FACULTAD DE

INGENIERIA
ESCUELA ACADMICA PROFESIONAL DE
INGENIERIA EMPRESARIAL

TEMA:
AUDITORIA DE SEGURIDAD DE SISTEMAS DE INFORMACIN
ALUMNO(S):
Oyarce Hoyos Rosa
Quinde Huamn Heysner
Snchez Peralta Frank
Vsquez Ramos Carmen

DOCENTE: LUIS MANUEL SANCHEZ FERNANDEZ

CHICLAYO - PER
2015 II

Auditoria de sistema de informacin

es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales
para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran
presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes
debern establecer medidas preventivas de refuerzo y/o correccin siguiendo siempre un
proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.
Las auditoras de seguridad de SI permiten conocer en el momento de su realizacin cul es la
situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de
seguridad.

QUE ES AUDITORIA DE SISTEMAS?

La auditoria en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad,
de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio
del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditoria en informtica deber comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtencin de informacin.
La auditoria en informtica es de vital importancia para el buen desempeo de los sistemas de
informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables
y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de
centros de informacin, hardware y software).

SU PROPSITO

Objetivos Generales de una Auditora de Sistemas

Buscar una mejor relacin costo-beneficio de los sistemas automticos o
computarizados diseados e implantados por el PAD
Incrementar la satisfaccin de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la recomendacin de seguridades y controles.

Conocer la situacin actual del rea informtica y las actividades y esfuerzos

necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones.

Apoyo de funcin informtica a las metas y objetivos de la organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico

Minimizar existencias de riesgos en el uso de Tecnologa de informacin.

Decisiones de inversin y gastos innecesarios
Capacitacin y educacin sobre controles en los Sistemas de Informacin.

Estrategia para la Auditora de Sistemas de Informacin

Necesidad de definir una estrategia
Las TIC han acompaado la automatizacin y el crecimiento
La informacin y los recursos TIC como activos de las organizaciones
Dependencia de las TIC
Implicacin de la Direccin

Incremento vulnerabilidad de los sistemas

Dar respuesta a la dependencia de la informacin
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados

Objetivos de las Administraciones Pblicas:

Cumplimiento de la legalidad vigente, Eficacia, Eficiencia

ESQUEMA ORGANIZATIVO
Independencia
Autoridad

MANDATO PARA UNA AUDITORA INTERNA

MANDATO PARA UNA AUDITORA EXTERNA

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS

INFORMACIN ( )

Actuaciones de apreciacin independiente para supervisar el control establecido

Actividades bsicas
Direccin o Gobierno de las TIC (Gobernanza TIC)
Supervisar el control interno TIC
Supervisar la gestin de riesgos TIC

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS DE INFORMACIN (II)

Proteccin de datos de carcter personal

Control de accesos
Administracin Electrnica
Equipamiento informtico
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotacin de sistemas de informacin
Contratacin bienes y servicios TIC
Tcnica de sistemas
Continuidad del servicio TIC
Acreditacin de confianza

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS

INFORMACIN ( )

B- Acciones proactivas
Participacin en el ciclo de control

Asegurar existencia de controles internos razonables y adecuados

Divulgar y fomentar las buenas prcticas
Fomentar la documentacin de los sistemas y procedimientos
Asesorar en la implementacin de pistas de auditora
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestin recursos

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS

INFORMACIN ( )

C- Auditora forense
Desafo ante delitos informticos, garantizando la evidencia digital que se presentase en un
proceso judicial.

Recuperar informacin
Determinar cusa y origen de una situacin
Identificar autor(es) acciones ilcitas
Identificar uso inapropiado de los medios de la Organizacin

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS

INFORMACIN ( )

D- APOYO EN AUDITORAS EXTERNAS

Supervisin de auditores externos.
E- APOYO A OTRAS REAS DE AUDITORA
Asistencia para la obtencin, estructuracin y anlisis de la informacin.

AUDITOR

TC

reas de Conocimiento (certificables)

Tcnica o metodologa de auditora informtica

Gestin, planificacin y organizacin de las TIC
Infraestructura tcnica, prcticas operativas y proteccin de activos
Recuperacin de desastres y continuidad de la actividad
Desarrollo, adquisicin, implementacin y mantenimiento de sistemas
Evaluacin de procesos y gestin de riesgos

OTRAS CARACTERSTICAS (NO CERT F CA ES)

Comprender procesos de gestin y normativa legal

Identificar problemas y plantear soluciones
Llenar vaco de comunicacin entre direccin, usuarios y tcnicos
Saber comunicar
Negociar situaciones de conflicto
Saber cuando solicitar asistencia

ESTNDARES Y NORMAS TCNICAS

Principios
Salvar brechas entre riesgos del proceso de gestin, necesidades de control y aspectos
tcnicos
Determinar el alcance de las actuaciones e identificar los controles mnimos
Observar e incorporar estndares y regulaciones nacionales o internacionales

Hechos

Adecuar tcnicas auditora tradicionales a los controles de las TIC

Generar resultados homogneos
Organizar los trabajos (tipificar tareas)
Emplear distintos referentes segn tipo de auditora
Estndares basados en buenas prcticas

1. INSTRUMENTOS DE NORMALIZACIN DE LAS ADMINISTRACIONES PBLICAS EN

ESPAA
Normas de Auditora del Sector Pblico de la IGAE: No son especficas a la auditora de
sistemas de informacin
MAGERIT Versin 2: Es la metodologa de anlisis y gestin de riesgos de los sistemas
de informacin.
Modelo EFQM de Excelencia: Es una orientacin de la Fundacin Europea para la
Gestin de la Calidad que contempla algunos criterios que hacen referencia a las TIC
Serie Seguridad de las Tecnologas de la Informacin del Centro Criptogrfico Nacional
(CCN-STIC)

2. INSTRUMENTOS DE NORMALIZACIN DE LAS ADMINISTRACIONES PBLICAS EN EE.UU

Government Auditing Standars (GAGAS): Son las normas de aplicacin para el General
Accountability Office (GAO) de EE.UU.
Federal Information System Controls Audit Manual (FISCAM): Una gua metodolgica
que aplica las normas del GAO y del NIST.
Serie de Publicaciones Especiales SP-800 del Instituto
Nacional de Estndares y Tecnologa (NIST)

3. PRCTICAS Y RECOMENDACIONES DE ASOCIACIONE INTERNACIONALES (I)

Normas Internacionales para el Ejercicio Profesional de la Auditora Interna (The

Institute of Internal Auditors)
Asociacin de Auditora y Control de Sistemas de Informacin (ISACA)
Control Objetives for Information and Related Technologies (COBIT)
IS Standars, Guidelines and Procedures for Auditing and Control Professionals

Information Technology Infraestructure Library (ITIL)

3.1 PRCTICAS Y RECOMENDACIONES DE ASOCIACIONES INTERNACIONALES (II)

Modelo de Madurez de las Capacidades Integrado para el Desarrollo (CMMI) del

Instituto de Ingeniera del Software (SEI)
Instituto SANS (SysAdmin, Audit, Network, Security)
Normalizacin internacional ISO:
Gestin de Servicios de las Tecnologas de la Informacin (IT Service
Management): ISO/IEC 20000:2005
Seguridad de la Informacin: Familia ISO/IEC 27000
Criterios comunes de evaluacin de la seguridad de las tecnologas de la informacin
ISO/IEC 15408:2005 (Common Criteria for Information Technology Security Evaluation)

PLANIFICACIN DE ACTUACIONES
QU AUDITAR

Cumplimiento de requerimientos legales

Sensibilidad de la organizacin a riesgos / resultado de anlisis
Resultado de auditoras anteriores
Condicionantes de la Organizacin

CUNDO AUDITAR
Priorizar las actuaciones detectadas y ajustando el alcance a los recursos disponibles y
las demandas de la direccin
Elaborar el documento de planificacin peridica de la unidad de auditora
Revisin peridica del plan inicial para incorporar actuaciones no previstas
CMO AUDITAR

Proceso para planificar las actuaciones individuales

PROCESO DE AUDITORAS DE SISTEMAS DE INFORMACIN

PLANIFICACIN DE ACTIVIDADES

Identificar la informacin a recopilar

Identificar las tareas de campo
Identificar interlocutores
Recursos necesarios/disponibles
Responsabilidades de los miembros del equipo auditora
Calendario tentativo

IDENTIFICAR EL ALCANCE DE LA ACTUACIN

Que se quiere comprobar
Que se pretende demostrar
Que se va a informar
OBTENCIN DE INFORMACIN PRELIMINAR

Actividad llevada a cabo por el rea a auditar

Esquema de control interno (polticas, normas, etc.)
Estndares de referencia
Informes anteriores
Familiarizarse con el entorno tecnolgico a auditar

IDENTIFICAR OBJETIVOS DETALLADOS

Evaluacin preliminar para identificar objetivos de control
Identificar posibles condicionantes
Grado de extensin acorde al alcance
AUDITORAS DE CUMPLIMIENTO

Modelo de control de referencia

Existencia de controles
Adecuacin y eficacia de los controles
Proporcionalidad

AUDITORAS OPERATIVAS

Modelo de control de referencia

Planificacin y gestin de controles
Aseguramiento de los controles
Oportunidad de introducir cambios

FORMALIZACIN DEL INICIO DE LA ACTUACIN

Notificacin del responsable de la unidad de auditora al responsable del rea a auditar

Reunin del equipo auditor con el responsable de la unidad a auditar para comunicar
Alcance de los trabajos
Necesidad/obligacin de colaboracin
Interlocutor del equipo auditor

Se debe tener presente no interferir con el trabajo realizado por el rea auditada

Proceso de Auditoras de Sistemas de Informacin

TRABAJOS DE CAMPO
Tcnicas Recoleccin de Evidencias

Revisin de documentos
Entrevistas
Observacin del trabajo realizado
Pruebas y verificaciones
Uso de herramientas

Uso de Herramientas Informticas o Tcnicas de Auditora Asistidas por Ordenador

CAAT (I)
Obtencin de informacin de los SI
Recoleccin de evidencias de los SI
Creacin de muestras para realizar pruebas

Ventajas
Aseguran independencia en la recoleccin de datos
Disminuyen el riesgo propio del proceso de auditora
Mayor cobertura y consistencia de la pruebas

Uso de Herramientas Informticas o Tcnicas de Auditora Asistidas por

Ordenador - CAAT (II)
Caractersticas
Productos informticos ad-hoc o herramientas de los sistemas
Acceso a distintas estructuras o formatos de datos
Aplicacin de criterios de seleccin
Reorganizacin de la informacin obtenida
Funciones estadsticas y aritmticas

Precauciones
El acceso a los datos reales por los auditores debe ser siempre slo en modo
lectura
Los datos extrados deben aislarse del entorno de produccin para evitar que
las manipulaciones alteren los originales
El empleo de herramientas que puedan causar perturbaciones debe ser
limitado

Uso de Herramientas Informticas o Tcnicas de Auditora Asistidas por Ordenador CAAT (III)

Ejemplos
Logs: contienen el registro de actividad
Utilidades de sistema: contienen los parmetros que implementan las polticas
de control
Software generalizadode auditora:
reorganizacin, etc.

acceso a archivos, seleccin de datos,

Software especfico: herramientas empleadas con un propsito concreto

Guion para Auditoras de Sistemas de Informacin

El GUIN es la herramienta fundamental de apoyo para el auditor que documenta el proyecto
de la auditora
Identifica que tareas se deben efectuar durante la actuacin
Cuantifica los medios necesarios
Define la secuencia de los trabajos
Para que el equipo comprenda lo que debe realizar y obtenga una visin del conjunto

ESTRUCTURA DEL GUIN

1. Punto(s) de control
En funcin del objetivo y alcance de la actuacin se habrn establecido objetivos de control
detallados => apartados del guion. Identifica lo que se va a supervisar del sistema de control.

2. Directriz de auditora
Desarrollan los Puntos de control sealando las tareas a efectuar, antes o durante la
actuacin.
Determinan los medios y tcnicas necesarios para cada punto de control
Limitadas por el desarrollo de la funcin de auditora en la Organizacin

Esquema COBIT para el guin:

Secuencia de actividades

Informes de Auditoras de Sistemas de Informacin

Contenidos del informe de auditoria:

Ejemplos de Informes de Auditoras Sistemas de Informacin

Elaboracin propia
Basado en actuaciones reales
Cumplimiento de polticas e instrucciones

Georgia Department of Audits and Accounts

Informe sistema informacin para la gestin del IVA
Informe de seguimiento

National Audit Office

Informe de calidad de la informacin Impuesto Renta
Progreso en informacin y servicios on-line

Goverment Accountabillity Office

Uso de datos adquiridos
Desafo en el uso del correo electrnico