Documentos de Académico
Documentos de Profesional
Documentos de Cultura
► Introducción y objetivos
► Gestión de la función de auditoría
► Clasificación de los controles de los Sistemas de Información:
o Controles generales
o Controles de aplicación
o Controles por área
o Controles de productos informáticos
o Controles por motivos legales
► La regla de oro
Samsung Apple
https://www.youtube.com/watch?v=AaWIVTIVH2 https://www.youtube.com/watch?v=XW6UHWfdfF
M&feature=youtu.be 8
¿Qué es la auditoría?
► Auditoría informática
Marco
Metodológico.
Alcance de la Metodologías,
Auditoría. técnicas,
recursos, etc.
Identificación
de los puntos
de control
Plan de
Auditoría.
Identificación
Objetivos de
Control
Marco de Trabajo
Punto de Control
Punto1 de Control 2
• Puntos de•revisión. Punto de Control 13
Puntos de revisión.
• Herramientas.
• •
Herramientas.Puntos de revisión.
• Momento.• Momento.• Herramientas.
• Momento.
Analizar la eficiencia
Estudio de las
de la utilización de
políticas y sus
recursos humanos y
prácticas.
materiales.
Alta gerencia
Auditoría interna
► Responsabilidades:
Empleados
Director de auditoría.
Gerente de auditoría
Supervisor de auditoría
Encargado de auditoría
Auditor ayudante
Auditor principiante
•
Estructura de
auditoría interna
Actividad programática.
• Rutinaria.
• Eventual.
• Temporalidad permanente.
• Temporal.
• Ámbito
• Relaciones.
• Recursos
Mapa de riesgos
inherentes
Fuente: Deloitte
Controles Identificar
Evaluar
Que auditar.
Cuando auditar
Revisar Como auditar
Identificar Revisar
Evaluar
Qué auditar
o Cumplimiento de requerimientos legales.
o Sensibilidad de la organización a determinados riesgos o resultado de
análisis de riesgos.
o Resultado de auditorías anteriores.
Cuándo auditar
o Priorizar las actuaciones detectadas y ajustando el alcance a los recursos
disponibles y las demandas de la dirección.
o Elaborar el documento de planificación periódica de la unidad de auditoría.
o Revisión periódica del plan inicial para incorporar actuaciones no previstas.
Cómo auditar
o Proceso de para planificar las actuaciones individuales.
Requerimientos
INTEGRIDAD: CONFIABILIDAD:
La información debe Se debe proveer la
ser precisa, suficiente información apropiada
y válida conforme a los para poder realizar un
valores y expectativas informe objetivo.
de negocio y la
legislación vigente.
Descripción detallada
1 Objetivo de control 2
del control.
Monitorización
5 4 Operación
La aplicación de los controles hasta ahora descritos deben estudiarse teniendo en cuenta que su
coste no exceda el coste que supondría asumir el propio riesgo.
Controles Voluntarios
Obligatorios
Preventivos
Detectivos
Manuales Correctivos
Automáticos Alternativos o
Generales compensatorios
De aplicación
Preventivos
Alternativos
o Naturaleza Detectivos
compensatorios
Correctivos
Físicos
Lógicos
Gestión
Aplicabilidad
C o mp o rtamie nto
1 Salvaguardas 1 Pasivos
2 Contramedidas 2 Activos
► Generales
Hardware y
software
Desarrollo de
sistemas y
doc.
Organización
y operación
Controles correctivos
• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Confiabilidad
Requerimientos
Controles Aplicaciones
Entrada de datos.
Tratamiento de datos.
Salida de datos.
Excel de controles de aplicaciones
I.A.3 Independencia de la Función de Seguridad Verificar si las funciones de seguridad TI están segregadas de las áreas de operaciones y desarrollo.
I.A.4 Cumplimiento Normativo: LOPD Revisar situación de la sociedad frente a la LOPD: Ficheros declarados, existencia de documento de seguridad, auditoría bienal.
I.B.1 Procedimiento de acceso al CPD/ de Solicitar política o procedimientos de seguridad física y de acceso al CPD
medidas de seguridad física
I.B.2 Seguridad Perimetral y controles de acceso Revisar las medidas de seguridad perimetral y los mecanismos de control de acceso al CPD
al CPD
I.B.3 Medidas Medioamientales del CPD Revisar los mecanismos para garantizar la seguridad frente a amenazas de tipo medioambiental: Fuego, inundaciones, cortes de
suministro eléctrico, sobrecalentamiento servidores, etc.
I.C.1 Procedimiento de ABM de usuarios Solicitar el procedimiento de ABM para cada aplicación/sistema auditado. Tomar evidencias con las últimas ABM para verificar el ciclo
de solicitud, aprobación y entrega de contraseñas (garantizar confidencialidad). Que se tenga establecida la obligatoriedad de cambio
en primer login.
I.C.2 Revisión periódica de usuarios, perfiles y Verificar si existe un procedimiento establecido para la revisión periódica de los usuarios, perfiles y niveles de acceso. Tomar
niveles de acceso evidencias de los registros de las últimas revisiones realizadas. Cruzar usuarios dados de baja en el periodo y usuarios que han
cambiado de departamento con los usuarios activos.
I.C.3 Control de acceso Revisar cómo se establecen los niveles de acceso (perfiles) a la aplicacíon, a directorios y a recursos de red relevantes
I.D.1 Asignación usuarios no genéricos Verificar procedimiento de asignación de usuarios (identificación y autenticación), revisar listado de usuarios del sistema/aplicación.
(nominales)
I.D.2 Configuración contraseñas Verificar política o norma que establezca las características de las contraseñas, revisar si se tiene implantada en el sistema/aplicación.
Caducidad, número de caracteres, complejidad, bloqueo tras intentos fallidos, etc.
I.E.1 Monitorización: Logs de auditoría Revisar los mecanismos implantados para monitorizar las acciones relevantes (operación y seguridad) llevadas a cabo por los usuarios
en la aplicación/sistema.
I.F.1 Usuarios administradores Revisar procedimiento. Revisar listado de usuarios y perfiles y verificar que los usuarios privilegiados son los adecuados (que sólo
IT/seguridad tiene privilegios).
I.F.2 Monitorización de acciones Revisar procedimientos y mecanismos implantados para monitorizar a los administradores.
de usuarios administradores
Desarrollo
III.A.1 Metodología Desarrollo Revisar si se sigue una metología de desarrollo. Revisar si ésta obliga a tener aprobaciones de negocio, aprobaciones de IT, etc. cuando
se realizan nuevos desarrollos/adquisiciones y que especifique la realización de documentos de presupuesto, requisitos, diseño
funcional y técnico, pruebas, etc.
II.A.6 Separación de Entornos de pruebas y Verificar que existen entornos de preproducción y desarrollo separados del entorno productivo.
producción
II.B.1 Restricción de acceso al entorno de Verificar que se tiene establecido que los desarrolladores no acceden a producción. Verificar listado de usuarios y perfiles.
producción.
II.D.1 Cambios de emergencia. Revisar procedimiento de solicitud y uso del usuario de emergencias de la aplicación. Verficar que el uso del mismo ha sido autorizado por el negocio. Verificar
que se han documentado (registrado) los cambios de emergencia.
Operaciones
IV.A.1 Planificación de tareas Revisar que exista un planificador de tareas para controlar las tareas programadas (jobs del sistema, procesos batch, interfases, etc.).
Registro y revisión de tareas Revisar que el planificador deje registro de las tareas (log de si se ejecutan correctamente) y disponga de un sistema de alertas que avise cuando se produzcan
IV.A.2 ejecutadas errores, restrasos en la ejecucución de los procesos. Revisar que estas anomalías son identificadas y tratadas.
Procedimiento de Backup Reviar el procedimiento seguido para realizar las copias de seguridad. Que el mismo cubra los datos críticos (contabilidad o proceso concreto auditado). Las
IV.B.1 copias deben estar planificadas y alertar en caso de fallo. Se revisará la configuración y los logs de copia de un periodo.
Pruebas de Recuperación Revisar la existencia de un procedimiento de pruebas de recuperación de las copias de seguridad. Que las pruebas estén planificadas periódicamente y que se
IV.B.2 deje registro de las pruebas realizadas.
IV.B.3 Gestión de soportes Revisar la seguridad en la gestión de soportes: Almacenamiento y controles de acceso físico.
Plan de Continuidad de Negocio y Plan Existencia
IV.B.4 de Recuperación de Desastres
IV.B.5 Sistemas Antivirus, Antispam… Actualizado. Actualizaciones automáticas planificadas.
Procedimiento de Gestión de Existencia. Priorización de incidencias (tiempos resolución), categorización, escalado. Investigación de problemas (incidencias repetitivas), documentación de
IV.C.1 Incidencias y problemas la causa raíz y error, investigación de soluciones.
A.5.1.1 Un conjunto de políticas para la seguridad de la información debe ser definido, aprobado
por la dirección, publicado y comunicado a los empleados y partes relevantes
A.6.2.1 Se debe adoptar una política y unas medidas de seguridad adecuadas para la protección
contra los riesgos de la utilización de dispositivos móviles.
A.6.2.2 Se debe implementar una política y unas medidas de seguridad adecuadas para proteger la
información accedida, tratada o almacenada en emplazamientos de teletrabajo.
A.7.1.2 Como parte de sus obligaciones contractuales, los empleados y contratistas deben
establecer los ´términos y condiciones de su contrato de trabajo en lo que respecta a la seguridad
de la información, tanto hacia el empleado como hacia la organización.
A.7.2.1 La dirección debe exigir a los empleados y contratistas, que apliquen la seguridad de la
información de acuerdo con las políticas y procedimientos establecidos en la organización.
https://www.isaca.org/
TEMA 2.- Controles internos de los Sistemas de Información 49
Clasificación de los controles
Ejemplo de modelos de control – COSO
• …
– Parámetros de configuración de su entorno de ejecución deben ajustarse de
modo que el software no sea innecesariamente expuesto a amenazas
potenciales, a esta tarea se le denomina “Bastionado”.
Inventario de
activos
Planeación de
Validación
análisis
Ejecución de
Remediación
análisis
Priorización de
vulnerabilidades
Recomendación:
► Comprender la compañía.
► Entender la problemática.