Professional Documents
Culture Documents
la Auditorı́a
Informática
Enrique Arias
Introducción
La Auditorı́a de
la Seguridad de
la Información Introducción a la Auditorı́a Informática
Principios
deontológicos
del auditor
informático
Enrique Arias
Bibliografı́a
1 / 27
Índice
Introducción a
la Auditorı́a
Informática
Enrique Arias
Introducción
La Auditorı́a de 1 Introducción
la Seguridad de
la Información
Principios
deontológicos
2 La Auditorı́a de la Seguridad de la Información
del auditor
informático
Bibliografı́a
3 Principios deontológicos del auditor informático
4 Bibliografı́a
3 / 27
Conceptos generales
Introducción a
la Auditorı́a
Informática
¿Qué es auditorı́a?
Enrique Arias
Introducción
La Auditorı́a de
la Seguridad de
la Información
Principios
deontológicos
del auditor
informático
Bibliografı́a
¿Y...?
Cuál es tu definición de auditorı́a
4 / 27
Conceptos generales
Introducción a
la Auditorı́a ¿Qué es auditorı́a?
Informática
Auditorı́a Informática
Alcanzar una opinión sobre el Sistema de Información y sobre los datos que
se procesan, debiendo ser estos exactos, completos y autorizados. Los errores
deben ser detectados y corregidos a tiempo, y deberán existir procedimientos
adecuados y actualizados que garanticen la continuidad de las operaciones.
5 / 27
Conceptos generales
Introducción a
la Auditorı́a
Informática
Enrique Arias
Objetivos
Introducción
La Auditorı́a de de la Auditorı́a
la Seguridad de
la Información Informática
Principios
deontológicos
del auditor
informático
Verificación de aspectos organizativos y administrativos de la función
Bibliografı́a
de Proceso de Datos
Verificación de los controles del ciclo de vida de un sistema
Verificación de los controles de acceso a instalaciones, terminales,
librerı́as, etc.
Mecanización de las actividades de Auditorı́a Interna
Formación informática interna
Colaborar con Auditores Externos
6 / 27
Conceptos generales
Introducción a
la Auditorı́a
Informática
Enrique Arias
Sistema informático ideal
Introducción
La Auditorı́a de
la Seguridad de
la Información
Principios
deontológicos
del auditor
informático
Bibliografı́a
Departamento autónomo
Optimiza los recursos
Se anticipa a necesidades futuras
Opera mediante estándares y procedimientos predefinidos
etc.
7 / 27
Conceptos generales
Introducción a
la Auditorı́a
Informática
¿Cómo llevamos a cabo la auditorı́a? El Plan de Auditorı́a
Enrique Arias
Introducción
La Auditorı́a de
la Seguridad de
la Información
Principios
deontológicos
del auditor
informático
Bibliografı́a
8 / 27
Conceptos generales
Introducción a
la Auditorı́a
Informática
9 / 27
Índice
Introducción a
la Auditorı́a
Informática
Enrique Arias
Introducción
La Auditorı́a de 1 Introducción
la Seguridad de
la Información
Principios
deontológicos
2 La Auditorı́a de la Seguridad de la Información
del auditor
informático
Bibliografı́a
3 Principios deontológicos del auditor informático
4 Bibliografı́a
10 / 27
La Auditorı́a de la Seguridad de la Información
Introducción a
la Auditorı́a
Informática
Seguridad de equipos e ... información
Enrique Arias
La auditorı́a de la seguridad de la información sugiere diferentes controles
Introducción
Controles directivos
La Auditorı́a de
la Seguridad de
la Información
Controles preventivos
Principios Controles de detección
deontológicos
del auditor
informático
Controles correctivos
Bibliografı́a Controles de recuperación
⇓
Objetivos de Control
Declaraciones sobre el resultado final deseado o propósito a ser alcanzado
mediantes las protecciones y los procedimientos de control
⇓
Control Interno
11 / 27
La Auditorı́a de la Seguridad de la Información
Introducción a
la Auditorı́a
Informática
Enrique Arias
Introducción
Áreas que puede cubrir la auditorı́a de la seguridad
La Auditorı́a de Controles directivos ⇒ Los fundamentos de la seguridad
la Seguridad de
la Información Medida de desarrollo
Principios
deontológicos Verificación de ajuste a la legalidad
del auditor
informático Amenazas fı́sicas externas
Bibliografı́a
Control de acceso adecuado
Protección de datos
Comunicaciones y redes
Área de Producción
Desarrollo de aplicaciones en un entorno seguro
La continuidad de las operaciones
12 / 27
La Auditorı́a de la Seguridad de la Información
Introducción a
la Auditorı́a
Informática
Enrique Arias
Evaluación del Riesgo
Introducción
Factores a Considerar
La Auditorı́a de
la Seguridad de Tipo Información
la Información
13 / 27
La Auditorı́a de la Seguridad de la Información
Introducción a
la Auditorı́a Evaluación del Riesgo
Informática
Enrique Arias
Introducción
La Auditorı́a de
la Seguridad de
la Información
Principios
deontológicos
del auditor
informático
Bibliografı́a Amenazas
Pesos
Introducción a
la Auditorı́a
Informática
Enrique Arias
15 / 27
La Auditorı́a de la Seguridad de la Información
Introducción a
la Auditorı́a
Informática
Enrique Arias
Aspectos de la auditorı́a
Introducción
Auditoria de la seguridad fı́sica
La Auditorı́a de
la Seguridad de Auditoria de la seguridad lógica
la Información
Bibliografı́a
Auditoria de la seguridad de los datos
Auditoria de la seguridad en comunicaciones y redes
Auditoria de la continuidad de las operaciones ⇒ Plan de Contingencia
o Plan de Continuidad
Evaluación.
Planificación.
Pruebas de viabilidad.
Ejecución.
Recuperación.
16 / 27
La Auditorı́a de la Seguridad de la Información
Introducción a
la Auditorı́a
Informática Plan de Contingencias
Enrique Arias
Introducción Evaluación
La Auditorı́a de
la Seguridad de
Definición de los niveles mı́nimos de servicio
la Información
Identificación de las alternativas de solución
Principios
deontológicos Evaluación de la relación coste/beneficio de cada alernativa
del auditor
informático
Bibliografı́a
Planificación
Documentación del plan de contingencia
Objetivo del plan
Modo de ejecución
Tiempo de duración
Costes estimados
Recursos necesarios
Evento a partir del cual se pondrá en marcha
Personas encargadas de llevar a cabo el plan y sus responsabilidades
Validación del plan de contingencias
17 / 27
La Auditorı́a de la Seguridad de la Información
Introducción a
la Auditorı́a Plan de Contingencias
Informática
Enrique Arias
Pruebas de viabilidad
Introducción
La Auditorı́a de
Ponen de manifiesto
la Seguridad de que los procedimientos están completos
la Información
que los materiales y registros vitales están disponibles
Principios que los backup de software, documentación y trabajo en procesos son los
deontológicos
del auditor adecuados y están actualizados
informático que el personal ha sido entrenado adecuadamente
Bibliografı́a Definir y documentar las pruebas del plan
Desarrollar planes para pruebas especı́ficas
Ejecutar las pruebas y documentarlas
Observador
Formularios
Sesiones informativas
Logs de los equipos
Herramientas
Actualizar el plan de contingencia de acuerdo a los resultados obtenidos
en las pruebas
Establecer procedimientos y calendarios de mantenimiento
Desarrollar procedimientos y listas de distribución
18 / 27
Índice
Introducción a
la Auditorı́a
Informática
Enrique Arias
Introducción
La Auditorı́a de 1 Introducción
la Seguridad de
la Información
Principios
deontológicos
2 La Auditorı́a de la Seguridad de la Información
del auditor
informático
Bibliografı́a
3 Principios deontológicos del auditor informático
4 Bibliografı́a
19 / 27
Principios deontológicos del auditor informático
Introducción a
la Auditorı́a Principios deontológicos del auditor informático
Informática
Enrique Arias
Introducción
La Auditorı́a de
la Seguridad de
la Información
Principios
deontológicos
del auditor
informático
Bibliografı́a
20 / 27
Principios deontológicos del auditor informático
Introducción a
la Auditorı́a
Informática
Principios deontológicos del auditor informático
Enrique Arias
Principio de beneficio del auditado
Introducción
El auditor deberá conseguir la máxima eficiencia y rentabilidad de los
La Auditorı́a de medios informáticos de la empresa auditada
la Seguridad de
la Información El auditor deberá evitar estar ligado a determindos intereses
Principios Principio de calidad
deontológicos
del auditor El auditor deberá prestar servicios con los medios a su alcance
informático Libertad de utilización de los mismos
Bibliografı́a Condiciones técnicas adecuadas
Principio de capacidad
El auditor debe estar plenamente capacitado para la realización de la
auditorı́a encomendada
Debe ser plenamente consciente del alcance de sus conocimientos y de
su capacidad y aptitud para desarrollar la auditorı́a (sobreestima o
subesti ma)
Principio de cautela: El auditor debe evitar que el auditado se
embarque en proyectos de futuro fundamentados en intuiciones sobre la
evolución de las nuevas tecnologı́as de la información
21 / 27
Principios deontológicos del auditor informático
Introducción a
la Auditorı́a
Informática
Principios deontológicos del auditor informático
Enrique Arias Principio de comportamiento profesional
Exige al auditor una seguridad en sus conocimientos técnicos y una clara
Introducción
percepción de sus carencias (acudiendo a expertos si necesario) dejando
La Auditorı́a de constancia de esa circunstancia y reflejando en forma diferenciada, en
la Seguridad de
la Información sus informes y dictámenes, las opiniones y conclusiones propias y las
emitidas por los mismo
Principios
deontológicos Debe guardar un escrupuloso respeto por la polı́tica de la empresa que
del auditor audita
informático
Principio de concentración en el trabajo
Bibliografı́a
El auditor deberá evitar que un exceso de trabajo supere sus
posibilidades de concentración y precisión en cada una de las tareas
Nunca copiar conclusiones de otros informes de auditorı́as pasadas por la
acumulación de trabajo
Principio de confianza: El auditor deberá facilitar e incrementar la
confianza del auditado en base a una actuación de transparencia en su
actividad profesional
Principio de criterio propio: El auditor deberá actuar con criterio propio
y no permitir que éste esté subordinado al de otros profesionales
Principio de discreción: El auditor deberá mantener una cierta
discreción en la divulgación de datos
22 / 27
Principios deontológicos del auditor informático
Introducción a
la Auditorı́a
Informática
Introducción
Principio de economı́a: El auditor deberá proteger los derechos
La Auditorı́a de
económicos del auditado evitando generar gastos innecesarios
la Seguridad de
la Información Principio de formación continuada: Impone al auditor la obligación de
Principios estar en contı́nua formación
deontológicos
del auditor Principio de fortalecimiento y respeto a la profesión: Los auditores han
informático
de cuidar del valor de trabajo realizado y de las conclusiones obtenidas
Bibliografı́a
Principio de independencia: El auditor debe exigir una total autonomı́a
e independencia en su trabajo
Principio de información suficiente: Obliga al auditor aportar en forma
clara, precisa e inteligible para el auditado la información
Principio de integridad moral: Obliga al auditor a ser honesto, leal y
diligente en el desempeño de su misión, a ajustarse a las normas
morales, de justicia y probidad, y a evitar participar en actos de
corrupción personal o a terceras personas.
23 / 27
Principios deontológicos del auditor informático
Introducción a
la Auditorı́a
Informática
24 / 27
Principios deontológicos del auditor informático
Introducción a
la Auditorı́a
Informática
Bibliografı́a
auditado deberá tener siempre presente la obligación de asegurar la
veracidad de sus manifestaciones con los lı́mites impuestos por los
deberes de respeto, corrección y secreto
Principio de servicio público: Incitar al auditor a hacer lo que esté en su
mano y sin perjuicio de los intereses de su cliente, para evitar daños
sociales como los que pueden producirse en los casos en que, durante la
ejecución de la auditorı́a, descubra elementos de software dañinos
(virus) que puedan propagarse a otros sistemas informáticos diferentes
al auditado.
25 / 27
Índice
Introducción a
la Auditorı́a
Informática
Enrique Arias
Introducción
La Auditorı́a de 1 Introducción
la Seguridad de
la Información
Principios
deontológicos
2 La Auditorı́a de la Seguridad de la Información
del auditor
informático
Bibliografı́a
3 Principios deontológicos del auditor informático
4 Bibliografı́a
26 / 27
Bibliografı́a
Introducción a
la Auditorı́a
Informática
Enrique Arias
Introducción
La Auditorı́a de
la Seguridad de
la Información
Bibliografı́a
Principios Mario G. Piattini y Emilio del Peso. ”Auditorı́a informática. Un enfoque
deontológicos
del auditor práctico”. Editorial RA-MA, 1998.
informático
Bibliografı́a
Actas de ”I Jornadas de Auditorı́a informática”. Ciudad Real, 18 y 19
de Noviembre de 1998.
Revista Base Informática, no 39, Junio 2003.
Alicia Factor Diez y otros. Respuesta a Incidentes.
27 / 27