Sei sulla pagina 1di 12

Auditora tcnica

y de certificacin
Rafael Estevan de Quesada
PID_00142999

FUOC PID_00142999

Rafael Estevan de Quesada


Ingeniero superior de Telecomunicaciones por la Universidad Politcnica de Valencia. Consultor en seguridad de la informacin certificado
en Auditora de Sistemas de Informacin (CISA) por la ISACA, con
formacin en ingeniera de telecomunicacin y 7 aos de experiencia en empresas multinacionales del
sector de las telecomunicaciones y
empresas consultoras especializadas
en seguridad de la informacin.

Segunda edicin: septiembre 2009


Rafael Estevan de Quesada
Todos los derechos reservados
de esta edicin, FUOC, 2009
Av. Tibidabo, 39-43, 08035 Barcelona
Diseo: Manel Andreu
Realizacin editorial: Eureca Media, SL
Depsito legal: B-30.993-2009

Ninguna parte de esta publicacin, incluido el diseo general y la cubierta, puede ser copiada,
reproducida, almacenada o transmitida de ninguna forma, ni por ningn medio, sea ste elctrico,
qumico, mecnico, ptico, grabacin, fotocopia, o cualquier otro, sin la previa autorizacin escrita
de los titulares del copyright.

Auditora tcnica y de certificacin

FUOC PID_00142999

Introduccin

Con el objetivo de reducir los incidentes de seguridad, las organizaciones tienen implantadas una serie de medidas con la idea de que, si ocurren, las consecuencias que provoquen sean mnimas. La seleccin de las medidas ms idneas estar basada en un proceso de anlisis del riesgo al que se encuentra sometida la informacin y, en ciertos casos, estas medidas habrn sido escogidas
de un catlogo de buenas prcticas reconocido por la industria, por ejemplo
en la Norma ISO/IEC 27002:2005 (anteriormente se denominaba 17799) o en
la COBIT (ltima versin, 4.1).
Por otra parte, las organizaciones ms preocupadas por la proteccin de su informacin son conscientes de que la seguridad total no se conseguir nunca;
por ello, para tratar de lograr esa seguridad global en una organizacin, tambin se requieren unos planes de continuidad de negocio.
Todas estas medidas de seguridad y los mecanismos para gestionarlos conforman lo que se denomina un sistema de gestin de la seguridad de la informacin
(SGSI), un sistema que tiene por objetivo tratar de evitar los incidentes de seguridad; pero, si llegan a ocurrir, que se puedan gestionar de la mejor manera
posible y, por ltimo, que a lo largo del tiempo se pueda aprender de las conclusiones obtenidas y mejorar los mecanismos de seguridad.
Sin embargo, cabe recordar que la seguridad es un proceso vivo, que no es
una meta que se alcanza, que debe estar en constante revisin y que es fundamental que en todo momento las medidas de seguridad de que dispone la
organizacin reflejen la situacin actual y se adecuen al entorno en que sta
se encuentra.
Por esta razn se producen constantes cambios tanto en la configuracin de
los sistemas de informacin, como en el propio entorno en que se encuentran.
Por lo que es recomendable disponer de algn tipo de mecanismo de revisin,
preferiblemente independiente, con el objetivo de que se detecten los aspectos
que puedan ser ms vulnerables o que no estn correctamente configurados.
Estas revisiones de la seguridad de una organizacin se denominan auditoras
de seguridad. Forman parte de este ciclo vivo de la seguridad y permiten asegurar que los controles de seguridad implantados son los ms adecuados y estn correctamente configurados.
Cuando las auditoras de seguridad se basan en la revisin del conjunto de
medidas y de su proceso de gestin frente a normativas vigentes y concretamente frente a la ISO/IEC 27001, nos encontramos con procesos que pretenden comprobar que la gestin de la seguridad se realiza de manera acorde a

Auditora tcnica y de certificacin

FUOC PID_00142999

unos parmetros reconocidos por la industria y da como resultado las denominadas certificacionesdeseguridaddelsistemadegestindelaseguridad
delainformacin.
Por otra parte, tambin resulta interesante resaltar que actualmente nos encontramos ante la obligacin legal de comprobar peridicamente las medidas
de seguridad implantadas para reducir los riesgos que amenazan la informacin. Tanto en el marco de la legislacin en materia de proteccin de datos (en
Espaa, Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal y
su legislacin de acompaamiento, ms concretamente el Real Decreto 994/
1999 de Reglamento de Medidas de Seguridad de los Ficheros Automati zados
que contengan Datos de Carcter Personal), como en el marco financiero (en
el mbito europeo, los acuerdos Basilea II, y para todas las empresas cotizadas
en Estados Unidos, la ley Sarbanes-Oxley), se exige realizar peridicamente
revisiones del riesgo operacional y por tanto, se deriva la necesidad de realizar auditoras de seguridad de los sistemas de informacin. En este sentido,
es interesante destacar un resumen de la seccin 404 de ley Sarbanes Oxley
disponible en el sitio web de la AICPA, que expresa esta necesidad claramente:
"Section 404: Management Assessment of Internal Controls
Requires each annual report of an issuer to contain an "internal control report", which
shall:
1) state the responsibility of management for establishing and maintaining an adequate
internal control structure and procedures for financial reporting; and
2) contain an assessment, as of the end of the issuer's fiscal year, of the effectiveness of
the internal control structure and procedures of the issuer for financial reporting."

La cita indica que la direccin de las empresas cotizadas en los mercados de


valores americanos debe establecer y mantener estructuras internas para el
control financiero y que anualmente debe revisarse que estos controles internos sean efectivos. Puesto que actualmente la gestin y control de las finanzas
recaen en su totalidad en sistemas de informacin, tanto los controles como
las auditoras exigidas por la ley Sarbanes-Oxley son extensibles a los sistemas
de informacin.
Toda esta situacin que hemos comentado ha llevado al auge de la disciplina
de la Auditora de Sistemas de Informacin como un derivado inicial de las
Auditoras de Cuentas. Este protagonismo est reforzado por el entorno actual
en que los Sistemas de Informacin participan cada da ms en todos los procesos productivos y no slo en los de control financiero de las instituciones.
Por lo tanto, este curso tiene por objeto presentar los conceptos fundamentales que definen la Auditoras de Sistemas de Informacin y mostrar al alumnos
el amplio campo que existe en esta rea para su propio desarrollo profesional.

Auditora tcnica y de certificacin

FUOC PID_00142999

Actividades
Preguntasdeeleccinmltiple
1.Cul de las siguientes opciones define ISO/IEC 27001?
a) Cdigo de buenas prcticas para la gestin de la seguridad de la informacin.
b) Sistemas de gestin de la calidad.
c) Especificaciones para los sistemas de gestin de la seguridad de la informacin.
d) Sistemas de gestin medioambiental.
2.ISO/IEC 27002 es...
a) un conjunto de normas ISO para asegurar los sistemas informticos.
b) un modelo de normas ISO que define la interconexin de sistemas a travs de 7 niveles.
c) un conjunto de normas ISO para gestionar los sistemas de seguridad de la informacin.
d) Las tres anteriores son vlidas.
3.Cuntos controles componen la ISO/IEC 27002 versin 2005?
a) 129
b) 36
c) 133
d) 10
4.Y objetivos?
a) 41
b) 129
c) 36
d) 10
5.Cul de los siguientes fundamentos no es imprescindible para implantar un sistema de
gestin de la seguridad de la informacin?
a) Definir el alcance del SGSI.
b) Llevar a cabo un anlisis de riesgos.
c) Implantar todos los controles de la norma.
d) Evaluar los riesgos detectados.
6.Cul es el orden de un plan de accin coherente para implantar un SGSI?
a) Nivel estratgico, nivel tctico, nivel operativo.
b) Nivel tctico, nivel estratgico, nivel operativo.
c) Nivel operativo, nivel tctico, nivel estratgico.
d) Nivel estratgico, nivel operativo, nivel tctico.
7.Acorde con qu sistema de gestin se ha desarrollado la norma?
a) ISO 14000 e ISO 37000
b) ISO 9001 e ISO 14001
c) ISO 14001 e ISO 13569
d) ISO 9001 e ISO 14032
8.Qu nuevo requisito se impone para una auditora o una certificacin ISO/IEC 27001 con
respecto a BS 7799-2:2002?
a) Controlar el acceso al sistema operativo.
b) Implantar un sistema de deteccin de intrusos.
c) Realizar un control de mtricas e indicadores de funcionamiento del SGSI.
d) Ninguno.
9.El papel del auditor del SGSI es...
a) valorar la eficacia del SGSI.
b) comprobar el grado de implantacin.
c) registrar evidencias e informar de los hallazgos.
d) Todos los anteriores.
10.Cmo puede un auditor seguir la trazabilidad de un SGSI?
a) A travs de los controles implantados.
b) A travs de la informacin comercial.
c) A travs del precio de la certificacin.
d) A travs de la experiencia de la consultora que implant el SGSI.
11.Qu significa el modelo PDCA?
a) Proponer, desarrollar, calibrar, asociar.
b) Planificar, desarrollar, consultar, actuar.
c) Planificar, disear, corresponder, asimilar.
d) Planificar, ejecutar, verificar, actuar.

Auditora tcnica y de certificacin

FUOC PID_00142999

12.Cul de las siguientes acciones no se corresponde con la fase de "planificar" en el ciclo


de desarrollo, mantenimiento y mejora de un SGSI?
a) Revisar regularmente el SGSI.
b) Definir el alcance del SGSI.
c) Identificar los riesgos.
d) Seleccionar los controles.
13.En la fase de seleccin de controles...
a) se han de implantar todos los controles enumerados en la norma ISO/IEC 27002.
b) slo se pueden escoger como mximo 120 controles enumerados en la norma ISO/
IEC27002.
c) los enumerados en la norma ISO/IEC 27002 se pueden complementar con otros controles
no relacionados en ella.
d) slo es necesario implantar diez controles enumerados en la norma ISO/IEC 27002.
14.Es posible que exista la necesidad de implantar otros controles que no se encuentren
enumerados en la norma ISO/IEC 27002?
a) S, existen controles que no estn relacionados con la norma.
b) Se pueden implantar slo tres controles adicionales.
c) No, todos los controles posibles estn relacionados.
d) No, los controles adicionales no existen.
15.Cul de las siguientes afirmaciones es falsa en referencia al documento de poltica de
seguridad de una organizacin?
a) Necesita tener un propietario.
b) Tiene que estar disponible a todo el personal relacionado con la seguridad de la informacin.
c) Tiene que estar registrado en la empresa certificadora.
d) Tiene que estar actualizado.
16.Qu se consigue con el anlisis de los flujos de informacin?
a) Conocer la relacin de usuarios del SGSI.
b) Conocer cmo se almacenan las contraseas de usuarios.
c) Saber quin es el responsable de seguridad.
d) Conocer la identificacin de los procesos de E/S de informacin.
17.El elemento ms importante de una poltica de seguridad es...
a) la revisin de las autorizaciones de acceso a los activos crticos de la organizacin.
b) la existencia de un comit de seguridad.
c) el compromiso de la direccin con la poltica de seguridad.
d) el mantenimiento de los sistemas de informacin por parte del administrador.
18.El documento de poltica de seguridad es...
a) de acceso restringido a la direccin de la organizacin.
b) de acceso a los empleados con responsabilidad en seguridad.
c) de acceso exclusivo al director general.
d) de acceso exclusivo a terceras partes.
19.Cuntas versiones de poltica de seguridad deben existir en una organizacin?
a) Una, la misma para todos.
b) Tres, una para la direccin, otra para el comit y otra para los usuarios.
c) Las necesarias, segn los perfiles y de acuerdo a los conocimientos que necesiten los
usuarios.
d) Dos, una interna y otra externa.
20.Quin aprueba la poltica de seguridad?
a) El administrador de sistemas.
b) El consejero delegado.
c) El responsable de seguridad.
d) El comit de seguridad.
21.Y quin la firma para su oficialidad?
a) El ms alto representante de la organizacin.
b) El redactor.
c) El director general.
d) El vigilante de seguridad.
22.A quin hay que distribuir un documento de poltica de seguridad?
a) Al comit de seguridad.
b) A todo el personal.
c) Se ha de distribuir en base a la necesidad del saber.

Auditora tcnica y de certificacin

FUOC PID_00142999

d) A la alta direccin.
23.Qu debe incorporar al menos la poltica de seguridad?
a) Definicin de seguridad, compromiso de la direccin, explicaciones breves de polticas,
responsabilidades, referencias a otros documentos.
b) Definicin de seguridad, polticas detalladas, destinatarios del documento, referencias a
otros documentos.
c) Definicin de seguridad, compromiso de la direccin, responsabilidades, referencias a
leyes de aplicacin, firma del administrador.
d) Poltica detallada de control de accesos, seguridad en contrataciones, versin del documento y firma del director general.
24.Cmo definir el alcance de un SGSI?
a) En base al feeling del administrador de sistemas.
b) En base a la facturacin anual de la organizacin.
c) En base al nivel de acceso de los usuarios.
d) En base a las caractersticas de la organizacin, localizaciones, activos o tecnologas.
25.El alcance de un SGSI queda reflejado en...
a) la poltica de contraseas.
b) el certificado obtenido.
c) el organigrama de la organizacin.
d) el log de operaciones del administrador.
26.En base a qu se debe seleccionar los controles que se han de implementar?
a) Al nmero de ataques recibidos en el ltimo mes.
b) Al anlisis de riesgos efectuado.
c) Al nivel de riesgo de las bases de datos.
d) Al nivel de los ficheros de datos personales.
27.Cul de las siguientes afirmaciones es falsa en referencia al alcance de un SGSI?
a) El alcance puede ser toda o parte de la organizacin.
b) Puede estar definido por caractersticas de la organizacin, localizaciones, tecnologas,
activos u organigrama.
c) Si el alcance se modifica, el certificado sigue siendo vlido hasta la siguiente auditora
obligatoria.
d) La subdivisin del alcance facilita el nombramiento de responsabilidades.
28.Qu es el riesgo residual?
a) El riesgo que permanece, una vez aplicados los controles seleccionados.
b) El que existe sin haber aplicado ningn control.
c) El que supone un riesgo para la continuidad del negocio.
d) El no detectado sobre un activo.
29.Cul de las siguientes afirmaciones es falsa?
a) Un anlisis de riesgos proporciona una seleccin de controles proporcionales al riesgo.
b) Un anlisis de riesgos proporciona la deteccin de requisitos de seguridad.
c) Un anlisis de riesgos ayuda a detectar los riesgos sobre los activos.
d) Un anlisis de riesgos detecta el riesgo que no pueden cambiar.
30.Qu es el riesgo intrnseco?
a) Es la posibilidad de que se produzca un impacto determinado en un activo.
b) El riesgo que existe despus de aplicar una salvaguarda.
c) El riesgo que supone una amenaza para la continuidad del negocio.
d) El riesgo no detectado sobre un activo.
31.Qu es el umbral de riesgo?
a) El riesgo que permanece una vez aplicados los controles seleccionados.
b) El estimado como riesgo no necesario a proteger por su bajo impacto en el funcionamiento de la organizacin.
c) La potencialidad de que una amenaza se materialice.
d) El punto que la direccin de la organizacin identifica como frontera entre un riesgo
asumible de uno no asumible.
32.Quin es el responsable de aceptar y asumir el riesgo residual?
a) El administrador de sistemas.
b) El comit de seguridad.
c) La direccin de la organizacin.
d) El auditor del SGSI.
33.Qu es una amenaza?
a) Es la posibilidad de que se produzca una vulnerabilidad en un riesgo determinado.

Auditora tcnica y de certificacin

FUOC PID_00142999

b) Es un recurso de las tecnologas de los sistemas de informacin.


c) Es la prdida total o parcial del valor de un activo.
d) Es un evento que puede desencadenar un incidente provocando daos sobre un activo.
34.Qu es un activo de sistemas de informacin?
a) Es un recurso del sistema de informacin necesario para que la organizacin funcione
correctamente y alcance sus objetivos.
b) Es toda la informacin incluida en una base de datos de clientes potenciales del departamento comercial.
c) Es la posibilidad o potencialidad de que una amenaza se materialice.
d) Es el sistema de informacin publicado en la pgina web de la organizacin para la captacin de clientes.
35.Qu frase define mejor el concepto de salvaguarda?
a) Dispositivos encaminados a reducir las amenazas potenciales.
b) Acciones, dispositivos o controles utilizados para reducir el riesgo.
c) Controles de la ISO/IEC 27002 definidos para reducir el impacto que provocara la materializacin de una amenaza.
d) Recursos del sistema de informacin necesarios para que la organizacin proteja sus activos.
36.Qu parmetros hay que tener en cuenta para estimar la vulnerabilidad?
a) Valores econmicos.
b) Frecuencia de ocurrencia.
c) Nivel de degradacin.
d) Disminucin del valor.
37.A la hora de seleccionar los controles de la ISO/IEC 27002, es necesario...
a) seleccionar los controles proporcionales al nivel de riesgo.
b) implantar siempre todos los controles en mayor o menor medida.
c) seleccionar los controles proporcionales al nivel de riesgo y valorar la necesidad de seleccionar controles adicionales no incluidos en la norma.
d) encargar al administrador de sistemas que seleccione los controles necesarios.
38.Qu contiene la declaracin de aplicabilidad?
a) La seleccin de controles necesarios que se han de implantar, y las razones de inclusin
y exclusin de controles.
b) La seleccin de controles implantados, y las razones de inclusin y exclusin de controles.
c) El compromiso de la direccin con la poltica de seguridad.
d) El compromiso del comit de seguridad para aplicar la poltica de seguridad en todo el
alcance del SGSI.
39.Cul es la funcin de los procedimientos asociados a la poltica de seguridad?
a) Describir cmo proceder ante un incidente en el SGSI.
b) Describir cmo recuperar la funcionalidad del antivirus.
c) Describir en detalle los controles implantados.
d) Describir en detalle la gestin y la operacin del SGSI.
40.Cul es el motivo que hace necesaria la existencia de un control documental?
a) La compatibilidad con estndares de medio ambiente.
b) La deteccin de documentacin relacionada con el SGSI.
c) La exigencia de documentar los controles implantados.
d) La compatibilidad con estndares de calidad.
41.Qu es un registro del SGSI?
a) La evidencia de la gestin y explotacin de un SGSI.
b) La accin de registrar el contenido de los equipos de los usuarios.
c) La condicin para que el certificado sea vlido.
d) Todos los anteriores.
42.Qu documentacin compone un SGSI?
a) Procedimientos, instrucciones, explicaciones, rdenes, tcticas.
b) Polticas, instrucciones, manuales, estrategia, capacidades.
c) Normas, procedimientos, requisitos, reclamaciones, instrucciones.
d) Polticas, normas, procedimientos, rdenes de trabajo, registros.
43.Qu objetivo es el ms habitual desde el punto de vista del auditor?
a) Determinar el grado de cumplimiento con respecto a la norma.
b) Revisar la efectividad y adecuacin del sistema para cubrir objetivos y poltica de seguridad.
c) Ofrecer una oportunidad de revisar el SGSI.
d) Todos los anteriores.

Auditora tcnica y de certificacin

FUOC PID_00142999

44.Qu objetivo es el ms habitual desde el punto de vista del auditado?


a) La obtencin de la certificacin.
b) El cumplimiento legal.
c) El cumplimiento contractual.
d) Todos los anteriores.
45.Cul es el control ms eficiente que una organizacin debera implementar si el administrador de sistemas posee acceso total a la red, a todos los dispositivos, a las bases de datos
y, en general, a toda la informacin y sistemas de informacin?
a) Se le debe exigir al administrador la firma de clusulas de confidencialidad.
b) El administrador debe ser un profesional de credibilidad contrastada y de plena confianza.
c) Se debe controlar al administrador mediante segregacin de tareas, revisin de registros
de acceso a la informacin y herramientas de administracin.
d) Hay que despedirle.
46. Una organizacin decide subcontratar a un tercero el servicio de almacenamiento de
copias de seguridad. Qu control es el ms apropiado?
a) Establecer un contrato de confidencialidad y exigir los controles necesarios para garantizar la confidencialidad, integridad y disponibilidad de la informacin.
b) Si el proveedor es de conocida reputacin, no es necesario establecer ningn control
especfico.
c) Cifrar la informacin antes de que salga de la organizacin.
d) Proteger los datos con contrasea.
a) Obligarle a firmar clusulas de confidencialidad y exclusividad.
b) Disuadirle de su decisin.
c) Intentar que transmita su conocimiento a otro empleado.
d) Revocar los privilegios de acceso a la informacin y requerirle la entrega de los activos
que son de propiedad de la organizacin.
Cuestionesbreves
1.Explicad brevemente qu quiere decir que una organizacin est certificada contra la ISO/
IEC 270001.
2.Qu diferencia existe entre una auditora de Sistemas de Informacin y una auditora de
certificacin?
3.Exponed tres diferencias entre un auditor jefe y un auditor.
4.Puede actuar como auditor jefe una persona que haya aprobado el examen de auditor
jefe despus de haber realizado un curso? Razonad la respuesta.
5.Puede una organizacin certificada alegar que proporciona a sus clientes un servicio de
consultora de sistemas seguro? Razonad la respuesta.
6.Puede participar por parte del solicitante en el proceso de certificacin un consultor externo? Razonad la respuesta.
7. Qu documentacin debe aportar la organizacin solicitante en la etapa de auditora
documental?
8.Puede un auditor jefe certificar una organizacin? Razonad la respuesta.
9.Puede un auditor interno realizar la auditora de certificacin? Razonadlo.
10.Puede un consultor externo hacer una auditora de conformidad con la norma? Razonad
la respuesta.
11.Puede una organizacin certificada que sufre un incidente de seguridad alegar que la
entidad de certificacin no ha realizado bien su trabajo? Razonad la respuesta.
12.Quin es el principal responsable del mantenimiento del certificado?
13. Qu condiciones tienen que darse para que el auditor recomiende una organizacin
para su certificacin?
14.Puede una entidad de certificacin desarrollar e implantar un SGSI en una organizacin
que luego va a certificar?
Casoprctico:procesodeauditoradecertificacin

Auditora tcnica y de certificacin

FUOC PID_00142999

10

Determina cmo se clasificaran cada uno de los siguientes hallazgos que ha hecho el equipo
de auditora (conforme, observacin, no conformidad menor, no conformidad mayor) y a
qu partes de la norma ISO 27001 afectan o a qu controles de la norma ISO/IEC 27002:2005.
1.Al hacer una revisin de las copias de seguridad, se detect que se hacen copias de uno
de los servidores de aplicaciones que est inventariado y que est incluido en el anlisis de
riesgos
2.Existe un servidor que no est etiquetado. Al hacer las comprobaciones oportunas se detect que no est inventariado. Tampoco se encontraron evidencias de la autorizacin para
su instalacin.
3.La herramienta antivirus se actualiza una vez a la semana.
4.La secretaria del director general no ha recibido ninguna formacin en materia de seguridad de la informacin.
5.Existe una queja formal de un cliente porque su competencia obtuvo informacin sobre
la aplicacin que se le estaba desarrollando, a travs de la contratacin de uno de los programadores que estaban trabajando en la empresa del solicitante.
6. La organizacin no cuenta con un firewall, ni ninguna otra medida de seguridad para
proteger la lnea de comunicaciones por la que se accede a Internet.
7.No se han encontrado las especificaciones aportadas por el cliente para tres proyectos.
La informacin est inventariada y clasificada como confidencial.
8.La organizacin ha recibido una sancin de la APD por no atender el derecho de cancelacin de uno de sus clientes.
9.La poltica de seguridad especifica que todos los empleados deben notificar inmediatamente los incidentes de seguridad. Sin embargo, varios de los empleados entrevistados declaran
que no saben qu es un incidente y que no han recibido formacin al respecto.
10.El personal del departamento de sistemas ha declarado que utiliza un sniffer para monitorizar la informacin que algunos empleados envan por correo electrnico. Esta aplicacin no
est incluida en el inventario, ni tampoco existe evidencia de que se haya autorizado su uso.
11.Las claves de los usuarios se cambian dos veces al ao.
12.El rack donde estn los elementos de red de la organizacin est abierto y no se ha encontrado la llave. La poltica de seguridad establece que debe permanecer cerrado.
13.La poltica de seguridad establece que todas las personas que visiten la organizacin deben
llevar una tarjeta identificativa. Sin embargo, el equipo de auditora ha visto varias visitas
que no la llevaban, aunque iban acompaados por personal de la organizacin.
14.La poltica de seguridad establece la disponibilidad como uno de los criterios de seguridad
que se han de garantizar. Sin embargo, la organizacin no dispone de medidas destinadas a
garantizar la disponibilidad de los sistemas. En el anlisis de riesgos no se ha incluido ningn
riesgo por falta de disponibilidad de los sistemas.
15.La organizacin cuenta con la colaboracin de tres becarios en el departamento de desarrollo, pero en los contratos entre la universidad y la organizacin no existe ninguna clusula
referente a la seguridad o a la confidencialidad de su trabajo.

Auditora tcnica y de certificacin

FUOC PID_00142999

11

Contenidos

Mdulo didctico1
Introduccin a la auditora informtica
Rafael Estevan de Quesada
1.

Definicin de auditora

2.

Componentes de una auditora

3.

Proceso de auditora

4.

Programa de auditora

5.

Estandarizacin de la labor de auditora

6.

Gobierno de las TIC

7.

Equipo auditor

8.

El peritaje informtico

Mdulo didctico2
Auditora de certificacin ISO 27001
Rafael Estevan de Quesada
1.

Sistemas de gestin de la seguridad de la informacin

2.

Certificacin de SGSI contra el estndar ISO/IEC 27001:2005

3.

Proceso de certificacin de SGSI contra la ISO 27001

Mdulo didctico3
Auditora tcnica de seguridad
Rafael Estevan de Quesada
1.

Factores de xito de una auditora tcnica

2.

Alcance de la auditora tcnica

3.

Tipos de auditoras

4.

Planificacin de una auditora tcnica de seguridad

Mdulo didctico4
Metodologas
Rafael Estevan de Quesada
1.

Metodologas y guas del NIST

2.

Metodologas del movimiento de software libre

3.

Metodologa de la industria de las tarjetas de crdito

4.

Estndares de auditora de la ISACA

Mdulo didctico5
Tcnicas de auditoras
Rafael Estevan de Quesada
1.

Revisin de documentacin

2.

Entrevistas

3.

Visitas de auditora

4.

Pruebas tcnicas de sistemas de informacin y comunicaciones

Auditora tcnica y de certificacin

12

FUOC PID_00142999

Auditora tcnica y de certificacin

Bibliografa
Peltier, Thomas R.; Peltier, Justin; Blackley, John A. (2003). Managinga
Network Vulnerability Assessment . Auerbach Publications.
McNab, Chris (2004). Network Security Assessment. O'Reilly.
Deraison, Renaud; Meer, Haroon; Temmingh, Roelof; van der Walt,
Charl; Alder, Raven; Alderson, Jimmy; Johnston, Andy; Theall,
George A. (2004). Nessus Network Auditing. Syngress Publishing.
Jack J. Champlain (2003). Auditing Information Systems. John Wiley and
Sons, 2nd Edition.
Rogers, Russ; Miles, Greg; Fuller, Ed; Dykstra, Ted; Hoagberg, Matthew (2004).Security Assessment: Case Studies for Implementing the NSA IAM. Syngress Publishing.
ISACA. COBIT 3rd Edition, 4th Edition. Information Systems Audit and Control Foundation (ISACF) y Information Technology Governance Institute.
ISACA. COBIT 3rd Edition Audit Guidelines. Information Systems Audit and
Control Foundation (ISACF) y Information Technology Governance Institute.
ISACA. IS Standards, Guidelines and Procedures for Auditing and Control
Professionals.Information Systems Audit and Control Foundation (ISACF) y Information Technology Governance Institute.
NIST. NIST SP 800 26: Security Self-Assessment Guide for IT Systems. U.S. Government Printing Office.
NIST. NIST SP 800 42: Guideline on Network Security Testing. U.S. Government
Printing Office.
PCI Security Standard Council. Payment Card Industry (PCI) Data Security
Standard: version 1.1. PCI Security Standard Council.
PCI Security Standard Council. Payment Card Industry (PCI) Data Security
Standard: Security Audit Procedures. PCI Security Standard Council.
Pete Herzog (dir.) y otros. Open-Source Security Testing Methodology Manual.
ISECOM.
Varios autores. OWASP Guide to building Secure Web Applications and Web
Services. Disponible en http://www.owasp.org/index.php/Guide. OWASP.
Varios

autores.

OWASP

Testing

Guide.

Disponible

www.owasp.org/index.php/OWASP_Testing_Project. OWASP

en

http://

Potrebbero piacerti anche