IUT AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMTICA: TRAYECTO 4 TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Unidad 4. METODOLOGIAS DE AUDITORIA INFORMATICA

Introduccin:
Segn el Diccionario de la Lengua de la Real Academia Espaola, METODO es el modo de decir o hacer con orden una cosa. Asimismo define el diccionario la palabra METODOLOGIA como el conjunto de mtodos que se siguen en una exposicin cientfica o en una exposicin doctrinal. Esto significa que cualquier proceso cientfico y normado debe estar sujeto a una disciplina de proceso definida con anterioridad que llamaremos Metodologa, en nuestro caso: Metodologa de Auditora Informtica. La Metodologa es necesaria para que un equipo de profesionales alcance un resultado homogneo tal como si lo hiciera uno solo, por lo que resulta habitual el uso de metodologas en empresas auditoras/consultoras profesionales, desarrolladas por expertos, para conseguir resultados homogneos en equipos de trabajo heterogneos. La informtica crea unos riesgos informticos de los que hay que proteger y preservar a la organizacin con un entramado de medidas. La doctrina de Seguridad de la Informacin trata del anlisis y gestin del riesgo informtico y sus medidas de control, y la calidad y la eficacia de las mismas es el objetivo a evaluar por la Auditoria Informtica para poder identificar sus puntos dbiles y mejorarlos. Las dos Metodologas de evaluacin de sistemas por antonomasia son las de Anlisis de Riesgos y las de Auditoria Informtica, con dos enfoques distintos. La primera es estudiada en los conceptos de Seguridad Informtica, para imponer controles, la segunda, en los conceptos de Auditoria Informtica, para evaluarlos. En la Unidad 2, estudiamos que para mejorar la gestin y el control de la Informacin y las TI es necesario que las organizaciones puedan disponer de Una funcin de auditora informtica independiente, es decir una organizacin auditora, esto se logra si se aplica el siguiente esquema de organizacin: Seguridad de la Informacin Polticas de Seguridad Auditoria Informtica Plan Auditor Dictmenes de Auditora Controles Generales Informticos reas de TI - Usuarios

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA

Profesor: Elixender Lamprea L.

IUT AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMTICA: TRAYECTO 4 TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

El Plan Auditor Informtico:

Es el esquema metodolgico ms importante del Auditor Informtico. En este documento se debe describir todo sobre esta funcin y el trabajo que realiza en la entidad y debe estar en sintona con el resto de planes informticos de la organizacin. Las partes de un plan auditor deben ser al menos las siguientes: Funciones. Ubicacin de la figura en el organigrama de la empresa. Debe existir una clara segregacin de funciones, organizacin interna y recursos asignados. Procedimientos bien definidos para las distintas tareas de las auditorias. Entre ellos estn: Apertura, Entrega y Discusin de debilidades, Entrega de Informe preliminar, Cierre de Auditora, Redaccin de Informe Final. Tipos y reas de auditoras que realiza. Metodologas, tcnicas y herramientas de las mismas. Sistemas de evaluacin y los distintos aspectos que evala y caracterstica global final, por ej. Niveles Bien (B), Regular (R) o Mal (M) significando la visin de gravedad. Esta evaluacin final nos servir para definir la fecha de repeticin de la misma auditoria en el futuro segn el nivel de exposicin que se le haya dado a este tipo de auditora. Nivel de exposicin. Como ejemplo veamos la figura que presenta el siguiente ciclo de auditoras:
Nivel de Exposicin 10 9 Evaluacin B R M B R M B R M B R M Frecuencia 18 Meses 9 6 18 12 9 24 18 12 36 24 18

87

65

41

El valor del nivel de exposicin significa la suma de factores como impacto, peso del rea, criticidad, situacin de control en el rea, etc. Se puede rebajar el nivel de un rea auditada porque est muy bien y no merece la pena revisarla tan a menudo. Lista de distribucin de Informes. Seguimiento de las acciones correctoras. Plan quinquenal. Todas las areas a auditar deben corresponderse con cuestionarios metodolgicos y deben repartirse en 4 o 5 aos de trabajo. Esta planificacin, adems de las repeticiones y aadido de nuevas auditorias debern componer el Plan Anual de auditorias. Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario con horas de trabajo previstas y recursos requeridos.

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA

Profesor: Elixender Lamprea L.

IUT AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMTICA: TRAYECTO 4 TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Las metodologas de auditora informtica son del tipo cualitativo/subjetivo. Podemos decir que son subjetivas por excelencia. Por tanto estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen una gran profesionalidad, formacin continuada y cumplimiento de los principios deontolgicos y cdigos de tica establecidos. Solo as esta funcin se consolidar en las organizaciones por el respeto profesional a los que ejercen la funcin. EJEMPLO DE METODOLOGIA DE AUDITORIA DE UNA APLICACION Metodologa de trabajo: Revisin de Controles sobre Aplicaciones Objetivo: Determinar que los sistemas producen informaciones exactas y completas en el momento oportuno. Esta rea es tal vez la ms importante en el trabajo de auditoras informticas. Programa de Revisin: 1. Identificar el rea a revisar (por ej. A partir del calendario del plan auditor) notificar al responsable del rea y prepararse utilizando papeles de trabajo de auditoras anteriores si las hubiere. 2. Identificar informacin necesaria para la auditora y para las pruebas. 3. Obtener informacin general del sistema. Definir los objetivos y alcance de la auditora e identificacin de usuarios especficos (plan de entrevistas) 4. Obtener conocimiento detallado de la aplicacin/sistema. Ejecucin de entrevistas, examen de documentacin de usuarios, tcnica, de desarrollo y de operacin, aspectos de flujo de datos, bases de datos, periodicidad, programas fuentes, libreras, estructuras de datos, diccionarios, controles, logs de auditora. 5. Identificar los puntos de control crticos en el sistema. Utilizando organigramas de flujos de datos, entrevistas, documentacin tcnica, identificacin de puntos de riesgo, interfaces entre procedimentos manuales y automticos. 6. Diseo y elaboracin de los procedimientos de auditora. 7. Ejecucin de pruebas en los puntos crticos de control. Se podra incluir la necesidad de uso de herramientas informticas de ayuda a la revisin. Se revisa el cumplimiento de procedimientos para verificar el cumplimiento de los estndares y los procedimientos formales, as como los procesos descritos por los flujos de datos y/o diagramas de actividades y casos de uso de la aplicacin. As se verifican los controles internos del cumplimiento de a) Planes, polticas, procedimientos, estndares, b) del trabajo de la organizacin, c) requerimientos legales, d) principios generales de contabilidad y e) prcticas generales de informtica. Se hacen revisiones y pruebas substantivas como resultado de la revisin del cumplimiento de los procedimientos. Si las pruebas de cumplimiento son positivas se podran limitar las pruebas substantivas. Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA
Profesor: Elixender Lamprea L. 3

IUT AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMTICA: TRAYECTO 4 TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Dentro de este punto del programa de auditora se pueden analizar los siguientes controles: (Vase Objetivos de Control Cobit) Controles de preparacin de datos Controles de entrada de datos Controles de tratamiento y actualizacin de datos Controles de salida de datos Controles de documentacin tcnica, de usuario, de cambios Controles de backup y restore Controles sobre el programa de auditora del sistema Controles de satisfaccin de usuarios.

Informe Previo: Para mantener una buena relacin con el rea auditada, se emite un informe previo de los puntos principales de la revisin. Esto da a los responsables del rea revisada la posibilidad de contribuir a la elaboracin del informe final y permitir una mejor aceptacin por parte de ellos. Informe Final de la Revisin: Despus de una reunin con los responsables del rea se emite el informe final describiendo los puntos de control interno de la siguiente manera: Opinin global (Conclusin) Problema(s) especifico(s) Explicacin de la violacin de cuantos controles internos, planes organizacionales, estndares y normas Descripcin de los riesgos, exposicin o prdidas que resultaran de las violaciones. Cuando sea posible se identificara el impacto econmico, dando soluciones especificas y prcticas a cada problema Se identificaran las personas que se responsabilizaran de cada aspecto de las soluciones. Las recomendaciones son razonables, verificables, interesantes econmicamente y tienen en cuenta el tamao de la organizacin. El informe debe tener un tono constructivo. Si es apropiado se anotan los puntos fuertes. Para su distribucin se preparar un resumen del informe Despus de la revisin del informe final con los responsables del rea auditada se distribuir a las otras personas autorizadas. El rea auditada tiene la posibilidad de aceptar o rechazar cada punto de control. Todos los puntos de control se explicaran por escrito. El rea acepta los riesgos implcitos de la debilidad encontrada por el auditor. Se hace un seguimiento de la implantacin de las recomendaciones para asegurarse de que el trabajo de revisin produce resultados concretos.

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA

Profesor: Elixender Lamprea L.

IUT AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMTICA: TRAYECTO 4 TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Metodologa ISACA (Information System Audit and Control Association) ISACA es una asociacin creada en 1969 y entre sus funciones, desarrolla estndares internacionales de aseguramiento, auditora y control de sistemas de informacin y marcos de trabajo que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de informacin. Ha creado el Cdigo de tica de cumplimiento obligatorio por parte de los Auditores que obtienen la certificacin CISA (Certified Information Systems Audit). Para facilitar el cumplimiento de la funcin de auditora ISACA ha establecido el esquema de trabajo que incluye: Estndares de Auditora, Guas de Auditoria, Herramientas de Auditoria y el Marco de Trabajo COBIT que incluye los Objetivos de Control. Todos estos documentos son accesibles en la pgina web de ISACA, no todos son posibles en espaol pero es importante referenciar este marco de trabajo para los estudiantes, practicantes y profesionales de auditora informtica. En la direccin: http://www.isaca.org/Knowledge-Center/Standards/IT-Audit-andAssurance/Pages/ObjectivesScopeandAuthorityofITAudit.aspx Puede descargar el documento maestro de la metodologa ISACA sobre Estandares, Guas, Herramientas y Tcnicas para la Auditoria y Aseguramiento y Control Profesionales bajo el titulo IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. En la pgina 7 encontrar los siguientes ndices y luego el detalle de los contenidos: Componentes Estandares Guas de Auditoria Herramientas y Tcnicas Index of IT Audit and Assurance Standards Guidelines Tools and Techniques Documentos S1 S16 G1 G42 P1 P11

Adems, en esa misma direccin, puede acceder a enlaces (View Standars, View Guidelines, View Tools and Techniques) para visualizar o descargar cada uno de los documentos Sn, Gn o Pn especficos. Solo los estndares pueden accederse y descargarse en Espaol. ASIGNACION E1 (Trabajo en Equipo): Primera Entrega (Trabajo de Metodologa de Auditoria Informtica) Para el rea de Auditora que le corresponde a su equipo de trabajo, desarrollar un informe de Planificacin de Auditoria que considere y contemple los documentos correspondientes a la aplicacin de los siguientes estndares: S1, S5, S6, S7, S9, S11, S14 y S15. Recomendacin: para la mejor comprensin y aplicacin de la especificacin de los estndares anteriores lea e intrprete los comentarios asociados a cada Sn.

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA

Profesor: Elixender Lamprea L.