1
00:00:00,690 --> 00:00:03,810
Muy bien, ahora vamos a ver un ejemplo de un informe de auditoría.

2
00:00:05,310 --> 00:00:12,540
Aquí tenemos un informe de ejemplo de una auditoría realizada al controlador de dominio Windows Active

3
00:00:12,600 --> 00:00:13,290
Directory.

4
00:00:14,730 --> 00:00:21,060
Este extracto de informe lo vamos a tomar como referencia para ver las partes que lo componen.

5
00:00:22,590 --> 00:00:30,510
En esta primera página tenemos el título del informe, que es una referencia muy precisa de lo que trata

6
00:00:30,510 --> 00:00:31,740
el informe completo.

7
00:00:33,580 --> 00:00:40,960
Como esta auditoría fue realizada al controlador de dominio Windows Active Directory, a los parámetros

8
00:00:40,960 --> 00:00:48,610
de configuración y temas de seguridad, se colocó un título que abarca la plataforma a la cual se le

9
00:00:48,610 --> 00:00:49,870
realizó la auditoría.

10
00:00:50,380 --> 00:00:55,870
En este caso se menciona que es al controlador de dominio Windows Actríz Directory.

11
00:00:57,790 --> 00:01:02,620
Es bueno siempre mantener este mantener el título resumido y preciso.

12
00:01:02,810 --> 00:01:03,130
Gracias.

13
00:01:03,190 --> 00:01:08,500
No es necesario agregarle otros detalles de las cosas que se vieron en el informe.

14
00:01:09,700 --> 00:01:11,230
Eso se verá más adelante.

15
00:01:14,130 --> 00:01:20,880
En la siguiente página tenemos primero la fecha del informe, que es la fecha de cuando el informe fue

16
00:01:20,880 --> 00:01:21,510
emitido.

17
00:01:23,190 --> 00:01:30,150
El destinatario, que en este caso estuvo dirigido al de al director de Tecnología de la Información,

18
00:01:31,530 --> 00:01:37,530
en esta parte del informe se coloca a la persona responsable de los temas observados en el informe.

19
00:01:38,970 --> 00:01:45,540
Es decir, aquí se coloca el área auditada el dueño o director del área auditada.

20
00:01:46,500 --> 00:01:52,350
Aquí tenemos el texto de introducción del informe, que incluye informaciones muy importante.

21
00:01:53,010 --> 00:01:55,140
Vamos a leerlo para identificarlas.

22
00:01:56,430 --> 00:02:02,790
Dice así En la ejecución de nuestro procedimiento de auditoria interna acerca de la auditoría realizada

23
00:02:02,850 --> 00:02:09,060
al controlador de dominio, hacemos una pausa acá realizada al controlador de dominio.

24
00:02:09,780 --> 00:02:16,110
Aquí tenemos el alcance de la auditoría, que es el proceso al cual se le realizó la auditoría.

25
00:02:16,290 --> 00:02:22,020
En este caso es la plataforma Windows Active Directory, controlador de dominio.

26
00:02:25,110 --> 00:02:31,590
Continuamos leyendo, evaluamos el control interno con el propósito de expresar nuestras conclusiones

27
00:02:32,220 --> 00:02:39,270
sobre dicha plataforma y no para proporcionar una garantía sobre el control interno que tenemos.

28
00:02:39,330 --> 00:02:45,330
Otra parte importante y no para proporcionar una garantía sobre el control interno.

29
00:02:45,390 --> 00:02:51,780
Esta es una reserva o limitaciones de parte de auditoría sobre el proceso que se está auditando, que

30
00:02:51,780 --> 00:02:54,330
se señalan en la introducción del informe.

31
00:02:55,740 --> 00:03:03,510
Continuamos, sin embargo, detectamos algunos asuntos que involucran el control interno y su operación,

32
00:03:03,990 --> 00:03:10,290
que consideramos son condiciones para informar bajo el marco internacional para la práctica de la profesión

33
00:03:10,290 --> 00:03:11,460
de auditoría interna.

34
00:03:12,750 --> 00:03:22,080
Aquí tenemos otra parte muy importante el marco internacional para la práctica profesional de la Auditoría

35
00:03:22,080 --> 00:03:29,610
Interna es un conjunto de normas y guías que regulan el desempeño profesional de los auditores internos

36
00:03:29,670 --> 00:03:30,630
en todo el mundo.

37
00:03:31,350 --> 00:03:37,800
Esta norma se las voy a dejar disponible en los recursos descargable para que la puedan tener y estudiar.

38
00:03:39,420 --> 00:03:43,140
Es importante que todo auditor la lea y la analice.

39
00:03:44,040 --> 00:03:45,150
Continuamos leyendo.

40
00:03:45,630 --> 00:03:52,050
Las condiciones para informar involucran asuntos que llama nuestra atención relacionados con oportunidades

41
00:03:52,050 --> 00:03:59,310
de mejora en el diseño o operación del control interno que podría afectar de forma adversa a la empresa.

42
00:03:59,370 --> 00:04:04,230
Para iniciar, registrar, procesar e informar datos financieros.

43
00:04:06,300 --> 00:04:11,250
Esta auditoría fue realizada al Corte 31 de diciembre de 2019.

44
00:04:11,470 --> 00:04:13,260
Aquí tenemos el corte de la auditoría.

45
00:04:14,190 --> 00:04:19,500
Su alcance consistió en evaluar los parámetros de configuración del servidor controlador de dominio

46
00:04:20,940 --> 00:04:21,420
que tenemos.

47
00:04:21,420 --> 00:04:27,330
Nuevamente el alcance quiso ser más específico que la parte de arriba, pero si hablamos de parámetros

48
00:04:27,330 --> 00:04:35,490
de configuración del Con del servidor controlador de dominio para validar que están acorde a las mejores

49
00:04:35,490 --> 00:04:36,840
prácticas de seguridad.

50
00:04:38,820 --> 00:04:39,360
Muy bien.

51
00:04:39,360 --> 00:04:45,870
Continuamos los hallazgos y recomendaciones enumeradas en este documento, los cuales resultaron de

52
00:04:45,870 --> 00:04:52,770
nuestra consideración del control interno y la revisión de las diferentes evidencias obtenida se presentan

53
00:04:52,770 --> 00:04:59,310
para su conocimiento con el propósito de asistir a la administración en el mejoramiento de sus procedimientos

54
00:04:59,400 --> 00:05:00,420
y controles.

55
00:05:01,870 --> 00:05:02,330
Muy bien.

56
00:05:03,820 --> 00:05:09,370
Hasta aquí llego la parte del introduction, donde podemos observar varias informaciones esenciales

57
00:05:09,430 --> 00:05:12,820
importantísimas que debe tener todo informe.

58
00:05:15,930 --> 00:05:23,970
Aquí tenemos el resumen de los hallazgos, el resumen de los hallazgos no es más que un índice o cuadro

59
00:05:23,970 --> 00:05:27,180
donde se enlistan los hallazgos identificados.

60
00:05:28,440 --> 00:05:34,740
Aquí tenemos una línea que dice A continuación presentamos un resumen de las principales oportunidades

61
00:05:34,740 --> 00:05:38,940
de mejora y su impacto sobre el control interno de la empresa.

62
00:05:41,380 --> 00:05:48,970
En este cuadro, aquí colocamos el número del hallazgo, en este caso colocamos solamente dos.

63
00:05:49,030 --> 00:05:55,060
Para este ejemplo, pero pueden haber una cantidad X de hallazgos en el cuadro.

64
00:05:57,460 --> 00:06:03,460
Aquí se coloca el hallazgo, identificado básicamente como el título de la yagas, con título resumido

65
00:06:03,460 --> 00:06:05,830
y preciso de lo que se trata.

66
00:06:06,830 --> 00:06:14,480
Vemos que dice debilidad de la configuración del parámetro soberãn, registros sobre registro de eventos

67
00:06:14,480 --> 00:06:24,560
de auditoría si se fijan, habla de una debilidad, habla de que se trata de la configuración del parámetro

68
00:06:24,560 --> 00:06:26,510
sobre eventos de auditoría.

69
00:06:27,170 --> 00:06:36,590
No especifica exactamente que se encontró, pero si dice de qué se trata la situación observada en el

70
00:06:36,590 --> 00:06:37,220
segundo.

71
00:06:37,310 --> 00:06:42,460
Hablamos de vulnerabilidad, de seguridad en configuración, de parámetros, de bloqueo de cuenta.

72
00:06:44,220 --> 00:06:55,350
Entonces, sin dar detalles, decimos de manera precisa e donde identificamos esas vulnerabilidades

73
00:06:55,380 --> 00:06:57,510
o esas debilidades identificadas.

74
00:06:57,990 --> 00:07:04,170
De este lado se coloca la valoración del riesgo de cada hallazgo presentada con el nivel de impacto.

75
00:07:04,290 --> 00:07:12,060
Este nivel se coloca luego de hacer una valoración cualitativa de el nivel de impacto que se presenta

76
00:07:12,060 --> 00:07:15,390
en tres niveles bajo, medio y alto.

77
00:07:16,020 --> 00:07:22,710
Esta valoración será asignÃ el auditor que realizó la auditoría y tiene el propósito de indicar a la

78
00:07:22,710 --> 00:07:26,340
gerencia el nivel de atención que deben de prestarle a cada observación.

79
00:07:29,120 --> 00:07:29,690
Muy bien.

80
00:07:29,780 --> 00:07:32,840
Y por último, tenemos el detalle de los hallazgos.

81
00:07:35,510 --> 00:07:37,070
Aquí tenemos un cuadro.

82
00:07:37,160 --> 00:07:40,280
Este formato puede variar dependiendo de la entidad.

83
00:07:42,550 --> 00:07:47,740
E ustedes pueden utilizar este o puedes acomodarlo como usted prefiera.

84
00:07:48,370 --> 00:07:56,590
Básicamente, este cuadro lo que contiene es un pequeño título aquí arriba recomendación de auditoría.

85
00:07:57,310 --> 00:08:03,070
El nombre del departamento o la unidad que se audito Departamento de Tecnología de la Información.

86
00:08:04,870 --> 00:08:06,190
El número del hallazgo.

87
00:08:07,360 --> 00:08:12,100
Este es el primero y el título que vimos en el cuadro anterior.

88
00:08:13,150 --> 00:08:18,280
Debilidad de la configuración del parámetro sobre registros de eventos de auditoría.

89
00:08:19,270 --> 00:08:24,730
Este es el título que se coloca arriba en el índice y las observaciones.

90
00:08:24,790 --> 00:08:32,050
Aquí está el detalle de lo que se observó como resultado de la evaluación realizada sobre la configuración

91
00:08:32,050 --> 00:08:35,680
del parámetro de seguridad del servidor controlador de dominio.

92
00:08:36,160 --> 00:08:40,180
Identificamos que era opción Adita Call luego event.

93
00:08:40,300 --> 00:08:40,990
Esta fue.

94
00:08:41,740 --> 00:08:50,140
Este es el parámetro que se identificó en el controlador de dominio con la debilidad OK y sigue diciendo

95
00:08:50,200 --> 00:08:56,080
que determina si serán registrados los eventos de inicio de sesión de las cuentas de usuario.

96
00:08:57,220 --> 00:09:01,990
No está habilitada de acuerdo a lo sugerido por las mejores prácticas de seguridad.

97
00:09:03,460 --> 00:09:12,550
Si se fijan este texto, esta forma de documentación trata de ser específico y dar ciertos detalles

98
00:09:12,550 --> 00:09:14,680
importante de lo que se observó.

99
00:09:15,460 --> 00:09:18,550
Habla exactamente de la plataforma que se audito.

100
00:09:19,510 --> 00:09:22,600
Cual fue el parámetro que se revisó.

101
00:09:23,410 --> 00:09:29,080
Un breve resumen de para qué sirve el parámetro determina si están registrando los eventos de inicio

102
00:09:29,080 --> 00:09:29,620
de sesión.

103
00:09:30,550 --> 00:09:36,400
Eso es como la utilidad del parámetro, porque no siempre la persona que lee el informe tiene conocimientos

104
00:09:36,400 --> 00:09:39,880
técnicos como para saber de qué trata el parámetro.

105
00:09:42,100 --> 00:09:46,390
Y la condición que genera la debilidad no está habilitada.

106
00:09:47,500 --> 00:09:53,080
Esa configuración no está habilitada de acuerdo a lo sugerido por las normas práctica.

107
00:09:54,100 --> 00:09:57,520
También hablamos que esto es algo sugerido por la práctica.

108
00:09:59,290 --> 00:10:09,280
Entonces es importante mantener este formato de documentación para presentar los informes de auditoría

109
00:10:09,280 --> 00:10:17,020
y las observaciones, de manera que la persona que lo lea pueda entender rápidamente y fácilmente en

110
00:10:17,020 --> 00:10:25,900
qué consiste el hallazgo y pueda tener información precisa de por qué es importante cambiar eso.

111
00:10:27,070 --> 00:10:35,020
Entonces, aquí agregamos una pequeña muletilla ver más detalles de esto en el anexo Evidencia tal.

112
00:10:35,770 --> 00:10:41,890
En este anexo lo que colocamos es mayor evidencia de la situación observada.

113
00:10:41,980 --> 00:10:45,340
Ya puede pudiera hacer un reporte del sistema.

114
00:10:45,370 --> 00:10:52,270
Pudiera ser pantallas también enlaces que hace referencia a la práctica que indican como debe de estar

115
00:10:52,780 --> 00:10:58,210
configurado este parámetro el usuario que consume esta evidencia.

116
00:10:58,420 --> 00:11:06,880
Estos detalles adicionales es el dueño del proceso o la persona que va a corregir la situación observada

117
00:11:08,560 --> 00:11:09,130
en esta parte.

118
00:11:09,130 --> 00:11:12,910
Acá colocamos dos riesgos.

119
00:11:14,940 --> 00:11:22,950
Mencionamos aquí riesgo de mayor impacto porque pudieran haber otros riesgos que vienen implicado por

120
00:11:22,950 --> 00:11:23,610
esta situación.

121
00:11:23,640 --> 00:11:29,190
Pero los que consideramos de mayor impacto o representativos son estos que están acá.

122
00:11:29,970 --> 00:11:35,760
Entonces colocamos riesgo como acceso no autorizado a los sistemas de la empresa a través de ataques

123
00:11:35,760 --> 00:11:44,130
de fuerza bruta que no fueron detectados, dificulta realizar de forma efectiva las actividades de monitoreo

124
00:11:44,130 --> 00:11:44,940
o de seguridad.

125
00:11:47,420 --> 00:11:51,080
Se pudieran ejecutar actividades no autorizadas sin dejar rastros.

126
00:11:51,500 --> 00:11:59,570
Estos son los riesgos que consideramos que genera la debilidad encontrada también más abajo.

127
00:11:59,570 --> 00:12:09,040
Tenemos nuestra recomendación, que para esta observación es evaluar activar el parámetro audit decalogo

128
00:12:09,050 --> 00:12:09,770
ni 20.

129
00:12:10,550 --> 00:12:16,070
De manera que se han registrado los intentos de inicio de sesión fallidos de los usuarios.

130
00:12:17,360 --> 00:12:26,090
Colocamos en nuestra recomendación evaluar activar porque no es recomendable que de manera directa el

131
00:12:26,090 --> 00:12:29,420
auditor diga active, elimine.

132
00:12:29,870 --> 00:12:36,830
No es recomendable que utilicemos mandatos directos porque al final la decisión de lo que se va a realizar

133
00:12:36,830 --> 00:12:42,560
la toma el área auditada o en este caso el Departamento de Tecnología de la Información.

134
00:12:43,730 --> 00:12:50,210
Por eso indicamos evaluar porque ellos deben de hacer una evaluación de si le es factible evaluar ese

135
00:12:50,210 --> 00:12:58,010
parámetro, porque pudieran haber algunas otras implicaciones que afectaría a la operatividad de la

136
00:12:58,010 --> 00:13:00,680
empresa o generaría otros asuntos.

137
00:13:01,100 --> 00:13:01,670
Se activa.

138
00:13:01,670 --> 00:13:02,560
Activan ese parámetro.

139
00:13:03,380 --> 00:13:10,430
Entonces ya por último tenemos un campo para el comentario de la administración y su plan de acción.

140
00:13:11,660 --> 00:13:14,660
El responsable que se hará cargo de solventar esa situación.

141
00:13:17,340 --> 00:13:27,510
Y el plazo de cumplimiento, que sería el tiempo, la fecha máxima que tardarán para cumplir y la cual

142
00:13:27,540 --> 00:13:33,060
tomaremos en cuenta para darle seguimiento a la aplicación de este plan de acción.

143
00:13:33,630 --> 00:13:42,810
Les voy a dejar este documento del informe en los archivos descargable para su para su uso y futuras

144
00:13:42,810 --> 00:13:43,650
consultas.

145
00:13:43,680 --> 00:13:45,750
Así que esta es la estructura de un informe.

146
00:13:45,780 --> 00:13:47,430
Espero les sea de mucha utilidad.