Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
ADR-2-RSA-Cap03-Auditoria - Gloria Mendoza
Desafio PASSEI DIRETO
Compartir
Vista previa del material en texto
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 1/25
CAPÍTULO 3
AUDITORÍA
El Objetivo de este capítulo es introducir al alumno en los conocimientos sobre auditoría en
general y auditoría informática en particular que definen sus entornos de aplicación y los tipos de
controles, herramientas y metodologías de trabajo para su planificación, desarrollo y emisión de
resultados sobre los aspectos auditados.
Bibliografía utilizada:
Además de la bibliografía mencionada en esta unidad se han tenido en cuenta para la
confección de este apunte:
� Piattini Velthius, Mario. “Auditoría Informática. Un Enfoque Práctico. 2da. Edición” Ed.
Alfaomega – 2001
� Arens Alvin , Elder Randal , Beasley Mark. “Auditoría: Un Enfoque Integral” Ed. Pearson
Educación – 2007
� Echenique Garcia, Jose. “Auditoría en Informática” Ed. MCGraw-Hill – 1995
� Federación de Consejos de Profesionales de C.Económicas. “Manual de Auditoría – Informes
5 y 6”
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 2/25
ÍNDICE
INTRODUCCIÓN ..........................................................................................................3
CONCEPTO DE AUDITORÍA .............................................................................................4
TIPOS DE AUDITORÍAS .................................................................................................5
AUDITORÍA INTERNA ............................................................................................................. 5
AUDITORÍA EXTERNA ............................................................................................................. 6
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN ...................................................................7
TIPOS DE AUDITORÍAS DE TI ................................................................................................... 8
ELEMENTOS DE LA AUDITORÍA DE TI .......................................................................................... 9
METODOLOGÍA DE TRABAJO EN LA AUDITORÍA DE TI ........................................................... 10
DEFINICIÓN DE OBJETIVOS Y ALCANCE ...................................................................................... 10
EL ESTUDIO INICIAL – RELEVAMIENTO ORGANIZACIONAL ................................................................ 14
INFORME DE DIAGNÓSTICO INICIAL ......................................................................................... 15
DETERMINACIÓN DE LOS RECURSOS DE LA AUDITORÍA ................................................................... 15
ELABORACIÓN DEL PLAN DE AUDITORÍA ..................................................................................... 16
Tipos de Controles a realizar ......................................................................................... 16
Técnicas y Herramientas de trabajo .............................................................................. 18
Técnicas y Herramientas para el análisis de datos ........................................................... 20
Técnicas y Herramientas para el análisis de Logs ............................................................. 21
ENTORNO DE APLICACIÓN ..................................................................................................... 22
PRESENTACIÓN DE CONCLUSIONES - INFORME FINAL DE AUDITORÍA .................................................. 25
Presentación de Conclusiones de Auditoría...................................................................... 25
Estructura del Informe Final de Auditoría y Plan de Acción ................................................ 25
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 3/25
INTRODUCCIÓN
La Administración de los Recursos tiene en las Organizaciones un objetivo común que es el
manejo adecuado de las variables que regulan el crecimiento, adaptación al cambio para mantener
competitividad en la dinámica de los mercados, el control y uso eficiente de los recursos y
fundamentalmente de la eficacia en el logro de las metas y objetivos establecidos en su Plan de
Negocios.
La administración efectiva de la información y de la tecnología de la Información (TI) asociada
se ha constituido en la herramienta fundamental para la gestión integral de las Organizaciones y
en el elemento crítico para el éxito y supervivencia de las organizaciones. Esta criticidad emerge
de:
la creciente dependencia en información y en los sistemas que proporcionan dicha
información
la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber
amenazas” y la guerra de información
la escala y el costo de las inversiones actuales y futuras en información y en tecnología de
información
el potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las
prácticas de negocio, crear nuevas oportunidades y reducir costos
La gestión de riesgos, seguridad y auditoría de una Organización, en general, y de las
tecnologías de la información en particular, buscan establecer las pautas para lograr el ambiente
requerido analizando, detectando, verificando, exponiendo y determinando alternativas de solución
sobre la administración de los recursos de TI, integrados en el contexto organizacional.
Las Organizaciones requieren disponer de los medios que generen un ámbito con buen nivel de
seguridad interna y un marco de protección adecuado a las necesidades e influencias del entorno,
a fines de lograr el desarrollo de sus estrategias de negocios.
Como consecuencia de esto será muy importante la utilización de políticas claras y buenas
prácticas para la seguridad y el control de las TI cuyos objetivos estén alineados con los objetivos
de la organización y que los mismos se desarrollen a partir de la perspectiva de la auditoría.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 4/25
CONCEPTO DE AUDITORÍA
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha
considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. El concepto
de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la
eficacia y eficiencia de una sección, un organismo, una entidad, un activo, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se
refiere a todo aquel que tiene la virtud de oír.
En una auditoría se realiza la revisión y comprobación de los procesos, exponiendo las
debilidades y disfunciones observadas, estableciendo en consecuencia las recomendaciones,
sugerencias y planes de acción para su eliminación.
En el diccionario de la Real Academia Española, Auditoría es la “revisión sistemática de una
actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que
aquellas deben someterse”
En resumen, la auditoría es un examen metódico que se realiza paraevaluar un a,
proceso u organización, a fines de verificar la concordancia de su situación real con el
objetivo definido, exponiendo sus diferencias, disfunciones, debilidades y errores para
mejorar su eficacia y eficiencia a través de un plan de adecuación sugerido para su
logro.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 5/25
TIPOS DE AUDITORÍAS
En función a la posición frente a la empresa, la autoría puede ser:
Interna
Externa
En función a las Áreas o procesos a los que se refiera, podemos definir los siguientes tipos de
Auditorías:
Auditorías de Gestión
Auditorías Financieras
Auditorías Operacionales
Auditorías de Tecnologías de Información
AUDITORÍA INTERNA
Es una función independiente de evaluación establecida dentro de la propia Organización para
examinar y evaluar sus actividades como un servicio a la misma. Su finalidad es apoyar a sus
miembros en el desempeño de sus responsabilidades y tomas de decisiones. Para ello la Auditoría
Interna les proporciona análisis, evaluaciones, recomendaciones, asesorías e información sobre las
actividades verificadas.
Objetivos de la Auditoría Interna:
� Revisión y evaluación de los controles administrativos, contables, financieros y operativos.
� Divulgación y control de las políticas, planificación y procedimientos establecidos en la
Organización. Análisis y determinación de sus niveles de cumplimientos.
� Custodia y contabilización de los activos de toda la organización
� Examen de la fiabilidad de los datos e información exacta para las gerencias
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 6/25
AUDITORÍA EXTERNA
Es un examen o evaluación de la situación de una empresa, sector o proceso, realizado por
profesionales o consultores independientes, externos a la Organización, con el propósito de emitir
un dictamen con una opinión técnica sobre la razonabilidad o viabilidad de la situación, los niveles
de cumplimientos de las normas y requerimientos técnicos que involucran a la empresa, sector o
proceso en cuestión. El dictamen del Auditor Externo, además, hace referencia a aspectos sobre
valuación y exposición.
Objetivos de la Auditoría Externa:
� Identificación de los elementos de juicio fundamentados en la naturaleza de los hechos
examinados
� Detección de la existencia o ausencia de errores, disfunciones o anomalías en los hechos
examinados. Medición de la magnitud de los mismos.
� Control de actividades de investigación y desarrollo de la Organización.
� Control de las Políticas externas y estrategias definidas en el Plan de Negocio.
� Redacción de Informe o Dictamen con el diagnóstico de la situación actual, sugerencias y
recomendaciones con alternativas de solución sobre los inconvenientes detectados.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 7/25
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
De acuerdo a las definiciones citadas podemos decir que toda Auditoría contiene procesos de
análisis, verificación y exposición de las debilidades, errores o disfunciones detectadas en la
operatoria de la Organización, con las cuales se redacta el Informe sobre diagnóstico de situación
y recomendaciones en base al plan de sugerencias con las alternativas de solución más adecuadas.
Así como los procesos y recursos de gestión, financieros y operativos son auditados en función
de las políticas, normas y criterios de la organización, también lo deben ser los procesos y recursos
(activos de información, de software, físicos, servicios, recursos humanos, etc.) relacionados con
las TI.
Podemos definir la Auditoría de Tecnologías de Información como un examen metódico
(utilizando herramientas, procedimientos y técnicas) que se realiza para evaluar o
controlar, total o parcialmente, la aplicación de las Tecnologías de Información con el fin
de verificar si sus actividades se desarrollan en forma eficiente y de acuerdo a la
normativa o políticas generales y específicas de la Organización, para garantizar la
confiabilidad, confidencialidad y seguridad de la información, la eficacia en el logro de
los objetivos establecidos y la calidad del servicio brindado.
Por lo expuesto, para la realización de una auditoría de TI eficaz, se debe entender a la
Organización en su más amplio sentido, diferenciando sus características y los objetivos a los que
apuntan, ya sean empresas privadas o públicas, ya sean instituciones como Universidades,
Ministerios, Hospitales, etc. Todas utilizan las TI para gestionar sus negocios de forma rápida y
eficiente con el fin de obtener beneficios económicos o lograr sus objetivos como empresa o
institución.
La importancia de llevar un control efectivo se puede deducir de varios aspectos como los
citados en la introducción. He aquí algunos:
Los sistemas de procesamiento de datos se convirtieron en los blancos más apreciados no solo
para el espionaje, sino para la delincuencia y el terrorismo. En este caso se deberá garantizar la
seguridad de los sistemas denominada generalmente como Auditoría de Seguridad de la
Información.
Las computadoras creadas para procesar datos pueden producir resultados o información
errónea si dichos datos son, a su vez, erróneos. Este concepto es a veces olvidado o descuidado
por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos,
con la posibilidad de que se provoque un efecto cascada y afecte a las restantes aplicaciones y los
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 8/25
resultados generales del negocio por tomas de decisiones inadecuadas. En este caso se deberá
administrar eficientemente los datos e interviene la denominada Auditoría de Datos.
Un Sistema Informático mal diseñado puede convertirse en una herramienta peligrosa para la
empresa: modelizaciones, simulaciones o sistemas de gestión gerencial utilizados para la toma de
decisiones no puede depender de un Software y Hardware mal diseñados por cuanto afecta en
forma directa al desarrollo y sustentabilidad de la organización. Esto refiere a los procesos de
entrega y soporte y por tanto interviene la Auditoría de Sistemas y Soportes de Aplicaciones.
TIPOS DE AUDITORÍAS DE TI
Dentro de la auditoría de TI se mencionan los siguientes tipos (entre otros), sin llegar a ser
independientes unos de otros:
� Auditoría de la gestión: Referido a la contratación de bienes y servicios, procesos y
procedimientos para la liberación de software, etc.
� Auditoría de Datos: referido a la auditoría de los activos de información: Clasificación de los
datos, trazabilidad del flujo de información, auditoría de integridad de la información
almacenada en bases de datos, archivos, etc., conformidad con los requisitos de información de
la organización.
� Auditoría de Sistemas y Soporte de Aplicaciones:
• Auditoría de las aplicaciones o activos de software: del software desarrollado porla
organización o tercerizado
• Auditoría de los procesos de desarrollo: documentación de: planes de trabajo,
requisitos, diseño, pruebas, gestión de cambios, etc.
� Auditoría de Seguridad de la Información
• Auditoría legal de Protección de Datos: Cumplimiento legal de las medidas de seguridad
exigidas por la legislación vigente correspondiente a la protección de datos.
• Auditoría de la seguridad de la Información: Referidos a datos e información verificando
disponibilidad, integridad y confidencialidad de la información.
• Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de ésta. También
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 9/25
está referida a las protecciones externas (arcos de seguridad, campos magnéticos, CCTV,
vigilantes, etc.) y protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información, transmisión y almacenamiento seguro de la información, seguridad
perimetral, configuraciones de la tecnología de base.
• Auditoría de las comunicaciones: Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
ELEMENTOS DE LA AUDITORÍA DE TI
� Artefactos de Entrada:
• Marco de Referencia
• Análisis
• Verificación
• Exposición de las debilidades, errores y disfunciones
� Artefactos de Desarrollo (Entregables intermedios):
• Relevamiento Inicial
• Informe de Diagnóstico Inicial de Situación
• Definición de objetivos y alcances de la Auditoría
• Definición del tipo controles (metodología)
• Baseline de Tiempos y Costos (Elaboración del Plan de trabajo)
• Conformación de recursos ( equipo RR.HH, Oficinas y tecnologías)
• Desarrollo de las actividades (Análisis, entrevistas, verificaciones, etc.)
• Borrador de Recomendaciones
� Artefactos de Salida: (Entregables finales)
• Presentación de Conclusiones y redacción de Informe o Dictamen Final
• Plan de acción (alternativas de solución)
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 10/25
METODOLOGÍA DE TRABAJO EN LA AUDITORÍA DE TI
Una vez definido el concepto de Auditoría de TI e identificados los tipos, fines y utilidades de
cada uno, se procede a describir la metodología de trabajo que el equipo auditor desarrollará en
base a la contratación con el cliente (auditoría externa) o al requerimiento planificado por la
Dirección (auditoría interna), cumpliendo con las actividades que componen el proceso de
Auditoría hasta su conclusión con la entrega del Informe o Dictamen Final y Plan de acciones
sugeridas.
DEFINICIÓN DE OBJETIVOS Y ALCANCE
Para la definición de los objetivos y alcance debe haber un acuerdo muy preciso entre el equipo
auditor y cliente (interno o externo) sobre los activos (funciones, procesos, estructuras, recursos,
etc.) que se auditarán en la Organización. Para ello se realiza el Estudio Inicial y Relevamiento
Organizacional que permitirá tener un conocimiento global de estructura y complejidad de los
procesos y redactar el Diagnostico Inicial sobre la situación relevada.
Por ejemplo en la auditoría de un sistema en producción deberá acordarse previamente si se
incluye o no la función de soporte técnico. Igualmente se debería acordar de antemano si se audita
la percepción de los usuarios o solo la eficiencia interna del sistema, etc.
Al margen de los objetivos generales y comunes de toda Auditoría de TI, se agregan entonces
los objetivos específicos que se definan con el cliente o Dirección de la Organización. Para definir
dichos objetivos específicos se debe tener una clara interpretación de las necesidades o
pretensiones del cliente o la Dirección a fines de dar respuestas concretas sobre las mismas.
Para tener una adecuada definición del alcance, se deberán expresar las excepciones o límites
para especificar, documentando en este punto, cuáles son los activos que no entrarán en el
proceso de auditoría.
Se deben fijar los interlocutores, es decir las personas designadas por el cliente o Dirección
responsables con poder de decisión y de validación dentro de la empresa para que interactúe con
el equipo auditor. Asimismo se debe fijar el/los destinatario/s de los Informes.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 11/25
Para la definición de Objetivos y Alcance se podrá utilizar un marco de trabajo para las
Auditorías de TI como lo es el de las normas COBIT (Objetivos de Control para la Información y
Tecnologías afines) que además considera el informe de COSO (). En este marco se tienen en
cuenta las siguientes pautas:
� Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos
objetivos de control de alto nivel o requerimientos de negocio para la información. Estos
son:
• requerimientos de calidad: calidad, costo y entrega del servicio
• requerimientos de seguridad: integridad, disponibilidad, confidencialidad
• requerimientos fiduciarios: eficiencia y eficacia de operaciones, confiabilidad de la
información (reportes financieros), cumplimiento de leyes, normas y acuerdos
contractuales.
� Considera los requerimientos de COSO, necesidades de calidad y seguridad de la empresas, a
través de la definición de los siguientes criterios:
• Efectividad: Se refiere a que la información relevante sea pertinente para el proceso del
negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera
utilizable
• Eficiencia: Se refiere a la provisión de información a través de la utilización óptima (más
productiva y económica) de recursos.
• Confidencialidad: Se refiere a la protección de información sensible contra divulgación no
autorizada.
• Integridad: Se refiere a la precisión y suficiencia de la información, así como a su validez
de acuerdo con los valores y expectativas del negocio.
• Disponibilidad: Se refiere a que la información esté accesible cuando ésta es requerida
por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los
recursos necesarios y capacidades asociadas.
• Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de
negocio impuestos externamente.
• Confiabilidad: Se refiere a la provisión de información apropiada para la administración
con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros
y de cumplimiento.
� Se promueve el foco en procesos o actividades de tecnologías de la información que
deben existir en la organización para cumplir con los objetivos de control de alto nivel y
criterios, divididos en los siguientes dominios:
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridady Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 12/25
• Planeamiento y organización: Este dominio cubre las estrategias y las tácticas, y tiene
que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de
los objetivos del negocio. Además, la realización de la visión estratégica requiere ser
planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe
implementar una estructura organizacional y una estructura tecnológica apropiadas.
• Adquisición e Implementación: Para llevar a cabo la estrategia de TI, las soluciones de
TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e
integración en los procesos del negocio. Además, el cambio y el mantenimiento de los
sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio.
• Entrega de Servicios y Soporte: Este dominio cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de
la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las
instalaciones operacionales.
• Monitoreo y Evaluación: Todos los procesos de TI deben evaluarse de forma regular en el
tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este
dominio abarca la administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación de las políticas y normas.
� Se apoya el control de las actividades de TI incluidas en estos dominios con objetivos de
control detallados que se seleccionarán en función de las metas de TI que la organización
haya definido.
� Cada objetivo de control detallado implica prácticas de control que aplicarán sobre alguno de los
siguientes recursos de TI:
• Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos
manuales que procesan información.
• Información: son los datos en todas sus formas de entrada, procesados y generados por
los sistemas de información, en cualquier forma en que son utilizados por el negocio.
• Infraestructura: es la tecnología y las instalaciones (hardware, sistemas operativos,
sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio
donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las
aplicaciones.
• Personas: personal requerido para planear, organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser
internas, por outsourcing o contratadas, de acuerdo a como se requieran.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 13/25
El resumen de COBIT puede verse en el siguiente cuadro:
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 14/25
EL ESTUDIO INICIAL – RELEVAMIENTO ORGANIZACIONAL
� Organigrama: para tener un conocimiento integral de la estructura jerárquica de la
Organización e identificar entre otras las funciones de mando, diseño y ejecución, se analiza su
Organigrama oficial (específico del área de Sistemas y en relación al resto de la Organización),
dejando observada la existencia o no de un organigrama fáctico diferente que se haya
detectado a través de los flujos de información y relaciones funcionales o jerárquicas relevadas.
� Estructura del Área de Sistemas y funciones: el equipo auditor hará una breve descripción
la estructura del Área identificando las funciones más relevantes de cada dependencia
(desarrollo, comunicaciones, soporte técnico, etc.)
� Relaciones funcionales y Jerárquicas: se identifican si existen canales de información
paralelos o alternativos (extraoficiales), necesarios para ejercer las funciones con eficacia y que
aparecieron por ciertas fallas en la estructura oficial o bien solo por afinidades personales o
simples comodidades.
� Recursos: se controlarán los puestos de trabajos, cantidad de personas y funciones asignadas
para detectar si existen duplicaciones de puestos, o distribución ineficiente (deficiencias o
sobredimensionamientos de funciones/personal)
� Entorno Operacional: en los casos que la Organización dispone de varios departamentos de
sistemas, se relevará su distribución geográfica, estructuras adecuadas y uso de los mismos
estándares de trabajo.
� Arquitectura y configuraciones de HW y SW: se verificará además de la flexibilidad de las
configuraciones y compatibilidades de los sistemas, el cumplimiento de las políticas de
Seguridad Lógica de la compañía, la existencia de Planes de Contingencia, etc.
� Inventario de HW y SW: se comprobará la existencia del equipamiento inventariado por la
Organización (PCs, instalaciones, redes, etc.) y software disponible (adquiridos o desarrollados
internamente).
� Aplicaciones: se relevará antigüedad y complejidad de las aplicaciones y bases de datos,
metodología de diseño y desarrollos complementarios de las mismas, manuales y
documentación para mantenimiento/actualizaciones.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 15/25
INFORME DE DIAGNÓSTICO INICIAL
En base al Estudio Inicial realizado y experiencia del equipo auditor, se confecciona el Informe
de Diagnóstico Inicial cuyos resultados permitirán identificar los puntos débiles y fuertes, los
riesgos eventuales y posibles alternativas de solución. Asimismo permitirá determinar los recursos
necesarios (humanos y tecnológicos) para realizar la Auditoría.
DETERMINACIÓN DE LOS RECURSOS DE LA AUDITORÍA
� Equipamiento y tecnología (HW y SW): los recursos de HW necesarios para el equipo de
auditoría son proporcionados por el cliente ya que los controles deberían ser realizados sobre el
equipamiento auditado. Las herramientas de SW son propias del equipo auditor y se añaden a
las ejecuciones de los sistemas auditados. Esto demanda un preciso detalle en las pautas de
contratación sobre fechas, horas y duración de los procesos de control, equipamiento y soporte
necesario compartidos o con dedicación exclusiva.
� Conformación del equipo de Auditoría: los perfiles y cantidad de personal necesarios para
realizar la auditoría dependerán de la complejidad y volumen del área o proceso auditable. El
auditor líder o responsable del equipo, diseñará una combinación adecuada de los perfiles
necesarios ya sean expertos informáticos o en organización y contables, generalmente de
formación universitaria y probada experiencia multidisciplinaria.
PERFILES PROFESIONALES DE LOS AUDITORES INFORMATICOS
Especialidad
Experiencia y Conocimientos deseables
Líder o Responsable
Informático
Amplia experiencia en desarrollo de Proyectos IT, normas de
diseño y operación de sistemas, manejo y organización de
equipos multidisciplinarios
Experto en Desarrollo de
Proyectos
Amplia experiencia como Líder de Proyectos, experto analista
y experiencia en metodologías de desarrollo
Experto en Administración de
Bases de DatosAmplia experiencia en diseño y mantenimiento de BD.
Conocimientos de productos compatibles.
Técnico de Sistemas
Experto en Sistemas Operativos y SW de base. Conocimiento
de productos en el mercado. Experiencia en explotación
Experto en Software de Especialista en tecnología de sistemas, redes y amplia
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 16/25
Comunicaciones experiencia en subsistemas de teleprocesos.
Experto en Explotación y
Gestión de Centros de
Procesamiento de Datos
Responsable de Centro de procesamiento de datos, amplia
experiencia en automatización de procesos y conocimientos
de sistemas
Analista en Organización Experto en organización, análisis de procedimientos y flujos
de información
Analista de Costos Experiencia en Gestión de Costos y conocimientos en
informática.
ELABORACIÓN DEL PLAN DE AUDITORÍA
De acuerdo al Informe de Diagnóstico Inicial y a la definición de los objetivos y alcance de la
Auditoría, luego de la asignación de los recursos se define el Plan de Auditoría que, como todo
Proyecto, se elabora teniendo en cuenta los siguientes criterios:
� Se establecen la prioridades de activos auditables de acuerdo a los que defina el Cliente,
asesorado con los conocimientos y experiencia aportadas por el equipo auditor.
� Se definen los Dominios, Objetivos del Control y prácticas de control a realizar en función a las
necesidades evaluadas
� Se establecen las técnicas de trabajos a utilizar (Análisis de información, monitoreos,
simulaciones, muestreos, etc.)
� Se establecen las herramientas (entrevistas, cuestionarios, checklists, matrices de riesgos,
etc.)
� Se establece el Programa de Trabajo: Baseline de Tiempos con el calendario de las actividades
y definición de los hitos para control de los resultados.
� Se define el Presupuesto de Auditoría (Baseline de Costos) en base al Programa de Trabajo
establecido y al costo de los recursos asignados al proyecto.
TIPOS DE CONTROLES A REALIZAR
� Controles Preventivos: reducen o eliminan las causas de los riesgos
� Controles Detectivos: detectan el riesgo una vez ocurrido
� Controles Correctivos: identifican y corrigen las causas del riesgo ocurrido
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 17/25
A partir de estos tipos de controles genéricos, se podrán definir prácticas de control específicas,
tanto lógicas como físicas, como por ejemplo:
� Controles automáticos de periodicidad de cambios de clave de acceso: (control
correctivo). Este control apunta al Objetivo de Control de Alto Nivel: Requerimientos de
Seguridad, Criterios: Confidencialidad - Dominio: Monitoreo y Evaluación, Actividad de TI:
Monitorizar los procesos, Recursos: Infraestructura – Aplicaciones - Personas
� Controles de copias de respaldo: existencia de copias de seguridad y recuperación (control
preventivo). Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos de
Seguridad – Requerimientos Fiduciarios, Criterios: Disponibilidad - Efectividad - Dominio:
Entrega y Soporte, Actividad de TI: Asegurar el Servicio Continuo, Recursos: Infraestructura –
Aplicaciones - Información
� Testeo funcional de aplicaciones: se realizan previamente a la puesta en producción de
software, ya sea desarrollado internamente como tercerizado (control preventivo). Este control
apunta a los Objetivos de Control de Alto Nivel: Requerimientos de Calidad – Requerimientos
Fiduciarios, Criterios: Eficiencia - Efectividad - Dominio: Adquisición e Implementación,
Actividad de TI: Adquisición y mantenimiento de aplicaciones, Recursos: Infraestructura –
Aplicaciones – Información - Personas
� Controles de segregación de funciones, roles y responsabilidades: verificación de que las
estructuras y asignación de funciones correspondan al nivel de entrega de servicio requerido
(controles correctivos). Este control apunta a los Objetivos de Control de Alto Nivel:
Requerimientos de Calidad (entrega del servicio), Criterios: Efectividad - Eficiencia Dominio:
Planificación y Organización, Actividad de TI: Definir la organización y relaciones de las TI,
Recursos: Personas
� Controles de adecuación y evolución de la capacidad de la infraestructura actual: para
la justificación que la solución de TI actual es la opción más adecuada para la empresa (control
correctivo - preventivo), debe existir un plan de infraestructura tecnológica. Este control apunta
a los Objetivos de Control de Alto Nivel: Requerimientos Fiduciarios, Criterios: Efectividad -
Eficiencia, Dominio: Planificación y Organización, Actividad de TI: Determinar la dirección
tecnológica, Recursos: Infraestructura
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 18/25
TÉCNICAS Y HERRAMIENTAS DE TRABAJO
Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba
que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y
conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”.
Las técnicas y los procedimientos están estrechamente relacionados, si las técnicas no son
elegidas adecuadamente, la auditoría no alcanzará las normas aceptadas de ejecución, por lo cual
las técnicas así como los procedimientos de auditoría tienen una gran importancia para el auditor.
Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican
generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares,
verbales, por escrito, por revisión del contenido de documentos y por examen físico.
Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente
manera:
� Cuestionarios: Las auditorías informáticas se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades
para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio
global objetivo, siempre amparado en hechos demostrables (evidencias). Para esto, suele ser lo
habitual comenzar solicitando el cumplimiento de cuestionarios preimpresos que se envían a las
personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas
sean las responsables oficiales de las diversas áreas a auditar.Estos cuestionarios no pueden ni
deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada
situación, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis
determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de
ambos tipos de información es una de las bases fundamentales de la auditoría.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por
otro medios la información que aquellos preimpresos hubieran proporcionado.
� Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo
hace de tres formas:
• Mediantela petición de documentación concreta sobre alguna materia de su
responsabilidad.
• Mediante entrevistas en las que no se sigue un plan predeterminado ni un método estricto
de sometimiento a un cuestionario.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 19/25
• Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano
y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor. En ella recoge
más información, y mejor matizada, que la proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios.
El auditor de TI entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el
auditado conteste a una serie de preguntas variadas y con una preparación muy elaborada para
que resulte sencilla y entendible para cada caso particular.
� Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus
cuestionarios en función de los escenarios auditados. Sus cuestionarios son vitales para el
trabajo de análisis, cruzamiento y síntesis posterior.
Algunas de las preguntas de las listas de chequeo utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a
distintas personas en las mismas fechas, o a las mismas en fechas diferentes. De este modo, se
podrán descubrir con mayor facilidad los puntos contradictorios, reelaborando en este caso
preguntas complementarias hasta lograr la homogeneidad de las respuestas.
� Trazas y/o Huellas: Con frecuencia, el auditor de TI debe verificar que los programas, tanto
de los Sistemas como de usuario, realizan las funciones previstas con los niveles de
confiabilidad y calidad requeridos de acuerdo a las normas de la empresa. Para ello se apoya en
productos de Software que, entre otras funciones, rastrean los caminos que siguen los datos a
través del software.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones
de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las
fechas y horas más adecuadas para su empleo.
� Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software
llamados genéricamente “paquetes de auditoría”, capaces de generar programas para auditores
escasamente cualificados desde el punto de vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que
permitieran la obtención de una hipótesis de la situación real de una instalación.
En la actualidad, estos productos se orientan principalmente hacia lenguajes que permiten la
interrogación de archivos y bases de datos de la empresa auditada. Son utilizados solamente
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 20/25
por los auditores externos, por cuanto los internos disponen del software nativo propio de la
instalación.
TÉCNICAS Y HERRAMIENTAS PARA EL ANÁLISIS DE DATOS{ XE "ANALISIS DE
DATOS" }
� Comparación de programas: Esta técnica se emplea para efectuar una comparación de
código (fuente, objeto o comandos de proceso) entre la versión de un programa en ejecución y
la versión de un programa piloto que ha sido modificado en forma indebida, para encontrar
diferencias.
� Mapeo y rastreo de programas: Esta técnica emplea un software especializado que permite
analizar los programas en ejecución, indicando el número de veces que cada línea de código es
procesada y las de las variables de memoria que estuvieron presentes.
� Análisis de código de programas: Se emplea para analizar los programas de una aplicación.
El análisis puede efectuarse en forma manual (en cuyo caso sólo se podría analizar el código
ejecutable).
� Datos de prueba: Se emplea para verificar que los procedimientos de control incluidos los
programas de una aplicación funcionen correctamente. Los datos de prueba consisten en la
preparación de una serie de transacciones que contienen tanto datos correctos como datos
erróneos predeterminados.
� Datos de prueba integrados: Técnica muy similar a la anterior, con la diferencia de que en
ésta se debe crear una entidad, falsa dentro de los sistemas de información.
� Simulación paralela: Técnica muy utilizada que consiste en desarrollar programas o módulos
que simulen a los programas del sistema auditado. El objetivo es procesar los dos programas o
módulos de forma paralela e identificar diferencias entre los resultados de ambos.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 21/25
TÉCNICAS Y HERRAMIENTAS PARA EL ANÁLISIS DE LOGS
Hoy en día los sistemas se encuentran expuestos a distintas amenazas que aumentan sus
vulnerabilidades y al mismo tiempo que se hacen más complejos, el número de ataques también
aumenta. Por este motivo las organizaciones deben reconocer la importancia y utilidad de la
información contenida en los logs de los sistemas así como mostrar algunas herramientas que
ayuden a automatizar el proceso de análisis de las mismas.
El crecimiento de Internet y redes sociales enfatizan esta problemática, los sistemas generan
una gran cantidad de información, conocidas como bitácoras o archivos logs, que pueden ser de
gran ayuda ante un incidente de seguridad, así como para los controles del auditor.
Un archivo de log puede registrar mucha información acerca de eventos relacionados con el
sistema que la genera los cuales pueden ser:
� Fecha y hora.
� Direcciones IP origen y destino.
� Dirección IP que genera la bitácora.
� Usuarios.
� Errores.
La importancia de los logs es la de Las Herramientas de análisis de bitácoras mas conocidas
son las siguientes:
� Para UNIX, Logcheck, SWATCH.
� Para Windows, LogAgent
Los logs contienen información crítica, es por ello la importancia de ser analizada, ya que
posibilita la detección de comportamientos inusuales, la recuperación de información ante
incidentes de seguridad, las secuencias para resolver problemas, las evidencias en aspectos
legales y fundamental ayuda en las tareas de cómputo forense.
El uso de herramientas automatizadas es de mucha utilidad para el análisis de logs, es
importante registrar todos los logs necesarios de la totalidad de los sistemas disponibles para
mantener un control integral de la información.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 22/25
ENTORNO DE APLICACIÓN
La aplicación de prácticas de control de auditoría, en función de los dominios, objetivos y
controles definidos puede centrarse en las siguientes áreas de aplicación:
� Planeamiento y Organización:
• Organización general del área de Sistemas y áreas asociadas:� Verificación de la estructura de Sistemas, dependencias y su integración con el resto de
la Organización
� Verificación de relaciones informales y evaluación de impactos
� Revisión de las políticas del personal, niveles de cumplimientos, incorporaciones,
perfiles, planes de desarrollo, estructura de compensaciones, etc.
� Comprobación de la existencia de Normas y procedimientos de trabajos específicos del
área. Verificación de los niveles de cumplimiento
� Revisión de todo tipo de contratación relacionada con el área
� Evaluación del rendimiento e incidencia de los consultores externos
� Determinación del impacto de los servicios de procesamientos externos de datos (si
existen)
• Gestión de Proyectos:
� Revisión del grado de alineamiento o relación entre los Planes de Sistemas y los Planes
Estratégicos de la Organización. Control de las mediciones de avances.
� Verificación de la validez de los procesos de Estimación de Proyectos
� Verificación de la fiabilidad y precisión aplicados en el Estudio de Viabilidad de Proyectos
� Verificación de los niveles de responsabilidad de un Proyecto y grado de participación de
los usuarios
� Evaluación de la Gestión de riesgos y niveles de cumplimiento
� Evaluación de los estándares de calidad
• Administración de la Documentación:
� Verificación de los estándares de documentación y niveles de cumplimiento
� Verificación del acceso denegado en Usuarios a la documentación de programación
� Revisión de la documentación de Usuarios
� Revisión de los procedimientos utilizados para la actualización de la documentación
� Adquisición e Implementación:
• Ingeniería de Requerimientos:
� Evaluación de la metodología utilizada para la Gestión de Requerimientos
� Evaluación de la metodología utilizada en los procesos de diseño y construcción
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 23/25
� Evaluación de los tipos de pruebas que se aplican al desarrollo e implementación de
soluciones informáticas
• Gestión de Adquisiciones de Hw y SW:
� Verificación de los estudios de necesidades de HW y SW asociados con los proyectos
definidos para el Plan de Sistemas
� Revisión de la metodología utilizada en las compras y contrataciones de diferentes
montos si se alinean con las normas establecidas para toda la organización
• Puesta en Producción de las Soluciones Informáticas:
� Verificar la integridad de los procesos de puesta en Producción y aprobación de las
soluciones de SW
� Comprobación de los medios de seguridad con los que contará la solución de SW
implementada
• Gestión de Mantenimientos y Cambios:
� Verificación de los procesos de la Gestión de Mantenimiento y Cambios
� Revisión de inventario o registros de mantenimientos realizados en los sistemas,
analizando la prioridad y razonabilidad de los cambios aplicados
� Entrega de Servicios y Soporte:
• Gestión de Configuraciones:
� Verificación de las versiones de programas y configuraciones de tablas de las bases en
producción si son las vigentes
� Revisión de la existencia de procedimientos que impidan correr versiones de programas
no activos
� Verificación de los procesos de incorporación de nuevos programas a las librerías
productivas
� Verificación de los espacios o depósitos si son adecuados para el almacenamiento de
cintas y discos. Comprobación de la perfecta y visible identificación de estos medios
para los casos que se requieran volver a versiones anteriores
� Investigación del diario de producción y archivos de logs
• Procesos de Soporte - Seguridad General:
� Verificación de los planes de mantenimiento preventivo de las instalaciones
� Verificación del cumplimiento y control de seguimiento de las funciones de soporte.
Control de idoneidad de las personas asignadas
� Comprobación de los procedimientos de prevención, detección y corrección o
recuperación frente a ocurrencias de desastre
� Verificación de los Planes de Contingencias y comprobación de simulacros
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 24/25
• Procesos de Soporte - Seguridad Física:
� Comprobación de las condiciones ambientales si son adecuadas para el equipamiento e
instalaciones
� Verificación del HW inventariado
� Revisión de los controles de accesos físicos
� Evaluación de la eficiencia de uso del HW (revisión de la documentación y personal
autorizado para su utilización)
• Procesos de Soporte - Seguridad Lógica:
� Verificación del SW (licencias) inventariado
� Revisión de los procedimientos de planificación y mantenimiento de las aplicaciones
� Comprobación de la existencia de normas documentadas sobre la administración de
copias de seguridad (acceso, disposición y manejo, destrucción, etc)
� Revisión del presupuesto específico dentro del área de sistema
� Revisión de contrataciones de servicios externos (comunicaciones, mantenimientos de
redes y versiones de SW), análisis de documentación y justificación de los contratos
� Verificación de la confidencialidad e integridad de las bases de datos
� Monitoreo y evaluación:
• Monitorear y evaluar el desempeño de TI
� Evaluación del rendimiento de un sistema en funcionamiento
� Evaluación de las mediciones realizadas por el área de Sistemas
� Comparación de los estándares en tiempo de ejecución de la instalación con las
observaciones realizadas
� Recomendación de las modificaciones necesarias para la optimización del sistema en
funcionamiento
• Monitorear y evaluar el control interno
• Garantizar el cumplimiento regulatorio
• Proporcionar gobierno de TI
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría
Autor: Lic. Sergio Gasparroni Setiembre de 2010
Revisora: Lic. Fabiana María Riva. Página 25/25
PRESENTACIÓN DE CONCLUSIONES - INFORME FINAL DE AUDITORÍA
Previo a la Redacción del Informe Final de Auditoría, se confeccionan los borradores de las
conclusiones sobre los controles, análisis y evaluaciones realizadas por el equipo auditor. En base
a dichas conclusiones, se elaboran las recomendaciones, para evaluar conjuntamente con el cliente
las diferencias o errores de apreciación. Esto permitirá la corrección o confirmación de los
borradores y recomendaciones mencionadas.
PRESENTACIÓN DE CONCLUSIONES DE AUDITORÍA
� Se argumentan y documentan en forma objetiva las conclusiones arribadas por el equipo
auditor para evitar que sean refutadas o llevadas a niveles personales durante la discusión de lo
expuesto
� A través de la evaluación conjunta previa con el cliente de los borradores de las conclusiones,
se busca el mayor acercamiento y minimización de diferencias de apreciación a fines de lograr
un adecuado consenso y evitar en lo posible el rechazo que puede causar la Auditoría al cliente
o personal auditado
ESTRUCTURA DEL INFORME FINAL DE AUDITORÍA Y PLAN DE ACCIÓN
� Se confecciona la Carta de Introducción o Presentación del Informe Final: Consta no
más de 3 o 4 folios y solo es dirigida al responsable de la empresa a cargo de la contratación de
la Auditoría y acompañando al Informe dirigido al mismo. Los restantes destinos del cliente solo
contarán con la copia del Informe. Incluye los objetivos, naturaleza y alcance del Proyecto,
cuantificación de la importanciade las áreas analizadas, priorización y cuantificación de las
debilidades mas significativas
� Cuerpo del Informe Final:
• Definición de los objetivos, naturaleza y alcance del Proyecto
• Identificación de los entornos de aplicación de la Auditoría, detallando por cada uno de
ellos:
� Descripción de la situación actual (identificación concreta de los hechos con necesidades
de cambios o mejoras)
� Conclusiones y Tendencias (estimación en base a los parámetros relacionados)
� Puntos débiles y amenazas (detalle de consecuencias deducibles de los hechos,
repercusiones o influencias sobre otros aspectos de la Organización)
� Recomendaciones y Plan de de Acción (específicas a cada hecho y cuantificable en el
tiempo para su seguimiento y control de implementación)Materiales relacionados
176 pag.
148 pag.
97 pag.Creacion-de-software-como-herramienta-para-la-auditora-en-informatica-con-modalidad-workgroup
Intercambio de Conocimiento
54 pag.ADR_2_Cap02_AuditoriaV2011_08 - Gonzálo de la Vega S
Desafio PASSEI DIRETO
Compartir