Jornadas

 sobre  Supervisión  electrónica  y  Tecnología    

Casos  Prác*cos  de  Auditoría  y    

Seguridad  Informá*ca  

Ing.  Lilia  Liu,  CFE,  CRISC,  COBIT  5  

Centro  de  Formación  de  la  AECID  en    

La  An@güa,  Guatemala  
 
17  de  noviembre  de  2015  
 Contenido  (1/2)  
Auditoría  Informá*ca:  
 
1.  Concepto  de  auditoría  informá*ca.  
2.  Estándares  internacionales  en  auditoría  informá*ca.  
3.  Tipos  de  auditoría  informá*ca.  
4.  Cómo  implementamos  la  auditoría  informá*ca.  
5.  Factores  limitantes  en  una  auditoría  informá*ca.  
6.  Ejemplos  de  auditoría  informá*ca:  
a.  Controles  generales  
b.  Infraestructura  tecnológica  
c.  Sistemas  opera*vos  
d.  Base  de  datos  
e.  Aplicaciones  en  Producción  
 Contenido  (2/2)  
Seguridad  Informá*ca:  
 
1.  Concepto  de  seguridad  informá*ca.  
2.  Estándares  internacionales  en  seguridad  informá*ca.  
3.  Cómo  implementamos  la  seguridad  informá*ca.  
4.  Polí*ca  de  seguridad  informá*ca.  
5.  Caso  prác*co  de  seguridad  informá*ca.  
Auditoría  Informá*ca  
 Concepto  de  Auditoría  
Informá*ca  
Es  el  proceso  de  revisión  o  verificación  de  todo  el  entorno  informá*co  
con  la  finalidad  de  prevenir  un  riesgo  en  la  organización.  
 
 
Las  auditorías  informá*cas  son  u*lizados  como:  
1.  Apoyo  a  las  auditorías  financieras  
2.  Cumplimiento  a  regulaciones  y  norma*vas  
3.  Medida  de  prevención  ante  cualquier  riesgo  potencial  
4.  Análisis  de  desempeño  de  la  función  de  tecnología  
5.  Puntos  de  oportunidad  de  mejoras.  
   
 Estándares  internacionales  en  
auditoría  informá*ca  
El  marco  de  referencia  para  la  realización  de  las  auditorías    
 
informá*cas  es  el      
 
Existen  otros  estándares  internacionales:  

Sarbanes  Oxley  
Tipos  de  Auditoría  Informá*ca  
1.  Controles  generales    –>    Diagnós*co  
2.  Base  de  datos:      Oracle,  SAP,  SQL  
3.  Sistema  Opera*vo:    Windows,  Linux,  Unix,  OS/400  
4.  Aplicaciones  en  producción    o  en  desarrollo  
5.  Migración  de  aplicaciones  
6.  Migración  de  base  de  datos  
7.  Cambios  de  infraestructura  tecnológica  
8.  Ac*vos  tecnológicos:    hardware  y  socware  
9.  Redes  y  Comunicaciones  
Tipos  de  Auditoría  Informá*ca  
10.  Seguridad  informá*ca  
11.  Pruebas  de  vulnerabilidad  interna  y  externa  
12.  Administración  de  proyectos  tecnológicos  
13.  Acuerdos  de  niveles  de  servicio  (SLA)  
14.  Pruebas  de  validación  
15.  Centros  de  datos    
16.  Implementación  de  nuevo  sistema  
17.  Con*ngencia  y  Recuperación  de  Desastres    
18.  Con*nuidad  de  negocios  
19.  Ciberseguridad  
20.  Y  Otros  más…  
 Si*o  web  de  

ISACA  es  una  organización  líder  en  seguridad  y  control  de  entornos  
informá*cos,  con  filiales  en  cerca  de  100  países  y  de  interés  para  
profesionales  de  Ciencias  Económicas,  Informá*ca  e  Ingeniería.  
 
Através  de  su  Centro  de  Conocimiento  (Knowledge  Center)  posee  la  
guía  necesaria  para  poder  realizar  auditorías  informá*cas  específicas.  
 
www.isaca.org  
 ¿Cómo  implementamos  la    
Auditoría  Informá*ca?  
Mediante  un  proceso  de  planificación  ordenado  y  programado:  

1.  Definir  el  alcance  y  el  obje*vo  de  la  auditoría  

2.  Definir  los  sponsor  (promotores)    
3.  Definir  la  metodología  de  trabajo  
4.  Definir  los  recursos  requeridos:    personal,  financiero,  
herramientas.  
5.  Definir  el  *empo  requerido  para  su  realización  
6.  Elaboración  de  cronograma  de  auditoría  
7.  Elaboración  de  entrevistas,  trabajo  de  campo,  papeles  
de  trabajo  
8.  Elaboración  de  un  informe  preliminar  y  discusión  con  
las  áreas  auditadas.  
9.  Presentación  ejecu*va:    comité  de  auditoría  o  reunión  
con  direc*vos.  
Herramientas  de  apoyo  que  se  u*lizan  
en  las  auditorías  informá*cas  
¿Qué  es  lo  más  valioso  de  una  Auditoría  
Informá*ca?  
El  Informe  de  Auditoría  donde:  
 
1.  Iden*fique  claramente  los  riesgos  potenciales  a  los  cuales  la  
organización  se  expone  
2.  Mejorar  el  ambiente  de  control  
3.  Tener  recomendaciones  y  un  plan  de  acción  para  cada  
recomendación  
4.  Tener  un  plan  de  seguimiento  y  su  monitoreo  constante  
5.  Reflejar  el  compromiso  de  la  Alta  gerencia  y  de  la  Junta  
Direc*va  
 
 
 Factores  limitantes  en  una    
Auditoría  Informá*ca  
1.  Des*nar  un  presupuesto  limitado.  
2.  Poco  conocimiento  del  personal  de  auditoría  sobre  lo  que  se  
desea  auditar.  
3.  Falta  de  herramientas  tecnológicas  para  poder  apoyar  la  
ges*ón  de  auditoría.  
4.  Manejo  inapropiado  de  la  metodología  de  trabajo.  
5.  Falta  de  compromiso  de  los  promotores,  alta  gerencia  o  cuerpo  
direc*vo.  

Estos  puntos  puede  hacer  que  fracase    

la  Auditoría  Informá;ca…  

 
 
 Ejemplo  de  una  Auditoría  Informá*ca  de    
Controles  Generales  
1.  Alcance:  realización  de  un  diagnós*co  general  de  todo  el  entorno  tecnológico  de  
la  organización,  incluyendo  los  servicios  tercerizados.  
2.  Obje*vo  principal:    evaluación  de  los  controles  existentes  e  iden*ficar  los  puntos  
de  mejora  para  minimizar  su  exposición  al  riesgo.  
3.  Metodología  a  u*lizar:    COBIT  5  
4.  Equipo  de  trabajo:  
a.  Líder  del  proyecto  (definir  un  resumen  breve  de  su  experiencia)  
b.  2  auditores  (definir  un  resumen  breve  de  su  experiencia)  
5.  Herramientas  a  u*lizar:      
a.  IDEA  
b.  TEAM  MATE  
6.  Tiempo   de   duración   de   la   auditoría   (cronograma):     fecha   es*mada   de   inicio   y  
fecha  de  finalización.          
7.  Lista  de  requerimientos  de  las  áreas  a  auditar.  
8.  Encuesta  a  usuarios  automa*zado.  
9.  Entrevista  a  personal  de  Tecnología  y  usuarios  claves.  
10. Modelo  a  presentar.  
 Ejemplo  de  una  Auditoría  Informá*ca  de    
Infraestructura  Tecnológica  
1.  Alcance:   Efectuar   una   revisión   de   toda   la   infraestructura   tecnológica   existente   en  
la  organización.  
2.  Obje*vo   principal:     evaluar   los   controles   existentes   en   la   administración   de   los  
ac*vos  tecnológicos.  
3.  Metodología  a  u*lizar:    COBIT  5  
4.  Equipo  de  trabajo.  
5.  Herramientas  a  u*lizar:      
a.  Solar  Winds  
b.  Belarc  Advisor  
6.  Tiempo  de  duración  de  la  auditoría  (cronograma)  
7.  Listado  de  los  ac*vos:    hardware  y  socware  
8.  Servidores  principales  
9.  Descrip*vo  de  las  redes  LAN  y  WAN  
10. Esquemas  de  replicación  de  datos  
11. Arquitectura  de  base  de  datos  
12. Arquitectura  de  los  sistemas  de  seguridad    
Seguridad  Informá*ca  
Hoy  en  día  las  empresas  requieren  de  acciones  más  concretas  para    
contrarrestar  el  caos  generado  como  consecuencia  de  la  adopción    
de  estas  nuevas  tecnologías:  
 
1.  Planeamiento  estratégico  de  IT  
2.  Ges*ón  del  cambio  y  de  la  innovación  
3.  IT  como  Broker  
4.  Crear  dashboard  de  ges*ón  
5.  Una  oficina  de  ges*ón  de  IT  (PMO)  
6.  ITIL  
 Concepto  de  Seguridad  
Informá*ca  
Es  el  conjunto  de  normas,  procedimientos  y  
herramientas  que  *enen  como  obje*vo  
garan*zar:  
 
1.  La  disponibilidad,    
2.  La  integridad,    
3.  La  confidencialidad  y    
4.  Buen  uso  de  la  información  que  reside  en  
un  sistema  informá*co.  
 proporciona   recomendaciones   de   las   mejores   prác*cas   en   la  
ISO  27002   ges*ón  de  la  seguridad  de  la  información  a  todos  los  interesados  
y   responsables   en   iniciar,   implantar   o   mantener   sistemas   de  
ges*ón  de  seguridad  de  la  información.  
 ISO/IEC  27003  
Guía  para  la  implementación  de  un  Sistema  de  Ges;ón  de  Seguridad  de  la  
Información.  

La  norma  *ene  el  siguiente  contenido:  

1.  Alcance.  
2.  Referencias  Norma*vas.  
3.  Términos  y  Definiciones.  
4.  Estructura  de  esta  Norma.  
5.  Obtención  de  la  aprobación  de  la  alta  dirección  para  iniciar  un  SGSI.  
6.  Definición  del  alcance  del  SGSI,  límites  y  polí*cas.  
7.  Evaluación  de  requerimientos  de  seguridad  de  la  información.  
8.  Evaluación  de  Riesgos  y  Plan  de  tratamiento  de  riesgos.  
9.  Diseño  del  SGSI.  
 
Anexo  A:  lista  de  chequeo  para  la  implementación  de  un  SGSI.  
Anexo  B:  Roles  y  responsabilidades  en  seguridad  de  la  información  
Anexo  C:  Información  sobre  auditorías  internas.  
Anexo  D:  Estructura  de  las  polí*cas  de  seguridad.  
Anexo  E:  Monitoreo  y  seguimiento  del  SGSI.  
 ISO/IEC  27003  

EN  EL  SIGUIENTE  LINK  ENCONTRARÁ  UN  EJEMPLO  DE  UNA  GUÍA  PARA  GESTIONAR    
LA  SEGURIDAD  DE  LOS  SISTEMAS  DE  INFORMACIÓN  (SGSI)  
LA  GUÍA  TÉCNICA  COLOMBIANA  PARA  EL  SGSI  

h@p://;enda.icontec.org/brief/GTC-­‐ISO-­‐IEC27003.pdf  
 COBIT  5  for  Informa*on  Security  

El   COBIT   5   brinda   una   guía   básica   para   definir,   operar   y   monitorear   un  

sistema  para  la  ges*ón  de  la  seguridad,  como  son:  
 
APO13   Ges*ón   de   la   seguridad   (treceavo   proceso   del   dominio   Alineación,  
Planeación  y  Organización)  
DSS04   Ges*ón   de   la   con*nuidad   (cuarto   proceso   del   dominio   Entrega,  
Soporte  y  Servicio)  
DSS05   Ges*ón   de   servicios   de   seguridad   (quinto   proceso   del   mismo  
dominio)  
 
  
 
 ¿Cómo  implementamos  la    
Seguridad  Informá*ca?  
1.  Elaborar  un  Plan  de  Seguridad  Informá*ca  
2.  Tener  un  presupuesto  para  este  tema  
3.  Establecer  una  Polí*ca  de  Seguridad  Informá*ca  
4.  Proteger  los  equipos  portá*les  y  de  escritorio  
5.  Mantener  los  programas  actualizados  
6.  Sistemas  de  monitoreo:    de  correo,  de  la  red  interna,  WIFI  
7.  Establecer  conexiones  seguras  con  los  clientes  
8.  Mantener  los  datos  a  salvo  (copias  de  seguridad,  cifrado  de  datos,  sistemas  
UPS)  
9.  Protección  de  los  disposi*vos  móviles.  
10. Plan  de  capacitación  con*nua  en  materia  de  seguridad  para  el  personal.  
11. Revisión  del  Plan  de  seguridad.  
 Polí*ca  de  Seguridad  Informá*ca  
Deberá  abarcar:  
 
1.  Alcance  de  la  polí*ca,  incluyendo  sistemas  y  personal  sobre  el  cual  se  aplica.  
2.  Obje;vos  de  la  polí*ca  y  descripción  clara  de  los  elementos  involucrados  en  su  definición.  
3.  Responsabilidad  de  cada  uno  de  los  servicios,  recurso  y  responsables  en  todos  los  niveles  
de  la  organización.  
4.  Responsabilidades  de  los  usuarios  con  respecto  a  la  información  que  generan  y  a  la  que  
*enen  acceso.  
5.  Requerimientos  mínimos  para  la  configuración  de  la  seguridad  de  los  sistemas  al  alcance  
de  la  polí*ca.  
6.  Definición  de  violaciones  y  las  consecuencias  del  no  cumplimiento  de  la  polí*ca.  
7.  Por  otra  parte,  la  polí*ca  debe  especificar  la  autoridad  que  debe  hacer  que  las  cosas  
ocurran,  el  rango  de  los  correc*vos  y  sus  actuaciones  que  permitan  dar  indicaciones  sobre  
la  clase  de  sanciones  que  se  puedan  imponer.  Pero,  no  debe  especificar  con  exac*tud  qué  
pasara  o  cuándo  algo  sucederá;  ya  que  no  es  una  sentencia  obligatoria  de  la  ley.  
8.  Explicaciones  comprensibles  (libre  de  tecnicismos  y  términos  legales  pero  sin  sacrificar  su  
precisión)  sobre  el  porque  de  las  decisiones  tomadas.  
9.  Finalmente,  como  documento  dinámico  de  la  organización,  deben  seguir  un  proceso  de  
actualización  periódica  sujeto  a  los  cambios  organizacionales  relevantes:  crecimiento  de  
la  planta  de  personal,  cambio  en  la  infraestructura  computacional,  alta  y  rotación  de  
personal,  desarrollo  de  nuevos  servicios,  cambio  o  diversificación  de  negocios,  etc.  
 Caso  Prác*co  de    
Seguridad  Informá*ca  
hvp://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/contenido.htm