Planificación y diseño de auditorías técnicas

Planificación y diseño de auditorías técnicas

1. Definición del alcance de una auditoría.


El alcance de una auditoría técnica se refiere a los límites específicos de lo que será examinado durante el proceso de auditoría. Define los sistemas, procesos, locaciones y períodos de tiempo que serán cubiertos durante la auditoría. En otras palabras, describe qué es lo que está «dentro» de la auditoría y qué es lo que está «fuera».

Determinar el alcance adecuado es fundamental para el éxito de una auditoría, ya que permite a los auditores enfocarse en los aspectos más relevantes y críticos del sistema o proceso bajo revisión. Los factores que determinan el alcance de una auditoría incluyen:

  1. Objetivos de la auditoría: Aquí se definen el propósito y las metas específicas de la auditoría. Así pues, los objetivos pueden variar desde asegurar el cumplimiento regulatorio hasta evaluar la efectividad de los controles internos o identificar áreas de mejora en la eficiencia operativa.
  2. Riesgos y materialidad: Es fundamental llevar a cabo la identificación de riesgos relevantes y su impacto en la organización ayuda a priorizar las áreas de enfoque de la auditoría. Por materialidad se entiende el umbral en el que un error o discrepancia puede considerarse significativo. Así pues, estos dos factores son fundamentales para guiar a los auditores en la selección de áreas que requieren una mayor atención y análisis.
  3. Tamaño y complejidad de la organización: Obviamente, la estructura organizativa, el volumen de transacciones y la diversidad de operaciones influyen en el alcance de la auditoría. Así pues, una organización más grande y compleja requerirá un alcance más amplio y un enfoque más detallado.
  4. Competencia y recursos del equipo de auditoría: Se debe tener en cuenta que la experiencia y habilidades del equipo de auditoría, así como los recursos disponibles, afectan el alcance de la auditoría. Así pues, es esencial que el equipo tenga la capacidad de abordar adecuadamente las áreas de enfoque seleccionadas.
  5. Tiempo y presupuesto: Como es obvio, la duración y los recursos económicos asignados a una auditoría también pueden afectar su alcance, ya que las restricciones de tiempo y presupuesto pueden requerir la reducción del alcance o la selección de áreas prioritarias para enfocar.

Los elementos básicos para establecer el alcance de una auditoría incluyen:

  1. Definir los objetivos de la auditoría.
  2. Identificar los riesgos y evaluar la materialidad.
  3. Establecer las áreas de enfoque y los procedimientos de auditoría.
  4. Determinar el tamaño y la composición del equipo de auditoría.
  5. Establecer un cronograma y un presupuesto para la auditoría.

En referencia a la indefinición o error al establecer los factores anteriormente vistos, decir que puede tener consecuencias muy negativas para el éxito de una auditoría. Así pues, un alcance mal definido o demasiado amplio puede llevar a un enfoque disperso, lo que puede resultar en un análisis insuficiente de áreas críticas o la omisión de riesgos significativos, mientras que un alcance demasiado estrecho puede limitar la capacidad de los auditores para identificar problemas y áreas de mejora en la organización. Además, hay que tener en cuenta que un alcance mal definido puede provocar retrasos en la auditoría y un uso ineficiente de recursos. Por lo tanto, es crucial establecer un alcance adecuado y realista que permita a los auditores realizar una revisión exhaustiva y efectiva de los procesos y sistemas en cuestión.


2. Plan de auditoría.


El Plan de Auditoría es un documento clave que detalla el enfoque, los objetivos, el alcance, el cronograma y los recursos necesarios para llevar a cabo una auditoría, y, por lo tanto, es fundamental para garantizar el éxito de la auditoría por varias razones:

  1. Establece objetivos claros: Un Plan de Auditoría bien definido establece objetivos claros y específicos, lo que ayuda a los auditores a enfocarse en las áreas clave y a mantenerse alineados con las metas de la auditoría.
  2. Define el alcance: El Plan de Auditoría es esencial para establecer y delimitar el alcance de la auditoría, lo que garantiza que los auditores se centren en las áreas relevantes y críticas para la organización, evitando el uso ineficiente de recursos y tiempo.
  3. Identifica riesgos y materialidad: Un buen Plan de Auditoría incluye la identificación de riesgos y la evaluación de la materialidad, lo que permite a los auditores priorizar áreas que requieren una mayor atención y análisis.
  4. Asignación de recursos: El Plan de Auditoría proporciona información sobre los recursos necesarios, tanto humanos como económicos, para llevar a cabo la auditoría de manera eficiente y efectiva.
  5. Cronograma y logística: Un Plan de Auditoría bien estructurado incluye un cronograma detallado, que permite a los auditores y a la organización planificar y coordinar la auditoría de manera adecuada, garantizando que se cumplan los plazos y se minimicen las interrupciones en las operaciones normales.
  6. Comunicación y coordinación: El Plan de Auditoría sirve como un medio de comunicación entre los auditores, la organización auditada y, en algunos casos, los reguladores o terceros interesados. Facilita la coordinación y el entendimiento mutuo de las expectativas, responsabilidades y resultados de la auditoría.

La relación entre el Plan de Auditoría y el alcance de la auditoría es directa, ya que el plan establece el alcance y las áreas de enfoque para la auditoría. Un plan bien desarrollado y ejecutado contribuye al éxito de la auditoría, mientras que un plan deficiente o mal ejecutado puede resultar en un alcance inadecuado y, por lo tanto, en el fracaso de la auditoría.

El Plan de Auditoría debe resolver y/o evitar los siguientes problemas:

  1. Falta de claridad en los objetivos y el alcance de la auditoría.
  2. Desviaciones de los objetivos y el alcance durante la auditoría.
  3. Uso ineficiente de recursos y tiempo.
  4. Omisión de riesgos significativos o áreas críticas.
  5. Falta de comunicación y coordinación entre las partes interesadas.
  6. Incumplimiento de plazos y expectativas.

En definitiva, podemos afirmar que un Plan de Auditoría sólido y bien ejecutado es fundamental para garantizar el éxito de una auditoría, ya que proporciona claridad, enfoque y coordinación a lo largo de todo el proceso de auditoría.


3. Enfoque de la auditoría.


En el contexto de una empresa (por ejemplo) que ha lanzado recientemente una aplicación web de mercado para una prominente cadena de librerías, se propone una estrategia de auditoría dual. La aplicación facilita tanto las transacciones electrónicas a través de una pasarela de pago como la gestión de inventarios y pedidos.

El desafío consiste en describir dos metodologías de auditoría diferenciadas por el grado de conocimiento previo del sistema por parte del equipo auditor: una en el marco de pruebas de «caja negra» y la otra bajo el enfoque de «caja blanca» o, siguiendo la terminología de ISECOM, «caja de cristal». Para cada enfoque se definirá el alcance, los objetivos del cliente y los recursos técnicos requeridos, enfatizando las distinciones entre ambos.

  1. Auditoría 1: Perspectiva «Black Box»
      • Objetivo del cliente: El cliente busca asegurar que la aplicación web sea segura, funcional y ofrezca un rendimiento adecuado desde la perspectiva de un usuario final o de un atacante potencial, sin tener en cuenta los detalles de la implementación interna.
      • Recursos técnicos y entornos necesarios: El equipo auditor necesitará acceso a la aplicación web en un entorno de pruebas similar al entorno de producción. Pueden utilizar herramientas de escaneo de seguridad y pruebas automatizadas, así como realizar pruebas manuales para evaluar la funcionalidad y el rendimiento de la aplicación. No tendrán acceso al código fuente ni a información detallada sobre la arquitectura del sistema.
      • Alcance: La auditoría «Black Box» se centra en evaluar la seguridad, funcionalidad y rendimiento de la aplicación web sin conocer detalles específicos del código fuente, la arquitectura interna o la implementación técnica del sistema. El enfoque es similar al de un usuario o atacante externo que intenta identificar vulnerabilidades y fallos en la aplicación.

En una auditoría «Black Box» o de caja negra, el equipo auditor podría llevar a cabo las siguientes pruebas y análisis:

  1. Pruebas de inyección SQL: El auditor podría intentar inyectar código SQL malicioso en los campos de entrada de la aplicación web para identificar si hay vulnerabilidades de inyección SQL. Si tiene éxito, esto podría permitir a un atacante acceder a la base de datos y comprometer la información almacenada.
  2. Pruebas de autenticación y autorización: El auditor podría probar la robustez de los mecanismos de autenticación y autorización de la aplicación, intentando, por ejemplo, bypassear la autenticación mediante ataques de fuerza bruta o manipulando cookies de sesión.
  3. Pruebas de seguridad en la pasarela de pago: El auditor podría evaluar si la pasarela de pago está correctamente protegida y si se cumplen los requisitos de seguridad de la industria, como el estándar PCI DSS.
  4. Pruebas de rendimiento y carga: El auditor podría someter la aplicación web a cargas elevadas de tráfico y usuarios simultáneos para evaluar cómo se comporta el sistema ante una demanda alta, identificando posibles cuellos de botella o fallos en el rendimiento.
  1. Auditoría 2: Perspectiva “White Box”
    • Alcance: La auditoría «White Box» o caja blanca, implica un análisis exhaustivo de la aplicación web, incluyendo el acceso y revisión del código fuente, la arquitectura del sistema y la implementación técnica. El enfoque es evaluar la seguridad, funcionalidad, rendimiento y calidad del código desde la perspectiva de un desarrollador o experto en seguridad interna.
    • Objetivo del cliente: El cliente busca una evaluación detallada de la aplicación web que identifique posibles vulnerabilidades, problemas de rendimiento y fallos funcionales desde una perspectiva técnica interna, con el fin de mejorar la calidad del código y garantizar la seguridad y eficacia de la aplicación.
    • Recursos técnicos y entornos necesarios: El equipo auditor necesitará acceso completo al código fuente, la arquitectura del sistema y la documentación técnica. También requerirán acceso a un entorno de pruebas donde puedan analizar y probar el código. Pueden utilizar herramientas de análisis de código estático y dinámico, así como realizar pruebas manuales y revisiones de código para evaluar la calidad, seguridad y rendimiento de la aplicación.

En una auditoría «White Box» o de caja blanca, a diferencia de la auditoría de caja negra, el equipo auditor podría llevar a cabo las siguientes pruebas y análisis:

  1. Análisis de código estático: El auditor podría revisar el código fuente de la aplicación en busca de vulnerabilidades, como el uso de funciones inseguras, la falta de validación de entrada de datos o la exposición de información confidencial en el código, entre otras.
  2. Revisión de la arquitectura del sistema: El auditor podría analizar la arquitectura del sistema, incluyendo la interacción entre componentes, la comunicación entre servidores y la gestión de datos, para identificar posibles debilidades o vulnerabilidades en el diseño.
  3. Análisis de la gestión de sesiones y cookies: El auditor podría revisar el código fuente y la implementación de la gestión de sesiones y cookies para garantizar que se siguen las mejores prácticas de seguridad y se protegen adecuadamente los datos del usuario.
  4. Pruebas de seguridad en la integración con la pasarela de pago: El auditor podría evaluar el código fuente y la implementación técnica de la integración con la pasarela de pago para asegurar que se cumplen los requisitos de seguridad de la industria, como el estándar PCI DSS, y que se aplican las mejores prácticas de seguridad en la transmisión y almacenamiento de datos sensibles.

Llegados a este punto, podemos decir que las diferencias clave entre las dos auditorías radica en el nivel de conocimiento que debe tener el equipo auditor, y en el acceso a la aplicación web. Así pues:

  • La auditoría «Black Box» se enfoca en la perspectiva externa del sistema, sin acceso a detalles de implementación interna, pues se centra en las pruebas externas y la interacción con la aplicación
  • La auditoría «White Box» implica un enfoque detallado y profundo, con acceso completo a la información interna del sistema, pues analiza el código fuente y la arquitectura interna del sistema, proporcionando una visión más detallada y completa de la seguridad y calidad de la aplicación.

4. Planificación de una auditoría técnica.


La planificación de una auditoría técnica para una empresa como la descrita en el punto anterior, supone una estrategia detallada y multifacética que se extiende desde la concepción inicial hasta la conclusión del proyecto. Se propone que la empresa opta por externalizar una auditoría centrada en la verificación de la aplicación de controles técnicos sobre las redes de comunicación. Este enfoque incluye un análisis exhaustivo de las redes WiFi, la segmentación y el filtrado de tráfico en las capas de red y transporte del conjunto de protocolos TCP/IP, así como una inspección cuidadosa de los puntos de interconexión con otras redes, las conexiones punto a punto o VPN con terceros y la protección de acceso en la capa de interfaz de red.

Como auditor jefe de la «empresa auditora contratada», podría presentar como ejemplo la siguiente planificación completa del proyecto de auditoría técnica, que consta de varias fases desde la reunión de inicio hasta la finalización del proyecto:

Fase 1: Reunión de inicio y definición del alcance.

  1. Objetivo: Establecer un entendimiento común del alcance y los objetivos de la auditoría, así como presentar a los participantes del proyecto y definir sus roles y responsabilidades.
  1. Actividades:
    • Presentación de los participantes del proyecto y sus roles.
    • Revisión y discusión del alcance de la auditoría.
    • Identificación de los objetivos de la auditoría.
    • Revisión de los recursos y acceso necesario para llevar a cabo la auditoría.

Fase 2: Recopilación de información y análisis de riesgos.

  1. Objetivo: Obtener información relevante sobre la infraestructura de red, las conexiones con terceros y la segmentación de la red, así como identificar los riesgos potenciales asociados con estos elementos.
  1. Actividades:
    • Recopilación de documentación técnica, políticas y procedimientos relacionados con la red.
    • Entrevistas con el personal técnico y de seguridad para obtener información adicional.
    • Análisis de riesgos y evaluación de la efectividad de los controles existentes.

Fase 3: Planificación y ejecución de pruebas.

  1. Objetivo: Diseñar y llevar a cabo pruebas de auditoría para evaluar la efectividad de los controles técnicos sobre las redes de comunicación, la segmentación y filtrado de tráfico y las conexiones con redes de terceros.
  1. Actividades:
    • Diseño de pruebas de auditoría específicas y metodologías de evaluación.
    • Ejecución de las pruebas de auditoría en entornos de prueba y producción, según sea apropiado.
    • Documentación de los resultados de las pruebas y hallazgos.

Fase 4: Análisis de resultados y elaboración del informe.

  1. Objetivo: Analizar los resultados de las pruebas de auditoría y elaborar un informe detallado que presente los hallazgos, las deficiencias identificadas y las recomendaciones para mejorar la seguridad de la red.
  1. Actividades:
    • Análisis de los resultados de las pruebas de auditoría.
    • Identificación de deficiencias y áreas de mejora.
    • Elaboración de recomendaciones de mejora.
    • Redacción del informe de auditoría.

Fase 5: Presentación de resultados y seguimiento.

  1. Objetivo: Presentar los resultados de la auditoría al Comité de Seguridad y al Responsable de Revisión Interna, así como establecer un plan de seguimiento para garantizar que se implementen las recomendaciones de mejora.
  1. Actividades:
    • Presentación de los resultados de la auditoría y discusión de los hallazgos y recomendaciones.
    • Establecimiento de un plan de seguimiento y asignación de responsabilidades para la implementación de las recomendaciones de mejora.
    • Monitoreo y seguimiento del progreso en la implementación de las recomendaciones.

Cronograma de actividades:


A continuación se presenta un cronograma de actividades para el proyecto de auditoría.

Semana 1:

  • Día 1: Reunión de inicio y definición del alcance.
  • Día 2-5: Identificación de puntos de contacto y recopilación de documentación inicial.

Semana 2:

  • Día 1-3: Revisión de la documentación técnica, políticas y procedimientos.
  • Día 4-5: Entrevistas con el personal técnico y de seguridad.

Semana 3:

  • Día 1-5: Análisis de riesgos y evaluación preliminar de los controles existentes.

Semana 4:

  • Día 1-3: Diseño de pruebas de auditoría específicas y metodologías de evaluación.
  • Día 4-5: Configuración de entornos de prueba y preparación de herramientas de auditoría.

Semana 5 y 6 (Ejecución de la auditoría):

  • Día 1-5: Ejecución de las pruebas de auditoría en entornos de prueba (PRE o QA) y producción (PRO), según sea apropiado.
  • Día 6-7: Descanso semanal.
  • Día 8-13: Continuación de las pruebas de auditoría en entornos de prueba (PRE o QA) y producción (PRO), según sea apropiado.

Semana 7 y 8 (Elaboración de informe de auditoría):

  • Día 1-3: Documentación de los resultados de las pruebas y hallazgos conforme a evidencias.
  • Día 4-5: Análisis de los resultados de las pruebas de auditoría y clasificación de hallazgos.
  • Día 6-7: Descanso semanal.
  • Día 8-9: Identificación de deficiencias y áreas de mejora.
  • Día 10: Elaboración de recomendaciones de mejora.
  • Día 11-13: Redacción del informe de auditoría.

Semana 9:

  • Día 1-2: Revisión interna del informe de auditoría y ajustes finales.
  • Día 3: Envío del informe de auditoría al cliente para su revisión.
  • Día 4-5: Reunión para discutir los hallazgos y recomendaciones del informe de auditoría.

Semana 10:

  • Día 1-5: Revisión de comentarios del cliente y ajustes al informe de auditoría, según sea necesario.

Semana 11:

  • Día 1: Presentación final de los resultados de la auditoría al Comité de Seguridad y al Responsable de Revisión Interna.
  • Día 2-5: Establecimiento de un plan de seguimiento y asignación de responsabilidades para la implementación de las recomendaciones de mejora.

Semana 12:

  • Monitorización y seguimiento del progreso en la implementación de las recomendaciones. Se aconseja realizar esta monitorización y seguimiento trimestralmente.

Para llevar a cabo los procesos de certificación correspondientes, es fundamental realizar una buena planificación de auditoría previa, como mostramos en nuestro artículo «Principios, programa y planificación de auditoría y gobierno de las TIC«.

En caso de necesitar un plan de auditoría pueden contactarnos a través de nuestro formulario de contacto.

English

No puedes copiar el contenido