Tema 5.2n - Auditoria de Tecnologias de Información

AUDITORIA TECNOLOGIAS DE
INFORMACION
Seguridad y Auditoria de Sistemas

Temario
• Auditoria de Sistemas de Información:

Objetivos, roles y retos del auditor TI.
• Áreas Específicas de Auditoria Tecnológica
• Ejemplos de Programas de trabajo y Pruebas
de auditoria.
• Estándares internacionales principales
Auditoría TI
“Proceso de revisión y evaluación de

todos los aspectos de los sistemas
automáticos de procesamiento de
Información, incluidos
procedimientos no automáticos
relacionados con ellos y las
interfaces correspondientes”.
Fuente: ISACA (Information Systems Audit & Control Association)
Auditoría TI
Auditoría TI
Auditoría Gerencia de
tradicional sistemas
Auditoría de
sistemas
Ciencia del
Ciencias de la comportamiento
Computación
Ingeniero
de sistemas
Retos del auditor
• Conocimiento del negocio.
• Conocimientos de TI.
o Cambios tecnológicos continuos
o Necesidad de capacitación en nuevas
tecnologías
o Necesidad de personal con distintos
perfiles y visiones profesionales
• Conocimiento sobre como actúan las TI en
el proceso del negocio.
o Alta interrelación entre aplicaciones
• Compleja trazabilidad motivada por la
diversidad de plataformas
Retos del auditor
• Conocimientos de metodologías y
herramientas.
• Conocimiento de Riesgos y Procesos.
• Confianza y respeto de los auditados.
• Conocimiento del impacto de sus
recomendaciones.
• Contraparte válida y asesor en controles
y autocontrol para el auditado.
Roles y funciones del Auditor TI
 Realizar el Plan anual de las auditorías a

realizar
 Determinar el Mapa de Procesos de negocio
y soporte
 Realizar la evaluación de Riesgos asociados a
las actividades de Tecnologías de
Información
 Evaluar los controles de los procesos TI
 Presentar informe de debilidades y
recomendaciones, acordando un cronograma
de solución con los involucrados
 Participar en auditorías integradas.
 Seguimiento de las recomendaciones
Auditoría TI
Seguridad de
la Información
Infraestructura Desarrollo y
de Sistemas Mantenimiento
Áreas
Específicas
de
Auditoria
Aplicaciones
Explotación
de Negocios
de
y
Tecnología
Operativos
Auditoria de Aplicaciones
Revisión de cobertura operativa /o
negocio:
 Adecuado servicio a los
requerimientos del Negocio
 Entender el flujo de transacciones y la
estructura básica de control,
incluyendo los aspectos de procesos
manuales, automatizados e interfaces
 Controles de acceso y facultades en la
operativa, para el cumplimiento de la
segregación de funciones y
autorizaciones de control dual.
 Atención de incidencias
 Comprobar que la operativa se ajusta
a la normativa interna externa.
Revisión de Implementación:
 Nivel de documentación de sistemas y
programas.
 Pruebas, aprobaciones, y documentación
de los cambios a programas y procesos.
 Controles de Acceso a librerías de
programas, documentación y archivos.
 Analizar Integridad, Calidad y Consistencia
de los datos en la Base de Datos. Usar
pruebas CAAT (Computer Assisted Audit
Techniques)
 Revisar los Controles Informáticos de
Entrada y Salida de datos.
 Controles de acceso a la base de datos y
transacciones.
Revisión de Diseño
 Especificaciones funcionales:
Requerimientos de
transacciones, cálculos, flujos de
control, etc.
 Diseño Funcional
 Diseño de Interfaces con usuarios
(E/S)
 Diseño de Procesos
 Diseño de Bases de Datos
Desarrollo de pruebas
 Diseño de datos de pruebas
 Caja Negra: Pruebas de especificaciones
funcionales
 Caja Blanca: Cobertura completa, a nivel de
Instrucciones, Rutas de lógica
 Valores Límite: con datos para probar la ejecución
de límites mayores, menores e iguales a lo
indicado en el programa.
 Pruebas de esfuerzo operativo y técnico.
 Pruebas de conformidad: procedimientos, reglas
de negocio, etc.
 Pruebas sustantivas o de validación: detectar
errores o irregularidades en procesos, actividades
o transacciones
 Pruebas de Intrusión: Recomendaciones Owasp
Auditoría de Seguridad
 Gestión de Riesgos
 Metodología usada
 Activos significativos identificados, con

evaluación de riesgos y controles que
lo mitigan
 Plan de Seguridad de Información
 Basado en las mejores prácticas:
ISO 27001 SGSI, ISO 27002, COBIT

 Conocidos y aprobados por dueño del
negocio y de acuerdo en los riesgos y
controles
 Publicación, documentación, revisión y
mantenimiento.
 Seguridad Física
 Procedimiento de accesos a
instalaciones
 Implementación de instalaciones
tecnológicas
 Consideraciones ergonómicas:
Diseño de productos y puestos
 Ambiente de Control
 Verificar nivel de concientización
del personal y responsabilidad de
los controles de seguridad
 Cumplimiento de las políticas y
de la normativa relacionada.
 Cumplimiento y valoración de los
controles
 Control de Accesos
 Procesos de Negocio y Operativos
 Accesos a Infraestructura Tecnológica:

Servidores, Entornos, etc.
 Métodos y Herramientas: Acceso
biométrico
 Evaluar procedimientos de registro y
validación.
 Nivel de aceptación usuarios
 Existencia de plan de contingencia
 Infraestructura
 Prevención de fuga de información
 Protección de Datos
 Seguridad Perimetral
 Segmentación: separación en
redes lógicas para aislar a los
usuarios e infraestructura de
intrusos
 Arquitectura: proveer
autenticación, autorización,
auditoría y detección de
intrusos
 Pruebas de acceso a redes y/o
servidores según perfiles
 Tests de intrusión
 Continuidad de Negocios
 Existencia de un Plan de
Continuidad de Negocios:
 Servicios críticos
 Organización y Procedimientos
 Pruebas de los Planes de
Contingencia:
 Sistema de recuperacion
 Infraestructura alternativa
 Atención de servicios
 Retorno a la Normalidad
Desarrollo y Mantenimiento
Los componentes claves de Proyectos TI, recomendados
para enfocar la auditoría
Alineación
Negocio-TI
Preparación
Post Gestión de de Soluciones
Implantación Proyectos TI
Organización
y Gestión de
Cambios
Fuente: GTAG (Global Technology Audit Guide) del IIA

Proceso del Ciclo de Desarrollo
Diseño: Desarrollo: Pruebas: 3i Instalación:

Requerimie Análisis y
Funcional y Programació y Entrega a
ntos Usuario Diagnóstico
Técnico n Certificación Explotación
Metodología, Estándares, Normas, Entregables

 Plan anual de atención
 Planificación de requerimientos
Administración y Control
o Actividades
o Recursos
o Esfuerzo
o Cronogramas
o Hitos.
 Ejecución
o Actualización
o Registro.
 Cambios
o Al plan
o Cambio de prioridades
 Informe anual resultados
El Auditor puede participar

• Como “miembro” del equipo
de desarrollo para identificar
fallas o debilidades en etapas
tempranas.
o En este caso, la revisión post-
implementación deberá ser
realizada por otro auditor
• En revisiones de post-
implementación
• En revisiones de los procesos
o aplicaciones.
Mantenimiento
 Correctivos
 Incidencias
 Optimizaciones
 Evolutivos
Auditoría de Explotación
 Control de entrada de datos.

 Gestión de Cambios:
Planificación y recepción de aplicaciones.
 Centro de control y monitoreo de eventos
 Centro de atención de Usuarios y
resolución de problemas
 Planificacion de procesos
 Control de resultados.
 Capacity Planning: Demanda, Recursos,
Rendimiento
Auditoría de Infraestructura de sistemas
 Comunicaciones y Redes.
 Sistemas Operativos.
 Software base y
herramientas.
 Administración de
Bases de Datos.
Auditoría de Comunicaciones
 Diseño de la infraestructura de las
redes
 Monitoreo de tráfico y disponibilidad
de las redes -> alertas
 Servicios de transporte y balanceo de
tráfico
 Pruebas de los enlaces de
contingencia
 Inventario de equipos de
comunicaciones y servidores de
infraestructura y aplicativos
Auditoría de Comunicaciones
 Detección, registro y resolución de problemas

 Pruebas de vulnerabilidad de la segmentación de
redes
 Evaluación de certificados de seguridad: Políticas,
controles, autoridad, distribución, etc.
 Proveedores: disponibilidad para escalamiento,
upgrades, mantenimiento, costos, etc.
Estándares de Auditoría
 En el mundo, han evolucionado las

siguientes organizaciones profesionales:
 American Institute of Certified Public
Accountants (AICPA)
 Canadian Institute of Chartered
Accountants (CICA)
 Institute of Internal Auditors (IIA)
 Information Systems Audit and Control
Association (ISACA)
 U.S. General Accounting Office.

Tema 5.2n - Auditoria de Tecnologias de Información

Cargado por

Copyright:

Formatos disponibles

Tema 5.2n - Auditoria de Tecnologias de Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 5.2n - Auditoria de Tecnologias de Información

Cargado por

Copyright:

Formatos disponibles

AUDITORIA TECNOLOGIAS DE

Seguridad y Auditoria de Sistemas

• Auditoria de Sistemas de Información:

“Proceso de revisión y evaluación de

 Realizar el Plan anual de las auditorías a

 Activos significativos identificados, con

ISO 27001 SGSI, ISO 27002, COBIT

 Accesos a Infraestructura Tecnológica:

 Existencia de plan de contingencia

Fuente: GTAG (Global Technology Audit Guide) del IIA

Proceso del Ciclo de Desarrollo

Diseño: Desarrollo: Pruebas: 3i Instalación:

Metodología, Estándares, Normas, Entregables

El Auditor puede participar

 Control de entrada de datos.

 Detección, registro y resolución de problemas

 En el mundo, han evolucionado las

También podría gustarte