METODOLOGIAS PARA REALIZAR UNA AUDITORÍA INFORMÁTICA

Fase I.- Estudio Preliminar,

Fase II, Revisión y evaluación de controles y seguridades
Fase III, Examen detallado de áreas críticas.
Fase IV. Comunicación de resultados.

FASE I.- ESTUDIO PRELIMINAR

En esta fase preliminar el estudio es corto en tiempo y general en su investigación.
La auditoría informática desarrolla actividades basado en un método de trabajo formal,
que sea entendido por los auditores en informática y complementado con técnicas y
herramientas propias.
Las metodologías: son necesarias para desarrollar cualquier proyecto que se quiera
hacer de forma ordenada y eficaz.

1. Realizar el Estudio preliminar del entorno a auditar

2. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)

1 Etapa preliminar o diagnóstico

Realizar el Estudio Preliminar del entorno a auditar. Las actividades del auditor en
informática deben quedar bien definidas en los componentes formales que integran
cualquier trabajo dentro de una organización. En esta fase, se visualizan los primeros
síntomas, los cuales posteriormente pueden ser los más relevantes

El primer paso que tiene el auditor en informática dentro de las empresas al efectuar un
proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a
la alta dirección y las áreas usuarias.
Examinar situación general de funciones y actividades generales de la informática
Conocimiento de:
– Organización: Estructura organizativa del Departamento de Informática a auditar
– Entorno de Operación: Entorno de trabajo
– Aplicaciones Informáticas: Procesos informáticos realizados en la empresa
auditada
• Bases de Datos
• Ficheros

Organización
Estructura organizativa del Departamento de Informática a auditar.
Organigrama: estructura informática de la organización a auditar
Departamentos: describir sus funciones
Relaciones Jerárquicas y funcionales
– 1 Empleado con dos Jefes
Flujos de Información, tanto horizontales y verticales como extra departamentales
Número de Puestos de Trabajo
– Nombres de los puestos de trabajo corresponden a funciones distintas:
Deficiencias en estructura si varios nombres con 1 función
Número de Personas por Puesto de Trabajo
– Distribución de recursos ineficiente
– Necesidad de reorganización

Aquí el auditor se coordina directamente con el responsable de la función de informática.

Estudio Inicial: Entorno Operativo

Situación Geográfica
Diferentes CPDs, (Centros de Procesamientos de Datos), con responsables
Arquitectura y Configuración Hardware y Software
Configuración de diferentes CPDs compatible y estén intercomunicados
Inventario Hardware y Software
CPUs, procesadores, PCs, periféricos, etc.
Software básico, software interno y software comprado
Comunicaciones y Redes de Comunicación
Líneas de Comunicación
Acceso a red pública e intranet

En esta parte el auditor conocerá la estructura interna de informática, funciones,

objetivos, estrategias, planes y políticas.

Estudio Inicial: Aplicaciones Informáticas

Procedimientos Informáticos realizados en la empresa
Volumen, Antigüedad y Complejidad de las aplicaciones
Periodicidad de ejecuciones de carga de trabajo
Metodología de desarrollo de aplicaciones
Documentación de aplicaciones
Mantenimiento es el 70% de recursos
Cantidad y Complejidad de Bases de Datos y Ficheros
Tamaño y características de BD y Ficheros
Número de Accesos a BD y Ficheros
Frecuencia de Actualización

2. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)

Alcance
Entorno y límites en que se realizará la A.I.
HASTA DÓNDE SE LLEGA
Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o
cuando la empresa tiene varias sedes, de:
Funciones (Seguridad, Dirección, etc.)
Materias (S.O., BD, etc.)
Departamentos o Áreas Organizativas (Explotación, Sistemas,
Comunicaciones, etc.)
Su no definición pondrá en peligro el éxito de la A.I.
Limitaciones: QUÉ DEJA DE AUDITARSE
Principalmente en materias que pueden suponerse incluidas
Objetivos
Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para
cumplir con los objetivos
Objetivos generales
Operatividad de los S.I.
– Controles Generales de la Gestión Informática
– Verificar normas del Departamento de Informática y observar su consistencia con
las del resto de la empresa
• Normas Generales de la Instalación Informática
• Procedimientos Generales y Específicos del Departamento de Informática (p.e.
una aplicación no pasa a Explotación sin su correspondiente Documentación)
– Comprobar que no existen contradicciones con normas y procedimientos generales
de la empresa
Interlocutores
– Personas con poder de decisión y validación dentro de la empresa
– Personas a las que va dirigido el informe

Objetivos específicos
– Necesidad de auditar una materia de gran especialización
– Contrastar algún informe interno con el que resulte del externo
– Evaluación del funcionamiento de áreas informáticas en un determinado
departamento
– Aumentos de seguridad y fiabilidad

FASE II, REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES.

Abarca la revisión de los diferentes diagramas de flujo de procesos como la realización
de pruebas de cumplimiento de las seguridades informáticas existentes, la revisión de
aplicaciones de las áreas críticas, la revisión de procesos históricos (backups), la revisión
de documentación y archivos, entre otras actividades de importancia que nos permitan
tener una idea más clara del entorno.

Fase II: Evaluación de Controles

Objetivos de la evaluación
• Verificar la existencia de los controles requeridos
• Determinar la operatividad y suficiencia de los controles existentes
Plan de pruebas de los controles
• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

CONTROLES
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas
adoptados, órdenes impartidas y principios admitidos. Los procedimientos de control:
son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con
una metodología apropiada, para la consecución de uno o varios objetivos de control,
cual deben estar aprobados por la dirección.

Las herramientas de control: son los elementos software que permiten definir uno o varios
procedimientos de control para cumplir una normativa y un objetivo de control.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad

lógica.
La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así
como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de
incendios, sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los
datos, procesos y programas, así como la del ordenado y autorizado acceso de los
usuarios a la información.
El sistema integral de seguridad debe comprender:
• Elementos administrativos
• Definición de una política de seguridad
• Organización y división de responsabilidades
• Seguridad física y contra catástrofes (incendio, terremotos, etc.)
• Prácticas de seguridad del personal
• Elementos técnicos y procedimientos
• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,
tanto redes como terminales.
• Aplicación de los sistemas de seguridad, incluyendo datos y archivos
• El papel de los auditores, tanto internos como externos
• Planeación de programas de desastre y su prueba.
La informática crea riesgos informáticos, los cuales pueden causar grandes problemas
en entidades, por lo cual hay que proteger y preservar dichas entidades con un entramado
de contramedidas, la calidad y la eficacia de la mismas es el objetivo a evaluar para poder
identificar así sus puntos débiles y mejorarlos, esta es una función de los auditores
informáticos. Una contramedida nace de la composición de varios factores como:
Análisis de plataformas
Se trata de en determinar la plataforma para la colocación del producto más tarde.
Catálogos de requerimientos previos de implantación
Es determinar el inventario de lo que se va a conseguir y lo necesario para la
implantación; acciones y proyectos, calendarizados, duración y seguimiento.
Análisis de aplicación
Se trata de inventariar las necesidades de desarrollo de INTERFASES con el diferente
software de seguridad de las aplicaciones y bases de datos.
Fase III: EXAMEN DETALLADO DE ÁREAS CRÍTICAS
Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas establecerá
motivos, objetivos, alcance, recursos, metodología de trabajo, duración, plan de trabajo
y análisis del problema.
◦ Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace:
◦ Un estudio y análisis profundo en los que definirá concretamente su grupo de
trabajo y la distribución de carga del mismo
◦ Establecerá los motivos, objetivos, alcance recursos que usará
◦ Definirá la metodología de trabajo y la duración de la auditoría
◦ Presentará el plan de trabajo y analizará detalladamente cada problema
encontrado con todo lo anteriormente analizado.
Fase IV: INFORME DE AUDITORÍA. - COMUNICACIÓN DE RESULTADOS
Se elaborará del borrador del informe a ser discutido con los ejecutivos de la empresa
hasta llegar al definitivo. Este informe debe prepararse una vez obtenidas y analizadas
las respuestas de compromiso de las áreas.
Debe contener:
Motivos de la auditoria
Introducción: objetivo y contenido del informe de auditoria
Objetivos de la auditoría
Alcance, cobertura de la evaluación realizada
Estructuras Orgánicas –Funcional del área informática Configuración del
Hardware y software instalado
Opinión: con relación a la suficiencia del control interno del sistema evaluado
Hallazgos
Recomendaciones
 Otras Metodologías
Octave
La metodología Octave es una evaluación que se basa en riesgos y planeación técnica
de seguridad computacional. Es un proceso interno de la organización, significa que las
personas de la empresa tienen la responsabilidad de establecer la estrategia de
seguridad una vez que se realice dicha evaluación, y es precisamente lo interesante de
esta metodología que la evaluación se basa en el conocimiento del personal de la
empresa para capturar el estado actual de la seguridad. De esta manera es más fácil
determinar los riesgos críticos.
A diferencia de las evaluaciones típicas enfocadas en la tecnología, OCTAVE está
dirigida a riesgos organizacionales y está enfocada en temas estratégicos relacionados
con la práctica, es flexible y puede aplicarse a la medida para la mayoría de las
organizaciones.
En esta revisión es necesario que las empresas manejen el proceso de la evaluación y
tomen las decisiones para proteger la información. El equipo de análisis, integrado por
personas de los departamentos de TI, de negocios, etc, lleva a cabo la evaluación, debido
a que todas las perspectivas son cruciales para controlar los riesgos de seguridad
computacional.
Magerit - Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información
La metodología Magerit fue desarrollada en España debido al rápido crecimiento de las
tecnologías de información con la finalidad de hacerle frente a los diversos riesgos
relacionados con la seguridad informática.
La CSAE (Consejo Superior de Administración Electrónica) promueve la utilización de
esta metodología como respuesta a la creciente dependencia de las empresas para
lograr sus objetivos de servicio.
“Las fases que contempla el modelo MAGERIT son:
1. Planificación del Proyecto. - establece el marco general de referencia para el proyecto.
2. Análisis de Riesgos. - permite determinar cómo es, cuánto vale y cómo están
protegidos los activos.
3. Gestión de Riesgos. - permite la selección e implantación de salvaguardas para
conocer, prevenir, impedir, reducir o controlar los riesgos identificados”.
Al aplicar esta metodología se conocerá el nivel de riesgo actual de los activos, y por lo
tanto se podrá mejorar las aplicaciones de salvaguardas y se podrá conocer el riesgo
reducido o residual.
La razón de ser de MAGERIT está directamente relacionada con la generalización del
uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios
evidentes para los ciudadanos, pero que también da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que garanticen la autenticación, confidencialidad,
integridad y disponibilidad de los sistemas de información y generan confianza cuando
se utilicen tales medios.
Inclusive, se ha desarrollado software como Pilar basado en la metodología de Magerit.