MF0487_3:Auditoría de seguridad

informática

CAPITULO 1 – Criterios generales comúnmente

aceptados sobre auditoría informática.
 1.1 - Introducción

2-Código deontológico
3-Tipos de auditorías
5-Tipos de pruebas. Sustantivas y de cumplimiento
6-Muestreo.
8-Hallazgos
9-Hallazgos… ¿observaciones o no conformidades?
10-Normativas y metodologías
 1.2 – Código deontológico

Auditoría:
”análisis exhaustivo de los sistemas informáticos con la finalidad de
detectar, identificar y describir las distintas vulnerabilidades que puedan
presentarse”

Código deontológico:
“preceptos en los que se determinan los derechos exigibles a
profesionales cuando desempeñan su actividad con el fin de ajustar los
comportamientos profesionales a unos principios éticos y morales
adecuados”
 1.2 – Código deontológico

ISACA (Information Systems Audit and Control Association)

Organización que diseña estandares de auditoría y

control de sistemas

CISA (Certified Information Systems Auditor)

Certificado de que un auditor cumple con ISACA

 1.2 – Código deontológico

Principios del código deontológico:

Principio de beneficio del auditado

Principio de calidad
Principio de capacidad
Principio de cautela
Principio de comportamiento profesional
Principio de concentración en el trabajo
 1.2 – Código deontológico

Principios del código deontológico:

Principio de confianza
Principio de criterio propio
Principio de economía
Principio de fortalecimiento y respeto de la profesión
Principio de integridad moral
Principio de legalidad
 1.2 – Código deontológico

Principios del código deontológico:

Principio de precisión
Principio de responsabilidad
Principio de secreto profesional
Principio de veracidad
 1.3 – Tipos de auditorias SSII

1)Auditoría informática de Explotación

Analiza resultados informáticos de todo tipo

2)Auditoría de desarrollo de proyectos

-Analizan metodología desarrollo de proyectos
-Analizan desarrollo, ejecución y mantenimiento de
seguridad durante el proyecto
 1.3 – Tipos de auditorias SSII

3)Auditoría informática de Sistemas

Analiza las actividades relacionadas con el entorno SSII
Puntos a analizar:
-SSOO
-Software básico
-Tunning
-Optimización de los sistemas y subsistemas
-Administración de las bases de datos
-I+D
 1.3 – Tipos de auditorias SSII

4)Auditoría informática de comunicaciones y redes

Analiza dispositivos comunicación para ver debilidades

5)Auditoría de seguridad informática

Analiza los procesos referentes a seguridad informática
física y lógica.
 1.5 –Pruebas sustantivas y de
cumplimiento
Prueba Sustantiva
Identifican errores derivados de falta de seguridad o
confidencialidad en los datos. Evalúan calidad en los datos
(p.e. revisar si los dispositivos de almacenamiento están correctamente inventariados)

Prueba de Cumplimiento
Determinan si el sistema de control interno funciona
correctamente, y si sigue las politicas, normativas y
procedimientos definidos en la organización.
(p.e. revisar si el software instalado se corresponde con lo definido por la organización)
 1.6 –Muestreo

Muestreo

Proceso para detectar aquellas partes analizadas que

requieren un examen más exhaustivo por parte de la
persona auditora.
 1.6 –Muestreo
Tipos de Muestreo en auditoría informática

Muestreo estadístico
Se usan técnicas matemáticas para decidir aspectos de la
muestra: tamaño, grados de confianza, márgenes de
error… (Ejemplo pág. 33)

Muestreo no estadístico
La persona auditora decide la muestra (tamaño y
profundidad) en base a su experiencia profesional y a
como encuentre la situación.
 1.8 –Hallazgos

Hallazgo:

Conjunto de información sobre la actividad, tarea, proceso,

condición… analizada y evaluada, que se considera de
interes para la organización.
 1.8 –Hallazgos

Características de los hallazgos

-Importancia relativa
-Basados en hechos y evidencias precisas
-Objetivos
-Convincentes
-Basados en un trabajo suficiente
 1.9 – Hallazgos… ¿observaciones o no
conformidades?
Tipos de Hallazgos:

Oportunidades de mejora
Recomendaciones del auditor para mejorar la eficiencia
y eficacia del sistema auditado
Observaciones
Aspectos que podrían mejorarse, pero que no requieren
una actuación inmediata.
No conformidades
Incumplimiento de algún requisito definido en la
auditoria
 1.9 – Hallazgos… ¿observaciones o no
conformidades?

Hallazgos: Oportunidades de Mejora

●
Recomendaciones del auditor que si no se aplican, no
provocan debilidades ni fallos en el sistema
●
Recomendaciones que estén basadas en el juicio y
experiencia del auditor
 1.9 – Hallazgos… ¿observaciones o no
conformidades?

Hallazgos: Observaciones
●
Fallos ocasionales, asilados, que no se producen con
periodicidad
●
Fallos cuya resolución sea facil o rápida
●
Incumplimientos parciales de los requisitos definidos en la
auditoría
 1.9 – Hallazgos… ¿observaciones o no
conformidades?
Hallazgos: No conformidades
●
Fallos Generales del sistema
●
Elementos importantes del sistema que faltan o están
ausentes
●
Varias observaciones que, vistas de forma aislada no son
importantes, pero que al ponerlas juntas pueden
desembocar en fallos más relevantes