Auditoria de La Seguridad Semana 3-4 Tema 2 v3

Auditorias de seguridad
Javier Bermejo Higuera

Pablo Blanco Iñigo
Gobierno y gestión de la función de auditoría

¿Cómo estudiar este tema?
Para estudiar este tema:
Lee los apuntes sobre “Gobierno y gestión de la función de

auditoría”.
Al finalizar el tema, tienes que leer el apartado “a fondo” para reforzar
los principales conocimientos desarrollados.
Además, tienes que realizar las lecturas recomendadas y apoyarte
en la bibliografía y la webgrafía asociadas al tema.
TEMA 2.- Controles internos de los Sistemas de Información 2

Índice
► Introducción y objetivos
► Gestión de la función de auditoría
► Clasificación de los controles de los Sistemas de Información:
o Controles generales
o Controles de aplicación
o Controles por área
o Controles de productos informáticos
o Controles por motivos legales
► La regla de oro

Índice

Introducción y objetivos
1. Definir y explicar los conceptos relacionados con la gestión de

la función de auditoría.
2. Estudiar una clasificación de los diferentes tipos de controles
que se pueden auditar en una auditoría.
3. Aprender el concepto de la regla de oro.

Introducción
► Como nos intentan vender tecnología las grandes empresas en el
2021?
Samsung Apple
https://www.youtube.com/watch?v=AaWIVTIVH2 https://www.youtube.com/watch?v=XW6UHWfdfF
M&feature=youtu.be 8

Introducción
¿Qué es la auditoría?
Proceso de recolección y evaluación de evidencias para determinar

si los sistemas de información y recursos relacionados
salvaguardan adecuadamente los activos, mantienen la integridad
de los datos y del sistema, proveen información fiable, logran
efectivamente las metas de la organización, consumen los recursos
de manera eficiente, y tienen en vigor los controles internos que
proveen una garantía razonable de que se alcanzarán los objetivos
del negocio, operativos y de control (ISACA, 2019).

Introducción
► Auditoría informática
Ron Weber: proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informático:
► Salvaguarda los activos.
► Mantiene la integridad de los datos.
► Lleva a cabo los fines de la organización.
► Utiliza eficientemente los recursos.
8

Introducción
“Cuando realizamos una auditoria, siempre tenemos

que pedir evidencias. No todo es lo que parece…”
Introducción
► ¿Por qué son importantes las auditorías de seguridad de sistemas de

información?
Dependencia creciente de las TIC
Creciente vulnerabilidad y un amplio

espectro de amenazas
El coste de las actuales y futuras

inversiones TIC
El potencial de cambio de las

tecnologías.
Dar soporte a la consecución de los objetivos de negocio.

Introducción
► Funciones y objetivos de la auditoría informática
Marco
Metodológico.
Alcance de la Metodologías,
Auditoría. técnicas,
recursos, etc.
Identificación
de los puntos
de control
Plan de
Auditoría.
Identificación
Objetivos de
Control
Marco de Trabajo
Punto de Control
Punto1 de Control 2
• Puntos de•revisión. Punto de Control 13
Puntos de revisión.
• Herramientas.
• •
Herramientas.Puntos de revisión.
• Momento.• Momento.• Herramientas.
• Momento.

Gestión de la función de auditoría
Función de auditoría
► Asegurar que tareas realizadas y logradas por el equipo de auditoría
cumplirán los objetivos, mientras se preserva la independencia y

competencia de esta.
► Debe asegurar a la Alta Dirección las contribuciones al valor agregado
respecto a la eficiente gestión de TI y al logro de los objetivos del

negocio.

► Gestión de los recursos de auditoría de sistemas de información
o El auditor debe mantener su competencia técnica a través de
una educación profesional continua.
o Plan anual de capacitación del personal.
► Ubicación Departamento de Auditoría.

o Jerarquía suficiente.
o Tipo de funciones.
o Suficiente autoridad.

► Departamento de auditoría. Funciones:
Investigación Revisión del Revisión constante

constante de planes equilibrio de las de los métodos de
y objetivos. cargas de trabajo. control.
Analizar la eficiencia
Estudio de las
de la utilización de
políticas y sus
recursos humanos y
prácticas.
materiales.
Alta gerencia
Revisión constante Estudio constante

de la estructura de las operaciones
orgánica. de la empresa. Consejo de
administración
Auditoría interna
► Responsabilidades:
Empleados

► Estructura y atribuciones de una unidad de auditoría interna
Director de auditoría.
Gerente de auditoría
Supervisor de auditoría
Encargado de auditoría
Auditor ayudante
Auditor principiante

► Diseño de la estructura de una unidad de auditoría interna
•
Estructura de
auditoría interna
Actividad programática.
• Rutinaria.
• Eventual.
• Temporalidad permanente.
• Temporal.
• Ámbito
• Relaciones.
• Recursos

► Habilidades equipos auditor:
o Conocimiento de las áreas sustantivas de la organización.

o Conocimiento de las áreas adjetivas de la organización.
o Conocimiento de esfuerzos anteriores.
o Conocimiento de casos prácticos.
o Conocimiento derivado de la implementación de estudios
organizacionales de otra naturaleza.
o Conocimiento personal basado en elementos diversos.
o Responsabilidad profesional.

► Normas profesionales del equipos auditor
Objetividad Responsabilidad Integridad Confidencialidad
Institucionalidad Honestidad Equilibrio Compromiso
Criterio Iniciativa Imparcialidad Creatividad

Clasificación de los controles
Ejemplo de control

Filosofía de controles
Mapa de riesgos
inherentes
La gestión del riesgo en ciberseguridad rompe los modelos

tradicionales de probabilidad e impacto. Las ciberamenazas
responden a matrices asimétricas de baja probabilidad y máximo
impacto (cisnes negros).
Fuente: Deloitte

"Todo el mundo tiene un plan hasta que

recibe el primer guantazo "

Ejecución, Control y Auditoria
► Controles: son acciones y mecanismos definidos para prevenir o

reducir el impacto de los eventos no deseados que ponen en riesgo
a los activos de una organización.

PLANIFICACION AUDITORIA
Aspectos USO CONTROLES
Controles Identificar
Evaluar
Que auditar.
Cuando auditar
Revisar Como auditar
ATRIBUTOS REQUERIMIENTOS. ESENCIAL
Objetivos de control Calidad, Seguridad y confianza: Proporcionalidad entre

Descripción del control Eficacia. riesgo, control y coste
Frecuencia del control Eficiencia.
Ejecucción Confidencialidad.
Monitorización Integridad. REGLA DE ORO
Disponibilidad.
Confiabilidad
¿Qué debemos hacer con los controles?
Identificar Revisar
Evaluar

¿Planificación de una auditoría?
Qué auditar
o Cumplimiento de requerimientos legales.
o Sensibilidad de la organización a determinados riesgos o resultado de
análisis de riesgos.
o Resultado de auditorías anteriores.
Cuándo auditar
o Priorizar las actuaciones detectadas y ajustando el alcance a los recursos
disponibles y las demandas de la dirección.
o Elaborar el documento de planificación periódica de la unidad de auditoría.
o Revisión periódica del plan inicial para incorporar actuaciones no previstas.
Cómo auditar
o Proceso de para planificar las actuaciones individuales.

Requerimientos
EFICACIA: La EFICIENCIA: CONFIDENCIALIDAD:

información recogida
La información debe La información y su
debe ser relevante y
proporcionarse con la cadena de custodia
pertinente para el
utilización óptima de debe estar protegida
proceso de auditoria,
recursos (más frente a la divulgación
siendo esta
productiva y no autorizada.
suministrada de
económica).
manera oportuna,
correcta y consistente.
INTEGRIDAD: CONFIABILIDAD:
La información debe Se debe proveer la
ser precisa, suficiente información apropiada
y válida conforme a los para poder realizar un
valores y expectativas informe objetivo.
de negocio y la
legislación vigente.

Descripción detallada
1 Objetivo de control 2
del control.
Clasificación por Frecuencia del

3
Atributos control
Monitorización
5 4 Operación

ESENCIAL (regla de oro)
La aplicación de los controles hasta ahora descritos deben estudiarse teniendo en cuenta que su
coste no exceda el coste que supondría asumir el propio riesgo.

NATURALEZA
Clasificación CLASIFICACIÓN GENERAL
Controles Voluntarios
Obligatorios
Preventivos
Detectivos
Manuales Correctivos
Automáticos Alternativos o
Generales compensatorios
De aplicación
APLICABILIDAD COMPORTAMIENTO Generales
Físicos u operacionales Defensivo Organización y operación

Lógicos o técnicos Salvaguardas Desarrollo de sistemas y
Administrativos o de gestión Contramedidas documentación
Ofensivos Hardware y software
Pasivos
Activos

Clasificación General
Voluntarios Obligatorios. Manuales
Automáticos. Generales De aplicación

Clasificación General
Voluntarios: cuando la organización los diseña con el fin de mejorar los

procesos.
Obligatorios: si son impuestos por autoridades externas o reguladoras.
Manuales: cuando son ejecutados por personas.
Automáticos: si son llevados a cabo a través de sistemas de
información automatizados.
Generales: cuando van dirigidos al entorno donde operan otros
controles.
De aplicación: cuando operan integrados en el software.

Preventivos
Alternativos
o Naturaleza Detectivos
compensatorios
Correctivos

Clasificación por su naturaleza
Preventivos: Actúan sobre la causa de los riesgos con el fin de disminuir su

probabilidad de ocurrencia. Es decir, pueden eliminar la vulnerabilidad de un activo (lo
que lo hace inseguro) o la amenaza del activo (el elemento de riesgo).
Detectivos: Los controles detectivos constituyen la segunda barrera de seguridad y
pueden informar y registrar la ocurrencia de los hechos no deseados, accionar alarmas,
bloquear la operación de un sistema, monitorizarlo de forma más exhaustiva, dejarlo en
cuarentena o alertar a las autoridades.
Correctivos: Estos controles actúan una vez detectado el evento y permiten el
restablecimiento de la actividad normal después de ser detectado el evento no deseable
y la modificación de las acciones que propiciaron su ocurrencia, es decir, la eliminación
de la causa para evitar futuras ocurrencias de dicho evento.
Alternativos o compensatorios: Estos controles están basados en la revisión y
comparación de las salidas del ordenador contra los documentos originales.

Físicos
Lógicos
Gestión
Aplicabilidad

C o mp o rtamie nto
D efen sivo s O fe n s ivo s
1 Salvaguardas 1 Pasivos
2 Contramedidas 2 Activos

► Generales
Hardware y
software
Desarrollo de
sistemas y
doc.
Organización
y operación

Acceso a datos y programas

Solicitar la política de seguridad para verificar su
I.A.1 Política de seguridad existencia, actualización y mecanismos de divulgación de
esta.
Concienciación de Revisar los mecanismos utilizados para concienciar a los
I.A.2
usuarios usuarios en materia de seguridad.
Independencia de la Verificar si las funciones de seguridad TI están segregadas
I.A.3
función de seguridad de las áreas de operaciones y desarrollo.
Revisar situación de la sociedad frente a la LOPD: ficheros
Cumplimiento
I.A.4 declarados, existencia de documento de seguridad,
normativo: LOPD
auditoría bienal.

► Proceso de controles
Controles correctivos
Entrada PROCESO Salida
Controles preventivos Controles detectivos

Controles de aplicación
Podemos definir un control de aplicación como las actividades manuales y
automatizadas que aseguran que la información y los Sistemas de
Información, que la generan o procesan, cumplen con ciertos criterios o
requerimientos del negocio (COBIT):
Requerimientos
• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Confiabilidad

Requerimientos
EFICACIA: La información recogida debe ser relevante y pertinente para el

proceso de auditoria, siendo esta suministrada de manera oportuna, orrecta y
consistente.
EFICIENCIA: La información debe proporcionarse con la utilización óptima de
recursos (más productiva y económica).
CONFIDENCIALIDAD: La información y su cadena de custodia debe estar
protegida frente a la divulgación no autorizada.
INTEGRIDAD: La información debe ser precisa, suficiente y válida conforme a los
valores y expectativas de negocio y la legislación vigente.
CONFIABILIDAD: Se debe proveer la información apropiada para poder realizar
un informe objetivo.

Las aplicaciones deben incorporar controles que garanticen la entrada,

actualización, validez y mantenimiento completos y exactos de la
información.
Controles Aplicaciones
Entrada de datos.
Tratamiento de datos.
Salida de datos.
Excel de controles de aplicaciones

Controles por área
► Son los controles que cubren las áreas funcionales ya definidas para un CPD, es
decir controles que pudieran ser específicos no de un sistema o aplicación o

generales a la organización, sino particulares de una de las áreas funcionales del
CPD.
Controles de productos informáticos

► Son controles que debe tener un producto informático comercial, de forma que
cumpla con la definición de Control Interno Informático de la organización.
Controles por motivos legales.

► Requieren de ayuda por parte de un auditor legal. En el sector tecnológico las
Leyes de Propiedad Intelectual (LPI), de Protección de Datos (LOPD), de

Servicios de Sociedad de Información y Comercio Electrónico (LSSICE), etc.
Deben existir controles para garantizar su cumplimiento.

Ejemplo Controles generales. Ejemplo consultora generalista ITGC
Acceso a Datos y Programas
I.A.1 Política de Seguridad Solicitar la política de seguridad para verificar su existencia, actualización y mecanismos de divulgación de la misma.
I.A.2 Concienciación de usuarios Revisar los mecanismos utilizados para concienciar a los usuarios en materia de seguridad
I.A.3 Independencia de la Función de Seguridad Verificar si las funciones de seguridad TI están segregadas de las áreas de operaciones y desarrollo.
I.A.4 Cumplimiento Normativo: LOPD Revisar situación de la sociedad frente a la LOPD: Ficheros declarados, existencia de documento de seguridad, auditoría bienal.
I.B.1 Procedimiento de acceso al CPD/ de Solicitar política o procedimientos de seguridad física y de acceso al CPD
medidas de seguridad física
I.B.2 Seguridad Perimetral y controles de acceso Revisar las medidas de seguridad perimetral y los mecanismos de control de acceso al CPD
al CPD
I.B.3 Medidas Medioamientales del CPD Revisar los mecanismos para garantizar la seguridad frente a amenazas de tipo medioambiental: Fuego, inundaciones, cortes de
suministro eléctrico, sobrecalentamiento servidores, etc.
I.C.1 Procedimiento de ABM de usuarios Solicitar el procedimiento de ABM para cada aplicación/sistema auditado. Tomar evidencias con las últimas ABM para verificar el ciclo
de solicitud, aprobación y entrega de contraseñas (garantizar confidencialidad). Que se tenga establecida la obligatoriedad de cambio
en primer login.
I.C.2 Revisión periódica de usuarios, perfiles y Verificar si existe un procedimiento establecido para la revisión periódica de los usuarios, perfiles y niveles de acceso. Tomar
niveles de acceso evidencias de los registros de las últimas revisiones realizadas. Cruzar usuarios dados de baja en el periodo y usuarios que han
cambiado de departamento con los usuarios activos.
I.C.3 Control de acceso Revisar cómo se establecen los niveles de acceso (perfiles) a la aplicacíon, a directorios y a recursos de red relevantes
I.D.1 Asignación usuarios no genéricos Verificar procedimiento de asignación de usuarios (identificación y autenticación), revisar listado de usuarios del sistema/aplicación.
(nominales)
I.D.2 Configuración contraseñas Verificar política o norma que establezca las características de las contraseñas, revisar si se tiene implantada en el sistema/aplicación.
Caducidad, número de caracteres, complejidad, bloqueo tras intentos fallidos, etc.
I.E.1 Monitorización: Logs de auditoría Revisar los mecanismos implantados para monitorizar las acciones relevantes (operación y seguridad) llevadas a cabo por los usuarios
en la aplicación/sistema.
I.F.1 Usuarios administradores Revisar procedimiento. Revisar listado de usuarios y perfiles y verificar que los usuarios privilegiados son los adecuados (que sólo
IT/seguridad tiene privilegios).
I.F.2 Monitorización de acciones Revisar procedimientos y mecanismos implantados para monitorizar a los administradores.
de usuarios administradores
Desarrollo
III.A.1 Metodología Desarrollo Revisar si se sigue una metología de desarrollo. Revisar si ésta obliga a tener aprobaciones de negocio, aprobaciones de IT, etc. cuando
se realizan nuevos desarrollos/adquisiciones y que especifique la realización de documentos de presupuesto, requisitos, diseño
funcional y técnico, pruebas, etc.

Ejemplo Controles generales. Ejemplo consultora generalista ITGC
Cambios a programas
II.A.1 Procedimiento de gestión de cambios. Revisar el procedimiento seguido para gestionar los cambios a programas y si el mismo está documentado. Verificar que está establecido quien debe realizar
las solicitudes y quien debe realizar aprobaciones (IT/Negocio), que se deben realizar pruebas previas a la implantación.
II.A.2 Registro de cambios. Revisar el procedimento que se sigue para registrar los cambios a programas (aplicaciones), y si existe una herramienta o mecanismo en el que queden
registrados los cambios que se realizan en producción.
II.A.3 Autorización de los cambios por el área Revisar listado de cambios realizados sobre el programa (aplicación) y verificar que los mismos tienen la autorización de un responsable de negocio, (y
de negocio también de sistemas en aquellos casos que lo requieran).
II.A.4 Realización de pruebas de Sistemas Revisar que se han realizado pruebas de sistemas para aquellos cambios a programa que lo requieran.
II.A.5 Realización de pruebas de Aceptación Revisar que se han realizado pruebas de aceptación de usuario. La realización y aceptación de las mismas sólo puede ser otorgada por el área usuaria.
II.A.6 Separación de Entornos de pruebas y Verificar que existen entornos de preproducción y desarrollo separados del entorno productivo.
producción
II.B.1 Restricción de acceso al entorno de Verificar que se tiene establecido que los desarrolladores no acceden a producción. Verificar listado de usuarios y perfiles.
producción.
II.D.1 Cambios de emergencia. Revisar procedimiento de solicitud y uso del usuario de emergencias de la aplicación. Verficar que el uso del mismo ha sido autorizado por el negocio. Verificar
que se han documentado (registrado) los cambios de emergencia.
Operaciones
IV.A.1 Planificación de tareas Revisar que exista un planificador de tareas para controlar las tareas programadas (jobs del sistema, procesos batch, interfases, etc.).
Registro y revisión de tareas Revisar que el planificador deje registro de las tareas (log de si se ejecutan correctamente) y disponga de un sistema de alertas que avise cuando se produzcan
IV.A.2 ejecutadas errores, restrasos en la ejecucución de los procesos. Revisar que estas anomalías son identificadas y tratadas.
Procedimiento de Backup Reviar el procedimiento seguido para realizar las copias de seguridad. Que el mismo cubra los datos críticos (contabilidad o proceso concreto auditado). Las
IV.B.1 copias deben estar planificadas y alertar en caso de fallo. Se revisará la configuración y los logs de copia de un periodo.
Pruebas de Recuperación Revisar la existencia de un procedimiento de pruebas de recuperación de las copias de seguridad. Que las pruebas estén planificadas periódicamente y que se
IV.B.2 deje registro de las pruebas realizadas.
IV.B.3 Gestión de soportes Revisar la seguridad en la gestión de soportes: Almacenamiento y controles de acceso físico.
Plan de Continuidad de Negocio y Plan Existencia
IV.B.4 de Recuperación de Desastres
IV.B.5 Sistemas Antivirus, Antispam… Actualizado. Actualizaciones automáticas planificadas.
Procedimiento de Gestión de Existencia. Priorización de incidencias (tiempos resolución), categorización, escalado. Investigación de problemas (incidencias repetitivas), documentación de
IV.C.1 Incidencias y problemas la causa raíz y error, investigación de soluciones.

Ejemplo ISO 27001. Declaración de aplicabilidad
OBJETIVOS DE CONTROL Y CONTROLES Marco de control Aplica Justificación Documento Medición del control Observaciones/ Evidencias
A.5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

A.5.1. Directrices de gestión de la seguridad de la información
Objetivo: Proporcionar orientación y apoyo a la gestión de seguridad de la información de acuerdo con los requisitos del negocio, las leyes y normas pertinentes
A.5.1.1 Un conjunto de políticas para la seguridad de la información debe ser definido, aprobado
por la dirección, publicado y comunicado a los empleados y partes relevantes
A.5.1.2 Las políticas de seguridad de la información deben revisarse a intervalos planificados o

siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad,
adecuación y eficacia.
A.6. ORGANIZACIÓN DE LA SEGURIDA DE LA INFORMACIÓN
A.6.1. Organización interna
Objetivo: Establecer un marco de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización
A.6.1.1 Todas las responsabilidades en seguridad de la información deben ser definidas y
asignadas
A.6.1.2 Las funciones y áreas de responsabilidad deben segregarse para reducir la posibilidad de
que se produzcan modificaciones no autorizadas o no intencionadas o usos indebidos de los
activos de la organización.
A.6.1.3 Deben mantenerse los contactos apropiados con las autoridades pertinentes
A.6.1.4 Deben mantenerse los contactos apropiados con grupos de interés especial, u otros foros y
asociaciones profesionales especializados en seguridad.
A.6.1.5 La seguridad de la información debe tratarse dentro de la gestión de proyectos,
independientemente de la naturaleza del proyecto.
A.6.2 Los dispositivos móviles y el teletrabajo
Objetivo: Garantizar la seguridad en el teletrabajo y en el uso de dispositivos móviles
A.6.2.1 Se debe adoptar una política y unas medidas de seguridad adecuadas para la protección
contra los riesgos de la utilización de dispositivos móviles.
A.6.2.2 Se debe implementar una política y unas medidas de seguridad adecuadas para proteger la
información accedida, tratada o almacenada en emplazamientos de teletrabajo.
A.7 SEGURIDAD RELATIVA A LOS RECURSOS HUMANOS

A.7.1 Antes del empleo
Objetivo: Para asegurarse de que los empleados y contratistas entiendan sus responsabilidades y son adecuados para las funciones para las que se consideran
A.7.1.1 La comprobación de los antecedentes de todos los candidatos al puesto de trabajo se debe
llevar a cabo de acuerdo con las leyes, normas y códigos éticos que sean de aplicación y debe ser
proporcional a las necesidades del negocio, la clasificación de la información a la que se accede y
los riesgos percibidos.
A.7.1.2 Como parte de sus obligaciones contractuales, los empleados y contratistas deben
establecer los ´términos y condiciones de su contrato de trabajo en lo que respecta a la seguridad
de la información, tanto hacia el empleado como hacia la organización.
A.7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas conozcan y cumplan con sus responsabilidades en seguridad de la información
A.7.2.1 La dirección debe exigir a los empleados y contratistas, que apliquen la seguridad de la
información de acuerdo con las políticas y procedimientos establecidos en la organización.
ISO 27001, anexo A. Biblioteca UNIR

Ejemplo de modelos de control – Cybersecurity framework NIST - CSF
• Nació para ayudar a las organizaciones a gestionar los riesgos

de ciberseguridad en las infraestructuras críticas de la nación
estadounidense
https://www.nist.gov/cyberframework
Ejemplo de modelos de control – Cybersecurity framework NIST - CSF

Ejemplo de modelos de control – COBIT 5
https://www.isaca.org/
Ejemplo de modelos de control – COSO
Evaluación 06 La organización especifica objetivos con

de Riesgos suficiente claridad para permitir la identificación y
valoración de los riesgos relacionados a los
objetivos.
07 La organización identificar os riesgos sobre el
cumplimiento de los objetivos a través de la
entidad y analiza los riesgos para determinar
cómo esos riesgos deben de administrarse.
08 La organización considera la posibilidad de
fraude en la evaluación de riesgos para el logro
de los objetivos.
09. La organización identifica y evalúa cambios

que pueden impactar significativamente al
sistema de control interno.

Ejemplo de modelos de control – ENS

Ejemplo de modelos de control – CIS

• Control 1: Inventario de dispositivos autorizados y no

autorizados.
• Control 2: Inventario de software autorizado y no autorizado.
– Gestión activa (inventariar, rastrear y corregir) de:
• El acceso que se concede a los dispositivos.
• La instalación y ejecución de software.
– Impacto muy elevado sobre la mitigación de riesgos.

• Control 3: Bastionado del hardware y software de los
ordenadores portátiles, estaciones de trabajo y servidores.
– Establecimiento y gestión activa (inventariar, rastrear y corregir) de la
configuración de seguridad de portátiles, servidores y estaciones de trabajo.
– Muchas vulnerabilidades surgen de configuraciones inadecuadas de seguridad.
• Especialmente peligrosas las configuraciones por defecto en muchos productos.
– Diversas actividades.
• Establecimiento de configuración.
• Administración remota.
• Monitorización de las configuraciones.
• …
– Parámetros de configuración de su entorno de ejecución deben ajustarse de
modo que el software no sea innecesariamente expuesto a amenazas
potenciales, a esta tarea se le denomina “Bastionado”.

CONTROLES
Ejemplo DE
de modelos deCIBERSEGURIDAD
control – CIS
• Control 4: Evaluación continua de vulnerabilidades y su

remediación.
– Adquisición y valoración continua de sistemas para identificar
vulnerabilidades.
– Toma de decisiones en tiempo real para remediarlas.
– El objetivo es minimizar la ventana de oportunidad del atacante.
Fuente: CSC-MASTER 6.0

• Control 4: Evaluación continua de vulnerabilidades y su

remediación.
Inventario de
activos
Planeación de
Validación
análisis
Ejecución de
Remediación
análisis
Priorización de
vulnerabilidades

• Control 5: Uso controlado de privilegios administrativos.

– Muchos ataques provienen de un mal uso de los privilegios de
administración.
• E.g. Descarga de malware desde un sitio web malicioso.
– Es importante mantener una adecuada gestión de estos privilegios.
• Rastrear.
• Controlar.
• Prevenir.
• Corregir.

• Control 6: Mantenimiento, seguimiento y análisis de registros
de eventos de auditoría de seguridad.
– Los registros (logs) son esenciales para la CIBERSEGURIDAD.
• Es extremadamente difícil reaccionar ante “lo que no se ve”.
• A veces son la única evidencia de un ataque.
• Una configuración deficiente
puede dificultar la protección y defensa.
– Importante controlar todos aquellos
eventos que puedan ayudar a detectar,
entender y/o recuperarse de un ataque.
• Recolección de datos.
• Gestión de esos datos.
• Análisis de esos datos.

• Control 7: Protección de Navegadores Web y Correo

Electrónico.
– El eslabón más débil de la cadena de la CIBERSEGURIDAD es el usuario.
• Los atacantes pueden manipular a los usuarios para facilitar el acceso al sistema.
– Los puntos de entrada más comunes en los ataques a usuarios son los
navegadores web y el correo electrónico.
– Minimizar la “superficie de ataque”.

• Control 8: Defensas contra malware.

– El software malicioso (malware) es una de las amenazas más peligrosas.
• Cada vez más sofisticado (ofuscación, evitación de defensas).
• Rápidamente propagable y cambiante.
• Controlar la instalación, propagación y

difusión de este tipo de código.
• En múltiples puntos de la organización
(defensa en profundidad).
• De manera automatizada y eficiente:
Detección y defensa rápidas y flexibles.

CONTROLES DE CIBERSEGURIDAD
• Control 9: Limitación y control de los puertos, protocolos y
servicios.
– Los atacantes buscan vías de acceso remotas a las redes y sistemas.
• Servidores mal configurados y Protocolos inseguros.
• Gestión adecuada del uso de puertos,

protocolos y servicios en la
organización.
• Rastreo, control y corrección.
• De nuevo, minimizar las ventanas de
oportunidad de los atacantes.

• Control 10: Capacidad de recuperación de datos.
– La mayoría de amenazas (intencionadas o accidentales) implican cambios
significativos en los datos y configuración de los sistemas.
– La capacidad de almacenamiento y recuperación, por tanto, es crítica para la
respuesta a incidentes.

• Control 11: Configuraciones seguras para los Dispositivos

de red, firewalls, routers y switches.
– La configuración de los dispositivos de red es crítica para la seguridad.
• Firewalls: acceso no autorizado a la red de la organización.
• Routers: redirección / descarte de tráfico.
• Switches: captura de información (sniffing).
– Gestión rigurosa de la configuración de estos dispositivos.
• No confiar en la configuración
por defecto.

• Control 12: Defensa de los límites de la red.

– También llamado seguridad perimetral.
• Los atacantes se centran en máquinas “accesibles”.
• Tras ganar acceso a una máquina, pueden intentar “profundizar” en la red de la
organización ataque/defensa en profundidad.
– Control sobre el flujo de información entre redes de diferentes niveles de
seguridad/confianza.
– Veremos diferentes mecanismos más adelante
Firewalls, IDSs…

• Control 13: Protección de datos

– Relacionado con los anteriores (CSC-10, CSC-12).
– Prevención de fuga de datos: prevenir la exposición de información sensible
a partes no autorizadas.
– Aseguramiento de la integridad de la información sensible.
– Técnicas: cifrado, DLP…

• Control 14: Acceso controlado, basado en la necesidad de

conocer (need to know).
– ¿Qué personas/ordenadores/aplicaciones necesitan tener acceso a
información/sistemas/recursos que sean críticos para la organización?
– Control, prevención y corrección del acceso a dichos activos críticos.

• Control 15: Control de dispositivos inalámbricos.

– La interfaz inalámbrica es una vía de entrada cada vez más habitual para los
atacantes.
• Acceso inalámbrico desde fuera de los edificios.
• Ataque a dispositivos de la organización cuando están fuera de ella.
– Móviles, portátiles…
– Mucho más difícil de controlar.

• Control 16: Monitorización y control de cuentas de usuarios.

• Creación, uso, suspensión y/o borrado.

• Control 17: Formación de seguridad.

– ¿Recordáis lo del eslabón más débil?
– Las personas son una pieza crítica en la defensa
• Programadores, administradores de sistemas, gestores…
– Para todos ellos (y en especial los más críticos).

• Identificar los conocimientos que necesitan.
• Diseñar y ejecutar un plan de formación.

• Control 18: Seguridad de las aplicaciones software.

– Probablemente el segundo eslabón más débil.
• Muchos ataques explotan fallos (bugs) en software.
• Hablaremos de ello la semana que viene.
– Gestionar la seguridad en todo el “ciclo de vida” del software, tanto
desarrollado como adquirido.
• Políticas de parcheo/actualización.
• Auditoría de vulnerabilidades.
• Practicas de seguridad durante
todo su ciclo de vida de desarrollo.

• Control 19: Capacidad de respuesta a incidentes.

– No se trata de “si” seremos atacados, sino más bien de “cuándo” seremos
atacados.
• Y sobre todo, de qué haremos entonces.
– Desarrollar e implementar una infraestructura de respuesta.
• Planes de contingencia.
• Roles bien definidos.
• Simulacros.
– Proteger tanto la información
como la reputación.

• Control 20: Pruebas de penetración y ejercicios.

– Aun planificándolo y controlándolo todo pueden quedar “huecos”.
– Los test de penetración permiten detectar esos huecos (para luego
solucionarlos).
– Diversos tipos y estrategias.
• Desde fuera de la
organización o desde
la red interna.
• Por personal interno
o expertos
independientes.

Ejemplo de modelos de control – Similitudes.
Todos poseen el mismo fin, identificar riesgos, fraudes, vulnerabilidades,

impactos,…, Todos sirven para todas las empresas, siempre bajo una
adecuación a la casuística y naturaleza de la organización.
Recomendación:
► Comprender la compañía.
► Entender la problemática.
► Realizar un modelo de control adecuado a estos parámetros anteriores.
► Revisar con rigurosidad pero con proporcionalidad.
► Utilizar el sentido común.

Ejemplo de estándares de auditoria
► COSO. Committee of Sponsoring Organizations of the Treadway Commission.

► COBIT. IS Audit and Control Association (ISACA) and IT Governance Institute (ITGI).
► American Institute of Certified Public Accountants (AICPA).
► International Federation of Accountants (IFAC).
► Financial Accounting Standards Board (FASB) with Statement on Auditing Standards (SAS).
► Generally Accepted Accounting Principles (GAAP).
► Public Company Accounting Oversight Board (PCAOB) of the Securities and Exchange
► Commission, audit standards AS-1, AS-2, AS-3, AS-4, and AS-5.
► Sarbanes-Oxley, including the international implementation by the Japanese government and
► European Union (US-SOX, J-SOX and E-SOX).
► Organization for Economic Cooperation and Development (OECD).
► International Organization for Standardization (ISO).
► U.S. National Institute of Standards and Technology (NIST).
► U.S. Federal Information Security Management Act (FISMA).
► Basel Accord Standard II (Basel II), governing risk reduction in banking.

¿PREGUNTAS?
www.unir.net

Auditoria de La Seguridad Semana 3-4 Tema 2 v3

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria de La Seguridad Semana 3-4 Tema 2 v3

Cargado por

Copyright:

Formatos disponibles

Auditorias de seguridad

Javier Bermejo Higuera

Gobierno y gestión de la función de auditoría

Para estudiar este tema:

Lee los apuntes sobre “Gobierno y gestión de la función de

TEMA 2.- Controles internos de los Sistemas de Información 2

TEMA 2.- Controles internos de los Sistemas de Información 3

TEMA 2.- Controles internos de los Sistemas de Información 4

1. Definir y explicar los conceptos relacionados con la gestión de

TEMA 2.- Controles internos de los Sistemas de Información 5

TEMA 2.- Controles internos de los Sistemas de Información 6

Proceso de recolección y evaluación de evidencias para determinar

TEMA 2.- Controles internos de los Sistemas de Información 7

Ron Weber: proceso de recoger, agrupar y evaluar evidencias

TEMA 2.- Controles internos de los Sistemas de Información 8

“Cuando realizamos una auditoria, siempre tenemos

► ¿Por qué son importantes las auditorías de seguridad de sistemas de

Dependencia creciente de las TIC

Creciente vulnerabilidad y un amplio

El coste de las actuales y futuras

El potencial de cambio de las

Dar soporte a la consecución de los objetivos de negocio.

TEMA 2.- Controles internos de los Sistemas de Información 10

TEMA 2.- Controles internos de los Sistemas de Información 11

cumplirán los objetivos, mientras se preserva la independencia y

respecto a la eficiente gestión de TI y al logro de los objetivos del

TEMA 2.- Controles internos de los Sistemas de Información 12

► Ubicación Departamento de Auditoría.

TEMA 2.- Controles internos de los Sistemas de Información 13

Investigación Revisión del Revisión constante

Revisión constante Estudio constante

TEMA 2.- Controles internos de los Sistemas de Información 14

TEMA 2.- Controles internos de los Sistemas de Información 15

TEMA 2.- Controles internos de los Sistemas de Información 16

o Conocimiento de las áreas sustantivas de la organización.

TEMA 2.- Controles internos de los Sistemas de Información 17

Objetividad Responsabilidad Integridad Confidencialidad

Institucionalidad Honestidad Equilibrio Compromiso

Criterio Iniciativa Imparcialidad Creatividad

TEMA 2.- Controles internos de los Sistemas de Información 18

TEMA 2.- Controles internos de los Sistemas de Información 19

La gestión del riesgo en ciberseguridad rompe los modelos

TEMA 2.- Controles internos de los Sistemas de Información 21

"Todo el mundo tiene un plan hasta que

TEMA 2.- Controles internos de los Sistemas de Información 22

► Controles: son acciones y mecanismos definidos para prevenir o

TEMA 2.- Controles internos de los Sistemas de Información 23

ATRIBUTOS REQUERIMIENTOS. ESENCIAL

Objetivos de control Calidad, Seguridad y confianza: Proporcionalidad entre

¿Qué debemos hacer con los controles?

TEMA 2.- Controles internos de los Sistemas de Información 25

¿Planificación de una auditoría?

TEMA 2.- Controles internos de los Sistemas de Información 26

EFICACIA: La EFICIENCIA: CONFIDENCIALIDAD:

TEMA 2.- Controles internos de los Sistemas de Información 27

Clasificación por Frecuencia del

TEMA 2.- Controles internos de los Sistemas de Información 28

TEMA 2.- Controles internos de los Sistemas de Información 29

APLICABILIDAD COMPORTAMIENTO Generales

Físicos u operacionales Defensivo Organización y operación

TEMA 2.- Controles internos de los Sistemas de Información 30

Voluntarios Obligatorios. Manuales

Automáticos. Generales De aplicación

TEMA 2.- Controles internos de los Sistemas de Información 31