El documento describe los conceptos clave de un plan de auditoría informática, incluyendo las partes de un plan, los tipos de auditorías, y el sistema de evaluación. También incluye información sobre el plan quinquenal, plan de trabajo anual, y lista de distribución de informes.

1. Ing. Elizabeth Guerrero

2. Amenaza  una persona o cosa vista como
posible fuente de peligro o catástrofe
(inundación, incendio, robo de datos,
sabotaje, agujeros publicados, etc.)
Vulnerabilidad  la situación creada, por la
falta de uno o varios controles, con los que
la amenaza pudiera acaecer y así afectar al
entorno informático (falta de control de
acceso logico, de versiones, inexistencia de
un control de soporte magnético, etc.).

3. Riesgo  la probabilidad de que una
amenaza llegue a acaecer por una
vulnerabilidad (los datos estadísticos de
cada evento de una base de datos de
incidentes).
Exposición o Impacto  la evaluación del
efecto del riesgo. (es frecuente evaluar el
impacto en términos económicos, aunque
no siempre lo es, como vidas humanas,
imágenes de la empresa, honor, etc.).

4.  Determinación del área a auditar.
 Riesgos y
 contingencias

5.  Planificar el área a Auditar es fundamental,
pues habrá que hacerla desde el punto de
vista de los dos objetivos:
◦ Evaluación de los sistemas y procedimientos.
◦ Evaluación de los equipos de cómputo.

6.  Para analizar y dimensionar la estructura por auditar se debe
solicitar:
 A NIVEL DEL ÁREA DE INFORMÁTICA.- Objetivos a corto y largo
plazo.
 RECURSOS MATERIALES Y TECNICOS.- Solicitar documentos
sobre los equipos, número de ellos, localización y características.
◦ Estudios de viabilidad.
◦ Número de equipos, localización y las características (de los equipos
instalados y por instalar y programados)
◦ Fechas de instalación de los equipos y planes de instalación.
◦ Contratos vigentes de compra, renta y servicio de mantenimiento.
◦ Contratos de seguros.
◦ Convenios que se tienen con otras instalaciones.
◦ Configuración de los equipos y capacidades actuales y máximas.
◦ Planes de expansión.
◦ Ubicación general de los equipos.
◦ Políticas de operación.
◦ Políticas de uso de los equipos.

7.  SISTEMAS
◦ Descripción general de los sistemas instalados y de
los que estén por instalarse que contengan
volúmenes de
◦ información.
◦ Manual de formas.
◦ Manual de procedimientos de los sistemas.
◦ Descripción genérica.
◦ Diagramas de entrada, archivos, salida.
◦ Salidas.
◦ Fecha de instalación de los sistemas.
◦ Proyecto de instalación de nuevos sistemas.

8.  El análisis de riesgo, también conocido como
evaluación de riesgo, es el estudio de las
causas de las posibles amenazas y probables
eventos no deseados y los daños y
consecuencias que éstas puedan producir.

9.  El primer paso del análisis es identificar los
activos a proteger o evaluar.
 La evaluación de riesgos involucra comparar el
nivel de riesgo detectado durante el proceso de
análisis con criterios de riesgo establecidos
previamente.
 Los resultados obtenidos del análisis, van a
permitir aplicar alguno de los métodos para el
tratamiento de los riesgos, que involucra
identificar el conjunto de opciones que existen
para tratar los riesgos, evaluarlas, preparar
planes para este tratamiento y ejecutarlos.

10.  Riesgo inherente
 Riesgo de Control
 Riesgo de detección

11.  Cuando un error no se puede evitar que
suceda porque no existen controles
compensatorios relacionados que se
puedan establecer.

12.  Cuando un error material no puede ser
evitado o detectado en forma oportuna por
el sistema de control interno.

13.  Es el riesgo de que el auditor realice
pruebas exitosas a partir de un
procedimiento inadecuado. El auditor puede
llegar a la conclusión de que no existen
errores materiales cuando en realidad los
hay.

14. •Etapa 1
Cuestionario
•Etapa 2
Identificar los riesgos
•Etapa 3
Caldular el impacto
•Etapa 4
Identificar las
contramedidas y el coste
•Etapa 5
Simulaciones
•Etapa 6
Creación de los informes

15. Se identifican vulnerabilidades y riesgos en
base a cuestionarios y se evalúa el impacto
para luego identificar las contramedidas y el
coste.
La siguiente etapa es la más importante,
mediante el juego de simulación (¿Qué pasa
SI…?) se analiza el efecto de las distintas
contramedidas en la disminución de los
riesgos analizados, eligiendo de esta manera
un plan de contramedidas (plan de seguridad)
que compondrá el informe final de evaluación

16.  Riesgos de integridad
◦ Interfaz de usuario
◦ Procesamiento
◦ Procesamiento de errores
◦ Interfaz
◦ Administración de cambios
◦ Información
◦ Ver documento Riesgos Informáticos y seguridad

17.  Riesgos de relación
 Riesgos de acceso
◦ Procesos de negocio
◦ Aplicación
◦ Administración de la información
◦ Entorno de procesamiento
◦ Redes
◦ Nivel Físico

18.  Riesgos de utilidad
 Riesgos de infraestructura
◦ Planeación organizacional
◦ Definición de las aplicaciones
◦ Administración de seguridad
◦ Operaciones de red y computacionales
◦ Administración de sistemas de bases de datos
◦ Información / Negocio
 Riesgos de seguridad general (eléctrico,
incendio, niveles inadecuados de energía
eléctrica, radiaciones, mecanicos)

19. Es una estrategía planificada constituida por:
• Un conjunto de recursos de respaldo
• Una organización de emergencia y
• Unos procedimientos de actuación
Encaminaminada a conseguir una restauración
progresiva y ágil de los servicios de negocio
afectados por una paralización total o parcial de la
capacidad operativa de la empresa

20.  Un Plan de contingencias contiene las
medidas técnicas, humanas y organizativas
necesarias para garantizar la continuidad del
negocio y las operaciones de una empresa.
 Un plan de contingencias es un caso
particular de plan de continuidad del negocio
aplicado al departamento de informática o
tecnologías.
 Dada la importancia de las tecnologías en las
organizaciones modernas, el plan de
contingencias es el más relevante.

21. Fase 1
•Análisis y Diseño: para su desarrollo se diferencias dos
familias metodológicas:
•Análisis de Riesgos
• Impacto de Negocio
Fase 2
•Desarrollo del Plan
Fase 3
•Pruebas y Mantenimiento

22.  Se estudia la problemática, las necesidades de
recursos, las alternativas de respaldo, y se analiza el
coste/beneficio de las mismas.
 Familias metodológicas:
1. Análisis de Riesgo: se basan en el estudio de los
posibles riesgos desde el punto de vista de
probabilidad de que los mismos sucedan.
2. Impacto de Negocio: se basan en el estudio del
impacto (pérdida económica o de imagen) que
ocaciona la falta de algun recurso de los que
soporta la actividad del negocio. Permiten hacer
estudios coste/beneficio que justifican las
inversiones con más rigor que los estudios de
probabilidad que se obtienen con los análisis de
riesgos

23.  Se desarrolla la estrategia seleccionada,
implantándose hasta el final todas las
acciones previstas.
 Se analiza la vuelta a la normalidad, dado que
pasr de la situación normal a la alternativa
debe concluirse con la restitución de la
situación inicial antes de la contingencia.

24.  Se definen las pruebas, sus caracterísiticas y
sus ciclos, y se realiza la primera prueba
como comprobación de todo el trabajo
realizado, asi como mentalizar al personal
implicado
 Se define la estrategia de mantenimiento, la
organización destinada a ello y la normativa y
procedimientos necesarios para llevarlo a
cabo.

25.  Por ejemplo, la empresa sufre un corte total de energía o
explota, ¿Cómo sigo operando en otro lugar?
 Lo que generalmente se pide es que se hagan Backups de
la información diariamente y que aparte, sea doble, para
tener un Backup en la empresa y otro afuera de ésta.
 Una empresa puede tener unas oficinas paralelas que
posean servicios básicos (luz, teléfono, agua) distintos de
los de la empresa principal, es decir, si a la empresa
principal le proveía teléfono Telecom, a las oficinas
paralelas, Telefónica.
 En este caso, si se produce la inoperancia de Sistemas en
la empresa principal, se utilizaría el Backup para seguir
operando en las oficinas paralelas.
 Los Backups se pueden acumular durante dos meses, o el
tiempo que estipule la empresa, y después se van
reciclando.

26.  Las partes de un plan auditor informático:
•Describir las funciones de forma precisa, y la organización
interna del departamento, con todos sus recursos
Funciones
•Para las distintas tareas de auditoría
Procedimientos
•Auditoría completa de un área
•Limitada a un aspecto
•Comprobación de acciones correctivas de auditorías
anteriores
Tipos de
Auditorías
•Definir varios aspectos a evaluar como gestión de recursos,
cumplimiento de normas.
•Realizar una evaluación global de resumen para toda la
auditoría
•Niveles: Bien, Regular o Mal (grado de gravedad)
Sistema de
Evaluación

27. Nivel de Exposición Evaluación Frecuencia Visitas
10-9 B 18 meses
R 9 meses
M 6 meses
8 -7 B 18 meses
R 12 meses
M 9 meses
6 – 5 B 24 meses
R 18 meses
M 12 meses
4 -1 B 36 meses
R 24 meses
M 18 meses

28.  El valor del nivel de exposición significa la
suma de factores como impacto, peso del
área, situación de control en el área
 En la tabla anterior se aprecia un numero del
1 al 10 definido subjetivamente y que
permite en base a la evaluación final de la
última auditoría realizada definir la fecha de
la repetición de la misma auditoría.

29. Lista de distribución
de informes
Seguimiento de las
acciones correctoras
•Todas las áreas a auditar deben
corresponderse con cuestionarios
metodológicos y deben repetirse en 4 o 5 años
Plan quinqueenal
•Deben estimarse tiempos de manera racional y
componer un calendario que una vez
terminado nos dé un resultado de horas de
trabajo previstas y, por lo tanto, de los
recursos que se necesitarán
Plan de trabajo
anual