馃Л M脡TODO GENERAL PARA DISE脩AR UN PLAN DE AUDITOR脥A INFORM脕TICA

 

馃Л M脡TODO GENERAL PARA DISE脩AR UN PLAN DE AUDITOR脥A INFORM脕TICA

1. PROP脫SITO

Establecer un m茅todo estructurado para planificar, ejecutar y documentar auditor铆as inform谩ticas orientadas a evaluar la seguridad, confiabilidad, cumplimiento normativo y eficiencia de los sistemas de informaci贸n y su infraestructura tecnol贸gica.

2. ENFOQUE GENERAL

El m茅todo se desarrolla en seis fases principales y quince pasos operativos, permitiendo adaptarlo a distintos tipos de auditor铆as: de sistemas, de ciberseguridad, de infraestructura tecnol贸gica o de cumplimiento.

馃敼 FASE 1: Definici贸n del Contexto y Alcance

Objetivo: Comprender el entorno organizacional, los activos cr铆ticos y los objetivos de la auditor铆a.

Pasos:

  1. Caracterizaci贸n del entorno:

  2. Definici贸n del alcance:

    • Especificar sistemas, procesos o unidades organizativas a auditar.

    • Determinar l铆mites (por ejemplo: entorno de producci贸n, servidores cr铆ticos, bases de datos, redes).

    • Establecer exclusiones justificadas.

  3. Formulaci贸n de objetivos espec铆ficos:

馃敼 FASE 2: Identificaci贸n de Riesgos y Criterios de Auditor铆a

Objetivo: Priorizar las 谩reas cr铆ticas en funci贸n del riesgo e impacto.

Pasos:

  1. Identificaci贸n de riesgos tecnol贸gicos y operativos:

  2. Evaluaci贸n de probabilidad e impacto:

    • Aplicar una matriz de riesgos (por ejemplo, escala 1–5).

    • Determinar el nivel de riesgo (bajo, medio, alto).

    • Asociar cada riesgo con los controles de referencia (ej. ISO 27001 Anexo A).

  3. Definici贸n de criterios de auditor铆a:

馃敼 FASE 3: Planificaci贸n y Dise帽o del Plan de Auditor铆a

Objetivo: Establecer la estrategia, el equipo y los recursos necesarios para la auditor铆a.

Pasos:

  1. Dise帽o del plan de auditor铆a:
    Incluir:

  2. Asignaci贸n del equipo auditor:

    • Definir roles (coordinador, auditores t茅cnicos, observadores).

    • Verificar competencia t茅cnica y autonom铆a del equipo.

  3. Preparaci贸n de instrumentos:

馃敼 FASE 4: Ejecuci贸n de la Auditor铆a

Objetivo: Recopilar evidencias mediante pruebas t茅cnicas, revisi贸n documental y entrevistas.

Pasos:

  1. Revisi贸n documental:

    • Pol铆ticas, manuales, bit谩coras, configuraciones de red, listas de usuarios, respaldos.

  2. Pruebas t茅cnicas controladas:

  3. Entrevistas y observaci贸n directa:

    • Personal t茅cnico y usuarios clave.

    • Validar la aplicaci贸n pr谩ctica de pol铆ticas y controles.

馃敼 FASE 5: Evaluaci贸n y An谩lisis de Hallazgos

Objetivo: Determinar el grado de cumplimiento y priorizar riesgos.

Pasos:

  1. An谩lisis de evidencias:

    • Clasificar resultados: Cumple / Parcial / No cumple.

    • Asociar hallazgos con riesgos identificados.

    • Determinar causa ra铆z de las no conformidades.

  2. Evaluaci贸n de madurez de los controles:

    • Nivel 1: Inexistente

    • Nivel 2: Parcial

    • Nivel 3: Documentado

    • Nivel 4: Implementado

    • Nivel 5: Monitoreado y mejorado

馃敼 FASE 6: Informe, Recomendaciones y Seguimiento

Objetivo: Comunicar resultados y fortalecer la mejora continua.

Pasos:

  1. Elaboraci贸n del informe final:

    • Resumen ejecutivo con principales hallazgos.

    • Riesgos cr铆ticos priorizados.

    • Recomendaciones de mejora.

    • Plan de acci贸n con responsables y plazos.

  2. Seguimiento y mejora continua:

    • Monitoreo de acciones correctivas.

    • Evaluaci贸n de eficacia.

    • Actualizaci贸n del mapa de riesgos.

    • Retroalimentaci贸n al sistema de gesti贸n.

馃搳 RESULTADOS ESPERADOS

  • Plan de auditor铆a documentado, trazable y verificable.

  • Identificaci贸n clara de riesgos y brechas de seguridad.

  • Cumplimiento de est谩ndares internacionales.

  • Fortalecimiento de la gobernanza tecnol贸gica.

  • Mejora continua en la gesti贸n de seguridad y cumplimiento normativo.

馃摌 HERRAMIENTAS Y REFERENCIAS T脡CNICAS




Comentarios

Publicar un comentario

Entradas populares de este blog

Implementaci贸n del Modelo AAA

Imagen
Servicios de autenticaci贸n. Servicios de autenticaci贸n: Local, LDAP, Kerberos. En cuanto a los servicios de autenticaci贸n, existen diversos enfoques. La autenticaci贸n local es el m茅todo m谩s b谩sico y consiste en almacenar las credenciales directamente en el sistema que las valida, como ocurre en los archivos /etc/shadow de Linux o la base de datos SAM en Windows. Este m茅todo es sencillo y no requiere infraestructura adicional, pero no es escalable en entornos con muchos equipos y dificulta la gesti贸n centralizada de usuarios .   Ilustraci贸n 1 . Proceso de autenticaci贸n local, donde el usuario valida sus credenciales contra el archivo de contrase帽as almacenado en el sistema operativo (/etc/shadow en Linux o SAM en Windows). Para escenarios m谩s complejos, se utiliza LDAP (Lightweight Directory Access Protocol), un protocolo abierto que permite acceder y administrar servicios de directorio. A trav茅s de un servidor LDAP (como OpenLDAP, 389 Directory Server o Active Directory...
Leer m谩s

¿Qu茅 es la Auditor铆a de Sistemas Inform谩ticos?

Imagen
 馃搶 ¿Qu茅 es la Auditor铆a de Sistemas Inform谩ticos? ISACA (2011): la auditor铆a inform谩tica consiste en la revisi贸n y evaluaci贸n de todos los aspectos, o parte de ellos, relacionados con los sistemas autom谩ticos de procesamiento de la informaci贸n, incluyendo procedimientos no autom谩ticos asociados e interfaces correspondientes. ISO 19011: define la auditor铆a como un proceso sist茅mico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva, con el fin de determinar el grado de cumplimiento respecto a criterios establecidos. 馃幆 Objetivos principales. Salvaguardar activos de TI (hardware, software, informaci贸n). Mantener la integridad de los datos. Contribuir al logro de metas organizacionales mediante la gesti贸n adecuada de la informaci贸n. Verificar cumplimiento normativo. Revisar la eficacia y eficiencia en el uso de recursos inform谩ticos. 馃洜️ Caracter铆sticas clave. La auditor铆a de sistemas busca garantizar: Desempe帽o adecuado de los sistemas. Fiabilidad e...
Leer m谩s

Simulaciones para dos tipos de vulneribilidades A03:Cross-Site Scripting (XSS) y A04: Insecure Direct Object References (IDOR) del OWASP Top Ten.

Imagen
El presente taller tiene como finalidad proporcionar una comprensi贸n pr谩ctica y te贸rica sobre la realizaci贸n de pruebas de penetraci贸n en un entorno organizacional. A trav茅s de ejercicios pr谩cticos y el uso de herramientas especializadas, se busca fortalecer las habilidades necesarias para identificar, evaluar y mitigar vulnerabilidades de seguridad. La Open Web Application Security Project (OWASP) es una organizaci贸n sin fines de lucro dedicada a mejorar la seguridad del software. OWASP proporciona recursos, metodolog铆as y herramientas para evaluar y mitigar riesgos en aplicaciones web, siendo una referencia esencial en la ciberseguridad. Uno de sus principales aportes es el OWASP Top Ten, una lista de las diez vulnerabilidades de seguridad m谩s cr铆ticas en aplicaciones web, que incluye problemas como: Inyecci贸n de c贸digo (SQL, NoSQL, OS, LDAP, etc.) Autenticaci贸n rota Exposici贸n de datos sensibles Entidades externas XML (XXE) Control de acceso defectuoso Configuraciones de seguridad i...
Leer m谩s