You are on page 1of 45

FASE III

PARTE 2
AUDITORIA AL NUEVO
SISTEMA

AuditoriA de
sistemas

B. Sumario: Auditoria del Sistema
B.1 Auditoria en Forma Horizontal
B.1.1 Seguridad Física
B.1.1.1 Equipo y Mobiliario
B.1.1.2 Instalaciones

B.1.2 Seguridad de Datos (Procesos
y Almacenamientos)
B.1.3 Seguridad de Procedimientos
Coordinación del Area de AO

Auditoria de Sistemas

2

B.1 Auditoria en Forma Horizontal
Primer Alcance
B.1.1 Seguridad Física
Equipo
 Mobiliario
 Instalaciones

 Situaciones palpables donde hay riesgo

de robo, incendio, inundación, etc.
Coordinación del Area de AO

Auditoria de Sistemas

3

B.1.1 Seguridad Física
B.1.1.1 Seguridad de Equipo y Mobiliario
Riesgos

Descripción del
riesgo

Causas
Falta de control de
ingreso y egreso del
personal.
Falta de control de
ingreso y egreso de
vehículos.

Robos

Robo equipo y o
mobiliario.

Perdida de equipo
y mobiliario

No ubicar equipo
Falta de control de
dentro de la empresa. inventarios de equipo.

Destrucción de
Que el equipo no
equipo y mobiliario alcance su vida útil.
Coordinación del Area de AO

Auditoria de Sistemas

Mal uso del equipo por
parte del personal.
4

Mal mantenimiento de Se tapa la tubería. los grifos. tuberías y desagües.1. Descuido de no cerrar bien Grifos abiertos. Mal uso o mal mantenimiento corriente Mal contacto.1. Ingreso de clientes al área de Ingresos de personal no producción.1 Seguridad Física B. Acceso físico autorizado. Protección Corto circuito.1 Seguridad de Instalaciones Riesgos Descripción del riesgo Causas Derrame de combustible Utilizar materiales Incendios y materiales inflamables. Inundaciones Desagües en mal estado.B. de instalaciones eléctricas. inflamables donde se Fumar. No contar con medidas de seguridad en el acceso. encuentran combustibles.1. eléctrica Coordinación del Area de AO Auditoria de Sistemas 5 .

B.2 Seguridad de Datos Procesamiento de datos  Almacenamiento de datos   Debe revisarse si los procesos son los adecuados  Todos los datos que se manejan deben de haber sufrido un proceso y estar revisados y luego almacenados en un lugar seguro Coordinación del Area de AO Auditoria de Sistemas 6 .1.1 Auditoria en Forma Horizontal Segundo Alcance B.

2 Seguridad de Datos Riesgos Descripción del riesgo Causas Ingreso inadecuado de datos No se utilicen los Malos procedimientos de Almacenamiento archivos de datos almacenamiento utilizados inadecuado de datos correctos. por el personal. Copias inadecuadas de seguridad de datos Acceso no autorizado de datos Salida inadecuada de datos Coordinación del Area de AO Auditoria de Sistemas 7 .B.1.

quiere decir que el resultado no este necesariamente bien Coordinación del Area de AO Auditoria de Sistemas 8 .3 Seguridad de Procedimientos  Que el personal este siguiendo adecuadamente los pasos o acciones de un procedimiento  Aunque los datos estén bien. pudo obtenerse de un procedimiento no autorizado.B.1 Auditoria en Forma Horizontal Tercer Alcance B.1.

actualizaciones sin autorización. Rastreo de fallas o errores Coordinación del Area de AO Auditoria de Sistemas 9 .3 Seguridad de Procedimientos Riesgos Mantenimiento de equipo Descripción del riesgo No dar mantenimiento en las fechas correspondientes.B. Causas No existe plan de mantenimiento Control de usuarios Seguridad del sistema Cambios o Instalación de programas no Mala clasificación actualizaciones autorizadas. usuarios. o efectuar y controles de de software.1.

Sumario: Análisis de Puntos de Riesgo y Control C.2 Identificación de los puntos de control  En el DFD identificar puntos de control C.C.1.1.1 Identificación de los puntos de riesgo  En el DFD identificar puntos de riesgo C.2 Explicar puntos de riesgo sin control  Técnicamente porque se dejaron puntos de riesgo sin control Coordinación del Area de AO Auditoria de Sistemas 10 .1 Identificación de los puntos de riesgo y puntos de control C.

impudencia o impericia.  ERROR: es humano. Análisis de Puntos de Riesgo y Control  EVENTO DE RIESGO: cualquier evento no trivial que afecta la habilidad de una organización para el logro de sus objetivos. Coordinación del Area de AO Auditoria de Sistemas 11 .C. se da por negligencia.  PUNTO DE RIESGO: es el lugar (punto físico) o momento (paso del proceso) en donde existe la posibilidad de falla o error.  FALLA: es un defecto material de una cosa que disminuye su resistencia o su funcionalidad. puede ser física o de mantenimiento.

 Se refiere a la frecuencia del riesgo. que tan repetitivo puede ser. Ocurrencias   IMPACTO: Es la consecuencia de la vulnerabilidad en un sistema que es atacado por una amenaza.  Se refiere a la severidad del riesgo. Análisis de Puntos de Riesgo y Control  CATEGORIA DE LOS RIESGOS:  VULNERABILIDAD: Es una debilidad que puede ser aprovechada por terceros y convertirse en una amenaza para la empresa.C.  Coordinación del Area de AO Auditoria de Sistemas 12 .

Severos daños ocupacionales. Menores daños ocupacionales. Auditoria de Sistemas DFD Riesgo Consulta Servicios Tabla Consulta Servicios DFD Riesgo Reservación Servicio Tabla Reservación Servicio DFD Riesgo Facturación Servicio Tabla Facturación Servicio Tabla Rastreo Auditoria 13 . Daños ocupacionales. Poco daño al proceso. Análisis de Puntos de Riesgo y Control  Categoría: nivel de gravedad Categoría Nombre I Catastrófico II III IV Coordinación del Area de AO Crítico y/o grave Leve Marginal Descripción Pérdida total del proceso.C. Daños severos al proceso. Muerte del operario. Menores daños al proceso.

Sin consecuencias graves. D Coordinación del Area de AO REMOTO Ocurrencia Ocurrencia constante. Efectos graves esperados Auditoria de Sistemas 14 . Consecuencias medias a graves C OCASIONAL Poca probabilidad de ocurrencia Ocurrencia con efectos graves. Análisis de Puntos de Riesgo y Control  Categoría: probabilidad de ocurrencia Vulnerabilidad Categoría Nombre A FRECUENTE B PROBABLE Ocurrencia eventual. Ocurrencia casi nula pero no improbable.C.

1 Definición de los Puntos de Riesgo Coordinación del Area de AO Auditoria de Sistemas 15 . Análisis de Puntos de Riesgo y Control C.1.C.

Coordinación del Area de AO Auditoria de Sistemas 16 .

DFD Control Consulta Servicios Tabla Rastreo Auditoria Categorías Coordinación del Area de AO Auditoria de Sistemas 17 .

Que no se consulten las Verificar tarifas tarifas adecuadas y se brinde C/II de reparaciones información incorrecta Copia de respuesta a cliente Que la copia del y al taller con errores y se taller sea B/III efectúen reparaciones no verificada antes solicitadas.1 PR1 P.3 PR3 Coordinación del Area de AO Categorías Tabla Rastreo Auditoria CateControl goría Recomendado Verificación de Que los datos de la consulta A/III datos de consulta sean mal ingresados con el cliente.Tabla de Análisis de Riesgo  SISTEMA: Atención al Cliente talleres “Don Hugo”. de remitirla Descripción Auditoria de Sistemas 18 .1.1.1.2 PR2 P.  SUBSISTEMA: Consulta de servicios  ANALISTA: Jorge Herrera Paso del Riesgo Sistema P.

DFD Control Reservación Servicio Tabla Rastreo Auditoria Categorías Coordinación del Area de AO Auditoria de Sistemas 19 .

2 P.4 Descripción CateControl goría Recomendado PR4 Que la rampa este ocupada.Tabla de Análisis de Riesgo  SISTEMA: Atención al Cliente talleres “Don Hugo”.3 P.2.  SUBSISTEMA: Reservación de servicios Tabla Rastreo  ANALISTA: Jorge Herrera Categorías Auditoria Paso del Riesgo Sistema P.2. a pesar de haberse confirmado PR5 Que el archivo del registro de datos no se C/II haga donde corresponde Verificar que el archivo de datos sea correcto PR6 Que la boleta de servicio tenga datos incorrectos Verificar datos de boleta de servicio Coordinación del Area de AO Auditoria de Sistemas B/IV C/II Verificar que rampa este disponible 20 .2.

DFD Control Facturación Servicio Tabla Rastreo Auditoria Categorías Coordinación del Area de AO Auditoria de Sistemas 21 .

Tabla de Análisis de Riesgo  SISTEMA: Atención al Cliente talleres “Don Hugo”. Verificar montos de Registro erróneo de B/II servicio previo a su monto de servicio registro.2 PR8 P. Descripción Auditoria de Sistemas 22 . Verificar datos de Se emite factura B/II cliente y montos de con datos erróneos servicio previo al cobro.3.  SUBSISTEMA: Facturación de servicios  ANALISTA: Jorge Herrera Paso del Riesgo Sistema P.1 PR7 P.3.3.3 PR9 Coordinación del Area de AO Categorías Tabla Rastreo Auditoria CateControl Recomendado goría Verificar montos de Ingreso erróneo de B/II servicio de acuerdo a montos de servicio cotización.

1.2 Definición de los Puntos de Control Coordinación del Area de AO Auditoria de Sistemas 23 .C. Análisis de Puntos de Riesgo y Control C.

Controles  Según Auditoria de Sistemas:  Son los mecanismos situados en puntos de riesgo para detectar fallas o errores y advertir sobre ellos  Mecanismos:  Son elementos creados para la detección de alguna falla o error Coordinación del Area de AO Auditoria de Sistemas 24 .

 Los controles están formados por políticas. procedimientos. practicas y estructuras organizacionales diseñadas para garantizar que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos.Controles  CONTROL: es un mecanismo dentro del sistema que se ha situado en puntos de riesgo específicos para detectar fallas o errores. detectados y corregidos Coordinación del Area de AO Auditoria de Sistemas 25 .

 Evaluar la incidencia de la posible falla o error. Coordinación del Area de AO Auditoria de Sistemas 26 .  Estudiar cada paso o lugar para determinar si existe riesgo.  Establecer la factibilidad del punto de control.  Pasos a seguir para identificar donde situar un punto de control:  Analizar el sistema.Controles  PUNTO DE CONTROL: es el punto de riesgo donde se instala o coloca un mecanismo de control.  Establecer el tipo de mecanismo de control.

reduce el impacto.Categoría de los Controles Función Evitar Subdivisión Preventivos Características Prevé un daño o peligro. reduce la vulnerabilidad del sistema. Reduce la amenaza. detecta un incidente y se recupera del impacto Correctivos Coordinación del Area de AO Auditoria de Sistemas 27 . anticipándose al evento Controlar Detectivos Determina si el evento está sucediendo y notifica o emite señal de advertencia Eliminar Subsana una situación generada al ocurrir un evento de riesgo.

Coordinación del Area de AO Auditoria de Sistemas 28 . corregir los datos mal ingresados y verificar tarifas. C2 Detectivo Verificar datos de respuesta antes de remitirla al cliente y al taller.DFD Riesgo Consulta Servicios Tabla Rastreo Auditoria Control Tipo: Función Descripción C1 Correctivo Verificar que no se han ingresado datos incorrectos.

C4 Correctivo Verificar datos de servicio previo a remitirlo Coordinación del Area de AO Auditoria de Sistemas 29 .DFD Riesgo Reservación Servicio Tabla Rastreo Auditoria Control Tipo: Función Descripción C3 Preventivo Efectuar verificación de archivo de datos.

DFD Riesgo Facturación Servicio Tabla Rastreo Auditoria Control Tipo: Función C5 Correctivo Coordinación del Area de AO Descripción Auditoria de Sistemas 30 .

Rastreo de Auditoria Paso del Sistema P1 1 Punto de Riesgo PR1 PR2 PR3 Punto de Control C1 Categorías Coordinación del Area de AO P1 2 P1 P2 P2 P2 P2 P3 3 1 2 3 4 1 C2 P3 2 P3 3 PR4 PR5 PR6 PR7 PR8 PR9 C3 C4 DFD Riesgo Consulta Servicios DFD Riesgo Reservación Servicio DFD Riesgo Facturación Servicio Tabla Consulta Servicios Tabla Reservación Servicio Tabla Facturación Servicio DFD Control Consulta Servicios DFD Control Reservación Servicio DFD Control Facturación Servicio Auditoria de Sistemas C5 Tabla Análisis 31 .

C.1 P2.3 P3. se debe esperar que sea liberada para poder utilizarla. Con el control C-5 al verificar los datos de facturación se detecta y corrige el monto erróneo Registro de Con el control C-5 al verificar los monto de datos de facturación se detecta y servicio erróneo corrigen datos erróneos Auditoria de Sistemas 32 .1 P3.2 Puntos de riesgo sin control Paso del Punto de Sistema Riesgo P1.2 PR1 PR5 PR7 PR8 Coordinación del Area de AO Amenaza Datos de consulta mal ingresados Que la rampa este ocupada al haberse confirmado Elaboración de montos de servicio erróneo Motivo del NO Control Con el control C-1. Al verificar que la rampa esta ocupada. al verificar las tarifas se puede detectar errores en este punto de riesgo y corregirlos.

3 Hacer tablas de llamada.1 Hacer tabla de análisis de contingencia D. Sumario: Manual de Contingencia D. D.4 Hacer tablas instructivo Coordinación del Area de AO Auditoria de Sistemas 33 .2 Hacer diagrama de contingencia. D.D.

D. el cual. Manual de Contingencia El manual de contingencia es la expresión grafica de un plan de contingencia. forma parte del plan global de recuperación ante desastres. además de los planes de prevención. contención y recuperación. Apoya como prevenir y como resolver las contingencias del sistema Coordinación del Area de AO Auditoria de Sistemas 34 .

Manual de Contingencia CONTINGENCIA:  Es algo que impide hacer una tarea tal y como fue planeada.  Puede ser: Un obstáculo  Una falla  Un error  Ausencia de personal  Coordinación del Area de AO Auditoria de Sistemas 35 .D.

Manual de Contingencia Simbología Paso del sistema Actividad o tarea Decisión: hay contingencia? INSTRUCTIVO LLAMADA Coordinación del Area de AO Solución por instructivo Solución por llamada de apoyo Auditoria de Sistemas 36 .D.

.3 Registro de datos erróneos (AC) No se registran los datos en donde corresponde (XC) Verificar datos de registro en el sistema I P2.3 (AE) (XE) I LL LL Nota: las siglas entre paréntesis (AA). son marcas de auditoria que nos sirven en el diagrama de contingencia para no Rastreo saturarlo. (XA).2 Error de registro de tarifas (AA) No se registran adecuadamente los datos Verificar datos de las tarifas (XA) P1.1 Tabla de Análisis de Contingencia Paso Descripción Contingencia Solución Tipo P1. Coordinación del Area de AO Auditoria de Sistemas 37 .D.3 Falla en los datos de respuesta (AB) No se emite respuesta con datos correctos al cliente y al taller (XB) Verificar datos de respuesta con responsable de taller P2. u otros.4 Datos de boleta de servicio erróneos (AD) Los datos del servicio no están correctos (XD) Verificación de datos del servicio I P3. etc.

124 Auditoria de Sistemas 38 .124 P2.124 Coordinación del Area de AO AC Instructivo No.4 AB SI XD P3.D.T-002 P2.3 NO Instructivo No.2 DIAGRAMA DE CONTINGENCIAS P1.3 Fin NO Instructivo No.3 AB SI XB NO P2.3 AC SI XC NO Llamada No.2 AA SI XA P1.

tanto en el manual de contingencia como en los manuales de funciones de los departamentos técnicos  Debe hacerse un simulacro de en forma periódica para corroborar la actualización de la tabla Coordinación del Area de AO Auditoria de Sistemas 39 .D. tres destinos de llamadas en orden de prioridad (en función de solución del problema. no de nivel jerárquico)  Debe estar actualizada para c/ciclo del sistema.3 Tabla de Llamada  Debe contener. mínimo.

D.3 Tabla de Llamada No. T-002 Prioridad A quién Teléfono Día Puesto Teléfono Noche 1 Jorge Ramos Técnico II 2233-5555 5305-3456 2 Mario García Técnico I 2233-5555 5305-3458 3 Martín Jefe de González Técnicos 2233-5555 5305-3455 Coordinación del Area de AO Auditoria de Sistemas 40 .

D.3 Tabla de Llamada  Se hacen las tablas de llamadas diseñadas Tabla Corregir Falla T-2 A quién Prioridad Puesto Teléfono Día Teléfono Noche Oficina 1 Juan Pérez Técnico 2144 5468-2838 210 2 Pedro López Jefe de Oficina 2145 5236-2118 211 3 Luis Larios Jefe de Sistemas 2149 5544-1511 720 Coordinación del Area de AO Auditoria de Sistemas 41 .

D.  Debe contener:  Quién debe realizarlo  La acción  Qué hacer si no se logra completar la acción Coordinación del Area de AO Auditoria de Sistemas 42 .4 Tabla de Instructivo  Se considera como una lista de pasos que se seguirán para alcanzar un objetivo.

tanto en el manual de contingencia.4 Tabla de Instructivo  Debe estar actualizado para cada ciclo del sistema.D. como en los manuales de funciones de los departamentos técnicos  Debe hacerse un simulacro de instructivo en forma periódica para comprobar su actualización Coordinación del Area de AO Auditoria de Sistemas 43 .

Quién 1 Operador 2 Datos cliente no Operador permite modificación 3 Llamar al departamento Tabla de Llamada Operador de informática No.4 Tabla de Instructivo Instructivo No. L-25 4 Técnico Coordinación del Area de AO Acción Que hacer si no se logra Revisar datos de cliente Modifica datos erróneos Auditoria de Sistemas Siga paso 2 Siga paso 3 Solicitar Auditoria 44 .D. 124 No.

Preguntas??? Coordinación del Area de AO Auditoria de Sistemas 45 .