Auditoria de Sistemas IS-547

Ingeniera de Sistemas

AUDITORA DE SISTEMAS DE INFORMACION SEM

8y9
ESTNDARES APLICABLES A LA AUDITORIA DE SISTEMAS DE INFORMACIN

ESTNDARES GENERALES

1. Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit

and Control Association (ISACA): Las Directrices Gerenciales son un marco
internacional de referencias que abordan las mejores prcticas de auditora y
control de sistemas de informacin. Permiten que la gerencia incluya, comprenda
y administre los riesgos relacionados con la tecnologa de informacin y establezca
el enlace entre los procesos de administracin, aspectos tcnicos, la necesidad de
controles y los riesgos asociados.
2. The Management of the Control of data Information Technology, desarrollado
por el Instituto Canadiense de Contadores Certificados (CICA): Este modelo
est basado en el concepto de roles y establece responsabilidades relacionadas
con seguridad y los controles correspondientes. Dichos roles estn clasificados con
base en siete grupos: administracin general, gerentes de sistemas, dueos,
agentes, usuarios de sistemas de informacin, as como proveedores de servicios,
desarrollo y operaciones de servicios y soporte de sistemas. Adems, hace
distincin entre los conceptos de autoridad, responsabilidad y responsabilidad
respecto a control y riesgo previo al establecimiento del control, en trminos de
objetivos, estndares y tcnicas mnimas a considerar.
3. Estndares de administracin de calidad y aseguramiento de calidad ISO 9000,
desarrollados por la Organizacin Internacional de Estndares (ISO): La coleccin
ISO 9000 es un conjunto de estndares y directrices que apoyan a las
organizaciones a implementar sistemas de calidad efectivos, para el tipo de
trabajo que ellos realizan.
4. SysTrust : Principios y criterios de confiabilidad de Sistemas, desarrollados por
la Asociacin de Contadores Pblicos (AICPA) y el CICA: Este servicio pretende
incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la
confiabilidad en los sistemas por una empresa o actividad en particular. Este
modelo incluye elementos como: infraestructura, software de cualquier
naturaleza, personal especializado y usuarios, procesos manuales y automatizados,
y datos. El modelo persigue determinar si un sistema de informacin es confiable.
(i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo
de tiempo determinado bajo un ambiente dado).
5. Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el
Instituto de Ingeniera de Software (SEI): Este modelo hace posible evaluar las
capacidades o habilidades para ejecutar, de una organizacin, con respecto al
desarrollo y mantenimiento de sistemas de informacin. Consiste en 18 sectores
clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que
CMM es la base de los principios de evaluacin recomendados por COBIT, as como
para algunos de los procesos de administracin de COBIT.
6. Administracin de sistemas de informacin: Una herramienta de evaluacin
prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin
(ITRB): Este es una herramienta de evaluacin que permite a entidades
gubernamentales, comprender la implementacin estratgica de tecnologa de
informacin y comunicacin electrnica que puede apoyar su misin e incrementar
sus productos y servicios.
7. Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE
CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de
la Universidad de Carnegie Mellon: Este modelo describe las caractersticas
esenciales de una arquitectura de seguridad organizacional para tecnologa de
informacin y comunicacin electrnica, de acuerdo con las prcticas
generalmente aceptadas observadas en las organizaciones.

1
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

ESTNDARES ESPECIFICOS

1. ISO 27001:
Esta norma contiene los requisitos del sistema de gestin de seguridad de la
informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual
se certifican por auditores externos los SGSI de las organizaciones. Enumera en
forma de resumen los objetivos de control y controles que desarrolla la ISO 27002.
Esta norma internacional (27001) especifica los requisitos para establecer,
implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI
documentado dentro del contexto global de los riesgos de negocio de la
organizacin. Especifica los requisitos para la implantacin de los controles de
seguridad hechos a medida de las necesidades de organizaciones individuales o
partes de las mismas

2. ISO 15504 (SPICE):

Sistema de calidad de productos software, combina ideas de CMM e ISO 9000.
Sus derivados:
ISO 15504-2, modelo de madurez
ISO 15504-3, requisitos para evaluacin de procesos
ISO 15504-6, competencia, formacin, etc.
Propsito:
Evaluacin del proceso de Ingeniera
Mejora de proceso de ingeniera
Determinacin de capacidades (madurez)
Dirigida a:
Adquiridores
Suministradores
Evaluadores

Permite la evaluacin de procesos software en organizaciones que realicen alguna

de las actividades del ciclo de vida del software:
Adquisicin
Suministro
Desarrollo
Operacin
Mantenimiento
Evolucin
Soporte
Qu ventajas aporta esta norma a las empresas de desarrollo y mantenimiento
software?
Pueden contar con una norma ISO, internacional y abierta.
Integracin ms fcil con otras normas ISO del sector TIC, como son: ISO
27000 de seguridad, ISO 20000 de servicios de IT e ISO 9000.
Evala por niveles de madurez, la evaluacin ms extendida entre los
modelos de mejora.
Normalmente, tiene un menor coste de certificacin que otros modelos
similares.
Existen certificaciones de prestigio, como por ejemplo la otorgada por
AENOR.
Facilita auto evaluacin.
Toma en cuenta el contexto del proceso que se evala.
Entregar una nota del perfil del proceso

2
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

Se ocupa de qu tan adecuadas son las prcticas, en relacin al propsito

del proceso.
Es aplicable para todos los dominios y tamaos de organizaciones.

3. ISO 12207:
Este estndar "establece un marco de referencia comn para los procesos del ciclo
de vida de software, con una terminologa bien definida, que puede ser referenciada
por la industria del software Tiene como objetivo principal proporcionar una
estructura comn para que compradores, proveedores, desarrolladores, personal de
mantenimiento, operadores, gestores y tcnicos involucrados en el desarrollo de
software usen un lenguaje comn. Contiene procesos, actividades y tareas para
aplicar durante la adquisicin de un sistema que contiene software, un producto
software puro o un servicio software, y durante el suministro, desarrollo, operacin y
mantenimiento de productos software.

4. ISO/IEC 17799:
(denominada tambin como ISO 27002) es un estndar para la seguridad de la
informacin. Este estndar internacional de alto nivel para la administracin de la
seguridad de la informacin, fue publicado por la ISO en diciembre de 2000 con el
objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.
Se define como una gua en la implementacin del sistema de administracin de la
seguridad de la informacin, se orienta a preservar los siguientes principios de la
seguridad informtica:
Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la
informacin.
Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por
entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la
informacin cuando la requieran.

****Es importante considerar la forma en que los estndares y las mejores prcticas
van evolucionando, adems de conocer qu tanto ha cambiado su uso por parte de
las organizaciones. Se ha visto que existen procesos de evolucin como a
continuacin se menciona: Evolucin en los estndares y marcos referenciales de la
madurez de procesos. Evolucin de estndares de administracin de proyectos y de
desarrollo de software comercial. Evolucin de estndares de software militar.
Las tendencias de estndares que van surgiendo, van paralelas con lo que ha
sucedido aceleradamente en el sector privado, esto es, dado que se han gestado
numerosos proyectos de sistemas de informacin que han fracasado, y la dura
realidad del incumplimiento de los mismos con las necesidades propias de los clientes
y del negocio en s, ha habido un incremento dramtico en el nmero de
organizaciones en el sector privado que estn persiguiendo agresivamente el uso de
estndares y mejores prcticas, como su estrategia primordial de supervivencia en el
mercado.

EVIDENCIA Es un requisito que las conclusiones del auditor estn basadas en evidencia
suficiente y competente.
Independencia de quien provee la evidencia
Calidad de quien provee la informacin o evidencia
Objetividad de la evidencia
Oportunidad de la evidencia

3
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

La evidencia obtenida de fuentes externas es ms confiable que aquella obtenida en la

Organizacin

Tcnicas para recopilar evidencia:

Revisin del organigrama de SI
Revisin de las polticas, los procedimientos y las normas de SI
Revisin de la documentacin de SI
Entrevistas a personal clave
Observacin de los procesos y el desempeo del personal.

Muestreo
Enfoques generales para el muestreo en auditora:
o Muestreo estadstico
o Muestreo no estadstico
Mtodos de muestreo empleados por los auditores:
o Muestreo de atributos
o Muestreo de variables

Pasos clave en la seleccin de una muestra para una prueba de auditora:

Determinar los objetivos de la prueba
Definir la poblacin a la que se realizar el muestreo
Determinar el mtodo de muestreo, como por ejemplo muestreo por atributos vs
muestreo por variables
Calcular el tamao de la muestra
Seleccionar la muestra
Evaluar la muestra a partir de una perspectiva de auditora.

Evaluacin de fortalezas y debilidades

Evaluar la evidencia
Evaluar la estructura completa del control
Evaluar los procedimientos de control
Evaluar las fortalezas y debilidades del control

El auditor de SI, debe calcular los resultados de las evidencias recogidas para cumplir con los
requerimientos de control y los objetivos establecidos.
Un control fuerte puede compensar un control dbil en otra rea.
Los controles solapados son controles fuertes.
Un auditor de SI debe siempre revisar, en busca de controles de compensacin antes de
reportar una debilidad de control.

Evaluacin de la materialidad de los hallazgos

La materialidad es un punto clave
La evaluacin requiere la aplicacin de criterio profesional, para determinar el efecto
potencial del hallazgo, si no se toma una accin correctiva.

Comunicacin de los resultados de la auditora

Estructura y contenido del informe de auditora
Entrevista final

TCNICAS DE PRESENTACIN
Resumen ejecutivo
Presentacin visual
Presentacin oral

Acciones de la gerencia para implementar las recomendaciones

La auditora es un proceso permanente

4
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

Oportunidad del seguimiento

Documentacin de la Auditora

Gestin de los recursos de Auditora

Los auditores de SI son un recurso limitado
Destrezas y conocimientos apropiados
Limitaciones a la ejecucin de la auditora
Tcnicas de administracin de proyectos

5
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

RECURSOS A UTILIZAR EN LA AUDITORIA

HUMANOS
Auditor
Auditores auxiliares
Programador analista
Especialista en redes informticas

MATERIALES
Folders
Papel Bond
Combustibles
Lapiceros
Computadoras

TIEMPO
Estimar el tiempo segn la naturaleza y de acorde a lo que se va a auditar.
Ejm: Se espera realizar la auditora al sistema conformado de 40 computadoras conectadas en
red en un tiempo probable de 10 das.

TCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA

Evaluacin
Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y
procedimientos que se realizan en una organizacin o rea.

Inspeccin
La inspeccin permite evaluar la eficiencia y eficacia del sistema, en cuanto a operacin y
procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo.

Confirmacin
El aspecto ms importante en la auditoria es la confirmacin de los hechos y la certificacin de
los datos que se obtienen en la revisin, ya que el resultado final de la auditoria es la emisin de
un dictamen donde el auditor expone sus opiniones, este informe es aceptado siempre y cuando
los datos sean veraces y confiables
Comparacin: es la comparacin de los datos obtenidos en un rea o en toda la
organizacin y cotejando esa informacin con los datos similares o iguales de otra
organizacin con caractersticas semejantes.
Revisin Documental para recopilar informacin relacionada con la actividad,
operacin o funcin que se realiza en el rea informtica, as como tambin se puede
observar anticipadamente su cumplimiento

Matriz DOFA
Este es un mtodo de anlisis y diagnstico usado para la evaluacin de un centro de cmputo,
que permite la evaluacin del desempeo de los sistemas software, aqu se evalan los factores
internos y externos, para que el auditor puede evaluar el cumplimiento de la misin y objetivo
general del rea de informtica de la organizacin.

RECOLECCION DE INFORMACION

1. Cuestionarios
2. Entrevistas
3. Checklist
4. Trazas y huellas

6
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

CUESTIONARIOS: Las auditoras informticas se materializan recabando informacin y

documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades
para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. Estos
cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y
muy especficos para cada situacin, y muy cuidados en su fondo y su forma.

ENTREVISTAS. La entrevista es una de las actividades personales ms importante del auditor;

en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios
propios puramente tcnicos o por las respuestas escritas a cuestionarios. El auditor informtico
experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el
auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin
sencillas.

CHECKLISTS: El auditor conversar y har preguntas "normales", que en realidad servirn para
la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklist. El conjunto de estas
preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser
contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.

TRAZAS Y/O HUELLAS: Estas Trazas se utilizan para comprobar la ejecucin de las
validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el
Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de
antemano las fechas y horas ms adecuadas para su empleo. La auditora financiero-contable
convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo
correcto de los clculos de nminas, primas, etc.

CLASIFICACIN POR REAS DE APLICACIN DE LA AUDITORIA INFORMTICA

1. Planificacin
2. Organizacin y Administracin
3. Desarrollo de Sistemas
4. Explotacin
5. Entorno de hardware
6. Entorno de software

1. PLANIFICACIN: Donde se pasa revista a las distintas fases de la planificacin.

Objetivos: Determinar que planes del proceso de datos estn coordinados con los planes
generales de la organizacin. Revisar planes de informtica y determinar su idoneidad.
Contrastar el plan con su realizacin. Determinar el grado de participacin y
responsabilidad de directivos y usuarios en la planificacin.
2. ORGANIZACIN Y ADMINISTRACIN En este punto se examinaran aspectos como las
relaciones con los usuarios, con los proveedores, asignacin de recursos, procedimientos,
etc.
Objetivos: Revisin del organigrama y dependencias funcionales. Verificar estndares de
documentacin. Revisar la poltica de personal. Evaluar distribucin de funciones.
3. DESARROLLO DE SISTEMAS. rea importante donde la auditora deber velar por la
adecuacin de la informtica a las necesidades reales de la Empresa.
Objetivos y puntos a verificar: Examinar metodologa de construccin en uso. Revisar la
definicin de los objetivos del sistema, analizar si cumple con las necesidades de los
usuarios. Revisar el control y planificacin del proyecto.
4. EXPLOTACIN: Aqu se analizarn los procedimientos de operacin y explotacin en el
centro de proceso de datos.
Objetivos: Evaluar la eficiencia y eficacia de operacin del rea de produccin. Comprende
la evaluacin de los equipos de computacin, procedimientos de entradas de datos,
controles, archivos, seguridad y obtencin de la informacin.

7
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

5. ENTORNO DE HARDWARE: Donde se vigilar entre otras cosas los locales, el software
de acceso, alarmas, sistemas anti-incendios, proteccin de los sistemas, fiabilidad del
Hardware, etc.
Objetivo: Determinacin de la performance del hardware. Revisar la utilizacin del
hardware. Examinar los estudios de adquisicin del hardware. Comprobar condiciones
ambientales y de seguridad del hardware. Verificar los controles de acceso y seguridad
fsica.
6. ENTORNO DEL SOFTWARE. En esta rea la Auditoria Informtica analizar los sistemas
de prevencin y deteccin de fraudes, los exmenes a aplicaciones concretas, los
controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y
seguridad del software.
Objetivos: Revisar la seguridad lgica de los datos y programas. Revisar la seguridad
lgica de las libreras de los programadores. Examinar los controles sobre los datos

METODOLOGA PARA REALIZAR AUDITORA

ETAPAS PASOS A REALIZAR

1. Identificar el origen de la auditoria
2. Realizar una visita preliminar al rea que ser evaluada
3. Establecer los objetivos de la auditoria
4. Determinar los puntos que sern evaluados en la auditoria
5. Elaborar planes, programas y presupuestos para realizar la auditoria
6. Identificar y seleccionar los mtodos, herramientas, instrumentos y
PLANEACIN DE procedimientos necesarios para la auditoria
LA AUDITORIA 7. Asignar los recursos y sistemas computacionales para la auditoria
DE SISTEMAS
1. Realizar las acciones programadas para la auditoria
2. Aplicar los instrumentos y herramientas para la auditoria
EJECUCIN DE 3. Identificar y elaborar los documentos de oportunidades de
LA Mejoramiento encontradas
AUDITORIA DE 4. Elaborar el dictamen preliminar y presentarlo a discusin
SISTEMAS 5. Integrar el legajo de papeles de trabajo de la auditoria
DICTAMEN DE
LA 1. Analizar la informacin y elaborar un informe de situaciones detectadas
AUDITORIA DE 2. Elaborar el dictamen final
SISTEMAS 3. Presentar el informe de auditoria

8
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

El informe de auditora
1. Caratula, conteniendo la identificacin del informe, periodo, y empresaevaluada motivo de
la evaluacin.2. Cabecera con el logo de la empresa auditora (parte superior izquierda), pie
depgina con la fecha de presentacin del informe (parte inferior derecha)3. Identificacin del
informe: un nombre que lo identifique de otros informes.4. Identificacin del
cliente: destinatarios y personas que solicitan la auditora.5. Identificacin de la entidad
auditada: organizacin/entidad/rea objeto de laauditoria de sistemas.6. Objetivos de la
auditoria de sistemas: identificar el propsito de la auditoria.Para el caso, se deber indicar
todos los objetivos de acuerdo a la metodologadesarrollada en clase, teniendo en cuenta que
no todos los objetivos se handesarrollado.7. Normativa aplicada: identificar las normas legales
y profesionales. Ejemplo:Normas profesionales Normas legales COBIT 4.1, etc.8. Alcance
de la auditoria: Naturaleza y extensin del trabajo, a saber:a. rea de la organizacin:
Ejemplo: Departamento de TI - UNTb. Periodo de la auditoria: Ejemplo: 01/10/08 al
8/10/08c. Sistemas/reas a auditar: Ejemplo: Auditoria integrald. Herramientas utilizadas:
Describir las herramientas utilizadas en elproceso de auditoriae. Limitaciones al alcance:
Ejemplo: No se audita el contenido de lastablas, sino su diseo y estructura en cuanto a la
normalizacin dedatos segn el modelo de Boyce Codd.f. Restricciones del objeto
auditado: Ejemplo: No existen. Se provee todoel sistema en su versin de fuentes, ejecutables,
ayudas y accesorios.-9. Informe corto Resultados Dictamen Opiniones Prrafos de
salvedades ynfasis de ser necesarios. Se deben colocar todas las observacionesagrupadas
por objetivos principales y sus respectivas recomendacionesresumidos, adems por cada
objetivo se debe emitir una opinin.Teniendo en cuenta los resultados producto del desarrollo
de los objetivos, losauditores debern emitir una:a. Opinin favorable: opinin calificada sin
salvedades, limpia, clara yprecisa. No tiene limitaciones de alcance y sin incertidumbre.
Estnacordes con la normativa legal y profesional.- Deben ser expresadas enlenguaje
coloquial, sin ambigedades y medible en todos sus trminos.Ejemplos: Las tablas del SGBD
estn normalizadas y respetan elmodelo de Boyce Codd. // El cdigo fuente del sistema de
cuentascorrientes de clientes, respeta los principios de automatismo ydeterminismo.b. Opinin
con salvedades: opiniones favorables, pero que se afectan porlas siguientes
circunstancias:i. Limitaciones al alcance del trabajo realizado, restricciones porparte del rea
auditada, por ejemplo.ii. Incertidumbre que no permite una previsin
razonable.iii. Irregularidades significativasiv. Incumplimiento de la normativa legal
y profesional.Ejemplos: Las tablas del SGBD estn normalizadas y respetan elmodelo de 3era
FN. No obstante, en el manual de diseo de bases dedatos del sistema, se exige el modelado
de los datos segn el modelode 5ta forma normal de Boyce Codd. // El cdigo fuente del
sistema decuentas corrientes de clientes respeta el principio de automatismo, masno asi el
de determinismo. En un 20% el sistema no se comportodeterminsticamente ante un mismo
lote de prueba.-

COBIT

COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de

informacin y tecnologa, orientado a todos los sectores de una organizacin

DISTRIBUCIN DE LOS DOMINIOS Y PROCESOS DE COBIT 4.1

DOMINIOS PROCESOS
po1 definir un plan estratgico de .
PLANEACIN Y po2 definir la arquitectura de informacin.
ORGANIZACIN (PO) po3 determinar la direccin tecnolgica.

9
 Auditoria de Sistemas IS-547
Ingeniera de Sistemas

po4 definir la organizacin y relaciones de .

po5 manejar la inversin en .
po6 comunicar las directrices gerenciales.
po7 administrar recursos humanos.
po8 asegurar el cumplir requerimientos externos.
po9 evaluar riesgos.
po10 administrar proyectos.
po11 administrar calidad.
ai1 identificar soluciones.
ai2 adquisicin y mantener software de aplicacin.
ai3 adquirir y mantener arquitectura de .
ai4 desarrollar y mantener procedimientos relacionados con .
ADQUISICIN E ai5 instalar y acreditar sistemas.
IMPLEMENTACIN (AI) ai6 administrar cambios
ds1 definir niveles de servicio.
ds2 administrar servicios de terceros.
ds3 administrar desempeo y calidad.
ds4 asegurar servicio continuo.
ds5 garantizar la seguridad de sistemas.
ds6 identificar y asignar costos.
ds7 capacitar usuarios.
ds8 asistir a los clientes de .
ds9 administrar la configuracin.
ds10 administrar problemas e incidentes.
ds11 administrar datos.
ds12 administrar instalaciones.
SERVICIOS Y SOPORTE (DS) ds13 administrar operaciones
m1 monitorear los procesos.
m2 evaluar lo adecuado del control interno.
m3 obtener aseguramiento independiente.
MONITOREO (M) m4 proveer auditora independiente.

10