Professional Documents
Culture Documents
Una vez ustedes hayan realizado sus aportes sobre las vulnerabilidades, amenazas y riesgos, y
consolidado el cuadro, se darán cuenta que algunos de esos riesgos se repiten en los aportes de
varios de los compañeros y hay algunos de ellos que pueden ocasionar daños graves a la empresa o
al sistema auditado.
Una vez seleccionada la empresa ustedes deben definir cuál será el objetivo de la auditoría, para
hacerlo deben tener en cuenta los riesgos que se presentan con mayor frecuencia y cuáles son los
que causarían mayores daños a los recursos informáticos o sistemas de información de llegar a
ocurrir.
Por ejemplo si los riesgos más frecuentes son en las redes y en manejo de los sistemas por falta de
capacitación, entonces el objetivo de la auditoría sería: Realizar la auditoría a la red de datos y al
manejo del hardware y software por parte de los usuarios dentro de la empresa xxxxxx de la
ciudad de xxxxxx.
Una vez está definido el objetivo general, para alcanzarlo se definen los objetivos específicos
teniendo en cuenta la metodología de la auditoría que se descompone en tres o cuatro fases
dependiendo si es una auditoría interna donde ya se conoce el área o sistema auditado, o es una
auditoría externa donde aún no se conoce el sistema o área auditada. Las fases son: conocer el
sistema, planear la auditoría, ejecutar la auditoría, y la fase de resultados, para cada fase se define
un objetivo específico. Por ejemplo los objetivos específicos del ejemplo serían:
Objetivo 1: Conocer las redes de datos que soportan la infraestructura tecnológica y los usuarios
de los sistemas con el fin de analizar algunos de los riesgos que puedan presentarse realizando
visitas a la empresa y entrevistas con los usuarios.
Objetivo 3: Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos que se han
diseñado para determinar los riesgos existentes en la red de datos y los riesgos más frecuentes
que enfrentan los usuarios en su cotidianidad para elaborar la matriz de riesgos y medir la
probabilidad de ocurrencia y el impacto que causa.
Una vez definidos los objetivos de la auditoría, de cada recurso informático que será evaluado en el
objetivo general, se menciona los aspectos más relevantes que serán evaluados en cada uno de
ellos. Para este caso los alcances serían:
De la red de datos se evaluará los siguientes aspectos:
Estos serán los aspectos elegidos para ser evaluados y que tienen relación directa con las
vulnerabilidades, amenazas y riesgos encontrados inicialmente.
Posteriormente se debe especificar la metodología que está ligada al cumplimiento de los objetivos
específicos, cada objetivo específico se descompone en actividades que se deberán realizar para
poder cumplirlos. Voy a dar el ejemplo con el primer objetivo:
Metodología para Objetivo 1: Conocer las redes de datos que soportan la infraestructura
tecnológica y los usuarios de los sistemas con el fin de analizar algunos de los riesgos que puedan
presentarse realizando visitas a la empresa y entrevistas con los usuarios.
Estas son las actividades para lograr el primer objetivo, de la misma manera se hace para los otros
tres objetivos específicos planteados.
Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la auditoría,
en este caso los recursos se dividen en talento humano que serán ustedes, los recursos físicos que
son el sitio o empresa donde se llevará a cabo la auditoría, los recursos tecnológicos (el hardware,
cámaras, grabadoras digitales, memorias, celulares y el software que se necesite para pruebas) y los
recursos económicos que se presentan en una tabla de presupuesto.
Recursos humanos:
Recursos físicos: la auditoría se llevará a cabo en la empresa xxxxx de la ciudad de xxxx a las redes
y los usuarios de los sistemas.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas que
servirán de evidencia, computador portátil, software para pruebas de auditoría sobre escaneo y
tráfico en la red
Recursos económicos:
Total 0000000000
Cronograma
Fase ACTIVIDAD 1
conocimiento ACTIVIDAD 2
del sistema …….
ACTIVIDAD 3
Fase ACTIVIDAD 4
Planeación de
la auditoría
ACTIVIDAD 5
Fase
Ejecución ACTIVIDAD 6
auditoria ACTIVIDAD 7
Fase de
ACTIVIDAD 8
resultados
Por favor tener en cuenta el ejemplo enviado
anteriormente y el ejemplo que está en el
blog donde pueden encontrar el plan de
auditoria completo EN LA OPCIÓN DEL MENÚ
PLANEACIÓN AUDITORÍA
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.h
tml