2 +el+proceso+y+las+fases+de+la+auditoria

Auditoria de Seguridad
Carlos Manuel Fernndez. MBA, CISA, CISM

Boris Delgado. CISA, CISM
El proceso y las fases de la auditoria de

Sistemas de Informacin
Contenido de la Unidad
Evaluacin de Riesgos EDR y otras Metodologas de
Auditora Informtica.
Metodologas de Auditoria Informtica

EDR Genrico: evaluacin de Riesgos (ROA Risk Oriented Approach)
EDR Simplificado: basado en Cuestionarios o Checklist
EDR Avanzado: de Productos Informticos
Metodologas de Anlisis de Riesgos (ver tema 5 ISO 27001-SGSI)
Ejecucin de una Auditora de Sistemas de Informacin.

Fases de Auditora.
Conceptos previos ISACA

Preparacin de la Auditora
Realizacin de la Auditora
Redaccin del Informe de auditora
Emisin y Distribucin del Informe
Habilidades fundamentales del auditor de sistemas de

informacin.
Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Introduccin ade
Evaluacin la Auditora
Riesgos Informtica
EDR y otras
Metodologas de Auditora Informtica
Concepto de Auditora Informtica
Ron Weber: (1988). La auditoria informtica es el proceso de

recoger, agrupar y evaluar evidencias para determinar si un
sistema informtico salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo los fines de la
organizacin y utiliza eficientemente los recursos

Introduccin ade
Evaluacin la Auditora
Riesgos Informtica
EDR y otras
Concepto de Auditora Informtica
Carlos M. Fernndez (2015).
CISA (Certified Information System Auditor). Titulo profesional

para auditores de Sistemas de Informacin por ISACA.
Es CISA (Chief Information System Auditor) como auditor interno
externo dentro de las organizaciones. (A veces no calificado
profesionalmente por ISACA).
CISM (Certified Information Security Manager) Titulo profesional

para responsables de seguridad de informacin por ISACA.
Es CISO (Chief Information Security Officer) como responsable
interno de seguridad dentro de las organizaciones. (A veces no
calificado profesionalmente por ISACA).

Evaluacin de Riesgos EDR y otras
El trmino metodologa (del griego ) hace

referencia al conjunto de procedimientos
racionales utilizados para alcanzar un objetivo

Podramos decir que una metodologa es un

conjunto de mtodos que se siguen de forma
sistemtica y disciplinada para la realizacin
de un fin

Realizar auditoras informticas con metodologas

nos permite,
entre otras cosas:
Rigor, Rapidez, uniformidad, consistencia.

Objetividad en los criterios.
Sistematicidad.
Independencia de quin lo realiza

Cada organizacin que ofrezca servicios de auditora (Deloitte,

Ernst&Young, etc.) o cada empresa puede desarrollar una
metodologa propia.
La mas difundida y que veremos a continuacin es la basada

en Evaluacin de Riesgos EDR ROA, recomendada por
ISACA y creada por Arthur Andersen
Se recomienda al alumno consultar bibliografa referente a

Ron
Weber "EDP Auditing: Conceptual Foundations and Practice".
Ed. Mc Graw Hill . 1988

A continuacin se presentan los enfoques de

auditora que
desarrollaremos:
EDR Genrico: evaluacin de Riesgos (ROA Risk

Oriented Approach)
EDR Simplificado: basado en Cuestionarios o
Checklist
EDR Avanzado: de Productos Informticos

Oriented Approach)
El auditor interno realiza una evaluacin del riesgo

potencial existente sobre el Sistema de Informacin de la
Organizacin.
Como consecuencia de la ausencia de controles o

bien
por ser un sistema deficiente, estos riesgos deben ser
cuantificados y valorados de tal forma que permita
determinar el nivel de fiabilidad que brinda el sistema
Sobre la exactitud, integridad y procesamiento de la
informacin

EDR Genrico: evaluacin de Riesgos (ROA
Risk Oriented Approach) Elementos
principales
Objetivos de control
El objetivo de todo control es la reduccin del riesgo.
La cuantificacin de los riesgos potenciales, conocidos o

no, es la base para establecer detalladamente los
objetivos de control.
Los objetivos de control pueden estar definidos

previamente por el equipo de auditora o bien establecerse
durante la planificacin de la auditora

Oriented Approach) Elementos principales
Tcnicas de control controles (*)
Por cada objetivo de control / riesgo potencial, se debe identificar

las tcnicas de control existentes que deben minimizar el riesgo,
logrando cumplir as, el objetivo de control.
Por ejemplo, en relacin a Seguridad de la Informacin

encontramos una gua de controles en la norma ISO/IEC 27002
(*) Para mayor claridad utilizaremos controles en vez de Tcnicas de control


Risk Oriented Approach) Elementos principales
Pruebas (definicin)
Permiten obtener evidencias y verificar la consistencia de

los controles existentes y tambin medir el riesgo por
deficiencia de estos o por ausencia.
Toda opinin o evaluacin de un auditor debe estar basada

en pruebas realizadas y en la evidencia obtenida de
acuerdo a una normativa profesional.


Oriented Approach) Elementos principales
Pruebas (tipos)
Distinguiremos dos tipos de pruebas:
Prueba de cumplimiento
Prueba sustantiva

EDR Genrico: evaluacin de Riesgos (ROA Risk Oriented
Approach) Elementos principales
Pruebas de cumplimiento
1. Se utilizan para probar y verificar el cumplimiento de una

tcnica de control / controles.
2. Rene evidencias de auditoria para indicar si un control existe,

funciona de forma efectiva y logra sus objetivos.
Ejemplos:
Examen de la evidencia disponible
Observacin/entrevistas
Anlisis de documentos e informacin

Risk Oriented Approach) Elementos principales
3. El diseo de las pruebas de cumplimiento, cuyo fin

es el de reunir evidencias de un funcionamiento
efectivo de los controles internos, ha de tener en
cuenta si:
Se ejecutaron los procedimientos previstos?
Se ejecutaron adecuadamente?
Fueron ejecutados por alguien que cumple con los
requisitos de segregacin de funciones?

EDR Genrico: evaluacin de Riesgos
(ROA Risk Oriented Approach)
Elementos principales
Pruebas de cumplimiento - Ejemplos
Examen de la evidencia disponible

Observacin/entrevistas
Anlisis de documentos e informacin

principales
Pruebas sustantivas
SOLO se utilizan cuando las pruebas de cumplimiento

no han satisfecho los objetivos del auditor.
Su realizacin requiere un mayor consumo de recursos
Permiten profundizar para comprobar la fiabilidad y
consistencia de los controles existentes e identificar la
magnitud y el impacto de errores e incidencias


principales
Flujo del EDR Genrico
A continuacin se presenta el flujo del EDR genrico.
Es importante destacar que nicamente se realizarn las

pruebas sustantivas cuando:
El control no existe, o
El control existe pero no supera la prueba de
cumplimiento

Risk Oriented Approach) EDR Genrico
Ejemplo de EDR
Riesgo
Acceso indebido a sistemas de Informacin
Objetivo de Control
El Departamento de Sistemas de
Informacin debiera establecer normativas
de acceso a sus datos y sistemas
informticos

Ejemplo de EDR
Control
Los procedimientos de acceso lgico a los

datos incluyen la revisin y aprobacin de
perfiles de usuario

Oriented Approach) EDR Genrico
Ejemplo de EDR
Prueba de cumplimiento
Realizar pruebas para verificar el cumplimiento del

procedimiento
Prueba: comprobar que se ha implantado un

procedimiento por escrito para someter a todos los
perfiles de acceso a un proceso de aprobaciones, y
que ha sido comunicado a todas las reas
involucradas o interesadas

Ejemplo de EDR
Prueba sustantiva
Seleccionar una muestra de perfiles e

identificar aquellos que no se hayan
revisado y aprobado adecuadamente,
evaluando el impacto/riesgo de las
incidencias detectadas.

Risk Oriented Approach) EDR Simplificado
Podramos decir que el EDR Simplificado es el que esta

basado en un checklist (no sigue un modelo prueba de
cumplimiento/ prueba sustantiva) sino que evala el riesgo a
partir de formularios o checklist)
A continuacin se presentan las caractersticas del EDR

simplificado

Oriented Approach) EDR Simplificado
Caractersticas
El auditor revisa los controles con la ayuda de una lista de control

(checklist) que consta de una serie de preguntas o cuestiones a
verificar.
La evaluacin consiste en identificar la existencia de unos controles

establecidos o estandarizados.
Suelen utilizarse por auditores con poca experiencia, como gua de

referencia, para asegurar que se han revisado todos los controles.

Oriented Approach) EDR Simplificado
Caractersticas
El auditor revisa los controles con la ayuda de una lista de control

(checklist) que consta de una serie de preguntas o cuestiones a
verificar.
La evaluacin consiste en identificar la existencia de unos controles

establecidos o estandarizados.
Suelen utilizarse por auditores con poca experiencia, como gua de

referencia, para asegurar que se han revisado todos los controles.

Approach) EDR Avanzado
Motivacin
A la vista de la cantidad de productos Software / aplicaciones

existentes en el mercado, es razonable pensar en realizar las auditoras
con un mtodo (propio o diseado por la propia empresa fabricante del
producto).
Definicin
El EDR Avanzado o de productos informticos es un EDR especfico

para una tecnologa o producto concreto

Approach) EDR Avanzado
Caractersticas
Un EDR Avanzado o de productos informticos, adems de los

elementos principales de un EDR genrico, se basa en:
Audit tools: son programas de utilidad que tiene el propio producto que vamos a
auditar.
Audit retrievals: programas o scripts desarrollados al efecto de obtener
informacin del producto que sea de utilidad para la auditora.
Audit trails: son habitualmente los logs. Contienen evidencias de lo que sucede en
el interior del sistema. Tienen como desventaja que consumen mayor tiempo de
procesador, pues por cada operacin se anota en el registro

(ROA Risk Oriented Approach) EDR
Avanzado
Formato
El formato de la metodologa, de forma general:
Descripcin
Se explica la herramienta, su finalidad, mbito,

entorno de funcionamiento.

Avanzado
Formato
Riesgos especficos del producto
Se explican los riesgos especficos del producto

en determinadas situaciones o escenarios, incluso
al interactuar con otras aplicaciones. Que es lo
que puede suceder si

Avanzado
Formato
Controles que minimizan los riesgos

Una vez determinados los riesgos especficos se
han debido implantar controles que reduzcan el
riesgo. Recordemos Riesgo vs. control. Vd. Coste

Risk Oriented Approach) EDR Avanzado
Formato
Pruebas de los controles (cumplimiento y

sustantivas)
Se realizan las pruebas de cumplimiento y, en su caso,

las sustantivas, sirvindose de:
Audit Tools
Audit Trails
Audit Retrievals

Metodologas de evaluacin de riesgos ISO 27001-
SGSI (incluido en tema 5)
Estas metodologas de anlisis de riesgos se vern en el tema

5, pues son para ISO 27001 SGSI
Es importante diferenciar la metodologa de auditora EDR-

ROA del anlisis de riesgos de la ISO 27001-SGSI que se
estudiar en el tema 5

Elementos principales del anlisis de riesgos (incluido en

tema 5 ISO 27001-SGSI)
A continuacin se presentan los elementos principales

que comprende tradicionalmente una metodologa de
Anlisis de Riesgos

Anlisis de los Riesgos:

Proceso sistemtico para identificar y estimar la magnitud del
riesgo
Anlisis de riesgos cualitativo. Anlisis de riesgos en el que se usa

una escala de puntuaciones para situar la gravedad del impacto.
Anlisis de riesgos cuantitativo. Anlisis de riesgos en funcin de las

prdidas financieras y econmicas que causara el impacto.

Gestin de los Riesgos :

Seleccin e implantacin de salvaguardas / controles para
conocer, prevenir, impedir, reducir, controlar o transferir los
riesgos identificados.
Siempre se manejan los conceptos de Activos, Amenazas,

Vulnerabilidades, Riesgos y Salvaguardas / Controles

Metodologas ms extendidas (para ISO 27001-SGSI)
Las metodologas mas extendidas actualmente son:
MAGERIT v2 Metodologa Anlisis y GEstin de RIesgos

Tecnolgico, desarrollada por la Administracin Pblica Espaola.
ISO/IEC 27005:2011 Information technology Security techniques

Information security risk management
UNE-ISO 31000:2010 Gestin del riesgo. Principios y directrices

Metodologas ms extendidas (para ISO 27001-SGSI)
OCTAVE, Operationally Critical Threat, Asset, and Vulnerability

Evaluation, desarrollada por la Carnegie-Mellon en Estados
Unidos.
EBIOS, desarrollada por la Administracin Francesa en 1995.
NIST SP800-30. Gua de gestin de riesgos publicada por el

gobierno Norteamericano

Ejecucin de una Auditora de Sistemas
de Informacin. Fases de Auditora
Los apartados que desarrollaremos a continuacin
son:
Conceptos previos ISACA

Preparacin de la Auditora
Redaccin del Informe de auditora
Emisin y Distribucin del Informe

Conceptos Previos ISACA
La auditoria basada en riesgos permite

mejorar el proceso continuo de auditoria y
concentrar los esfuerzos en zonas de alto
riesgo (eficiencia de la auditora).
Los riesgos de negocio son aquellos

pueden impactar en la viabilidad del mismo.
Relevancia. No todos los errores tienen la

misma importancia.

Riesgo potencial / inherente: es el riesgo de

que existan errores o fallos relevantes en
ausencia de un adecuado sistema de
controles. Est vinculado a cada negocio.
Es el utilizado en EDR.

Riesgo de control: es el riesgo de que el

sistema de controles no evite un error o
fallo.
Riesgo de deteccin: es el riesgo de que el

auditor concluya que no existen errores
relevantes cuando si que existen.
Riesgo general de auditora: es la

combinacin de las anteriores.

Resumen de las fases de auditora
0. CARTA DE APERTURA O MEMORANDO
1. DEFINICIN DEL ALCANCE
2. RECURSOS Y TIEMPO
3. RECOPILACIN DE INFORMACIN BSICA
4. PROGRAMA DE TRABAJO Y PLAN DE COMUNICACION
5. IDENTIFICACIN DE RIESGOS POTENCIALES
6. IDENTIFICACIN DE CONTROLES DEBILES Y FUERTES
EDR
7. PRUEBAS Y TCNICAS A UTILIZAR
8. IDENTIFICACIN DE CONTROLES ALTERNATIVOS
9. REALIZACIN DE PRUEBAS Y OBTENCIN DE RESULTADOS
10. CONCLUSIONES Y COMENTARIOS
11. REVISIONES Y CIERRE DE PAPELES DE TRABAJO
12. BORRADOR DEL INFORME
13. EMISIN Y DISTRIBUCIN DEL INFORME

Evaluacin de Riesgos EDR.
Flujograma de EDR
(findings/no conformidades/observaciones)

Preparacin de la auditora
1. Definicin del alcance
Es la definicin de lo que se va a revisar.

Identificar la unidad de la organizacin a
revisar o los sistemas especficos.
Por ej. rea de desarrollo, seguridad lgica,

seguridad fsica, etc.
Se deber evaluar el dimensionamiento del

rea o sistema a auditar

2. Recursos y tiempo
Consiste en asignar auditores (recursos) y el

tiempo para la auditora.
La asignacin ser jornadas/hombre,

incluyendo mas o menos jornadas en funcin
del alcance definido y de la experiencia de los
auditores (junior/senior), as como del
dimensionamiento del rea o sistema a auditar

3. Recopilacin de informacin bsica
Identificar las fuentes de informacin para revisarlas

como organigramas funcionales, descripcin de las
instalaciones, breve descripcin de los sistemas
existentes, polticas, estndares, procedimientos
Revisin de documentacin adicional como datos

sobre la organizacin, informes previos de auditora
interna/externa.
Hay que identificar una lista de personas a

entrevistar

3. Recopilacin de informacin bsica
Si la auditora es sorpresiva, la recopilacin se

realiza in-situ. Si la auditora no es sorpresiva
previamente se enva una carta de apertura o
memorandum donde se indica lo que se
necesita

4. Programa de trabajo
Con la informacin bsica, se realiza la

asignacin de cada auditor al trabajo que va a
realizar

5. Plan de comunicacin
Acuerdo del cmo/cuando y a quien se

comunican los resultados de la auditora

Se realiza la aplicacin de la Metodologa. En

este caso aplicamos EDR y seguimos el
esquema que recomienda ISACA.
Normalmente el auditor tiene un EDR genrico,

que en funcin de la organizacin, adaptar.

1. Identificacin de riesgos potenciales
Consiste en detectar los posibles riesgos en

ausencia de controles relacionados.
2. Identificacin de controles fuertes y dbiles
El auditor detecta controles adecuadamente

implantados y eficaces (fuertes) y otros
parcialmente implantados o que no funcionan
(dbiles). Por cada control dbil el auditor hace
un comentario.

3. Seleccin de las Pruebas y tcnicas a utilizar
El auditor decide que tipo de pruebas en base

a los riesgos va a disear.
Pruebas sustantivas
Tcnicas de Audit trail, retrieval, tools

deRealizacin
Informacin. Fases
de la Auditora
de Auditora
4. Realizacin de pruebas y obtencin de resultados
El auditor realizar tantas pruebas (de cumplimiento,

sustantivas, etc.) como haya estimado. En
ocasiones se utilizan herramientas de apoyo al
auditor (CAAT). Se vern en detalle en prximos
mdulos.
Las pruebas realizadas se anotan, as como el

resultado obtenido (evidencia) que permitir
demostrar una conclusin sobre la prueba realizada.
Se pueden realizar pruebas adicionales sobre

aspectos que no han quedado claros.

5. Conclusiones y comentarios
Los resultados de cada prueba deben

valorarse, obtener una conclusin, siempre
teniendo en cuenta los objetivos y el alcance
de la auditora.
Se realizan comentarios acerca de lo analizado

(riesgos, incidencias, etc.) que ir al informa
final. Pueden existir comentarios con
importancia mayor o menor.

6. Revisiones y cierre de papeles de trabajo
Las evidencias deben ser pertinentes,

suficientes y fehacientes.
El auditor debe guardar correctamente todas

las notas recogidas (cuaderno del auditor).

Redaccin del Informe de Auditora
Habitualmente se elabora un informe preliminar que

incluya:
Alcance y Objetivo de la auditora

Metodologa utilizada.
Posibles Limitaciones.
Resumen de auditora.
Conclusiones en base a los resultados
obtenidos.
Discusin con los auditados.
Es recomendable distribuir dicho borrador al rea

auditada /cliente /organizacin y obtener una
contestacin en la que puede aceptar lo indicado en
el informe y/o presentar alegaciones.

Consideraciones importantes
El vocabulario debe ser preciso, objetivo,

cuidadoso y respetuoso.
No debe incluir juicios de valor, nombres

propios, abreviaturas o iniciales de productos.
Afirmaciones con contenido y breves.
El informe final se distribuir al Comit de

Direccin de la organizacin

Formato del informe de auditora
El formato del informe puede ser el siguiente:
Antecedentes: reflejan brevemente lo que

se ha auditado. Sirve para situar a la
persona que lo recibe como estn las cosas.
Alcance: aqu se redacta el alcance real, es

decir, lo que realmente hemos hecho.
Resumen de la Auditoria: se resumen las

etapas de la auditora realizada

Formato del informe de auditora
Conclusiones: son un resumen de

comentarios (de los que pone el auditor). En
esta fase se discute el informe con las
personas auditadas.
Anexo y Comentarios: se ponen los

comentarios habitualmente en un anexo. Es
decir, las conclusiones presentan de forma
ejecutiva el resultado de la auditora y en el
anexo se detallan los comentarios que
sustentan dichas conclusiones.

Emisin y distribucin del Informe de Auditora
El informe deber ser ledo y entendido por

los destinatarios. Habitualmente es la
Direccin de la Organizacin o del
departamento/rea auditada.
El informe final se distribuir al Comit de

Direccin de la organizacin

Habilidades fundamentales del auditor
de sistemas de informacin
Un auditor en informtica debera tener las

siguientes habilidades terminales:
Capacidad para revisar y evaluar el control

interno del medio ambiente en que se
desarrollan los sistemas de informacin.
Capacidad para revisar, evaluar y disear los

controles necesarios en el desarrollo de los
sistemas de informacin.

Habilidades fundamentales del auditor
de sistemas de informacin
Un auditor en informtica debera tener las

siguientes habilidades terminales:
Capacidad para revisar y evaluar los controles

en sistemas de informacin que estn
produciendo informacin
Capacidad para disear procedimientos y

tcnicas de auditora con el computador.

www.unir.net

2 +el+proceso+y+las+fases+de+la+auditoria

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2 +el+proceso+y+las+fases+de+la+auditoria

Enviado por

Direitos autorais:

Formatos disponíveis

Auditoria de Seguridad

Carlos Manuel Fernndez. MBA, CISA, CISM

El proceso y las fases de la auditoria de

Metodologas de Auditoria Informtica

Ejecucin de una Auditora de Sistemas de Informacin.

Conceptos previos ISACA

Habilidades fundamentales del auditor de sistemas de

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Ron Weber: (1988). La auditoria informtica es el proceso de

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Carlos M. Fernndez (2015).

CISA (Certified Information System Auditor). Titulo profesional

CISM (Certified Information Security Manager) Titulo profesional

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Metodologas de Auditoria Informtica

El trmino metodologa (del griego ) hace

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Metodologas de Auditoria Informtica

Podramos decir que una metodologa es un

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Metodologas de Auditoria Informtica

Realizar auditoras informticas con metodologas

Rigor, Rapidez, uniformidad, consistencia.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Metodologas de Auditoria Informtica

Cada organizacin que ofrezca servicios de auditora (Deloitte,

La mas difundida y que veremos a continuacin es la basada

Se recomienda al alumno consultar bibliografa referente a

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Metodologas de Auditoria Informtica

A continuacin se presentan los enfoques de

EDR Genrico: evaluacin de Riesgos (ROA Risk

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

El auditor interno realiza una evaluacin del riesgo

Como consecuencia de la ausencia de controles o

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

El objetivo de todo control es la reduccin del riesgo.

La cuantificacin de los riesgos potenciales, conocidos o

Los objetivos de control pueden estar definidos

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Tcnicas de control controles (*)

Por cada objetivo de control / riesgo potencial, se debe identificar

Por ejemplo, en relacin a Seguridad de la Informacin

(*) Para mayor claridad utilizaremos controles en vez de Tcnicas de control

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

EDR Genrico: evaluacin de Riesgos (ROA

Permiten obtener evidencias y verificar la consistencia de

Toda opinin o evaluacin de un auditor debe estar basada

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

EDR Genrico: evaluacin de Riesgos (ROA Risk

Distinguiremos dos tipos de pruebas:

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

1. Se utilizan para probar y verificar el cumplimiento de una

2. Rene evidencias de auditoria para indicar si un control existe,

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

3. El diseo de las pruebas de cumplimiento, cuyo fin

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Pruebas de cumplimiento - Ejemplos

Examen de la evidencia disponible

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

SOLO se utilizan cuando las pruebas de cumplimiento

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

EDR Genrico: evaluacin de Riesgos (ROA