Este documento presenta una introducción a la auditoría informática. Explica conceptos clave como la función de la auditoría, qué se puede auditar (sistemas, procesos y productos), la ética profesional basada en códigos como el de ISACA e INTOSAI, y las acreditaciones y certificaciones de sistemas de gestión según normas como ISO/IEC 17021 e ISO/IEC 27006. El documento proporciona una guía básica sobre los principios y procesos de la auditoría informática.
1. 1 Introducción a la AI
AI.1 1
Módulo AI.1
Introducción a la
Auditoría
Informática
Mª Carmen Molina Prego
Pedro Luis García Repetto
Auditoría Informática
Grado Ingeniería Informática
DACYA – FDI – UCM
2. 1 Introducción a la AI
AI.1 2
Módulo AI.1
Introducción a la
Auditoría
Informática
de los Sistemas de Información
Conjunto de conocimientos científicos y técnicas que
hacen posible el tratamiento automático de la
información por medio de ordenadores. (www.rae.es)
¿ ?
3. 1 Introducción a la AI
AI.1 3
Índice
1. Función de la auditoría y conceptos principales.
2. Ética profesional.
3. Acreditaciones y certificaciones.
4. ISO/IEC 17021.
5. ISO/IEC 27006.
6. Bibliografía.
4. 1 Introducción a la AI
AI.1 4
1.1 Función de la auditoría y conceptos principales
Auditoría. (www.rae.es)
f. Revisión sistemática de una actividad o de una
situación para evaluar el cumplimiento de las reglas
o criterios objetivos a que aquellas deben
someterse.
5. 1 Introducción a la AI
AI.1 5
1.1 Función de la auditoría y conceptos principales
Auditoría según la ISO 19011 (3.1 Directrices para la
auditoría de Sistemas de Gestión de la
calidad/ambiental)
Proceso sistemático, independiente y
documentado para obtener evidencias y evaluarlas
de una manera objetiva con el fin de determinar la
extensión en que se cumplen los criterios del
referente utilizado.
Proceso (www.rae.es)
3. m. Conjunto de las fases sucesivas de un
fenómeno natural o de una operación artificial.
6. 1 Introducción a la AI
AI.1 6
1.1 Función de la auditoría y conceptos principales
Documentado (www.rae.es)
2. adj. Dicho de una persona: Que posee noticias o
pruebas acerca de un asunto.
Independiente (www.rae.es)
3. adj. Dicho de una persona: Que sostiene sus
derechos u opiniones sin admitir intervención ajena.
Referente
1. Término modélico de referencia. (www.rae.es)
2. Noma legal o estándar cuyo cumplimiento se
desea verificar.
7. 1 Introducción a la AI
AI.1 7
1.1 Función de la auditoría y conceptos principales
Evidencias (ISO 19011 3.3)
Registros, declaraciones de hecho o cualquier otra
información que son pertinentes según el referente
de auditoría y que son verificables.
Pertinente (www.rae.es)
2. adj. Que viene a propósito.
Verificable (www.rae.es)
1. Que se puede verificar.
Verificar (www.rae.es)
1. Comprobar o examinar la verdad de algo.
ISO/IEC 27000
2 Definiciones SGSI
8. 1 Introducción a la AI
AI.1 8
1.1 Función de la auditoría y conceptos principales
Evidencia
(Propiedades)
Verificable
Auténtica
Repetible
Neutra
Evidencia
(Características)
Pertinente
Suficiente
9. 1 Introducción a la AI
AI.1 9
1.1 Función de la auditoría y conceptos principales
Procedimientos
obtención
evidencias (1)
Inspección
documental
Inspección
física
Observación
Procedimientos
obtención
evidencias (2)
Entrevista
Procedimientos
analíticos
Simulaciones
Procedimientos
obtención
evidencias (1)
10. 1 Introducción a la AI
AI.1 10
1.1 Función de la auditoría y conceptos principales
Evidencias en una auditoría seguridad informática
Documento de Política de Seguridad
Método de realizar salvaguardias de las bases de datos explicado
por el administrador
Puertas abiertas en los racks de los servidores
Robustez débil de las contraseñas
Documento sobre la calidad de las contraseñas
Prueba de obtención de contraseñas
El operador opina que se ha realizado la última revisión de los
sistemas de refrigeración de la sala de ordenadores
El informe sobre la calidad de la comida en el restaurante de la
empresa indica que no se revisan las caducidades de los alimentos
El auditor cree que no hay un comité de seguridad
El procedimiento de gestión de personas recoge que se entrega un
manual de bienvenida al personal de nueva incorporación
11. 1 Introducción a la AI
AI.1 11
1.1 Función de la auditoría y conceptos principales
Auditoría de primera parte o interna
Cuando una organización realiza una evaluación o
auditoría interna por personal con experiencia e
independiente con las funciones evaluadas.
Auditoría externa de segunda parte
Los auditores internos de una organización auditan a sus
proveedores o a un proveedor potencial para determinar
la viabilidad de su incorporación a la empresa en calidad
de tal.
Auditoría externa de tercera parte o de certificación
Una organización independiente, acreditada, audita a una
organización, para determinar si cumple con una
determinada norma. (AI.1.3) ISO 19011 3.1
12. 1 Introducción a la AI
AI.1 12
1.1 Qué se audita
Sistemas de
gestión
Procesos
Productos
13. 1 Introducción a la AI
AI.1 13
1.1 Qué se audita
1. Sistema para establecer la política y los objetivos y
para lograr dichos objetivos. (ISO 19011 3.20)
Ejemplo: IBM 14001
1. Un sistema de gestión es una estructura probada para
la gestión y mejora continua de las políticas, los
procedimientos y procesos de la organización. (BSI)
2. … de la seguridad: parte del sistema general de
gestión basado en un enfoque de riesgo empresarial,
para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información (ISO/IEC 27000) (4 Política SGSI Pág 4)
Sistemas de Gestión
Sistemas de gestión
14. 1 Introducción a la AI
AI.1 14
1.1 Qué se audita
Sistemas - Auditoría
S.G. CALIDAD ISO 9001 – ISO 19011
S.G. SEGURIDAD DE LA INFORMACIÓN
ISO/IEC 27001 – ISO/IEC 27007
DESARROLLO SOFTWARE
ISO/IEC 12207 – ISO/IEC 15504
S.G. MEDIO AMBIENTE
ISO 14001 – ISO 19011
S.G. PREVENCIÓN RIESGOS LABORALES
OHSAS 18001:2007– ISO 19011
Auditar un Sistema de Gestión
ISO 19011 – ISO 17021
S.G. SERVICIOS TIC
ISO 20000 – ISO 19011
Sistemas de
15. 1 Introducción a la AI
AI.1 15
1.1 Qué se audita
Procesos
Desarrollo software
Desarrollo hardware
Administrativo de gestión y
concesión de ayudas
Gestión contable en una empresa
Fabricación de automóviles
Creación artística
16. 1 Introducción a la AI
AI.1 16
1.1 Qué se audita
Productos
Aplicación gestión nóminas
Controlador hardware
Ayuda o beca
Contabilidad
Automóviles
Obra artística
17. 1 Introducción a la AI
AI.1 17
Índice
1. Función de la auditoría y conceptos principales.
2.Ética profesional.
3. Acreditaciones y certificaciones.
4. ISO/IEC 17021.
5. ISO/IEC 27006.
6. Bibliografía.
18. 1 Introducción a la AI
AI.1 18
1.2 Ética profesional
Código de Ética Profesional de ISACA
ISACA establece este Código de Ética Profesional para
guiar la conducta profesional y personal de los miembros
y/o poseedores de certificaciones de la asociación.
1. Respaldar la implementación y promover el cumplimiento
con estándares y procedimientos apropiados del gobierno
y gestión efectiva de los sistemas de información y la
tecnología de la empresa, incluyendo la gestión de
auditoría, control, seguridad y riesgos.
2. Llevar a cabo sus labores con objetividad, debida
diligencia y rigor/cuidado profesional, de acuerdo con
estándares de la profesión.
19. 1 Introducción a la AI
AI.1 19
1.2 Ética profesional
Código de Ética Profesional de ISACA
4. Servir en beneficio de las partes interesadas de un modo
legal y honesto y, al mismo tiempo, mantener altos niveles
de conducta y carácter, y no involucrarse en actos que
desacrediten a la profesión o a la Asociación.
5. Mantener la privacidad y confidencialidad de la
información obtenida en el curso de sus deberes a menos
que la divulgación sea requerida por una autoridad legal.
Dicha información no debe ser utilizada para beneficio
personal ni revelada a partes inapropiadas.
4. Mantener la aptitud en sus respectivos campos y asumir
sólo aquellas actividades que razonablemente esperen
completar con las habilidades, conocimiento y
competencias necesarias.
20. 1 Introducción a la AI
AI.1 20
1.2 Ética profesional
Código de Ética Profesional de ISACA
7. Informar los resultados del trabajo realizado a las partes
apropiadas, revelando todos los hechos significativos
sobre los cuales tengan conocimiento.
8. Respaldar la educación profesional de las partes
interesadas para que tengan una mejor comprensión del
gobierno y la gestión de los sistemas de información y la
tecnología de la empresa, incluyendo la gestión de la
auditoría, control, seguridad y riesgos.
9. El incumplimiento de este Código de Ética Profesional
puede acarrear una investigación de la conducta de un
miembro y/o titular de la certificación y, en última instancia,
medidas disciplinarias.
21. 1 Introducción a la AI
AI.1 21
1.2 Ética profesional
Código de Ética INTOSAI
Organización Internacional de Entidades Fiscalizadoras
Código de Ética (pág. 11) para los auditores del sector público.
1. Integridad: valor central de un código de ética (Pág. 18)
2. Independencia : la independencia con respecto a la
entidad auditada (Pág. 13)
3. Objetividad: las conclusiones se basan en las pruebas
(Pág. 13)
4. Imparcialidad, neutralidad política y conflicto de intereses
(Pág. 14)
5. Secreto profesional: No revelar información a terceros
(Pág. 15)
6. Competencia profesional: actualizar y mejorar las
capacidades requeridas (Pág. 16)
22. 1 Introducción a la AI
AI.1 22
Índice
1. Función de la auditoría y conceptos principales.
2. Ética profesional.
3. Acreditaciones y certificaciones
4. ISO/IEC 17021.
5. ISO/IEC 27006.
6. Bibliografía.
23. 1 Introducción a la AI
AI.1 23
1.3 Acreditaciones y certificaciones
Un tercero (entidad de certificación) de confianza
certifica que la empresa gestiona un sistema de
forma correcta.
Razones: Por imagen, porque lo demandan sus
clientes o por qué es bueno para su funcionamiento
interno.
Sistema gestión implantado y funcionando y hay
evidencias que lo demuestran.
24. 1 Introducción a la AI
AI.1 24
1.3 Acreditaciones y certificaciones
Entidad de acreditación
Entidades de certificación son acreditadas por ENAC
(www.enac.es) u otras en el mundo. ENAC valida las
entidades acreditadas por otras entidades de
acreditación de fuera de España para que puedan
operar en España.
BSI no está acreditada por ENAC sino por UKAS
(www.ukas.com).
ENAC ha reconocido a UKAS.
BSI puede certificar en España.
25. 1 Introducción a la AI
AI.1 25
1.3 Acreditaciones y certificaciones
Entidad de certificación
www.aenor.es
AENOR, entidad española, privada, independiente, sin ánimo
de lucro, reconocida en los ámbitos nacional, comunitario e
internacional, contribuye, mediante el desarrollo de las
actividades de normalización y certificación (N+C), a
mejorar la calidad en las empresas, sus productos y
servicios, así como proteger el medio ambiente y, con ello, el
bienestar de la sociedad.
www.bsigroup.es
www.applus.com/
www.bureauveritas.es
26. 1 Introducción a la AI
AI.1 26
1.3 Acreditaciones y certificaciones
Sellos certificación
Iberdrola 14001
Proceso de certificación > 2:10
27. 1 Introducción a la AI
AI.1 27
Índice
1. Función de la auditoría y conceptos principales
2. Ética profesional
3. Acreditaciones y certificaciones
4.ISO/IEC 17021
5. ISO/IEC 27006
6. Bibliografía
28. 1 Introducción a la AI
AI.1 28
1.4 ISO/IEC 17021:2006
ISO/IEC 17021 Requisitos para entidades
auditoras y certificadoras de sistemas de gestión
La norma ISO/IEC 17021, aplicable a las entidades que
certifican todo tipo de sistemas de gestión, asegura que los
organismos de certificación prestan sus servicios de manera
competente, coherente e imparcial, facilitando así el
reconocimiento de dichos organismos y la aceptación de sus
certificaciones en el plano nacional e internacional.
Versión actual: ISO/IEC 17021:2011.
29. 1 Introducción a la AI
AI.1 29
1.4 ISO/IEC 17021:2006
Principios generales (4)
1. Imparcialidad (4.2 imparciality):
1. Serlo y parecerlo.
2. Opiniones basadas en evidencias objetivas.
3. Amenazas (threats): cliente paga por certificarse.
2. Competencia (4.3 competence): demostrable.
3. Responsabilidad (4.4 responsability): Evidencia suficiente
de conformidad. (sufficient evidence of conformity)
4. Transparencia (4.5 openness): sobre el proceso de
auditoría y certificación.
5. Confidencialidad (4.6 confidentiality): sobre la información
manejada durante la auditoría.
6. Capacidad de respuesta a las quejas (4.6 responsiveness
to complaints).
IBERDROLA 3
30. 1 Introducción a la AI
AI.1 30
1.4 ISO/IEC 17021:2006
Requisitos generales (5)
1. Legales y normativos.
2. Acuerdos para certificar: acreditación.
3. Responsabilidad respecto a las decisiones y opiniones
de auditoría.
4. Imparcialidad y conflictos de intereses (amenaza): reducir
o elimina la amenaza o abstenerse en la certificación.
5. Incompatibilidad entre auditoría y consultoría.
6. Responsabilidad: riesgos en el proceso de auditoría.
7. Fuentes de financiación no comprometen la imparcialidad.
31. 1 Introducción a la AI
AI.1 31
1.4 ISO/IEC 17021:2006
Requisitos organizacionales (6)
1. Organigrama con funciones y responsabilidades.
2. Comité directivo.
3. Supervisión del proceso de auditoría.
4. Decisión sobre resultados auditorías o certificaciones.
5. Delegación en comités sectoriales: representación de
industria, gobierno, consumidores, ONG, etc. SC-27
6. Proveer de los recursos humanos y materiales para el
proceso de auditoría.
32. 1 Introducción a la AI
AI.1 32
1.4 ISO/IEC 17021:2006
Requisitos personal auditor (7)
1. Competencia y cualificación demostrable:
1. Formación: auditoría y sectorial.
2. Experiencia.
3. Certificaciones profesionales.
2. Auditor jefe, auditores, expertos técnicos y observador.
1. Competentes.
2. Cualificados.
3. Proceso documentado para evaluar y valorar la
capacidad de los auditores.
33. 1 Introducción a la AI
AI.1 33
1.4 ISO/IEC 17021:2006
Proceso de auditoría (9)
Módulo 2 de la asignatura AI.
1. ISO 19011.
2. ISO 17021: capítulo 9
34. 1 Introducción a la AI
AI.1 34
Índice
1. Función de la auditoría y conceptos principales
2. Ética profesional
3. Acreditaciones y certificaciones
4. ISO/IEC 17021
5.ISO/IEC 27006
6. Bibliografía
35. 1 Introducción a la AI
AI.1 35
1.5 ISO/IEC 27006
ISO/IEC 27006 - Requisitos para acreditación de
entidades de auditoría y certificación de sistemas de
gestión de seguridad de la información.
La norma internacional ISO/IEC 27006 especifica los
requisitos y proporciona orientación para los organismos
que realizan la auditoría y certificación de un sistema de
gestión de seguridad (SGSI), además de los requisitos
contenidos en la norma ISO / IEC 17021 e ISO / IEC 27001.
Versión actual: ISO/IEC 27006:2007
36. 1 Introducción a la AI
AI.1 36
1.5 ISO/IEC 27006
Principios generales (4)
1. Imparcialidad (4.2 imparciality):
1. Serlo y parecerlo.
2. Opiniones basadas en evidencias objetivas.
3. Amenazas (threats).
2. Competencia (4.3 competence): demostrable.
3. Responsabilidad (4.4 responasability): Evidencia
suficiente de conformidad. (sufficient evidence of
conformity)
4. Transparencia (4.5 openness): sobre el proceso de
auditoría y certificación.
5. Confidencialidad (4.6 confidentiality): sobre la información
manejada durante la auditoría.
6. Capacidad de respuesta a las quejas (4.6 responsiveness
to complaints).
The principles from
ISO/IEC 17021:2006,
Clause 4 apply
37. 1 Introducción a la AI
AI.1 37
1.5 ISO/IEC 27006
Requisitos generales (5)
1. Legales y normativos.
2. Acuerdos para certificar: acreditación.
3. Responsabilidad respecto a las decisiones y opiniones
de auditoría.
4. Imparcialidad y conflictos de intereses (amenaza).
5. Incompatibilidad entre auditoría y consultoría: +17021
6. Responsabilidad: riesgos en el proceso de auditoría.
7. Fuentes de financiación no comprometen la imparcialidad.
The principles from
ISO/IEC
17021:2006, Clause
5 apply
38. 1 Introducción a la AI
AI.1 38
1.5 ISO/IEC 27006
Requisitos generales (5)
Incompatibilidad entre auditoría y consultoría: +17021
1. Proveer formación en seguridad sin especificaciones
concretas de la organización a auditar.
2. Proveer directrices generales sobre implementación
de la seguridad sin dar recomendaciones concretas.
3. Participar en auditorías de segunda o tercera parte.
4. Dar recomendaciones generales en la auditorías.
5. La auditoría de certificación no mantiene
interrelaciones con las auditorías internas.
39. 1 Introducción a la AI
AI.1 39
1.5 ISO/IEC 27006
Requisitos organizacionales (6)
Requisitos personal auditor (7)
1. Competencia en sistemas de gestión.
2. Competencia en seguridad de la información
3. Competencia en normativa legal y sectorial.
4. Competencia en análisis y gestión de riesgos.
5. Conocimiento de la organización a auditar.
6. Competencia en proceso auditoría (19011, 17021 y 27007).
The principles from ISO/IEC 17021:2006, Clause 6 apply
The principles from ISO/IEC 17021:2006, Clause 7 apply
And +17021
40. 1 Introducción a la AI
AI.1 40
1.5 ISO/IEC 27006
Requisitos personal auditor (7)
Competencia y cualificación demostrable del auditor jefe,
auditores y expertos técnicos:
1. Formación.
2. Proceso de auditoría.
3. Gestión de la seguridad de los S.I.: ISO/IEC 27001.
4. Experiencia.
5. Certificaciones profesionales.
6. Conocimiento de la organización a auditar.
ISO/IEC 27006 7.2.1.2
41. 1 Introducción a la AI
AI.1 41
1.5 ISO/IEC 27006
Proceso de auditoría (9)
Módulo 2 de la asignatura AI .
1. ISO 19011: guía de auditoría de un SG calidad
2. ISO 17021: capítulo 9
3. ISO 27006: capítulo 9
4. ISO 27007: guía de auditoría de un SGSI
42. 1 Introducción a la AI
AI.1 42
1.6 Bibliografía
www.isaca.org
www.intosai.org
www.enac.org
www.aenor.org
www.iso.org
www.bsigroup.es
www.applus.com/
www.bureauveritas.es