Está en la página 1de 41

Auditoría de proyectos

Dra. Noelia Calvar Simón

Tema 2/1: Auditoría informática:


Metodologías y Ejecución

Universidad Internacional de La Rioja


Tema 2: Auditoría informática: Metodologías y ejecución

Hoja de ruta

2
Tema 2: Auditoría informática: Metodologías y ejecución

Cronología Caso grupal


- 27 may 27 may 27 may – 10 jun 11 jun

Lectura, estudio, Debate y análisis


preparación Discusión en clase Entrega del trabajo
en grupo
individual

Leer el caso Asistir Redactar memoria Entrega resolución


Trabajo individual Discusión en grupo Trabajo colaborativo Todos entregan la
resolución del caso
El representante entrega
la resolución y la
presentación ppt

3
Tema 2: Auditoría informática: Metodologías y ejecución

Temario de la asignatura

Tema 1. Tema 2.
Introducción a la auditoría Auditoría informática:
informática Metodologías y ejecución

 La auditoría informática  Metodología

 Auditoría informática y
gestión de riesgos  Fases de auditoría

 Auditoría, Control Interno y


Gobierno de SI

4
Tema 2: Auditoría informática: Metodologías y ejecución

Índice / 1

► Recordatorio
► Riesgo
► Gestión de riesgos

► Metodologías para auditar

► Metodología EDR / ROA Genérico

Recordatorio Metodologías 1. Metodología EDR / ROA


5
Tema 2: Auditoría informática: Metodologías y ejecución

Recordatorio: Riesgo, KRI


Riesgo
Impacto y probabilidad de que una amenaza (o de una serie
de eventos/amenazas) puedan afectar de manera adversa la
consecución de los objetivos

KRI
Indicador para determinar la posibilidad existente de que
ocurra un evento probable en una empresa, en conjunto con
las consecuencias que acarrea dicho evento (ya sean
favorables o desfavorables), pueda provocar un RIESGO que
lleve a la empresa a situaciones críticas.

KRI es un Indicador que mide el impacto negativo en un KPI

Recordatorio
Metodologías 1. Metodología EDR / ROA
6
Tema 2: Auditoría informática: Metodologías y ejecución

Recordatorio: Gestión de riesgos


Gestión de riesgos

La identificación, evaluación y priorización


de riesgos seguida de una aplicación
coordinada y económica de recursos para
Fuente: www.avepoint.com
minimizar y controlar la probabilidad o el
impacto de eventos desafortunados o para
maximizar la realización de oportunidades.

Recordatorio
Metodologías 1. Metodología EDR / ROA
7
Tema 2: Auditoría informática: Metodologías y ejecución

Recordatorio: Gestión de riesgos

Identificación Análisis de Evaluación de


del riesgo riesgo riesgos
• proceso que se • proceso que se utiliza • proceso que se utiliza
utiliza para para comprender la para comparar los
encontrar, naturaleza, fuentes y resultados del análisis
causas de los riesgos de riesgos con criterios
reconocer y
que ha identificado y de riesgo para
describir los riesgos estimar el nivel de determinar si un el
que podrían afectar riesgo nivel de riesgo
el logro de los • También se usa para especificado es
objetivos estudiar impactos y aceptable o tolerable
consecuencias y para
examinar los controles
que existen

Recordatorio
Metodologías 1. Metodología EDR / ROA
8
Tema 2: Auditoría informática: Metodologías y ejecución

“Para el año 2021, la planificación inadecuada de


la gestión del riesgo para la transformación digital
ocasionará interrupciones significativas para una
de cada tres organizaciones”

Recordatorio Metodologías 1. Metodología EDR / ROA


9
Tema 2: Auditoría informática: Metodologías y ejecución

Metodología

Conjunto de mecanismos o
procedimientos racionales, que se
siguen de forma sistemática y
disciplinada para la realización de un fin
Fuente: www.researcharticles.com

• Rigor, Rapidez, uniformidad, consistencia


Realizar auditorías
informáticas con • Objetividad en los criterios
metodologías nos permite, • Sistematicidad
entre otras cosas:
• Independencia de quien lo realiza

Metodologías
Recordatorio 1. Metodología EDR / ROA
10
Tema 2: Auditoría informática: Metodologías y ejecución

Metodología
Metodologías más difundidas

EDR Genérico (EDR – Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

EDR Simplificado
(Checklist)
Basada en cuestionarios

EDR Avanzado
(Auditoría de productos)

Metodologías
Recordatorio 1. Metodología EDR / ROA
11
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

El auditor realiza una evaluación del riesgo potencial


existente sobre el Sistema de Información de la
organización

Fuente: www.evaluandosoftware.com

1. EDR Genérico
Recordatorio Metodologías
12
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

1. EDR Genérico
Recordatorio Metodologías
13
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

Cuantificación y
valoración de riesgos
potenciales

Identificación y valoración de riesgos

SALIDA: Listado de riesgos potenciales

1. EDR Genérico
Recordatorio Metodologías
14
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

Objetivos
de control

Los objetivos de control son los elementos fundamentales de


cualquier sistema de información sometidos a control
Gestión proactiva para minimizar probabilidad ocurrencia y/o
disminuir el impacto potencial de los riesgos
SALIDA: Plan de gestión de riesgos

1. EDR Genérico
Recordatorio Metodologías
15
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

Técnicas de control
o controles

Por cada objetivo de control / riesgo potencial, se debe


identificar las técnicas de control existentes que deben
minimizar el riesgo, logrando cumplir así el objetivo general
de control
SALIDA: Procedimientos de control

1. EDR Genérico
Recordatorio Metodologías
16
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

Permiten obtener evidencias y verificar la


consistencia de los controles existentes y Pruebas
también medir el riesgo por deficiencia o por
ausencia de éstos

Toda opinión o evaluación de un auditor debe estar basada en


pruebas realizadas y en la evidencia obtenida de acuerdo a una
normativa profesional
SALIDA: Pruebas de cumplimiento y sustantivas

1. EDR Genérico
Recordatorio Metodologías
17
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

Pruebas de cumplimiento:

1. Se utilizan para probar y verificar el cumplimiento de una


Pruebas
técnica de control / controles.
2. Reúne evidencias de auditoría para indicar si un control
existe, funciona de forma efectiva y logra sus objetivos.
3. Ha de tener en cuenta si:
• Existen procedimientos establecidos
• Se ejecutaron los procedimientos previstos
• Se ejecutaron adecuadamente

1. EDR Genérico
Recordatorio Metodologías
18
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

Pruebas sustantivas:

Pruebas
1. SOLO se utilizan cuando las pruebas de cumplimiento no
han satisfecho los objetivos del auditor: El control no existe, o el
control existe pero no supera la prueba de cumplimiento
2. Su realización requiere un mayor consumo de recursos
3. Permiten profundizar para comprobar la fiabilidad y
consistencia de los controles existentes e identificar la magnitud
y el impacto de errores e incidencias

1. EDR Genérico
Recordatorio Metodologías
19
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos)


(ROA – Risk Oriented Approach)

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de Plan de gestión Procedimiento Pruebas de


riesgos de riesgos de control cumplimiento y
potenciales sustantivas

1. EDR Genérico
Recordatorio Metodologías
20
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:


(ROA – Risk Oriented Approach) Datos

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de riesgos Plan de gestión Procedimiento de Pruebas de


potenciales de riesgos control cumplimiento y
sustantivas
Riesgo
Acceso indebido a
sistemas de
información por
parte de empleados

1. EDR Genérico
Recordatorio Metodologías
21
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:


(ROA – Risk Oriented Approach) Datos

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de riesgos Plan de gestión Procedimiento de Pruebas de


potenciales de riesgos control cumplimiento y
sustantivas
Riesgo El Dpto. de TI debe
Acceso indebido a establecer normativas
sistemas de de acceso a sus datos
información por y sistemas
parte de empleados informáticos

1. EDR Genérico
Recordatorio Metodologías
22
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:


(ROA – Risk Oriented Approach) Datos

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de riesgos Plan de gestión Procedimiento de Pruebas de


potenciales de riesgos control cumplimiento y
sustantivas
Procedimientos de
Riesgo El Dpto. de TI debe acceso lógico a los
Acceso indebido a establecer normativas datos incluyen la
sistemas de de acceso a sus datos revisión y
información por y sistemas aprobación de
parte de empleados informáticos perfiles de usuario

1. EDR Genérico
Recordatorio Metodologías
23
Tema 2: Auditoría informática: Metodologías y ejecución

EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:


(ROA – Risk Oriented Approach) Datos

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de riesgos Plan de gestión Procedimiento de Pruebas de


potenciales de riesgos control cumplimiento y
sustantivas
Prueba de cumplimiento Prueba sustantiva
Comprobar que se ha implantado un Seleccionar una muestra de perfiles e
procedimiento por escrito para someter a identificar aquellos que no se hayan revisado y
todos los perfiles de acceso a un proceso aprobado adecuadamente, evaluando el
de aprobaciones y que ha sido impacto/riesgo de las incidencias detectadas
comunicado a todas las áreas interesadas
1. EDR Genérico
Recordatorio Metodologías
24
Tema 2: Auditoría informática: Metodologías y ejecución
Ejemplo:
EDR Genérico (EDR - Evaluación de Riesgos)
(ROA – Risk Oriented Approach)
Seguridad
física

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de riesgos Plan de gestión Procedimiento de Pruebas de


potenciales de riesgos control cumplimiento y
sustantivas
Riesgo
Incendio en la sala
de servidores

1. EDR Genérico
Recordatorio Metodologías
25
Tema 2: Auditoría informática: Metodologías y ejecución
Ejemplo:
EDR Genérico (EDR - Evaluación de Riesgos)
(ROA – Risk Oriented Approach)
Seguridad
física

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de riesgos Plan de gestión Procedimiento de Pruebas de


potenciales de riesgos control cumplimiento y
sustantivas
Riesgo Mantener protegida la
Incendio en la sala sala de servidores
de servidores

1. EDR Genérico
Recordatorio Metodologías
26
Tema 2: Auditoría informática: Metodologías y ejecución
Ejemplo:
EDR Genérico (EDR - Evaluación de Riesgos)
(ROA – Risk Oriented Approach)
Seguridad
física

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de riesgos Plan de gestión Procedimiento de Pruebas de


potenciales de riesgos control cumplimiento y
sustantivas
Procedimientos de
Riesgo Mantener protegida la mantenimiento de
Incendio en la sala sala de servidores extintores,
de servidores detectores de
humo, rociadores,
etc.

1. EDR Genérico
Recordatorio Metodologías
27
Tema 2: Auditoría informática: Metodologías y ejecución
Ejemplo:
EDR Genérico (EDR - Evaluación de Riesgos)
(ROA – Risk Oriented Approach)
Seguridad
física

Cuantificación y Objetivos Técnicas de control


valoración de riesgos de control Pruebas
o controles
potenciales

Listado de riesgos Plan de gestión Procedimiento de Pruebas de


potenciales de riesgos control cumplimiento y
sustantivas
Prueba de cumplimiento
Comprobar que 10 extintores están etiquetados Prueba sustantiva
con la fecha de la última revisión. Ampliar la muestra y
Comprobar que los led de los detectores de comprobar todos los extintores
humo parpadean y detectores de humo

1. EDR Genérico
Recordatorio Metodologías
28
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
Aplica la Metodología EDR genérica al caso identificando 3 riesgos potenciales

PeluchesCia (empresa ficticia) se fundó en el año 2001 cuando 3 universitarios


recién graduados deciden montar una startup con la idea elaborada por uno de
ellos en su TFG.

Su negocio se basa en la fabricación y distribución de


peluches Mascota conectados a internet que permiten
hablar a distancia entre los menores y sus progenitores, y
además responde todo tipo de preguntas que los niños le
hacen sobre contenidos de Matemáticas y Geografía
gracias a su conexión a Internet, donde consulta las
respuestas en una base de datos que la empresa mantiene
en un proveedor Cloud.

1. EDR Genérico
Recordatorio Metodologías
29
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
Aplica la Metodología EDR genérica al caso identificando 3 riesgos potenciales

La empresa en 2018 ha tenido un problema porque se filtraron


a Internet más de 800.000 cuentas de los propietarios, así como
más de 2 millones de conversaciones que los menores habían
tenido con sus padres. La información estuvo durante semanas
en internet al alcance cualquiera antes de que fuera retirada por
PeluchesCia.
Se ha decidido implementar una gestión de riesgos que facilite
verificar que no se está vulnerable a los posibles riesgos que
conlleva la fabricación, distribución y el servicio a los usuarios de
los peluches Mascota. Han decidido realizar trimestralmente una
verificación de las vulnerabilidades posibles por el Dpto. de
Organización durante al menos 2 semanas.
1. EDR Genérico
Recordatorio Metodologías
30
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
 Conectados a internet
Cuantificación y  Base de datos en la nube
valoración de riesgos  La información estuvo durante semanas en
potenciales internet al alcance de cualquiera
 Se filtraron más de 800.000 cuentas

SALIDA: Listado de riesgos potenciales

1. EDR Genérico
Recordatorio Metodologías
31
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
 Conectados a internet
Cuantificación y  Base de datos en la nube
valoración de riesgos  La información estuvo durante semanas en
potenciales internet al alcance de cualquiera
 Se filtraron más de 800.000 cuentas

SALIDA: Listado de riesgos potenciales

1. Acceso no autorizado a la base de datos


2. Filtración de datos personales de clientes por
parte del proveedor Cloud
3. Hackeo de las cuentas de usuarios

1. EDR Genérico
Recordatorio Metodologías
32
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
1. Acceso no autorizado a la base de datos
2. Filtración de datos personales de clientes por parte del
Objetivos proveedor Cloud
de control 3. Hackeo de las cuentas de usuarios

SALIDA: Plan de gestión de riesgos

1. EDR Genérico
Recordatorio Metodologías
33
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
1. Acceso no autorizado a la base de datos
2. Filtración de datos personales de clientes por parte del
Objetivos proveedor Cloud
de control 3. Hackeo de las cuentas de usuarios

SALIDA: Plan de gestión de riesgos


1. Impedir que personal no autorizado acceda a la
base de datos
2. Evitar que el responsable del fichero o el proveedor
de Cloud filtre datos de clientes
3. Impedir que hackers externos tengan acceso a la
información

1. EDR Genérico
Recordatorio Metodologías
34
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
1. Impedir que personal no autorizado acceda a la base de datos
2. Evitar que el responsable del fichero o el proveedor de Cloud
filtre datos de clientes
Técnicas de control
3. Impedir que hackers externos tengan acceso a la información
o controles
SALIDA: Procedimientos de control

1. EDR Genérico
Recordatorio Metodologías
35
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
1. Impedir que personal no autorizado acceda a la base de datos
2. Evitar que el responsable del fichero o el proveedor de Cloud
filtre datos de clientes
Técnicas de control
3. Impedir que hackers externos tengan acceso a la información
o controles
SALIDA: Procedimientos de control
1. Identificación y control de acceso a la base de datos
Procedimiento de acceso físico al Dpto. de TI
2. Procedimiento de seguridad al cargar datos en la nube
Procedimiento de cifrado de datos
3. Procedimiento de seguridad para impedir el acceso de hackers
Procedimiento de seguridad para impedir que los empleados
accedan a páginas web peligrosas
1. EDR Genérico
Recordatorio Metodologías
36
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso

SALIDA: Pruebas de cumplimiento y sustantivas


Pruebas

Pruebas de cumplimiento

1. Nº acceso a la base de datos por parte de personal autorizado


Registro de personal que accede a la base de datos
Registro del tiempo que duran los accesos
2. El procedimiento para la carga de datos es adecuado
El cifrado de datos es seguro y confidencial
3. Nº de intentos de ataques por parte de hackers
Nº de accesos de los empleados a páginas web peligrosas
1. EDR Genérico
Recordatorio Metodologías
37
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso

SALIDA: Pruebas de cumplimiento y sustantivas


Pruebas

Pruebas sustantivas

1. Ampliar la prueba para verificar el nº accesos de personal no autorizado


Ampliar la prueba para verificar el acceso físico al cuarto o Dpto. de TI
2. Ampliar la prueba para verificar la carga de datos en la nube
3. Ampliar la prueba para determinar ataques fallidos
Ampliar la prueba para determinar todas las páginas web a las que
acceden los empleados

1. EDR Genérico
Recordatorio Metodologías
38
Tema 2: Auditoría informática: Metodologías y ejecución

Ejemplo Minicaso
1. Riesgos 2. Objetivos de 3. Medidas de 4a. Pruebas 4b. Pruebas
control control cumplimiento sustantivas
Acceso no Impedir que - Identificación y control
de acceso a BD
-¿Existe procedimiento? - Ampliar la prueba para
verificar el nº accesos de
- Nº acceso a la BD por
autorizado a BD personal no - Procedimiento de parte de personal personal no autorizado
autorizado acceso físico al Dpto. TI autorizado - Ampliar la prueba para
verificar el acceso físico
acceda a la BD - Registro de personal
al cuarto o Dpto. de SI
que accede a la BD
- Registro del tiempo
que duran los accesos

Filtración de Evitar que los - PS al cargar datos en la


nube
-¿Existe procedimiento? Ampliar la prueba
- El procedimiento para para verificar la carga
datos responsables - Procedimiento de la carga de datos es de datos en la nube
filtren datos cifrado de datos adecuado
- El cifrado de datos es
seguro y confidencial

Hackeo de las Impedir que - PS para impedir el


acceso de hackers
-¿Existe procedimiento? - Ampliar la prueba para
determinar ataques
- Nº de intentos de
cuentas de hackers tengan - PS para impedir que los ataques por parte de fallidos
usuarios acceso empleados accedan a hackers - Ampliar la prueba para
páginas web peligrosas determinar todas las
- Nº de accesos de los
1. EDR Genérico
empleados a páginas páginas web a las que
Recordatorio Metodologías web peligrosas acceden los empleados

39
Tema 2: Auditoría informática: Metodologías y ejecución

40
www.unir.net

También podría gustarte