Documentos de Académico
Documentos de Profesional
Documentos de Cultura
I. GUIA DE ESTUDIO
Las organizaciones cada vez tienen un funcionamiento más complejo. Tanto las
grandes, como las de pequeño tamaño, realizan tareas y actividades que no siempre se
llevan a cabo de la manera más eficiente, ni con un adecuado coste en recursos, ni con
un riesgo conocido y controlado. En definitiva, cualquier tipo de organización necesita
saber lo que hace y cómo lo hace, con el objetivo de intentar mejorar su manera de
hacer las cosas. Es ahí donde entra en juego el papel de las auditorías.
Las auditorías ayudan a las organizaciones a mirarse con ojos externos para intentar
averiguar dónde se puede mejorar. Sirven tanto para aumentar la eficiencia en el uso
de algún recurso, como el tiempo invertido en determinadas tareas, como para evaluar
los riesgos a los que está sometido un valor, por ejemplo los datos.
En este tema vamos a conocer qué son y cómo podemos hacer uso de las auditorías
en nuestra labor como responsables de la información de los organismos públicos, sobre
todo porque la normativa legal nos obliga a llevar a cabo las auditorías.
Tabla de objetivos
Conocer en qué consiste una auditoría
Poder explicar e incluso defender la utilidad de las auditorías para una organización, y
concretamente, en el ámbito de las TIC
Conocer las principales normas internacionales acerca de auditorías, y sus
particularidades
Conocer los detalles de la metodología COBIT. Dada el reciente cambio de versión es
probable las preguntas relativas a los cambios y comparación de versiones
1
II. VOCABULARIO ESPECÍFICO
Auditoría informática. Según Ron Weber, “es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los
recursos”.
Auditor. Es la persona que realiza la auditoría. Un profesional independiente que da una opinión
sobre la concordancia entre las afirmaciones realizadas por alguien y lo que existe en la realidad.
COBIT (Control OBjetives for Information and related Technologies). Metodología desarrollada
por ISACA. Es la más extendida en el marco de control de las TIC. Es independiente de la
plataforma tecnológica, y plantea su objetivo en términos de control de procesos de información
que soportan los objetivos de negocio de una organización.
Control (según ISO 27000). Son las políticas, procedimientos, prácticas y estructuras
organizativas, diseñadas para mantener los riesgos de seguridad de la información por debajo
del nivel de riesgo asumido.
Control (según COBIT). Son las políticas, procedimientos, prácticas y estructuras organizativas,
diseñadas para proporcionar garantía de que los objetivos de negocio serán alcanzados.
2
III. LEGISLACIÓN, NORMATIVA
APLICABLE
NORMA ARTÍCULO/S
ISO/IEC 27000
COBIT 4.1
COBIT 5
COBIT 2019
3
ESQUEMAS
1. AUDITORÍAS
TIPOS DE AUDITOR
● Auditor de primera parte:
○ Interno, audita la organización en nombre de ella misma.
○ Mantenimiento del sistema de gestión y como preparación a la auditoría de
certificación.
● Auditor de segunda parte:
○ Auditor de cliente, audita la organización en nombre de un cliente de la
misma.
○ Por ejemplo, para exigir el cumplimiento de una norma a un proveedor.
● Auditor de tercera parte:
○ Auditor independiente, audita una organización como un externo.
Normalmente se hace para obtener una certificación.
Ejemplo:
Una organización dispone de un departamento TIC que quiere obtener la certificación ISO 9001.
El auditor de primera parte será una persona “de la casa” que llevará a cabo una auditoría de
preparación, con el fin de evaluar el estado de madurez de la organización, y qué aspectos debe
mejorar de cara a la auditoría de certificación oficial.
El resultado de la auditoría interna será un informe que dará lugar a un plan de adaptación para
solventar las incidencias, “no conformidades”, detectadas.
Una vez se han resuelto estas no conformidades, el auditor interno probablemente hará otra
auditoría de preparación. Y así hasta que se decida que se dispone del grado de madurez
necesario.
En ese momento, se acudirá a un auditor de tercera parte, que realizará una auditoría formal y
que llegará a unas conclusiones en un informe, del mismo modo que hizo el auditor interno. Si
el grado de adaptación de la organización es aceptable, el informe incluirá algunas no
conformidades menores que habrá que resolver emitiendo un plan de adaptación que se enviará
al auditor de tercera parte. Si éste lo acepta, la organización llevará a cabo los cambios, los
justificará de forma apropiada al auditor, quien lo evaluará, y decidirá si está conforme con el
resultado. De ser así, la organización habrá obtenido la certificación ISO 9001.
En algunos casos puede que la organización esté obligada a que sus proveedores cumplan
también con la norma, por ejemplo que estén certificados en ISO 9001. Pueden darse dos casos:
si el proveedor dispone de certificación, la organización sólo tiene que incluirlo en sus informes
de preparación para la auditoría de certificación. Pero si el proveedor no dispone de ella, la
organización estará obligada a realizar controles que suplan los puntos de la ISO 9001 que el
proveedor debe cumplir. Dicho de otro modo, la organización deberá justificar que el proveedor
trabaja conforme a ISO 9001, aunque no tenga la certificación. Para realizar este trabajo, un
auditor contratado por la organización acudirá al proveedor a realizar la auditoría y
4
así conseguir información de si trabaja o no conforme a ISO 9001. Este es el caso en que se
llama auditor de segunda parte.
La auditoría dice qué hay que hacer. La consultoría dice cómo hay que hacerlo.
TIPOS DE AUDITORÍA
5
● Integral
○ Financiera + operativa + informática.
DE FUNCIONES
● De funciones verticales
○ Como la función financiera, operativa, unidades de negocio, RRHH, etc.
● De funciones horizontales
○ Como la de Sistemas de Información, servicios comunes, etc.
6
7. Pruebas y técnicas a usar.
8. Identificar controles alternativos a los anteriores, si procede.
9. Realizar pruebas y obtener resultados. Verificar todo por escrito, para lo que será
necesario pedir los informes de auditorías anteriores.
10. Crear conclusiones y comentarios. Los comentarios deberán incluir un identificador,
una descripción, la fecha de emisión, las observaciones del auditado y la fecha de
resolución del comentario.
11. Revisar y cerrar papeles de trabajo.
12. Crear borrador del informe.
13. Discutir el informe con el auditado.
14. Emitir y distribuir el informe.
2. COBIT
COBIT 5
ELEMENTOS DE COBIT 5
● Dominios: 5
● Procesos: 37
● Áreas de responsabilidad: 4
DOMINIOS EN COBIT 5
● Dominios de Administración:
○ Alinear, Planificar, y Organizar
○ Construir, Adquirir, e Implementar
○ Entregar, Servir y dar Soporte
○ Monitorizar, Evaluar, y Valorar
● Dominio de Gobierno:
○ EDM – Evaluar, Dirigir, y Monitorizar
7
Modelo de Madurez "Process Capability Model" de COBIT 5
0 Incompleto
1 Alcanzado
2 Gestionado
3 Establecido
4 Predecible
5 Optimizado
COBIT 2019
ELEMENTOS DE COBIT
2019
● Componentes sistema de gobierno: 7
● Dominios: 5
● Objetivos 40
● Principios:
• Sistema de Gobierno (Governance System): 6 principios
• Marco de Gobierno (Governance Framework) : 3 principios adicionales
● Procesos: 40
● Factores de diseño: 9
● Flujo trabajo: 4 pasos
● Ciclo vida: 3
● Niveles de capacidad: 5
8
3. ISO 27000
NORMA DESCRIPCIÓN
ISO/IEC 27000:2013 Proporciona una visión general de las normas que componen la
serie 27000, una introducción a los Sistemas de Gestión de
Seguridad de la Información, una breve descripción del proceso
Plan-Do-Check-Act (PDCA) y términos y definiciones que se
emplean en toda la serie 27000.
Última versión: enero 2014
ISO/IEC 27001:2013 Norma principal de la serie. Contiene los requisitos del sistema
de gestión de seguridad de la información. Tiene su origen en la
BS 7799-2:2002, que ya quedó anulada, y es la norma con arreglo
a la cual se certifican por auditores externos los SGSIs de las
organizaciones.
Al contrario que la versión de 2005, no hace énfasis en PDCA.
ISO/IEC 27002:2005 Es una guía de buenas prácticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de la
información.
No es certificable.
Contiene 39 objetivos de control y 133 controles, agrupados en
11 dominios.
ISO/IEC 27002:2013 Contiene 35 objetivos de control y 114 controles, agrupados en
14 dominios.
9
ISO/IEC 27006:2011 Especifica los requisitos para la acreditación de entidades de
auditoría y certificación de sistemas de gestión de seguridad de
la información.
Listado completo
11
4 Auditoria del ENS
- posibles medidas
correctoras o
complementarias
necesarias,
- recomendaciones
12
(*) El resultado de la auditoria es determinante para los sistemas de categoría ALTA, ya que
según el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de
operación de alguna información, de algún servicio o del sistema en su totalidad, durante el
tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.
Interpretación
La interpretación que aplica a la auditoria se realizará según el sentido propio de las palabras
del anexo, en relación con el contexto, antecedentes históricos y legislativos, entre los que
figura lo dispuesto en la instrucción técnica CCN-STIC correspondiente
Informes de auditoría
Podrán ser requeridos por los responsables de cada organización con competencias sobre
seguridad de las tecnologías de la información.
Existe definición de los roles y funciones de los responsables de la información, los servicios,
los activos y la seguridad del sistema de información.
Hay personas en los distintos roles a la luz del principio de «separación de funciones».
https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330&p=20151104&tn=1#anii
Evidencias
13
a) Documentación de los procedimientos.
b) Registro de incidencias.
c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.
Se pueden dar todas las combinaciones: por ejemplo, un sistema de categoría básica según el Anexo
I del RD 3/2010, puede tratar datos personales que requieran medidas de nivel alto según el RD
1720/2007
Protección de hardware y los soportes de datos, así también como la seguridad de los edificios y las
instalaciones que lo albergan. Esto contempla situaciones de incendios, inundaciones, sabotajes,
robos, catástrofes naturales, etc.
14
Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos e información confidencial".
Objetivo Principal
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como
por la naturaleza del medio físico en que se encuentra ubicado el centro.
Características
16