http://www.eumed.net/ce/2011a/ybb.htm http://www.auditoriaprep2012.unam.mx/conceptos.

html#pr-1 AUDITORIA DE SOFTWARE

Nnnn Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y costosa. b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal. En el plan no se consideran calendarios, porque se manejan recursos genricos y no especficos. En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. El Plan establece disponibilidad futura de los recursos durante la revisin. El Plan estructura las tareas a realizar por cada integrante del grupo. En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.

Actividades propiamente dichas de la Auditora Auditora por temas generales o por reas especficas:

La auditora Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos. Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor calidad.

Tcnicas de Trabajo: - Anlisis de la informacin recabada del auditado. - Anlisis de la informacin propia. - Cruzamiento de las informaciones anteriores. - Entrevistas. - Simulacin. - Muestreos.

Herramientas:

- Cuestionario general inicial. - Cuestionario Checklist. - Estndares. - Monitores. - Simuladores (Generadores de datos). - Paquetes de auditora (Generadores de Programas). - Matrices de riesgo.

Confeccin y redaccin del Informe Final La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definicin de objetivos y alcance de la auditora.

Enumeracin de temas considerados:

Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora.

Cuerpo expositivo:

Para cada tema, se seguir el siguiente orden a saber:

Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. Puntos dbiles y amenazas. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. Redaccin posterior de la Carta de Introduccin o Presentacin.

13. Modelo conceptual de la exposicin del informe final

- El informe debe incluir solamente hechos importantes.

La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.

- El Informe debe consolidar los hechos que se describen en el mismo.

El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:

El hecho debe poder ser sometido a cambios.

Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin.

No deben existir alternativas viables que superen al cambio propuesto.

La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad que ha de ser corregida.

Flujo del hecho o debilidad: 1 Hecho encontrado.

- Ha de ser relevante para el auditor y pera el cliente.

- Ha de ser exacto, y adems convincente.

- No deben existir hechos repetidos. 2 Consecuencias del hecho

- Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3 Repercusin del hecho

- Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa. 4 Conclusin del hecho

- No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja. 5 Recomendacin del auditor informtico

- Deber entenderse por s sola, por simple lectura.

- Deber estar suficientemente soportada en el propio texto.

- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin.

- La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

Carta de introduccin o presentacin del informe final:

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora.

As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin.

La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.

Cuantificar la importancia de las reas analizadas.

Proporcionar una conclusin general, concretando las reas de gran debilidad.

Presentar las debilidades en orden de importancia y gravedad.

En la carta de Introduccin no se escribirn nunca recomendaciones.

CRMR (Computer resource management review)

14. Definicin de la metodologa CRMR

CRMR son las siglas de <<Computer resource management review>>; su traduccin ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management.

Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios.

Supuestos de aplicacin:

En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de Datos.

El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno.

Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso.

Existen sobrecargas frecuentes de capacidad de proceso.

Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin.

Areas de aplicacin:

Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en punto anterior:

Gestin de Datos.

Control de Operaciones.

Control y utilizacin de recursos materiales y humanos.

Interfaces y relaciones con usuarios.

Planificacin.

Organizacin y administracin.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de un Proyecto complejo.

Objetivos:

CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan:

Identificar y fijas responsabilidades.

Mejorar la flexibilidad de realizacin de actividades.

Aumentar la productividad.

Disminuir costes

Mejorar los mtodos y procedimientos de Direccin.

Alcance

Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.

Se establecen tres clases:

Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de obtencin de beneficios.

Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se hace en la auditora informtica ordinaria.

Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las Recomendaciones, a la par que desarrolla las conclusiones.

15. Informacin necesaria para la evaluacin del CRMR

Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditora y consultora pueda llevarse a cabo con xito.

El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del Centro de Proceso de Datos del cliente, y con los recursos de ste.

Se deber cumplir un detallado programa de trabajo por tareas.

El auditor-consultor recabar determinada informacin necesaria del cliente.

Se tratan a continuacin los tres requisitos expuestos:

No debe olvidarse que se estn evaluando actividades desde el punto de vista gerencial. El contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite a aqul determinar el tipo de esquema organizativo que se sigue.

Integracin del auditor en el Centro de Procesos de Datos a revisar

Programa de trabajo clasificado por tareas

Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas se someter a la siguiente sistemtica:

Identificacin de la tarea.

Descripcin de la tarea.

Descripcin de la funcin de direccin cuando la tarea se realiza incorrectamente.

Descripcin de ventajas, sugerencias y beneficios que puede originar un cambio o modificacin de tarea

Test para la evaluacin de la prctica directiva en relacin con la tarea.

Posibilidades de agrupacin de tareas.

Ajustes en funcin de las peculiaridades de un departamento concreto.

Registro de resultados, conclusiones y Recomendaciones.

Informacin necesaria para la realizacin del CRMR

El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo.

Se exhibe a continuacin una Checklist completa de los datos necesarios para confeccionar el CRMR:

Datos de mantenimiento preventivo de Hardware.

Informes de anomalas de los Sistemas.

Procedimientos estndar de actualizacin.

Procedimientos de emergencia.

Monitarizacin de los Sistemas.

Informes del rendimiento de los Sistemas.

Mantenimiento de las Libreras de Programas.

Gestin de Espacio en disco.

Documentacin de entrega de Aplicaciones a Explotacin.

Documentacin de alta de cadenas en Explotacin.

Utilizacin de CPU, canales y discos.

Datos de paginacin de los Sistemas.

Volumen total y libre de almacenamiento.

Ocupacin media de disco.

Manuales de Procedimientos de Explotacin.

Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de las Recomendaciones realizadas.

Caso Prctico de una Auditora de Seguridad Informtica <<Ciclo de Seguridad>>

A continuacin, un caso de auditora de rea general para proporcionar una visin ms desarrollada y amplia de la funcin auditora.

Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio, como la seguridad lgica de datos, procesos y funciones informticas ms importantes de aqul.

Ciclo de Seguridad

El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la misma en los rganos ms importantes de la estructura informtica.

Para ello, se fijan los supuestos de partida:

El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.

Los segmentos se dividen en: Secciones.

Las secciones se dividen en: Subsecciones.

De este modo la auditora se realizara en 3 niveles.

Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares.

Segmento 2: Seguridad de Sistema Operativo.

Segmento 3: Seguridad de Software.

Segmento 4: Seguridad de Comunicaciones.

Segmento 5: Seguridad de Base de Datos.

Segmento 6: Seguridad de Proceso.

Segmento 7: Seguridad de Aplicaciones.

Segmento 8: Seguridad Fsica.

Se darn los resultados globales de todos los segmentos y se realizar un tratamiento exhaustivo del Segmento 8, a nivel de seccin y subseccin.

Conceptualmente la auditoria informtica en general y la de Seguridad en particular, ha de desarrollarse en seis fases bien diferenciadas:

Fase 0. Causas de la realizacin del ciclo de seguridad.

Fase 1. Estrategia y logstica del ciclo de seguridad.

Fase 2. Ponderacin de sectores del ciclo de seguridad.

Fase 3. Operativa del ciclo de seguridad.

Fase 4. Clculos y resultados del ciclo de seguridad.

Fase 5. Confeccin del informe del ciclo de seguridad.

A su vez, las actividades auditoras se realizan en el orden siguiente:

Comienzo del proyecto de Auditora Informtica.

Asignacin del equipo auditor.

Asignacin del equipo interlocutor del cliente.

Cumplimentacin de formularios globales y parciales por parte del cliente.

Asignacin de pesos tcnicos por parte del equipo auditor.

Asignacin de pesos polticos por parte del cliente.

Asignacin de pesos finales a segmentos y secciones.

Preparacin y confirmacin de entrevistas.

Entrevistas, confrontaciones y anlisis y repaso de documentacin.

Calculo y ponderacin de subsecciones, secciones y segmentos.

Identificacin de reas mejorables.

Eleccin de las reas de actuacin prioritaria.

Preparacin de recomendaciones y borrador de informe

Discusin de borrador con cliente.

Entrega del informe.

Fase 0. Causas de realizacin de una Auditora de Seguridad

Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma.

El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situacin de ineficiencia global notoria, etc.

De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar el Plan de Trabajo.

Fase 1. Estrategia y logstica del ciclo de Seguridad

Se desarrolla en las siguientes actividades:

Designacin del equipo auditor.

Asignacin de interlocutores, validadores y decisores del cliente.

Cumplimentacin de un formulario general por parte del cliente, para la realizacin del estudio inicial.

Con las razones por las cuales va a ser realizada la auditora (Fase 0), el equipo auditor disea el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en funcin del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del punto anterior.

Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La adecuacin de estos se realiza mediante un desarrollo logstico, en el que los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinacin y distribucin de los mencionados recursos, determina a su vez la eficiencia y la economa del Proyecto.

Los planes del equipo auditor se desarrolla de la siguiente manera:

Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de ser heterogneo en cuanto a especialidad, pero compacto.

Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores, para las peticiones de informacin, coordinacin de entrevistas, etc.

Mediante un estudio inicial, del cual forma parte el anlisis de un formulario exhaustivo, tambin inicial, que los auditores entregan al cliente para su cumplimentacin.

Segn los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estar en disposicin de comenzar la "tarea de campo", la operativa auditora del Ciclo de Seguridad.

Fase 2. Ponderacin de los Sectores Auditados

Engloba las siguientes actividades:

Asignacin de pesos tcnicos. Se entienden por tales las ponderaciones que el equipo auditor hace de los segmentos y secciones, en funcin de su importancia.

Asignacin de pesos polticos. Son las mismas ponderaciones anteriores, pero evaluadas por el cliente.

Asignacin de pesos finales a los Segmentos y Secciones. El peso final es el promedio del peso tcnico y del peso poltico. La Subsecciones se calculan pero no se ponderan.

Se pondera la importancia relativa de la seguridad en los diversos sectores de la organizacin informtica auditada.

Las asignaciones de pesos a Secciones y Segmentos del rea de seguridad que se audita, se realizan del siguiente modo:

Pesos tcnicos

Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones.

Pesos polticos

Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Seccin del Ciclo de Seguridad.

Ciclo de Seguridad. Suma Pesos Segmentos = 100

(con independencia del nmero de segmentos consideradas)

Segmentos

Pesos Tcnicos

Pesos Polticos

Pesos Finales

Seg1. Normas y Estndares

12

10

Seg2. Sistema Operativo

10

10

10

Seg3. Software Bsico

10

14

12

Seg4. Comunicaciones

12

12

12

Seg5. Bases de Datos

12

12

12

Seg6. Procesos

16

12

14

Seg7. Aplicaciones

16

16

16

Seg8. Seguridad Fsica

12

16

14

TOTAL

100

100

100

Pesos finales

Son el promedio de los pesos anteriores.

El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es el que se ha asignado a la totalidad del rea de Seguridad, como podra haberse elegido otro cualquiera. El total de puntos se mantiene cualquiera que hubiera sido el nmero de segmentos. Si hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco habra de seguir siendo de 100 puntos.

Suma Peso Secciones = 20

(con independencia del nmero de Secciones consideradas)

Secciones

Pesos Tcnicos

Pesos Polticos

Pesos Finales

Secc1. Seg. Fsica de Datos

Secc2. Control de Accesos

Secc3. Equipos

Secc4. Documentos

Secc5. Suministros

TOTAL

20

20

20

Puede observarse la diferente apreciacin de pesos por parte del cliente y del equipo auditor. Mientras stos estiman que las Normas y Estndares y los Procesos son muy importantes, el cliente no los considera tanto, a la vez que prima, tal vez excesivamente, el Software Bsico.

Del mismo modo, se concede a todos los segmentos el mismo valor total que se desee, por ejemplo 20, con absoluta independencia del nmero de Secciones que tenga cada Segmento. En este caso, se han definido y pesado cinco Secciones del Segmento de Seguridad Fsica. Cabe aclarar, solo se desarroll un solo Segmento a modo de ejemplo.

Fase 3. Operativa del ciclo de Seguridad

Una vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza la Fase 3, que implica las siguientes actividades:

Preparacin y confirmacin de entrevistas.

Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso de la misma.

Las entrevistas deben realizarse con exactitud. El responsable del equipo auditor designar a un encargado, dependiendo del rea de la entrevista. Este, por supuesto, deber conocer a fondo la misma.

La realizacin de entrevistas adecuadas constituye uno de los factores fundamentales del xito de la auditora. La adecuacin comienza con la completa cooperacin del entrevistado. Si esta no se produce, el responsable lo har saber al cliente.

Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles jerrquicos distintos. El mismo auditor puede, y en ocasiones es conveniente, entrevistar a la misma persona sobre distintos temas. Las entrevistas deben realizarse de acuerdo con el plan establecido, aunque se pueden llegar a agregar algunas adicionales y sin planificacin.

La entrevista concreta suele abarcar Subsecciones de una misma Seccin tal vez una seccin completa. Comenzada la entrevista, el auditor o auditores formularn preguntas al/los entrevistado/s. Debe identificarse quien ha dicho qu, si son ms de una las personas entrevistadas. Las Checklists son tiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las respuestas del auditado (no debe estar presente) y procede al levantamiento de la informacin correspondiente.

Simultneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y pruebas sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. Estas pruebas se realizan ejecutando trabajos propios o repitiendo los de aqul, que indefectiblemente debern ser similares si se han reproducido las condiciones de carga de los Sistemas auditados. Si las pruebas realizadas por el equipo auditor no fueran consistentes con la informacin facilitada por el auditado, se deber recabar nueva informacin y reverificar los resultados de las pruebas auditoras.

La evaluacin de las Checklists, las pruebas realizadas, la informacin facilitada por el cliente y el anlisis de todos los datos disponibles, configuran todos los

elementos necesarios para calcular y establecer los resultados de la auditoria, que se materializarn en el informe final.

A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos del Segmento de Seguridad Fsica:

Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones:

Autorizaciones

Controles Automticos

Vigilancia

Registros

En las siguientes Checklists, las respuestas se calificarn de 1 a 5, siendo1 la ms deficiente y 5 la mxima puntuacin.

Control de Accesos: Autorizaciones

Preguntas

Respuestas

Puntos

Existe un nico responsable de implementar la poltica de autorizaciones de entrada en el Centro de Clculo?

Si, el Jefe de Explotacin, pero el Director puede acceder a la Sala con acompaantes sin previo aviso.

Existe alguna autorizacin permanente de estancia de personal ajeno a la empresa?

Una sola. El tcnico permanente de la firma suministradora.

Quines saben cuales son las personas autorizadas?

El personal de vigilancia y el Jefe de Explotacin.

Adems de la tarjeta magntica de identificacin, hay que pasar otra especial?

No, solamente la primera.

Se pregunta a las visitas si piensan visitar el Centro de Clculo?

No, vale la primera autorizacin.

Se preveen las visitas al Centro de Clculo con 24 horas al menos?

No, basta que vayan acompaados por el Jefe de Explotacin o Director

TOTAL AUTORIZACIONES

24/30

80%

Control de Accesos: Controles Automticos

Preguntas

Respuestas

Puntos

Cree Ud. que los Controles Automticos son adecuados?

Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal.

Quedan registradas todas las entradas y salidas del Centro de Clculo?

No, solamente las del personal ajeno a Operacin.

Al final de cada turno, Se controla el nmero de entradas y salidas del personal de Operacin?

S, y los vigilantes los reverifican.

Puede salirse del Centro de Clculo sin tarjeta magntica?

Si, porque existe otra puerta de emergencia que puede abrirse desde adentro

TOTAL CONTROLES AUTOMATICOS

14/20

70%

Control de Accesos: Vigilancia

Preguntas

Respuestas

Puntos

Hay vigilantes las 24 horas?

S.

Existen circuitos cerrados de TV exteriores?

S.

Identificadas las visitas, Se les acompaa hasta la persona que desean ver?

No.

Conocen los vigilantes los terminales que deben quedar encendidos por la noche?

No, sera muy complicado.

TOTAL VIGILANCIA

14/20

70%

Control de Accesos: Registros

Preguntas

Respuestas

Puntos

Existe una adecuada poltica de registros?

No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad.

Se ha registrado alguna vez a una persona?

Nunca.

Se abren todos los paquetes dirigidos a personas concretas y no a Informtica?

Casi nunca.

Hay un cuarto para abrir los paquetes?

Si, pero no se usa siempre.

TOTAL REGISTROS

6/20

30%

Fase 4. Clculos y Resultados del Ciclo de Seguridad

Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan.

Identificacin de materias mejorables.

Priorizacin de mejoras.

En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditora de Seguridad.

El trabajo de levantamiento de informacin est concluido y contrastado con las pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el informe final. Solo faltara calcular el porcentaje de bondad de cada rea; ste se obtiene calculando el sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus pesos correspondientes.

Una vez realizado los clculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuacin para lograrlas.

Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos:

Autorizaciones 80%

Controles Automticos 70%

Vigilancia 70%

Registros 30%

Promedio de Control de Accesos 62,5%

Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin de Control de Accesos tiene un peso final de 4.

Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras cuatro Secciones, obtenindose los siguientes resultados:

Ciclo de Seguridad: Segmento 8, Seguridad Fsica.

Secciones

Peso

Puntos

Seccin 1. Datos

57,5%

Seccin 2. Control de Accesos

62,5%

Seccin 3. Equipos (Centro de Clculo)

70%

Seccin 4. Documentos

52,5%

Seccin 5. Suministros

47,2%

Conocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y ponderar el Segmento 8 de Seguridad Fsica:

Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5)

Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20

Seg. 8 = 59,85%

A continuacin, la evaluacin final de los dems Segmentos del ciclo de Seguridad:

Ciclo de Seguridad. Evaluacin y pesos de Segmentos

Segmentos

Pesos

Evaluacin

Seg1. Normas y Estndares

10

61%

Seg2. Sistema Operativo

10

90%

Seg3. Software Bsico

12

72%

Seg4. Comunicaciones

12

55%

Seg5. Bases de Datos

12

77,5%

Seg6. Procesos

14

51,2%

Seg7. Aplicaciones

16

50,5%

Seg8. Seguridad Fsica

14

59,8%

Promedio Total Area de Seguridad

100

63,3%

Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad:

Valoracin de las respuestas a las preguntas especficas realizadas en las entrevistas y a los cuestionarios formulados por escrito.

Clculo matemtico de todas las subsecciones de cada seccin, como media aritmtica (promedio final) de las preguntas especficas. Recurdese que las subsecciones no se ponderan.

Clculo matemtico de la Seccin, como media aritmtica (promedio final) de sus Subsecciones. La Seccin calculada tiene su peso correspondiente.

Clculo matemtico del Segmento. Cada una de las Secciones que lo componen se afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su vez, tiene asignado su peso.

Clculo matemtico de la auditora. Se multiplica cada valor de los Segmentos por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo asignado a priori a la suma de los pesos de los segmentos.

Finalmente, se procede a mostrar las reas auditadas con grficos de barras, exponindose primero los Segmentos, luego las Secciones y por ltimo las Subsecciones. En todos los casos s referenciarn respecto a tres zonas: roja, amarilla y verde.

La zona roja corresponde a una situacin de debilidad que requiere acciones a corto plazo. Sern las ms prioritarias, tanto en la exposicin del Informe como en la toma de medidas para la correccin.

La zona amarilla corresponde a una situacin discreta que requiere acciones a medio plazo, figurando a continuacin de las contenidas en la zona roja.

La zona verde requiere solamente alguna accin de mantenimiento a largo plazo.

Fase 5. Confeccin del Informe del Ciclo de Seguridad

Preparacin de borrador de informe y Recomendaciones. Discusin del borrador con el cliente. Entrega del Informe y Carta de Introduccin. Ha de resaltarse la importancia de la discusin de los borradores parciales con el cliente. La referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del punto cuestionado. Este acta se incorporar al Informe Final. Las Recomendaciones del Informe son de tres tipos: Recomendaciones correspondientes a la zona roja. Sern muy detalladas e irn en primer lugar, con la mxima prioridad. La redaccin de las recomendaciones se har de modo que sea simple verificar el cumplimiento de la misma por parte del cliente. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a medio plazo, e igualmente irn priorizadas. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una accin sencilla y econmica pueda originar beneficios importantes.