Metodología de Auditoria
METODOLOGÍA DE AUDITORÍA INFORMÁTICA I.
INTRODUCCIÓN
Metodologí a es una secuencia de pasos Iógica y ordenada de proceder para IIegar a un resuItado. GeneraImente existen diversas formas de obtener un resuItad o determinado, y de esto se deriva Ia existencia de varias metodoIogí as para IIevar a cabo una auditoria inf ormática. EI contenido de este documento tratara en forma generaI Ias mismas, así como de manera particuIar CRMR (Computer Resource Management Review) EI ob jetivo deI traba jo práctico se divide en dos partes. En primer Iugar, describir Ias metodoIogí as de auditoría informática en forma generaI. En segundo Iugar profundizar sobre una metodoIogí a en particuIar, CRMR. En Ia primera parte se darán a conocer Ios puntos o fases que toda auditoría debe tener en cuenta. En Ia segunda parte se hará un estudio de Ia metodoIogí a eIegida para corroborar Ias concIusiones obtenidas en Ia primera parte de Ia investigación. EI traba jo constará con eI anáIisis detaIIado de tan soIo una metodoIogí a, Ia misma debe ser usada extensamente y estar disponibIe para su estudio. II. METODOLOGÍ A DE TRABAJO DE AUDITORÍ A INFORMÁTICA 2.1. Etapas de la Metodologí a EI método de d e traba jo deI auditor pasa por Ias siguientes etapas: Alcalce y objetivo de la auditoria informatica Estudio inicial del entorno auditable Determinación de los recursos necesarios para realizer la auditoria Elaboración del plan de los programas de trabajo Actividades propiamanete dicha de la auditoria Confeccion y redacción del informe final Redacción de la carta de introducción o carta de presentación del informe final
2.1.1- Fase 1 : DefiniciÓn de Alcance y Ob jetivos EI aIcance de Ia auditoría expresa Ios Ií mites de Ia misma. Debe existir un acuerdo muy preciso entre auditores y cIientes sobre Ias funciones, Ias materias y Ias organizaciones a auditar. A Ios ef ectos de acotar eI traba jo, resuIta muy beneficioso para ambas partes expresar Ias excepciones de aIcance de Ia auditoría, es decir cuaIes materias, funciones u organizaciones no van a ser auditadas. Tanto Ios aIcances como Ias excepciones deben figurar aI comienzo deI Inf orme FinaI. Las personas que reaIizan Ia auditoría han de conocer con Ia mayor exactitud posibIe Ios ob jetivos a Ios que su tarea debe IIegar. Deben comprender Ios ijadas puedan ser deseos y pretensiones deI cIiente, de f orma que Ias metas f j cumpIidas. Una vez definidos Ios ob jetivos (ob j etivos específicos), éstos se añadirán a Ios ob jetivos generaIes y comunes de a toda auditoría Inf ormática: La operatividad de Ios Sistemas y Ios ControIes GeneraIes de Gestión Inf ormática.
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
2.1.2- Fase 2: Estudio Inicial Para reaIizar dicho estudio ha de examinarse Ias funciones y actividades generaIes de Ia inf ormática. Para su reaIización eI auditor debe conocer Io siguiente: Organización: Para eI equipo auditor, eI conocimiento de quién ordena, quién diseña ijarse y quién e jecuta es fundamentaI. Para reaIizar esto en auditor deberá f j en: 1) Organigrama: EI organigrama expresa Ia estructura oficiaI de Ia organización a aud itar. Si se descubriera que existe un organigrama f áctico diferente aI oficiaI, se pondrá de manif iesto taI circunstancia. 2) Departamentos: Se entiende como departamento a Ios órganos que siguen inmediatamente a Ia Dirección. EI equipo auditor describirá brevemente Ias funciones de cada uno de eIIos. 3) Relaciones Jerárquicas y funcionales entre órganos de la Organización: EI equipo auditor verificará si se cumpIen Ias reIaciones funcionaIes y Jerárquicas previstas por eI organigrama, o por eI contrario detectará, por e jemp Io, si aIgún empIeado tiene dos jef es. Las de Jerarquía impIican Ia correspondiente subordinación. Las funcionaIes por eI contrario, indican reIaciones no estrictamente subordinabIes. 4) Flu jos de Inf ormación: Además de Ias corrientes verticaIes intradepartamentaIes, Ia estructura organizativa cuaIq uiera que sea, produce corrientes de información horizontaIes y obIicuas extradep artamentaIes. f Iu jos de información entre Ios grupos de una organización son necesarios para su ef iciente gestión, siempre y cuando taIes corrientes no distorsionen eI propio organigrama. Los
En ocasiones, Ias organizaciones crean esp ontáneamente canaIes aIternativos de información, sin Ios cuaIes Ias funciones no podrían e jercerse con ef icacia; estos canaIes aIternativos se producen porque hay pequeños o grandes faIIos en Ia estructura y en eI organigrama que Ios representa. Otras veces, Ia aparición de f Iu jos de información no previstos obedece a afinidades personaIes o simpIe comodidad. Estos f Iu jos de información son indeseabIes y producen graves p erturbaciones en Ia organización.
5) Número de Puestos de traba jo EI equipo auditor comprobará que Ios nombres de Ios Puesto de Ios jo de Ia organización corresponden a Ias funciones reaIes Puestos de Traba
distintas.
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
frecuente que ba jo nombres diferentes se reaIicen funciones idénticas, Io cuaI indica Ia e xistencia de funciones op erativas red undantes. Es
situación pone de manifiesto deficiencias estructuraIes; Ios auditores darán a conocer taI circunstancia y expresarán eI número de puestos de trab a jo verdaderamente dif erentes. Esta
6) Número de personas por Puesto de Traba jo Es un parámetro que Ios auditores informáticos deben considerar. La
inadecuación deI personaI determina que eI número de personas que reaIizan Ias mismas funciones rara vez coincida con Ia estructura oficiaI de Ia organización. 2.1.3- Fase 3: Entorno Operacional EI equipo de auditoría informática debe poseer una adecuada referencia deI entorno en eI que va a desenvoIverse. Este
conocimiento previo se Iogra determinando, fundamentaImente, Ios siguientes extremos: a. Situación geográfica de Ios Sistemas: Se determinará Ia ubicación geográfica de Ios distintos Centros de Proceso de Datos en Ia empresa. A continuación, se verificará Ia existencia de responsabIes en cada unos de eIIos, así como eI uso de Ios mismos estándares de traba jo.
b. Arquitectura y configuración de Hardware y Sof tware: Cuando existen varios equipos, es f und amentaI Ia configuración eIegida para cada uno de eIIos, ya que Ios mismos deben constituir un sistema comp atibIe e intercomunicado. La configuración de Ios sistemas esta muy Iigada a Ias poIí ticas de seguridad Iógica de Ias compañí as.
estudio iniciaI, deben tener en su poder Ia distribución e interconexión de Ios equipos. Los
auditores,
en
su
c. Inventario de Hardware y Sof tware: EI auditor recabará información escrita, en donde figuren todos Ios eIementos físicos y Iógicos de Ia instaIación. En cuanto a Hardware figurarán Ias CPUs, unidades de controI IocaI y remotas, periféricos de todo tipo, etc.
EI inventario de software debe contener todos Ios productos Iógicos deI Sistema, desde eI software básico hasta Ios programas de utiIidad adquiridos o desarroIIados internamente. SueIe ser habituaI cIasificarIos en f acturabIes y no f acturabIes.
d. Comunicación y Redes de Comunicación: En eI estudio iniciaI Ios auditores dispondrán deI número, situación y caracterí sticas principaIes de Ias Iíneas, así como de Ios accesos a Ia red púbIica de comunicaciones. IguaImente, poseerán información de Ias Redes LocaIes de Ia Empresa.
Aplicaciones bases de d atos y f icheros EI estudio iniciaI que han de reaIizar Ios auditores se cierra y cuImina con una idea generaI de Ios procesos informáticos reaIizados en Ia empresa
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria auditada. Para eIIo
a)
deberán conocer Io siguiente:
VoIumen, antigüedad y compIe jidad de Ias ApIicaciones
b) MetodoIogí a deI Diseño Se cIasificará gIobaImente Ia existencia totaI o parciaI de metodoIogía en eI desarroIIo de Ias apIicaciones. Si se han utiIizados varias a Io Iargo deI tiempo se pondrá de manifiesto.
c)
Documentación La existencia de una adecuada documentación de Ias apIicaciones proporciona benef icios tangibIes e inmediatos muy importantes. programas La documentación de mantenimiento de Ios mismos.
d)
disminuye
gravemente
eI
Cantidad y compIe jidad de Bases de Datos y Ficher os. EI auditor recabará información de tamaño y caracterí sticas de Ias
Bases de Datos, cIasificándoIas en reIación y jerarq uí as. HaIIará un promedio de número de accesos a eIIas por hora o días. Esta operación se repetirá con Ios ficheros, así como Ia frecuencia de a ctuaIizaciones de Ios mismos.
datos proporcionan una visión aceptabIe de Ias caracterí sticas de Ia carga inf ormática. Estos
2.1.4- Fase 4: DeterminaciÓn de recursos de la Auditorí a Inf ormática Mediante Ios resuItados deI estudio iniciaI reaIizado se procede a determinar Ios recursos humanos y materiaIes que han de empIearse en Ia auditorí a. - Recursos humanos - Recursos materiaIes Es muy importante su determinación, por cuanto Ia mayoría de eIIos son proporcionados por eI cIiente. Las herramientas de software propias deI equipo van a utiIizarse iguaImente en eI sistema auditado, por Io que han de convenirse en Io posibIe Ias fechas y horas de uso entre eI auditor y cIiente. Los recursos materiaIes deI auditor son de dos tipos:
a. Recursos materiaIes Sof tware Son muy potentes y FIexibIes. Progr amas propios de la auditorí a: HabituaImente se añaden a Ias e jecuciones de Ios procesos deI cIiente para verif icarIos. Monitores: Se utiIizan en función deI grado de desarroIIo observado en Ia actividad de Técnica de Sistemas deI auditado y de Ia cantidad y caIidad de Ios datos ya existentes.
b. Recursos materiaIes Hardware Los recursos hardware que eI auditor necesita son proporcionados por eI cIiente. Los procesos de controI deben ef ec tu ar se necesariamente en Ias Computadoras deI auditado. Para Io cuáI habrá de convenir eI, tiempo de maquina, espacio disco, impresoras ocupadas, etc.
de
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
Recursos Humanos La cantidad de recursos depende deI voIumen auditabIe. Las caracterí sticas y perfiIes deI personaI seIeccionado depende de Ia materia audit abIe. Es iguaImente señaIabIe que Ia auditoría en generaI sueIe ser e jercida por prof esionaIes universitarios y por otras personas de probada experiencia muItidiscipIinaria.
Perfiles Profesionales de los auditores informÁticos Profesión
Actividades y conocimientos deseables Con experiencia ampIia en ramas distintas. Es deseabIe que su Iabor se haya desarroIIado en ExpIotación y en DesarroIIo de Proyectos. Conocedor de Sistemas. responsabIe AmpIia experiencia como de proyectos. Experto anaIista. Conocedor de Ias metodoIogí as de DesarroIIo más importantes. en Operativos y Sistemas Experto
Inf ormático en generaI
Experto
en DesarroIIo de
Proyectos
Sof tware Básico. Conocedor de Ios productos equivaIentes en eI mercado. AmpIios conocimientos de ExpIotación.
Técnico de Sistemas
Experto
en Bases de Administración de Ias mismas.
Experto
en
Datos
Sof tware
y
de
Co municación
Experto
en ExpIotación y Gestión de CPD´S
Con experiencia en eI mantenimiento de Bases de Datos. Conocimiento de productos compatibIes y eq uivaIentes. Buenos conocimientos de expIotación
AIta especiaIización dentro de Ia técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teIeproceso.
ResponsabIe de aIgún Centro de Computos. AmpIia experiencia en Automatización de traba jos. Experto en reIaciones humanas. Buenos conocimientos de Ios sistemas. Experto
Técnico de Organización
Técnico de evaIuación de Costes
coordinador. y organizador jos de EspeciaIista en eI anáIisis de f Iu inf ormación Econo mista
con conocimiento Inf ormática. Gestión de costes.
de
ELABORACION DEL PLAN DE LOS PROGRAMAS DE TRABAJO Una vez asignados Ios recursos, eI responsabIe de Ia auditoría y sus coIaboradores estab Iecen un pIan de traba jo. Decidido éste, se procede a Ia programación deI mismo.
EI pIan se eIabora teniendo en cuenta, entre otros criterios, Ios siguientes: a)
Si Ia Revisión debe reaIizarse por áreas generaIes o áreas específicas. En eI primer caso, Ia eIaboración es más compIe ja y costosa.
b)
Si Ia auditoría es gIobaI, de toda Ia Inf ormática, o parciaI. EI voIumen determina no
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
soIamente eI número de aud itores necesarios, sino Ias especiaIidades necesarias deI personaI. •
• •
• • •
PIan no se consideran caIendarios, porque se mane jan recursos genéricos y no especí f icosÇ En eI PIan se estabIecen Ios recursos y esfuerzos gIobaIes que van a ser necesarios En eI PIan se estabIecen Ias prioridades de materias auditabIes, de acuerdo siempre con Ias prioridades deI cIiente. EI PIan estabIece disponibiIidad futura de Ios recursos durante Ia revisión. EI PIan estructura Ias tareas a reaIizar por cada integrante deI grupo. En eI PIan se expresan tod as Ias ayudas que eI auditor ha de recibir deI aud itado. En
eI
Una vez eIaborado eI PIan, se procede a Ia Programación de actividades. Esta ha de ser Io suficientemente como para permitir modificaciones a Io Iargo deI proyecto.
2.1.5- Fase 5: Actividades de la Auditorí a Inf ormÁtica Auditoria por temas generales o por áreas especificas : La auditoría Inf ormática generaI se reaIiza por áreas generaIes o por áreas específicas. Si se examina por grandes temas, resuIta evidente Ia mayor caIidad y eI empIeo de más tiempo totaI y mayores recursos. Cuando Ia auditoría se reaIiza por áreas específicas, se abarcan de una vez todas Ias pecuIiaridades que af ectan a Ia misma, de forma que eI resuItado se obtiene más rápidamente y con menor caIidad.
Técnicas de Traba jo:
-
AnáIisis de Ia información recabada deI auditada AnáIisis de Ia información propia Cruzamiento de Ias informaciones anteriore Entrevistas SimuIación Muestreos
Herramientas: - Cuestionario generaI iniciaI - Cuestionario CheckIist - Estándares - Monitore
-
SimuIadores (Generadores de datos) Paquetes de auditoría (Generadores de Programas) Matrices de riesgo
2.1.6- Fase 6: Inf orme Final La función de Ia auditoría se materiaIiza excIusivamente por escrito. Por Io tanto Ia eIaboración finaI es eI exponente de su caIidad.
evidente Ia necesidad de redactar borradores e informes parciaIes previos aI inf orme finaI, Ios que son eIementos de contraste entre opinión entre auditor y aud it ado y que pueden descubrir faIIos de apreciación en eI auditor. ResuIta
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
ESTRUCTURA EL INFORME FINAL EI informe comienza con Ia fecha de comienzo de Ia auditoría y Ia fecha de redacción deI mismo. Se incIuyen Ios nombres deI equipo auditor y Ios nombres de todas Ias personas entrevistadas, con indicación de Ia jef atura, responsabiIidad y puesto de traba jo que ostente. - Definición de ob jetivos y alcance de la auditorí a. - Enumeración de temas considerados: Antes de tratarIos con profundidad, se enumerarán Io más exhaustivamente posibIe todos Ios temas ob jeto de Ia aud itorí a.
-
Cuerpo expositivo: Para cada tema, se seguirá eI siguiente orden a saber: a) S ituación actuaI. Cuando se trate de una revisión periódica, en Ia que se anaIiza no soIamente una situación sino además su evoIución en eI tiempo, se expondrá Ia situación prevista y Ia situación reaI b) Tendencias. Se tratarán de haIIar parámetros que permitan estabIecer tendencias f uturas. c) Puntos débiIes y amenazas d) Recomendaciones y pIanes de acción. Constituyen junto con Ia exposición de puntos débiIes, eI verdadero ob jetivo de Ia auditoría inf ormática. e) Redacción posterior de Ia Carta de Introd ucción o Presentación. MODELO CONCEPTUAL DE LA ESPOSICIÓN DEL INFORME FINAL
-
El informe debe incluir solamente hechos important es. La incIusión de hechos poco reIevantes o accesorios desvía Ia atención deI Iector. El Inf orme debe consolidar los hechos que se describen en el mismo. EI término de "hechos consoIidados" adquiere un especiaI significado de verificación ob jetiva y de estar documentaImente probados y soportados. La consoIidación de Ios hechos debe satisf acer, aI menos Ios siguientes criterios: 1. 2. 3. 4.
EI hecho debe poder ser sometido a cambios. Las venta jas deI cambio deben superar Ios inconvenientes derivados de mantener Ia situación. No deben existir aIternativas viabIes que superen aI cambio prop uesto. La recomendación deI auditor sobre eI hecho debe mantener o me j orar Ias normas y estándares existentes en Ia instaIación.
La aparición de un hecho en un informe de auditoría impIica necesariamente Ia existencia de una debiIidad que ha de ser corregida. FIu jo
deI hecho o debiIidad: 1 Hecho encontrado - Ha de ser reIevante para eI auditor y pera eI cIiente - Ha de ser exacto, y además convincente. - No deben existir hechos repetidos. –
2
–
3
–
Consecuencias del hecho - Las consecuencias deben redactarse de modo que sean directamente deducibIes deI hecho.
Repercusión del hecho - Se redactará Ias infIuencias d irectas que eI hecho pueda otros aspectos informáticos u otros ámbitos de Ia empresa.
tener sobre
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria 4
5
–
–
Conclusión del hecho - No deben redactarse concIusiones más que exposición haya sido muy extensa o compIe ja.
en
Ios casos
en
que
Ia
Recomendación del auditor inf ormático - Deberá entenderse por sí soIa, por simpIe Iectura. - Deberá estar suficientemente soportada en eI propio texto. - Deberá ser concreta y exacta en eI tiempo, para que pueda ser verificada su impIementación. - La recomendación se redactará de forma que vaya dirigida expresamente a Ia persona o personas que puedan impIementarIa.
2.1.7- Fase 7: Carta de IntroducciÓn o PresentaciÓn del Inf orme Final La carta de introducción tiene especiaI importancia porque en eIIa ha de resumirse Ia auditoría reaIizada. Se destina excIusivamente aI responsabIe máximo de Ia empresa, o a Ia persona concreta que encargo o contrato Ia aud itorí a. Así como pueden existir tantas copias deI informe FinaI como soIicite eI cIiente, Ia auditoría no hará copias de Ia citada carta de Introd ucción. La carta de introducción poseerá Ios siguientes atributos: Tendrá como máximo 4 f oIios IncIuirá fecha, naturaIeza, ob jetivos y aIcance Cuantif icará Ia importancia de Ias áreas anaIizadas. Pro po rcio nará una concIusión generaI, concretando Ias áreas de gran debiIidad. Presentará Ias debiIidades en orden de importancia y gravedad.
• • • •
•
En Ia carta de Introducción no se escribirán nunca recomendaciones .
2.2- Herramientas y TÁcnicas para la Auditorí a Inf ormÁtica - Cuestionarios - Entrevistas - CheckIist - Trazas y/o HueIIas - Sof tware de interrogación Cuestionarios Las auditorí as informáticas se materiaIizan recabando información y documentación de todo tipo. Los informes finaIes de Ios auditores dependen de sus capacidades para anaIizar Ias situaciones de debiIidad o f ortaIeza de Ios diferentes entornos. EI traba jo de campo deI auditor consiste en Iograr toda Ia información necesaria para Ia emisión de un juicio gIobaI ob jetivo, siempre amparado en hechos demostrabIes, IIamados también evidencias. Para esto, sueIe ser Io habituaI comenzar soIicitando Ia cumpIimentación de cuestionarios preimpresos que se envían a Ias personas concretas que eI auditor cree adecuadas, sin que sea obIigatorio que dichas personas sean Ias responsabIes oficiaIes de Ias diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repe tidos para instaIaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su f orma. Sobre esta base, se estudia y anaIiza Ia documentación recibida, de modo que taI anáIisis determine a su vez Ia información que deberá eIaborar eI propio auditor. EI cruzamiento de ambos tipos de información es una de Ias bases f undamentaIes de Ia auditorí a. Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria Cabe acIarar, que esta primera fase puede omitirse cuando Ios auditores hayan adquirido p or otro medios Ia información que aqueIIos preimpresos hubieran proporcionado.
Entrevistas EI auditor comienza a continuación Ias reIaciones personaIes con eI auditado. Lo hace de tres f ormas: 1. 2. 3. 4.
Mediante la petición de documentación concreta sobre alguna material de su responsabilid ad. Med iante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de Ias actividades personaIes más importante deI auditor; en eIIas, éste recoge más información, y me jor matizada, que Ia proporcionada por medios propios p uramente técnicos o por Ias respuestas escritas a cuestionarios. Aparte de aIgunas cuestiones menos importantes, Ia entrevista entre auditor y auditado se basa fundamentaImente en eI concepto de interrogatorio; es Io que hace un auditor, interroga y se interroga a sí mismo. EI auditor informático auditado siguiendo un cuidadoso sistema previamente experto entrevista aI estabIecido, consistente en que ba jo Ia forma de una conversación correcta y Io menos tensa posibIe, eI auditad o conteste senciIIamente y con puIcritud a una serie de preguntas variadas, también senciIIas. Sin embargo, esta senciIIez es soIo aparente. Tras eIIa debe existir una preparación muy eIaborada y sistematizad a, y que es diferente para cada caso
particuIar.
Checklist EI auditor profesionaI y experto es aquéI que reeIabora muchas veces sus cuestionarios en función de Ios escenarios auditad os. Tiene cIaro Io que necesita saber, y por qué. Sus c uestionarios son vitaIes para eI traba jo de anáIisis, cruzamiento y sí ntesis posterior, Io cuaI no quiere decir que haya de someter aI aud itado a unas preguntas estereotipad as que no conducen a nada. Muy por eI contrario, eI auditor conversará y
preguntas "normaIes", que en reaIidad servirán para Ia cumpIimentación sistemática de sus Cuestionarios, de sus CheckIists. Hay opiniones que descaIifican eI uso de Ios CheckIists, ya que consideran que IeerIe una piIa de preguntas recitadas de memoria o Ieídas en voz aIta descaIifica aI auditor informático. Pero esto no es usar CheckIists, es una evidente faIta de profesionaIismo. EI profesionaIismo pasa por un procesamiento interno de información a fin de obtener y respuestas coherentes que permitan una correcta descripción de puntos débiIes fuertes. EI profesionaIismo pasa por poseer preguntas muy estudiadas que han de formuIarse f IexibIemente. EI con junto de estas preguntas recibe eI nombre de CheckIist. SaIvo excepciones, Ias CheckIists deben ser co ntestad as oraImente, ya que superan en riqueza y generaIización a cuaIquier otra f orma. Según Ia cIaridad de Ias pregunt as y eI taIante deI auditor, eI auditado responderá distintas y disposición muy variabIe. EI auditado, desde posiciones muy con habituaImente inf ormático de profesión, percibe con cierta faciIidad eI perfiI técnico y Ios conocimientos deI auditor, precisamente a través de Ias pregunt as que éste Ie formuIa. Esta percepción configura eI principio de autoridad y prestigio que eI auditor debe poseer. hará
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
Por eIIo, aun siendo importante tener eIaboradas Iistas de preguntas muy sistematizadas, coherentes y cIasificadas por materias, todaví a Io es más eI modo y eI orden de su f ormuIación. Las empresas externas de Auditorí a Inf ormática guardan sus CheckIists, pero de poco sirven si eI auditor no Ias utiIiza adecuada y oportunamente. No debe oIvidarse que Ia función auditora se e jerce sobre bases de autoridad, prestigio y ética. EI auditor deberá apIicar Ia CheckIist de modo que eI aud itado responda cIara y escuetamente. Se deberá interrumpir Io menos posibIe a éste, y soIamente en Ios casos en que Ias resp uestas se aparten sustanciaImente de Ia pregunta. En aIgunas ocasiones, se hará necesario invitar a aquéI a que exponga con mayor ampIitud un tema concreto, y en cuaIquier caso, se deberá evitar absoIutament e Ia presión sobre eI mismo. AIgunas de Ias preguntas de Ias CheckIists utiIizadas para cada sector, deben ser repetidas. En efecto, ba jo apariencia distinta, auditor formuIará preguntas eI eq uivaIentes a Ias mismas o a distintas personas, en Ias mismas fechas, o en fechas diferentes. De este modo, se pod rán descubrir con mayor faciIidad Ios puntos contradictorios; eI auditor deberá anaIizar Ios matices de Ias respuestas y reeIaborar preguntas compIementarias cuando hayan existido contradicciones, hasta conseguir Ia homogeneidad. EI entrevistado no debe percibir un excesivo formaIismo en Ias preguntas. EI auditor, por su parte, tomará Ias notas imprescindibIes en presencia deI auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia. Los cuestionarios o CheckIists responden fundamentaImente a dos tipos de "fiIosofía" de caIificación o evaIuación: a. Checklistderango Contie ne preg untas que eI auditor debe puntuar dentro de un rango preestabIecido (por e jempIo, de 1 a 5, siendo 1 Ia respuesta más negativa y eI 5 eI vaIor más positivo) E jemplodeChecklist derango:
Se supone que se está reaIizando una auditoría sobre Ia seguridad física de una instaIación y, dentro de eIIa, se anaIiza eI controI de Ios accesos de personas y cosas aI Centro de Co mputo s. Podrían formuIarse Ias preguntas que figuran a co ntinuació n, en donde Ias respuestas tiene Ios siguientes signif icados: 1 2 3 4 5
: Muy def iciente : Def iciente : Me jorabIe : AceptabIe : Correcto
Se figuran posibIes respuestas de Ios auditados. Las preguntas deben sucederse sin que parezcan cIasificadas previamente. Basta con que eI auditor IIeve un pequeño guión. La cumpIimentación deI CheckIist no debe reaIizarse en presencia deI auditado.
personal específico de vigilancia externa al edif icio? -No, soIamente un guardia por Ia noche que atiend e además otra instaIación adyacente.
!Existe
Para la vigilancia interna del edificio, iHay al menos un vigilante por turno en los aledaños del Centro de Computos? -Si, pero sube a Ias otras 4 pIantas cuando se Ie necesita.
salida de emergencia ademÁs de la habilitada para la entrada y salida de mÁquinas? -Si, pero existen ca jas apiIadas en dicha puerta. AIgunas veces Ias quitan. iHay
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
El personal de Comunicaciones, iPuede entrar directamente en la Sala de Computadoras? -No, soIo tiene tar jeta eI Jefe de Comunicaciones. No se Ia da a su gente mas que por causa muy justif icad a, y avisando casi siempre aI Jefe de ExpIotación. EI resuItado sería eI promedio de Ias puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Def iciente.
b. ChecklistBinario Es eI constituido por preguntas con respuesta única y excIuyente: Si o No. Aritméticamente, equivaIen a 1(uno) o O(cero), resp ectivamente.
jemplodeChecklistBinario: E Se supone que se está reaIizando una Revisión de Ios métodos de pruebas de programas en eI ámbito de DesarroIIo de Proyectos. iExiste
Normativa de que el usuario final compruebe los resultados finales
de los programas?
el personal de Desarrollo la existencia de la anterior normativa? iCo noce
aplica dicha norma en todos los casos? iSe
iExiste
una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales?
Obsérvese como en este caso están co ntestadas Ias siguientes p reguntas: iSe conoce la norma anteri or? iSe
aplica en todos los casos?
Los CheckIists de rango son adecuadas si eI equipo auditor no es muy grande y mantiene criterios uniformes y equivaIentes en Ias vaIoraciones. Permiten una mayor precisión en Ia evaIuación que en eI checkIist binario. Sin embargo, Ia bondad deI método depende excesivamente de Ia formación y competencia deI equipo auditor. Los CheckIists Binarios siguen una eIaboración iniciaI mucho más ardua y compIe ja. Deben ser de gran precisión, como corresponde a Ia suma precisión de Ia respuesta. Una vez construidos, tienen Ia venta ja de exigir menos uniformidad deI equipo auditor y eI inconveniente
genérico deI frente a Ia mayor riqueza deI
intervaIo. No existen CheckIists estándar para todas y cada una de Ias instaIaciones informáticas a auditar. Cada una de eIIas posee pecuIiaridades que hacen necesarios Ios retoques de
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
adaptación correspondientes en Ias preguntas a reaIizar. Trazas y/o Huellas Con frecuencia, eI auditor informático debe verificar que Ios programas, tanto de Ios Sistemas como de usuario, reaIizan exactamente Ias funciones previstas, y no otras. Para eIIo se apoya en productos Sof tware muy potentes y moduIares que, entre otras funciones, rastrean Ios caminos que siguen Ios datos a través deI programa. Muy especiaImente, estas "Trazas" se utiIizan para comprobar Ia e jecución de Ias vaIidaciones de datos previstas. Las mencionadas trazas no deben modificar en absoIuto eI Sistema. Si Ia herramienta auditora produce incrementos apreciabIes de carga, se convendrá de antemano Ias fechas y horas más adecuadas para su empIeo.
Por Io que se refiere aI anáIisis deI Sistema, Ios auditores informáticos empIean productos que comprueban Ios vaIores asignados por Técnica de Sistemas a cada uno de Ios parámetros variabIes de Ias Librerías más importantes deI mismo. Estos parámetros variabIes deben estar dentro de un intervaIo marcado por eI fabricante. A modo de e jempIo, aIgunas instaIaciones descompensan eI número de iniciadores de traba jos de determinado s entornos o toman criterios especiaImente restrictivos o permisivos en Ia asignación de unidades de servicio para según cuaIes tipos carga. Estas actuaciones, en principio útiIes, pueden resuItar contraproducentes si se traspasan Ios Ií mites. No obstante Ia utiIidad de Ias Trazas, ha de repetirse Io expuesto en Ia descripción de Sistemas: eI auditor informático empIea Ia auditoría informática de preferentemente Ia ampIia información que proporciona eI propio Sistema: Así, Ios ficheros de “Accounting” o de “contabiIidad”, en donde se encuentra Ia producción compIeta de aquéI, y Ios “Log” de dicho Sistema, en donde se recogen Ias modificaciones de datos y se pormenoriza Ia actividad generaI. DeI mismo modo, eI Sistema genera automáticamente exacta información sobre eI tratamiento de errores de maquina centraI, periféricos, etc.
convencionaI empIea trazas con mucha frecuencia. Son programas encaminados a verificar Io correcto de Ios cáIcuIos de nóminas, primas, etc. La
auditoría
f inanciero-contabIe
Sof tware de InterrogaciÓn Hasta hace ya aIgunos años se han utiIizad o productos software IIamados genéricamente “paquetes de auditoría”, capaces de generar programas para auditores escasamente cuaIif icados desde eI punto de vista inf ormático. Más tarde, dichos productos evoIucionaron hacia Ia obtención de muestreos estadí sticos que permitieran Ia obtenció n de consecuencias e hipótesis de Ia situación reaI de una instaIación. En Ia actuaIidad, Ios productos Sof tware especiaIes para Ia auditoría informática se orientan principaImente hacia Iengua jes que permiten Ia interrogación de ficheros y bases de datos de Ia empresa auditada. Estos p roductos son utiIizados soIamente por Ios auditores externos, por cuanto Ios internos disponen deI software nativo propio de Ia instaIación.
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria DeI
mismo modo, Ia proIiferación de
Servidor", han IIevado a Ias firmas de
Ias redes IocaIes y de
software a desarroIIar
Ia fiIosofía "CIiente-
interf aces de
transporte
de datos entre computadoras personaIes y mainframe, de modo que eI auditor informático copia en su propia PC Ia información más reIevante para su trab a jo. Cabe recordar, que en Ia actuaIidad casi todos Ios usuarios finaIes poseen inf ormación parciaI generada por Ia organización informática de Ia Comp añí a.
datos e
conectad os como terminaIes aI "Host", aImacenan Ios datos proporcionados por este, que son tratados posteriormente en modo PC. EI auditor se ve obIigado (naturaImente, dependiendo deI aIcance de Ia auditoría) a recabar información de Ios mencionados usuarios finaIes, Io cuaI puede reaIizar con suma faciIidad con Ios poIivaIentes productos descritos. Con todo, Ias opiniones más autorizadas indican que eI trab a jo de campo deI auditor informático debe reaIizarse principaImente con Ios productos deI cIiente. FinaImente, ha de indicarse Ia conveniencia de que eI auditor confeccione perso naImente determinadas partes deI Inf orme. Para eIIo, resuIta casi imprescindibIe una cierta soItura en eI mane jo de Procesadores de Texto, paquetes de Gráficos, Ho jas de CáIcuIo, etc. Ef ectivamente,
3- CRMR (Computer Resource Management Review) - Definición de Ia MetodoIogí a CRMR - Areas de apIicación - Ob jetivos - AIcance - Inf ormación necesaria para Ia evaIuación deI CRMR - Inf ormación necesaria para Ia reaIización deI CRMR - Caso práctico de una Auditorí a de Seguridad Inf ormática "CicIo de Seguridad"
3.1- Definición de la Metodologí a CRMR CRMR son Ias sigIas de “Computer resource management review”, su traducción más adecuad a, EvaIuación de Ia gestión de recursos informáticos. En cuaIquier caso, esta terminoIogí a quiere d estacar Ia posibiIidad de reaIizar una evaIuación de eficiencia de utiIización de Ios recursos por medio deI management. Una revisión de esta naturaIeza no tiene en sí misma eI grado de profundidad de una auditoría informática gIobaI, pero proporciona soIuciones más rápidas a probIemas concretos y notorios.
Supuestos de aplicación En función de Ia definición dada, Ia metodoIogí a abreviada CRMR es apIicabIe más a def iciencias organizativas y gerenciaIes que a probIemas de tipo técnico, pero no cubre cuaIquier área de un Centro de Procesos de Datos. EI método CRMR puede apIicarse cuando se producen aIgunas de Ias situaciones que se citan:
Se detecta una maIa respuesta a Ias peticiones y necesidades de Ios usuarios. Los resuItados deI Centro de Procesos de Datos no están a disposición de Ios usuarios en eI momento oportuno Se genera con aIguna frecuencia información errónea por faIIos de datos o proceso. Existen sobrecargas frecuentes de capacidad de proceso. Existen co stes excesivos de proceso en eI Centro de Proceso de Datos.
Ef ectivamente,
son
éstas y
no
otras Ias
situaciones que
eI
auditor
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
encuentra con mayor frecuencia. Aunque pueden existir f actores técnicos que causen Ias debiIidades descritas, hay que convenir en Ia mayor incidencia de faIIos de gestión. informático
3.2- Areas de Aplicación Las áreas en que eI método CRMR puede ser apIicado se corresponden con Ias su jetas a Ias condiciones de apIicación señaIadas en punto anterior: - Gestión de Datos - ControI de Operaciones - ControI y utiIización de recursos materiaIes y humanos - Interf aces y reIaciones con usuarios - PIanif icación - Organización y administración Ciertamente, eI CRMR no es adecuado para evaIuar Ia procedencia de adquisición de nuevos equipos (Capacity PIanning) o para revisar muy a fondo Ios caminos crí ticos o Ias hoIguras de un Proyecto compIe jo.
3.3- Ob jetivos CRMR tiene como ob jetivo f und amentaI evaIuar eI grado de bondad o ineficiencia de Ios procedimientos y métodos de gestión que se observan en un que se emitan como Centro de Proceso de Datos. Las Recomendaciones resuItado de Ia apIicación deI CRMR, tendrán como finaIidad aIgunas de Ias que se reIacionan: - Identif icar y f ijar responsabiIidades - Me jorar Ia fIexibiIidad de reaIización de actividades - Aumentar Ia productividad - Disminuir costes - Me jorar Ios métodos y procedimientos de Dirección
3.4- Alcance Se f j i arán Ios Ií mites que abarcará eI CRMR, antes de comenzar eI traba jo. Se estabIecen tres cIases: 1. Reducido. EI resuItado consiste en señaIar Ias áreas de actuación con potenciaIidad inmediata de obtención de benef icios. 2. Medio. En este caso, eI CRMR ya estabIece concIusiones y Recomendaciones, taI y como se hace en Ia auditoría informática ordinaria. de Acción, aportando técnicas de 3. AmpIio. EI CRMR incIuye PIanes impIementación de Ias 4. Recomendaciones, a Ia par que desarroIIa Ias concIusiones. 3.5- Inf ormaciÓn necesaria para la evaluaciÓn del CRMR Se determinan en este punto Ios requisitos necesarios para que esta simbiosis de auditoría y consuItorí a pueda IIevarse a cabo con éxito. 1. EI traba jo de campo deI CRMR ha de reaIizarse compIetamente integrado en Ia estructura deI Centro de Proceso de Datos deI cIiente, y con Ios recursos de éste. 2. Se deberá cumpIir un detaIIado programa de traba jo por tareas. 3.
1.
EI auditor-consuItor recabará determinada información necesaria deI cIiente.
Se tratan a continuación Ios tres requisitos expuestos: Integración del auditor en el Centro de Procesos de Datos a revisar No debe oIvidarse que se están evaIuando actividades desde eI punto de vista gerenciaI. EI contacto permanente deI auditor con eI traba jo ordinario deI Centro de Proceso de Datos permite a aquéI determinar eI tipo de esquema organizativo que se sigue.
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria 2.
Programa de
traba jo clasificado por tareas Todo trab a jo habrá de ser descompuesto en tareas. Cada u n a se someterá a Ia siguiente sistemática:
de eIIas
. Identif icación de Ia tarea
-
Descripción de Ia tarea Descripción de Ia función de dirección incorrectamente. sugerencias Descripción de venta jas,
cuando Ia tarea se reaIiza y
beneficios
que
puede
cambio o modificación de tarea Test para Ia evaIuación de Ia práctica directiva en reIación con Ia tarea PosibiIidades de agrupación de tareas A justes en función de Ias pecuIiaridades de un departamento concreto Registro de resuItados, concIusiones y Reco mendacio nes. originar un
-
3.6- Inf ormaciÓn necesaria para la realizaciÓn del CRMR EI cIiente es eI que faciIita Ia información que eI auditor contrastará con su traba jo de campo. Se exhibe a continuación una CheckIist comp Ieta de Ios datos necesarios para confeccionar eI CRMR: Datos de mantenimiento preventivo de Hardware Inf ormes de anomaIías de Ios sistemas Proce dimientos estándar de actuaIización. • Proce dimientos de e mergencia. • Monitoreo de Ios Sistemas. • • Inf ormes deI rendimiento de Ios Sistemas. Mantenimiento de Ias Librerías de Programas. • Gestión de Espacio en disco. • Documentación de entrega de ApIicaciones a ExpIotación. • Documentación de aIta de cadenas en ExpIotación. • UtiIización de CPU, canaIes y discos. • Datos de paginación de Ios Sistemas. • VoIumen totaI y Iibre de aImacenamiento. • Ocupación media de disco. • ManuaIes de Procedimientos de ExpIotación. • • •
información cubre ampIiamente eI espectro deI CRMR y permite e jercer eI seguimiento de Ias Recomendaciones reaIizadas. Esta
3.7. Caso Práctico de una Auditorí a de Seguridad Inf ormÁtica "Ciclo de Seguridad" A continuación, un caso de auditoría de área generaI para proporcionar una visión más desarroIIada y ampIia de Ia función auditora. Es una auditoría de Seguridad Inf ormática que tiene como misión revisar tanto Ia seguridad física deI Centro de Proceso de Datos en su sentido más ampIio, como Ia seguridad Iógica de datos, procesos y funciones informáticas más importantes de aquéI.
Ciclo de Seguridad EI ob jetivo de esta auditoría de seguridad es revisar Ia situación y Ias cuotas de eficiencia de Ia misma en Ios órganos más importantes de Ia estructura inf ormática.
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
Para eIIo, se f ijan Ios supuestos de partid a: EI área aud itad a es Ia Seguridad. EI área a auditar se divide en: Segmentos. Los segmentos se dividen en: Seccio nes. Las secciones se dividen en: Subsecciones. De este modo Ia auditoría se reaIizara en 3 niveIes. Los segmentos a auditar, son: Segmento 1: Seguridad de cumpIimiento de normas y estándares Segmento 2: Seguridad de Sistema operativo Segmento 3: Seguridad de Sof tware. Segmento 4: Seguridad de Comunicaciones. Segmento 5: Seguridad de Base de Datos. Segmento 6: Seguridad de Proceso. Segmento 7: Seguridad de ApIicaciones. Segmento 8: Seguridad Fí sica. • • • • • • • •
Se darán Ios resuItados gIobaIes de todos Ios segmentos y se reaIizará un tratamiento exhaustivo deI Segmento 8, a niveI de sección y subsección.
EI siguiente e jempIo se puede desarroIIar en 4 fases bien dif erenciadas: Fase 0. Causas de Ia reaIización deI cicIo de seguridad. Fase L. Estrategia y Iogí stica deI cicIo de seguridad. Fase 2. CáIcuIos y resuItad os deI cicIo de segurid ad. Fase 3. Confección deI informe deI cicIo de seguridad.
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.
A su vez, Ias actividades auditoras se reaIizan en eI orden siguiente: Comienzo deI proyecto de Auditorí a Inf ormática Asignación deI equipo auditor Asignación deI equipo interIocutor deI cIiente. CumpIimentació n de formuIarios gIobaIes y parciaIes por parte deI cIie nte . Asignación de pesos técnicos por parte deI equipo auditor. Asignación de pesos poIí ticos por parte deI cIiente. Asignación de pesos finaIes a segmentos y secciones. Preparación y confirmación de entrevistas. Entrevistas, confro ntacio nes y anáIisis y repaso de d ocumentación. CaIcuIo y ponderación de subsecciones, secciones y segmentos. Identif icación de áreas me jorabIes. EIección de Ias áreas de actuación prioritaria. Preparación de recomendaciones y borrador de inf orme Discusión de borrador con cIiente. Entrega deI inf o rme
Fase 0 : Causas de realizaciÓn de una Auditorí a de Seguridad Esta constituye Ia FASE O de Ia auditoría y eI orden O de actividades de Ia misma. EI equipo auditor debe conocer Ias razones por Ias cuaIes eI cIiente desea reaIizar eI CicIo de Seguridad. Puede haber muchas causas: RegIas internas deI cIiente, incrementos no previstos de costes, obIigaciones IegaIes, situación de ineficiencia gIobaI notoria, etc. De esta manera eI auditor conocerá eI entorno iniciaI. Así, eI equipo auditor eIaborará eI PIan de Traba jo.
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
Fase 1 : Estrategia y logí stica del ciclo de Seguridad Co nstituye Ia FASE 1 deI cicIo de seguridad y se desarroIIa en Ias actividad es 1, 2 y 3: Fase 1. Estrategia y logí stica del ciclo de seguridad 1. Designación deI equipo auditor. 2. Asignación de interIocutores, vaIidadores y decisores deI cIiente 3. CumpIimentación de un formuIario generaI por parte deI cIiente, para Ia reaIización deI estudio iniciaI Con Ias razones por Ias cuaIes va a ser reaIizada Ia auditoría (Fase O), eI equipo auditor diseña eI proyecto de CicIo de Seguridad con arregIo a una estrategia definida en función deI voIumen y compIe jidad deI trab a jo a reaIizar, que constituye Ia Fase 1 deI punto anterior. Para desarroIIar Ia estrategia, eI equipo auditor necesita recursos materiaIes y humanos. La adecuación de estos se reaIiza mediante un desarroIIo Iogí stico, en eI que Ios mismos deben ser determinados con exactitud. La cantidad, caIidad, coordinación y distribución de Ios mencionados recursos, determina a su vez Ia eficiencia y Ia economía deI Proyecto. Los pIanes deI equipo auditor se desarroIIa de Ia siguiente manera: 1. 2. 3.
4.
EIigiendo eI responsabIe de Ia auditoría su propio equipo de traba jo. Este ha de ser heterogéneo en cuanto a especiaIidad, pero compacto. Recabando de Ia empresa auditada Ios nombres de Ias personas de Ia misma que han de reIacionarse con Ios auditores, para Ias peticiones de información, coordinación de entrevistas, etc. Mediante un estudio iniciaI, deI cuaI forma parte eI anáIisis de un formuIario exhaustivo, también iniciaI, que Ios auditores entregan aI cIiente para su cumpIimentación. Según Ios pIanes marcados, eI equipo auditor, cumpIidos Ios requisitos 1, 2 y 3, estará en disposición de comenzar Ia "tarea de campo", Ia operativa auditora deI CicIo de Seguridad. Las entrevistas deben reaIizarse con exactitud. EI responsabIe deI equipo auditor designará a un encargado, dependiendo deI área de Ia entrevista. Este, por supuesto, deberá conocer a fondo Ia misma.
La reaIización de entrevistas adecuadas constituye uno de Ios f actores f undamentaIes deI éxito de Ia auditoría. La adecuación comienza con Ia compIeta cooperación deI entrevistado. Si esta no se produce, eI responsabIe Io hará saber aI cIiente. Deben reaIizarse varias entrevistas deI mismo tema, aI menos a dos o tres niveIes jerárquicos distintos. EI mismo auditor puede, y en ocasiones es conveniente, entrevistar a Ia misma persona sobre distintos temas. Las
reaIizarse de acuerdo con eI pIan estabIecido, aunque se pueden IIegar a agregar aIgunas adicionaIes y sin pIanif icación. entrevistas deben
La entrevista concreta sueIe abarcar Subsecciones de una misma Sección taI vez una sección compIeta. Comenzada Ia entrevista, eI auditor o auditores formuIarán preguntas aI/Ios entrevistado/s. Debe identificarse quien ha dicho qué, si son más de una Ias personas entrevistad as. Los CheckIist's son útiIes y en muchos casos imprescindibIes. Terminadas Ias entrevistas, eI auditor caIifica Ias respuestas deI auditado (no debe estar presente) y procede aI Ievantamiento de Ia información correspondiente.
SimuItáneamente a Ias entrevistas, eI equipo auditor reaIiza pruebas pIaneadas y pruebas sorpresa para verificar y cruzar Ios datos soIicitados y f aciIitados por eI cIiente. Estas pruebas se reaIizan e jecutando traba jos propios o repitiendo Ios de
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
aquéI, que indef ectibIemente deberán ser simiIares si se han reproducido Ias condiciones de carga de Ios Sistemas auditad os. Si Ias pruebas reaIizadas por eI equipo auditor no fueran consistentes con Ia información f aciIitada por eI auditado, se deberá recabar nueva información y voIver a verificar Ios resuItados de Ias pruebas auditoras. La evaIuación de Ios CheckIists, Ias pruebas reaIizadas, Ia información f aciIitada por eI cIiente y eI anáIisis de todos Ios datos disponibIes, configuran todos Ios eIementos necesarios para caIcuIar y estabIecer Ios resuItados de Ia auditoría, que se materiaIizarán en eI informe f inaI. A continuación, un e j emp Io de auditoría de Ia Sección de ControI de Accesos deI Segmento de
Seguridad Fí sica: Vamos a dividir a la Sección de Control de Accesos en cuatro Subsecciones: 1. 2. 3. 4.
Autorizaciones Co ntroIes Auto máticos VigiIancia Registros
En Ios siguientes CheckIists, Ias resp uestas se caIificarán de 1 a 5, siendo1 Ia más def iciente y 5 Ia máxima puntuación. Co ntroI
de Accesos: Autorizaciones
Preguntas
Respuestas
un único responsabIe de impIementar Ia poIí tica de autorizaciones de entrada en eI Centro de Computos?
Si, eI Jefe de ExpIotación, pero eI Director puede acceder a Ia SaIa con acomp añantes sin previo aviso.
4
aIguna autorización Una soIa. EI técnico permanente permanente de estancia de de Ia firma suministradora personaI a jeno a Ia empresa? vigiIancia y eI iQ uiénes saben cuaIes son Ias EI personaI de Jefe de ExpIotación. personas autorizadas?
5
Además tar jeta No, soIamente Ia primera. de Ia magnética de identificación, que pasar otra ihay especiaI? iSe pregunta a Ias visitas No, vaIe Ia primera autorización.
4
iExiste
Puntos
iExiste
5
3
si piensan visitar eI Centro de Co mputos?
preveen Ias visitas aI Centro d e Computos con 24 horas aI menos? TOTAL AUTORIZACIONES iSe
No,
b a s ta
que acompañados por eI ExpIo tación o Director
vayan Jefe de
3
24/30/80%
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
ControI de Accesos: Pregunt as
Controles AutomÁticos Respuest as
Puntos 3
Ud. que Ios ControIes Si, ha de aunque Automáticos son adecuad os? reconocerse que a pie puede IIegarse por Ia noche hasta eI edificio principaI. iQ uédan registrad as to das No, deI soIamente Ias Ias entrad as y saIidas deI personaI a jeno a Operación Centro de Co mputos? iCree
AI finaI de cada turno, controIa eI número entradas y saIidas personaI de Operación? iPuede
saIirse deI sin Co mp utos magnética?
iSe
Sí,
y
Ios
vigiIantes
3
5
Ios
de reverifican deI 3
Centro
de Si, porque existe otra tar jeta puerta de emergencia que puede abrirse d esde adentro
14/20 70%
TOTAL CONTROLES AUTOMATICOS ControI de Accesos: Vigilancia Pregunt as iHay vigiIantes Ias 24 horas?
circuitos cerrados de TV exteriores? iExisten
Respuest as
Puntos
Sí
5
Sí
5
visitas, No Ias Identif icadas acompaña hasta Ia iSe Ies persona que desean ver?
2
Ios vigiIantes Ios No, sería muy terminaIes que deben complicado. quedar encendidos por Ia noche?
2
iConocen
14/20 70%
TOTAL VIGILANCIA ControI de Accesos: Registros Pregunt as adecuada una iExiste registros?
Respuestas
poIí tica
de
No, casi
reconocemos
ha registradoaIguna
vez a
una
nunca,
hasta ha
necesidad iSe
Puntos
ahora
que
pero
1
no habido 1
nunca
persona? 1
abren todos Ios paquetes dirigidos Casi nunca a personas concretas y no a Inf ormática? iSe
iHay un
cuarto para abrir Ios
paquetes?
TOTAL REGISTROS
Si, pero no se usa siempre
3
6/20 30% l
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria Fase 2: Cálculos y Resultados del Ciclo de Seguridad
Cálculos y resultados del ciclo de seguridad 1.
CáIcuIo y ponderación de Secciones y Segmentos. Las Subsecciones no se ponderan, soIo se caIcuIan.
2. 3.
Identif icación de materias me jorabIes. joras. Priorizació n de me
En eI punto anterior se han reaIizado Ias entrevistas y se han puntuado Ias respuestas de toda Ia auditoría de Segurid ad. EI traba jo de Ievantamiento de información está concIuido y contrastado con Ias pruebas. A partir de ese momento, eI equipo auditor tiene en su poder todos Ios datos necesarios para eIaborar eI informe finaI. SoIo f aItarí a caIcuIar eI porcenta je de bondad de cada área; éste se obtiene caIcuIando eI sumatorio de af ectarse a sus pesos Ias respuestas obtenidas, recordando que deben correspondientes. Una vez reaIizado Ios cáIcuIos, se ordenaran y cIasificaran Ios resuItados obtenidos por materias me jorabIes, estabIeciendo prioridades de actuación para IograrIas. Cálculo del e jemplo de las Subsecciones de la Sección de Control de Accesos:
Autorizaciones 8O% Co ntroIes Automáticos 7O% VigiIancia 7O% Registros 3O% Promedio de Control de Accesos 62,5%
Cabe recordar, que dentro deI Segmento de Seguridad Física, Ia Sección de ControI de Accesos tiene un peso finaI de 4. Prosiguiendo
con eI e jempIo, se procedió a Ia evaIuación de Ias otras cuatro Secciones, ob teniéndose Ios siguientes resuItados:
CicIo de Seguridad: Segmento 8, Seguridad Física. Secciones Peso
Puntos
Sección 1. Datos
6
57.5%
Sección 2. Control de Accesos
4
62.5%
Sección 3. Equipos (Centro de
5
70%
Sección 4. Documentos
3
52.5%
Sección 5. Suministros
2
47.2%
computo)
Conocidas Ios promedios y Ios pesos de Ias cinco Secciones, se procede a caIcuIar y ponderar eI Segmento 8 de Seguridad Fí sica: Seg. 8 = PromedioSección1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5)
Ó Seg. 8 = (57,5 * 6) + (62,5 * 4) + (7O * 5) + (52,5 * 3) + (47,2 * 2) / 2O Seg. 8 = 59,85%
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria A continuación, Ia evaIuación finaI de Ios demás Segmentos deI cicIo de Seguridad: CicIo de Seguridad. EvaIuación y pesos de Segmentos Segmentos
Pesos
Evaluación
Seg1. Normas y Estandares
10
61%
Seg2. Sistema Operativo
10
90%
Seg3. Software basico
12
72%
Seg4. Comunicaciones
12
55%
Seg5. Base de Datos
12
77.5%
Seg6. Procesos
14
51.2%
Seg7. Aplicaciones
16
50.5%
Seg8. Seguridad Fisica
14
59.8%
100.00
63.3%
Promedio Total Area de Seguridad
Sistemática seguida para el cálculo y evaluación del Ciclo de Seguridad: a. b.
c.
d.
e.
VaIoración de Ias respuestas a Ias preguntas específicas reaIizadas en Ias entrevistas y a Ios c uestionarios formuIados por escrito. CáIcuIo matemático de todas Ias subsecciones de cada sección, como media aritmética (promedio finaI) de Ias preguntas específicas. Recuérdese qu e Ias s u b s e c c i o n e s n o se ponderan. CáIcuIo matemático d e Ia Sección, como media aritmética (promedio de finaI) sus Subsecciones. La Sección caIcuIada tiene su peso correspond iente. CáIcuIo matemático deI Segmento. Cada una de Ias Secciones que Io componen se af ecta por su peso correspondiente. EI resuItad o es eI vaIor deI Segmento, eI cuaI, a su vez, tiene asignado su peso. CáIcuIo matemático de Ia auditoría. Se muItipIica cada vaIor de Ios Segmentos por sus pesos correspondientes, Ia suma totaI ob tenid a se divide por eI vaIor f ijo asignado a priori a Ia suma de Ios pesos de Ios segmentos.
se procede a mostrar Ias áreas aud itadas con gráficos de barras, exponiéndose primero Ios Segmentos, Iuego Ias Secciones y por úItimo Ias Subsecciones. En todos Ios casos sé referenciarán respecto a tres zonas: ro ja, amariIIa y verde. FinaIme nte ,
La zona ro ja corresponde a una situación de debiIidad que requiere acciones a corto pIazo. Serán Ias más prioritarias, tanto en Ia exposición deI Inf orme como en Ia toma de medidas para Ia corr ección. La zona amariIIa corresponde a una situación discreta que requiere acciones a medio pIazo, figurando a continuación de Ias contenidas en Ia zona ro ja. La zona verde requiere soIamente aIguna acción de mantenimiento a Iargo pIazo.
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
Fase 3 : Conf ección del Inf orme del Ciclo de Seguridad Confección del informe del ciclo de seguridad 1. Preparación de borrador de informe y Recomendaciones 2. Discusión deI borrador con eI cIiente 3. Entrega deI Inf orme y Cart a de Introducción Ha de resaItarse Ia importancia de Ia discusión de Ios borradores parciaIes con eI cIiente. La referencia aI cIiente debe entenderse como a Ios responsabIes directos de Ios segmentos. Es de destacar que si hubiese acuerdo, es posibIe que eI auditado redacte un contrainforme deI punto cuestionado. Este acta se incorporará aI Inf orme FinaI.
Las Recomendaciones deI Inf orme son de tres tipos: 1. Recomendaciones correspondientes a Ia zona ro ja. Serán muy detaIIad as e irán en primer Iugar, con Ia máxima prioridad. La redacción de Ias recomendaciones se hará de modo que sea simpIe verificar eI cumpIimiento de Ia misma por parte deI cIiente. 2. Recomendaciones correspond ientes a Ia zona amariIIa. Son Ias que deben observarse a medio pIazo, e iguaImente irán priorizadas. 3. Recomendaciones correspondientes a Ia zona verde. SueIen referirse a medidas d e mantenimiento. Pueden ser omitidas. Puede detaIIarse aIguna de este tipo cuando una acción senciIIa y económica pueda originar beneficios importantes 4.
Preguntas
1 ¿Q ue es una metodología? Es una secuencia de pasos Iógica y ordenada de proceder para IIegar a un resuItado determinado.
2. ¿Q ué es una metodologí a de traba jo de auditorí a inf ormÁtica? Es una serie de pasos para IIevar a cabo una auditoría inf ormática
3. ¿Cuales son las etapas de una metodologí a - AIcance y Ob jetivos de Ia Auditorí a Inf ormática - Estudio iniciaI deI entorno auditabIe - Determinación de Ios recursos necesarios para reaIizar Ia auditoria - EIaboración deI pIan y de Ios Programas de Traba jo - Actividades propiamente dichas de Ia auditoria - Confección y redacción deI Inf orme FinaI - Redacción de Ia Carta de Introducción o Carta de Presentación deI Inf orme f inaI.
4. ¿Para qué sirve definir los alcances y ob jetivos en una auditorí a? terminar siendo una La auditoría sin aIcances y ob jetivos puede actividad muy costosa y sin beneficios. La definición de Ios aIcances y Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
ob jetivos sirve para poder acotar eI traba jo y conocer Ios resuItados obtenidos.
5. ¿Por qué es más costosa una auditorí a general que una especí fi ca? Por Io que impIica c ada una. Una auditoría específica es mas acotada, no requiere una investigación tan extensa y es más fáciI determinar Ios ob jetivos y medir Ios resuItados.
6. ¿En qué consiste la etapa del estudio inicial? Co nsiste en conocer como esta constituida Ia empresa, sus procesos, su entorno operacionaI y Ios procesos informáticos reaIizados hasta eI momento. 7. ¿ Que elementos deben ser analizados en la etapa "Estudio Inicial" de una au ditorí a? - Organigrama - Departamentos - ReIaciones Jerárquicas y funcionaIes entre órganos de Ia Organizació - FIu jos de Inf ormación - Persona
8. ¿En qué consiste la etapa Entorno Operacional? EI equipo de auditoría informática debe pose er una adecuada referencia deI entorno en eI que va a desenvoIverse. Por Io tanto se reaIiza un estudio deI entorno de Ia auditoría. EI entorno puede ser Ia situación geográfica deI sistema, Ia arquitectura de hardware y software o Ias comunicaciones o entorno de redes.
9. ¿ En qué consiste la etapa DeterminaciÓn de recursos de la auditoria Inf ormÁtica? reaIizado se procede a Mediante Ios resuItado s deI estudio iniciaI determinar Ios recursos humanos y materiaIes que han de empIearse en Ia auditoría. En esta etapa se asignan Ios recursos a Ias tareas.
10. ¿Q ue tipo de recursos insume una auditorí a Inf ormÁtica? MateriaIes, como softwa re , hardware, tiempo. Humanos, p ersonaI.
11. ¿En que consiste la etapa ElaboraciÓn del Plan y de los programas de traba j o? Una vez asignados Ios recursos, eI responsabIe de Ia auditoría y sus coIaboradores estabIecen un pIan de traba jo, que consta de Ias tareas básicas a reaIizar.
12. ¿En que consiste la etapa Actividades? Co nsiste en desgIozar Ias actividades a IIevar a cabo en Ia auditorí a.
13 ¿Cuales son las principales tÁcnicas de traba jo? Las más conocidas y utiIizadas técnicas de traba jo son - AnáIisis de Ia información recabada deI auditad - AnáIisis de Ia información propia - Cruzamiento de Ias informaciones anteriores - Entrevistas - SimuIación - Muestreos 14. ¿De qué herramientas se disponen para realizar una auditoría? Las diferentes herramientas que se pueden apIicar en una auditorí a son: - Cuestionario generaI iniciaI - Cuestionario CheckIist
Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
-
Estándare
Monitores SimuIadores (Generadores de datos) Paquetes de auditoría (Generadores de M atrices de riesgo
Pro gramas
15 ¿Que ob jetivo tiene la etapa "Inf orme Final" de una auditoría? La función de Ia auditoría se materiaIiza excIusivamente por escrito. Por Io tanto Ia eIaboración finaI es eI exponente de su caIidad. Esta etapa se encarga de Ia redacción deI informe f inaI.
16 ¿ Qué ob jetivo tiene la etapa "Carta de presentaciÓn del Inf orme Final"? La carta de introducción tiene especiaI importancia porque en eIIa se resume Ia auditoría reaIizada. Se destina excIusivamente aI responsabIe máximo de Ia empresa, o a Ia persona concreta que encargo o contrato Ia auditorí a.
17. ¿Q ué significa la sigla CRMR? Co mputer res ource management review.
18. Ob jetivo de CRMR Brinda Ia posibiIidad de reaIizar una evaIuación de eficiencia de utiIización de Ios recursos Inf ormáticos por medio deI management.
19. Alcances de CRMR Proporciona soIuciones rápidas a probIemas co ncreta s y notorios, que surgen deI uso de recursos.
20. Lí mites de CRMR No tiene en sí misma eI grado de profundidad de una auditoría inf ormática
21 ¿En qué casos es aconse jable aplicar CRMR - Se detecta una maIa respuesta a Ias peticiones y necesidades de Ios usuarios - Los resuItados deI Centro de Procesos de Datos no están a disposición de Ios usuarios en eI momento oportuno - Se genera con aIguna frecuencia información errónea por faIIos de datos o proceso - Existen sobrecargas frecuentes de capacidad de proceso - Existen costes excesivos de proceso en eI Centro de Proceso de Datos
22. ¿En qué Áreas de sistemas se aplica? . Gestión de Datos . ControI de Operaciones . ControI y utiIización de recursos materiaIes y humanos . Interf aces y reIaciones con usuarios . PIanif icación . Organización y administración
23. ¿Qué datos son necesarios para realizar un CRMR? - Datos de mantenimiento preventivo de Hardware - Inf ormes de anomaIías de Ios Sistemas - Procedimientos estándar de actuaIización. - Procedimientos de emergencia. - Monitoreo de Ios Sistemas. - Inf ormes deI rendimiento de Ios Sistemas. Ing. Romer Rodolfo Benites Arango CIP: 109310
Metodología de Auditoria
-
Mantenimiento de Ias Librerías de Programas. Gestión de Espacio en disco. Documentación de entrega de ApIicaciones a Exp Iotación. Documentación de aIta de cadenas en ExpIotación. UtiIización de CPU, canaIes y discos. Datos de paginación de Ios Sistemas. VoIumen totaI y Iibre de aImacenamiento Ocupación media de disco ManuaIes de Procedimientos de ExpIotación
Ing. Romer Rodolfo Benites Arango CIP: 109310