Tema 2 - 1 - Auditoría Informática - Metodologías y Ejecución

Auditoría de proyectos
Dra. Noelia Calvar Simón
Tema 2/1: Auditoría informática:

Metodologías y Ejecución
Universidad Internacional de La Rioja

Tema 2: Auditoría informática: Metodologías y ejecución
Hoja de ruta
2
Cronología Caso grupal

- 27 may 27 may 27 may – 10 jun 11 jun
Lectura, estudio, Debate y análisis

preparación Discusión en clase Entrega del trabajo
en grupo
individual
Leer el caso Asistir Redactar memoria Entrega resolución

Trabajo individual Discusión en grupo Trabajo colaborativo Todos entregan la
resolución del caso
El representante entrega
la resolución y la
presentación ppt
3
Temario de la asignatura
Tema 1. Tema 2.
Introducción a la auditoría Auditoría informática:
informática Metodologías y ejecución
 La auditoría informática  Metodología
 Auditoría informática y
gestión de riesgos  Fases de auditoría
 Auditoría, Control Interno y

Gobierno de SI
4
Índice / 1
► Recordatorio
► Riesgo
► Gestión de riesgos
► Metodologías para auditar
► Metodología EDR / ROA Genérico
Recordatorio Metodologías 1. Metodología EDR / ROA

5
Recordatorio: Riesgo, KRI

Riesgo
Impacto y probabilidad de que una amenaza (o de una serie
de eventos/amenazas) puedan afectar de manera adversa la
consecución de los objetivos
KRI
Indicador para determinar la posibilidad existente de que
ocurra un evento probable en una empresa, en conjunto con
las consecuencias que acarrea dicho evento (ya sean
favorables o desfavorables), pueda provocar un RIESGO que
lleve a la empresa a situaciones críticas.
KRI es un Indicador que mide el impacto negativo en un KPI
Recordatorio
Metodologías 1. Metodología EDR / ROA
6
Recordatorio: Gestión de riesgos

Gestión de riesgos
La identificación, evaluación y priorización

de riesgos seguida de una aplicación
coordinada y económica de recursos para
Fuente: www.avepoint.com
minimizar y controlar la probabilidad o el
impacto de eventos desafortunados o para
maximizar la realización de oportunidades.
Recordatorio
7
Recordatorio: Gestión de riesgos
Identificación Análisis de Evaluación de

del riesgo riesgo riesgos
• proceso que se • proceso que se utiliza • proceso que se utiliza
utiliza para para comprender la para comparar los
encontrar, naturaleza, fuentes y resultados del análisis
causas de los riesgos de riesgos con criterios
reconocer y
que ha identificado y de riesgo para
describir los riesgos estimar el nivel de determinar si un el
que podrían afectar riesgo nivel de riesgo
el logro de los • También se usa para especificado es
objetivos estudiar impactos y aceptable o tolerable
consecuencias y para
examinar los controles
que existen
Recordatorio
8
“Para el año 2021, la planificación inadecuada de

la gestión del riesgo para la transformación digital
ocasionará interrupciones significativas para una
de cada tres organizaciones”
Recordatorio Metodologías 1. Metodología EDR / ROA

9
Metodología
Conjunto de mecanismos o
procedimientos racionales, que se
siguen de forma sistemática y
disciplinada para la realización de un fin
Fuente: www.researcharticles.com
• Rigor, Rapidez, uniformidad, consistencia

Realizar auditorías
informáticas con • Objetividad en los criterios
metodologías nos permite, • Sistematicidad
entre otras cosas:
• Independencia de quien lo realiza
Metodologías
Recordatorio 1. Metodología EDR / ROA
10
Metodología
Metodologías más difundidas
EDR Genérico (EDR – Evaluación de Riesgos)

(ROA – Risk Oriented Approach)
EDR Simplificado
(Checklist)
Basada en cuestionarios
EDR Avanzado
(Auditoría de productos)
Metodologías
Recordatorio 1. Metodología EDR / ROA
11
EDR Genérico (EDR - Evaluación de Riesgos)

El auditor realiza una evaluación del riesgo potencial

existente sobre el Sistema de Información de la
organización
Fuente: www.evaluandosoftware.com
1. EDR Genérico
Recordatorio Metodologías
12

Cuantificación y Objetivos Técnicas de control

valoración de riesgos de control Pruebas
o controles
potenciales
1. EDR Genérico
13

Cuantificación y
valoración de riesgos
potenciales
Identificación y valoración de riesgos
SALIDA: Listado de riesgos potenciales
1. EDR Genérico
14

Objetivos
de control
Los objetivos de control son los elementos fundamentales de

cualquier sistema de información sometidos a control
Gestión proactiva para minimizar probabilidad ocurrencia y/o
disminuir el impacto potencial de los riesgos
SALIDA: Plan de gestión de riesgos
1. EDR Genérico
15

Técnicas de control
o controles
Por cada objetivo de control / riesgo potencial, se debe

identificar las técnicas de control existentes que deben
minimizar el riesgo, logrando cumplir así el objetivo general
de control
SALIDA: Procedimientos de control
1. EDR Genérico
16

Permiten obtener evidencias y verificar la

consistencia de los controles existentes y Pruebas
también medir el riesgo por deficiencia o por
ausencia de éstos
Toda opinión o evaluación de un auditor debe estar basada en

pruebas realizadas y en la evidencia obtenida de acuerdo a una
normativa profesional
SALIDA: Pruebas de cumplimiento y sustantivas
1. EDR Genérico
17

Pruebas de cumplimiento:
1. Se utilizan para probar y verificar el cumplimiento de una

Pruebas
técnica de control / controles.
2. Reúne evidencias de auditoría para indicar si un control
existe, funciona de forma efectiva y logra sus objetivos.
3. Ha de tener en cuenta si:
• Existen procedimientos establecidos
• Se ejecutaron los procedimientos previstos
• Se ejecutaron adecuadamente
1. EDR Genérico
18

Pruebas sustantivas:
Pruebas
1. SOLO se utilizan cuando las pruebas de cumplimiento no
han satisfecho los objetivos del auditor: El control no existe, o el
control existe pero no supera la prueba de cumplimiento
2. Su realización requiere un mayor consumo de recursos
3. Permiten profundizar para comprobar la fiabilidad y
consistencia de los controles existentes e identificar la magnitud
y el impacto de errores e incidencias
1. EDR Genérico
19


o controles
potenciales
Listado de Plan de gestión Procedimiento Pruebas de

riesgos de riesgos de control cumplimiento y
potenciales sustantivas
1. EDR Genérico
20
EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:

(ROA – Risk Oriented Approach) Datos

o controles
potenciales
Listado de riesgos Plan de gestión Procedimiento de Pruebas de

potenciales de riesgos control cumplimiento y
sustantivas
Riesgo
Acceso indebido a
sistemas de
información por
parte de empleados
1. EDR Genérico
21


o controles
potenciales

sustantivas
Riesgo El Dpto. de TI debe
Acceso indebido a establecer normativas
sistemas de de acceso a sus datos
información por y sistemas
parte de empleados informáticos
1. EDR Genérico
22


o controles
potenciales

sustantivas
Procedimientos de
Riesgo El Dpto. de TI debe acceso lógico a los
Acceso indebido a establecer normativas datos incluyen la
sistemas de de acceso a sus datos revisión y
información por y sistemas aprobación de
parte de empleados informáticos perfiles de usuario
1. EDR Genérico
23


o controles
potenciales

sustantivas
Prueba de cumplimiento Prueba sustantiva
Comprobar que se ha implantado un Seleccionar una muestra de perfiles e
procedimiento por escrito para someter a identificar aquellos que no se hayan revisado y
todos los perfiles de acceso a un proceso aprobado adecuadamente, evaluando el
de aprobaciones y que ha sido impacto/riesgo de las incidencias detectadas
comunicado a todas las áreas interesadas
1. EDR Genérico
24
Ejemplo:
Seguridad
física

o controles
potenciales

sustantivas
Riesgo
Incendio en la sala
de servidores
1. EDR Genérico
25
Ejemplo:
Seguridad
física

o controles
potenciales

sustantivas
Riesgo Mantener protegida la
Incendio en la sala sala de servidores
de servidores
1. EDR Genérico
26
Ejemplo:
Seguridad
física

o controles
potenciales

sustantivas
Procedimientos de
Riesgo Mantener protegida la mantenimiento de
Incendio en la sala sala de servidores extintores,
de servidores detectores de
humo, rociadores,
etc.
1. EDR Genérico
27
Ejemplo:
Seguridad
física

o controles
potenciales

sustantivas
Prueba de cumplimiento
Comprobar que 10 extintores están etiquetados Prueba sustantiva
con la fecha de la última revisión. Ampliar la muestra y
Comprobar que los led de los detectores de comprobar todos los extintores
humo parpadean y detectores de humo
1. EDR Genérico
28
Ejemplo Minicaso
Aplica la Metodología EDR genérica al caso identificando 3 riesgos potenciales
PeluchesCia (empresa ficticia) se fundó en el año 2001 cuando 3 universitarios

recién graduados deciden montar una startup con la idea elaborada por uno de
ellos en su TFG.
Su negocio se basa en la fabricación y distribución de

peluches Mascota conectados a internet que permiten
hablar a distancia entre los menores y sus progenitores, y
además responde todo tipo de preguntas que los niños le
hacen sobre contenidos de Matemáticas y Geografía
gracias a su conexión a Internet, donde consulta las
respuestas en una base de datos que la empresa mantiene
en un proveedor Cloud.
1. EDR Genérico
29
Ejemplo Minicaso
Aplica la Metodología EDR genérica al caso identificando 3 riesgos potenciales
La empresa en 2018 ha tenido un problema porque se filtraron

a Internet más de 800.000 cuentas de los propietarios, así como
más de 2 millones de conversaciones que los menores habían
tenido con sus padres. La información estuvo durante semanas
en internet al alcance cualquiera antes de que fuera retirada por
PeluchesCia.
Se ha decidido implementar una gestión de riesgos que facilite
verificar que no se está vulnerable a los posibles riesgos que
conlleva la fabricación, distribución y el servicio a los usuarios de
los peluches Mascota. Han decidido realizar trimestralmente una
verificación de las vulnerabilidades posibles por el Dpto. de
Organización durante al menos 2 semanas.
1. EDR Genérico
30
Ejemplo Minicaso
 Conectados a internet
Cuantificación y  Base de datos en la nube
valoración de riesgos  La información estuvo durante semanas en
potenciales internet al alcance de cualquiera
 Se filtraron más de 800.000 cuentas
1. EDR Genérico
31
Ejemplo Minicaso
 Conectados a internet
Cuantificación y  Base de datos en la nube
valoración de riesgos  La información estuvo durante semanas en
potenciales internet al alcance de cualquiera
 Se filtraron más de 800.000 cuentas
1. Acceso no autorizado a la base de datos

2. Filtración de datos personales de clientes por
parte del proveedor Cloud
3. Hackeo de las cuentas de usuarios
1. EDR Genérico
32
Ejemplo Minicaso
2. Filtración de datos personales de clientes por parte del
Objetivos proveedor Cloud
de control 3. Hackeo de las cuentas de usuarios
1. EDR Genérico
33
Ejemplo Minicaso
2. Filtración de datos personales de clientes por parte del
Objetivos proveedor Cloud
de control 3. Hackeo de las cuentas de usuarios

1. Impedir que personal no autorizado acceda a la
base de datos
2. Evitar que el responsable del fichero o el proveedor
de Cloud filtre datos de clientes
3. Impedir que hackers externos tengan acceso a la
información
1. EDR Genérico
34
Ejemplo Minicaso
1. Impedir que personal no autorizado acceda a la base de datos
2. Evitar que el responsable del fichero o el proveedor de Cloud
filtre datos de clientes
3. Impedir que hackers externos tengan acceso a la información
o controles
1. EDR Genérico
35
Ejemplo Minicaso
1. Impedir que personal no autorizado acceda a la base de datos
2. Evitar que el responsable del fichero o el proveedor de Cloud
filtre datos de clientes
3. Impedir que hackers externos tengan acceso a la información
o controles
1. Identificación y control de acceso a la base de datos
Procedimiento de acceso físico al Dpto. de TI
2. Procedimiento de seguridad al cargar datos en la nube
Procedimiento de cifrado de datos
3. Procedimiento de seguridad para impedir el acceso de hackers
Procedimiento de seguridad para impedir que los empleados
accedan a páginas web peligrosas
1. EDR Genérico
36
Ejemplo Minicaso

Pruebas
Pruebas de cumplimiento
1. Nº acceso a la base de datos por parte de personal autorizado

Registro de personal que accede a la base de datos
Registro del tiempo que duran los accesos
2. El procedimiento para la carga de datos es adecuado
El cifrado de datos es seguro y confidencial
3. Nº de intentos de ataques por parte de hackers
Nº de accesos de los empleados a páginas web peligrosas
1. EDR Genérico
37
Ejemplo Minicaso

Pruebas
Pruebas sustantivas
1. Ampliar la prueba para verificar el nº accesos de personal no autorizado

Ampliar la prueba para verificar el acceso físico al cuarto o Dpto. de TI
2. Ampliar la prueba para verificar la carga de datos en la nube
3. Ampliar la prueba para determinar ataques fallidos
Ampliar la prueba para determinar todas las páginas web a las que
acceden los empleados
1. EDR Genérico
38
Ejemplo Minicaso
1. Riesgos 2. Objetivos de 3. Medidas de 4a. Pruebas 4b. Pruebas
control control cumplimiento sustantivas
Acceso no Impedir que - Identificación y control
de acceso a BD
-¿Existe procedimiento? - Ampliar la prueba para
verificar el nº accesos de
- Nº acceso a la BD por
autorizado a BD personal no - Procedimiento de parte de personal personal no autorizado
autorizado acceso físico al Dpto. TI autorizado - Ampliar la prueba para
verificar el acceso físico
acceda a la BD - Registro de personal
al cuarto o Dpto. de SI
que accede a la BD
- Registro del tiempo
que duran los accesos
Filtración de Evitar que los - PS al cargar datos en la

nube
-¿Existe procedimiento? Ampliar la prueba
- El procedimiento para para verificar la carga
datos responsables - Procedimiento de la carga de datos es de datos en la nube
filtren datos cifrado de datos adecuado
- El cifrado de datos es
seguro y confidencial
Hackeo de las Impedir que - PS para impedir el

acceso de hackers
-¿Existe procedimiento? - Ampliar la prueba para
determinar ataques
- Nº de intentos de
cuentas de hackers tengan - PS para impedir que los ataques por parte de fallidos
usuarios acceso empleados accedan a hackers - Ampliar la prueba para
páginas web peligrosas determinar todas las
- Nº de accesos de los
1. EDR Genérico
empleados a páginas páginas web a las que
Recordatorio Metodologías web peligrosas acceden los empleados
39
40
www.unir.net

Tema 2 - 1 - Auditoría Informática - Metodologías y Ejecución

Cargado por

Copyright:

Formatos disponibles

Tema 2 - 1 - Auditoría Informática - Metodologías y Ejecución

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 2 - 1 - Auditoría Informática - Metodologías y Ejecución

Cargado por

Copyright:

Formatos disponibles

Auditoría de proyectos

Dra. Noelia Calvar Simón

Tema 2/1: Auditoría informática:

Universidad Internacional de La Rioja

Cronología Caso grupal

Lectura, estudio, Debate y análisis

Leer el caso Asistir Redactar memoria Entrega resolución

 La auditoría informática  Metodología

 Auditoría, Control Interno y

► Metodologías para auditar

► Metodología EDR / ROA Genérico

Recordatorio Metodologías 1. Metodología EDR / ROA

Recordatorio: Riesgo, KRI

KRI es un Indicador que mide el impacto negativo en un KPI

Recordatorio: Gestión de riesgos

La identificación, evaluación y priorización

Recordatorio: Gestión de riesgos

Identificación Análisis de Evaluación de

“Para el año 2021, la planificación inadecuada de

Recordatorio Metodologías 1. Metodología EDR / ROA

• Rigor, Rapidez, uniformidad, consistencia

EDR Genérico (EDR – Evaluación de Riesgos)

EDR Genérico (EDR - Evaluación de Riesgos)

El auditor realiza una evaluación del riesgo potencial

EDR Genérico (EDR - Evaluación de Riesgos)

Cuantificación y Objetivos Técnicas de control

EDR Genérico (EDR - Evaluación de Riesgos)

Identificación y valoración de riesgos

SALIDA: Listado de riesgos potenciales

EDR Genérico (EDR - Evaluación de Riesgos)

Los objetivos de control son los elementos fundamentales de

EDR Genérico (EDR - Evaluación de Riesgos)

Por cada objetivo de control / riesgo potencial, se debe

EDR Genérico (EDR - Evaluación de Riesgos)

Permiten obtener evidencias y verificar la

Toda opinión o evaluación de un auditor debe estar basada en

EDR Genérico (EDR - Evaluación de Riesgos)

1. Se utilizan para probar y verificar el cumplimiento de una

EDR Genérico (EDR - Evaluación de Riesgos)

EDR Genérico (EDR - Evaluación de Riesgos)

Cuantificación y Objetivos Técnicas de control

Listado de Plan de gestión Procedimiento Pruebas de

EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:

Cuantificación y Objetivos Técnicas de control

Listado de riesgos Plan de gestión Procedimiento de Pruebas de

EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:

Cuantificación y Objetivos Técnicas de control

Listado de riesgos Plan de gestión Procedimiento de Pruebas de

EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:

Cuantificación y Objetivos Técnicas de control

Listado de riesgos Plan de gestión Procedimiento de Pruebas de

EDR Genérico (EDR - Evaluación de Riesgos) Ejemplo:

Cuantificación y Objetivos Técnicas de control

Listado de riesgos Plan de gestión Procedimiento de Pruebas de

Cuantificación y Objetivos Técnicas de control

Listado de riesgos Plan de gestión Procedimiento de Pruebas de

Cuantificación y Objetivos Técnicas de control

Listado de riesgos Plan de gestión Procedimiento de Pruebas de

Cuantificación y Objetivos Técnicas de control