Objetivos de control de la metodología de auditoría

Evaluar las políticas generales acerca del ambiente laboral, desempeño, planeación, capacitación y cualificación, motivación y remuneración del personal de la organización.

Evaluar las políticas que tiene la organización con respecto al software, hardware, desarrollo y mantenimiento de los sistemas de información.

Evaluar las políticas de la organización que tienen con respecto a la seguridad tanto de la planta física, como de respaldo de la información.

Evaluar los recursos tecnológicos e informáticos de la organización.

Analizar cómo se concibe dentro de la organización la implementación y funcionalidad del sistema de aseguramiento de la información.

Una vez establecidos los objetivos, se procede a preparar planes, programas y presupuestos para la auditoría. Algunos aspectos a considerar en esta etapa son: las actividades a realizar, el personal responsable de realizar dichas actividades, recursos materiales y de tiempo, el proceso del evento como guía, los recursos humanos, materiales e informáticos estimados a utilizar, el tiempo estimado para las actividades y la auditoría, auditores responsables y participantes del evento; así como otras especificaciones de los procedimientos de auditoría.

Recopilación de la documentación y evidencias de la auditoria

La documentación en la auditoría son registros de los procedimientos realizados, la evidencia relevante obtenida de la auditoría y las conclusiones alcanzadas por los auditores

Una documentación es un registro de las actividades realizadas, los procedimientos utilizados para obtener evidencia y las conclusiones de las actividades. Para ello, el auditor debe desarrollar documentos que incluso quienes no están involucrados en el proceso pueden entender y enfatizar los resultados obtenidos. El documento se convierte en un elemento importante en la auditoría porque registra todas las actividades que se han realizado, los procedimientos para obtener evidencia y las conclusiones de las actividades. García, S (2013) indica que “los documentos preparados se identifican también por el grado de agregación o desagregación informativa que recogen”.

Evidencias

Es la información utilizada por el auditor para alcanzar las conclusiones en las que basa su opinión y sustenta el informe de auditoría.



Suficiente: medida cuantitativa, referida a la cantidad de evidencia obtenida.



Apropiada: medida cuantitativa, referida a la relevancia, fiabilidad y lagalmente valida.

Fallas y debilidades del sistema computacional

Son muchas las vulnerabilidades y amenazas informáticas a las que están expuestas las empresas en la actualidad. Por eso la inversión en ciberseguridad y sistema de protección ha experimentado un gran aumento en los últimos años, siendo los profesionales en ciberseguridad uno de los perfiles más buscados en el sector de la informática.

Vulnerabilidades del sistema

 Errores de configuración.

 Errores en la gestión de recursos.

 Errores en los sistemas de validación.

 Errores que permiten el acceso a directorios.

 Errores en la gestión y asignación de permisos.

Amenazas de ataques de denegación de servicio

Amenazas de Malware

 Virus: Los virus informáticos son un software que se instalan en un dispositivo con el objetivo de ocasionar problemas en su funcionamiento.

 Gusanos: Es uno de los malware más comunes que infectan los equipos y sistemas de una empresa, ya que no requieren de la intervención del usuario ni de la modificación de algún archivo para poder infectar un equipo.

 Troyanos: Los troyanos son programas que se instalan en un equipo y pasan desapercibidos para el usuario.

 Ransomware: Consiste en encriptar toda la información de la empresa, impidiendo el acceso a los datos y los sistemas y se pide un rescate para poder liberar la información.

 Keyloggers: Se instalan a través de troyanos y se encargan de robar datos de acceso a plataformas web, sitios bancarios y similares.

Técnicas y herramientas necesarias para identificar los riesgos a que está expuesta la información

Para identificar y evaluar los posibles riesgos que puedan existir en un sistema ya sea durante o no de una auditoria, la norma ISO 31010 tiene normalizadas (valga la redundancia) ciertas herramientas.

 Los check-lists son una de ellas, una manera bastante sencilla de determinar un riesgo. Esta técnica genera una lista de incertidumbres generales a ser consideradas. Los usuarios buscan listas, códigos o estándares desarrollados previamente.

 Están los sistemas SWIFT, esto es un sistema que permite a los equipos identificar los peligros asociados con el análisis de riesgos y las decisiones técnicas. Así como los análisis mediante árbol de errores; diseñados para identificar todas las formas en que esto puede suceder, comenzando con el evento inesperado. Estos eventos se muestran gráficamente en un diagrama de árbol lógico. Una vez generado el árbol de errores, conviene examinar las posibilidades de minimizar o eliminar las posibles causas / fuentes

 También están, los diagramas de causa y efecto; donde los efectos pueden incluir varios elementos que se pueden agrupar en diferentes categorías. Estos elementos generalmente se representan como estructuras en "espina de pescado" identificadas mediante una lluvia de ideas. Esto puede revelar la raíz de los problemas y los cuellos de botella en su proceso.

 Otra herramienta es AMDEC (Metodología de análisis de errores y efectos); este método identifica y analiza las posibles fallas, sus mecanismos y sus impactos. Principalmente, se utiliza en el diseño de componentes, productos, sistemas, fabricación, procesos de montaje, servicios y software.

 Por último, ejemplo se tiene al análisis funcional del comportamiento (HAZOP). La identificación de posibles desviaciones del desempeño esperado o deseado es un proceso común de identificación de riesgos. Se utiliza bastante para detectar inestabilidad en plantas industriales debido a procesos operativos o productivos.

Referencias Bibliográficas

Alvarez Basaldúa, L. D. (2005). Seguridad en informática: auditoría de sistemas. Página Web en Línea. Disponible en: https://ri.ibero.mx/bitstream/handle/ibero/1010/014663_s.pdf?sequence=1

Consultado: [marzo, 2023]

Barrio, J. F. V. (1999). La auditoría de los sistemas de gestión de la calidad. FC editorial. Página Web en Línea. Disponible en: https://books.google.es/books?hl=es&lr=&id=oRg7CUUrgdcC&oi=fnd&pg=PA7&dq= auditor%C3%ADa+de+sistemas&ots=060vB5XmBn&sig=Xtq9qcZkp1yRQi_2eYpMaK

WMU6o#v=onepage&q=auditor%C3%ADa%20de%20sistemas&f=false

Consultado: [marzo, 2023]

Copyright. 14 métodos y herramientas para gestionar el riesgo. Página Web en Línea. Disponible en: https://www.piranirisk.com/es/academia/especiales/14-metodos-y-herramientaspara-gestionar-el-riesgo Consultado: [marzo, 2023] marcus. Planificación. Página Web en Línea. Disponible en: https://www.monografias.com/trabajos82/planificacion-auditoria/planificacionauditoria2.shtml Consultado: [marzo, 2023].

Copyright. 7 herramientas para la evaluación de riesgos. Página Web en Línea. Disponible en: https://www.ealde.es/herramientas-evaluacion-de-riesgos/ Consultado: [marzo, 2023].

Copyright. Auditoría informática. Página Web en Línea. Disponible en: https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica Consultado: [marzo, 2023].

Copyright. Riesgos de auditoría y sus tipos. Página Web en Línea. Disponible en: https://www.gerencie.com/tipos-de-riesgos-de-auditoria.html Consultado: [marzo, 2023].