Las metodologías son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
La auditoria de sistemas solo identifica el nivel de “exposición” por la falta de
controles mientras el análisis de riesgos facilita la evaluación de los riesgos y
recomienda acciones en base al costo-beneficio de la misma. Todas las
metodologías existentes en seguridad de sistemas van encaminadas a establecer
y mejorar un entramado de contramedidas que garanticen que la productividad
de que las amenazas se materialicen en hechos sea lo mas baja posible o al
menos quede reducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoria y el
control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la
realización del trabajo, están diseñadas par producir una lista de riesgos que
pueden compararse entre sí con facilidad por tener asignados unos valores
numérico. Están diseñadas para producir una lista de riesgos que pueden
compararse entre si con facilidad por tener asignados unos valores numéricos.
Estos valores son datos de probabilidad de ocurrencia de un evento que se
debe extraer de un riesgo de incidencias donde el numero de incidencias tiende
al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede
excluir riesgos significantes desconocidos (depende de la capacidad del
profesional para usar el check-list/guía). Basadas en métodos estadísticos y
lógica borrosa, que requiere menos recursos humanos / tiempo que las
metodologías cuantitativas.
Ventajas:
Enfoque lo amplio que se desee.
Plan de trabajo flexible y reactivo.
Se concentra en la identificación de eventos.
Desventajas
• Depende fuertemente de la habilidad y calidad del personal involucrado.
• Identificación de eventos reales más claros al no tener que aplicarles
probabilidades complejas de calcular.
• Dependencia profesional.
Papel de Trabajo: Instrumento que permite obtener información de una
auditoria o que permite evidenciar pruebas efectuadas en la ejecución del
trabajo
Los papeles de trabajo se utilizan para registrar en ellos hallazgos del
desarrollo de la auditoria.
También se dice que son documentos diseñados por el auditor teniendo en
cuenta el alcance la auditoria.
OBJETIVOS DE LOS PAPELES DE TRABAJO
Facilitar la preparación de la auditoria
Registrar evidencia de las pruebas realizadas
Ser fuente básica del informe final del auditor
Servir de registro histórico de las pruebas de auditoria aplicadas
FORMA DE ORGANIZAR LOS DOCUMENTOS DE TRABAJO
Por uso del documento
a. Archivos permanentes: Documentos se pueden utilizar para varias auditorias
Ejemplo: Visión, Misión, infraestructura……..
b. Transitorios: Solo si van por la vigencia de la auditoria que los genera
Por contenido del trabajo: Según el contenido
Dependiendo del tipo de prueba para el que se usa o por el área auditada
Área auditada
Auditor que aplico
Tipo de auditoria
ESTRUCTURA DE UN PAPEL DE TRABAJO
Cuando se diseña un papel de trabajo se tienen que tener las siguientes especificaciones:
Nombre empresa auditada
Nombre papel de trabajo
Periodo auditado
Nombre de personas que aprueba, supervisan y ejecutan el trabajo
Fecha de terminación de cada papel
Identificación de la fuente de información y documentación comprobatoria según el caso
Método de verificación empleado
Alcance de los procedimientos – a donde queremos llegar
Conclusión con respecto a control interno
Recomendaciones
PREGUNTAS PARA EVALUAR SI UN DOCUMENTO DE TRABAJO ESTA BIEN DISEÑADO
• La información que contiene el papel es necesario para la auditoria
• Se puede presentar esta información de una mejor manera o mejor forma
• Debe darse algún dato mas para su comprensión
SUPERVISIÓN DE LOS PAPELES DE TRABAJO
• Es una norma de auditoria y una responsabilidad directa del auditor
TECNICAS APLICABLES
Que instrumentos podemos aplicar para recolectar datos, Existen muchos métodos a continuación expongo algunos de ellos:
Encuestas: Reunión de datos obtenidos mediante consulta o interrogatorio referente a estados o aspectos importantes de la
empresa o de un sistemas.
Entrevista: Técnica de comunicación oral. A través de la cual se busca información de un evento especial
Experimentación: Técnica para probar y examinar las propiedades de un objeto o persona
Inventarios: Identificación de elementos de un área de estudio
Muestreos: Técnica para estudiar la distribución o comportamiento de un problema o situación especifica tomando una fracción
de la población o de algo.
Observación directa: Técnica para ver como se hacen las cosas
Pregunta: técnica para averiguar por hechos datos o situaciones.
TENCINAS PARA LA EVALUACION
ANALISIS: Técnica para estudiar o examinar una situación en particular.
CALCULOS: Técnica utilizada para comprobar exactitud y operaciones.
CONFIRMACION: Técnica para comprobar por escrito información
proveniente de terceros.
CONCILIACION
COMPARACION: Técnica para establecer relación entre dos cosas.
EXAMEN: Técnica para averiguar o estudiar una cosa o hecho
INSPECCION: Técnica para examinar y reconocer un hecho
REVISION DE DOCUMENTOS: Técnica para estudiar documentos
importantes
O B J E T I V O S D E L A AU D I T O R I A
I N F O R M Á T I C A
Control de la función informática
El análisis de la eficiencia de los sistemas informáticos
Verificación de la normativa general de la empresa en el ámbito informático
Revisión de la eficaz gestión de los recursos materiales y humanos informáticos
Tipos:
Interna
• Los recursos y personas pertenecen a la empresa auditada
• Es remunerada
• La organización la controla
Externa
• Los recursos y personas no pertenecen a la empresa auditada
• Es remunerada
• Distancia entre auditores y auditados: mayor objetividad
Auditoria Informática
PLANEACIÓN DE LA AUDITORIA
INF ORM ÁTICA
Permite dimensional el tamaño y las características del área
dentro de la organización a auditar
• Sistemas
• Organización
• Equipos
HERRAMIENTAS A
UTILIZAR
Entrevistas
Visitas a la organización
Estudio de documentación y antecedentes
Cuestionarios
Encuestas
Aporte de la clase..
ENTREVISTA A USUARIOS
Determinar el universo
Definir el objetivo
• Relevamiento de datos
• Comprobación de datos
Diseñarlas – Ver diseños apunte
Estudio Preliminar
• Administración
• Sistemas
Personal
• Capacitado – practica profesional
• Valores morales y éticos
• Eficiente
• Pensar en los roles!!!
• Multidisciplinario • Solo técnicos …NO..Porque?