• Author / Uploaded
• Eduardo Andres Flores Sepulveda

Citation preview

Proceso de auditoría informática Eduardo Andrés Flores Sepúlveda Auditoria Informática Instituto IACC 17 de Marzo de 2019

Desarrollo

INSTRUCCIONES: Responda a los planteamientos que se exponen a continuación:

1) Durante la planificación de una auditoría, se describen actividades orientadas a realizar un levantamiento de políticas y procedimientos relacionados al plan de recuperación ante desastres de una compañía. Con esta actividad se pretende identificar los controles claves, sus responsables y la evidencia a solicitar. Indique el objetivo y las principales características de este tipo de auditoría.

Respuesta: Tanto el plan de contingencias, como el plan de seguridad, tienen como objetivo proveer a la organización de requerimientos,

que le permitan

recuperarse ante desastres. P o r l o t a n t o , l a metodología tiene como objetivo guiar de la forma más efectiva, un plan de recuperación ante cualquier eventualidad sufrida por la organización.

Este

plan

de

contingencia s e define como: la identificación y protección de los procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecución, protegiendo a su vez estos recursos y preparando procedimientos para asegurar la supervivencia de la organización en caso de presentarse una eventualidad.

Entre los objetivos del plan de contingencia se encuentran los siguientes:

-

Minimizar el impacto del desastre en la organización.

-

Determinar tareas para evaluar los procesos indispensables de la organización.

-

Evaluar los procesos de la organización, con el apoyo y autorización respectivos de la organización, y a través de una buena metodología.

Y cuenta con las siguientes características:

-

Alcance y objetivos del plan: los que se refieren a la definición de los elementos fundamentales del plan, es decir, lo que debe lograr y lo que aborda

-

Da respuesta a incidentes y limitaciones: Esto se refiere a la definición de las actividades, es decir, lo que el plan puede o no puede iniciar, como por ejemplo, realizar una evaluación inicial, realizar una evaluación de los daños y/o evaluar los posibles resultados.

-

Equipos

de

respuesta

a

incidentes,

datos

de

contacto

y

responsabilidades: Los cuales se refieren a la enumeración de los nombres y los datos de contacto de las personas asignadas al equipo de respuesta a incidentes. Donde se pueden especificar sus funciones y responsabilidades, como por ejemplo: el líder del equipo, el especialista en evaluación de daños, el responsable del enlace con los socorristas o coordinador de la evacuación. -

Pasos del proceso de notificación: Donde es esencial proporcionar información sobre el incidente en cuestión, a los individuos designados de manera inmediata. Por lo que en esta sección se define que, al momento de ocurrir un incidente; quién se debe contactar, la rapidez con que se debe contactar y la información que debe ser comunicada.

-

Medidas de evaluación de daños: Es una parte fundamental examinar y evaluar la magnitud de los daños al edificio o plantas en el edificio, los alrededores y otros elementos operacionales que se especifican en el plan.

-

Pasos del proceso de declaración: En esta sección se proporcionan criterios para que el equipo de las respuesta necesarias ante los incidentes que pueda declarar un desastre, o proporcionar información a las personas designadas, como por ejemplo: los ejecutivos de la empresa, son los encargados de declarar oficialmente un desastre.

-

Pasos del proceso de escalamiento: Se refiere a la información sobre la evolución de los hechos y, su expansión o descenso, lo cual es esencial para los socorristas u otras personas designadas en el plan si las actividades de respuesta a incidentes deben ser aumentadas o recortadas.

-

Tomar decisión de poner en marcha las actividades de emergencia adicionales: La cual se toma en base a las evaluaciones de los miembros del equipo de respuesta a incidentes, socorristas y otras personas autorizadas, las que pueden ser como por ejemplo el lanzamiento de un plan de evacuación, o la de la construcción de un refugio.

-

Pasos para desactivar el Plan de Respuesta a Incidentes: Los cuales se siguen una vez que se considera que la situación se puede llevar a cabo con éxito, o si las primeras personas en responder toman el control de la situación, a continuación se describen los procedimientos para desactivar el plan y retirar el equipo de respuesta a incidentes:

 Planificar las actividades de prueba: Con el objetivo de asegurarse de que el plan de respuesta a incidentes esté actualizado y listo para su uso, para lo cual se recomiendan ejercicios periódicos para asegurarse de que los pasos del plan son pertinentes y los miembros del equipo estén debidamente capacitados, por lo entienden sus funciones y sus responsabilidades; por lo que también es una buena ocasión de que los socorristas chequeen el plan y presenten consejos de mejora, en caso de necesitarlos.  Planificar las actividades de mantenimiento: Se refieren a que los planes de respuesta a incidentes deben tener las actualizaciones programadas para validar los nombres y datos de contacto de los miembros del equipo, así como también cualquier otra información relevante del plan de contingencia. 2) Considerando lo enunciado en el punto anterior, indique a qué paso o fase del programa de auditoría corresponde. Justifique su respuesta. Pasos del programa de auditoría Definición del plan Primariamente para que un plan de recuperación ante desastres funcione, se debe involucrar a la gerencia. Pues la gerencia es responsable de la coordinación del plan, por lo que debe asegurar su efectividad. Además, debe proveer los recursos necesarios para un desarrollo efectivo del plan. Por lo que todos los departamentos de la organización participan en la definición del plan, donde se establecen prioridades.

Posteriormente, se debe preparar un análisis de riesgo y crear una lista de posibles desastres naturales o causados por errores humanos, luego se clasifican según sus probabilidades. Una vez finalizada la lista, cada departamento debe analizar las posibles consecuencias y el impacto relacionado con cada tipo de desastre. Lo cual servirá como referencia para identificar lo que se necesita incluir para mejorar el plan. Por lo que un plan completo debe considerar una pérdida total del centro de datos y eventos de larga duración de más de una semana. Una vez bien definidas las necesidades de cada departamento, se determinan y se les

asigna una prioridad, lo cual es importante, puesto que ninguna

compañía tiene recursos infinitos. Se analizan los procesos y operaciones, para determinar la máxima cantidad de tiempo que la organización puede sobrevivir sin ellos. Luego se establece un orden de recuperación según el grado de importancia.

Selección de estrategias de recuperación En la siguiente etapa se determinan las alternativas más prácticas para proceder en caso de un desastre. Por lo que todos los aspectos de la organización

son

analizados,

incluyendo

hardware,

software,

comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar van a varían según la función del equipo, por lo que pueden incluir duplicación de centros de datos, alquiler de equipos e instalaciones, contratos de almacenamiento, etc. Sin embargo igualmente, se analizan los costos asociados.

Componentes esenciales Los datos y documentos que principalmente se deben proteger, son listas, inventarios, copias de seguridad de software y datos, además de cualquier otra lista importante de materiales y documentación. La elaboración previa de plantillas de verificación ayuda a simplificar este proceso.

Posteriormente la gerencia debe respaldar un resumen del plan, a través de un documento que organiza los procedimientos, identifica las etapas importantes, elimina redundancias y define el plan de trabajo. Este resumen debe

detallar

cada

procedimiento,

tomando

en

consideración

el

mantenimiento y la actualización del plan a medida de que el negocio evoluciona, debe asignar responsabilidades a diferentes equipos y/o departamentos y alternos.

Criterios y procedimientos de prueba del plan Los planes de recuperación deben ser probados en su totalidad, por lo menos una vez al año. Por lo que la documentación debe especificar los procedimientos y la frecuencia con que se realizan las pruebas. Donde se, verificara

la

validez

y

funcionalidad

del

plan,

se

determinar

la

compatibilidad de los procedimientos e instalaciones, se identificarán áreas que necesiten cambios, se entrenarán a los empleados y se demostrará la habilidad de la organización de recuperarse de un desastre. Luego de las pruebas, el plan debe ser actualizado. Se sugiere que las pruebas se realicen en horas que minimicen trastornos en las operaciones. Una vez corroborado que el plan funciona, se deben realizar pruebas adicionales, con el objetivo de que todos los empleados tengan acceso virtual y remoto a estas posiciones y funciones en el caso de un desastre.

Aprobación final Una vez que el plan haya sido puesto a prueba y mejorado y/o corregido, la gerencia deberá dar su aprobación. L a g e r e n c i a e s l a encargada de establecer las pólizas, los procedimientos y las responsabilidades en caso de contingencia, además de actualizar y dar aprobación al plan anualmente.

3) El banco donde usted se desempeña como auditor informático fue víctima de un sabotaje informático, que se materializó en un robo de mil millones de pesos de cuentas corrientes de importantes empresas. Se presume que este acto se realizó a través de la página web corporativa. En base a lo anterior, indique el proceso a auditar para mitigar el

riesgo de

que vuelva a ocurrir un sabotaje de estas

características. Justifique su respuesta.

Respuesta La evaluación del riesgo es una fase muy importante en el desarrollo del proceso de planeación, por lo que, en esta etapa se debe efectuar una evaluación a cada una de las cuentas, con el objetivo de determinar cuál o cuáles se consideran importantes dentro del proceso de revisión que estamos desarrollando, además se deben relacionar las aseveraciones relacionada a cada una de ellas. Para lo cual, debemos evaluar los factores de riesgos cualitativos y cuantitativos relacionados con los rubros de los estados financieros. Pasos para evaluación de riesgos:

-

Primero identificar o clasificar una cuenta como significativa dentro de los estados financieros.

-

Luego se identifican los riesgos que puedan afectar a los procesos: Por lo que se deben evaluar todos los aspectos que puedan afectar los procesos de los rubros de los estados financieros.

-

Posteriormente se realiza el entendimiento de la entidad: El cual es uno de los procesos claves para identificar y valorar los riesgos de incorrección material en los estados financieros, a través del conocimiento de la entidad y su entorno, incluyendo el control interno de la entidad.

Bibliografía

-

IACC 2019. Auditoria Informática. Proceso de auditoría informática. Contenido de la Semana 5