Download - Metodologías de Riesgo
-
8/18/2019 Metodologías de Riesgo
1/12
INTRODUCCIÓN A LAS METODOLOGIAS
Según el Diccionario de la lengua de la Real Academia Española, método es el "modo de decir
o hacer con orden una cosa". Asimismo define el diccionario la palabra metodología como
"conjunto de métodos que se siguen en una investigación científica o en una exposición
doctrinal". sto significa que cualquier proceso científico debe estar sujeto a una disciplina de
proceso definida con anterioridad que llamaremos !#$#%#&'A.
()osé !aría &on*+le*,.
%as metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo-
est+n directamente relacionadas con su experiencia profesional acumulada como parte del
comportamiento humano de /acierto 0error1.
%as metodologías.2 son necesarias para desarrollar cualquier proecto que nos propongamos de
manera ordenada efica*.
METODOLOGÍA GENERAL DE AUDITORÍA INFORMÁTICA
%a auditoría inform+tica como proceso formal- el cual es ejecutado por especialistas del +rea de
auditoría- es un proceso metodológico- que tiene el propósito de evaluar los recursos (humanos-
tecnológicos- materiales- financieros,- que est+n relacionados con la función de inform+tica-
para garanti*ar que se opere con criterios de integración desempe3o altamente satisfactorios
que también apoen la productividad la rentabilidad de la organi*ación.
METODOLOGIAS DE EVALUACIÓN DE SISTEMAS
Conceptos fundaenta!es"
n el mundo de la seguridad de sistemas se utili*an todas las metodologías necesarias para
reali*ar un plan de seguridad adem+s de las de auditoría inform+tica.
%as dos metodologías de evaluación de sistemas por antonomasia son las de A45%6S6S $
76SS las de A8$6#7'A 649#7!56:A- con dos enfoques distintos. %a auditoría
inform+tica sólo identifica el nivel de /exposición" por la falta de controles- mientras el an+lisis
de riesgos facilita la "evaluación" de los riesgos recomienda acciones en base al costo2
beneficio de las mismas.
-
8/18/2019 Metodologías de Riesgo
2/12
%os elementos comunes- que se deben comprender para para poder entender valorar en su
integridad el concepto de riesgo son;
9igura
-
8/18/2019 Metodologías de Riesgo
3/12
n la norma 6S# >?@@> 6S#06: @BC- se define el an+lisis de riesgos como; /Droceso mediante
el cual se identifican las amena*as las vulnerabilidades en una organi*ación- se valora su
impacto la probabilidad de que ocurran1.
%as amena*as reales se presentan de forma compleja son difíciles de predecir.
jemplo; por varias causas se rompen las dos entradas de agua- inundan las líneas telefónicas
(pues existe un poro en el cable,- ha un cortocircuito se quema el transformador de la central
local. n estos casos la probabilidad resultante es mu difícil de calcular.
Todos los riesgos que se presentan podemos:
=6A7%#S (por ejemplo; no construir un centro donde ha peligro constante de
inundaciones,. 7A4S9767%#S (por ejemplo; uso de un centro de c+lculo contratado,. 7$8:67%#S (por ejemplo; sistema de detección extinción de incendios,. AS8!67%#S2 Eue es lo que se hace si no se controla el riesgo en absoluto.
Dara los tres primeros- se actúa si se establecen controles o contramedidas. odas las
metodologías existentes en seguridad de sistemas van encaminadaF a establecer mejorar un
entramado de contramedidas que garanticen que la probabilidad de que las amena*as sematerialicen en hechos (por falta de control, sea lo m+s baja posible o al menos quede reducida
de una forma ra*onable en costo2beneficio.
Metodo!o#$as de an%!&s&s de '&es#os
st+n desarrolladas para la identificación de la falta de controles el establecimiento de un plan
de contramedidas. xisten dos tipos;
Cuant&tat&(as; Gasadas en un modelo matem+tico numérico que auda a la reali*acióndel trabajo.
Cua!&tat&(as; Gasadas en el criterio raciocinio humano capa* de definir un proceso de
trabajo- para seleccionar en base a la experiencia acumulada.
Es)uea *%s&co de una etodo!o#$a de an%!&s&s de '&es#os"
-
8/18/2019 Metodologías de Riesgo
4/12
:uestionario
6dentificar los riesgos
:alcular el impacto
6dentificar lascontramedidas . el coste
Simulaciones
:reación de losinformes
tapa <
tapa >
tapa H
tapa I
tapa B
tapa J
n base a unos cuestionarios se identifican vulnerabilidades riesgos se evalúa el impacto
para m+s tarde identificar las contramedidas el coste. %a siguiente etapa es la m+s importante-
pues mediante un juego de simulación (que llamaremos "KEué pasa si...L", anali*amos el efecto
de las distintas contramedidas en la disminución de los riesgos anali*ados- eligiendo de esta
manera un plan de contramedidas (plan de seguridad, que compondr+ el informe final de la
evaluación.
COMUNICACIÓN AL INICIO DE LA AUDITORÍA
Dara la comunicación del inicio del examen- en el transcurso del examen la convocatoria a la
lectura del borrador de informe- se considerar+n las disposiciones constantes en el 7eglamento
de $elegación de 9irmas de la :ontraloría &eneral del stado.
Dara la ejecución de una auditoría- el auditor jefe de equipo- mediante oficio notificar+ el inicio
del examen a los principales funcionarios vinculados con las operaciones a ser examinadas de
conformidad con el objetivo alcance de la auditoría. n el caso de servidores que se
encuentren desempe3ando funciones- proceder+ de conformidad al 7eglamento de
7esponsabilidades cuando el servidor respectivo haa renunciado o salido de su cargo- se
citar+ el artículo pertinente de la le.
-
8/18/2019 Metodologías de Riesgo
5/12
$icha comunicación se la efectuar+ en forma individual de ser necesario- en el domicilio del
interesado- por correo certificado o a través de la prensa. Dara el caso de particulares se les
notificar+ o requerir+ información de conformidad con las disposiciones legales pertinentes.
%a comunicación inicial- se complementa con las entrevistas a los principales funcionarios de laentidad auditada- en esta oportunidad a m+s de recabar información- el auditor puede emitir
criterios sugerencias preliminares para corregir los problemas que se puedan detectar en el
desarrollo de tales entrevistas.
jemplo de; 4otificación de inicio de auditoria o examen especial a los dignatarios- servidores-
ex servidores dem+s personas relacionadas con el examen.
-
8/18/2019 Metodologías de Riesgo
6/12
:ontacto inicialcon funcionarios. empleados del
+rea
6dentificación preliminar de la problem+tica de
sistemas
:alcular losrecursos . personas
necesarias parala auditoría
Solicitud demanuales .
documentaciones
laboraciónde los
cuestionarios
7ecopilaciónde la
información
VISITA +RELIMINAR
:onsiste en reali*ar una visita preliminar al +rea de inform+tica que ser+ auditada- luego de
conocer el origen de la petición de reali*ar la auditoria antes de iniciarla formalmenteM el
propósito es el de tener un primer contacto con el personal asignado a dicha +rea- conocer ladistribución de los sistemas donde se locali*an los servidores equipos terminales en el centro
de cómputo- sus características- las medidas de seguridad otros aspectos sobre que
problem+ticas que se presentan en el +rea auditada.
%a visita inicial para el arranque de la auditoria cua finalidad es saber;
K:ómo se encuentran distribuidos los equipos en el +reaL- K:u+ntos- cu+les- cómo de qué tipo son los servidores terminales que existen en el
+reaL- KEué características generales de los sistemas que ser+n auditadosL- KEué tipo de instalaciones conexiones físicas existen en el +reaL- K:u+l es la reacción del personal frente al auditorL- K:u+les son las medidas de seguridad física existentes en el +reaL- KEué limitaciones se observan para reali*ar la auditoriaL.
:on esta información el auditor podr+ dise3ar las medidas necesarias para una adecuada
planeación de la auditoria establecer algunas acciones concretas que le auden al desarrollo de
la evaluación- como;
l esquema de la visita preliminar se se3ala las siguientes actividades;
+A+ELES DE TRA,A-O
-
8/18/2019 Metodologías de Riesgo
7/12
n el argot de auditoría se conoce como papeles de trabajo la "totalidad de los documentos preparados o recibidos por el auditor- de manera que- en conjunto constituen un compendio dela información utili*ada de las pruebas efectuadas en la ejecución de su trabajo- junto con lasdecisiones que ha debido tomar para llegar a formarse su opinión".
l 6nforme de Auditoría- si se precisa que sea profesional- tiene que estar basado en ladocumentación o papeles de trabajo- como utilidad inmediata- previa supervisión.
%a documentación- adem+s de fuente de experiencia del Auditor 6nform+tico para trabajos posteriores así como para poder reali*ar su gestión interna de calidad- es fuente en algunoscasos en los que la corporación profesional puede reali*ar un control de calidad- o hacerlo algúnorganismo oficial. %os papeles de trabajo pueden llegar a tener valor en los ribunales de justicia.
E.ep!os de pape!es de t'a*a.o"
MEMORANDO DE +LANIFICACION
COO+ERATIVA DE TRANS+ORTEDE +ASA-ERON EN TA/IS
0SERVITA/I N1 23
!!#7A4$# $ D%A4696:A:6#4
DEL 4 DE ENERO AL 54 DE DICIEM,RE DEL 6243
ELA,ORADO +OR"
SU+ERVISADO +OR"
FEC7A"
FEC7A"
-
8/18/2019 Metodologías de Riesgo
8/12
-
8/18/2019 Metodologías de Riesgo
9/12
CEDULA NARRATIVA 0VISITA +RELIMINAR:
COO+ERATIVA DE TRANS+ORTEDE +ASA-ERON EN TA/IS
0SERVITA/I N1 23
:$8%A 4A77A6=A
=6S6A D7%6!64A7
DEL 4 DE ENERO AL 54 DE DICIEM,RE DEL 6243
-
8/18/2019 Metodologías de Riesgo
10/12
AREA"
RES+ONSA,LE
FEC7A"
O,-ETIVO"
COMENTARIOS;
ELA,ORADO +OR" FEC7A"
SU+ERVISADO +OR" FEC7A"
CUESTIONARIO
COO+ERATIVA DE TRANS+ORTEDE +ASA-ERON EN TA/IS
0SERVITA/I N1 23
:8S6#4A76#
DEL 4 DE ENERO AL 54 DE DICIEM,RE DEL 6243
-
8/18/2019 Metodologías de Riesgo
11/12
N; PREGUNTAS
RESPUESTA PUNTAJE
OBERVACONES
S NO OPT!O OBTEN"O
ELA,ORADO +OR"
SU+ERVISADO +OR"
#EC$A:
#EC$A:
-
8/18/2019 Metodologías de Riesgo
12/12
CONCLUSIÓN"
n resumen la metodología que utilice el auditor depender+ de los niveles profesionales de su
visión de cómo conseguir un mejor resultado en el nivel de control para reducir los riesgos a un
nivel aceptable- también en el proceso de auditoría en la primera fase nos encontramos con la
visita preliminar o previa la cual nos audar+ a conseguir archivos- documentos e información
que ser+n nuestras herramientas para el proceso de auditoría- en base a esos se podr+ conseguir
mejores resultados- debemos recordar que el auditor debe tener una actitud vigilante- una aptitud
positiva una formación continua- para innovar sus conocimientos en este mundo globali*ado
cambiante.
,I,LIOGRAFÍA"
• D6A646 =%N86S- !arioM $% DS# 4A=A77#- milioM Auditoría 6nform+tica
un enfoque pr+ctico- ditorial 7A2!A- >@@@2R>@:&
R>@2R>@R>@>@R>@9ormatosR>@R>@7eglamentoR>@elaboracionR>@R>@tramiteR>@informes.pdf
http://e-archivo.uc3m.es/handle/10016/16802#previewhttp://www.contraloria.gob.ec/documentos/normatividad/NAFG-Cap-V.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/NAFG-Cap-V.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://www.contraloria.gob.ec/documentos/normatividad/Acuerdo%20026%20-%20CG%20-%20%202012%20Formatos%20%20Reglamento%20elaboracion%20y%20tramite%20informes.pdfhttp://e-archivo.uc3m.es/handle/10016/16802#preview