Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
información y su auditoría
[1.1] ¿Cómo estudiar este tema?
TEMA
Esquema
TEMA 1 – Esquema
Introducción a los Sistemas de Información y su auditoría
2
Auditoría informática
Rol de la Reseñas Funciones y objetos de
Glosario vs.
auditoría históricas la auditoría informática
Control Interno Informático
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación y presta
especial atención a los diferentes libros, vídeos y páginas web recomendados en los
respectivos apartados incluidos al final de este tema.
Este tema presenta una Introducción a los sistemas de información y el rol de la auditoría
informática, diferenciándolo del Control Interno Informático.
Este capítulo introductorio realiza un recorrido, a través de sus apartados, por algunos
aspectos que el alumno debe conocer para entender qué es un sistema de información,
la función de la auditoría informática en las organizaciones y su decisiva contribución a
las TIC.
Según International Standard Organization (ISO): «Algo que tiene valor para la
organización» (ISO/IEC 13335-1:2004). Un activo de sistemas de información (SI)
sería todo aquello que una entidad considera valioso por contener, procesar o generar
información necesaria para el negocio de la misma. Todo sistema de información
utilizado por la organización (en régimen de propiedad, subcontratación o pago por uso)
deberá:
El último punto indica que los Sistemas de Información (SI) han de ser eficientes
(cumplir con los objetivos de la organización), eficaces (deben ser útiles para la mejor
utilización por parte de los usuarios) y económicos (es decir, al menor coste posible)
en recursos y unidades monetarias.
Por tanto, tras asumir el punto anterior como cierto, el diseño, ejecución o adquisición
de un sistema de información no debe ser una decisión aislada sino formar parte de
una plan. Es decir, todo sistema de información, si se desea que sea eficaz y eficiente,
deberá estar adecuadamente planificado.
El plan TIC debe dar respuesta a las necesidades del negocio expuestas en el plan
estratégico de la organización y ser coherente con este.
El alineamiento del plan estratégico y del plan de las TIC tiene una doble dirección en la
medida en que el negocio conforma las necesidades de sistemas de información y la
tecnología posibilita medios cada vez más eficaces y eficientes para cubrir los objetivos
de negocio, por lo que ambos planes han de retroalimentarse y estar alienados para
asegurar el adecuado gobierno de las TIC.
Salida
Entrada Proceso
(Información)
MAINFRAME
Por tanto, las organizaciones necesitan poner en marcha controles para asegurar la
integridad y exactitud de la información, pero también necesitarán de una auditoría
independiente capaz de entender las interioridades de los procesos informáticos y revisar
el correcto funcionamiento de los controles existentes.
Surge entonces la figura del auditor informático que entendía lo que sucedía en
el proceso de información dentro de aquellos mainframes.
Definición de Auditoría
Lawrence B. Sawyer (1985) (Sawyer’s Internal Auditing: The Practice of Modern Internal
Auditing) en (Sawyer’s Internal Auditing: The Practice of Modern Internal Auditing)
define la auditoría como: «Una sistemática evaluación de las diversas operaciones y
controles de una organización, para determinar si se siguen políticas y
procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos
eficientemente y si se han alcanzado los objetivos de la organización».
Tipos de auditoría
o Planificar la auditoría.
o Llevar a cabo las distintas tareas definidas en las fases de la auditoría.
o Escuchar y observar (recordemos el origen latino del término: aquel que tiene la
capacidad de oír).
o Gestionar las desviaciones y riesgos que pudieran producirse durante la auditoría.
» Las observaciones:
o Evidencias relacionadas
CONTROL INTERNO
AUDITOR INFORMÁTICO
INFORMÁTICO
• Personal interno. Conocimiento especializados en TIC
Según IT Governance Institute (ITGI) —cuya misión es asistir a los líderes empresariales
en su responsabilidad de asegurar que las TIC están alineadas con el negocio y generan
valor, medir su rendimiento y comprobar que sus recursos son adecuadamente
administrados y sus riesgos gestionados y mitigados — el gobierno de TI es una parte
integral del gobierno corporativo. Y consiste en liderar y definir las estructuras y procesos
organizativos que aseguran que las Tecnologías de la Información y Comunicaciones
(TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización,
siendo la responsabilidad del comité de dirección y gerencia.
El gobierno no solo persigue el logro de los objetivos del negocio (para lo cual será
necesaria la gestión) sino que además estos objetivos habrán de lograrse asegurando la
sostenibilidad de la organización o entidad, en equilibrio y cumplimiento de unos
principios de responsabilidad, ética y conducta. Ver la siguiente ilustración.
Estos principios vertebran las directrices del buen gobierno mencionadas por el estándar
internacional ISO 38500; en concreto:
Es importante destacar que recomendar e informar a la alta dirección por parte del
auditor implica:
Lo + recomendado
No dejes de leer…
Fernández, C. M. (2010). Auditoría de los estándares ISO en las TIC: una herramienta
de la Dirección. Revista red de seguridad, 45.
Este artículo elaborado por D. Carlos Manuel Fernández, Gerente de TICs de AENOR,
presenta el modelo de ISO en las TIC y el papel de la auditoría interna y externa como
herramienta para la dirección.
No dejes de ver…
+ Información
A fondo
Anantha Sayana, S., CISA, y CIA (2002). The IS Audit process. ISACA Journal, 1.
Este excelente artículo concentra en su corta extensión los aspectos clave de la auditoría
de sistemas de información con tanta completitud como concreción y brevedad en su
exposición.
Enlaces relacionados
ISACA
ISO
Bibliografía
Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniería del
software. AENOR Ediciones.
Fernández, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. AENOR Ediciones.
Gómez, L., Fernández P.P. (2015). Cómo implantar un SGSI según UNE-ISO/IEC
27001:2014 y su aplicación en el Esquema Nacional de Seguridad. AENOR Ediciones.
Guide to Using International Standards on Auditing in the Audits of Small- and
Mediumsized Entities. NY, 2007.
INTOSAI: Guía para las normas de control interno del sector público. (INTOSAI GOV
9100).
Marco para la auditoría de los sistemas de información. 2009 ISACA Capítulo Madrid.
Piattini, M., Del Peso, E. (2000). Auditoría Informática: Un enfoque práctico. Editorial
Ra-MA.
Piattini, M., Del Peso, E. y Fernández, C.M. (Coautor). (2008). Auditoría de Tecnologías
y Sistemas de Información, RA-MA.
The Institute of Internal Auditors (2007). The GAIT Principles. Altamonte Springs.
GTAG 1: Information Technology Controls.
VV.AA. (2009). Marco para la auditoria de los sistemas de información. ISACA Madrid.
Weber, R. (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw
Hill.
Test
8. El Comité de informática:
A. Se encarga de hacer de interfaz entre los usuarios y los informáticos. Está
compuesto por expertos en una materia y conocen muy bien el negocio/modelo de
datos que manejan.
B. Diseña el plan estratégico de la compañía.
C. Elabora el Plan Director de Informática, que se corresponde con el Plan
Estratégico. Puede ser a un año o a dos.
D. Ninguna de las anteriores.
10. El CII (Control Interno Informático) se diferencia del auditor informático en:
A. No tiene cobertura sobre todos los componentes del sistema de información de
la organización.
B. Son personal interno o externo.
C. Realizan un análisis del control interno informático diariamente.
D. Informan a la Dirección General en tiempo real.
TEMA
Esquema
TEMA 2 – Esquema
Controles internos de los Sistemas de Información
2
Organigrama Clasificación
Controles Controles de Controles Controles de La regla de
funcional de controles de
generales aplicación por área productos oro
un CPD SI
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación y presta
especial atención a los diferentes libros, vídeos y páginas web recomendados en los
respectivos apartados incluidos al final de este tema.
Este tema presenta la estructura funcional de un Centro de Proceso de Datos (CPD) y los
principales controles internos.
Comité de
informática DSI o CIO
Control interno de
Director del Dirección de sistemas tecnologías de la
CPD de información información (CITI)
WEB
BigData/BI DESARROLLO Y EXPLOTACIÓN OFIMÁTICA MOBILITY
MASTER/
MANTENIMIENTO
COMMUNITY
MANAGER
Centro de HW SW
atención al
Cloud Jefe de usuario (CAU)
Computing proyecto
Analista Técnico de
programador sistemas
(mantienen)
Captura de
Sistema Sist. de gestión
Telecomunicaciones datos
operativo de BDD
Jefe de sala
AQUÍ ESTÁN LOS DATOS
REALES
Operadores
Los controles son acciones y mecanismos definidos para prevenir o reducir el impacto de
los eventos no deseados que ponen en riesgo a los activos de una organización.
» Objetivo del control: objetivo general del control: qué se pretende medir,
conseguir, etc.
» Descripción del control: descripción detallada del control. En qué consiste.
Descripción funcional y técnica. Dependencias, etc.
» Frecuencia del control: frecuencia de ejecución del control o elementos que lo
disparan (trigger).
» Ejecución: forma de ejecución del control (manual, automática, mixta) e
información de ejecución, explotación y operación del control.
» Monitorización: información detallada de la forma de monitorización por parte del
control, conteniendo al menos:
o Elementos que se monitorizan.
o Frecuencia de monitorización.
o Plantilla de monitorización (KPIs que se analizan).
o Informe de monitorización.
En una clasificación general de los controles, podríamos decir que estos pueden ser:
Controles correctivos
Controles correctivos
» Correctivos: estos controles actúan una vez detectado el evento y permiten el re-
establecimiento de la actividad normal después de ser detectado el evento no deseable
y la modificación de las acciones que propiciaron su ocurrencia; es decir, la
eliminación de la causa para evitar futuras ocurrencias de dicho evento. Los controles
correctivos suelen ser más costosos porque actúan cuando ya se han presentado los
hechos que implican pérdidas para la organización. Ver ilustración 4.
Controles correctivos
Controles generales
Además, existen otros controles de hardware y software de sistemas, entre los que
podemos destacar:
Por último, están los controles de seguridad lógica y física, que se caracterizan por
preservar:
Propiedades de la información
Fuente: Aenor
Controles de aplicación
Son los controles que cubren las áreas funcionales ya definidas para un CPD, es decir
controles que pudieran ser específicos no de un sistema o aplicación o generales a la
organización, sino particulares de una de las áreas funcionales del CPD.
Nota: En México y Perú se están ya aplicando algunas de estas leyes de TICs. Asimismo,
en otros países de lengua hispana.
o Coste del impacto que tendría el riesgo sobre la organización en caso de que la
amenaza explotara la vulnerabilidad del activo; es decir, caso de que se
materializara el riesgo.
o Coste potencial de la no implementación del control.
Lo + recomendado
No dejes de leer…
Este artículo detalla los controles generales y de aplicación, así como algunas normas
técnicas de auditoria aplicables según el sector.
No dejes de ver…
+ Información
A fondo
Enlaces relacionados
COBIT 5
Bibliografía
Estupiñan, R. (2015). Control Interno y Fraudes con base en los ciclos transaccionales.
Análisis de informe COSO I, II y III. EDICIONES Ecoe.
Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniería del
software. AENOR Ediciones.
Fernández, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. AENOR Ediciones.
INTOSAI: Guía para las normas de control interno del sector público. (INTOSAI GOV
9100).
Marco para la auditoría de los sistemas de información. 2009 ISACA Capítulo Madrid.
Piattini, M. Del Peso, E., Fernández, C.M. (Coautor). (2008). Auditoría de Tecnologías
y Sistemas de Información, RA-MA.
Soley, J. Basilea II: una nueva forma de relación banca empresa. MCGRAW-HILL.
The Institute of Internal Auditors (2007). The GAIT Principles. Altamonte Springs.
GTAG 1: Information Technology Controls.
VV.AA. (2009). Marco para la auditoria de los sistemas de información. ISACA Madrid.
Weber, R. (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw
Hill.
Test
TEMA
El proceso y las fases de la auditoría de SI
Esquema
TEMA 3 – Esquema
EDR y otras metodologías Fases de Habilidades del auditor
de auditoría informática auditoría informático
2
EDR Genérico Preparación
EDR Simplificado
Realización
(checklist)
Distribución
Informe
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación y que han
sido elaboradas por el profesor. Al finalizar el tema, tienes que leer el apartado «a
fondo» para reforzar los principales conocimientos desarrollados. Además, tienes que
realizar las lecturas recomendadas y apoyarte en la bibliografía y los enlaces
relacionados asociados al tema. Por último, deberás realizar el caso práctico y completar
el test de autoevaluación.
Pero antes, estableceremos la base conceptual sobre la que desarrollar el resto del tema
abordando el significado del término metodología.
Es importante resaltar que la auditoría debe ser una herramienta de la dirección para
asegurar el alineamiento de las TIC con el negocio y que el buen auditor no solo debe
detectar hallazgos (o findings) sino que debe ser capaz de generar valor para el negocio.
Es el concepto del Value For Auditing Money (VMAF) que marcará el aspecto
evolutivo de los auditores del futuro inmediato y que está basado en Eficacia, Eficiencia
y Economía).
El auditor realiza un análisis del riesgo existente en los sistemas de información incluidos
en el alcance de la auditoría, determinando a través de pruebas y herramientas de
auditoría la existencia de controles y la eficacia y eficiencia de los mismos, identificando
los riesgos existentes por defecto del control o por la implementación parcial del mismo.
Cada riesgo asociado a los sistemas de información bajo alcance de la auditoría tendrá
un o unos objetivos de control asociados.
El auditor informático que sigue un enfoque EDR en términos generales analiza los
riesgos de los sistemas de información, los cuantifica y evalúa y analiza la completitud y
grado de eficacia de los controles organizativos para la gestión del riesgo (potencial)
identificado, sirviéndose de un conjunto de pruebas que desarrollaremos en los próximos
apartados.
A partir del riesgo potencial el auditor obtiene los objetivos de control que
la organización debería haber definido para la mitigación de su riesgo
potencial.
» Controles: una vez que el auditor ha identificado los riesgos potenciales y definido
los objetivos de control necesarios para su mitigación, por cada objetivo de control
encaminado a la mitigación de un riesgo potencial se deben identificar las técnicas de
control o controles —para mayor claridad utilizaremos el término controles en lugar
de técnicas de control— que deben minimizar el riesgo, logrando cumplir así el
objetivo de control.
Un mismo objetivo de control puede quedar cubierto por varios controles. Un control
podría llevar a cubrir varios objetivos de control. Por tanto, la relación objetivo de
control-controles es una relación de «muchos a muchos».
A través de las pruebas el auditor podrá analizar los controles internos organizativos
y cuantificar el riesgo real, ya que toda opinión o evaluación de un auditor debe estar
basada en pruebas realizadas y en la evidencia obtenida de acuerdo a una normativa
profesional.
o si un control existe
o si funciona de forma efectiva
o si logra sus objetivos de forma eficiente
Objetivo de Prueba de
Riesgos Control Prueba sustantiva
control cumplimiento
RIESGO 1: Garantizar el Procedimiento de 1. Comprobar que -Ampliar muestra
Acceso no acceso de altas y bajas de existe un de usuarios dados
autorizado a usuarios Usuario procedimiento de de alta en cada
sistemas y autorizados y altas/bajas de área.
aplicaciones. evitar el acceso usuarios
no autorizado a 2. Seleccionar -Ampliar muestra
los sistemas y varios usuarios de usuarios dados
servicios. de cada área a los de baja en cada
que se les haya área
dado de alta
recientemente
3. Seleccionar
varios usuarios
de cada área a los
que se les haya
dado de baja
recientemente.
Procedimiento 1. Comprobar que Ampliar muestra
para la existen de usuarios que
restricción de definiciones de tengan el acceso
acceso a la perfiles de correctamente
información. usuarios por definido
áreas.
2. Verificar en
Base de Datos,
Directorio Activo
(LDAP) o RACF
que un usuario
tiene el acceso
necesario a los
sistemas de
información
Procedimiento de 1. Comprobar que Ampliar muestra
gestión de existe un de usuarios que
contraseñas procedimiento tengan el acceso
que defina la correctamente
longitud y definido
robustez de las
password de
usuario
2. Verificar en
Base de Datos,
Directorio Activo,
etc. que varios
usuarios cumplen
con la definición
de password.
Objetivo de Prueba de
Riesgos Control Prueba sustantiva
control cumplimiento
RIESGO 2: Asegurar la Procedimiento de 1. Comprobar que
Ataques e protección de la protección de red existe un
intrusión a redes información en (firewall, IDS). procedimiento de
corporativas las redes y los Procedimiento de configuración
servicios de configuración (setup),
soporte de (setup) de mantenimiento y
tratamiento de la firewalls e IDS. monitorización
información. Procedimiento de de los firewall,
mantenimiento IDS, etc.
de firewalls e 2. Comprobar
IDS. que se han
Procedimiento de implantado las
monitorización, políticas de
firewall e IDS filtrado
adecuadas para el
firewall.
3. Comprobar
que los IDS
tienen
actualizados los
ficheros de firmas
y/o reglas de
acceso.
EMPEZAR 2
IMPACTO)
REALIZACIÓN DE
(VER EL
¿EXISTE
2 PRUEBAS DE
CONTROL?
SUSTANTIVAS
NO
SI
PRUEBA DE
CUMPLIMIENTO ¿EXISTE
CONFIRMACIÓN DEFICIENCIAS?
MEDIANTE PRUEBAS NO
COMENTAR
SI ID VERBAL
O LEVE
COMENTARIO MEDIO
¿CONFORME
O GRAVE SEGÚN
CON EL 2
DEFICIENCIAS O
CONTROL?
NO INCIDENCIAS
FIN
SI
FIN FIN
» El auditor revisa los controles con la ayuda de una lista de control (checklist) que
consta de una serie de preguntas o cuestiones a verificar (en realidad, pruebas de
cumplimiento de los controles).
» La evaluación consiste en identificar la existencia de unos controles establecidos o
estandarizados.
» Ese método de auditoría informática suele utilizarse por auditores con poca
experiencia, como guía de referencia, para asegurar que se han revisado todos los
controles.
» Es habitual establecer una tabla con los siguientes campos:
El EDR Simplificado podrá ser un enfoque suficiente para cubrir ciertos campos de la
auditoría de los sistemas en alcance, no sirviendo en otras áreas o sistemas dentro de
alcance en los que el auditor informático habrá de realizar pruebas de cumplimiento y
sustantivas más exhaustivas a efectos de asegurar el nivel de suficiencia y competencia
de las evidencias necesarias para sustentar sus conclusiones.
o Audit tools: son programas de utilidad que tiene el propio producto que vamos a
auditar.
o Audit retrievals: programas o scripts desarrollados al efecto de obtener
información del producto que sea de utilidad para la auditoría.
o Audit trails: son habitualmente los logs. Contienen evidencias de lo que sucede en
el interior del sistema. Tienen como desventaja que consumen mayor tiempo de
procesador, pues por cada operación se anota en el registro.
Los comentarios del auditor, que formarán parte del informe de auditoría, y la gravedad
de los mismos se derivarán de las pruebas de cumplimiento y sustantivas realizadas.
Preparación de la auditoría
A continuación se presentan cada una de las actividades que el auditor deberá realizar
con el objetivo de completar adecuadamente la etapa de preparación de la auditoría y
asegurar el correcto desarrollo del resto de etapas.
Esta etapa consiste en asignar los auditores (recursos necesarios) y el tiempo para la
auditoría. La asignación será de jornadas/hombre, incluyendo más o menos jornadas
en función del alcance definido y de la experiencia de los auditores (junior/senior),
así como del dimensionamiento del área o sistema a auditar.
o organigramas funcionales
o descripción de las instalaciones
o breve descripción de los sistemas existentes
o políticas
o estándares
o procedimientos
o información de los controles actualmente implementados
o informes previos de auditorías internas o de terceras partes
Una vez analizada la información básica, el auditor deberá identificar una lista de
personas a entrevistar, especificando en la medida de lo posible:
o el alcance definido
o los recursos disponibles
o el tiempo estimado
o la información básica analizada
» Plan de comunicación: uno de los aspectos clave que debe quedar acordado con el
auditado y que conformarán un factor crítico de éxito en la realización de la auditoría
es el plan de comunicación. El auditor deberá explicar y acordar con el área auditada
los aspectos de comunicación, entre otros:
Realización de la auditoría
que no funcionan (débiles). Por cada control débil el auditor hará un comentario que
podrá ser leve, medio o grave según la gravedad y el posible impacto en el negocio.
» Selección de las pruebas y técnicas a utilizar: el auditor decide qué tipo de
pruebas —en base a los riesgos— va a diseñar con el objetivo de objetivar el análisis y
obtener evidencias suficientes y competentes que sirvan de base a sus conclusiones:
o Pruebas de cumplimiento.
o Pruebas sustantivas.
o Técnicas de Audit trail, retrieval, tools.
Este registro es muy importante ya que permitirá demostrar una conclusión sobre la
prueba realizada y formará parte del informe de auditoría y sus anexos.
El detalle de todos los comentarios formará parte del informe final pero en un anexo.
Es muy recomendable que el auditor comente con el área auditada los principales
hallazgos y conclusiones de la auditoría, de manera que pueda resolver cuantas dudas
tenga la parte auditada y se asegure de que esta comprende las deficiencias detectadas y
las oportunidades de mejora existentes.
» Conclusiones: son el resumen de los comentarios (de los que pone el auditor). Las
conclusiones deben ser ejecutivas y resumir en un lenguaje claro y preciso los
comentarios más relevantes o de mayor importancia para el negocio.
Las conclusiones no han de incluir los comentarios sino resumirlos y, en todo caso,
hacer referencia a comentarios específicos que irán en un anexo al cuerpo del informe.
» Anexo y comentarios: todos los comentarios realizados por el auditor en relación a los
hallazgos obtenidos durante la auditoría se deben recoger en un anexo al cuerpo del
informe de auditoría. Es decir, las conclusiones presentan de forma ejecutiva el
resultado de la auditoría de manera que la dirección pueda conocerlos y en el anexo
se detallan los comentarios que sustentan dichas conclusiones para el caso de que
exista alguna duda que haga necesario el acceso a dicha información.
Es importante que exista una trazabilidad entre el hallazgo, los comentarios del
auditor y la evidencia derivada, de manera que los auditados puedan entender los
elementos que sustentan suficientemente y de forma objetiva las conclusiones de la
auditoría.
El auditor deberá numerar cada uno de estos elementos y permitir una fácil
trazabilidad top-down entre ellos.
o Cómo se presentan los comentarios durante la auditoría a cada uno de los roles
auditados.
o Qué tipo de feedback se le da a la dirección de la organización en caso de
comentarios graves, por ejemplo, y con qué frecuencia.
o Audiencia.
o Formato.
o Forma de envío.
Los aspectos de comunicación son clave y deberán ser escrupulosamente cuidados por el
auditor y acordados con la dirección de la organización auditada.
» Informe preliminar.
» Informe final.
Informe preliminar
» Resolver cuantas dudas pudieran surgir por parte del área auditada o de alguno de los
destinatarios del informe preliminar.
» Explicar al área auditada a cuantos lo requieran con las evidencias suficientes y
competentes que sustentan los comentarios de la auditoría, de los cuales se derivan
las conclusiones.
» Tomar nota en caso de que exista un desacuerdo por parte del área auditada en
relación a alguna de las conclusiones de la auditoría.
Una vez comunicado, explicado y acordado el informe preliminar y tomado nota de las
observaciones o de los eventuales desacuerdos que hubieran podido producirse, el
auditor deberá elaborar el informe final de la auditoría.
Informe final
» Capacidad para revisar y evaluar el control interno del medio ambiente en que se
desarrollan los sistemas de información.
» Capacidad para revisar, evaluar y diseñar los controles necesarios en el desarrollo de
los sistemas de información.
» Capacidad para revisar y evaluar los controles en sistemas de información que estén
produciendo información.
» Capacidad para diseñar procedimientos y técnicas de auditoría con el computador.
» Capacidad de comunicación y síntesis.
» Capacidad de relación.
Lo + recomendado
No dejes de leer…
Esta guía describe la relación entre los riesgos de negocio y los objetivos de control, así
como, los controles asociados y el assessment de los mismos, así como recursos para el
auditor de Sistemas de Información sobre cómo orientar la auditoría. La Guide to the
Assesment of IT Risk (GAIT) incluye:
+ Información
A fondo
Este directorio ofrece gran variedad de artículos con todo tipo de información interesante
y numerosos aspectos clave para ahondar en la auditoría de Sistemas de Información.
Risk-based auditing
Este framework creado por ISACA ofrece una visión completa (end-to-end) de todos los
riesgos relacionados con la IT, y complementa el framework de COBIT, asegurando una
efectiva gestión de los riesgos de IT.
http://www.isaca.org/chapters2/Pittsburgh/events/Documents/Event_Archive_2010
_2011/10OctPresentationHandouts.pdf
Enlaces relacionados
ISACA
Esta web del IIA ofrece una serie de guías y recursos de gran utilidad para el futuro auditor.
Bibliografía
Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madurez de ingeniería del
software. AENOR Ediciones.
Piattini, M., Del Peso, E., Fernández, C.M. (Coautor), (2008). Auditoría de Tecnologías
y Sistemas de Información, RA-MA.
Weber, R., (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw
Hill.
Actividades
Objetivos
Mediante esta actividad se pretende que pongas en práctica las actividades que
constituyen todo el proceso de auditoría de una organización, haciendo foco en la
realización de un EDR o ROA.
» Planificar y realizar una auditoría basada en riesgos (EDR) del portal web Viento en
Popa.
Para ello se debe comenzar con la identificación de riesgos a partir de los cuales se
establezcan objetivos de control, controles, pruebas de cumplimiento y, si es
necesario, Pruebas Sustantivas.
Datos útiles
Nota importante
Un documento en formato word con una extensión máxima de 7-8 páginas, fuente
Georgia 11 e interlineado 1,5.
Test
8. El informe de auditoría:
A. No admite discusión, pues debe ser aclarado todo durante la propia auditoría.
B. Antes del informe final, se distribuye un borrador al que se pueden alegar
aspectos que el auditado no esté de acuerdo.
C. El informe final de auditoría también puede ser discutido con las personas
auditadas y siempre tiene un apartado principal para la dirección de los controles
que se recomienda modificar.
D. A menudo existe un apartado con juicios de valor y un glosario con los nombres
y marcas de los productos.
TEMA
Esquema
TEMA 4 – Esquema
Auditoría técnica de seguridad
El proceso y las fases de la auditoría de SI
2
Auditoría de Auditoría de
Conceptos
seguridad en seguridad en
previos
sistemas redes
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación. Al
finalizar el tema, tienes que leer el apartado «A fondo» para reforzar los principales
conocimientos desarrollados. Además, tienes que realizar las lecturas recomendadas y
apoyarte en la bibliografía y la webgrafía asociadas al tema. Por último, deberás realizar
el caso práctico que se incluye y que te servirá para repasar los principales contenidos
del tema y adquirir los conceptos clave.
Las auditorías técnicas de seguridad engloban muchos tipos de análisis y pruebas (test)
de seguridad, en función de aquella parte de los sistemas de información que en una
empresa se quiera revisar.
El hacking ético utiliza como base para las pruebas de auditoría de seguridad los
métodos, técnicas y ataques usados por hackers de forma ética, controlada y
autorizada.
Dentro de las auditorías de seguridad de caja blanca, vamos a englobar los dos
primeros apartados que se tratarán en este Tema:
Dentro de las auditorías de seguridad de caja negra, vamos a englobar los 2 últimos
apartados que se tratarán en el Tema 5:
Sistemas
Caja blanca
Redes
Test de intrusión
(PenTest)
Internet
Caja negra
Móviles
Topología de red
Los servidores y estaciones de trabajo, así como los puestos de usuarios están
conectados entre sí por una red local que podrá estar segmentada o no.
Existen diferentes herramientas para realizar este tipo de auditorías en cada una de las
fases:
Por ejemplo, se lanza nmap (zenmap) con los parámetros correspondientes (ver
anexo tema 5), y se obtiene las máquinas de la red (subred/24). La máquina con
IP 192.168.1.37 tiene por ejemplo el puerto 21 (servicio de ftp) abierto.
Pantalla de zenmap
Pantalla de Brutus
Pantalla de Brutus
Pantalla de Brutus
» Fase 3: se realizará el informe técnico donde se describen los pasos realizados y los
resultados (findings) obtenidos. Como hemos visto en la Ilustración 2 (Topología de
Red), podemos centrarnos como objetivo en la red de usuarios o en la de desarrollo.
Es muy habitual que las organizaciones aseguren las redes de usuarios y producción,
pero pasen por alto la securiazación de desarrollo.
Así, es muy usual tener un servidor de control de versiones de código fuente (por
ejemplo SVN–Subversion). Habitualmente el puerto que utilizan es el 3690, por lo
que se podría realizar sobre estos repositorios el análisis descrito en este apartado.
Existen diferentes herramientas para realizar este tipo de auditorías en cada una de las
fases:
Esquema de red
Se debe activar el botón de red para que pueda capturar tráfico (sniffer).
Todos los paquetes entre la dirección IP del router: 192.168.1.1 y la máquina que
queremos escuchar: 192.168.1.37, pasarán por nosotros. (IP: 192.168.1.34).
» Fase 3: se realizará el informe técnico donde se describen los pasos realizados y los
resultados (findings) obtenidos.
Lo + recomendado
No dejes de leer…
Hacking Ético
ISO 25000
ISO 12207
Se trata del estándar para los procesos del ciclo de vida del software de la organización
ISO. Con una terminología muy bien definida, la estructura del estándar ha sido
concebida de manera que pueda ser adaptada a las necesidades de cualquiera que lo use.
Para conseguirlo, el estándar se basa en dos principios fundamentales: modularidad y
responsabilidad.
+ Información
A fondo
En este artículo se explica por qué la plataforma Android no es totalmente segura, lo que
la ha convertido en una de las más atacadas por los cibercriminales, y proporciona una
serie de consejos para desarrollar aplicaciones que sean más seguras.
Test de intrusión
En este artículo encontrarás los pasos para llevar a cabo un test de penetración en una
empresa. Aunque a grandes rasgos los test de penetración son todos similares es cierto
que cada uno tiene su arte y su punto fuerte, y eso es lo que otorga el valor añadido a las
distintas empresas que se dedican a esto.
Fingerprinting
A través de este sitio web veremos algunas herramientas que nos permitirán realizar un
fingerprint a nuestro wordpress e incluso escanear posibles vulnerabilidades.
Enlaces relacionados
OxWORD
OWASP
OSSTMM
Bibliografía
Fernandez, C.M; Piattini, M., Pino, F. (2014). Modelo de madurez de ingeniería del
software. AENOR Ediciones
Recursos externos
Paros proxy
Paros es una aplicación basada en Java que sirve para evaluar la seguridad de las
aplicaciones web.
Java
Java es una tecnología que se usa para el desarrollo de aplicaciones que convierten a la
web en un elemento más interesante y útil. Java no es lo mismo que javascript, que se
trata de una tecnología sencilla que se usa para crear páginas web y solamente se ejecuta
en el explorador.
Actividades
Para realizar este laboratorio, el primer paso es descargar el proxy web ParosProxy, ya
que esta será la herramienta que utilicemos. La versión necesaria es
«paros3.2.13-win.exe Last Update: 2013-08-14» y habrá que instalarla en el PC con
sistema operativo Windows. Hay que tener acceso a Internet.
Necesitaremos la última máquina virtual de java, que puede instalarse desde la web de
java.com la versión 8 update 73
El objetivo del laboratorio es la adquisición de las destrezas básicas por parte del alumno
para interceptar y analizar peticiones de cliente web, modificarlas, alterarlas y
determinar si existen errores de programación en la parte del servidor.
Este laboratorio nos permitirá conocer los riesgos reales de seguridad asociados al
desarrollo de software (aplicaciones web) y lo que supone no considerar
recomendaciones y buenas prácticas de desarrollo seguro; desde la toma de requisitos
hasta el código fuente en aplicaciones web.
Test
7. La herramienta CAIN:
A. Está diseñada para ataques de fuerza bruta.
B. Está diseñada para realizar ARP Poisoning.
C. Está diseñada para realizar sniffing de los paquetes de red.
D. Todas las anteriores son ciertas.
TEMA
Esquema
TEMA 5 – Esquema
El proceso y las fases de la auditoría de SI
2
Auditoría de
Auditoría de
seguridad en
seguridad en Anexos
dispositivos
Internet
móviles
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación y que han
sido elaboradas por el profesor. Al finalizar, el tema, debes leer el apartado «a fondo»
para reforzar los principales conocimientos desarrollados. Además, tienes que realizar las
lecturas recomendadas y apoyarte en la bibliografía y la webgrafía asociadas al tema.
Por último, deberás deberá realizar el caso práctico con el objetivo de repasar los
principales contenidos del tema y asegurar la adecuada adquisición de los conceptos
clave.
Las auditorías técnicas de seguridad engloban muchos tipos de análisis y pruebas (test)
de seguridad, en función de aquella parte de los sistemas de información que en una
empresa se quiera revisar.
El hacking ético utiliza como base para las pruebas de auditoría de seguridad los
métodos, técnicas y ataques utilizados por hackers de forma ética, controlada y
autorizada.
Dentro de las auditorías de seguridad de caja blanca, vamos a englobar los dos
primeros apartados tratados en el tema 4:
Dentro de las auditorías de seguridad de caja negra, vamos a englobar los 2 últimos
apartados tratados en este tema:
Sistemas
Caja blanca
Redes
Test de intrusión
(PenTest)
Internet
Caja negra
Móviles
Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la
autenticación mediante una clave pre compartida, que de un modo similar al
WEP, requiere introducir la misma clave en todos los equipos de la red. Tanto la
versión 1 de WPA, como la denominada versión 2, se basan en la transmisión de las
autenticaciones soportadas en el elemento de información correspondiente. En el
caso de WPA 1, en el tag propietario de Microsoft, y en el caso de WPA2 en el tag
estándar 802.11i RSN.
Existen diferentes herramientas, para realizar este tipo de auditorías en cada una de las
fases:
Pantalla de Netcraft
Pantalla de DirBuster
o SQL Injection. Este ataque consiste en introducir sentencias SQL en los campos
de los formularios de la web, permitiéndole tener acceso a la base de datos desde
su navegador. Si una aplicación web posee este tipo de fallo, el atacante podrá leer,
modificar, eliminar y crear registros de la base de datos, dependiendo de los
privilegios o permisos que posea este usuario. Todo esto es posible debido a una
mala validación o filtrado de las variables que son enviadas al servidor.
Los dispositivos móviles han tenido una gran extensión en los últimos años.
A esto hay que añadirle que habitualmente estos dispositivos no incorporan ningún
antivirus o firewall, en cuyo caso una posible intrusión sería en muchos casos
«invisible».
Es posible realizar una auditoría de seguridad técnica sobre la conexión wifi y obtener
las credenciales de acceso.
Existen diferentes herramientas para realizar este tipo de auditorías en cada una de las
fases:
Por ejemplo, con la herramienta Gestor de Red Wicd comprobamos la redes wifi
que existen
Por ejemplo, la herramienta Wifite2 se lanza para averiguar qué redes son más
vulnerables.
Se obtiene la lista y la más vulnerable es la que nos marca todo en verde. Se selecciona
y se lanza automáticamente una serie de baterías de ataque para obtener las claves
WIFI
Una vez con la clave wifi obtenida, ya tienes acceso a la red a través del router wifi. En
este punto CAIN podrá hacer un descubrimiento de la red y comenzar a capturar el
tráfico de dispositivos móviles conectados.
INTRODUCCIÓN
OBJETIVO Y ALCANCE
TIPO DE AUDITORÍA
CONCLUSIONES Y RECOMENDACIONES
INTRODUCCIÓN
OBJETIVO Y ALCANCE
TIPO DE AUDITORÍA
Existen muchas herramientas para realizar las diferentes pruebas y que ayudan a
realizar las auditorías técnicas.
» Google.com.
» Netcraft.com.
» DirBuster (www.owasp.org)
OSSTMM
» Seguridad de la Información.
» Seguridad de los Procesos.
» Seguridad en las tecnologías de
Internet Seguridad en las
Comunicaciones Seguridad
Inalámbrica.
» Seguridad Física.
OWASP
Pendiente de actualizar por la comunidad OWASP para 2015, se incluye el top ten en
2014 de los riesgos para las aplicaciones móviles es:
Para ello, OWASP propone una serie de controles de seguridad que, adecuadamente
implantados, permiten minimizar los 10 riesgos anteriores:
Lo + recomendado
No dejes de leer…
Hacking Ético
Calles García, J.A., y González Pérez, P. (Flu Project) (2011). La biblia del Footprinting.
ISO 25000
ISO 12207
Se trata del estándar para los procesos del ciclo de vida del software de la organización
ISO. Con una terminología muy bien definida, la estructura del estándar ha sido
concebida de manera que pueda ser adaptada a las necesidades de cualquiera que lo use.
Para conseguirlo, el estándar se basa en dos principios fundamentales: modularidad y
responsabilidad.
+ Información
A fondo
En este artículo se explica por qué la plataforma Android no es totalmente segura, lo que
la ha convertido en una de las más atacadas por los cibercriminales, y proporciona una
serie de consejos para desarrollar aplicaciones que sean más seguras.
Monográfico: Zenmap
En este artículo encontrarás una descripción de Nmap que ha sido diseñada para
permitir a administradores de sistemas y a usuarios curiosos en general, explorar y
realizar auditorías de seguridad de redes para determinar qué servidores se encuentran
activos y qué servicios ofrecen.
Test de intrusión
En este artículo encontrarás los pasos para llevar a cabo un test de penetración en una
empresa. Aunque a grandes rasgos los tests de penetración son todos similares es cierto
que cada uno tiene su arte y su punto fuerte, y eso es lo que otorga el valor añadido a las
distintas empresas que se dedican a esto.
Fingerprinting
A través de este sitio web veremos algunas herramientas que nos permitirán realizar un
fingerprint a nuestro wordpress e incluso escanear posibles vulnerabilidades.
Enlaces relacionados
OxWORD
OWASP
OSSTMM
Bibliografía
Fernandez, C.M; Piattini, M., Pino, F. (2014). Modelo de madurez de ingeniería del
software. AENOR Ediciones.
Test
TEMA 6 – Esquema
Seguridad de Riesgos Anexo A: objetivos de Auditoría
SGSI Apartados
los SI empresariales control y controles del SGSI
2
Factores 5. Liderazgo
Objeto 6. Planificación
PDCA 7. Soporte
8. Operación
10. Mejora
Ideas clave
Para estudiar este tema lee los apuntes que constituyen las Ideas clave, elaboradas
por el profesor, sobre «Sistema de Gestión de Seguridad de la Información».
Al finalizar el tema, tienes que leer el apartado «a fondo» para reforzar los principales
conocimientos desarrollados. Además, tienes que realizar las lecturas recomendadas y
apoyarte en la bibliografía y la webgrafía asociadas al tema.
Como vimos en los anteriores temas, un activo, en su concepción más amplia, puede ser
un fichero informático, un dispositivo electrónico, pero también lo son las personas, las
ubicaciones, los servicios de información, la documentación en papel, es decir «lo que
tiene valor para la organización».
De manera que, para conducir y operar exitosamente una organización, se requiere que:
La organización debe tener dispuestos controles internos que aporten garantía razonable
de que los objetivos de negocio se alcanzan.
Algunos de los factores que influyen en la seguridad de los Sistemas de Información son:
» Obsolescencia tecnológica.
» Interconectividad de los sistemas. Sistemas abiertos y distribuidos.
» Cambios muy rápidos en las TICs.
» Ataques a Organizaciones.
» Factores externos: Legislación, etc.
» El riesgo de los Ordenadores y las TICs ocupa el primer lugar en 3 países (Japón,
Reino Unido y USA) y en el top three de los otros países, para sus negocios.
» Como herramienta primordial para mitigar estos riesgos de SI indican el Control
Interno Informático.
El riesgo siempre existe, como podemos observar en un estudio realizado por Mcafee:
» Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos
para acceder a Internet. (21 %).
» Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras
está en el trabajo.
» Dos tercios admiten tener conocimientos muy limitados en materia de seguridad.
» Un 5 % dice que tienen acceso a áreas de la red corporativa que no deberían tener.
» Aquella parte del sistema general de gestión que comprende la política, la estructura
organizativa, los procedimientos, los procesos, y los recursos necesarios para
implantar la gestión de la seguridad de la información.
» La herramienta de que dispone la Dirección para implantar las políticas y objetivos de
Seguridad de la Información.
PDCA–Mejora continua.
Fuente: Aenor
Esta norma especifica los requisitos de los controles de seguridad de acuerdo con las
necesidades de las organizaciones e independientemente de su tipo, tamaño o área de
actividad.
La norma se estructura en una serie de capítulos, algunos de los cuales cubren aspectos
comunes de todo sistema de gestión, como el compromiso de la dirección, los requisitos
generales y de la documentación y aspectos relacionados con la revisión y auditoría
interna del sistema y la mejora continua. La mejora continua es un motor común a los
sistemas de gestión de calidad, continuidad, etc.
Es importante destacar que existe una familia de estándares ISO 27000 de los que
destacaremos:
» ISO 27001: especificaciones del SGSI y mejora continua (es el motor del SGSI).
» ISO 27002: los controles del SGSI (es el conocimiento).
El apartado 4 del estándar ISO/IEC 27001 define una serie de especificaciones generales
del SGSI como:
» Definir alcance.
» Definir la política de SGSI (C, I, D y cumplimiento legal).
» Identificación, análisis y gestión de riesgos (Apreciación de riesgos).
» Selección de controles para tratar los riesgos (ISO 27002 / Anexo A. ISO 27001).
» Elaboración de la Declaración de Aplicabilidad (SoA).
» 7.1. Recursos.
» 7.2. Competencia.
» 7.3. Concienciación.
» 7.4. Comunicación.
Consideraciones:
El apartado 10 del estándar ISO/IEC 27001 define una serie de sub apartados:
Para cada objetivo de control se definen uno o más controles de seguridad cuya
implantación debe traducirse en la consecución del objetivo de seguridad asociado.
14 Dominios
35 Objetivos
control
114 Controles
No es objetivo de esta asignatura detallar cada uno de los 114 controles de la ISO/IEC
27002 que la ISO/IEC 27001 enumera en su Anexo A, si bien el alumno podrá
profundizar en cualquiera de ellos a través del estándar y en las clases se tratará con
mayor detalle.
» A.10. Criptografía.
o A.10.1. Controles criptográficos.
» A.18. Cumplimiento.
o A.18.1. Cumplimiento de los requisitos legales y contractuales.
o A.18.2. Revisiones de la seguridad de la información.
La certificación del SGSI por parte de la organización tiene, entre otras, las siguientes
ventajas:
» Para el negocio:
o Integrar la gestión de la seguridad de la información con otras modalidades
de gestión empresarial.
o Mejorar la imagen, confianza y competitividad empresarial.
Certificación y reconocimiento por terceros.
o Comprobar su compromiso con el cumplimiento de la legislación:
protección de datos de carácter personal, servicios sociedad de información,
comercio electrónico, propiedad intelectual, etc.
o Dar satisfacción a accionistas y demostrar el valor añadido de las actividades
de seguridad de la información en la empresa.
La auditoría de certificación del SGSI se realiza en dos fases, como puede apreciarse en
la siguiente ilustración:
La auditoría del SGSI se rige por los principios de la ISO17021, de manera que se realiza
un cuestionario preliminar y solicitud de auditoría, tras el cual se efectúa la auditoría en
dos fases:
Lo + recomendado
No dejes de leer…
Este artículo muestra los principales modelos de gestión, familia de Normas UNE-ISO/IEC
27000, para conseguir una adecuada gestión de la seguridad de la información en
las organizaciones.
+ Información
Enlaces relacionados
AENOR
Bibliografía
Fernández, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. AENOR Ediciones.
Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniería del
software. AENOR Ediciones.
Test
1. ¿Cuál es la base que aportan los estándares ISO a la Gestión de las TICs?
A. Terminología técnica.
B. La aplicación de mejora continua con el ciclo de Demming/PDCA.
C. Indicadores y métricas.
D. Ninguna de las anteriores.
4. Indicar en los sistemas de gestión en las TICs en ISO que tipos de auditoría hay:
A. Test de intrusión y análisis de vulnerabilidades.
B. Auditoría interna y auditoría externa de certificación.
C. Auditoría bienal, auditoría interna y test de intrusión.
D. Ninguna de las anteriores.
Eficacia
Capacidad de lograr unos objetivos deseados o esperados. La RAE la define como:
«Capacidad de lograr el efecto que se desea o se espera (Del lat. efficacĭa)».
Eficiencia
El término eficiencia procede del latín efficientĭa y se define como la capacidad de
conseguir el objetivo en cuestión con el mínimo de recursos posibles viable
Gestión
La RAE define la gestión como la «acción y efecto de gestionar», es decir, el «hacer
diligencias conducentes al logro de un negocio o de un deseo cualquiera».
Gobierno
La RAE define Gobierno como la «acción y efecto de gobernar o gobernarse», por tanto,
mandar con autoridad o regir algo conforme a una norma, regla o idea.
Las organizaciones son entes que existen en un hábitat económico, político, normativo,
legal, medioambiental, etc. y que definen su misión y principios en el respeto y
convivencia adaptativa a dicho medio. El gobierno será la forma en que las entidades
desarrollan el logro de sus objetivos de negocio en equilibrio con el hábitat
organizativo.
Información
En un sentido amplio podríamos definir la información como un conjunto organizado
de datos procesados, que constituyen un mensaje que configura el estado de
conocimiento del sujeto o sistema receptor de dicho mensaje.
El término clave es el de que son datos organizados, es decir, datos que tienen una
estructura útil que servirá para las sucesivas interacciones del ente poseedor de dicha
información con su entorno.
Riesgo
La probabilidad de que se produzca un impacto negativo en un activo, en un dominio o
en toda la organización (aprovechando una vulnerabilidad/debilidad de los sistemas de
información).
Se define como un conjunto de procesos planificados, para dar soporte y ejecutar una
actividad. Pueden ser manuales, semi-mecanizados o mecanizados
2
Sin embargo, estrictamente hablando, un sistema de información podría ser manual y
no estar conformado por sistemas informáticos (aunque la realidad de las
organizaciones no suela ser el caso).
Se podría decir que los sistemas de información informáticos son una subclase o un
subconjunto de los sistemas de información en general.
Ciborra definió el estudio de los sistemas de información como el estudio que se centra
en el uso de la tecnología de la información en las organizaciones, instituciones de
cualquier tipo, y en la sociedad. (Ciborra, C. (2002). Labyrinths of Information, Oxford,
Oxford University Press)
Las TIC son una pieza esencial en el negocio de las organizaciones, entidades y
contribuyen al bienestar social, ofreciendo al ciudadano y a la sociedad un conjunto de
servicios facilitadores que contribuyen a incrementar su nivel de vida.