METODOLOGIAS DE AUDITORIA INFORMATICA Las metodologas son necesarias para desarrollar cualquier proyecto que nos propongamos de manera

ordenada y eficaz. La auditoria informtica solo identifica el nivel de exposicin por la falta de controles mientras el anlisis de riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologas existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio. Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn diseadas par producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numrico. Estn diseadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas. Ventajas: Enfoque lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificacin de eventos. Desventajas Depende fuertemente de la habilidad y calidad del personal involucrado. Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia profesional. Metodologas en Auditora Informtica. Las metodologas de auditora informtica son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran profesionalidad y formacin continua. Solo existen dos tipos de metodologas para la auditora informtica:

 Controles Generales.- Son el producto estndar de los auditores profesionales. El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera, es resultado es escueto y forma parte del informe de auditora, en donde se hacen notar las vulnerabilidades encontradas. Estn desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan. Metodologas de los auditores internos.Estn formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. Tambin se define el objetivo de la misma, que habr que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genricos, con una orientacin de los controles a revisar. El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor.

METODOLOGA ROA Risk Oriented Approach

En la actualidad existen tres tipos de metodologas de auditoria informtica: R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).

En s las tres metodologas estn basadas en la minimizacin de los riesgos, que se conseguir en funcin de que existan los controles y de que stos funcionen. En consecuencia el auditor deber revisar estos controles y su funcionamiento.

Gua de auto evaluacin?

Esta pretende ser un sistema sencillo y fiable de conocer la situacin general del sistema de informacin de una empresa, as como definir el estado del control de dichos sistemas tomando como control la definicin de la ISAACA.

A quin va dirigida?
Esta gua va orientada a las Pequeas y Medianas empresas, y dentro de las mismas, a los responsables de los sistemas de informacion, gerentes directivos o auditores.

Conocimientos necesarios
No resulta necesario tener conocimientos informticos para realizar una auditoria informtica mediante la tcnica utilizada en esta gua. No obstante se cree necesario un mnimo de formacin especfica para, al menos, saber qu es lo que se quiere analizar, as como algunos conceptos no nos resulten excesivamente extraos.

Minicomputador. Red local. PC. Perifricos. Software de base. Eficacia de un servicio informtica. Seguridad lgica. Seguridad fsica. Etc.

Entornos de aplicacin
Minicomputadores e informtica distribuida. Redes de rea local. PCs.

Metodologa utilizada
La metodologa utilizada es la Evaluacion de Resgos (ROA Risk Oriented Approach) recomendada por ISACA. Esta evaluacin de riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas de Checklist (cuestionarios) adaptados a cada entorno especifico; deber tenerse en cuenta que determinados controles se repetiran en diversas reas de riesgo. Esto a que dichos controles tienen incidencia independiente en cada una y, que se pretende poder analizar cada rea independientemente, es necesaria dicha repeticin. As mismo los controles gerenciales y algunos controles de caracteristicas especiales, como pueden ser los de base de datos, se aplicarn teniendo en cuenta las particularidades de cada entorno.

Fases de la autoevalcion
Riesgo en la continuidad del proceso Son aquellos riesgos de situaciones que pudieran afectar a la realizacin del trabajo informtico o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso tambin a paralizarla. Riesgos en la eficacia del servicio informtico Entenderemos como eficacia del servicio la realizacin de los trabajos encomendados. As pues, los riesgos en al eficacia sern aquellos que alteren dicha realizacin o que afecten a la exactitud de los resultados ofrecidos por el servicio informtico. Riesgo en la eficiencia del servicio informtico 3

Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel econmico o tcnico, pretendiendo con el anlisis de estos riesgos mejorar la calidad de servicio. Riesgos econmicos directos En cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberan producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes. Riesgos de la seguridad lgica Todos aquellos que posibiliten accesos no autorizados ala informacin mecanizada mediante tcnicas informticas o de otro tipos. Riesgos de la seguridad fsica Comprendern todos aquellos que acten sobre el deterioro o aprobacin de elementos de informacin de una forma meramente fsica. Valoracin de resultados La autogua se compone de una serie de cuestionarios de control. Dichos cuestionarios podrn ser contestados mediante dos sistemas indicados en los mismos.

Bibliografa
PIATTINI, Mario y Emilio del Peso. Auditora Informtica. Un enfoque prctico. Editorial RAMA.