Professional Documents
Culture Documents
CUMPLIMIENTO:
✓ AUDITORÍA
AUDITORÍA: ¿QUÉ ES?
2
AUDITORÍA: ¿QUÉ ES?
3
AUDITORÍA UNE-EN ISO 19011
(Directrices para la auditoría de los sistemas de gestión)
4
EL CONCEPTO DE AUDITORÍA INFORMÁTICA
"La Auditoría Informática comprende la revisión, análisis y la
evaluación independiente y objetiva, por parte de personas
independientes y técnicamente competentes de:
❖ el entorno informático de una entidad, abarcando todas o algunas
de sus áreas (equipos, sistemas operativos y paquetes, aplicaciones
y su proceso de desarrollo, organización y funciones, las
comunicaciones y la gestión de los recursos informáticos
❖ Las políticas, estándares y procedimientos en vigor en la entidad,
su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los
planes, presupuestos, los contratos y las normas legales aplicables
así como la calidad
❖ el grado de satisfacción de usuarios y directivos
❖ un análisis de los posibles riesgos relacionados con la informática
❖ los controles existentes ".
⚫ Muchos tipos:
– financiera,
– medioambiental,
– de riesgos laborales,
– de calidad…
6
LA AUDITORÍA. OTROS TIPOS
⚫ Seguridad de la Información
⚫ Ciberseguridad
⚫ Datos Personales (RGPD)
⚫ Esquema Nacional de Seguridad
⚫ Auditoría (en) informática
⚫ Sistemas de información
⚫ Bases de datos,
⚫ Comunicaciones,
⚫ Forense…
7
Las organizaciones actuales
10
LA AUDITORÍA EN EL RGPD
❑ Para demostrar la proactividad y diligencia sería muy
interesante tener una opinión de un profesional cualificado e
independiente que lo emita mediante un informe a la alta
dirección de la empresa.
❑ Auditoria de procesos.
❑ Revisión de los flujos para ejecución de los derechos de los interesados, así como su
respuesta.
❑ Revisión de los flujos de datos, desde el origen (consentimiento), fuentes de datos,
así como su proceso y salida de información.
❑ Responsable de Tratamiento, Encargado de Tratamiento, Actividad de Tratamiento
❑ Auditoría de seguridad informática.
❑ Se revisará toda la infraestructura de TI involucrada en las entradas, transformación,
almacenamiento y salida de los datos personales.
Objetivos de Control
– Declaraciones sobre el resultado final deseado o del
propósito a ser alcanzado mediante la implantación
de controles (ejemplo COBIT - ISACA, ISO 27001, …)
14
CONTROL (III)
Sistema de Control Interno (cont.)
❑ Procesos que aseguren razonablemente:
⚫ El cumplimiento de políticas, leyes y normas
⚫ La integridad patrimonial
⚫ La eficacia y eficiencia de las operaciones
⚫ La fiabilidad de la información financiera
⚫ Una adecuada gestión de riesgos (s/objetivos de la compañía)
❑ Líneas de defensa.
⚫ 1º Línea de Defensa: Este control es realizado por el área propietaria del
proceso, son los controles mínimos
⚫ 2ª Línea de Defensa: Áreas transversales que controlan determinados
flujos (área de seguridad, cumplimiento normativo, análisis de riesgos…)
⚫ 3ª Línea de Defensa: Auditoría Interna/externa
15
CONTROL Y AUDITORÍA
16
THERE WE GO!…
EL PROCESO DE LA AUDITORÍA
18
EL PROCESO DE LA AUDITORÍA
19
UTILIDAD DE LA AUDITORÍA (INFORMÁTICA)
20
UTILIDAD DE LA AUDITORÍA Y EL CONTROL
⚫ Para empresas y AA.PP
⚫ Para proveedores, clientes, accionistas
⚫ Para usuarios, ciudadanos, pacientes…
⚫ Para los alumnos :
– Visión global de varias asignaturas
– Como usuarios / supervisores de sistemas
– Para ejercer Control Interno
– Para realizar auditorías / sugerirlas / exigirlas
– ¿Para pasar / “sufrir” auditorías?. ¿Exoneración?
21
MARCOS PARA LA AUDITORÍA
22
COBIT, ISO Y OTROS MARCOS
23
ESPECÍFICAMENTE PARA EVALUAR SEGURIDAD
COBIT (ISACA) + Normativa interna
ISO/IEC
ISO/IEC 27001:2017 (+27002)
ISO/IEC 27004:2016 Information security management
Measurement
ISO/IEC 27007 Guidelines for information security
management systems auditing
ISO/IEC 27032:2012 Guidelines for cybersecurity
ISO/IEC 27014:2013 Governance of information security
26
ESPECÍFICAMENTE PARA EVALUAR SEGURIDAD
27
Critical Security Controls (SANS): 20 controles de seguridad de la información
https://www.cisecurity.org/wp-content/uploads/2017/03/Poster_Winter2016_CSCs.pdf
¿QUIEN PUEDE SER AUDITOR?
REV. DEFINICIÓN DE AUDITORÍA
30
QUIEN PUEDE SER AUDITOR
¿Cualquiera?
Certificados personales de ISACA
CISA (Certified Information Systems Auditor)
CISM Certified Information Security Manager
CGEIT (Certified in the Governance of Enterprise IT)
CRISC (Certified in Risk and Information Systems
Control )
CSX (Practitioner, Specialist & Expert)
…
31
QUIEN PUEDE SER AUDITOR
32
QUIEN PUEDE SER AUDITOR
Otros
SANS:
GISF: Information Security Fundamentals.
GSEC: Security Essentials Certification.
GISP: Information Security Professional.
GCFE: Certified Forensics Examiner
GPPA: Certified Perimeter Protection Analyst.
GCIA: Certified Intrusion Analyst.
GCIH: Certified Incident Handler.
GCUX: Certified UNIX Security Administrator.
GCWN: Certified Windows Security Administrator.
…
33
PROCESO AUDITORÍA
http://goo.gl/forms/BkcLOUhQb6
EVIDENCIAS I
Fuentes según objetivos
Suficientes para soportar conclusiones y
recomendaciones del informe
Las analizamos e interpretamos
Según nivel, independencia y malicia de
interlocutores, y si son “opiniones”
Pruebas adecuadas. Cadena de custodia
Considerar controles compensatorios
ISO/IEC 27037:2012 Norma para la Recopilación de Evidencias.
35
EVIDENCIAS II
En resumen
Las evidencias documentadas con detalle de
dónde fueron halladas
Identificadas de forma clara
Código – nombre – fecha
Método de recogida
36
HALLAZGOS DE LA AUDITORÍA
Evidencia
Hallazgo Justificación
Incumplimiento
37
HALLAZGOS DE LA AUDITORÍA
Hallazgo Justificación
Incumplimiento
38
HALLAZGOS DE LA AUDITORÍA
Evidencia
Hallazgo
Deficiencia o aspecto
incumplido Justificación
Incumplimiento
39
HALLAZGOS DE LA AUDITORÍA
Evidencia
Hallazgo Justificación
Referencia a la cláusula
o apartado no cumplido Incumplimiento
40
EJEMPLO DE HALLAZGO
evidencia
• Se hace un intento recuperación de un fichero del backup
de ayer
justificación
• Se observa que la copia no incluyó el citado fichero y que
la copia más antigua es de hace 1 mes
Incumplimiento
• Hay comprometido con los usuarios un backup diario –
nocturno - que debe permitir poder recuperar una copia
del día anterior
41
EL INFORME
EL INFORME
⚫ Valoración (escrita) de la situación
⚫ Contenido y enfoque según objetivos
⚫ Resumen no técnico
⚫ Antecedentes, Metodología…
⚫ Objetivo y alcance de la auditoría
⚫ Conclusiones y resumen
⚫ Agradecimientos (si proceden)
⚫ Descripción del entorno
⚫ Análisis, debilidades, mejoras. Limitaciones
43
CUERPO DEL INFORME
44
APORTACIONES
45
CUADRO FINAL
46
OTROS ASPECTOS DEL INFORME
➢ Protegidocontra escritura
➢ ¿Clave? PDF ¿firma electrónica? ¿cifrado?
➢ Todas sus páginas pueden tener:
– título y/o pie de página (entidad, fecha...)
– ¿la leyenda BORRADOR cuando así sea?
– el número de página (“X” de “Y”)
– ¿número de copia? ¿destinatario?
¿”muescas”?
47
REQUISITOS DEL INFORME DE AUDITORÍA
exacto
concreto
REQUISITOS DEL INFORME DE AUDITORÍA
exacto
concreto