AUDITORÍA DE SISTEMAS.

Docente.
Ingeniera Katherine Romero Ussa.
CAMPOS DE LA AUDITORIA.
 Temas aplicados.

✓ NORMA ISO 19011

✓ Certificaciones y registro de
organizaciones.

✓ Certificación para auditores.

✓ Auditoria de Sistemas.
Auditoría Bajo ISO 19011:2011.
 Certificaciones y registro de organizaciones.

También define el alcance de acreditación del organismo de certificación.

Reino Unido: (UKAS) Colombia: ONAC
United Kingdom Organismo Nacional
USA: (RAB) México: (EMA)
Accreditation de Acreditación de
Service Colombia.

Acredita a organismos de certificación para verificar y registrar el cumplimiento de

los estándares nacionales o internacionales en las organizaciones.
Certificación Auditores.

International register of
Auditor líder ISMS ISO certification Auditors
27001 (IRCA) en Reino Unido
UK

Quality Society of
Australasia (QSA),
Register Accreditation
Sociedad de calidad
Board (RAB) en USA
Australia y Nueva
Zelanda.
 Certificación Auditores.
Para asegurar que la auditoria es un herramienta efectiva y confiable de
gestión, la auditoria es basada en ciertos principios fundamentales.

Competencias de auditores:

• ISO 19011:2011, Guía para

auditorias de sistemas de gestión.
• (ISO27007, Guía para auditorías de
un SGSI).
 Auditoría en sistemas tecnológicos.

1 • Infraestructura.

¿Qué es una auditoría de sistemas?

Auditoría de infraestructura de TI
Una auditoría de TI consiste en evaluar el diseño y la eficacia del control interno del sistema con
respecto a los estándares relevantes y las mejores prácticas. Esto incluye, entre otros, diseño,
implementación, rendimiento, eficiencia, protocolos de seguridad y gobierno o supervisión de TI.

La instalación de controles es necesaria pero no suficiente para proporcionar la seguridad

adecuada. La revisión periódica de la infraestructura y los procesos es obligatoria para garantizar
el cumplimiento de estos controles.
 Auditoría en sistemas tecnológicos.

2 • Bases de Datos.
Auditoría de base de datos.
La auditoría de base de datos gestionará la confidencialidad, integridad y continuidad de la
información empresarial, incrementando con esto la credibilidad y confiabilidad de la empresa. Los
siguientes son algunos aspectos y ventajas de nuestros servicios de auditoría de base de datos:

La auditoría de base de datos Asegurar la implementación de

La auditoría de base de datos
incluye pruebas de intromisiones,
esto le ayudará a poner controles
de seguridad en las bases de
datos.
Las infraestructuras de bases de
datos se somete a auditoría de
base de datos. Estos ayudan a
conocer a todos los riesgos y
vulnerabilidades existentes.
Creación de los procesos de
ayuda a implementar un sistema los procedimientos para la
seguridad de bases de datos. Esto
de monitoreo. El sistema tiene la gestión de controles
son para desarrollar y mantener
capacidad de supervisar y verificar criptográficos para el resguardo y
información detallada sobre las
todas las actividades. Este sistema fortalecimiento de la seguridad de
vulnerabilidades y riesgos
puede descubrir cualquier base de datos después de
empresariales de aplicaciones.
actividad indebida o errónea. terminar los servicios de auditoría.

Los servicios de auditoría de base
de datos aseguran la
implementación y ejecución
periódica de los procesos de
respaldos.
La infraestructura de bases de
Generar políticas y datos estaría protegida contra el
Implementan el plan de
procedimientos de seguridad en fuego, el robo y otras formas de
continuidad del negocio, forense
base datos para la eficaz gestión daño físico. La auditoría de base
y recuperación de los datos en
de los proveedores de servicios y de datos desarrolla políticas de
caso de un ataque cibernético.
terceros. seguridad física y seguridad
lógica.
 Auditoría en sistemas tecnológicos.

3 • Redes.
¿Qué es una auditoría de red?
La auditoría de red son las medidas colectivas que se realizan para analizar, estudiar y recopilar
datos sobre una red con el fin de determinar su salud de acuerdo con los requisitos de la red y la
organización.

La auditoría de red principalmente proporciona información sobre cuán efectivas son las prácticas y
el control de la red, es decir, su cumplimiento de las políticas y regulaciones de red internas y
externas.
Esta auditoría funciona a través de un proceso sistemático en el que se analiza una red informática
para determinar:
❖ Seguridad
❖ Implementación de control
❖ Disponibilidad
❖ Administración
❖ Actuación
 Auditoría en sistemas tecnológicos.

4 • Desarrollo.

El desarrollo de un software debe estar sometido a un exhaustivo control de cada una de sus fases,
ya que en caso contrario, además del habitual disparo de los costes, podría producirse una total
insatisfacción del usuario si finalmente no cumple las funcionalidades necesarias así como la
ergonomía de los interfaces de la misma. Además, la auditoría deberá comprobar la seguridad del
software desarrollado al objeto de garantizar que el resultado de su ejecución sea exactamente el
previsto, y que no interfiere con el resto de aplicaciones de la empresa.
 Consideraciones a tener en cuenta.

Una auditoria de Control de Procesos y Ejecuciones Críticas: El auditor Para asegurar que el
Revisión Interna de las Aplicaciones: Se deberá controlar Satisfacción de usuarios: Una
Desarrollo pasa sin Desarrollo de un Software o
las mismas fases que presuntamente ha debido seguir el Aplicación técnicamente no debe descartar la posibilidad de que se esté
lugar a dudas por la Sistema nuevo, desde su
área correspondiente de Desarrollo: eficiente y bien desarrollada, ejecutando un módulo que no se corresponde con el
observación y el inicio hasta su finalización
deberá considerarse una programa fuente que se desarrolló, codificó y probó el
análisis de cuatro • Estudio de Aptitud de la Aplicación. (Muy determinante pasando por todas las
pérdida si no sirve a los grupo de Desarrollo de la Aplicación. Se ha de
consideraciones para Aplicaciones complejas, largas y caras). etapas descritas, va a
intereses del usuario que la
fundamentales: • Definición lógica de la Aplicación. (Se examinará que se comprobar la correspondencia biunívoca y exclusiva terminar con éxito, depende
solicitó, o resulta
han completado los propósitos lógicos de actuación, en ergonómicamente entre el programa codificado y su compilación. Si los del grado de control de
función de la metodología elegida y la finalidad del programas fuente y los programas módulo no cada una de ellas a través
insuficiente. La aprobación del
proyecto). coincidieran se podría provocar, desde errores de del sistema de eficacia de
Examen de las usuario proporciona grandes
• Desarrollo Técnico de la Aplicación. (Se verificará que bulto (bugs) que producirían graves y altos costes de una Auditoría de Desarrollo.
metodologías ventajas posteriores, ya que
éste es ordenado y correcto. Las herramientas técnicas evitará reprogramaciones y mantenimiento, hasta fraudes, pasando por acciones
utilizadas: Se
utilizadas en los diversos programas deberán ser disminuirá el mantenimiento de sabotaje, espionaje industrial/informativo, etc. Por
analizaran estas, de
compatibles entre sí, y a ser posible con las ya existentes posterior de la Aplicación.
modo que se ende, hay normas muy rígidas en cuanto a las Librerías
en el sistema de la empresa).
asegure la de programas; aquellos programas fuente que hayan
modularidad de las • Diseño de Algoritmos. (Deberán poseer la máxima
sido dados por bueno por Desarrollo, son entregados
posibles futuras sencillez, modularidad y economía de recursos).
a Explotación con el fin de que éste:
ampliaciones de la • Metodología de Ensayos. (Se realizaran de acuerdo a las
Aplicación y el fácil Normas de la Instalación. Se realizarán juegos de ensayo •Copie el programa fuente en la Librería de Fuentes de
mantenimiento de de datos, sin que se permita en ningún caso el uso de Explotación, a la que nadie más tiene acceso.
las mismas. datos reales). •Compile y monte el Programa, depositándolo en la
• Documentación de la Aplicación. (Cumplirá la Normativa Librería de Módulos de Explotación, a la que nadie
establecida en la Instalación, tanto la de Desarrollo como
más tiene acceso.
la de su puesta a Explotación).
• Recursos Humanos Utilizados. (Deben fijarse las tareas •Copie los programas fuente que les sean solicitados
de análisis puro, de programación y las intermedias para para modificarlos, arreglarlos, etc. en el lugar que se
cada elemento que constituye el grupo de desarrollo. En le indique. Cualquier cambio exigirá pasar de nuevo
Aplicaciones complejas se recomienda variaciones en la por el punto 1.
composición del mismo, pero estos deberán estar
siempre previstos en la planificación inicial).
 Auditoría en sistemas tecnológicos.

5 • Seguridad Informática.

Una auditoría de seguridad informática se podría definir como la evaluación del nivel de madurez
en seguridad de una organización, donde se analizan las políticas y procedimientos de seguridad
definidos por la misma y se revisa su grado de cumplimiento. También, las medidas técnicas y
organizativas implantadas para garantizar la seguridad.

Las auditorías permiten detectar debilidades y vulnerabilidades de seguridad que podrían ser
explotadas por usuarios malintencionados o atacantes, ocasionando perjuicios importantes para la
organización.

Además, sirven para evitar el robo de información y la competencia desleal.

Las auditorías de seguridad son básicas para todas las empresas independientemente de su
tamaño, ya que permiten detectar posibles puntos débiles que sirvan de referencia para
implementar un plan de mejora.
 Auditoría en sistemas tecnológicos.
Forense:
• Una vez que se produce un incidente de seguridad informática, este tipo de auditorías pretende recopilar toda la información relacionada
para determinar las causas que lo han producido, el alcance del mismo (sistemas y/o información afectada), así como las evidencias
digitales del mismo.

Aplicaciones Web:
• Tratan de identificar potenciales vulnerabilidades en este tipo de aplicaciones que podrían ser explotadas por atacantes. Dentro de este
tipo de auditorías se diferencian: el análisis dinámico de la aplicación (DAST – Dynamic Application Security Testing, que se trata de una
revisión en tiempo de ejecución de la aplicación sobre la propia web) y el análisis estático de la aplicación (SAST – Static Application
Security Testing, donde se buscan posibles vulnerabilidades en el código).

Hacking ético o test de intrusión:

• Se trata de una auditoría en la que se ponen a prueba las medidas de seguridad técnicas de una organización (por ejemplo: firewalls,
IDS/IPS, etc.) de la misma manera que lo haría un potencial atacante para identificar debilidades o vulnerabilidades explotables que deben
ser corregidas.

Control de acceso físico:

• Se auditan las plataformas y medidas de seguridad que componen el sistema de seguridad perimetral físico de una organización (cámaras,
mecanismos de apertura de puertas, software de control de acceso…) para verificar su correcto funcionamiento.

Red:
• Se revisan todos los dispositivos conectados a la red y se verifica la seguridad de los mismos (actualización de su firmware, firmas de
antivirus, reglas de firewall, control de acceso a la red, segmentación de la red en VLANs, seguridad de las redes Wifi, etc.)
Gracias.