Introducción a

la Auditorı́a
Informática

Enrique Arias

Introducción

La Auditorı́a de
la Seguridad de
la Información Introducción a la Auditorı́a Informática
Principios
deontológicos
del auditor
informático
Enrique Arias
Bibliografı́a

Departamento de Sistemas Informáticos

Escuela Superior de Ingenierı́a Informática
Universidad de Castilla-La Mancha

Auditorı́a y Seguridad Informática, 2009-10

1 / 27
 Índice
Introducción a
la Auditorı́a
Informática

Enrique Arias

Introducción

La Auditorı́a de 1 Introducción
la Seguridad de
la Información

Principios
deontológicos
2 La Auditorı́a de la Seguridad de la Información
del auditor
informático

Bibliografı́a
3 Principios deontológicos del auditor informático

4 Bibliografı́a

3 / 27
 Conceptos generales

Introducción a
la Auditorı́a
Informática
¿Qué es auditorı́a?
Enrique Arias

Introducción

La Auditorı́a de
la Seguridad de
la Información

Principios
deontológicos
del auditor
informático

Bibliografı́a

¿Y...?
Cuál es tu definición de auditorı́a

4 / 27
 Conceptos generales

Introducción a
la Auditorı́a ¿Qué es auditorı́a?
Informática

Enrique Arias La auditorı́a es la actividad consistente en emitir una opinión profesional

sobre si el objeto sometido a análisis presenta adecuadamente la realidad
Introducción
que pretende reflejar y/o cumple las condiciones que le han sido prescritas
La Auditorı́a de
la Seguridad de
la Información
Contenido: Una opinión
Principios Condición: Profesional
deontológicos
del auditor Justificación: Sustentada en procedimientos
informático

Bibliografı́a Objeto: Una determinada información obtenida en un cierto soporte

Finalidad: Determinar su fiabilidad

Auditorı́a Externa VS Auditorı́a Interna

¿Sabrı́as decirme en que consisten?

Auditorı́a Informática
Alcanzar una opinión sobre el Sistema de Información y sobre los datos que
se procesan, debiendo ser estos exactos, completos y autorizados. Los errores
deben ser detectados y corregidos a tiempo, y deberán existir procedimientos
adecuados y actualizados que garanticen la continuidad de las operaciones.
5 / 27
 Conceptos generales

Introducción a
la Auditorı́a
Informática

Enrique Arias

Objetivos
Introducción

La Auditorı́a de de la Auditorı́a
la Seguridad de
la Información Informática
Principios
deontológicos
del auditor
informático
Verificación de aspectos organizativos y administrativos de la función
Bibliografı́a
de Proceso de Datos
Verificación de los controles del ciclo de vida de un sistema
Verificación de los controles de acceso a instalaciones, terminales,
librerı́as, etc.
Mecanización de las actividades de Auditorı́a Interna
Formación informática interna
Colaborar con Auditores Externos

6 / 27
 Conceptos generales

Introducción a
la Auditorı́a
Informática

Enrique Arias
Sistema informático ideal
Introducción

La Auditorı́a de
la Seguridad de
la Información

Principios
deontológicos
del auditor
informático

Bibliografı́a

Departamento autónomo
Optimiza los recursos
Se anticipa a necesidades futuras
Opera mediante estándares y procedimientos predefinidos
etc.

7 / 27
 Conceptos generales

Introducción a
la Auditorı́a
Informática
¿Cómo llevamos a cabo la auditorı́a? El Plan de Auditorı́a
Enrique Arias

Introducción

La Auditorı́a de
la Seguridad de
la Información

Principios
deontológicos
del auditor
informático

Bibliografı́a

8 / 27
 Conceptos generales

Introducción a
la Auditorı́a
Informática

Enrique Arias ¿Cómo llevamos a cabo la auditorı́a? El Plan de Auditorı́a

Introducción Definición del alcance y Objetivos
La Auditorı́a de
la Seguridad de
Conocimiento y análisis de los procedimientos estándar
la Información
Evaluación de controles internos
Principios
deontológicos Procedimientos y pruebas de auditorı́a
del auditor
informático Juegos de Ensayo
Bibliografı́a Caso Básico
Sistemas Paralelo
Revisión de Pistas de Auditorı́a
Revisión de Sistemas de Seguridad
Comparación de Programas
etc.
Análisis de los hechos detectados
Formación de opinión sobre los controles
Presentación de información y recomendaciones

9 / 27
 Índice
Introducción a
la Auditorı́a
Informática

Enrique Arias

Introducción

La Auditorı́a de 1 Introducción
la Seguridad de
la Información

Principios
deontológicos
2 La Auditorı́a de la Seguridad de la Información
del auditor
informático

Bibliografı́a
3 Principios deontológicos del auditor informático

4 Bibliografı́a

10 / 27
 La Auditorı́a de la Seguridad de la Información

Introducción a
la Auditorı́a
Informática
Seguridad de equipos e ... información
Enrique Arias
La auditorı́a de la seguridad de la información sugiere diferentes controles
Introducción
Controles directivos
La Auditorı́a de
la Seguridad de
la Información
Controles preventivos
Principios Controles de detección
deontológicos
del auditor
informático
Controles correctivos
Bibliografı́a Controles de recuperación
⇓

Objetivos de Control
Declaraciones sobre el resultado final deseado o propósito a ser alcanzado
mediantes las protecciones y los procedimientos de control
⇓

Control Interno

11 / 27
 La Auditorı́a de la Seguridad de la Información

Introducción a
la Auditorı́a
Informática

Enrique Arias

Introducción
Áreas que puede cubrir la auditorı́a de la seguridad
La Auditorı́a de Controles directivos ⇒ Los fundamentos de la seguridad
la Seguridad de
la Información Medida de desarrollo
Principios
deontológicos Verificación de ajuste a la legalidad
del auditor
informático Amenazas fı́sicas externas
Bibliografı́a
Control de acceso adecuado
Protección de datos
Comunicaciones y redes
Área de Producción
Desarrollo de aplicaciones en un entorno seguro
La continuidad de las operaciones

12 / 27
 La Auditorı́a de la Seguridad de la Información

Introducción a
la Auditorı́a
Informática

Enrique Arias
Evaluación del Riesgo

Introducción
Factores a Considerar
La Auditorı́a de
la Seguridad de Tipo Información
la Información

Principios Criticidad de las aplicaciones

deontológicos
del auditor Tecnologı́a usada
informático

Bibliografı́a Marco legal

Sector entidad
Momento

13 / 27
 La Auditorı́a de la Seguridad de la Información

Introducción a
la Auditorı́a Evaluación del Riesgo
Informática

Enrique Arias

Introducción

La Auditorı́a de
la Seguridad de
la Información

Principios
deontológicos
del auditor
informático

Bibliografı́a Amenazas

Pesos

Herramientas de auditorı́a / Metodologı́a

Inversión seguridad ⇒ Rentabilidad

14 / 27
 La Auditorı́a de la Seguridad de la Información

Introducción a
la Auditorı́a
Informática

Enrique Arias

Evaluación del Riesgo

Introducción

La Auditorı́a de Dispositivos fı́sicos

la Seguridad de
la Información ¿Información?
Principios
deontológicos ¿Factor humano? ⇒ Cultura de la seguridad
del auditor
informático ¿Imagen?
Bibliografı́a

¿Qué hacer con el riesgo?

Eliminarlo
Disminuirlo
Transferirlo
Asumirlo

15 / 27
 La Auditorı́a de la Seguridad de la Información

Introducción a
la Auditorı́a
Informática

Enrique Arias
Aspectos de la auditorı́a
Introducción
Auditoria de la seguridad fı́sica
La Auditorı́a de
la Seguridad de Auditoria de la seguridad lógica
la Información

Principios Auditoria de la seguridad en el desarrollo de aplicaciones

deontológicos
del auditor Auditoria de la seguridad en el área de producción
informático

Bibliografı́a
Auditoria de la seguridad de los datos
Auditoria de la seguridad en comunicaciones y redes
Auditoria de la continuidad de las operaciones ⇒ Plan de Contingencia
o Plan de Continuidad
Evaluación.
Planificación.
Pruebas de viabilidad.
Ejecución.
Recuperación.

16 / 27
 La Auditorı́a de la Seguridad de la Información

Introducción a
la Auditorı́a
Informática Plan de Contingencias
Enrique Arias

Introducción Evaluación
La Auditorı́a de
la Seguridad de
Definición de los niveles mı́nimos de servicio
la Información
Identificación de las alternativas de solución
Principios
deontológicos Evaluación de la relación coste/beneficio de cada alernativa
del auditor
informático

Bibliografı́a
Planificación
Documentación del plan de contingencia
Objetivo del plan
Modo de ejecución
Tiempo de duración
Costes estimados
Recursos necesarios
Evento a partir del cual se pondrá en marcha
Personas encargadas de llevar a cabo el plan y sus responsabilidades
Validación del plan de contingencias

17 / 27
 La Auditorı́a de la Seguridad de la Información

Introducción a
la Auditorı́a Plan de Contingencias
Informática

Enrique Arias
Pruebas de viabilidad
Introducción

La Auditorı́a de
Ponen de manifiesto
la Seguridad de que los procedimientos están completos
la Información
que los materiales y registros vitales están disponibles
Principios que los backup de software, documentación y trabajo en procesos son los
deontológicos
del auditor adecuados y están actualizados
informático que el personal ha sido entrenado adecuadamente
Bibliografı́a Definir y documentar las pruebas del plan
Desarrollar planes para pruebas especı́ficas
Ejecutar las pruebas y documentarlas
Observador
Formularios
Sesiones informativas
Logs de los equipos
Herramientas
Actualizar el plan de contingencia de acuerdo a los resultados obtenidos
en las pruebas
Establecer procedimientos y calendarios de mantenimiento
Desarrollar procedimientos y listas de distribución

18 / 27
 Índice
Introducción a
la Auditorı́a
Informática

Enrique Arias

Introducción

La Auditorı́a de 1 Introducción
la Seguridad de
la Información

Principios
deontológicos
2 La Auditorı́a de la Seguridad de la Información
del auditor
informático

Bibliografı́a
3 Principios deontológicos del auditor informático

4 Bibliografı́a

19 / 27
 Principios deontológicos del auditor informático

Introducción a
la Auditorı́a Principios deontológicos del auditor informático
Informática

Enrique Arias

Introducción

La Auditorı́a de
la Seguridad de
la Información

Principios
deontológicos
del auditor
informático

Bibliografı́a

20 / 27
 Principios deontológicos del auditor informático

Introducción a
la Auditorı́a
Informática
Principios deontológicos del auditor informático
Enrique Arias
Principio de beneficio del auditado
Introducción
El auditor deberá conseguir la máxima eficiencia y rentabilidad de los
La Auditorı́a de medios informáticos de la empresa auditada
la Seguridad de
la Información El auditor deberá evitar estar ligado a determindos intereses
Principios Principio de calidad
deontológicos
del auditor El auditor deberá prestar servicios con los medios a su alcance
informático Libertad de utilización de los mismos
Bibliografı́a Condiciones técnicas adecuadas
Principio de capacidad
El auditor debe estar plenamente capacitado para la realización de la
auditorı́a encomendada
Debe ser plenamente consciente del alcance de sus conocimientos y de
su capacidad y aptitud para desarrollar la auditorı́a (sobreestima o
subesti ma)
Principio de cautela: El auditor debe evitar que el auditado se
embarque en proyectos de futuro fundamentados en intuiciones sobre la
evolución de las nuevas tecnologı́as de la información

21 / 27
 Principios deontológicos del auditor informático

Introducción a
la Auditorı́a
Informática
Principios deontológicos del auditor informático
Enrique Arias Principio de comportamiento profesional
Exige al auditor una seguridad en sus conocimientos técnicos y una clara
Introducción
percepción de sus carencias (acudiendo a expertos si necesario) dejando
La Auditorı́a de constancia de esa circunstancia y reflejando en forma diferenciada, en
la Seguridad de
la Información sus informes y dictámenes, las opiniones y conclusiones propias y las
emitidas por los mismo
Principios
deontológicos Debe guardar un escrupuloso respeto por la polı́tica de la empresa que
del auditor audita
informático
Principio de concentración en el trabajo
Bibliografı́a
El auditor deberá evitar que un exceso de trabajo supere sus
posibilidades de concentración y precisión en cada una de las tareas
Nunca copiar conclusiones de otros informes de auditorı́as pasadas por la
acumulación de trabajo
Principio de confianza: El auditor deberá facilitar e incrementar la
confianza del auditado en base a una actuación de transparencia en su
actividad profesional
Principio de criterio propio: El auditor deberá actuar con criterio propio
y no permitir que éste esté subordinado al de otros profesionales
Principio de discreción: El auditor deberá mantener una cierta
discreción en la divulgación de datos
22 / 27
 Principios deontológicos del auditor informático

Introducción a
la Auditorı́a
Informática

Enrique Arias Principios deontológicos del auditor informático

Introducción
Principio de economı́a: El auditor deberá proteger los derechos
La Auditorı́a de
económicos del auditado evitando generar gastos innecesarios
la Seguridad de
la Información Principio de formación continuada: Impone al auditor la obligación de
Principios estar en contı́nua formación
deontológicos
del auditor Principio de fortalecimiento y respeto a la profesión: Los auditores han
informático
de cuidar del valor de trabajo realizado y de las conclusiones obtenidas
Bibliografı́a
Principio de independencia: El auditor debe exigir una total autonomı́a
e independencia en su trabajo
Principio de información suficiente: Obliga al auditor aportar en forma
clara, precisa e inteligible para el auditado la información
Principio de integridad moral: Obliga al auditor a ser honesto, leal y
diligente en el desempeño de su misión, a ajustarse a las normas
morales, de justicia y probidad, y a evitar participar en actos de
corrupción personal o a terceras personas.

23 / 27
 Principios deontológicos del auditor informático

Introducción a
la Auditorı́a
Informática

Enrique Arias Principios deontológicos del auditor informático

Introducción
Principio de legalidad: El auditor deberá evitar utilizar sus
La Auditorı́a de
conocimientos para facilitar, a los auditados o a terceras personas, la
la Seguridad de
la Información
contravención de la legalidad vigente
Principios Principio de libre competencia: Exige que el ejercicio de la profesión se
deontológicos
del auditor realice en el marco de la libre competencia
informático
Principio de no discriminación: El auditor en su actuación antes,
Bibliografı́a
durante y después de la auditorı́a, deberá evitar inducir, participar o
aceptar situaciones discriminatoriasde ningún tipo
Principio de no injerencia: El auditor deberá evitar injerencias en los
trabajos de otros profesionales, respetar su labor y eludir hacer
comentarios que pudieran interpretarse como despreciativos de la
misma o provocar cierto desprestigio de su calificación profesional
Principio de precisión: Exige del auditor la no conclusión de su trabajo
hasta estar convencido de la viabilidad de sus propuestas

24 / 27
 Principios deontológicos del auditor informático

Introducción a
la Auditorı́a
Informática

Enrique Arias Principios deontológicos del auditor informático

Introducción Principio de secreto profesional: La confidencia y la confianza son
La Auditorı́a de caracterı́sticas esenciales de las relaciones entre el auditor y el auditado,
la Seguridad de
la Información e imponen al primero la obligación de guardar en secreto los hechos e
Principios informaciones que conozca en el ejercicio de su actividad profesional
deontológicos
del auditor Principio de veracidad: El auditor en sus comunicaciones con el
informático

Bibliografı́a
auditado deberá tener siempre presente la obligación de asegurar la
veracidad de sus manifestaciones con los lı́mites impuestos por los
deberes de respeto, corrección y secreto
Principio de servicio público: Incitar al auditor a hacer lo que esté en su
mano y sin perjuicio de los intereses de su cliente, para evitar daños
sociales como los que pueden producirse en los casos en que, durante la
ejecución de la auditorı́a, descubra elementos de software dañinos
(virus) que puedan propagarse a otros sistemas informáticos diferentes
al auditado.

25 / 27
 Índice
Introducción a
la Auditorı́a
Informática

Enrique Arias

Introducción

La Auditorı́a de 1 Introducción
la Seguridad de
la Información

Principios
deontológicos
2 La Auditorı́a de la Seguridad de la Información
del auditor
informático

Bibliografı́a
3 Principios deontológicos del auditor informático

4 Bibliografı́a

26 / 27
 Bibliografı́a

Introducción a
la Auditorı́a
Informática

Enrique Arias

Introducción

La Auditorı́a de
la Seguridad de
la Información
Bibliografı́a
Principios Mario G. Piattini y Emilio del Peso. ”Auditorı́a informática. Un enfoque
deontológicos
del auditor práctico”. Editorial RA-MA, 1998.
informático

Bibliografı́a
Actas de ”I Jornadas de Auditorı́a informática”. Ciudad Real, 18 y 19
de Noviembre de 1998.
Revista Base Informática, no 39, Junio 2003.
Alicia Factor Diez y otros. Respuesta a Incidentes.

27 / 27