Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del

Estado.

B. Temas específicos

I. Organización y gestión de los sistemas de información

Tema 36 - Auditoría Informática. Objetivos, alcance y metodología.

Técnicas y herramientas. Normas y estándares.

Página 1 de 16
ÍNDICE

1 Introducción .......................................................................................................................... 3
2 Objetivos, alcance y metodología. .................................................................................... 3
3 Técnicas y herramientas. ................................................................................................... 6
4 Normas y estándares. ......................................................................................................... 7
5 Auditoría informática en la Administración Pública ........................................................... 13

Página 2 de 16
1 Introducción

Auditoría Informática:
 Proceso llevado a cabo por profesionales especialmente capacitados para el efecto.
 Consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de
Información:
o Salvaguarda el activo empresarial.
o Mantiene la integridad de los datos.
o Lleva a cabo eficazmente los fines de la organización.
o Utiliza eficientemente los recursos.
o Cumple con las leyes y regulaciones establecidas.

2 Objetivos, alcance y metodología.

Objetivos de la auditoría:
 Objetivos de protección de activos e integridad de datos.
 Objetivos de gestión que abarcan, además de la protección de activos,
sino también los de eficacia y eficiencia.
 Verificación del cumplimiento de la Normativa en este ámbito
Alcance:
 Expresa los límites de la auditoría.
 Debe existir un acuerdo entre auditores y clientes sobre las funciones,
las materias, y las organizaciones a auditar.
 Expresar las excepciones del alcance de la Auditoría, es decir que
materias, funciones u organizaciones no van a ser auditadas.
 Tanto los alcances como las excepciones deben figurar al comienzo del
informe final.
 Definir con exactitud los objetivos a los que la tarea del auditor debe
llegar.
 Conocer los deseos y pretensiones del cliente de forma que las metas
fijadas puedan ser cumplidas.
Tipos de auditoría:
 Auditoría operacional: Revisión de la operación de una empresa y
juzga la eficiencia de la misma.
 Auditoría administrativa: Organización y eficiencia de la estructura del
personal y los procesos administrativos.

Página 3 de 16
  Auditoría social: Revisión del entorno social en que se ubica y
desarrolla una empresa. Valorar aspectos externos e internos que
interfieren en la productividad de la misma.
Tipos de Auditoría Informática
Dentro de la auditoría informática entre otros destacan los siguientes tipos:
 Auditoría de la gestión: la contratación de bienes y servicios,
documentación de los programas, etc.
 Auditoría legal del Reglamento de Protección de Datos:
Cumplimiento legal de las medidas de seguridad exigidas por el
Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
 Auditoría de los datos: Clasificación de los datos, estudio de las
aplicaciones y análisis de los flujogramas.
 Auditoría de las bases de datos: Controles de acceso, de
actualización, de integridad y calidad de los datos.
 Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
 Auditoría de la seguridad física: Referido a la ubicación de la
organización, evitando ubicaciones de riesgo, y en algunos casos no
revelando la situación física de esta. También está referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
 Auditoría de la seguridad lógica: Comprende los métodos de
autenticación de los sistemas de información.
 Auditoría de las comunicaciones y redes. Se refiere a la auditoría de
los procesos de autenticación en los sistemas de comunicación.
 Auditoría de la seguridad en producción: Frente a errores, accidentes
y fraudes.
 Auditoría Informática de Sistemas: Se ocupa de analizar la actividad
que se conoce como Técnica de Sistemas en todas sus facetas.
 Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:
Evolución del Análisis y Programación de Sistemas y Aplicaciones.
Engloba muchas áreas, tantas como sectores informatizarles que tiene
la empresa.
Metodologías para auditoria informática
- La auditoría informática es una parte fundamental de la Seguridad.
- Permite medir y controlar riesgos informáticos.
- Identificar los riesgos ayuda a implementar de manera preventiva, las
medidas de seguridad. Para facilitar esta actividad, existen diferentes

Página 4 de 16
metodologías que ayudan en el proceso de revisión de riesgos informáticos.
Dos de las más utilizadas son Octave y Magerit.
Octave
- Evaluación que se basa en riesgos y planeación técnica de seguridad
computacional.
- Es un proceso interno de la organización.
- Las personas de la empresa tienen la responsabilidad de establecer la
estrategia de seguridad una vez que se realice dicha evaluación.
- La evaluación se basa en el conocimiento del personal de la empresa para
capturar el estado actual de la seguridad. De esta manera es más fácil
determinar los riesgos críticos.
- A diferencia de las evaluaciones típicas enfocadas en la tecnología, OCTAVE
está dirigida a riesgos organizacionales y está enfocada en temas
estratégicos, es flexible y puede aplicarse a la medida para la mayoría de las
organizaciones.
- En esta revisión es necesario que las empresas manejen el proceso de la
evaluación y tomen las decisiones para proteger la información.
- El equipo de análisis, integrado por personas de los departamentos de TI, de
negocios, etc, lleva a cabo la evaluación, debido a que todas las perspectivas
son cruciales para controlar los riesgos de seguridad computacional.
Magerit - Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información
- Fue desarrollada en España con la finalidad de hacerle frente a los diversos
riesgos relacionados con la seguridad informática.
- MAGERIT es un instrumento para facilitar la implantación y aplicación del
Esquema Nacional de Seguridad proporcionando los principios básicos y
requisitos mínimos para la protección adecuada de la información.
- MAGERIT versión 3 en PAE (Portal de Administración Electrónica):
https://administracionelectronica.gob.es/ctt/magerit#.WgRZFsbibDc
Manual de Pilar y microPilar:
https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/400-guias-
generales.html
- “Las fases que contempla el modelo MAGERIT son:
1. Planificación del Proyecto.- establece el marco general de referencia
para el proyecto.

Página 5 de 16
 2. Análisis de Riesgos.- permite determinar cómo es, cuánto vale y cómo
están protegidos los activos.
3. Gestión de Riesgos.- permite la selección e implantación de
salvaguardas para conocer, prevenir, impedir, reducir o controlar los
riesgos identificados”.
- Al aplicar esta metodología se conocerá el nivel de riesgo actual de los
activos, y por lo tanto se podrá mejorar las aplicaciones de salvaguardas y
se podrá conocer el riesgo reducido o residual.
- Se ha desarrollado software como Pilar basado en la metodología de Magerit.
3 Técnicas y herramientas.
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:
Pruebas sustantivas:

 Verifican el grado de confiabilidad del SI del organismo.

 Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones.
 Verifican asimismo la exactitud, integridad y validez de la información.
Pruebas de cumplimiento:
 Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra.
 Proporciona evidencias de que los controles claves existen y que son aplicables
efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
 Observación
 Realización de cuestionarios:
o herramienta punto de partida que permiten obtener información y
documentación de todo el proceso de una organización.
 Entrevistas a auditados y no auditados
o El auditor llega a obtener información más específica que la obtenida
mediante cuestionarios, utilizando el método del interrogatorio, con
preguntas variadas y sencillas, pero que han sido convenientemente
elaboradas
 Listas de chequeo (Check List):
o Conjunto de preguntas respondidas en la mayoría de las veces oralmente.
o Destinados principalmente a personal técnico.

Página 6 de 16
 o Deben ser realizadas en un orden determinado, muy sistematizadas,
coherentes y clasificadas por materias, permitiendo que el auditado responda
claramente.
o Existen dos tipos de filosofía en la generación de checklists:
 De rango:
 Las preguntas han de ser puntuadas en un rango establecido
(por ejemplo de 1 a 5, siendo 1 la respuesta más negativa y 5
la más positiva)
 Permite una mayor precisión en la evaluación, aunque
depende, del equipo auditor
 Binaria:
 Las respuestas sólo tienen dos valores Si o No.
 Con una elaboración más compleja, deben ser más precisos
o No existen checklists estándares, cada organización y su auditoría tienen sus
peculiaridades.
 Trazas:
o Se basa en el uso de software, que permiten conocer todos los pasos seguidos
por la información, sin interferir el sistema.
o Además del uso de las trazas, el auditor utilizará, los ficheros que el propio
sistema genera y que recoge todas las actividades que se realizan y la
modificación de los datos (logs). El log almacena toda aquella información que
ha ido cambiando y como ha ido cambiando, de forma cronológica.
 Software de interrogación: En los últimos años se ha utilizado el software de
interrogación: para auditar ficheros y bases de datos de la organización.
 Muestreo estadístico
 Flujogramas
 Mapas conceptuales

4 Normas y estándares.
NORMAS GENERALES DE LA AUDITORÍA DE SISTEMAS
o La Asociación de Auditoría y Control de Sistemas de Información (Information
Systems Audit andControl Association®, ISACA®) ha determinado unas Normas
Generales para la Auditoría de los Sistemas de Información.
o Definición de Auditoría de los sistemas de información: cualquier auditoría que abarca
la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la información, incluidos los

Página 7 de 16
 procedimientos no automáticos relacionados con ellos y las interfaces
correspondientes.
o Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de
Información son aplicables al trabajo de auditoría realizado por miembros de la
Asociación de Auditoría y Control de Sistemas de Información y por las personas que
han recibido la designación de Auditor Certificado de Sistemas de Información.
o Objetivo de estas normas: Informar a los auditores del nivel mínimo de rendimiento
aceptable para satisfacer las responsabilidades profesionales establecidas en el Código
de Ética y de informar a la gerencia y a otras partes interesadas de las expectativas de
la profesión con respecto al trabajo de aquellos que la ejercen.
o NORMAS GENERALES PARA LOS SISTEMAS DE AUDITORÍA DE LA INFORMACIÓN:
 Título de auditoría: La responsabilidad, la autoridad y el rendimiento de cuentas
abarcados por la función de auditoría de los sistemas de información se
documentarán de la manera apropiada en un título de auditoría o carta de
contratación.
 Independencia:
o Independencia profesional En todas las cuestiones relacionadas con la
auditoría, el auditor de sistemas de información deberá ser
independiente de la organización auditada tanto en actitud como en
apariencia.
o Relación organizativa: La función de auditoría de los sistemas de
información deberá ser lo suficientemente independiente del área que se
está auditando para permitir completar de manera objetiva la auditoría.
 Ética y normas profesionales:
o Código de Ética Profesional El auditor de sistemas de información deberá
acatar el Código de Ética Profesional de la Asociación de Auditoría y
Control de Sistemas de Información.
 Idoneidad:
o Habilidades y conocimientos El auditor de sistemas de información debe
ser técnicamente idóneo, y tener las habilidades y los conocimientos
necesarios para realizar el trabajo como auditor.
o Educación profesional continua: El auditor de sistemas de información
deberá mantener la idoneidad técnica por medio de la educación
profesional continua correspondiente.
 Planificación:
o Planificación de la auditoría El auditor de sistemas de información deberá
planificar el trabajo de auditoría de los sistemas de información para

Página 8 de 16
 satisfacer los objetivos de la auditoría y para cumplir con las normas
aplicables de auditoría profesional.
 Ejecución del trabajo de auditoría:
o Supervisión El personal de auditoría de los sistemas de información debe
recibir la supervisión apropiada para proporcionar la garantía de que se
cumpla con los objetivos de la auditoría y que se satisfagan las normas
aplicables de auditoría profesional.
o Evidencia: Durante el transcurso de una auditoría, el auditor de sistemas
de información deberá obtener evidencia suficiente, confiable, relevante y
útil para lograr de manera eficaz los objetivos de la auditoría. Los
hallazgos y conclusiones de la auditoría se deberán apoyar por medio de
un análisis e interpretación apropiados de dicha evidencia.
 Informes:
o y formato de los informes En el momento de completar el trabajo de
auditoría, el auditor de sistemas de información deberá proporcionar un
informe, de formato apropiado, a los destinatarios en cuestión. El informe
de auditoría deberá enunciar el alcance, los objetivos, el período de
cobertura y la naturaleza y amplitud del trabajo de auditoría realizado.
 Actividades de seguimiento:
o Seguimiento El auditor de sistemas de información deberá solicitar y
evaluar la información apropiada con respecto a hallazgos, conclusiones y
recomendaciones relevantes anteriores para determinar si se han
implementado las acciones apropiadas de manera oportuna
ORGANISMOS Y ESTÁNDARES INTERNACIONALES DE LA AUDITORÍA DE SISTEMAS
- Los organismos internacionales que se ocupan del control y de la auditoria de SI son fuente
de estándares:

 Institute of System and Association, ISACA. La Information System Audit and Control
Associtaion (Asociación de Auditoria y Control de Sistemas de Información- ISACA).
Comenzó en 1967.
Certified Information Security Auditor, CISA.
o La Asociación de Auditores y Control de Sistemas de Información (ISACA),
provee una Certificación de Auditores en Sistemas de Información (CISA);
o Examen anual que realiza el Instituto a los candidatos: cubre el conocimiento
de actividades requeridas para la función de Auditoria en TI, para lo cual
presenta un Manual de Información Técnica para la preparación de los
Candidatos.

Página 9 de 16
 Certified Information Security Manager, CISM
o También ISACA provee la Certificación para la Administración de la Seguridad
de la Información del cual intenta garantizar que existan administradores de
seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo
y proteger a la organización.
 Institute of Internal Auditors, IIA
o Organización Profesional con sede en los Estados Unidos, con más de 70.000
miembros en todo el mundo y años de existencia-
o Anualmente organiza su Conferencia Internacional, la que habitualmente
congrega a más de un millar de auditores de todos los continentes.
o El IIA es reconocido mundialmente como una autoridad, pues es el principal
educador y líder en la certificación, la investigación y la guía tecnológica en la
profesión de la auditoria interna.
Certified Internal Auditor, CIA
o El IIA cuenta con su propia Certificación de Auditores Internos CIA.
o Contar con profesionales certificados en auditoria interna, para la organización
significa contar con un valioso recurso para la dirección y el consejo de
administración, que ayuda a garantizar el avance en la dirección correcta para
el logro de sus metas y objetivos.
ESTÁNDARES DE AUDITORÍA DE SISTEMAS
o Definen los requerimientos obligatorios para la auditoría y la generación de informes.
o Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas
prácticas sugeridas.
o Objetivo de los Estándares de Auditoría, informar:
 A los auditores de sistemas el mínimo nivel aceptado para resolver las
responsabilidades profesionales del código de ética profesional de ISACA para
auditores de sistemas de información.
 A las gerencias y otras partes interesadas sobre las expectativas de la profesión
concernientes a quienes la practican. Proveer información sobre el cómo cumplir
con los estándares de la Auditoría de Sistemas.
Estándares generales que guían el desarrollo de proyectos de SI:
 Directrices Gerenciales de COBIT, desarrollado por la Información Sistemas Auditoria y
Control Asociación (ISACA):
o Marco internacional de referencias que abordan las mejores prácticas de
auditoría y control de sistemas de información.

Página 10 de 16
 o Permiten que la gerencia incluya, comprenda y administre los riesgos
relacionados con la tecnología de información y establezca el enlace entre los
procesos de administración, aspectos técnicos, la necesidad de controles y los
riesgos asociados.
 The Management of the Control of data Information Technology, desarrollado por el
Instituto Canadiense de Contadores Certificados (CICA):
o Modelo basado en el concepto de roles y establece responsabilidades
relacionadas con seguridad y los controles correspondientes.
o Los roles están clasificados con base en siete grupos: administración general,
gerentes de sistemas, dueños, agentes, usuarios de sistemas de información,
así como proveedores de servicios, desarrollo y operaciones de servicios y
soporte de sistemas.
 Estándares de administración de calidad y aseguramiento de calidad ISO 9000,
desarrollados por la Organización Internacional de Estándares (ISO):
o La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a
las organizaciones a implementar sistemas de calidad efectivos, para el tipo de
trabajo que ellos realizan.
 SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la
Asociación de Contadores Públicos (AICPA) y el CICA:
o Este servicio pretende incrementar la confianza de la alta gerencia, clientes y
socios, con respecto a la confiabilidad en los sistemas por una empresa o
actividad en particular. Este modelo incluye elementos como: infraestructura,
software de cualquier naturaleza, personal especializado y usuarios, procesos
manuales y automatizados, y datos.
o Información es confiable, (i.e. si un sistema funciona sin errores significativos,
o fallos durante un periodo de tiempo determinado bajo un ambiente dado).
 Modelo de Evolución de Capacidades de software (CMM-CMMI), desarrollado por el
Instituto de Ingeniería de Software (SEI):
o Modelo que evalua las capacidades o habilidades para ejecutar, de una
organización, con respecto al desarrollo y mantenimiento de sistemas de
información.
o Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de
madurez.
o Se puede considerar que CMM es la base de los principios de evaluación
recomendados por COBIT, así como para algunos de los procesos de
administración de COBIT.

Página 11 de 16
  Administración de sistemas de información: Una herramienta de evaluación práctica,
desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):
o Herramienta de evaluación que permite a entidades gubernamentales,
comprender la implementación estratégica de tecnología de información y
comunicación electrónica que puede apoyar su misión e incrementar sus
productos y servicios.
 Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE –
CMM-CMMI), desarrollado por la agencia de seguridad nacional (NSA):
o Describe las características esenciales de una arquitectura de seguridad
organizacional para tecnología de información y comunicación electrónica, de
acuerdo con las prácticas generalmente aceptadas observadas en las
organizaciones.
ESTÁNDARES ESPECIFICOS
1. ISO 27001:
 Esta norma contiene los requisitos del sistema de gestión de seguridad de la
información.
 Tiene su origen en la BS 7799-2:2002.
 Es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones.
 Enumera en forma de resumen los objetivos de control y controles que desarrolla
la ISO 27002.
 Especifica los requisitos para establecer, implantar, poner en funcionamiento,
controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto
global de los riesgos de negocio de la organización.
 Especifica los requisitos para la implantación de los controles de seguridad hechos
a medida de las necesidades de organizaciones individuales o partes de las mismas
2. ISO 15504 (Spice - Software Process Improvement Capability Determination):
 Sistema de calidad de productos software, combina ideas de CMM e ISO 9000.
 Permite la evaluación de procesos software en organizaciones que realicen alguna
de las actividades del ciclo de vida del software.
3. ISO 12207 (la más reciente ISO/IEC 12207:2008):
 Establece un marco de referencia común para los procesos del ciclo de vida
software, con una terminología bien definida, que puede ser referenciada por la
industria del software.
 Tiene como objetivo principal proporcionar una estructura común para que
compradores, proveedores, desarrolladores, personal de mantenimiento,

Página 12 de 16
 operadores, gestores y técnicos involucrados en el desarrollo de software usen un
lenguaje común.
 Contiene procesos, actividades y tareas para aplicar durante la adquisición de un
sistema que contiene software, un producto software puro o un servicio software,
y durante el suministro, desarrollo, operación y mantenimiento de productos
software.
4. ISO/IEC 17799 (denominada también como ISO 27002. La versión más reciente es la
ISO/IEC 27002:2013.)
 Estándar para la seguridad de la información.
 Estándar internacional de alto nivel para la administración de la seguridad de la
información.
 Publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco
de seguridad sobre el cual trabajen las organizaciones.
 Se define como una guía en la implementación del sistema de administración de la
seguridad de la información. Código internacional de buenas prácticas de
seguridad de la información.

5 Auditoría informática en la Administración Pública

1- ENS (Esquema nacional de seguridad)

CAPÍTULO V: artículo 34 - Auditoría de la seguridad

 Los sistemas de información de las Administraciones Públicas serán objeto de una

auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los
requerimientos del presente Esquema Nacional de Seguridad.
 Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan
modificaciones sustanciales en el sistema de información, que puedan repercutir en las
medidas de seguridad requeridas. La realización de la auditoria extraordinaria determinará
la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la
siguiente auditoría regular ordinaria, indicados en el párrafo anterior.
 Esta auditoría se realizará en función de la categoría del sistema, determinada según lo
dispuesto en el anexo I:

o 4.2.3 Segregación de funciones y tareas: Nivel MEDIO: entre las funciones a

segregar se encuentra la auditoria.
o 4.3.2 Configuración de seguridad: Nivel Medio: Se configurarán los equipos
previamente a su entrada en operación, de forma que se aplicará la regla de

Página 13 de 16
 «mínima funcionalidad»: no proporcionar funcionalidades gratuitas como
auditoria.
o 5.6.1 Desarrollo de aplicaciones: Categoría media: Los siguientes elementos
serán parte integral del diseño del sistema: La generación y tratamiento de
pistas de auditoría.
o 5.6.2 Aceptación y puesta en servicio Categoría ALTAS: se realizarán las
siguientes inspecciones previas a la entrada en servicio: Se considerará la
oportunidad de realizar una auditoría de código fuente.
y de acuerdo con lo previsto en el anexo III

 Realización de auditoría: Se utilizarán los criterios, métodos de trabajo y de conducta

generalmente reconocidos, así como la normalización nacional e internacional
aplicables a este tipo de auditorías de sistemas de información.
 En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría, el
responsable del sistema podrá acordar la retirada de operación de alguna
información, de algún servicio o del sistema en su totalidad, durante el tiempo que
estime prudente y hasta la satisfacción de las modificaciones prescritas.
 Los informes de auditoría podrán ser requeridos por los responsables de cada
organización con competencias sobre seguridad de las tecnologías de la información.

ANEXO III - Auditoría de la seguridad

1- Objeto de la auditoría. Términos de la auditoría, verificar que:

 La política de seguridad define los roles y funciones de los

responsables de la información, los servicios, los activos y la seguridad del
sistema de información.
 Se han designado personas para dichos roles a la luz del principio de
"separación de funciones".
 Se ha realizado un análisis de riesgos, con revisión y aprobación anual.
 Se cumplen las recomendaciones de protección, sobre Medidas de
Seguridad (Anexo II).
 Existe un sistema de gestión de la seguridad de la información,
documentado y con un proceso regular de aprobación por la dirección.
Existencia de evidencias que permitan sustentar objetivamente el cumplimiento de:
a) Documentación de los procedimientos.
b) Registro de incidentes.
c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.
d) Productos certificados. Se considerará evidencia suficiente el empleo de productos
que satisfagan lo establecido en el artículo 18 «Adquisición de productos y contratación de
servicios de seguridad».
2- Niveles de auditoría.
2.1 Auditoría a sistemas de categoría BÁSICA.

Página 14 de 16
  Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar
una auditoría. Bastará una autoevaluación realizada por el mismo personal que
administra el sistema de información, o en quien éste delegue.
 El resultado de la autoevaluación debe estar documentado, indicando si cada
medida de seguridad está implantada y sujeta a revisión regular y las evidencias que
sustentan la valoración anterior.
 Los informes de autoevaluación serán analizados por el responsable de seguridad
competente, que elevará las conclusiones al responsable del sistema para que
adopte las medidas correctoras adecuadas.
2.2 Auditoría a sistemas de categoría MEDIA O ALTA.
 El informe de auditoría dictaminará:
o sobre el grado de cumplimiento del presente real decreto,
o identificará sus deficiencias y sugerirá las posibles medidas correctoras o
complementarias que sean necesarias,
o recomendaciones que se consideren oportunas.
o Deberá incluir los criterios metodológicos de auditoría utilizados,
o el alcance y el objetivo de la auditoría, y
o los datos, hechos y observaciones en que se basen las conclusiones
formuladas.
 Los informes de auditoría serán analizados por el responsable de seguridad
competente, que presentará sus conclusiones al responsable del sistema para que
adopte las medidas correctoras adecuadas.
2- RD 1720/2007

Artículo 96. Auditoría.

 A partir del nivel medio, los sistemas de información e instalaciones de

tratamiento y almacenamiento de datos se someterán, al menos cada dos años,
a una auditoría interna o externa que verifique el cumplimiento del presente
título.

 Con carácter extraordinario deberá realizarse dicha auditoría siempre que se

realicen modificaciones sustanciales en el sistema de información que puedan
repercutir en el cumplimiento de las medidas de seguridad implantadas con el
objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta
auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

 Informe de auditoría: deberá dictaminar sobre la adecuación de las medidas y

controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias. Deberá,
igualmente, incluir los datos, hechos y observaciones en que se basen los
dictámenes alcanzados y las recomendaciones propuestas.

 Los informes de auditoría serán analizados por el responsable de seguridad

competente, que elevará las conclusiones al responsable del fichero o tratamiento
para que adopte las medidas correctoras adecuadas y quedarán a disposición de

Página 15 de 16
 la Agencia Española de Protección de Datos o, en su caso, de las autoridades de
control de las comunidades autónomas.

 El Reglamento de protección de datos en 12 preguntas

(http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_pre
nsa/news/2016_05_26-ides-idphp.php): El Reglamento ha entrado en vigor el 25 de
mayo de 2016, pero no comenzará a aplicarse hasta dos años después, el 25 de mayo
de 2018.

3- GUÍA DE SEGURIDAD (CCN-STIC-802) - ESQUEMA NACIONAL DE SEGURIDAD - GUÍA DE

AUDITORÍA (https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-
Esquema_Nacional_de_Seguridad/802-Auditoria_ENS/802-Auditoria_ENS-jun10.pdf)

 En esta guía se considera la relación del ENS con normas y estándares de gestión de la
seguridad de la información, de amplia difusión. Concretamente, con las normas
ISO/IEC 27001 e ISO/IEC 27002 publicadas en 2005 y revisadas en 2013.
 La correspondencia no es una relación matemática de equivalencia. Lo que se busca
es, explicar la utilización de una certificación 27001 como soporte de cumplimiento del
ENS y, determinar qué controles de la norma 27002 son necesarios para el
cumplimiento de cada medida del Anexo II (Medidas de seguridad) y, en su caso, qué
elementos adicionales son requeridos. Es decir, si el organismo tiene una certificación
27001 y se han cubierto los controles referenciados de la 27002, con incorporar lo
adicional se puede considerar cumplido el Anexo II.
 La norma 27001 es una norma internacional, de gestión, de cumplimiento voluntario y
certificable. Quiere esto decir que un auditor autorizado, previa inspección del sistema
de gestión de la seguridad del sistema de información, certifica que es conforme a la
norma.
 La norma 27002 recoge un conjunto de puntos de control que pueden o deben tenerse
en consideración dentro del sistema de gestión. La norma 27002 no es certificable. Los
controles descritos en la norma 27002 se recogen en un anexo normativo de la norma
27001, y deben ser tenidos en cuenta durante el proceso de certificación.

Página 16 de 16