Complemento Especializado

Seguridad y Auditoría de Sistemas

Sesión 04

I n g . R e n zo I . Ve r ga r a Q u i c h e
r ve r ga r a @ u n j f s c . e d u . p e
ISO/IEC 17799
Problemática
 ¿Cómo establecer qué entendemos por ‘seguridad'?
 Diferentes criterios de evaluación de la seguridad: internos a una
organización, sectoriales, nacionales, internacionales...
 Multitud de estándares aplicables a diferentes niveles:
 TCSEC (Trusted Computer Security, militar, US, 1985).
 ITSEC (Information Technology Security, europeo, 1991).
 Common Criteria (internacional, 1986-1988).
 *7799 (británico + internacional, 2000).
 ...

 Actualmente, tras adoptar *7799 como estándar internacional, es el

más extendido y aceptado.
ISO 17799
 ISO 17799 es una norma internacional que ofrece recomendaciones para
realizar la gestión de la seguridad de la información dirigidas a los
responsables de iniciar, implantar o mantener la seguridad de una
organización.
 ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. El objetivo de
la seguridad de la información es proteger adecuadamente este activo para
asegurar la continuidad del negocio, minimizar los daños a la organización y
maximizar el retorno de las inversiones y las oportunidades de negocio.
 La seguridad de la información se define como la preservación de:
 Confidencialidad. Aseguramiento de que la información es accesible sólo para
aquellos autorizados a tener acceso.
 Integridad. Garantía de la exactitud y completitud de la información y de los
métodos de su procesamiento.
 Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso
cuando lo requieran a la información y sus activos asociados.
ISO 17799
El objetivo de la norma ISO 17799 es proporcionar una
base común para desarrollar normas de seguridad dentro
de las organizaciones y ser una práctica eficaz de la gestión
de la seguridad.
La adaptación española de la norma se denomina UNE-
ISO/IEC 17799.
Se trata de una norma NO CERTIFICABLE, pero que recoge
la relación de controles a aplicar (o al menos, a evaluar)
para establecer un Sistema de Gestión de la Seguridad de
la Información (SGSI) según la norma UNE 71502,
CERTIFICABLE.
Historia
 En 1995 el British Standard Institute publica la norma BS 7799, un código de
buenas prácticas para la gestión de la seguridad de la información.
 En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los
sistemas de gestión de la seguridad de la información; se revisa en 2002.
 Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada
como norma ISO en 2000 y denominada ISO/IEC 17799:
 Conjunto completo de controles que conforman las buenas prácticas de seguridad
de la información.
 Aplicable por toda organización, con independencia de su tamaño.
 Flexible e independiente de cualquier solución de seguridad concreta:
recomendaciones neutrales con respecto a la tecnología.
 En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE
17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no
existe equivalente ISO).
Estándar ISO/IEC 17799:2000
Estándar BS 7799-2:2002
Diferencia entre los
estándares
Evolución
Estructura: dominios de
control
La norma UNE-ISO/IEC 17799 establece diez dominios de control que
cubren por completo la Gestión de la Seguridad de la Información:
1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10. Conformidad con la legislación.
De estos diez dominios se derivan 36 objetivos de control (resultados que
se esperan alcanzar mediante la implementación de controles) y 127
controles (prácticas, procedimientos o mecanismos que reducen el nivel de
riesgo).
Estructura: dominios de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Estructura: objetivos de
control
Auditoría
Auditoría
Consultoría
Consultoría
Implantación
Ejemplo:
Ventajas de la Norma
Conclusiones
 Complemento Especializado
Seguridad y Auditoría de Sistemas
Sesión 05

I n g . R e n zo I . Ve r ga r a Q u i c h e
r ve r ga r a @ u n j f s c . e d u . p e
 SGSI
 Independientemente del tipo de actividad y
tamaño, cualquier organización recopila,
procesa, almacena y transmite información
mediante el uso y aplicación de procesos,
sistemas, redes y personas internos y/o
externos. Todos ellos son activos de
información esenciales para lograr los
objetivos de la organización.
 En función del contexto (tipo de industria,
entorno de actuación, ...) y de cada
momento particular en que se desarrollan
sus actividades, las organizaciones están
inevitablemente expuestas a situaciones de
riesgo en base a diversos factores que
pueden afectar y que, de hecho afectan,
negativamente a los activos de información
más necesarios.
SGSI
 La supervivencia de las organizaciones depende en gran medida de
una correcta identificación de los factores más relevantes y la
apropiada valoración del grado de incertidumbre asociado a la
posibilidad real de introducir efectos negativos en los activos de
información y la consecución de los objetivos de la organización.

 La actuación de las gerencias de las organizaciones para la gestión

anticipada y proporcionada de estos riesgos conlleva finalmente a
estrategias adecuadas para evitar, transferir o reducir el nivel de
exposición de los activos de información mediante la implementación
de medidas factibles en coste/eficacia teniendo en consideración las
ya existentes y el nivel de esfuerzo en seguridad que cada
organización puede aplicar partiendo de unos mínimos.
SGSI
Beneficios SGSI
UNE - ISO/IEC 27000
Introducción
 La información es un activo que como
otros activos importantes tiene valor y
requiere en consecuencia una protección
adecuada. Para la adecuada gestión de la
seguridad de la información, es necesario
implantar un sistema que aborde esta
tarea de una forma metódica,
documentada y basada en unos objetivos
claros de seguridad que a su vez haga una
evaluación de los riesgos a los que está
sometida la información de la
organización.
 ISO/IEC 27000 es un conjunto de
estándares desarrollados por ISO e IEC,
que proporcionan un marco de gestión de
la seguridad de la información utilizable
por cualquier tipo de organización, pública
o privada, grande o pequeña. A
continuación se resumen las
características del estándar ISO/IEC 27001
y se indica cómo puede una organización
implantar un sistema de gestión de
seguridad de la información (SGSI) basado
en ISO 27001.
ISO 27000
 ISO 27000 es un conjunto de estándares internacionales sobre la
Seguridad de la Información. La familia ISO 27000 contiene un conjunto
de buenas prácticas para el establecimiento, implementación,
mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la
Información
 Asimismo, los pilares principales de la familia 27000 son las normas 27001
y 27002. La principal diferencia entre estas dos normas, es que 27001 se
basa en una gestión de la seguridad de forma continuada apoyada en la
identificación de los riesgos de forma continuada en el tiempo. En cambio,
27002, es una mera guía de buenas prácticas que describe una serie de
objetivos de control y gestión que deberían ser perseguidos por las
organizaciones.
 Un Sistema de Gestión de la Seguridad de la Información es un conjunto
de políticas y procedimientos que sirven para estandarizar la gestión de la
Seguridad de la Información. A continuación les dejamos algunos detalles
de cada uno de los estándares que están incluidos en la familia de ISO
27000.
Alcance
Este Estándar Internacional da directrices para normas de seguridad de
organización de la información y prácticas de dirección de seguridad de la
información incluyendo la selección, la puesta en práctica y la dirección de
mandos que tienen el ambiente(s) de riesgo de seguridad de la información de
la organización en cuenta.
Familia ISO 27000
ISO 27000: contiene el vocabulario en el que se apoyan el resto de normas. Es
similar a una guía/diccionario que describe los términos de todas las normas de
la familia.
ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única
norma certificable de las que se incluyen en la lista y consta de una parte
principal basada en el ciclo de mejora continua y un Anexo A, en el que se
detallan las líneas generales de los controles propuestos por el estándar.
ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad
de la Información que describe los controles y objetivos de control.
Actualmente cuentan con 14 dominios, 35 objetivos de control y 114 controles.
ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como
apoyo a la norma 27001, indicando las directivas generales necesarias para la
correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la
implementación de un SGSI con éxito.
Familia ISO 27000
ISO 27004: describe una serie de recomendaciones sobre cómo realizar
mediciones para la gestión de la Seguridad de la Información. Especifica cómo
configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de
conseguir objetivos.
ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de
riesgos de seguridad de la información que puedan comprometer a las
organizaciones. No especifica ninguna metodología de análisis y gestión de
riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades
e impactos.
ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones
certificadoras.
ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuando,
cómo asignar los auditores adecuados, la planificación y ejecución de la
auditoría, las actividades claves, etc.
  El estándar para la seguridad de la
información ISO/IEC 27001 fue
aprobado y publicado como estándar
internacional en Octubre de 2005 por
ISO/IEC International Organization for
Standardization (ISO) y por la
International Electrotechnical
27001 Commission (IEC).

 Esta norma especifica los requisitos

necesarios para establecer, implantar,
mantener y mejorar un Sistema de
Gestión de la Seguridad de la
Información (SGSI) según el conocido
PDCA - (Planificar, Hacer, Verificar,
Actuar). Es consistente con las mejores
prácticas descritas en ISO/IEC 17799
(actual ISO/IEC 27002) y tiene su origen
en la norma BS 7799-2:2002,
desarrollada por la entidad de
normalización británica, la British
Standarsds Institution (BSI).
Implantación
La implantación de ISO/IEC 27001 en una organización es un
proyecto que suele tener una duración entre 6 y 12 meses.

Aquellas organizaciones que hayan aplicado las buenas prácticas de

ISO/IEC 27002, partirán de una posición más ventajosa a la hora de
implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por

representantes de todas las áreas de la organización que se vean
afectadas por el SGSI.
Este equipo debe estar liderado por la dirección y asesorado por
consultores externos especializados en seguridad informática, derecho
de las nuevas tecnologías, protección de datos y sistemas de gestión
de seguridad de la información.
  Establecimiento de una metodología de
gestión de la seguridad de la
Beneficios información clara y bien estructurada.

de la  Reducción de Riesgos, perdidas,

corrupción o robo de la información.
Norma  Los usuarios tienen acceso a la
información de manera segura, lo que se
ISO/IEC traduce en confianza.
27001  Los riesgos y sus respectivos controles
son revisados constantemente.
 Garantiza el cumplimiento de las leyes y
reglamentos establecidos en materia de
gestión de la información.
 Incrementa el nivel de concientización
del personal con respecto a los tópicos
de seguridad informática.
 Proporciona confianza y reglas clara al
personal de la empresa.
Comparación con la norma
ISO 17799
 La ISO 17799 no es certificable, ni fue diseñada para esto. La
norma que si es certificable es ISO 27001 como también lo fue su
antecesora BS 7799-2.
 ISO 27001 contiene un anexo A, que considera los controles de la
norma ISO 17799 para su posible aplicación en el SGSI que
implanta cada organización.
 ISO 17799 es como un complemento para la ISO 27001, por tanto,
una relación de controles necesarios para garantizar la seguridad
de la información.
 ISO 27001 especifica los requisitos para implantar, operar, vigilar,
mantener, evaluar un sistema de seguridad informática
explícitamente. ISO 17799 lo hace para certificar ISMS
(Information Security Management System).
 Complemento Especializado
Seguridad y Auditoría de Sistemas
Sesión 06

I n g . R e n zo I . Ve r ga r a Q u i c h e
r ve r ga r a @ u n j f s c . e d u . p e
Metodología de análisis
y gestión de riesgos de
los sistemas de
información
 Un riesgo existe cuando las amenazas son
aplicadas a activos de información vulnerables

•Activo de Información
•Vulnerabilidad Riesgo
•Amenaza

Incidencia es la materialización del riesgo

El universo del riesgo
operacional
Calidad de la Transacciones
Información Caídas del
No autorizadas
sistema
Fraude

Infraestructura Ejecución

Competencia
Desastres
Naturales
Modelo
De Riesgo Seguridad No
Impuestos/
cumplimiento
Regulatorios
Legal
El manejo de riesgo es un proceso de negocio cuyo objetivo
es mitigar/eliminar riesgos que exponen a la organización a
pérdidas financieras, operacionales y de imagen
Organización
Equipo de Riesgo
Gerentes
Dueños del riesgo

•Identificar
•Capturar
•Evaluar
Riesgos •Establecer Solución Eliminación
•Aceptar/Rechazar Mitigación
•Actualizar
•Solucionar

Estándares
Criterios de Impacto Herramientas
Parámetros Probabilidad Formatos de registro
Criterios de Aceptación Bases de Datos
Renovación Herramientas de Análisis
Verificación
 El análisis del riesgo en la seguridad de la información
busca establecer la severidad de este en función de dos
factores: Probabilidad e Impacto
Terminología Básica
ACTIVO DE SEGURIDAD DE LA
TIPOS DE ACTIVO - MAGERIT
INFORMACIÓN
Es la información 1. Servicios
imprescindible que tienen 2. Datos/Información
3. Aplicaciones
las organizaciones que 4. Equipos informáticos
deben proteger frente a 5. Personal
riesgos y amenazas para 6. Redes de comunicación
asegurar el correcto 7. Soportes de información
funcionamiento de su 8. Equipamiento auxiliar
9. Instalaciones
negocio. 10. Intangibles (Imagen,
reputación)
Terminología Básica
RIESGO AMENAZA

Es la estimación del grado de Son los eventos que pueden

exposición de un activo, a que una desencadenar un incidente,
amenaza se materialice sobre él produciendo daños materiales o
causando daños a la organización. inmateriales en los activos.
El riesgo indica lo que le podría
pasar a los activos si no se
protegen adecuadamente.
Terminología Básica
VULNERABILIDAD IMPACTO

Son las debilidades que tienen los Es la consecuencia de la

activos o grupos de activos que materialización de una amenaza
pueden ser aprovechadas por una sobre un activo.
amenaza.
Terminología Básica
RIESGO INTRÍNSECO SALVAGUARDA

Es la posibilidad de que se Son las prácticas, procedimientos

produzca un impacto determinado o mecanismos que reducen el
en un activo o en un grupo de riesgo. Estas pueden actuar
activos disminuyendo el impacto o la
probabilidad.
RIESGO RESIDUAL

Es el riesgo que queda tras la

aplicación de salvaguardas. Por
muy bien que se protejan nuestros
activos, es imposible eliminar el
riesgo al 100% por lo que siempre
quedará un riesgo residual.
El Análisis de Riesgos-1
 Es un proceso que consiste en identificar los riesgos de seguridad en
nuestra empresa, determinar su magnitud e identificar las áreas que
requieren implantar salvaguardas.
 Con el análisis de riesgos se conocerá el impacto económico de un
fallo de seguridad y la probabilidad realista de que ocurra ese fallo.
 El análisis de riesgos tiene que cubrir las necesidades de seguridad
de la organización teniendo siempre en cuenta los recursos
económicos y humanos con los que ésta cuenta. La inversión en
seguridad tiene que ser proporcional al riesgo.
 El análisis de riesgos aporta objetividad a los criterios en los que se
apoya la seguridad, ya que se centra en proteger los activos más
críticos y permite a la organización gestionar los riesgos por sí
misma.
 Apoya la toma de decisiones basándose en los riesgos propios.
El Análisis de Riesgos-2
 Para evitar la subjetividad durante la realización del análisis de
riesgos es bueno contar con la colaboración de diversas áreas de la
organización y no únicamente con al área propietaria del activo, ya
que se evitará en gran medida la subjetividad que puede tener el
responsable de dicho activo.
 Los análisis de riesgos deben utilizar unos criterios definidos
claramente que se pueden reproducir en ocasiones sucesivas.
 De esta manera se puede ir comparando el nivel de riesgo en una
organización a medida que se va mejorando el SGSI.
 El análisis de riesgos se basa en el inventario de activos que hemos
realizado con anterioridad.
El Análisis de Riesgos-3
El análisis de riesgos es una aproximación metódica para determinar
el riesgo siguiendo unos pasos pautados:

1. Determinar los activos relevantes para la Organización, su

interrelación y su valor, en el sentido de qué perjuicio (coste)
supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son
frente al riesgo.
4. Estimar el impacto, definido como el daño sobre el activo
derivado de la materialización de la amenaza
5. Estimar el riesgo, definido como el impacto ponderado con la
tasa de ocurrencia (o expectación de materialización) de la
amenaza
Metodologías para análisis de
riesgos
 MAGERIT (Methodology for Information Systems Risk Analysis and
Management)
 ISO/IEC 27005 (Risk Management of Information Security)
 ISO 31000 (Risk management)
 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
 NIST SP 800 – 30 (National Institute of Standards and Technology): Guía
de gestión de riesgo para sistemas de tecnología de la información
 CRAMM (CCTA Risk Analysis and Management Method)
 MEHARI (Método Armonizado de Análisis de Riesgos)
 EBIOS (Expresión de las necesidades e identificación de los objetivos de
seguridad)
…
Proceso de Administración y
Gestión de Riesgos
Proceso P1: Planificación

· Se establecen las consideraciones necesarias para arrancar el

proyecto AGR.
· Se investiga la oportunidad de realizarlo.

· Se definen los objetivos que ha de cumplir y el dominio (ámbito)

que abarcará.
· Se planifican los medios materiales y humanos para su realización.

· Se procede al lanzamiento del proyecto.

Proceso P2: Análisis de riesgos

· Se identifican los activos a tratar, las relaciones entre ellos y la

valoración que merecen.
· Se identifican las amenazas significativas sobre aquellos activos y se
valoran en términos de frecuencia de ocurrencia y degradación que
causan sobre el valor del activo afectado.
· Se identifican las salvaguardas existentes y se valora la eficacia de
su implantación.
· Se estima el impacto y el riesgo al que están expuestos los activos
del sistema.
· Se interpreta el significado del impacto y el riesgo.
Proceso P3: Gestión de riesgos

· Se elige una estrategia para mitigar impacto y riesgo.

· Se determinan las salvaguardas oportunas para el objetivo anterior.

· Se determina la calidad necesaria para dichas salvaguardas.

· Se diseña un plan de seguridad (plan de acción o plan director) para

llevar el impacto y el riesgo a niveles aceptables.
· Se lleva a cabo el plan de seguridad.
 Complemento Especializado
Seguridad y Auditoría de Sistemas
Sesión 07

I n g . R e n zo I . Ve r ga r a Q u i c h e
r ve r ga r a @ u n j f s c . e d u . p e
Auditoría
Informática
Antes de empezar…
 Necesidad de
control
 Garantía de
funcionamiento
interno
 Guía de buenas
prácticas
 Imprescindible
para las
certificaciones
Auditoría
Es un proceso formal y necesario
para las empresas con el fin de
asegurar que todos sus activos
sean protegidos en forma
adecuada. Asimismo, la alta
dirección espera que de los
proyectos de auditoría surjan las
recomendaciones controles y
procedimientos definidos
formalmente.

Conjunto de tareas realizadas por un especialista para la evaluación o revisión de

políticas y procedimientos relacionados con la parte: Administrativa, Financiera,
Operativa, Informática, Crédito, Fiscales y Tributarias

El auditor tiene la virtud de revisar cuentas, pero debe de estar encaminado a un objetivo especifico,
que es de evaluar la eficiencia y eficacia con que se esta operando para que, por medio del
señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores,
en caso de que existan, o bien mejorar la forma de actuación.
Informática

Es el campo que se encarga del estudio y aplicación práctica de la

tecnología, métodos, técnicas y herramientas relacionadas con las
computadoras y el manejo de la información por medios electrónicos,
el cual comprende las áreas de la tecnología de información orientadas
al buen uso y aprovechamiento de los recursos computacionales para
asegurar que la información fluya en la empresa.
Auditoría Informática
Es el proceso de
recoger, agrupar y
evaluar evidencias
para determinar si un
sistema informatizado
salvaguarda los
activos, mantiene la
integridad de los
datos, lleva a cabo
eficazmente los fines
de la organización y
utiliza eficientemente
los recursos.
Auditoria Interna vs Auditoría
Externa
Patrón Auditoría Interna Auditoría Externa
Sujeto Empleado Profesional independiente

Objetivo Inhabilitado para dar Fe pública Tiene la facultad legal para dar
debido a su vinculación Fe pública
contractual laboral
Origen del encargo Voluntaria Obligatoria, legal o estatutaria

Alcance Restringida a departamento Estado de los SI en su conjunto

informática
Uso del Informe Restringida a empresa o Empresa y público en general
institución pública
Grado de independencia Limitada Total

Responsabilidad Profesional Profesional, civil y penal

Continuidad del trabajo Continuo Periódico (generalmente anual)

Intensidad del trabajo Mayor Menor

Taxonomía de Auditoría
 Por el alcance:
 Auditoría parcial
 Auditoría completa

 Por el trabajo que realiza:

 Auditoría de cuentas
 Auditoría operativa
 Auditoría de gestión

 Por el origen del encargo

 Auditoría obligatoria, legal o estatutaria
 Auditoría voluntaria

 Por la independencia de la evaluación:

 Auditoría interna
 Auditoría externa
Auditor Informático
 Es más fácil que un informático adquiera los principios del control, de la
auditoría y de la seguridad, que un auditor financiero llegue a adquirir el
nivel técnico informático necesario.
 Para los auditores no informáticos puede ser frustrante auditar un entorno
informático.
 Estándares relativos al mantenimiento de la profesionalidad en la relación de
auditorías
◦ El auditor participará activamente en la revisión del diseño y desarrollo de nuevas aplicaciones
informáticas
◦ El auditor revisará los controles generales en los sistemas informáticos, para determinar que se
diseñado de acuerdo con las normas internas en vigor y los requerimientos legales aplicables
◦ El auditor revisará los controles de las aplicaciones informáticas instaladas para evaluar su
fiabilidad procesando datos a tiempo, de forma exacta y completa
 Los auditores informáticos creados a partir de no-informáticos mediante
cursos, necesitarán una actualización de sus conocimientos a medida que
van surgiendo nuevas facetas de TI.
Perfiles profesionales de la
función de Auditoría Informática
 La persona o personas que integren  Gestión de base de datos.
esta función debe contemplar en su  Redes locales.
formación básica una mezcla de  Seguridad física Operaciones y
conocimientos de auditoría planificación informática; efectividad
financiera y de informática general. de las operaciones y del rendimiento
Estos últimos deben contemplar de los sistemas.
conocimientos básicos en cuanto a:  Gestión de la seguridad de los
 Desarrollo informático; gestión de sistemas y de la continuidad
proyectos y del ciclo de vida de un empresarial a través de planes de
proyecto de desarrollo. contingencia de la información.
 Gestión del departamento de  Gestión de problemas y de cambios
sistemas. en entornos informáticos.
 Análisis de riesgos en un entorno
informático.  Administración de datos.
 Sistema Operativo  Ofimática.
 Telecomunicaciones.  Comercio electrónico.
 Encriptación de datos.
Ambitos definidos por ITADC:
Information Technology Audit
Development Center
 Gerencia de la función de tecnología TÓPICOS RECOMENDADOS POR
de información ITADC
 Adquisición de tecnología y gerencia
de proyectos 1. Metodologías de desarrollo de
 Centros de datos sistemas
 Telecomunicaciones 2. Controles gerenciales
 Aplicaciones instaladas y 3. Sistemas operativos
mantenimiento 4. Seguridad de sistemas
 Aplicaciones financieras y de 5. Controles en las aplicaciones
recursos humanos 6. Sistemas de bases de datos
 Sistemas en desarrollo 7. Arquitectura cliente-servidor
 Plan de contingencia y plan de 8. Telecomunicaciones
recuperación de operaciones 9. Análisis de riesgo
 Computación de usuario final 10. Planificación de auditoría
Tareas del Auditor informático
 Auditoría financiera normal  Estudios de factibilidad/ compra de
 Revisar el control de proyectos: sistemas
costo/ tiempo  Control del diseño de sistemas.
 Usuario de paquetes de auditoría Revisión de controles en un diseño
 Consultor de otros auditores sobre propuesto
paquetes de auditoría  Pruebas tradicionales en sistemas
 Desarrollar programas de vigentes
computación para el uso de  Pruebas de aceptación de nuevos
auditoría sistemas
 Revisión de post-instalación de  Revisar el trabajo de otros auditores
controles  Entrenar auditores en tópicos de
 Revisiones simples de centros de sistemas
cómputo  Usar bases de datos como
 Auditoría operacional del dpto. de herramientas de auditoría
sistemas
Funciones a desarrollar por la
función de Auditoría Informática
La función de Auditoría Informática debe realizar un amplio abanico de
actividades objetivas:
 Verificación del control interno, tanto de las aplicaciones como de los
Sistemas Informáticos, centrales y periféricos.
 Análisis de la gestión de los sistemas de información desde un punto
de vista de riesgo de seguridad, de gestión y de efectividad de la
gestión.
 Análisis de la integridad, fiabilidad y certeza de la información a
través del análisis de las aplicaciones.
 Auditoría del riesgo operativo de los circuitos de información.
 Continuación…
 Análisis de la gestión de los riesgos de la información y de la
seguridad implícita.
 Verificación del nivel de continuidad de las operaciones (a realizar
conjuntamente con los auditores financieros).
 Análisis del estado del Arte tecnológico de la instalación revisada y
de las consecuencias empresariales que un desfase tecnológico
puede acarrear.
 Diagnóstico sobre el grado de cobertura que dan las aplicaciones a
las necesidades estratégicas y operativas de información de la
organización.
Importancia de la Auditoría de
TI
La Auditoria de TI va a permitir:
 Reconocer del papel estratégico de las TI.
 Familiarizarse con los controles de Auditoría.
 Poner énfasis en la eficacia operacional y auditabilidad
más que en el desarrollo y puesta en marcha de los
proyectos.
 Proveer controles adecuados para los sistemas.
 Detectar los casos de fraude, sabotaje, robo, interrupción
del procesamiento, etc.
Control Interno
 El control es un mecanismo o procedimiento que evita o previene un
riesgo.
 El control interno es un mecanismo intrínseco a la empresa y
orientado a prevenir, corregir errores o irregularidades.
 El control interno tiene por foco único el departamento de
informática.
 En el control interno informático el examen es de modo continuo.
 Quien realiza el control interno informa solo a la dirección del
departamento de informática y es personal interno de la empresa.
“el sistema de control interno en TI está constituido por
 las políticas,
 procedimientos,
 prácticas y estructuras organizativas

Diseñadas para proveer una seguridad razonable que los

objetivos empresariales o de negocio serán alcanzados o
logrados y que los sucesos indeseados serán detectados,
prevenidos y corregidos”

COBIT (Governance, control and Audit for Information and Related Technology)
 Riesgos y controles
en procesos operativos
MANUALES

Riesgos y controles
en procesos operativos
AUTOMATIZADOS
 Control – Primeras Definiciones
Aparece en inglés en 1600 aprox… la copia de un rollo (de cuenta), un paralelo
de la misma calidad y contenido que el original.
1905.- Aparece el término Internal Check-división del trabajo / registros
contables / rotación de personal
Control Interno contable establecido para asegurar que:
◦ Las transacciones están autorizadas y registradas
◦ El acceso autorizado a los activos
◦ El registro de los activos es comparado con las existencias

 Control Interno establecido para asegurar que:

CONTROL INTERNO Para alcanzar metas

ADMINISTRATIVO

CONTROL INTERNO Para verificar información

CONTABLE
Control
Control es el uso o establecimiento de todos los medios en un negocio para
promover, dirigir, restringir, gobernar y verificar varias actividades con el fin de
ver que los objetivos son alcanzados.
Esos medios incluyen, pero no se limitan, la forma de organizarse, políticas,
procedimientos, sistemas, instrucciones, normas, comités, catálogos de cuentas,
pronósticos, presupuestos, programas, reportes, registros, métodos,
mecanismos y auditoría interna.

Actualmente Control es:

Cualquier acción tomada por la Gerencia para mejorar la probabilidad de que los
objetivos establecidos sean alcanzados.
Sistema de Control es la integración (o el conjunto) de los componentes o
actividades que son usados por la organización para alcanzar sus objetivos y
metas.
Control
Los controles existen y son usados para asistir a la Gerencia
en el logro de sus objetivos primarios:

 Información financiera y operacional confiable, creíble y relevante

 Efectividad y eficiencia en la aplicación de recursos
 Salvaguarda de activos
 Cumplimiento de leyes y normatividades
 Identificación de exposiciones al riesgo y el establecimiento de
estrategias para su control
 Establecimiento de objetivos y metas operacionales
¿Cuáles son los asuntos clave que se
deben evaluar y porqué?

Los objetivos, ya que por sí mismos son motivo de revisión

¿Están de acuerdo con la misión?

¿Se basan en información precisa?

¿Son acordes con las regulaciones aplicables?

¿Cubren las necesidades de la sociedad?

Control Interno y Auditoría de SI
La información que es tratada en una organización es un recurso critico
que debería ser protegido, ya que la misma es la base de la mayoría de
las decisiones que son adoptadas a lo largo del tiempo
Para tener una seguridad razonable sobre si la información:
◦ Es exacta y completa
◦ Esta disponible cuando se necesita
◦ Ser Confidencial.

Es necesario la implementación de Controles Internos Informáticos,

que ayuden a cumplir con las exigencias legales en materias de
Derecho Informático y asegurar que los sistemas automáticos de
procesamiento de la Información funcionan de acuerdo a lo que se
espera de ellos.
Control Interno y Auditoría de SI
El control sobre la gestión de los sistemas de información
día a día adquiere una mayor relevancia. Para ello podemos
encontrar, de manera inmediata, algunas razones:

◦ La creciente dependencia de las organizaciones y sus procesos (Internos

como Externos) respecto a sus sistemas de Información.
◦ Derivado de lo anterior, el aumento de la complejidad de los mismos con
entornos heterogéneos y abiertos, a la ves que integrados.
◦ El éxito de las estrategias de externalización de la gestión de los Sistemas de
Información, con los que la independencia de los sistemas de información se
refuerza con la dependencia de uno o varios proveedores de servicio.
◦ La Globalización.
◦ La gestión de calidad total – TQM (Total Quality Managament)
Control Interno Informático
Controla diariamente que todas las actividades de los sistemas de
información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la dirección de la organización y/o la
dirección informática, así como los requerimientos legales.
Realizar en los diferentes sistemas (centrales, departamentales, redes
locales, PC’s, etc.) y entornos informáticos (producción, desarrollo o
pruebas) el control de las diferentes actividades operativas.

La misión del Control Interno Informático es:

◦ Asegurarse de que las medidas que se obtienen de los mecanismos
implantados por cada responsable sean correcta y valida.
Control Interno Informático
Un buen control
debe contar con
las siguientes
características:
◦ Completos.
◦ Simples.
◦ Revisables.
◦ Adecuados.
◦ Rentables.
◦ Fiables.
◦ Actualizados.
 Similitudes y Diferencias
Control Interno Informático Auditor Informático

Similitudes PERSONAL INTERNO

Conocimientos especializados en tecnologías de información verificación
del cumplimiento de controles internos, normativa y procedimientos
establecidos por la dirección informática y la dirección general para los
sistemas de información.

Diferencias • Análisis de los controles en el • Análisis de un momento

día a día. informático determinado.
• Informa a la dirección del • Informa a la dirección general de
departamento de Informática. la organización.
• Sólo personal interno. • Personal interno y/o externo.
• El enlace de sus funciones es • Tiene cobertura sobre todos los
únicamente sobre el componentes de los sistemas de
departamento de informática. información de la organización.
 Sistema de Control Interno
Informático
Se puede definir el control interno como cualquier
actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus
objetivos.
Los controles internos que se utilizan en el entorno
informático continúan evolucionando hoy en día a
medida que los sistemas informáticos se vuelven
complejos.
Históricos Objetivos de Control
Informáticos
Se diseñan para cumplir varias funciones:

Preventivos: Anticipan eventos no deseados antes de

que sucedan
Detectivos: Identifican los eventos en el momento en
que se presentan
Correctivos: Aseguran que las acciones correctivas
sean tomadas para revertir un evento no deseado.
Controles Preventivos
 Pasivas, es decir no son retroalimentables
 Cierran un terminal
 Quitan el fluido del interruptor
 Prefijan el tiempo
 Guían las cosas para que ocurran en forma correcta Deben quedar
 Diseñan formas, ponen en formatos las hojas codificadas incorporados
 Ensayan programas en los sistemas

 Reducen la frecuencia de amenazas

 Auditoría
 Comprobación de antecedentes del personal
 Son transparentes al usuario
 Mobiliario a prueba de incendio
 Cristales irrompibles Evitan costos
de corrección o
 Son económicas reproceso
 Cerradura de puertas
 Cubierta en un botón de emergencia
 Símbolo
Controles Detectivos
 Son más costosos que los preventivos
 Miden la efectividad de los preventivos
 Algunos errores no pueden ser evitados en la etapa preventiva
 Incluyen revisiones y comparaciones (registro de desempeño)
 Disparan una alarma
 Detector de humo
 Alarma en una puerta abierta

 Registran la incidencia de amenaza

 Copia impresa de los acontecimientos
 Fotografía del intruso

 Terminan una nueva operación del sistema

 Paran el computador
 Cierran la terminal

 Alertan al personal
 Sirena, bocina, zumbadores
 Error en reportes
Controles Correctivos
Resuelven problemas
 Corrección automática de errores
 Caída con demora

Recomponen para volver a valorar

 Corrigen defectos, volviendo a relanzar la cadena
 Excepciones aprobadas, volviendo al punto de entrada

Son costosas
 Operación en paralelo
 Copias de seguridad / respaldo
 Grupos de control de calidad

Proporcionan una investigación de ayuda

 Pistas de auditoría
 Hacer un informe de las diferencias
 TIPO
DESCRIPCIÓN DEL CONTROL
Preventivo Detectivo Correctivo

Asignación de funciones o responsabilidades. x

Capacitación en Control Interno. x
Código de Conducta Institucional (integridad y valores éticos) x
Cuadros de facultades (administrativas u operacionales) x
Entrenamiento. x
Indicadores y normas de desempeño. x
Facultades de autorización. x
Manual de Organización. x
Personal competente. x
Políticas y Procedimientos. x
Programas y/o Presupuestos. x
Segregación de funciones. x
Automatización de transacciones. x x
Evaluación de Riesgos. x x
Registro de transacciones. x x
Salvaguarda y acceso restringido a los activos. x x
Auditoría (interna o externa) x
Comparación. x x
Conciliación. x x
Evaluación de resultados o desempeño. x x
Facultades de corrección y aplicación de ajustes. x
Inspección. x x
Supervisión del personal. x x
Verificación o revisión de funciones. x x
Evolución Objetivos de Control
Informáticos
 Sin embargo, a medida que los sistemas informáticos
se han vuelto más complejos, los controles
informáticos han evolucionado hasta convertirse en
procesos integrados en los que se atenúan las
diferencias entre las categorías de controles
informáticos.
 Los controles pueden implantarse a varios niveles
diferentes.
 Evaluar los controles de TI exige analizar diversos
elementos interdependientes, por ello es importante
llegar a conocer bien la configuración del sistema
documentando los detalles de la red, así como los
distintos niveles de control y elementos relacionados:
Implantación de un sistema de
Controles Internos
Fases -Implantación de una Política y
Cultura sobre Seguridad
 La implantación de una Política y cultura sobre la
seguridad requiere que sea realizada por fases y esté
respaldada por la dirección.
 Cada función juega un papel importante en las distintas
Etapas:

 Define la política y/o

directrices para los sistemas
de Información en base a las
exigencias del negocio que
podrán ser internas y
externas.
Fases -Implantación de una
Política y Cultura sobre Seguridad
 Define normas de funcionamiento
del entorno informático y de cada
una de las funciones de
informática mediante la creación y
publicación de procedimientos,
estándares, metodologías.

 Define los diferentes controles

periódicos a realizar en cada una
de las funciones informáticas, de
acuerdo al nivel de riesgo de cada
una de ellas y diseñarlos
conforme a los objetivos del
negocio y dentro del marco legal
Funcionamiento del Control
Interno Informático
Sistema de Control Interno
Informático

 Revisa los diferentes

controles internos definidos
en cada una de las funciones
informáticas y el
cumplimiento de normativa
interna y externa de acuerdo
al nivel de riesgo, conforme a
los objetivos definidos por la
Dirección de negocio y la
dirección de Informática.
Sistema de Control Interno
Informático
 Controles Internos para sistemas de Información, y que serían los que
control Interno Informático y auditoría Informática deberían verificar
para determinar su cumplimiento y validez:
Eliminando probabilidades no
posibilidades
 Ningún sistema de control
elimina la posibilidad de
error.
 Los controles son
diseñados y ejecutados
por el personal.
 Las personas son falibles y
están sujetas a presión.
 Nunca se puede eliminar
completamente la
posibilidad de error.
Beneficios del Control Interno
 Pueden ayudar a la gerencia. Se
consideran medios que
favorecen el logro de metas y
objetivos
 Es un medio que integra al
personal con los objetivos
 Ayuda al personal a medir su
desempeño y mejorarlo
 Ayuda a evitar las tentaciones
de fraude
 Facilita a los directores
demostrar cómo han aplicado
los recursos y logrado los
objetivos.
Resumiendo
 El Control Interno ayuda a crear valor a las Instituciones e involucra al
personal, a la tecnología y a los procesos.
 Los controles preventivos son mejores que los detectivos y correctivos.
 El personal de todos los niveles debe contribuir a un ambiente de control
adecuado y efectivo.
 El Control Interno es el medio que las Organizaciones aplican para asegurar
de manera razonable que se cumplan las Metas y Objetivos.
 Es un frente en el combate a la corrupción.
 Aporta una estructura adecuada para la rendición de cuentas y fomenta la
transparencia.
 Es responsabilidad de la administración, a todos los niveles y en todos los
ámbitos.
 Previene riesgos que pueden impedir el logro de las Metas y Objetivos.
 Promueve la eficiencia, eficacia y economía en el manejo y aplicación de
recursos.
Factores que minimizan los
riesgos