Académique Documents
Professionnel Documents
Culture Documents
Resultados obtenidos de World Economic Forum en Davos, donde se evidencia el notable aumento de la probabilidad de ocurrencia y
del impacto en materia de ciberamenazas
RIESGO?
OBJETIVOS DE CONTROL?
CONTROLES?
PRUEBAS?
A.7.1.1 La comprobación de los antecedentes de todos los candidatos al puesto de trabajo se debe llevar a cabo de acuerdo con las leyes, normas y códigos éticos que sean de
aplicación y debe ser proporcional a las necesidades del negocio, la clasificación de la información a la que se accede y los riesgos percibidos.
A.7.1.2 Como parte de sus obligaciones contractuales, los empleados y contratistas deben establecer los ´términos y condiciones de su contrato de trabajo en lo que respecta a
la seguridad de la información, tanto hacia el empleado como hacia la organización.
A.7.2.1 La dirección debe exigir a los empleados y contratistas, que apliquen la seguridad de la información de acuerdo con las políticas y procedimientos establecidos en la
organización.
A.7.2.2 Todos los empleados de la organización y, cuando corresponda, los contratistas, deben recibir una adecuada educación, concienciación y capacitación con
actualizaciones periódicas sobre las políticas y procedimientos de la organización, según corresponda a su puesto de trabajo.
A.7.2.3 Debe existir un proceso disciplinario formal que haya sido comunicado a los empleados, que recoja las acciones a tomar ante aquellos que hayan provocado alguna
brecha de seguridad.
A.7.3.1 Las responsabilidades en seguridad de la información y obligaciones que siguen vigentes después del cambio o finalización del empleo se deben definir, comunicar al
empleado o contratista y se deben cumplir.
Amenazas típicas
• De origen natural • Causadas por las personas de forma accidental
• Del entorno (de origen industrial) • Causadas por las personas de forma deliberada
• Defectos de las aplicaciones
Una vez que el auditor ha identificado los riesgos potenciales y definido los
objetivos de control necesarios para su mitigación, por cada objetivo de
control encaminado a la mitigación de un riesgo potencial, se deben
identificar los controles que deben minimizar el riesgo, logrando cumplir
así, el objetivo de control.
• Pruebas de cumplimiento
• Pruebas sustantivas
Pruebas de cumplimiento:
Empleadas por el auditor informático para probar y verificar el cumplimiento
de una técnica de control/controles. Una prueba de cumplimiento reúne
evidencias de auditoría para indicar:
• Si un control existe
• Si funciona de forma efectiva
• Si logra sus objetivos de forma eficiente
Pruebas sustantivas:
Empleadas por el auditor informático únicamente cuando las pruebas de
cumplimiento no han satisfecho los objetivos del auditor.
SI
Prueba de cumplimiento ¿Existen
deficiencias?
No
Confirmación mediante pruebas
SI Comentario
Comentario medio o grave verbal o leve
¿Conforme No según deficiencias o
con el 2 incidencias
control?
SI
FIN FIN FIN
4 6 8
Auditoría del Plan de
Revisión de proveedores Legislación …
Continuidad de Negocio
5 7 9
Auditorías SCIIF Revisión de licencias y Auditoría sobre la Auditoría de junta de
aplicaciones prevención de fraude accionistas
Otras Auditorías
Realización de la auditoria del indicador 6 del SCIIF, consistente en políticas y procedimientos de control interno sobre los sistemas de información
(entre otros, sobre seguridad de acceso, control de cambios, operación de los mismos, continuidad operativa y segregación de funciones) que
soporten los procesos relevantes de la entidad en relación a la elaboración y publicación de la información financiera.
Entendimiento de la información que Comprensión de la definición del SCIIF así como la valoración de si aborda todo lo
genera la entidad en relación a SCIIF requerido para la posterior evaluación
Numero Nombre
4
1 Auditoria SCIIF – Indicador 6 (1/3)
3
COSTE
3 7
2 1 2 8 4
Revisión de seguridad de los
proveedores.
9 5
5 Revisión de licencias y aplicaciones.
Impacto
BENEFICIO 9 Auditoría de juntas de accionistas.
Concluir la auditoria
Alcance:
El auditor indica aquí el alcance real, es decir, lo que realmente se
ha auditado, que puede o no coincidir con el alcance inicial de la
auditoría.
Conclusiones:
Las conclusiones deben ser ejecutivas y resumir en un lenguaje
claro y preciso los comentarios más relevantes o de mayor
importancia para el negocio.
Anexo y comentarios:
Todos los comentarios realizados por el auditor en relación a los
hallazgos obtenidos durante la auditoría se deben recoger en un
anexo.
TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información
Sareb-Público
INDICE