8/18/2019 Metodologías de Riesgo

1/12

INTRODUCCIÓN A LAS METODOLOGIAS

Según el Diccionario de la lengua de la Real Academia Española, método es el "modo de decir 

o hacer con orden una cosa". Asimismo define el diccionario la palabra metodología como

"conjunto de métodos que se siguen en una investigación científica o en una exposición

doctrinal". sto significa que cualquier proceso científico debe estar sujeto a una disciplina de

 proceso definida con anterioridad que llamaremos !#$#%#&'A.

()osé !aría &on*+le*,.

%as metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo-

est+n directamente relacionadas con su experiencia profesional acumulada como parte del

comportamiento humano de /acierto 0error1.

%as metodologías.2 son necesarias para desarrollar cualquier proecto que nos propongamos de

manera ordenada efica*.

METODOLOGÍA GENERAL DE AUDITORÍA INFORMÁTICA

%a auditoría inform+tica como proceso formal- el cual es ejecutado por especialistas del +rea de

auditoría- es un proceso metodológico- que tiene el propósito de evaluar los recursos (humanos-

tecnológicos- materiales- financieros,- que est+n relacionados con la función de inform+tica-

 para garanti*ar que se opere con criterios de integración desempe3o altamente satisfactorios

que también apoen la productividad la rentabilidad de la organi*ación.

METODOLOGIAS DE EVALUACIÓN DE SISTEMAS

Conceptos fundaenta!es"

n el mundo de la seguridad de sistemas se utili*an todas las metodologías necesarias para

reali*ar un plan de seguridad adem+s de las de auditoría inform+tica.

%as dos metodologías de evaluación de sistemas por antonomasia son las de A45%6S6S $

76SS las de A8$6#7'A 649#7!56:A- con dos enfoques distintos. %a auditoría

inform+tica sólo identifica el nivel de /exposición" por la falta de controles- mientras el an+lisis

de riesgos facilita la "evaluación" de los riesgos recomienda acciones en base al costo2

 beneficio de las mismas.

8/18/2019 Metodologías de Riesgo

2/12

%os elementos comunes- que se deben comprender para para poder entender valorar en su

integridad el concepto de riesgo son;

9igura

8/18/2019 Metodologías de Riesgo

3/12

n la norma 6S# >?@@> 6S#06: @BC- se define el an+lisis de riesgos como; /Droceso mediante

el cual se identifican las amena*as las vulnerabilidades en una organi*ación- se valora su

impacto la probabilidad de que ocurran1.

%as amena*as reales se presentan de forma compleja son difíciles de predecir.

jemplo; por varias causas se rompen las dos entradas de agua- inundan las líneas telefónicas

(pues existe un poro en el cable,- ha un cortocircuito se quema el transformador de la central

local. n estos casos la probabilidad resultante es mu difícil de calcular.

Todos los riesgos que se presentan podemos:

=6A7%#S (por ejemplo; no construir un centro donde ha peligro constante de

inundaciones,. 7A4S9767%#S (por ejemplo; uso de un centro de c+lculo contratado,. 7$8:67%#S (por ejemplo; sistema de detección extinción de incendios,. AS8!67%#S2 Eue es lo que se hace si no se controla el riesgo en absoluto.

Dara los tres primeros- se actúa si se establecen controles o contramedidas. odas las

metodologías existentes en seguridad de sistemas van encaminadaF a establecer mejorar un

entramado de contramedidas que garanticen que la probabilidad de que las amena*as sematerialicen en hechos (por falta de control, sea lo m+s baja posible o al menos quede reducida

de una forma ra*onable en costo2beneficio.

Metodo!o#$as de an%!&s&s de '&es#os

st+n desarrolladas para la identificación de la falta de controles el establecimiento de un plan

de contramedidas. xisten dos tipos;

Cuant&tat&(as; Gasadas en un modelo matem+tico numérico que auda a la reali*acióndel trabajo.

Cua!&tat&(as; Gasadas en el criterio raciocinio humano capa* de definir un proceso de

trabajo- para seleccionar en base a la experiencia acumulada.

Es)uea *%s&co de una etodo!o#$a de an%!&s&s de '&es#os"

8/18/2019 Metodologías de Riesgo

4/12

:uestionario

6dentificar los riesgos

:alcular el impacto

6dentificar lascontramedidas . el coste

Simulaciones

:reación de losinformes

tapa <

tapa >

tapa H

tapa I

tapa B

tapa J

n base a unos cuestionarios se identifican vulnerabilidades riesgos se evalúa el impacto

 para m+s tarde identificar las contramedidas el coste. %a siguiente etapa es la m+s importante-

 pues mediante un juego de simulación (que llamaremos "KEué pasa si...L", anali*amos el efecto

de las distintas contramedidas en la disminución de los riesgos anali*ados- eligiendo de esta

manera un plan de contramedidas (plan de seguridad, que compondr+ el informe final de la

evaluación.

COMUNICACIÓN AL INICIO DE LA AUDITORÍA

Dara la comunicación del inicio del examen- en el transcurso del examen la convocatoria a la

lectura del borrador de informe- se considerar+n las disposiciones constantes en el 7eglamento

de $elegación de 9irmas de la :ontraloría &eneral del stado.

Dara la ejecución de una auditoría- el auditor jefe de equipo- mediante oficio notificar+ el inicio

del examen a los principales funcionarios vinculados con las operaciones a ser examinadas de

conformidad con el objetivo alcance de la auditoría. n el caso de servidores que se

encuentren desempe3ando funciones- proceder+ de conformidad al 7eglamento de

7esponsabilidades cuando el servidor respectivo haa renunciado o salido de su cargo- se

citar+ el artículo pertinente de la le.

8/18/2019 Metodologías de Riesgo

5/12

$icha comunicación se la efectuar+ en forma individual de ser necesario- en el domicilio del

interesado- por correo certificado o a través de la prensa. Dara el caso de particulares se les

notificar+ o requerir+ información de conformidad con las disposiciones legales pertinentes.

%a comunicación inicial- se complementa con las entrevistas a los principales funcionarios de laentidad auditada- en esta oportunidad a m+s de recabar información- el auditor puede emitir 

criterios sugerencias preliminares para corregir los problemas que se puedan detectar en el

desarrollo de tales entrevistas.

jemplo de; 4otificación de inicio de auditoria o examen especial a los dignatarios- servidores-

ex servidores dem+s personas relacionadas con el examen.

8/18/2019 Metodologías de Riesgo

6/12

:ontacto inicialcon funcionarios. empleados del

+rea

6dentificación preliminar de la problem+tica de

sistemas

:alcular losrecursos . personas

necesarias parala auditoría

Solicitud demanuales .

documentaciones

laboraciónde los

cuestionarios

7ecopilaciónde la

información

VISITA +RELIMINAR 

:onsiste en reali*ar una visita preliminar al +rea de inform+tica que ser+ auditada- luego de

conocer el origen de la petición de reali*ar la auditoria antes de iniciarla formalmenteM el

 propósito es el de tener un primer contacto con el personal asignado a dicha +rea- conocer ladistribución de los sistemas donde se locali*an los servidores equipos terminales en el centro

de cómputo- sus características- las medidas de seguridad otros aspectos sobre que

 problem+ticas que se presentan en el +rea auditada.

%a visita inicial para el arranque de la auditoria cua finalidad es saber;

K:ómo se encuentran distribuidos los equipos en el +reaL- K:u+ntos- cu+les- cómo de qué tipo son los servidores terminales que existen en el

+reaL- KEué características generales de los sistemas que ser+n auditadosL- KEué tipo de instalaciones conexiones físicas existen en el +reaL- K:u+l es la reacción del personal frente al auditorL- K:u+les son las medidas de seguridad física existentes en el +reaL- KEué limitaciones se observan para reali*ar la auditoriaL.

:on esta información el auditor podr+ dise3ar las medidas necesarias para una adecuada

 planeación de la auditoria establecer algunas acciones concretas que le auden al desarrollo de

la evaluación- como;

l esquema de la visita preliminar se se3ala las siguientes actividades;

+A+ELES DE TRA,A-O

8/18/2019 Metodologías de Riesgo

7/12

n el argot de auditoría se conoce como papeles de trabajo la "totalidad de los documentos preparados o recibidos por el auditor- de manera que- en conjunto constituen un compendio dela información utili*ada de las pruebas efectuadas en la ejecución de su trabajo- junto con lasdecisiones que ha debido tomar para llegar a formarse su opinión".

l 6nforme de Auditoría- si se precisa que sea profesional- tiene que estar basado en ladocumentación o papeles de trabajo- como utilidad inmediata- previa supervisión.

%a documentación- adem+s de fuente de experiencia  del Auditor 6nform+tico para trabajos posteriores así como para poder reali*ar su gestión interna de calidad- es fuente en algunoscasos en los que la corporación profesional puede reali*ar un control de calidad- o hacerlo algúnorganismo oficial. %os papeles de trabajo pueden llegar a tener valor en los ribunales de justicia.

E.ep!os de pape!es de t'a*a.o"

MEMORANDO DE +LANIFICACION

COO+ERATIVA DE TRANS+ORTEDE +ASA-ERON EN TA/IS

0SERVITA/I N1 23

!!#7A4$# $ D%A4696:A:6#4

DEL 4 DE ENERO AL 54 DE DICIEM,RE DEL 6243

 

ELA,ORADO +OR"

SU+ERVISADO +OR"

FEC7A"

FEC7A"

 

8/18/2019 Metodologías de Riesgo

8/12

8/18/2019 Metodologías de Riesgo

9/12

 

CEDULA NARRATIVA 0VISITA +RELIMINAR:

COO+ERATIVA DE TRANS+ORTEDE +ASA-ERON EN TA/IS

0SERVITA/I N1 23

:$8%A 4A77A6=A

=6S6A D7%6!64A7 

DEL 4 DE ENERO AL 54 DE DICIEM,RE DEL 6243

8/18/2019 Metodologías de Riesgo

10/12

AREA"

RES+ONSA,LE

FEC7A"

O,-ETIVO"

COMENTARIOS;

 

ELA,ORADO +OR" FEC7A"

SU+ERVISADO +OR" FEC7A"

 

CUESTIONARIO

COO+ERATIVA DE TRANS+ORTEDE +ASA-ERON EN TA/IS

0SERVITA/I N1 23

:8S6#4A76#

DEL 4 DE ENERO AL 54 DE DICIEM,RE DEL 6243

8/18/2019 Metodologías de Riesgo

11/12

N;  PREGUNTAS 

 RESPUESTA PUNTAJE 

OBERVACONES 

 S NO OPT!O OBTEN"O

 

ELA,ORADO +OR"

SU+ERVISADO +OR"

#EC$A:

#EC$A:

 

8/18/2019 Metodologías de Riesgo

12/12

CONCLUSIÓN"

n resumen la metodología que utilice el auditor depender+ de los niveles profesionales de su

visión de cómo conseguir un mejor resultado en el nivel de control para reducir los riesgos a un

nivel aceptable- también en el proceso de auditoría en la primera fase nos encontramos con la

visita preliminar o previa la cual nos audar+ a conseguir archivos- documentos e información

que ser+n nuestras herramientas para el proceso de auditoría- en base a esos se podr+ conseguir 

mejores resultados- debemos recordar que el auditor debe tener una actitud vigilante- una aptitud

 positiva una formación continua- para innovar sus conocimientos en este mundo globali*ado

cambiante.

,I,LIOGRAFÍA"

• D6A646 =%N86S- !arioM $% DS# 4A=A77#- milioM Auditoría 6nform+tica

un enfoque pr+ctico- ditorial 7A2!A- >@@@2R>@:&

R>@2R>@R>@>@R>@9ormatosR>@R>@7eglamentoR>@elaboracionR>@R>@tramiteR>@informes.pdf 

http://e-archivo.uc3m.es/handle/10016/16802#previewhttp://www.contraloria.gob.ec/documentos/normatividad/NAFG-Cap-V.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/NAFG-Cap-V.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://e-archivo.uc3m.es/handle/10016/16802#preview