Metodologa de Auditora Informtica -1.- Introduccin

Metodologa es una secuencia de pasos lgica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologas para llevar a cabo una auditoria informtica.El contenido de este documento tratara en forma general las mismas, as como de manera particular CRMR (Computer Resource Management Review)El objetivo del trabajo prctico se divide en dos partes. En primer lugar, describir las metodologas de auditora informtica en forma general. En segundo lugar profundizar sobre una metodologa en particular, CRMR.En la primera parte se darn a conocer los puntos o fases que toda auditora debe tener en cuenta. En la segunda parte se har un estudio de la metodologa elegida para corroborar las conclusiones obtenidas en la primera parte de la investigacin.El trabajo constar con el anlisis detallado de tan solo una metodologa, la misma debe ser usada extensamente y estar disponible para su estudio.

2.- Metodologa de trabajo de Auditora Informtica

2.1- Etapas de la Metodologa

El mtodo de trabajo del auditor pasa por las siguientes etapas: Alcance y Objetivos de la Auditora Informtica Estudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora Elaboracin del plan y de los Programas de Trabajo Actividades propiamente dichas de la auditora Confeccin y redaccin del Informe Final Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final

2.1.1- Fase 1: Definicin de Alcance y Objetivos

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no van a ser auditadas.Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.Las personas que realizan la auditora han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los Controles Generales de Gestin Informtica.

2.1.2- Fase 2: Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informtica.Para su realizacin el auditor debe conocer lo siguiente:Organizacin: Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:1) Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar.Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia.2) Departamentos: Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos.3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario, indican relaciones no estrictamente subordinables.4) Flujos de Informacin: Adems de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extradepartamentales.Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama.En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa.Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades personales o simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones en la organizacin.5) Nmero de Puestos de trabajoEl equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la organizacin corresponden a las funciones reales distintas.Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones operativas redundantes.Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes. 6) Nmero de personas por Puesto de TrabajoEs un parmetro que los auditores informticos deben considerar. La inadecuacin del personal determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin.

2.1.3- Fase 3: Entorno Operacional

El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va a desenvolverse.Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:a. Situacin geogrfica de los Sistemas:Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en la empresa. A continuacin, se verificar la existencia de responsables en cada unos de ellos, as como el uso de los mismos estndares de trabajo.b. Arquitectura y configuracin de Hardware y Software:Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuracin de los sistemas esta muy ligada a las polticas de seguridad lgica de las compaas.Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de los equipos. c. Inventario de Hardware y Software:

El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y remotas, perifricos de todo tipo, etc.El inventario de software debe contener todos los productos lgicos del Sistema, desde el software bsico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.d.Comunicacin y Redes de Comunicacin:En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas principales de las lneas, as como de los accesos a la red pblica de comunicaciones.Igualmente, poseern informacin de las Redes Locales de la Empresa.Aplicaciones bases de datos y ficheros El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo siguiente: a. Volumen, antigedad y complejidad de las Aplicaciones

b. Metodologa del Diseo

Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr de manifiesto. c. Documentacin

La existencia de una adecuada documentacin de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.La documentacin de programas disminuye gravemente el mantenimiento de los mismos. d. Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabar informacin de tamao y caractersticas de las Bases de Datos, clasificndolas en relacin y jerarquas. Hallar un promedio de nmero de accesos a ellas por hora o das. Esta operacin se repetir con los ficheros, as como la frecuencia de actualizaciones de los mismos.Estos datos proporcionan una visin aceptable de las caractersticas de la carga informtica.

2.1.4- Fase 4: Determinacin de recursos de la Auditora Informtica

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditora.- Recursos humanos- Recursos materialesRecursos materiales Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.Los recursos materiales del auditor son de dos tipos:a. Recursos materiales SoftwareProgramas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos del cliente para verificarlos.Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.b. Recursos materiales HardwareLos recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado.Para lo cul habr de convenir el, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.

Recursos Humanos La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado depende de la materia auditable.Es igualmente sealable que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.Perfiles Profesionales de los auditores informticosProfesinActividades y conocimientos deseablesInformtico en generalCon experiencia amplia en ramas distintas. Es deseable que su labor se haya desarrollado en Explotacin y en Desarrollo de Proyectos. Conocedor de Sistemas.Experto en Desarrollo de ProyectosAmplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologas de Desarrollo ms importantes.Tcnico de SistemasExperto en Sistemas Operativos y Software Bsico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotacin.Experto en Bases de Datos y Administracin de las mismas.Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotacinExperto en Software de ComunicacinAlta especializacin dentro de la tcnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.Experto en Explotacin y Gestin de CPDSResponsable de algn Centro de Computos. Amplia experiencia en Automatizacin de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas.Tcnico de OrganizacinExperto organizador y coordinador. Especialista en el anlisis de flujos de informacin.Tcnico de evaluacin de CostesEconomista con conocimiento de Informtica. Gestin de costes.Elaboracin del Plan y de los programas de trabajo Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo.El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y costosa.b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal. En el Plan no se consideran calendarios, porque se manejan recursos genricos y no especficos En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. El Plan establece disponibilidad futura de los recursos durante la revisin. El Plan estructura las tareas a realizar por cada integrante del grupo. En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.

2.1.5- Fase 5: Actividades de la Auditora Informtica

Auditora por temas generales o por reas especficas: La auditora Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos.Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor calidad.Tcnicas de Trabajo: Anlisis de la informacin recabada del auditado Anlisis de la informacin propia Cruzamiento de las informaciones anteriores Entrevistas Simulacin Muestreos Herramientas: Cuestionario general inicial Cuestionario Checklist Estndares Monitores Simuladores (Generadores de datos) Paquetes de auditora (Generadores de Programas) Matrices de riesgo

2.1.6- Fase 6: Informe Final

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad.Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.Estructura del informe final El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Definicin de objetivos y alcance de la auditora. Enumeracin de temas considerados: Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora. Cuerpo expositivo: Para cada tema, se seguir el siguiente orden a saber:a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin realb) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras.c) Puntos dbiles y amenazasd) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica.e) Redaccin posterior de la Carta de Introduccin o Presentacin.Modelo conceptual de la exposicin del informe final: El informe debe incluir solamente hechos importantes.La inclusin de hechos poco relevantes o accesorios desva la atencin del lector. El Informe debe consolidar los hechos que se describen en el mismo.El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:1. El hecho debe poder ser sometido a cambios.2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin.3. No deben existir alternativas viables que superen al cambio propuesto.4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y estndares existentes en la instalacin.La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad que ha de ser corregida.Flujo del hecho o debilidad:1 Hecho encontrado Ha de ser relevante para el auditor y pera el cliente Ha de ser exacto, y adems convincente. No deben existir hechos repetidos.2 Consecuencias del hecho Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.3 Repercusin del hecho Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa.4 Conclusin del hecho No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja. 5 Recomendacin del auditor informtico Deber entenderse por s sola, por simple lectura. Deber estar suficientemente soportada en el propio texto. Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin. La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

2.1.7- Fase 7: Carta de Introduccin o Presentacin del Informe Final

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora.As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin.La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios Incluir fecha, naturaleza, objetivos y alcance Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad.En la carta de Introduccin no se escribirn nunca recomendaciones.

2.2- Herramientas y Tcnicas para la Auditora Informtica

- Cuestionarios- Entrevistas- Checklist- Trazas y/o Huellas- Software de interrogacinCuestionariosLas auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias.Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar.Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora.Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran proporcionado. EntrevistasEl auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas:1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad.2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario.3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas.La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.ChecklistEl auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio que el auditor debe poseer.Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica.El auditor deber aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa" de calificacin o evaluacin:a. Checklist de rangoContiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)Ejemplo de Checklist de rango: Se supone que se est realizando una auditora sobre la seguridad fsica de una instalacin y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Computos. Podran formularse las preguntas que figuran a continuacin, en donde las respuestas tiene los siguientes significados:1 : Muy deficiente2 : Deficiente3 : Mejorable4 : Aceptable5 : CorrectoSe figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan clasificadas previamente. Basta con que el auditor lleve un pequeo guin. La cumplimentacin del Checklist no debe realizarse en presencia del auditado.Existe personal especfico de vigilancia externa al edificio? -No, solamente un guardia por la noche que atiende adems otra instalacin adyacente.

Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los aledaos del Centro de Computos? -Si, pero sube a las otras 4 plantas cuando se le necesita.

Hay salida de emergencia adems de la habilitada para la entrada y salida de mquinas? -Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.

El personal de Comunicaciones, Puede entrar directamente en la Sala de Computadoras? -No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa muy justificada, y avisando casi siempre al Jefe de Explotacin.

El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente. b. Checklist BinarioEs el constituido por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente.Ejemplo de Checklist Binario: Se supone que se est realizando una Revisin de los mtodos de pruebas de programas en el mbito de Desarrollo de Proyectos.Existe Normativa de que el usuario final compruebe los resultados finales de los programas?

Conoce el personal de Desarrollo la existencia de la anterior normativa?

Se aplica dicha norma en todos los casos?

Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales?

Obsrvese como en este caso estn contestadas las siguientes preguntas:Se conoce la norma anterior?

Se aplica en todos los casos? Los Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la evaluacin que en el checklist binario. Sin embargo, la bondad del mtodo depende excesivamente de la formacin y competencia del equipo auditor.Los Checklists Binarios siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una vez construidos, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genrico del frente a la mayor riqueza del intervalo.No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin correspondientes en las preguntas a realizar.Trazas y/o HuellasCon frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa.Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio para segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los lmites.No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que proporciona el propio Sistema: As, los ficheros de Accounting o de contabilidad, en donde se encuentra la produccin completa de aqul, y los Log de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc.La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.Software de Interrogacin Hasta hace ya algunos aos se han utilizado productos software llamados genricamente paquetes de auditora, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico.Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin.En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin ms relevante para su trabajo.Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin parcial generada por la organizacin informtica de la Compaa.Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe realizarse principalmente con los productos del cliente.Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.

3- CRMR (Computer Resource Management Review)

- Definicin de la Metodologa CRMR

- Areas de aplicacin- Objetivos- Alcance- Informacin necesaria para la evaluacin del CRMR- Informacin necesaria para la realizacin del CRMR- Caso prctico de una Auditora de Seguridad Informtica "Ciclo de Seguridad"

3.1- Definicin de la Metodologa CRMR

CRMR son las siglas de Computer resource management review, su traduccin ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management.Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios.Supuestos de aplicacinEn funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de Datos.El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan: Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso. Existen sobrecargas frecuentes de capacidad de proceso. Existen costes excesivos de proceso en el Centro de Proceso de Datos.Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin.

3.2- Areas de Aplicacin

Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en punto anterior: Gestin de Datos Control de Operaciones Control y utilizacin de recursos materiales y humanos Interfaces y relaciones con usuarios Planificacin Organizacin y administracinCiertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de un Proyecto complejo.

3.3- Objetivos

CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan: Identificar y fijar responsabilidades Mejorar la flexibilidad de realizacin de actividades Aumentar la productividad Disminuir costes Mejorar los mtodos y procedimientos de Direccin

3.4- Alcance

Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.Se establecen tres clases:1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de obtencin de beneficios.2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se hace en la auditora informtica ordinaria.3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las Recomendaciones, a la par que desarrolla las conclusiones.

3.5- Informacin necesaria para la evaluacin del CRMR

Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditora y consultora pueda llevarse a cabo con xito.1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del Centro de Proceso de Datos del cliente, y con los recursos de ste.2. Se deber cumplir un detallado programa de trabajo por tareas.3. El auditor-consultor recabar determinada informacin necesaria del cliente. Se tratan a continuacin los tres requisitos expuestos:1. Integracin del auditor en el Centro de Procesos de Datos a revisar No debe olvidarse que se estn evaluando actividades desde el punto de vista gerencial. El contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite a aqul determinar el tipo de esquema organizativo que se sigue. 2. Programa de trabajo clasificado por tareas Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas se someter a la siguiente sistemtica: Identificacin de la tarea Descripcin de la tarea Descripcin de la funcin de direccin cuando la tarea se realiza incorrectamente. Descripcin de ventajas, sugerencias y beneficios que puede originar un cambio o modificacin de tarea Test para la evaluacin de la prctica directiva en relacin con la tarea Posibilidades de agrupacin de tareas Ajustes en funcin de las peculiaridades de un departamento concreto Registro de resultados, conclusiones y Recomendaciones.

3.6- Informacin necesaria para la realizacin del CRMR

El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo.Se exhibe a continuacin una Checklist completa de los datos necesarios para confeccionar el CRMR: Datos de mantenimiento preventivo de Hardware Informes de anomalas de los sistemas Procedimientos estndar de actualizacin. Procedimientos de emergencia. Monitoreo de los Sistemas. Informes del rendimiento de los Sistemas. Mantenimiento de las Libreras de Programas. Gestin de Espacio en disco. Documentacin de entrega de Aplicaciones a Explotacin. Documentacin de alta de cadenas en Explotacin. Utilizacin de CPU, canales y discos. Datos de paginacin de los Sistemas. Volumen total y libre de almacenamiento. Ocupacin media de disco. Manuales de Procedimientos de Explotacin.Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de las Recomendaciones realizadas.

3.7- Caso Prctico de una Auditora de Seguridad Informtica "Ciclo de Seguridad"

A continuacin, un caso de auditora de rea general para proporcionar una visin ms desarrollada y amplia de la funcin auditora.Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio, como la seguridad lgica de datos, procesos y funciones informticas ms importantes de aqul.Ciclo de Seguridad El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la misma en los rganos ms importantes de la estructura informtica.Para ello, se fijan los supuestos de partida:El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.Los segmentos se dividen en: Secciones.Las secciones se dividen en: Subsecciones.De este modo la auditora se realizara en 3 niveles.Los segmentos a auditar, son: Segmento 1: Seguridad de cumplimiento de normas y estndares Segmento 2: Seguridad de Sistema operativo Segmento 3: Seguridad de Software. Segmento 4: Seguridad de Comunicaciones. Segmento 5: Seguridad de Base de Datos. Segmento 6: Seguridad de Proceso. Segmento 7: Seguridad de Aplicaciones. Segmento 8: Seguridad Fsica.Se darn los resultados globales de todos los segmentos y se realizar un tratamiento exhaustivo del Segmento 8, a nivel de seccin y subseccin.El siguiente ejemplo se puede desarrollar en 4 fases bien diferenciadas:Fase 0. Causas de la realizacin del ciclo de seguridad.Fase 1. Estrategia y logstica del ciclo de seguridad.Fase 2. Clculos y resultados del ciclo de seguridad.Fase 3. Confeccin del informe del ciclo de seguridad.A su vez, las actividades auditoras se realizan en el orden siguiente: 1. Comienzo del proyecto de Auditora Informtica

2. Asignacin del equipo auditor3. Asignacin del equipo interlocutor del cliente.4. Cumplimentacin de formularios globales y parciales por parte del cliente.5. Asignacin de pesos tcnicos por parte del equipo auditor.6. Asignacin de pesos polticos por parte del cliente.7. Asignacin de pesos finales a segmentos y secciones.8. Preparacin y confirmacin de entrevistas.9. Entrevistas, confrontaciones y anlisis y repaso de documentacin.10. Calculo y ponderacin de subsecciones, secciones y segmentos.11. Identificacin de reas mejorables.12. Eleccin de las reas de actuacin prioritaria.13. Preparacin de recomendaciones y borrador de informe14. Discusin de borrador con cliente. 15. Entrega del informeFase 0 : Causas de realizacin de una Auditora de SeguridadEsta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma.El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situacin de ineficiencia global notoria, etc.De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar el Plan de Trabajo.Fase 1 : Estrategia y logstica del ciclo de Seguridad Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3:Fase 1. Estrategia y logstica del ciclo de seguridad 1. Designacin del equipo auditor.2. Asignacin de interlocutores, validadores y decisores del cliente3. Cumplimentacin de un formulario general por parte del cliente, para la realizacin del estudio inicialCon las razones por las cuales va a ser realizada la auditora (Fase 0), el equipo auditor disea el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en funcin del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del punto anterior.Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La adecuacin de estos se realiza mediante un desarrollo logstico, en el que los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinacin y distribucin de los mencionados recursos, determina a su vez la eficiencia y la economa del Proyecto.Los planes del equipo auditor se desarrolla de la siguiente manera:1. Eligiendo el responsable de la auditora su propio equipo de trabajo. Este ha de ser heterogneo en cuanto a especialidad, pero compacto.2. Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores, para las peticiones de informacin, coordinacin de entrevistas, etc.

3. Mediante un estudio inicial, del cual forma parte el anlisis de un formulario exhaustivo, tambin inicial, que los auditores entregan al cliente para su cumplimentacin.

Segn los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estar en disposicin de comenzar la "tarea de campo", la operativa auditora del Ciclo de Seguridad.4.Las entrevistas deben realizarse con exactitud. El responsable del equipo auditor designar a un encargado, dependiendo del rea de la entrevista. Este, por supuesto, deber conocer a fondo la misma.La realizacin de entrevistas adecuadas constituye uno de los factores fundamentales del xito de la auditora. La adecuacin comienza con la completa cooperacin del entrevistado. Si esta no se produce, el responsable lo har saber al cliente.Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles jerrquicos distintos. El mismo auditor puede, y en ocasiones es conveniente, entrevistar a la misma persona sobre distintos temas. Las entrevistas deben realizarse de acuerdo con el plan establecido, aunque se pueden llegar a agregar algunas adicionales y sin planificacin.La entrevista concreta suele abarcar Subsecciones de una misma Seccin tal vez una seccin completa. Comenzada la entrevista, el auditor o auditores formularn preguntas al/los entrevistado/s. Debe identificarse quien ha dicho qu, si son ms de una las personas entrevistadas.Los Checklists son tiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las respuestas del auditado (no debe estar presente) y procede al levantamiento de la informacin correspondiente.Simultneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y pruebas sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. Estas pruebas se realizan ejecutando trabajos propios o repitiendo los de aqul, que indefectiblemente debern ser similares si se han reproducido las condiciones de carga de los Sistemas auditados. Si las pruebas realizadas por el equipo auditor no fueran consistentes con la informacin facilitada por el auditado, se deber recabar nueva informacin y volver a verificar los resultados de las pruebas auditoras.La evaluacin de los Checklists, las pruebas realizadas, la informacin facilitada por el cliente y el anlisis de todos los datos disponibles, configuran todos los elementos necesarios para calcular y establecer los resultados de la auditora, que se materializarn en el informe final.A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos del Segmento de Seguridad Fsica:Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones: 1. Autorizaciones

2. Controles Automticos3. Vigilancia4. RegistrosEn los siguientes Checklists, las respuestas se calificarn de 1 a 5, siendo1 la ms deficiente y 5 la mxima puntuacin.Control de Accesos: AutorizacionesPreguntasRespuestasPuntosExiste un nico responsable de implementar la poltica de autorizaciones de entrada en el Centro de Computos?Si, el Jefe de Explotacin, pero el Director puede acceder a la Sala con acompaantes sin previo aviso.4Existe alguna autorizacin permanente de estancia de personal ajeno a la empresa?Una sola. El tcnico permanente de la firma suministradora.5Quines saben cuales son las personas autorizadas?El personal de vigilancia y el Jefe de Explotacin.5Adems de la tarjeta magntica de identificacin, hay que pasar otra especial?No, solamente la primera.4Se pregunta a las visitas si piensan visitar el Centro de Computos?No, vale la primera autorizacin.3Se preveen las visitas al Centro de Computos con 24 horas al menos?No, basta que vayan acompaados por el Jefe de Explotacin o Director3TOTAL AUTORIZACIONES24/30 80%Control de Accesos: Controles AutomticosPreguntasRespuestasPuntosCree Ud. que los Controles Automticos son adecuados?Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal.3Qudan registradas todas las entradas y salidas del Centro de Computos?No, solamente las del personal ajeno a Operacin.3Al final de cada turno, Se controla el nmero de entradas y salidas del personal de Operacin?S, y los vigilantes los reverifican.5Puede salirse del Centro de Computos sin tarjeta magntica?Si, porque existe otra puerta de emergencia que puede abrirse desde adentro3TOTAL CONTROLES AUTOMATICOS14/20 70%Control de Accesos: VigilanciaPreguntasRespuestasPuntosHay vigilantes las 24 horas?S.5Existen circuitos cerrados de TV exteriores?S.5Identificadas las visitas, Se les acompaa hasta la persona que desean ver?No.2Conocen los vigilantes los terminales que deben quedar encendidos por la noche?No, sera muy complicado.2TOTAL VIGILANCIA14/20 70%Control de Accesos: RegistrosPreguntasRespuestasPuntosExiste una adecuada poltica de registros?No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad.1Se ha registrado alguna vez a una persona?Nunca.1Se abren todos los paquetes dirigidos a personas concretas y no a Informtica?Casi nunca.1Hay un cuarto para abrir los paquetes?Si, pero no se usa siempre.3TOTAL REGISTROS6/20 30%Fase 2 : Clculos y Resultados del Ciclo de Seguridad Clculos y resultados del ciclo de seguridad 1. Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan.2. Identificacin de materias mejorables.3. Priorizacin de mejoras.En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditora de Seguridad.El trabajo de levantamiento de informacin est concluido y contrastado con las pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el informe final. Solo faltara calcular el porcentaje de bondad de cada rea; ste se obtiene calculando el sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus pesos correspondientes.Una vez realizado los clculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuacin para lograrlas.Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos: Autorizaciones 80% Controles Automticos 70% Vigilancia 70% Registros 30% Promedio de Control de Accesos 62,5% Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin de Control de Accesos tiene un peso final de 4.Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras cuatro Secciones, obtenindose los siguientes resultados:Ciclo de Seguridad: Segmento 8, Seguridad Fsica.SeccionesPesoPuntosSeccin 1. Datos657,5%Seccin 2. Control de Accesos462,5%Seccin 3. Equipos (Centro de Computos)570%Seccin 4. Documentos352,5%Seccin 5. Suministros247,2%Conocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y ponderar el Segmento 8 de Seguridad Fsica:Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5)Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20Seg. 8 = 59,85%A continuacin, la evaluacin final de los dems Segmentos del ciclo de Seguridad:Ciclo de Seguridad. Evaluacin y pesos de SegmentosSegmentosPesosEvaluacinSeg1. Normas y Estndares1061%Seg2. Sistema Operativo1090%Seg3. Software Bsico1272%Seg4. Comunicaciones1255%Seg5. Bases de Datos1277,5%Seg6. Procesos1451,2%Seg7. Aplicaciones1650,5%Seg8. Seguridad Fsica1459,8%Promedio Total Area de Seguridad10063,3%Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad: a. Valoracin de las respuestas a las preguntas especficas realizadas en las entrevistas y a los cuestionarios formulados por escrito.b. Clculo matemtico de todas las subsecciones de cada seccin, como media aritmtica (promedio final) de las preguntas especficas. Recurdese que las subsecciones no se ponderan.c. Clculo matemtico de la Seccin, como media aritmtica (promedio final) de sus Subsecciones. La Seccin calculada tiene su peso correspondiente.d. Clculo matemtico del Segmento. Cada una de las Secciones que lo componen se afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su vez, tiene asignado su peso.e. Clculo matemtico de la auditora. Se multiplica cada valor de los Segmentos por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo asignado a priori a la suma de los pesos de los segmentos.Finalmente, se procede a mostrar las reas auditadas con grficos de barras, exponindose primero los Segmentos, luego las Secciones y por ltimo las Subsecciones. En todos los casos s referenciarn respecto a tres zonas: roja, amarilla y verde.La zona roja corresponde a una situacin de debilidad que requiere acciones a corto plazo. Sern las ms prioritarias, tanto en la exposicin del Informe como en la toma de medidas para la correccin.La zona amarilla corresponde a una situacin discreta que requiere acciones a medio plazo, figurando a continuacin de las contenidas en la zona roja.La zona verde requiere solamente alguna accin de mantenimiento a largo plazo.

Fase 3 : Confeccin del Informe del Ciclo de Seguridad Confeccin del informe del ciclo de seguridad 1. Preparacin de borrador de informe y Recomendaciones 2. Discusin del borrador con el cliente 3. Entrega del Informe y Carta de Introduccin

Ha de resaltarse la importancia de la discusin de los borradores parciales con el cliente. La referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del punto cuestionado. Este acta se incorporar al Informe Final.Las Recomendaciones del Informe son de tres tipos:1. Recomendaciones correspondientes a la zona roja. Sern muy detalladas e irn en primer lugar, con la mxima prioridad. La redaccin de las recomendaciones se har de modo que sea simple verificar el cumplimiento de la misma por parte del cliente.2. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a medio plazo, e igualmente irn priorizadas.

3. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una accin sencilla y econmica pueda originar beneficios importantes.

4.- Preguntas

1. Qu es una metodologa?Es una secuencia de pasos lgica y ordenada de proceder para llegar a un resultado determinado. 2. Qu es una metodologa de trabajo de auditora informtica? Es una serie de pasos para llevar a cabo una auditora informtica 3. Cuales son las etapas de una metodologa? Alcance y Objetivos de la Auditora Informtica Estudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora Elaboracin del plan y de los Programas de Trabajo Actividades propiamente dichas de la auditora Confeccin y redaccin del Informe Final Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final. 4. Para qu sirve definir los alcances y objetivos en una auditora?La auditora sin alcances y objetivos puede terminar siendo una actividad muy costosa y sin beneficios. La definicin de los alcances y objetivos sirve para poder acotar el trabajo y conocer los resultados obtenidos. 5. Por qu es ms costosa una auditora general que una especfica?Por lo que implica c ada una. Una auditora especfica es mas acotada, no requiere una investigacin tan extensa y es ms fcil determinar los objetivos y medir los resultados. 6. En qu consiste la etapa del estudio inicial?Consiste en conocer como esta constituida la empresa, sus procesos, su entorno operacional y los procesos informticos realizados hasta el momento. 7. Qu elementos deben ser analizados en la etapa "Estudio Inicial" de una auditora? Organigrama Departamentos Relaciones Jerrquicas y funcionales entre rganos de la Organizacin Flujos de Informacin Persona 8. En qu consiste la etapa Entorno Operacional?El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Por lo tanto se realiza un estudio del entorno de la auditora. El entorno puede ser la situacin geogrfica del sistema, la arquitectura de hardware y software o las comunicaciones o entorno de redes. 9. En qu consiste la etapa Determinacin de recursos de la auditora Informtica?Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditora. En esta etapa se asignan los recursos a las tareas. 10. Qu tipo de recursos insume una auditora Informtica?Materiales, como software, hardware, tiempo.Humanos, personal. 11. En que consiste la etapa Elaboracin del Plan y de los programas de trabajo?Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de trabajo, que consta de las tareas bsicas a realizar. 12. En que consiste la etapa Actividades? Consiste en desglozar las actividades a llevar a cabo en la auditora. 13. Cuales son las principales tcnicas de trabajo? Las ms conocidas y utilizadas tcnicas de trabajo son: Anlisis de la informacin recabada del auditado Anlisis de la informacin propia Cruzamiento de las informaciones anteriores Entrevistas Simulacin Muestreos 14. De qu herramientas se disponen para realizar una auditora? Las diferentes herramientas que se pueden aplicar en una auditora son: Cuestionario general inicial Cuestionario Checklist Estndares Monitores Simuladores (Generadores de datos) Paquetes de auditora (Generadores de Programas) Matrices de riesgo 15. Qu objetivo tiene la etapa "Informe Final" de una auditora ?La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad. Esta etapa se encarga de la redaccin del informe final. 16. Qu objetivo tiene la etapa "Carta de presentacin del Informe Final"?La carta de introduccin tiene especial importancia porque en ella se resume la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora. 17. Qu significa la sigla CRMR? Computer res ource management review. 18. Objetivo de CRMRBrinda la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos Informticos por medio del management. 19. Alcances de CRMRProporciona soluciones rpidas a problemas concretos y notorios, que surgen del uso de recursos. 20. Lmites de CRMRNo tiene en s misma el grado de profundidad de una auditora informtica. 21. En qu casos es aconsejable aplicar CRMR? Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno. Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso. Existen sobrecargas frecuentes de capacidad de proceso. Existen costes excesivos de proceso en el Centro de Proceso de Datos. 22. En qu reas de sistemas se aplica? Gestin de Datos Control de Operaciones Control y utilizacin de recursos materiales y humanos Interfaces y relaciones con usuarios Planificacin Organizacin y administracin 23. Qu datos son necesarios para realizar un CRMR? Datos de mantenimiento preventivo de Hardware Informes de anomalas de los Sistemas Procedimientos estndar de actualizacin. Procedimientos de emergencia. Monitoreo de los Sistemas. Informes del rendimiento de los Sistemas. Mantenimiento de las Libreras de Programas. Gestin de Espacio en disco. Documentacin de entrega de Aplicaciones a Explotacin. Documentacin de alta de cadenas en Explotacin. Utilizacin de CPU, canales y discos. Datos de paginacin de los Sistemas. Volumen total y libre de almacenamiento Ocupacin media de disco Manuales de Procedimientos de Explotacin