Indicaciones para elaborar plan de auditoría

Una vez los integrantes del grupo hayan realizado sus aportes sobre el
cuadro de vulnerabilidades, amenazas y riesgos y se haya consolidado los
resultados del cuadro, se pueden dar cuanta que algunos de esos riesgos
se repiten en los aportes de varios de los compañeros por lo tanto deben
aparecer una sola vez en el cuadro consolidado, hay otros que se
presentan con mayor frecuencia en uno de los activos informáticos
(seguridad, redes, hardware, software, personal, otros) y otros que a
pesar de que ocurren pocas veces pueden ocasionar daños graves a la
empresa o al sistema auditado.
Teniendo en cuenta lo anteriormente mencionado, y una vez ustedes
hagan la selección de la empresa a auditar, bajo los criterios de tener en
cuenta la facilidad de acceso a la información, a los procesos informáticos
y a los recursos informáticos. De esta manera se iniciará la auditoría de
manera formal con la definición del objetivo de la auditoría, la selección
del estándar a aplicar que será el estándar CobIT y la selección de los
procesos a trabajar en la auditoría de acuerdo a los objetivos propuestos.
Una vez seleccionada la empresa ustedes deben definir cuál será el
objetivo de la auditoría, para hacerlo deben tener en cuenta los riesgos
que se presentan con mayor frecuencia y cuáles son los que causarían
mayores daños a los recursos informáticos o sistemas de información de
llegar a ocurrir, tengan en cuenta el activo donde se presentan ya que
ese será el objetivo de la auditoría.
Por ejemplo si los riesgos más frecuentes son en las redes y en manejo
de los sistemas por falta de capacitación, entonces el objetivo de la
auditoría sería: Realizar la auditoría a la red de datos y al manejo
del hardware y software por parte de los usuarios dentro de la
empresa xxxxxx de la ciudad de xxxxxx.
Una vez está definido el objetivo general, para alcanzarlo se definen los
objetivos específicos teniendo en cuenta la metodología de la auditoría
que se descompone en tres o cuatro fases dependiendo si es una auditoría
interna donde ya se conoce el área o sistema auditado, o es una auditoría
externa donde aún no se conoce el sistema o área auditada. Las fases
son: conocer el sistema, planear la auditoría, ejecutar la auditoría, y la
fase de resultados, para cada fase se define un objetivo específico. Por
ejemplo los objetivos específicos del ejemplo serían:
Objetivo 1: Conocer las redes de datos que soportan la
infraestructura tecnológica y los usuarios de los sistemas con el
fin de analizar algunos de los riesgos que puedan presentarse
realizando visitas a la empresa y entrevistas con los usuarios.
Objetivo 2: Elaborar el plan de auditoría diseñando los formatos
de recolección de información, el plan de pruebas a realizar,
seleccionando el estándar a aplicar y los procesos relacionados
con el objetivo de esta auditoría, para obtener una información
confiable.
Objetivo 3: Ejecutar las pruebas que han sido diseñadas y aplicar
los instrumentos que se han diseñado para determinar los riesgos
existentes en la red de datos y los riesgos más frecuentes que
enfrentan los usuarios en su cotidianidad para elaborar la matriz
de riesgos y medir la probabilidad de ocurrencia y el impacto que
causa.
Objetivo 4: Realizar el dictamen de la auditoría para los procesos
evaluados en el estándar, y presentar el informe de resultados de
la auditoría.
Una vez definidos los objetivos de la auditoría, de cada recurso
informático que será evaluado en el objetivo general, se menciona los
aspectos más relevantes que serán evaluados en cada uno de ellos. Para
este caso los alcances serían:
De la red de datos se evaluará los siguientes aspectos:
- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- La administración de los usuarios en la red
De los usuarios se evaluará:
- La competencia de los usuarios en el manejo de la tecnología
- La formación de cada uno de los usuarios respecto al cargo
desempeñado
- La experiencia de los usuarios
- Los programas de capacitación de los usuarios de la
tecnología
Estos serán los aspectos elegidos para ser evaluados y que tienen relación
directa con las vulnerabilidades, amenazas y riesgos encontrados
inicialmente.
Posteriormente se debe especificar la metodología que está ligada al
cumplimiento de los objetivos específicos, cada objetivo específico se
descompone en actividades que se deberán realizar para poder
cumplirlos. Voy a dar el ejemplo con el primer objetivo:
Metodología para Objetivo 1: Conocer las redes de datos que soportan la
infraestructura tecnológica y los usuarios de los sistemas con el fin de
analizar algunos de los riesgos que puedan presentarse realizando visitas
a la empresa y entrevistas con los usuarios.
- Solicitar la documentación de los planes de la red
- Solicitar el inventario del hardware de las redes
- Realizar una entrevista inicial con el encargado de
administrar la red
- Conocer los problemas más frecuentes en la red por parte de
los usuarios
- Solicitar información de los usuarios
- Aplicar una encuesta inicial para medir el grado de dominio
de los usuarios de los recursos tecnológicos
- Solicitar un informe de las capacitaciones realizadas en el
manejo de tecnología y de los sistemas
- Entrevistar a usuarios calves para conocer la opinión acerca
de los programas de formación y capacitación
Estas son las actividades para lograr el primer objetivo, de la misma
manera se hace para los otros tres objetivos específicos planteados.
Posteriormente se hace una relación de los recursos que uno necesita
para desarrollar la auditoría, en este caso los recursos se dividen en
talento humano que serán ustedes, los recursos físicos que son el sitio o
empresa donde se llevará a cabo la auditoría, los recursos tecnológicos
(el hardware, cámaras, grabadoras digitales, memorias, celulares y el
software que se necesite para pruebas) y los recursos económicos que se
presentan en una tabla de presupuesto.
Recursos humanos:

Nombres y apellidos Rol en la auditoría Componente a

auditar
Ing. Francisco Solarte Líder de auditoría Auditoría al hardware
de red
Ing. Sara Igua Auditora 1 Auditoría a los
usuarios de red
Ing. Yolima Mercado Auditora 2 Auditoría a la
seguridad de la red

Recursos físicos: la auditoría se llevará a cabo en la empresa

xxxxx de la ciudad de xxxx a las redes y los usuarios de los
sistemas.
Recursos tecnológicos: grabadora digital para entrevistas, cámara
fotográfica para pruebas que servirán de evidencia, computador
portátil, software para pruebas de auditoría sobre escaneo y
tráfico en la red
Recursos económicos:

Ítem Cantidad subtotal

Computador 2 2.000.000
Cámara digital 1 400.000
Grabadora digital 1 120.000
otros …. ….

Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama

de GANNT, para construirlo se toman las actividades que han sido
definidas para cumplir cada objetivo y se especifica el tiempo de duración
de cada actividad en el tiempo. El tiempo se debe definir desde ahora
hasta la entrega final del informe de auditoría.

Tener en cuenta el ejemplo del blog creado para el curso donde

pueden encontrar el plan con todos los puntos y el diagrama
de GANNT
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.h
tml