigar para obtener una estrategia
de auditoría?”. La respuesta es simple: en los documentos de la política interna junto con las
mejores prácticas de la industria. Un recurso excelente para esto, en lo referente a seguridad
informática, es el Centro para la Seguridad de Internet (CIS, www.cisecurity.org), sitio donde se
encuentran publicados los documentos de mejores prácticas y las guías paso a paso para asegurar
ciertos sistemas. Estos documentos fácilmente se pueden convertir en la lista de chequeo de
auditoría y procedimientos. Además, tampoco deben ser pasados por alto en una auditoría real,
puesto que recomiendan una gran variedad de herramientas que se puedan utilizar para medir
todos los aspectos de los sistemas en cuestión. Es también recomendable revisar los marcos de
trabajo de auditoría que están disponibles (FISCAM, COBIT, ISO 27001, etc.).
Existe un cierto grado de información solapada durante la fase de planificación de la auditoría, sobre
todo al momento de solicitarla, por lo que habrá probablemente una declaración inicial del
propósito o una definición inicial del alcance de la auditoría. Sin embargo, muy a menudo, cuando
el auditor comienza a hacer la investigación necesaria para realizar la auditoría, descubre que el
alcance y/o el propósito no están bien definidos como se pudo haber pensado al principio.
Consecuentemente, el auditor en esta fase puede necesitar comunicarse con el solicitante de la
auditoría para clarificar el alcance, el que ya fue definido en párrafos anteriores.
Una vez que se hace toda la investigación o, a veces, mientras todavía se está investigando, surge la
cuestión sobre qué estrategia funcionará bien para la auditoría que se está intentando realizar.
¿Qué se busca en una estrategia de auditoría? No necesariamente la más fácil; lo que se está
buscando realmente es la estrategia que mejor alcance el propósito de la auditoría del sistema. Si
IACC
7
SEMANA 6 – AUDITORÍA DE SISTEMAS
se está auditando qué tan bien un sistema se ajusta a la política corporativa, una opción es que se
use una línea base como estrategia. Si se está tratando de determinar qué tan eficaz es el firewall1
corporativo, una línea base de este, a pesar de ser interesante, realmente no dirá qué tan eficaz es.
En este caso, quizás se deba utilizar una herramienta de evaluación. Quizás se deba medir el firewall
basado en sus políticas y cómo estas se ajustan a las mejores prácticas. El punto es que se podría
necesitar la incorporación de un número de estrategias en la auditoría y, en cierto modo, se podría
trasladar desde la auditoría hacia la evaluación (assessment2), ya que (y esto puede ser discutible)
una gran parte de la auditoría es evaluación.
Con toda la información recopilada, el auditor estará en condiciones de crear las listas de chequeo
que se ajusten mejor al alcance y objetivos de la auditoría y, consecuentemente, determinar y
generar cuál será el procedimiento en base a la estrategia a utilizar.
Técnicas de
Auditoría
Revisión Selectiva
Conciliación
Analítica
1
En español quiere decir cortafuego, y es un programa automático que controla el acceso de una
computadora a una red y de elementos de la red a la computadora, por motivos de seguridad.
2
En español quiere decir entrevista de evaluación situacional, la cual se aplica a diferentes personas en una
empresa.
IACC
8
SEMANA 6 – AUDITORÍA DE SISTEMAS
PRUEBAS DE AUDITORÍA
DE
SUSTANTIVAS
CUMPLIMIENTO
Son las que se aplican para asegurar que los
procedimientos se ejecutan según lo que la Son las que se aplican para evidenciar la
empresa o entidad ha definido, así como existencia, exactitud, integridad, propiedad,
tambien, con las prácticas de la industria a la evaluación y presentación de la información.
que pertenece, las políticas, etc.
VERIFICACIÓN
Ahora, lo importante es verificar los controles y en debe enfatizarse al momento de elaborar las
pruebas de auditoría.
De autenticidad
De exactitud
De totalidad
De redundancia
De privacidad
De existencia
De protección de activos
De efectividad
De eficiencia
De tipo automáticos o lógicos
De combinación alfanumérica en claves de acceso
IACC
9
SEMANA 6 – AUDITORÍA DE SISTEMAS
Al realizar el trabajo en terreno, hay algunas cosas que se deben tener presentes:
IACC
10
SEMANA 6 – AUDITORÍA DE SISTEMAS
Durante el trabajo de campo, el auditor elaborará los papeles de trabajo que son la base de su
informe, pues en ellos tendrá toda la evidencia del trabajo realizado, además de las anotaciones de
los hallazgos y resultados de las pruebas aplicadas. Junto a esto deberá adjuntar los documentos
pertinentes a sus observaciones, como los checklist, cuestionarios, informes, etc.
En este punto, de vez en cuando los auditores incurren en algunas equivocaciones. A veces sienten
que pueden comprometer la integridad de la auditoría si otras personas los asisten. ¿Qué significa
esto? Significa que un auditor sentirá a veces que pedir al administrador de un sistema Unix, por
ejemplo, imprimir una lista de los usuarios actuales en un sistema compromete la integridad de la
auditoría solo porque el auditor no lo hizo por sí mismo.
Por ello, es importante entender que no todos en el mundo son administradores de firewalls, y
tampoco cada administrador de firewalls es también un analista de IDS. Y probablemente haya
pocas personas que sean administradores de firewalls y analistas de IDS y que también sean
administradores eficaces de bases de datos Oracle. Mientras que el auditor debe ciertamente tener
un cuadro claro respecto de qué es lo que él o ella está auditando, no hay nada que diga que necesita
saber hacerlo todo.
Los hallazgos ya han sido vistos en asignaturas de auditoría anteriores a esta, por lo que solo se
recordará su definición, a fin de contextualizar y mencionar la forma de redacción y presentación
del informe.
IACC
11
SEMANA 6 – AUDITORÍA DE SISTEMAS
Para que un hallazgo sea válido, es importante que tenga una base, una evidencia sustentadora. No
basta con decir, por ejemplo, ¡Yo vi un fantasma!, sino que también debe comprobarse, puesto que
cuando no se conocen las causas o razones y no hay documentación que sirva de respaldo, no se va
a considerar el descubrimiento de un hallazgo. Ejemplo de esto sería señalar que en la contabilidad
hay pagos sin respaldo, debe comprobarse eso de manera fehaciente y ahí será considerado como
un hallazgo a informar.
Una de las cosas más importantes del Informe de Auditoría son los conocimientos lingüísticos. En
este punto, es necesario ser honesto consigo mismo: si se piensa que somos buenos para la
escritura, estamos siendo muy buenos jueces de nuestro propio trabajo, especialmente del trabajo
creativo.
IACC
12
SEMANA 6 – AUDITORÍA DE SISTEMAS
4) Se debe estar seguro de incluir y de explicar completamente las áreas en las cuales la
organización no pudo cumplir los criterios esperados, especialmente en aquellas en las
que los responsables dieron buenas razones (creíbles) para el no cumplimiento de los
requisitos.
5) Intentar ordenar el informe con cierta estructura lógica. Por ejemplo, si se está auditando
el perímetro, no saltar del router al firewall y del firewall al router, sino que agrupar todos
los routers juntos.
Resumen ejecutivo.
Describir el propósito.
Describir el alcance.
El resumen ejecutivo será probablemente la última cosa que se escriba en el informe de auditoría,
aunque después sean las primeras páginas del informe ejecutivo. Mientras se escribe el resumen,
se debe tener presente la audiencia prevista; es decir, considerando como objetivo a un ejecutivo.
Todos sabemos qué tan no-técnicos tienden a ser los ejecutivos, sin embargo, se debe recordar que
sus trabajos no requieren, generalmente, ser técnicos. Su posición necesita que sean capaces de
tomar buenas decisiones de negocio para proteger activos y alcanzar sus objetivos de negocio.
Como auditor, se pasa a ser una herramienta ejecutiva que se utiliza para medir conformidad
respecto a un estándar y para evaluar cómo la organización puede mejorar.
EL informe debe contener información muy importante sobre el desarrollo de la auditoría, los
resultados obtenidos y las recomendaciones y sugerencias del auditor.
EL documento en sí incluye:
1) Fecha de emisión.
2) Alcance, limitaciones y objetivos de la auditoría establecidos.
3) Descripción de la metodología aplicada en la ejecución del proceso.
4) Documentación revisada y también la elaborada por el auditor.
IACC
13
SEMANA 6 – AUDITORÍA DE SISTEMAS
5) Pruebas realizadas.
6) Fechas en que se realizó el trabajo de campo, entrevistas, reuniones, etc.
7) Limitaciones detectadas al realizar las pruebas que impiden la emisión de un juicio sobre
ciertos aspectos de la seguridad del sistema informático.
8) Informe ejecutivo que incluya aspectos destacables y el cumplimiento de los objetivos de
auditoría.
9) Sección de recomendaciones, las que deben ser abiertas (presentar varias alternativas de
solución) e indicar los riesgos si es que existen.
10) Anexos, que son el detalle y los resultados de las pruebas.
11) Opinión del auditor (la cual podría omitirse en el caso que el auditor se abstenga),
incluyendo las no conformidades.
12) Firma del auditor
El auditor debe realizar un continuo monitoreo a las recomendaciones, con el objeto de aplicar las
correcciones que se requieran y validar aquellas operaciones que dieron un buen resultado y no
presentan errores.
IACC
14
SEMANA 6 – AUDITORÍA DE SISTEMAS
IACC
15
SEMANA 6 – AUDITORÍA DE SISTEMAS
COMENTARIO FINAL
En el presente contenido se revisó el proceso de auditoría informática desde una perspectiva
práctica, proporcionando una guía simple de cómo llevar este proceso en 6 pasos, entregando
recomendaciones e identificando qué elementos deben componer cada uno de ellos.
El material entregado incluye una revisión del informe de auditoría y los reportes que se deben
generar, proporcionado una pauta del contenido y la información que se debe incluir en cada uno
de ellos.
Los temas abordados tendrán una importancia significativa si se desea llevar a cabo una auditoría
de sistemas informáticos o de seguridad de la información, o si se es parte de una auditoría como
entidad auditada o siendo el solicitante, ya que permitirá conocer en mayor profundidad el proceso
en sí, sus características y, de esta manera, participar en forma colaborativa o conducir una auditoría
en forma exitosa.
IACC
16
SEMANA 6 – AUDITORÍA DE SISTEMAS
REFERENCIAS
Echeñique, J. (2001). Auditoría en informática. Capítulo 2, 2 .ª edición. México:
Interamericana.McGraw-Hill.
Sistemas. Semana 6.
IACC
17
SEMANA 6 – AUDITORÍA DE SISTEMAS
IACC
18