Ing. Elizabeth Guerrero Unidad 2: Metodología para realizar auditoría de Sistemas Computacionales Ing. Elizabeth Guerrero
Introducción Llevar a cabo una auditoría de sistemas computacionales requiere una serie ordenada de: acciones y procedimientos específicos, los cuales deberán ser diseñados previamente de manera: secuencial, cronológica y ordenada, de acuerdo a: Las etapas, eventos y actividades que se requieran para su ejecución
Introducción La metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como si lo hiciera uno sólo. Por ello, resulta habitual el uso de metodologías en las empresas auditoras/consultoras profesionales (desarrolladas por los más expertos) para conseguir resultados similares (homogéneos) en equipos de trabajo diferentes (heterogéneos).
Definiciones Básicas Método: “modo prescrito para ejecutar una tarea o trabajo determinado, por el cual se pretende alcanzar un objetivo establecido. Metodología: “estudio de los métodos que se siguen en una investigación, un conocimiento o una interpretación.
Definiciones Básicas Planeación: es el proceso de decidir de antemano qué se hará y de qué manera se hará. Misiones globales Resultados Objetivos Espec. Politicas, Prog, Proced Plan: es un instrumento diseñado para alcanzar determinados objetivos, donde se definen espacio, tiempo y medios utilizables para su alcance Acciones Tiempo (futuro) Medios (recursos)
Definiciones Básicas Programa: conjunto estructurado de diversas actividades al cual se le asignan recursos humanos, materiales y financieros, indicando la secuencia cronológica y los tiempos de duración de dichos pasos Presupuesto: “estimación programada en forma sistemática de los ingresos y egresos que maneja un organismo en un período determinado; puede considerarse como un plan de acción en términos monetarios y cuyo ejercicio abarca generalmente un año de actividad”
Definiciones Básicas
Metodología para realizar auditoría de sistemas computacionales 1. Estudio Preliminar o Toma de contacto 2. Planeación 3. Ejecución de la Auditoría 4. Sintesis y Diagnóstico 5. Presentación de Conclusione 6. Redacción del informe final
Fase 1. Toma de contacto Conocer la organización objeto de Auditoría Cantidad de empleados, tipo de información que maneja la organización, contexto donde la empresa está funcionando, … Información de la empresa y de su centro de datos (departamento de informática)
Fase 2. Planeación 1. Identificar el origen de la auditoría 2. Realizar visita preliminar al área que será evaluada 3. Establecer objetivos de la auditoría 4. Determinar los puntos que serán evaluados en la auditoría 5. Elaborar planes, programas y presupuestos para realizar la auditoría 6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría 7. Asignar recursos y sistemas computacionales para la auditoría
2.1 Identificar el origen de la auditoría Por solicitud expresa de procedencia interna Por solicitud expresa de procedencia externa Como consecuencia de emergencias y condiciones especiales Por riesgos y contingencias informáticas Como resultados de los planes de contingencia Por resultados obtenidos de otras auditorías Como parte del programa integral de auditoría
2.2 Realizar visita preliminar al área que será evaluada Visita preliminar de arranque: ¿Cómo se encuentran distribuidos los sistemas en el área? ¿Cuántos, cuáles, cómo y de qué tipo son los equipos que están instalados en el centro de sistemas? ¿Cuáles son las principales características físicas de los sistemas que serán auditados? ¿Cómo reacciona el personal ante la visita del auditor? ¿Qué limitaciones se observan para realizar la auditoría?
2.2 Realizar visita preliminar al área que será evaluada Establecer los objetivos de la auditoría: Objetivo general Objetivos particulares Objetivos específicos
2.2 Realizar visita preliminar al área que será evaluada Determinar los puntos que serán evaluados en la auditoría Evaluación de las funciones y actividades del personal en el área de sistemas Evaluación de las áreas y unidades administrativas del centro de computo Evaluación de la seguridad de los SI Evaluación de la información, documentación y registros de los sistemas Evaluación del hardware Evaluación del software Evaluación de la información y bases de datos
2.2 Realizar visita preliminar al área que será evaluada Elaborar planes, programas y presupuestos que serán utilizados: Elaborar el documento formal de los planes de trabajo para la auditoría Elaborar los programas de actividades para realizar la auditoría Elaborar los presupuestos para la auditoría
2.2 Realizar visita preliminar al área que será evaluada Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría Establecer la guía de ponderación de los puntos que serán evaluados Elaborar la guía de la auditoría Elaborar los documentos necesarios para la auditoría (encuestas, cuestionarios, entrevistas) Determinar herramientas, métodos y procedimientos para la auditoría
2.2 Realizar visita preliminar al área que será evaluada Asignar recursos y sistemas computacionales para la auditoría Recursos Humanos Recursos informáticos y tecnológicos Recursos materiales y de consumo Otros recursos necesarios (viaticos, pasajes,…)
Fase 3. Ejecución de la Auditoría Realizar las acciones programadas para la auditoría Aplicar los instrumentos y herramientas para la auditoría Aplicar los recursos y actividades conforme a los planes y programas Recopilar la documentación y evidencias de la auditoría
Fase 4. Síntesis y diagnóstico Identificar y elaborar los documentos de desviaciones Integrar los papeles de trabajo de la auditoría Integrar los documetos y pruebas en papeles de trabajo Evidencias Puntos débiles del sistema Puntos fuertes Riesgos Eventuales Posibles oportunidades Posibles soluciones y mejoras
Fase 5. Presentación de conclusiones Elaborar los documentos y presentarlos a discusión Elaborar el borrador de las desviaciones
Fase 6. Redacción del informe final Carta de presentación del informe Resumen del informe Elaborar el dictamen final Presentación del informe de auditoría
Confección y redacción del Informe Final Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación del departamento, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Confección y redacción del Informe Final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: a. Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. b. Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c. Puntos débiles y amenazas. d. Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e. Redacción posterior de la Carta de Introducción o Presentación.
Confección y redacción del Informe Final Cuerpo expositivo: Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. a. Situación actual. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. b. Tendencias Se establecen los puntos débiles y amenazas encontradas durante la auditoría c. Puntos débiles y amenazas. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. d. Recomendaciones y planes de acción. e. Redacción posterior de la Carta de Introducción o Presentación. Carta de Presentación Confección y redacción del Informe Final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: a. Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. b. Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c. Puntos débiles y amenazas. d. Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e. Redacción posterior de la Carta de Introducción o Presentación.
Modelo conceptual de la exposición del informe final El informe debe incluir solamente hechos importantes. El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: El hecho debe poder ser sometido a cambios. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. No deben existir alternativas viables que superen al cambio propuesto. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida. Modelo conceptual de la exposición del informe final - El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. - El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: El hecho debe poder ser sometido a cambios. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. No deben existir alternativas viables que superen al cambio propuesto. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del hecho o debilidad: 1 –
Modelo conceptual de la exposición del informe final - Ha de ser relevante para el auditor y pera el cliente. - Ha de ser exacto, y además convincente. - No deben existir hechos repetidos. 1 – Hecho encontrado. - Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 2 – Consecuencias del hecho - Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. 3 – Repercusión del hecho - No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. 4 – Conclusión del hecho - Deberá entenderse por sí sola, por simple lectura. - Deberá estar suficientemente soportada en el propio texto. - Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación. - La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarl 5 – Recomendación del auditor informático Flujo del hecho o debilidad: Flujo del hecho o debilidad: 1 – Hecho encontrado. - Ha de ser relevante para el auditor y pera el cliente. - Ha de ser exacto, y además convincente. - No deben existir hechos repetidos. 2 – Consecuencias del hecho - Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3 – Repercusión del hecho - Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. 4 – Conclusión del hecho - No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. 5 – Recomendación del auditor informático - Deberá entenderse por sí sola, por simple lectura. - Deberá estar suficientemente soportada en el propio texto. - Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación. - La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.
Carta de introducción o presentación del informe final La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. La carta de introducción poseerá los siguientes atributos: · Tendrá como máximo 4 folios. · Incluirá fecha, naturaleza, objetivos y alcance. · Cuantificará la importancia de las áreas analizadas. · Proporcionará una conclusión general, concretando las áreas de gran debilidad. · Presentará las debilidades en orden de importancia y gravedad. · En la carta de Introducción no se escribirán nunca recomendaciones. Carta de introducción o presentación del informe final: La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos: · Tendrá como máximo 4 folios. · Incluirá fecha, naturaleza, objetivos y alcance. · Cuantificará la importancia de las áreas analizadas. · Proporcionará una conclusión general, concretando las áreas de gran debilidad. · Presentará las debilidades en orden de importancia y gravedad. · En la carta de Introducción no se escribirán nunca recomendaciones.