Documentos de Académico
Documentos de Profesional
Documentos de Cultura
► Introducción y objetivos
► Gestión de la función de auditoría
► Clasificación de los controles de los Sistemas de Información:
o Controles generales
o Controles de aplicación
o Controles por área
o Controles de productos informáticos
o Controles por motivos legales
► La regla de oro
► Auditoría informática
Analizar la eficiencia
Estudio de las
de la utilización de
políticas y sus
recursos humanos y
prácticas.
materiales.
Alta gerencia
Auditoría interna
► Responsabilidades:
Empleados
Director de auditoría.
Gerente de auditoría
Supervisor de auditoría
Encargado de auditoría
Auditor ayudante
Auditor principiante
Mapa de riesgos
inherentes
Controles Identificar
Evaluar
Que auditar.
Cuando auditar
Revisar Como auditar
Identificar Revisar
Evaluar
Qué auditar
oCumplimiento de requerimientos legales.
oSensibilidad de la organización a determinados riesgos o resultado de análisis
de riesgos.
oResultado de auditorías anteriores.
Cuándo auditar
oPriorizar las actuaciones detectadas y ajustando el alcance a los recursos
disponibles y las demandas de la dirección.
oElaborar el documento de planificación periódica de la unidad de auditoría.
oRevisión periódica del plan inicial para incorporar actuaciones no previstas.
Cómo auditar
oProceso de para planificar las actuaciones individuales.
Requerimientos
INTEGRIDAD: CONFIABILIDAD:
La información debe Se debe proveer la
ser precisa, suficiente información apropiada
y válida conforme a los para poder realizar un
valores y expectativas informe objetivo.
de negocio y la
legislación vigente.
Descripción detallada
1 Objetivo de control 2
del control.
Monitorización
5 4 Operación
La aplicación de los controles hasta ahora descritos deben estudiarse teniendo en cuenta que su
coste no exceda el coste que supondría asumir el propio riesgo.
Controles Voluntarios
Obligatorios
Preventivos
Detectivos
Manuales Correctivos
Automáticos Alternativos o
Generales compensatorios
De aplicación
Preventivos
Alternativos
o Naturaleza Detectivos
compensatorios
Correctivos
Físicos
Lógicos
Gestión
Aplicabilidad
C o mp o rtamie nto
1 Salvaguardas 1 Pasivos
2 Contramedidas 2 Activos
► Generales
Hardware y
software
Desarrollo de
sistemas y
doc.
Organización
y operación
• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Confiabilidad
Controles Aplicaciones
Entrada de datos.
Tratamiento de datos.
Salida de datos.
Excel de controles de aplicaciones
I.A.3 Independencia de la Función de Seguridad Verificar si las funciones de seguridad TI están segregadas de las áreas de operaciones y desarrollo.
I.A.4 Cumplimiento Normativo: LOPD Revisar situación de la sociedad frente a la LOPD: Ficheros declarados, existencia de documento de seguridad, auditoría bienal.
I.B.1 Procedimiento de acceso al CPD/ de Solicitar política o procedimientos de seguridad física y de acceso al CPD
medidas de seguridad física
I.B.2 Seguridad Perimetral y controles de acceso Revisar las medidas de seguridad perimetral y los mecanismos de control de acceso al CPD
al CPD
I.B.3 Medidas Medioamientales del CPD Revisar los mecanismos para garantizar la seguridad frente a amenazas de tipo medioambiental: Fuego, inundaciones, cortes de
suministro eléctrico, sobrecalentamiento servidores, etc.
I.C.1 Procedimiento de ABM de usuarios Solicitar el procedimiento de ABM para cada aplicación/sistema auditado. Tomar evidencias con las últimas ABM para verificar el ciclo
de solicitud, aprobación y entrega de contraseñas (garantizar confidencialidad). Que se tenga establecida la obligatoriedad de cambio
en primer login.
I.C.2 Revisión periódica de usuarios, perfiles y Verificar si existe un procedimiento establecido para la revisión periódica de los usuarios, perfiles y niveles de acceso. Tomar
niveles de acceso evidencias de los registros de las últimas revisiones realizadas. Cruzar usuarios dados de baja en el periodo y usuarios que han
cambiado de departamento con los usuarios activos.
I.C.3 Control de acceso Revisar cómo se establecen los niveles de acceso (perfiles) a la aplicacíon, a directorios y a recursos de red relevantes
I.D.1 Asignación usuarios no genéricos Verificar procedimiento de asignación de usuarios (identificación y autenticación), revisar listado de usuarios del sistema/aplicación.
(nominales)
I.D.2 Configuración contraseñas Verificar política o norma que establezca las características de las contraseñas, revisar si se tiene implantada en el sistema/aplicación.
Caducidad, número de caracteres, complejidad, bloqueo tras intentos fallidos, etc.
I.E.1 Monitorización: Logs de auditoría Revisar los mecanismos implantados para monitorizar las acciones relevantes (operación y seguridad) llevadas a cabo por los usuarios
en la aplicación/sistema.
I.F.1 Usuarios administradores Revisar procedimiento. Revisar listado de usuarios y perfiles y verificar que los usuarios privilegiados son los adecuados (que sólo
IT/seguridad tiene privilegios).
I.F.2 Monitorización de acciones Revisar procedimientos y mecanismos implantados para monitorizar a los administradores.
de usuarios administradores
Desarrollo
III.A.1 Metodología Desarrollo Revisar si se sigue una metología de desarrollo. Revisar si ésta obliga a tener aprobaciones de negocio, aprobaciones de IT, etc. cuando
se realizan nuevos desarrollos/adquisiciones y que especifique la realización de documentos de presupuesto, requisitos, diseño
funcional y técnico, pruebas, etc.
• …
– Parámetros de configuración de su entorno de ejecución deben ajustarse de
modo que el software no sea innecesariamente expuesto a amenazas
potenciales, a esta tarea se le denomina “Bastionado”.
Inventario de
activos
Planeación de
Validación
análisis
Ejecución de
Remediación
análisis
Priorización de
vulnerabilidades
Recomendación:
►Comprender la compañía.
►Entender la problemática.
►Financial Accounting Standards Board (FASB) with Statement on Auditing Standards (SAS).
►Public Company Accounting Oversight Board (PCAOB) of the Securities and Exchange