Desarrollo Seguro de Software y Auditoria de la Ciberseguridad

Javier Bermejo Higuera

Tema VIII: El Proceso de auditoría de Sistemas de la Información

Universidad Internacional de La Rioja

Contenido de la Unidad

► Objetivos
► Introducción
► Planificación de la auditoría
► Metodología de auditoría
► Comunicación de los resultados de la Auditoría .
Contenido de la Unidad

3
Introducción y objetivos

1. Conocimiento y comprensión de los principales aspectos que abarcan

los estándares internacionales de auditoría.
2. Conocer los aspectos fundamentales de las herramientas y técnicas
de auditoría.
3. Aprender y estudiar los principales conceptos relacionados con la
planificación de la auditoría
4. Entender la necesidad del uso de metodologías de auditoría
5. Definir y explicar los conceptos relativos a los objetivos de la auditoría
y las evidencias.

6. Aprender los principales conceptos

relacionados con la comunicación
de los resultados de la auditoría.

4
Introducción

► Se requieren varios pasos para realizar una auditoría

Evaluar Programa Proceso

riesgos auditoria auditoría

► Planificación auditoría

Riesgo y Técnicas
Comprensi
materialid de Planificac
ón del Alcance
ad de la evaluación ión
negocio
auditoría. de riesgos

5
Herramientas y técnicas de auditoría

► Herramientas de Evaluación de la Seguridad

6
Metodologías de Auditoria Informática

Conjunto de procedimientos documentados de auditoría diseñados para

alcanzar los objetivos planeados. el alcance declarado y el programa de
trabajo.

7
Metodologías de Auditoria Informática

► Realizar auditorías informáticas con metodologías nos permite, entre

otras cosas:

▪ Rigor, rapidez, uniformidad, consistencia.

▪ Objetividad en los criterios.
▪ Sistematicidad.
▪ Independencia de quién lo realiza.
Metodologías de Auditoria Informática

► Cada organización que ofrezca servicios de auditoría (Deloitte, Ernst&Young,

etc.) o cada empresa puede desarrollar una metodología propia.

► La mas difundida y que veremos a continuación es la basada en Evaluación

de Riesgos ó EDR – ROA, recomendada por ISACA y creada por Arthur
Andersen

Se recomienda al alumno consultar bibliografía referente a Ron Weber "EDP Auditing:

Conceptual Foundations and Practice". Ed. Mc Graw Hill . 1988
Metodologías de Auditoria Informática
► Elementos principales de una auditoría de seguridad de un SI

Organización de la seguridad

Seguridad Física

Administración del sistema

Auditorias de sistemas

Aplicaciones

Seguridad de red

Continuidad de Negocio

Privacidad, Integridad y confidencialidad de

los datos

10
Metodologías de Auditoria Informática

► Enfoques:

▪ EDR Genérico: evaluación de Riesgos – (ROA – Risk

Oriented Approach)
▪ EDR Simplificado: basado en Cuestionarios o Checklist
▪ EDR Avanzado: de Productos Informáticos
EDR Genérico: evaluación de Riesgos – (ROA)

► Elementos principales de una auditoría EDR.

Objetivos
Riesgos Controles Pruebas Evidencias
de control

12
EDR Genérico: evaluación de Riesgos – (ROA)

Técnicas de control ó controles

► Por cada objetivo de control / riesgo potencial, se debe identificar las técnicas
de control existentes que deben minimizar el riesgo, logrando cumplir así, el
objetivo de control.

Excel ISO27002
EDR Genérico: evaluación de Riesgos – (ROA)

Pruebas (definición)

► Permiten obtener evidencias y verificar la consistencia de los controles

existentes y también medir el riesgo por deficiencia de estos o por ausencia.

► Toda opinión o evaluación de un auditor debe estar basada en pruebas

realizadas y en la evidencia obtenida.
EDR Genérico: evaluación de Riesgos – (ROA)

Pruebas (tipos)

► Prueba de cumplimiento
► Prueba sustantiva
EDR Genérico: evaluación de Riesgos – (ROA)
Pruebas de cumplimiento

► Se utilizan para probar y verificar el cumplimiento de una técnica de control

/ controles.
► Reúne evidencias de auditoria para indicar:
▪ Si un control existe.
▪ Funciona de forma efectiva.
▪ Logra sus objetivos de forma eficiente.
► El diseño de las pruebas de cumplimiento, cuyo fin es el de reunir
evidencias de un funcionamiento efectivo de los controles internos.

Ejemplos

• Observación/entrevistas
• Análisis de documentos
e información
• Examen de la evidencia
disponible
EDR Genérico: evaluación de Riesgos – (ROA)

Pruebas sustantivas
► SOLO se utilizan cuando las pruebas de cumplimiento no han satisfecho los
objetivos del auditor.
► Su realización requiere un mayor consumo de recursos
► Permiten profundizar para comprobar la fiabilidad y consistencia de los
controles existentes e identificar la magnitud y el impacto de errores e
incidencias
EDR Genérico: evaluación de Riesgos – (ROA)

Ejemplo de EDR

Riesgo Objetivo de Control Control Prueba de Prueba sustantiva

cumplimiento
• Acceso • El Departamento ▪ Procedimientos • Comprobar que se • Seleccionar una
indebido a de Sistemas de de acceso lógico a ha implantado un muestra de
sistemas de Información los datos incluyen procedimiento por perfiles e
Información debiera la revisión y escrito para identificar
establecer aprobación de someter a todos los aquellos que no se
normativas de perfiles de perfiles de acceso a hayan revisado y
acceso a sus usuario un proceso de aprobado
datos y sistemas aprobaciones, y adecuadamente,
informáticos que ha sido evaluando el
comunicado a todas impacto/riesgo de
las áreas las incidencias
involucradas o detectadas.
interesadas
EDR Simplificado: evaluación de Riesgos (ROA)

► EDR Simplificado es el que esta basado en un checklist

► No sigue un modelo prueba de cumplimiento/ prueba sustantiva, sino
que evalúa el riesgo a partir de formularios o checklist.
► Características del EDR simplificado

Características
El auditor revisa los controles con la ayuda de una lista de control
(checklist) que consta de una serie de preguntas o cuestiones a verificar.

La evaluación consiste en identificar la existencia de unos controles

establecidos o estandarizados.

Suelen utilizarse por auditores con poca experiencia, como guía de

referencia, para asegurar que se han revisado todos los controles.
EDR Avanzado: evaluación de Riesgos (ROA)
► Motivación: A la vista de la cantidad de productos Software / aplicaciones
existentes en el mercado, es razonable pensar en realizar las auditorías con un
método (propio o diseñado por la propia empresa fabricante del producto).
► Definición: Es un EDR específico para una tecnología o producto concreto
► Pruebas: Se realizan las pruebas de cumplimiento y, en su caso, las sustantivas,
sirviéndose de:
Se basa en
Son programas de utilidad que tiene el propio
Audit tools
producto que vamos a auditar.
Programas o scripts desarrollados al efecto de obtener
Audit
información del producto que sea de utilidad para la
retrievals
auditoría.
Son habitualmente los logs. Contienen evidencias de
lo que sucede en el interior del sistema. Tienen como
Audit trails desventaja que consumen mayor tiempo de
procesador, pues por cada operación se anota en el
registro
Planificación de la auditoría

Un programa de auditoría es un conjunto de procedimientos e

instrucciones de auditoría paso a paso que debe realizarse para
completar esta y alcanzar los objetivos de auditoría

Objetivo Alcance de las

auditoría auditorías

Planificación Procedimientos
previa de auditoría

21
Evidencia

Cualquier información usada por el auditor de Sistemas de Información para determinar

si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos
establecidos, y soporta las conclusiones de auditoría

22
Evidencia

► La evidencia del auditor ha de ser suficiente y competente:

o La suficiencia mide la cantidad de la evidencia,

o La competencia mide la calidad de la evidencia y el grado en
que está basada en hechos demostrables

Los resultados de una auditoría han

de estar basados en evidencias.
23
Evidencia

► Es necesario que las conclusiones del auditor estén basadas

en la suficiencia y competencia de la evidencia conseguida

o Independencia del proveedor de la evidencia

o Calificación de la persona que proporciona la información o la
evidencia
o Objetividad de la evidencia
o Duración de la evidencia

24
Evidencia

► Las evidencias pueden ser:

Físicas

Testimoniales

Documentales

Analíticas
25
Evidencia

► Métodos de recopilación de evidencias

Revisiones

Inspecciones

Observación

Entrevistas

Procedimientos analíticos
26

► Muestreo: estadístico y no estadístico

o Ejemplo: UNE-ISO 2859-1:2012
Fases de Auditoría

1. Preparación 2. Realización
de la Auditoría
Auditoría

27
Preparación de la auditoría

3.
Recopilación
1 Definición 2. Recursos y 4. Programa 5. Plan de
de
del alcance tiempos de trabajo comunicación
información
básica

28
Realización de la Auditoría

► Se realiza la aplicación de la Metodología elegida.

► En caso de aplicar EDR y seguir el esquema que recomienda ISACA.
► Normalmente el auditor tiene un EDR genérico, que en función de la
organización, adaptará.

2. 3. Selección 4.
1 5. 6. Revisiones
Identificación de las Realización
Identificación Conclusiones y cierre de
de controles pruebas y de pruebas y
de riesgos y papeles de
fuertes y técnicas a obtención de
potenciales comentarios trabajo
débiles utilizar resultados

29
Redacción del Informe de Auditoría

► Habitualmente se elabora un informe preliminar que incluya:

▪ Alcance y Objetivo de la auditoría

▪ Metodología utilizada.
▪ Posibles Limitaciones.
▪ Resumen de auditoría.
▪ Conclusiones en base a los resultados obtenidos.
▪ Discusión con los auditados.

► Es recomendable distribuir dicho borrador al área auditada /cliente

/organización y obtener una contestación en la que puede aceptar lo
indicado en el informe y/o presentar alegaciones.
Redacción del Informe de Auditoría

Mostrar ejemplos de informes

www.unir.net