[Fecha]
UNIVERSIDAD EXPERIMENTAL POLITECNICA
“SANTIAGO MARIÑO”
Página N° 1
Herramientas y tecnicas para la Aplicación de una Auditoria
Herramientas y técnicas para la aplicación de una auditoria.
E
l desarrollo de una auditoría se basa en la aplicación de normas,
técnicas y procedimientos de auditoría. Para nuestro caso, estudiaremos
aquellas enfocadas a la auditoría en informática. Es fundamental mencionar que para el auditor en informática conocer los productos de software que han sido creados para apoyar su función aparte de los componentes de la propia computadora resulta esencial, esto por razones económicas y para facilitar el manejo de la información. El auditor desempeña sus labores mediante la aplicación de una serie de conocimientos especializados que vienen a formar el cuerpo técnico de su actividad. El auditor adquiere responsabilidades, no solamente con la persona que directamente contratan sus servicios, sino con un número de personas desconocidas para él que van a utilizar el resultado de su trabajo como base para tomar decisiones. Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”. Las técnicas procedimientos están estrechamente relacionados, si las técnicas no son elegidas adecuadamente, la auditoría no alcanzará las normas aceptadas de ejecución, por lo cual las técnicas así como los procedimientos de auditoría tienen una gran importancia para el auditor. Según el IMCP las técnicas se clasifican generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisión del contenido de documentos y por examen físico. Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente manera: (Estudio General, Análisis, Inspección,
Confirmación,
Observación, Calculo).
Investigación,
Declaración,
Certificación,
Metodología para el desarrollo
Página N° 2 Metodología para
de una Auditoria Informática
el desarrollo de una
Auditoria
Informática.
E
l primer paso para realizar una auditoría de sistemas es la planeación
de cómo se va a ejecutar la auditoria, donde se debe identificar de forma
clara las razones por las que se va a realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.
Identificar el origen de la auditoria Este es el primer paso para iniciar la planeación de la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.
Visita Preliminar al Área informática Este es el segundo paso en la planeación de la auditoria y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoria y antes de iniciarla formalmente; el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que problemáticas que se presentan en el área auditada.
Establecer los Objetivos de la Auditoria Página N° 3
- El objetivo general que es el fin global de lo que se pretende alcanzar
Metodología para
con el desarrollo de la auditoría informática y de sistemas, en él se
el desarrollo de una
Auditoria
Informática.
plantean todos los aspectos que se pretende evaluar. - Los objetivos específicos que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.
Determinar los Puntos que serán evaluados Una vez determinados los objetivos de la auditoria se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos.
Elaborar Planes, Programas y Presupuestos Para realizar la planeación formal de la auditoria informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoria,
donde se delimiten las etapas, eventos y
actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.
Algunos de los aspectos a tener en cuenta serán Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán utilizados; los tiempos estimados para las actividades y para la auditoria; los auditores responsables y participantes de las actividades; Otras especificaciones del programa de auditoría.
Identificar y seleccionar los Métodos, Herramientas,
Página N° 4 Metodología para
Instrumentos y Procedimientos
el desarrollo de una
Auditoria
Informática.
En este se determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo
a
los
planes,
presupuestos
y
programas
establecidos
anteriormente para la auditoria. Para ello se debe considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; Elaborar una guía de la auditoria; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y procedimientos para la auditoria de sistemas; Diseñar los sistemas, programas y métodos de pruebas para la auditoria.
Asignar los Recursos y Sistemas computacionales Finalmente se debe asignar los recursos que serán utilizados para realizar la auditoria. Con la asignación de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoria.
Página N° 5 Metodología para el desarrollo de una
Auditoria
Informática.
Alcance y objetivos de la Auditoria
L
a Auditoría informática es un examen exhaustivo y crítico que se realiza
con el objetivo de evaluar la validez y la eficiencia de una sección, un
organismo, una entidad, etc. Los principales objetivos que constituyen a la auditoría informática son el control de la función informática, el análisis de la eficiencia de los sistemas informáticos que comporta, la verificación del cumplimiento de la normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos. Auditor Informático El Auditor informático debe velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una sociedad anónima o empresa pública. Todos utilizan la informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios económicos.
Alcance de la auditoría informática El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta qué puntos se ha llegado, sino cuáles materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge al plantearse las siguientes cuestiones ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes?
ESTADO DEL ENTORNO AUDITABLE
Página N° 6 Estado del Entorno Auditable.
P
ara realizar dicho estudio ha de examinarse las funciones y actividades
generales de la informática. Para su realización el auditor debe conocer lo siguiente:
Organización Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:
Organigrama El organigrama expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia.
Departamentos Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
Relaciones Jerárquicas y funcionales entre órganos de la Organización El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes. Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinarles.
Flujos de Información Además de las corrientes verticales interdepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extra departamentales. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.
Página N° 7 Entorno Auditable.
Número de Puestos de trabajo El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.
Número de personas por Puesto de Trabajo Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.
Entorno Operacional El equipo de Auditoria informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
Situación geográfica de los Sistemas Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada uno de ellos, así como el uso de los mismos estándares de trabajo.
Arquitectura y configuración de Hardware y Software Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.
Inventario de Hardware y Software El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPU, unidades de control local y remoto, periféricos de todo tipo, etc. El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.
Página N° 8
Comunicación y Redes de Comunicación En el estudio inicial
Entorno Auditable.
los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:
Volumen, antigüedad y complejidad de las Aplicaciones Metodología del Diseño Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto.
Documentación La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La
documentación
de
programas
disminuye
gravemente
el
mantenimiento de los mismos.
Cantidad y complejidad de Bases de Datos y Ficheros El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática. Determinación de los recursos necesarios para realizar la Auditoria
Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Página N° 9 Elaboración de plan de trabajo.
ELABORACION DE PLAN DE TRABAJO
P
ara realizar dicha elaboración del trabajo tiene que seguir las
siguientes etapas para completar el plan de trabajo.
Fase N° 1
Conocimiento del sistema o área auditada ACTIVIDADES 1.
Identificar el origen de la auditoria.
2.
Realizar visitas para conocer procesos, activos informáticos, procesos y
organización del área auditada. 3.
Determinar las vulnerabilidades, y amenazas informáticas a que está
expuesta la organización. 4.
Determinar el objetivo de la auditoría de acuerdo a las
vulnerabilidades, y amenazas informáticas encontradas.
Fase N° 2 Planeación de la Auditoria de Sistemas ACTIVIDADES 1. 2.
Elaborar el plan de auditoría Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT,
MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro) 3.
De acuerdo al estándar elegido, seleccionar los ítems que serán
evaluados que estén en relación directa con el objetivo y alcances definidos en el plan. 4. 5.
Seleccionar el equipo de trabajo y asignar tareas específicas Determinar las actividades que se llevarán a cabo y los tiempos en
que serán llevadas a cabo en cada ítem evaluado. (Programa de auditoría) 6.
Diseñar instrumentos para recolección de información (formatos de
entrevistas, formatos de listas de chequeo, formatos de cuestionarios) 7.
Diseñar el plan de pruebas (formato pruebas)
Fase N° 3 Página N° 10 Elaboración de plan
Ejecución de la Auditoria de Sistemas
de trabajo.
ACTIVIDADES 1. 2. 3.
Aplicar los instrumentos de recolección de información diseñados Ejecutar las pruebas del plan de pruebas Levantar la información de activos informáticos de la organización
auditada 4.
Determinar las vulnerabilidades y amenazas informáticas aplicando
una metodología (MAGERIT) 5.
Realizar la valoración de las amenazas y vulnerabilidades encontradas
y probadas 6.
Realizar el proceso de evaluación de riesgos
7.
Determinar el tratamiento de los riesgos
Fase N° 4 Resultados de la Auditoria de Sistemas ACTIVIDADES 1.
Determinar las soluciones para los hallazgos encontrados (controles)
2.
Elaborar el Dictamen para cada uno de los procesos evaluados.
3.
Elaborar el informe final de auditoría para su presentación y
sustentación 4. 5.
Integrar y organizar los papeles de trabajo de la auditoria Diseñar las políticas y procedimientos integrando los controles
definidos
Informe y Presentación del Final Página N° 11 Informe y presentación final.
E
s el resultado del análisis de auditor; es el resumen de su trabajo. Se
puede definir como una descripción general de las actividades de personal, e incluye tanto las recomendaciones para lograr prácticas efectivas como el reconocimiento formal de las prácticas que están logrando su objetivo. Realizar un buen trabajo de auditoria y luego no transmitir eficientemente las conclusiones, no tiene ninguna utilidad.
Elaboración y entrega del informe: 1. Describir las prácticas de RR. HH. de la empresa 2. Valorar las prácticas: indicar cuales son las correctas y cuáles son las incorrectas 3. Proponer sugerencia y recomendaciones con el fin de cubrir las deficiencias detectadas.
Estructura del informe: 1. Objetivos y alcance de la auditoria. 2. Procedimientos de auditoria y aspectos metodológicos generales aplicados. 3. Presentación de resultado. 4. Resumen de las conclusiones. 5. Informe del auditor. 6. Recomendaciones del auditor. 7. Anexo (soporte de los resultados aportados). Es importante que dentro del informe se contemple una descripción general de las actividades de personal, incluye tanta recomendaciones como el reconocimiento formal de las practicas que están logrando su objetivo.
Página N° 12 Informe y presentación final.
Contenido: El resultado final debe contener los siguientes puntos, para lograr que sea precisa, técnica y concisa: 1. La indicación de aquellas fallas o los programas y procedimientos que se hayan encontrado, con la indicación de los daños que se estima ha causado o pudieron causar. 2. La adecuación o inadecuación de los programas, en relación con los objetivos y políticas señalados en materia de personal. 3. La recomendación de aquellos casos en los que convenga elevar, reducir, modificar, cambiar, o suprimir determinados objetivos y políticas, por considerarse inalcanzables, inadecuados, obsoletos, entre otros. Indicando la razón y demostraciones objetivas en que se funde lo anterior. 4. La información de que no pudo auditarse, y las razones que lo impidieron. 5. Esto con el propósito que el informe sea lo más viable posible y verdadero ya que es información muy y sobre todo útil para las empresas ya que de esto depende las mejoras que se implante.
El informe debe cumplir una serie de requisitos: Claridad: comprensible y de fácil lectura. Atractivo: presencia de tablas, graficas, formato muy cuidado, entre otros. Riguroso: sin errores de cálculo, centrado en hechos constatados más que en opiniones. Relevancia: centrado en los aspectos importante, mas estratégicos. Constructivo: presenta recomendaciones y sugiere acciones de mejora.