Auditoría de TI: uso de controles para proteger activos de información, segunda edición

38

Planes de respaldo y recuperación ante desastres

Si el sistema o sus datos se perdieran, la funcionalidad del sistema no estaría disponible, lo que resultaría en una pérdida de su
capacidad para rastrear las cuentas por cobrar pendientes o registrar nuevos pagos. ¿Cuáles son algunos controles internos que
mitigarían este riesgo?

• Realice copias de seguridad del sistema y sus datos periódicamente.

• Envíe las cintas de respaldo fuera del sitio.

• Documente un plan de recuperación ante desastres.

Determinar qué auditar

Una de las tareas más importantes del departamento de auditoría interna es determinar qué auditar. El Capítulo 1 discutió la
participación temprana, las auditorías informales y las autoevaluaciones. En esta sección, nos enfocamos en las auditorías
formales tradicionales, el tipo de auditorías en las que equipos de auditores trabajan en ellas, produciendo documentos de
trabajo, informes de auditoría, listas de problemas y planes de acción para resolver esos problemas.

Su plan de auditoría debe enfocar a sus auditores en las áreas con mayor riesgo y en las áreas donde puede
agregar el mayor valor. Debe ser eficiente y eficaz en la forma en que utiliza sus recursos limitados al dedicar sus
horas de auditoría de TI a las áreas de mayor importancia. Esto no debe hacerse sacando arbitrariamente las
auditorías potenciales del aire; en cambio, debe ser un proceso lógico y metódico que asegure que se hayan
considerado todas las auditorías potenciales.

Creación del universo de auditoría

Uno de los primeros pasos para garantizar un proceso de planificación eficaz es crear su universo de auditoría de
TI. Debe conocer qué auditorías podría realizar antes de poder clasificarlas. Puede dividir el universo de TI de
muchas maneras, y ninguna es particularmente correcta o incorrecta. Lo importante es encontrar una manera de
dividir el entorno para que pueda realizar las auditorías más efectivas.

Funciones de TI centralizadas
Primero, determine qué funciones de TI están centralizadas y coloque cada una de las funciones centralizadas en su
lista de posibles auditorías de TI (consulte la Tabla 2-1). Por ejemplo, si una función central administra su entorno de
servidor Unix y Linux, una de sus auditorías potenciales podría ser una revisión de la administración de ese entorno.
Esto podría incluir procesos administrativos como administración de cuentas, administración de cambios,
administración de problemas, administración de parches, monitoreo de seguridad y otros procesos similares que se
aplicarían a todo el entorno.

Otro ejemplo podría incluir una revisión de la seguridad básica utilizada por la función centralizada de Unix y Linux
para implementar nuevos servidores. Esta auditoría podría cubrir todos aquellos procesos que se aplican a todo el
entorno de servidor Unix y Linux. Entonces, si las finanzas
 Capítulo 2: El proceso de auditoría

39

El plan de los auditores ciales requiere una auditoría de una aplicación financiera en particular que reside en un servidor
Unix, su participación en esa auditoría podría consistir únicamente en auditar la seguridad de ese servidor específico sin

PARTE I
tener que dedicar tiempo a comprender los procesos para administrar ese servidor (que ya estaban cubiertos en su
auditoría centralizada).
Por supuesto, cada empresa centralizará este tipo de funciones básicas de TI en diferentes grados. Debe
comprender el entorno lo suficientemente bien como para determinar qué funciones están centralizadas y agregar esas
funciones a su universo de auditoría. Las auditorías de ese tipo de funciones forman una línea de base que acelerará
el resto de sus auditorías. A medida que realiza otras auditorías, puede eliminar las funciones centralizadas que ya se
han auditado del alcance de la auditoría.

Por ejemplo, suponga que realiza auditorías del entorno de TI en cada sitio, pero la configuración de la red y
el soporte están centralizados. Sería ineficaz hablar con el grupo de la red sobre sus procesos durante todas y
cada una de las auditorías del sitio. En su lugar, debe realizar una auditoría que cubra sus procesos y luego
excluir esa área de las auditorías de su sitio.

Funciones de TI descentralizadas
Después de crear una lista de todos los procesos de TI centralizados de la empresa, puede determinar el resto de su
universo de auditoría. Quizás pueda crear una posible auditoría por sitio de la empresa. Estas auditorías podrían
consistir en revisar los controles de TI descentralizados que son propiedad de cada sitio, como la seguridad física del
centro de datos y los controles ambientales. El soporte para servidores y PC también puede estar descentralizado en
su empresa. La clave sería comprender qué controles de TI son propiedad a nivel del sitio y revisarlos. Puede que
sea necesario ser más detallado que esto y tener numerosas auditorías potenciales en cada sitio. Todo depende de
la complejidad del entorno, la jerarquía de la organización y los niveles de personal. Tendrá que determinar qué es
más eficaz en su entorno.

NOTA Comprender las auditorías potenciales en su universo es fundamental para ser un auditor eficaz.
Quizás la mejor manera de analizar la amplitud de las auditorías posibles es reunirse con los gerentes
de TI de la empresa para ayudarlo a comprender cómo se asignan las responsabilidades de TI y
determinar qué funciones de TI están centralizadas y descentralizadas.

Administración de servidores Unix y Linux Mesa de ayuda central

Administración de servidores Windows Gestión de base de datos

Seguridad de la red inalámbrica Servicios móviles de telefonía y voz

Gestión de conmutadores y enrutadores internos Gestión sobre IP

de cortafuegos / DMZ Política de seguridad de TI

Operaciones de mainframe

Tabla 2-1 Oportunidades potenciales para auditar actividades centralizadas

Auditoría de TI: uso de controles para proteger activos de información, segunda edición

40

Aplicaciones de negocios
También puede crear una auditoría potencial para cada aplicación empresarial. Deberá determinar si es más eficaz
realizar estas auditorías en el universo de auditoría de TI o en el universo de auditoría financiera. En muchos
sentidos, tiene más sentido que estas auditorías sean dirigidas por los auditores financieros, quienes probablemente
estén en la mejor posición para determinar cuándo es el momento de realizar una auditoría del proceso de
adquisiciones. Si toman esa decisión, pueden pedirle que determine los aspectos relevantes del sistema que deben
incluirse en la auditoría de adquisiciones (como una revisión del servidor en el que reside la aplicación de
adquisiciones, los controles de cambio de software del sistema, la recuperación de desastres del sistema). plan,
etc.).

Regulador y Cumplimiento
Dependiendo de los servicios o bienes que brinde su empresa, es posible que usted sea responsable de garantizar el
cumplimiento de ciertas regulaciones. Los ejemplos comunes incluyen la auditoría del cumplimiento de Sarbanes-Oxley, la
Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPPA) y las regulaciones y estándares de la Industria de
Tarjetas de Pago (PCI). Es posible que tenga una auditoría separada en su universo de auditoría para probar el cumplimiento
de cada regulación relevante.

NOTA Una buena fuente para asegurarse de haber considerado todas las áreas importantes del gobierno
de TI es hacer referencia al objetivos de control para tecnología de la información y afines (COBIT) marco,
que define los objetivos de control de alto nivel para TI. Aunque su planificación siempre debe adaptarse a
las particularidades del entorno de su empresa, COBIT puede ser una buena referencia para crear su
universo de auditoría. COBIT se analiza con más detalle en el Capítulo 16, y puede obtener más
información sobre COBIT en línea en www.isaca.org.

Clasificación del universo de auditoría

Una vez que haya creado su universo de auditoría de TI, debe desarrollar una metodología para clasificar esas
auditorías potenciales (Figura 2-2) para determinar su plan para el año (o trimestre, mes, etc.). Puede incluir todo
tipo de factores en esta metodología, pero los siguientes son algunos de los imprescindibles:

• Problemas conocidos en el área Si sabe que existen problemas en el área, es más probable
que realice una auditoría de esa área.

• Riesgo inherente a la zona Es posible que no esté al tanto de problemas específicos en el área, pero su
experiencia le dice que esta área es propensa a problemas, por lo que debe considerar realizar una auditoría.
Por ejemplo, tal vez encuentre problemas importantes de manera constante al auditar los controles de TI a nivel
del sitio que respaldan una actividad de fabricación en particular. Esta experiencia indicaría un riesgo inherente
más alto en esa área, lo que lo llevará a realizar auditorías similares en otros sitios, incluso si no tiene
conocimiento de ningún problema específico en esos sitios.
 Capítulo 2: El proceso de auditoría

41

• Beneficios de realizar una auditoría en el área Considere los beneficios de realizar una auditoría en
el área, enfocándose particularmente en si una auditoría agregaría valor a la empresa. Esto

PARTE I
proporciona una especie de compensación al primer elemento de esta lista. Por ejemplo, es posible
que conozca problemas existentes, pero la gerencia ya los conoce y los está abordando. En este
caso, informar a la gerencia sobre todos los problemas que ya están en proceso de solucionar no
agrega valor. En lugar de auditarlo, considere la posibilidad de ser parte del equipo que está
desarrollando soluciones para solucionar el problema (como se discutió en el Capítulo 1). También
debe considerar la importancia de un área para la empresa. Por ejemplo, es posible que sepa que
existen problemas con el sistema utilizado para pedir comidas para reuniones internas.

• Entrada de gestión El Capítulo 1 discutió la importancia de desarrollar y mantener buenas relaciones con la
administración de TI. Cuando esas relaciones son saludables, la información de la administración de TI
debe ser un factor importante en sus decisiones sobre qué auditar. Si el director de información (CIO) y / o
los miembros clave del equipo de liderazgo de TI están preocupados por un área y quieren que usted la
audite, entonces esa información debe pesar mucho en su proceso de decisión. De hecho, si esas
relaciones son saludables y está haciendo un buen trabajo manteniendo el contacto durante todo el año,
su plan de auditoría casi debería crearse solo. Estará al tanto de los cambios importantes en el entorno y
de las preocupaciones importantes, por lo que su proceso de planificación puede ser una confirmación de
las discusiones que ha tenido durante todo el año. Tenga en cuenta que este factor también puede influir
en otros. Por ejemplo, Si la gerencia lo alienta a realizar una auditoría, probablemente sepa de problemas
en el área, lo que podría llevarlo a aumentar su calificación del primer factor (problemas conocidos en el
área). También puede llevarlo a creer que puede agregar valor al realizar la auditoría, de modo que
potencialmente pueda aumentar su calificación del tercer factor (beneficio de realizar una auditoría en el
área).

Tabla de clasificación de auditoría de TI

Auditoría Total Conocido Inherente Mgmt

Auditoría potencial Beneficio
clasificación puntos cuestiones riesgo aporte

Administración del servidor UNIX 1 32 8 7 8 9

Firewalls corporativos 2 29 7 8 6 8

Centro de datos del sitio 1 3 26 7 6 7 6

Sistema de cuentas por cobrar 4 20 4 5 6 5

Mesa de ayuda central 5 15 4 6 3 2

Figura 2-2 Ejemplo de tabla de clasificación de auditoría

Auditoría de TI: uso de controles para proteger activos de información, segunda edición

42

Se pueden incluir otros factores en un modelo de clasificación de auditoría, pero los cuatro anteriores son
absolutamente esenciales. Se pueden agregar otros factores en función del entorno de su empresa (por ejemplo,
tener un factor que mida la cantidad de activos representados por el área o un factor que refleje los resultados de
auditorías previas del área).
Además, el entorno en su empresa puede llevarlo a sopesar algunos de esos factores más que otros.
Como ejemplo de cómo funcionaría el modelo de clasificación, puede decidir clasificar cada factor de 1 a 10.
Si el CIO y todo el equipo de liderazgo lo están animando a realizar una auditoría, el factor de entrada de la
administración podría obtener un 10. Sin embargo, Si no ve mucho riesgo inherente en esa área, puede darle
a ese factor un 5. Y esto continúa hasta que haya asignado un valor en puntos a cada factor para cada
posible auditoría en su universo de auditoría. También puede decidir que, por ejemplo, el factor de
"problemas conocidos" necesita una ponderación más alta que los demás, por lo que podría contar ese factor
al doble.

NOTA Consulte el Capítulo 18 para obtener información sobre técnicas detalladas de análisis de riesgos.

Algunas empresas ponen un gran énfasis en las auditorías rotativas, donde cada auditoría se realiza en un horario
específico. Esta puede ser una forma válida de garantizar que todos los sistemas y sitios críticos se auditen periódicamente;
sin embargo, los horarios de rotación deben ser una guía y no una regla firme. Debe considerar cuál es el área más
importante para auditar hoy dia basado en factores como los que acabamos de mencionar. Un programa de rotación no
debería ser una excusa para ignorar los problemas conocidos y las aportaciones de la administración de TI. Es fundamental
que se reserve el derecho de ignorar el programa de rotación para asegurarse de que está llegando a las áreas donde puede
agregar el mayor valor a la empresa. Si las rotaciones son una gran parte de cómo se programan sus auditorías, podría
considerar agregar un programa de rotación como un factor en su modelo de clasificación de auditoría. De esta manera, si
una auditoría vence en la rotación (o vencida), es más probable que se haga el plan.

Por supuesto, es posible que deba realizar algunas auditorías anualmente según los requisitos reglamentarios
(como el cumplimiento de Sarbanes-Oxley). Obviamente, estas auditorías no necesitan clasificarse.

Determinar qué auditar: pensamientos finales

Una vez que haya realizado su clasificación, deberá estimar los requisitos de recursos para cada posible auditoría
para determinar la línea de corte para su plan de auditoría (ya que debe saber qué recursos están disponibles para
usted). También le permitirá mostrar a la gerencia qué auditorías no tener tiempo para llegar, lo que puede llevar a
discusiones saludables sobre la idoneidad de los niveles de personal de auditoría y / o la necesidad de considerar
opciones de contratación conjunta.

En resumen, antes de que pueda sentirse cómodo de que está auditando las cosas correctas, debe
determinar su universo de auditorías potenciales y luego desarrollar una metodología para clasificar esas
auditorías. Una vez que haya determinado lo que auditará, puede
 Capítulo 2: El proceso de auditoría

43

PARTE I
Figura 2-3 Descripción general del proceso de auditoría

ejecutar cada auditoría en el plan. El resto de este capítulo está dedicado a discutir las metodologías para
hacerlo.

Las etapas de una auditoría

Ahora que comprende el proceso de selección de qué auditar, analicemos las distintas etapas para realizar cada una de
las auditorías en el plan de auditoría. Analizaremos las siguientes seis fases principales de auditoría (Figura 2-3):

1. Planificación

2. Trabajo de campo y documentación

3. Descubrimiento y validación de problemas

4. Desarrollo de soluciones

5. Redacción y emisión de informes

6. Seguimiento de problemas

Aprenderá a realizar cada una de estas etapas de la manera más eficaz.

Planificación

Antes de comenzar a trabajar en cualquier auditoría, debe determinar qué planea revisar. Si el proceso de planificación se
ejecuta de manera efectiva, preparará al equipo de auditoría para el éxito. Por el contrario, si se realiza de manera deficiente y
el trabajo comienza sin un plan y sin una dirección clara, los esfuerzos del equipo de auditoría podrían resultar en un fracaso.

El objetivo del proceso de planificación es determinar los objetivos y el alcance de la auditoría. Debe determinar qué
es lo que está tratando de lograr con la revisión. Como parte de este proceso, debe desarrollar una serie de pasos a
ejecutar para lograr los objetivos de la auditoría. Este proceso de planificación requerirá una cuidadosa investigación,
reflexión y consideración para cada auditoría. A continuación, se presentan algunas fuentes básicas a las que se debe
hacer referencia como parte del proceso de planificación de cada auditoría:

• Traspaso del gerente de auditoría

• Encuesta preliminar