MÁSTER SEGURIDAD INFORMÁTICA

CUMPLIMIENTO:

✓ AUDITORÍA
AUDITORÍA: ¿QUÉ ES?

2
 AUDITORÍA: ¿QUÉ ES?

Formal inspection and verification to check

whether a standard or set of guidelines is
being followed, records are accurate, or
efficiency and effectiveness targets are being
met.

Extraído de: https://www.isaca.org/Pages/Glossary.aspx?char=I

Information Systems Audit and Control Association

(Asociación de Auditoría y Control de Sistemas de Información)

3
 AUDITORÍA UNE-EN ISO 19011
 (Directrices para la auditoría de los sistemas de gestión)

◦ Auditoría: Proceso sistemático, independiente y

documentado para obtener evidencias de la auditoria (*) y
evaluarlas de manera objetiva con el fin de determinar el
grado en que se cumplen los criterios de auditoría (**)
-----------------------------------------------------------------------------------------
Evidencias: registros, declaraciones de hechos o cualquier otra
información que es pertinente para los criterios de auditoría y que es
verificable.
-----------------------------------------------------------------------------------------
Criterios de auditoría: conjunto de políticas, procedimientos y requisitos
usados como referencia frente a la cual se compara.

4
 EL CONCEPTO DE AUDITORÍA INFORMÁTICA
 "La Auditoría Informática comprende la revisión, análisis y la
evaluación independiente y objetiva, por parte de personas
independientes y técnicamente competentes de:
❖ el entorno informático de una entidad, abarcando todas o algunas
de sus áreas (equipos, sistemas operativos y paquetes, aplicaciones
y su proceso de desarrollo, organización y funciones, las
comunicaciones y la gestión de los recursos informáticos
❖ Las políticas, estándares y procedimientos en vigor en la entidad,
su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los
planes, presupuestos, los contratos y las normas legales aplicables
así como la calidad
❖ el grado de satisfacción de usuarios y directivos
❖ un análisis de los posibles riesgos relacionados con la informática
❖ los controles existentes ".

Definición de RAMOS GONZÁLEZ

5
 LA AUDITORÍA. TIPOS

⚫ Muchos tipos:
– financiera,
– medioambiental,
– de riesgos laborales,
– de calidad…

6
 LA AUDITORÍA. OTROS TIPOS
⚫ Seguridad de la Información
⚫ Ciberseguridad
⚫ Datos Personales (RGPD)
⚫ Esquema Nacional de Seguridad
⚫ Auditoría (en) informática
⚫ Sistemas de información
⚫ Bases de datos,
⚫ Comunicaciones,
⚫ Forense…

7
Las organizaciones actuales

Fuente CAO, JAVIER

Las organizaciones actuales y la auditoría

Fuente CAO, JAVIER

 RESUMEN DE ASPECTOS A EVALUAR
➢ Planificación & gestión del SGSI
➢ Nivel de cumplimiento normativa interna
➢ Gestión de riesgos
➢ Gestión de activos
➢ Operaciones - Comunicaciones
➢ Gestión de proveedores
➢ Adquisición, desarrollo y mantenimiento
➢ Planes de Continuidad de negocio

10
 LA AUDITORÍA EN EL RGPD
❑ Para demostrar la proactividad y diligencia sería muy
interesante tener una opinión de un profesional cualificado e
independiente que lo emita mediante un informe a la alta
dirección de la empresa.

❑ Auditoria de procesos.
❑ Revisión de los flujos para ejecución de los derechos de los interesados, así como su
respuesta.
❑ Revisión de los flujos de datos, desde el origen (consentimiento), fuentes de datos,
así como su proceso y salida de información.
❑ Responsable de Tratamiento, Encargado de Tratamiento, Actividad de Tratamiento
❑ Auditoría de seguridad informática.
❑ Se revisará toda la infraestructura de TI involucrada en las entradas, transformación,
almacenamiento y salida de los datos personales.

En RGPD, la auditoría dejó de ser una exigencia si bien se habla de

evaluarán regularmente la efectividad de las medidas adoptadas para 11
garantizar la seguridad
 LA AUDITORÍA EN EL ENS

Máx cada 2 años o si cambios significativos

12
 RECOPILANDO

Por tanto ya sabemos en qué consiste

auditar.

Y tenemos claro qué se puede

auditar…
 OBJETIVOS DE CONTROL & CONTROL INTERNO

Objetivos de Control
– Declaraciones sobre el resultado final deseado o del
propósito a ser alcanzado mediante la implantación
de controles (ejemplo COBIT - ISACA, ISO 27001, …)

Sistema de Control Interno

– Conjunto de procesos, funciones, actividades,
subsistemas, dispositivos... cuya misión total o
parcial es garantizar que se alcanzan los objetivos
de control

14
 CONTROL (III)
Sistema de Control Interno (cont.)
❑ Procesos que aseguren razonablemente:
⚫ El cumplimiento de políticas, leyes y normas
⚫ La integridad patrimonial
⚫ La eficacia y eficiencia de las operaciones
⚫ La fiabilidad de la información financiera
⚫ Una adecuada gestión de riesgos (s/objetivos de la compañía)
❑ Líneas de defensa.
⚫ 1º Línea de Defensa: Este control es realizado por el área propietaria del
proceso, son los controles mínimos
⚫ 2ª Línea de Defensa: Áreas transversales que controlan determinados
flujos (área de seguridad, cumplimiento normativo, análisis de riesgos…)
⚫ 3ª Línea de Defensa: Auditoría Interna/externa

15
 CONTROL Y AUDITORÍA

✓ Los auditores evaluamos el sistema de control interno

✓ Contrastamos la operativa con los Objetivos de Control
✓ internos,
✓ de ISACA: COBIT,
✓ de ISO 27001,…
✓ Recomendamos controles:
◦ Implantar / reforzar / ¿suprimir?

 Rentabilidad de tener / no tener un control

16
THERE WE GO!…
EL PROCESO DE LA AUDITORÍA

18
 EL PROCESO DE LA AUDITORÍA

Busca las mejores evidencias

que luego puedan ser
utilizadas para probar los
objetivos de la auditoría

La conclusión - sea o no favorable -

sustentada en hallazgos irrefutables
que sustenten la conclusión
del auditor

19
UTILIDAD DE LA AUDITORÍA (INFORMÁTICA)

20
 UTILIDAD DE LA AUDITORÍA Y EL CONTROL
⚫ Para empresas y AA.PP
⚫ Para proveedores, clientes, accionistas
⚫ Para usuarios, ciudadanos, pacientes…
⚫ Para los alumnos :
– Visión global de varias asignaturas
– Como usuarios / supervisores de sistemas
– Para ejercer Control Interno
– Para realizar auditorías / sugerirlas / exigirlas
– ¿Para pasar / “sufrir” auditorías?. ¿Exoneración?

21
MARCOS PARA LA AUDITORÍA

22
 COBIT, ISO Y OTROS MARCOS

Según objetivo de la auditoría podemos comparar con:

 Normativa interna de la entidad ¿hay?
 BOE u otros (ENS, RGPD, LSSI, LGT, …)
 COBIT, ITIL, ISO/IEC 27K, TOGAF, PMBOK, PRINCE2,
CMMI, Gobierno de las TIC (ISO/ IEC 38500:2015), ISO/IEC
20000, ISO/IEC 15504,..
 Contratos aplicables para ver cumplimiento
 ¿Guías CCN-CNI?

23
ESPECÍFICAMENTE PARA EVALUAR SEGURIDAD
 COBIT (ISACA) + Normativa interna
 ISO/IEC
 ISO/IEC 27001:2017 (+27002)
 ISO/IEC 27004:2016 Information security management
Measurement
 ISO/IEC 27007 Guidelines for information security
management systems auditing
 ISO/IEC 27032:2012 Guidelines for cybersecurity
 ISO/IEC 27014:2013 Governance of information security

26
ESPECÍFICAMENTE PARA EVALUAR SEGURIDAD

 + otros: SANS, CIS, ENISA, INCIBE, NIST, CCN…

27
Critical Security Controls (SANS): 20 controles de seguridad de la información

https://www.cisecurity.org/wp-content/uploads/2017/03/Poster_Winter2016_CSCs.pdf
¿QUIEN PUEDE SER AUDITOR?
 REV. DEFINICIÓN DE AUDITORÍA

La Auditoría Informática comprende la revisión,

análisis y la evaluación independiente y objetiva,
por parte de personas independientes y
técnicamente competentes de …

Excepción: las auditorías de certificación de determinadas

normas: ISO/IEC 20000, ISO/IEC 27001, etc..

30
 QUIEN PUEDE SER AUDITOR
¿Cualquiera?
 Certificados personales de ISACA
 CISA (Certified Information Systems Auditor)
 CISM Certified Information Security Manager
 CGEIT (Certified in the Governance of Enterprise IT)
 CRISC (Certified in Risk and Information Systems
Control )
 CSX (Practitioner, Specialist & Expert)
…

31
 QUIEN PUEDE SER AUDITOR

 Certificados personales de ISACA (cont.)

 COBIT
 Fundamentos – Foundation (F)
 Implementación – Implementation (I)
 Evaluador – Assessor (A)
 Posible utilidad
 Requisitos y “mantenimiento”

32
 QUIEN PUEDE SER AUDITOR
 Otros
 SANS:
 GISF: Information Security Fundamentals.
 GSEC: Security Essentials Certification.
 GISP: Information Security Professional.
 GCFE: Certified Forensics Examiner
 GPPA: Certified Perimeter Protection Analyst.
 GCIA: Certified Intrusion Analyst.
 GCIH: Certified Incident Handler.
 GCUX: Certified UNIX Security Administrator.
 GCWN: Certified Windows Security Administrator.
 …

33
PROCESO AUDITORÍA

http://goo.gl/forms/BkcLOUhQb6
 EVIDENCIAS I
 Fuentes según objetivos
 Suficientes para soportar conclusiones y
recomendaciones del informe
 Las analizamos e interpretamos
 Según nivel, independencia y malicia de
interlocutores, y si son “opiniones”
 Pruebas adecuadas. Cadena de custodia
 Considerar controles compensatorios
ISO/IEC 27037:2012 Norma para la Recopilación de Evidencias.
35
 EVIDENCIAS II

 En resumen
 Las evidencias documentadas con detalle de
dónde fueron halladas
 Identificadas de forma clara
 Código – nombre – fecha
 Método de recogida

 Utilizar la entrevista para corroborar las

evidencias ya encontradas

36
 HALLAZGOS DE LA AUDITORÍA

Evidencia

Hallazgo Justificación

Incumplimiento

37
 HALLAZGOS DE LA AUDITORÍA

Los hechos Evidencia

Hallazgo Justificación

Incumplimiento

38
 HALLAZGOS DE LA AUDITORÍA

Evidencia

Hallazgo
Deficiencia o aspecto
incumplido Justificación

Incumplimiento

39
 HALLAZGOS DE LA AUDITORÍA

Evidencia

Hallazgo Justificación

Referencia a la cláusula
o apartado no cumplido Incumplimiento

40
EJEMPLO DE HALLAZGO

evidencia
• Se hace un intento recuperación de un fichero del backup
de ayer

justificación
• Se observa que la copia no incluyó el citado fichero y que
la copia más antigua es de hace 1 mes

Incumplimiento
• Hay comprometido con los usuarios un backup diario –
nocturno - que debe permitir poder recuperar una copia
del día anterior

41
EL INFORME
 EL INFORME
⚫ Valoración (escrita) de la situación
⚫ Contenido y enfoque según objetivos
⚫ Resumen no técnico
⚫ Antecedentes, Metodología…
⚫ Objetivo y alcance de la auditoría
⚫ Conclusiones y resumen
⚫ Agradecimientos (si proceden)
⚫ Descripción del entorno
⚫ Análisis, debilidades, mejoras. Limitaciones

43
 CUERPO DEL INFORME

 Por centros, unidades, destinatarios

 Agrupar puntos muy homogéneos
 Cada punto debe incluir (por separado):
◦ descripción de deficiencia con precisión
◦ causa (incumplimiento de normas...)
◦ efecto (y su importancia / riesgo)
◦ recomendación
◦ Copias fuera, cambio contraseñas…
 Más posibles anexos

44
 APORTACIONES

⚫ Adicionalmente se pueden recoger

sugerencias de mejora que puedan
beneficiar a la organización
⚫ Inclusión de puntos que aunque no se haya
podido evidenciar ningún fallo, puedan ser
preocupantes (fallos potenciales)

45
 CUADRO FINAL

❖ Darinformación para asignar prioridad

de los puntos y:
❖clasificar dentro de cada área y/o
❖destacar los importantes

❖ Nivel de riesgo, plazo, esfuerzo y coste

❖ ¿Colores?

❖ ¿Comparación con informes anteriores?

46
 OTROS ASPECTOS DEL INFORME

➢ Protegidocontra escritura
➢ ¿Clave? PDF ¿firma electrónica? ¿cifrado?
➢ Todas sus páginas pueden tener:
– título y/o pie de página (entidad, fecha...)
– ¿la leyenda BORRADOR cuando así sea?
– el número de página (“X” de “Y”)
– ¿número de copia? ¿destinatario?
¿”muescas”?

47
REQUISITOS DEL INFORME DE AUDITORÍA

exacto
concreto
REQUISITOS DEL INFORME DE AUDITORÍA

exacto
concreto