Notes

Proceso completo de auditoría

Se lee en 3 min

Proceso completo de auditoría

Objetivo de la Auditoría

El objetivo general es obtener un panorama actualizado sobre la seguridad de los sistemas informáticos de la empresa, incluyendo aspectos como:

  • Seguridad física de los equipos.
  • Políticas de uso de los sistemas.
  • Procedimientos de transferencia de datos.
  • Protección de los activos informáticos.

Etapas del Proceso de Auditoría

1. Recopilación de Información Básica

Se inicia enviando un cuestionario a los responsables de las distintas áreas para identificar:

  • Equipos utilizados.
  • Procesos ejecutados.
  • Software y hardware en uso.

También se realizan entrevistas con el personal del área de sistemas (directores, subgerentes, asistentes y técnicos) para conocer más a fondo la infraestructura tecnológica.

2. Identificación de Riesgos Potenciales

Se evalúan factores como:

  • Procedimientos de adquisición de software y hardware.
  • Configuración de dispositivos críticos (como firewalls).
  • Huecos de seguridad en software.
  • Actualización y mantenimiento de sistemas.

3. Definición de Objetivos de Control

Se revisa si existen políticas documentadas y efectivas sobre:

  • Seguridad informática.
  • Planes de emergencia y recuperación ante desastres.
  • Comprensión y actualización de los manuales de políticas.
  • Gestión del mantenimiento de equipos y datos.

4. Determinación de Procedimientos de Control

A cada objetivo de control se le asignan procedimientos específicos. Ejemplos:

Objetivo 1: Normativa de hardware

  • Identificación y documentación de equipos.
  • Conservación de facturas y garantías.
  • Registro de mantenimiento.

Objetivo 2: Políticas de acceso

  • Usuario y contraseña individual por persona.
  • Reglas para la complejidad de contraseñas.
  • Auto cierre de sesión por inactividad.
  • Restricciones sobre dispositivos extraíbles.
  • Contratos de confidencialidad para nuevos usuarios.

5. Pruebas a Realizar

Se llevan a cabo para validar el cumplimiento de los controles. Algunas incluyen:

  • Acceso a 10 equipos al azar.
  • Pruebas con dispositivos externos (USB).
  • Evaluación de facilidad de acceso físico a PCs.
  • Verificación de contratos y claves de acceso.
  • Confirmar cierre de sesión automático tras 5 minutos.

6. Obtención de Resultados

Los datos obtenidos se registran en planillas personalizadas según cada prueba, para:

  • Facilitar su interpretación.
  • Evitar errores de análisis.

7. Conclusiones y Comentarios

Se elabora un análisis detallado sobre:

  • Fallas de seguridad física y lógica.
  • Deficiencias en las normativas.
  • Problemas de organización y responsabilidades.

8. Redacción del Borrador del Informe

Se redacta un informe técnico que incluye por cada equipo auditado:

  • Marca y modelo.
  • Número de serie.
  • Problemas detectados.
  • Soluciones recomendadas.

9. Presentación del Borrador al Responsable Técnico

Se entrega el borrador al área de microinformática con firma de conformidad, para formalizar:

  • Problemas encontrados.
  • Compromiso en su solución.

10. Redacción del Informe Final: Resumen y Conclusiones

Se estructura el informe definitivo con:

  • Resultados de todas las etapas.
  • Evaluación global.
  • Puntajes y observaciones.
  • Recomendaciones y correcciones sugeridas.

11. Entrega del Informe Final a los Directivos

Última etapa en la cual se:

  • Presenta formalmente el informe.
  • Fijan parámetros para el seguimiento y control continuo.
  • Evalúa si los objetivos siguen cumpliéndose con el tiempo.

Vista Gráfica

Retroenlaces