Marcos de

referencia de
Auditoria de
Sistemas
 Objetivo

Asegurar que el participante tenga los

conocimientos necesarios respecto a las
referencias actuales y vigentes para realizar
una auditoría de sistemas, considerando las
prácticas de control nacionales e
internacionales
 Contenido
• Normas de Control Interno
de Contraloria General de la
República
• Normas SBS
• LPDP

• CobiT 5
• ISO 27000
 Normas Técnicas de Control Interno
•Resolución de Contraloria 320-2006-CG

•Vigente desde el 3/11/2006

•Aplica para todas las entidades del sector

público
Normas Técnicas de Control Interno
• 2 Norma General para el componente de evaluación de
riesgos.

“El componente evaluación de riesgos abarca el proceso

de identificación y análisis de los riesgos a los que está
expuesta la entidad para el logro de sus objetivos y la
elaboración de una respuesta apropiada a los mismos. La
evaluación de riesgos es parte del proceso de
administración de riesgos, e incluye: planeamiento,
identificación, valoración o análisis, manejo o respuesta y
el monitoreo de los riesgos de la entidad”.

6
Normas Técnicas de Control Interno
• 3.10 Controles para las tecnologías de Información y
Comunicaciones.

“La información de la entidad es provista mediante el uso

de Tecnologías de la Información y Comunicaciones (TIC).
Las TIC abarcan datos, sistemas de información,
tecnología asociada, instalaciones y personal. Las
actividades de control de las TIC incluyen controles que
garantizan el procesamiento de la información para el
cumplimiento misional y de los objetivos de la entidad,
debiendo estar diseñados para prevenir, detectar y
corregir errores e irregularidades mientras la información
fluye a través de los sistemas”.
7
Normas Técnicas de Control Interno
• 4.4 Sistemas de Información

“Los sistemas de información diseñados e implementados

por la entidad constituyen un instrumento para el
establecimiento de las estrategias organizacionales y, por
ende, para el logro de los objetivos y las metas. Por ello
deberá ajustarse a las características, necesidades y
naturaleza de la entidad. De este modo, el sistema de
información provee la información como insumo para la
toma de decisiones, facilitando y garantizando la
transparencia en la rendición de cuentas”.

8
 Circular SBS N° G-139-2009

• Establece criterios mínimos para la gestión de la

continuidad del negocio financiero, que forma parte de
una adecuada gestión del riesgo operacional que
enfrentan las empresas supervisadas por la SBS.

• La circular contiene disposiciones, que toman como

referencia estándares internacionales.

10
 Circular SBS N° G-140-2009
Establece criterios mínimos para una adecuada gestión
de la seguridad de la información, tomando como
referencia estándares internacionales como el ISO 17799
e ISO 27001.

Sistema de Gestión de Seguridad de la Información

(SGSI)
El objetivo de implementar el SGSI es proteger los activos
de información más importantes de las instituciones
financieras como resultado del análisis de riesgo y sobre
todo cumpliendo con las expectativas de todos los
interesados del sistema, clientes, comunidad, estado,
proveedores, y la misma entidad financiera, entre otros.
11
 Datos
Personales
 Ley 29733

Promulga
03/07/11
da

Reglame
22/03/13
ntada

Directiva
de
16/10/13
Segurida
d

Plena
08/05/15
Vigencia
 APDP

• https://www.youtube.com/watch?v=1c4YMd_YaRs
Controles Técnicos

Contraseñas

Acceso
Auditoria
Lógico

Bancos
de Datos

Respaldos Encriptación
Información personal manejada por las
Organizaciones

Clientes

Visitantes
Bancos Personal
de Datos

Proveedores
(personas
naturales)
Afecta
Derechos ARCO

Acceso Rectificación

Cancelación Oposición
Control OBjectives
for Information and
related Technology
 Marco CobiT5
Ayuda a las Organizaciones a crear un valor
óptimo a partir de la TI, al mantener un
equilibrio entre la realización de beneficios y la
optimización de los niveles de riesgo y
utilización de los recursos.

Los principios y habilitadores de COBIT 5

son genéricos y útiles para las Organizaciones
de cualquier tamaño, bien sean comerciales,
sin fines de lucro o en el sector público.
Modelo de Procesos Gobierno / Gestión

Fuente: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Procesos de Gobierno IT
Evaluar, Dirigir y Monitorear
EDM01 Ensure
Governance
EDM02 Ensure
Framework:
Benefits Delivery
Setting And
Maintenance

EDM04 Ensure
EDM03 Ensure
Resouce
Risk Optimizations
Optimization

EDM05 Ensure
Stakeholder
Transparency
 Procesos de Gestión IT:
Alinear, Planear y Organizar
APO01 APO03
APO02 APO04
Manage the IT Manage
Manage Manage
Management Enterprise
Strategy Innovation
Framework Architecture

APO05 APO06 AP007 Manage APO08

Manage Manage Budget Human Manage
Portfolio and Costs Resources Relationships

APO09
APO010
Manage APO011 APO012
Manage
Service Manage Quality Manage Risk
Suppliers
Agreements

APO013
Manage
Security
 Procesos de Gestión IT:
Construir, Adquirir e Implementar
BAI03 Manage
BAI01 Manage BAI02 Manage
Solutions
Programmes Requirements
Identification
and Projects Definition
And Build

BAI05 Manage
BAI04 Manage
Organizational BAI06 Manage
Avalability and
Change Changes
Capacity
Enablement

BAI07 Manage
Change BAI08 Manage BAI09 Manage
Acceptance and Knowledge Assets
Transitioning

BAI010 Manage
Configuration
 Procesos de Gestión IT:
Entrega, Servicio y Soporte
DSS02 Manage
DSS01 Manage Service
Operations Requests and
Incidents

DSS03 Manage DSS04 Manage

Problems Continuity

DSS06 Manage
DSS05 Manage
Business
Security
Process
Services
Controls
 Procesos de Gestión IT:
Monitorear, Evaluar y Valorar

MEA01 Monitor MEA02 Monitor

Evaluate and Assess Evaluate and Assess
Performance and the System of Internal
Conformance Control

MEA03 Monitor
Evaluate and Assess
Compliance With
External
Requirements
Familia ISO
27000
 Familia ISO 27000
27001 Sistema de
27000 Overview y Gestión de
Vocabulario Seguridad de la
Información

27002 Código de 27003 Guia de

práctica (requisitos) Implementación

27005 Gestión de
riesgos de
27004 Metricas
Seguridad de la
información
Estructura de la Norma ISO 27002 o
Anexo A de la ISO 27001 (resumen)

14 Dominios

35 Objetivos de Control

114 Controles
Norma ISO/IEC 27002:2013
Empresas Certificadas ISO 27001 en
Perú
• Atento
• GMD
• Hermes transportes blindados
• Hochschild Minning PLC
• Indecopi
• ISEC Perú
• Oficina de Normalización Previsional
ONP
• PMC Latam
• Rimac
• Secure Soft
• Telefónica del Perú
• Telefónica Empresas
• Telefónica Gestión de Servicios
Compartidos Perú SAC
La compañía donde trabajan
Av. Universitaria S/N Juancayo

PE-SI-CER12345