SlideShare una empresa de Scribd logo

Introducción a la auditoría informática

Pedro Garcia Repetto
Pedro Garcia Repetto

Este documento presenta una introducción a la auditoría informática. Explica conceptos clave como la función de la auditoría, qué se puede auditar (sistemas, procesos y productos), la ética profesional basada en códigos como el de ISACA e INTOSAI, y las acreditaciones y certificaciones de sistemas de gestión según normas como ISO/IEC 17021 e ISO/IEC 27006. El documento proporciona una guía básica sobre los principios y procesos de la auditoría informática.

Tecnología
1 de 43
1 Introducción a la AI AI.1 1 Módulo AI.1 Introducción a la Auditoría Informática Mª Carmen Molina Prego Pedro Luis García Repetto Auditoría Informática Grado Ingeniería Informática DACYA – FDI – UCM
1 Introducción a la AI AI.1 2 Módulo AI.1 Introducción a la Auditoría Informática de los Sistemas de Información Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores. (www.rae.es) ¿ ?
1 Introducción a la AI AI.1 3 Índice 1. Función de la auditoría y conceptos principales. 2. Ética profesional. 3. Acreditaciones y certificaciones. 4. ISO/IEC 17021. 5. ISO/IEC 27006. 6. Bibliografía.
1 Introducción a la AI AI.1 4 1.1 Función de la auditoría y conceptos principales Auditoría. (www.rae.es) f. Revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse.
1 Introducción a la AI AI.1 5 1.1 Función de la auditoría y conceptos principales Auditoría según la ISO 19011 (3.1 Directrices para la auditoría de Sistemas de Gestión de la calidad/ambiental) Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de una manera objetiva con el fin de determinar la extensión en que se cumplen los criterios del referente utilizado. Proceso (www.rae.es) 3. m. Conjunto de las fases sucesivas de un fenómeno natural o de una operación artificial.
1 Introducción a la AI AI.1 6 1.1 Función de la auditoría y conceptos principales Documentado (www.rae.es) 2. adj. Dicho de una persona: Que posee noticias o pruebas acerca de un asunto. Independiente (www.rae.es) 3. adj. Dicho de una persona: Que sostiene sus derechos u opiniones sin admitir intervención ajena. Referente 1. Término modélico de referencia. (www.rae.es) 2. Noma legal o estándar cuyo cumplimiento se desea verificar.
1 Introducción a la AI AI.1 7 1.1 Función de la auditoría y conceptos principales Evidencias (ISO 19011 3.3) Registros, declaraciones de hecho o cualquier otra información que son pertinentes según el referente de auditoría y que son verificables. Pertinente (www.rae.es) 2. adj. Que viene a propósito. Verificable (www.rae.es) 1. Que se puede verificar. Verificar (www.rae.es) 1. Comprobar o examinar la verdad de algo. ISO/IEC 27000 2 Definiciones SGSI
1 Introducción a la AI AI.1 8 1.1 Función de la auditoría y conceptos principales Evidencia (Propiedades) Verificable Auténtica Repetible Neutra Evidencia (Características) Pertinente Suficiente
1 Introducción a la AI AI.1 9 1.1 Función de la auditoría y conceptos principales Procedimientos obtención evidencias (1) Inspección documental Inspección física Observación Procedimientos obtención evidencias (2) Entrevista Procedimientos analíticos Simulaciones Procedimientos obtención evidencias (1)
1 Introducción a la AI AI.1 10 1.1 Función de la auditoría y conceptos principales Evidencias en una auditoría seguridad informática Documento de Política de Seguridad Método de realizar salvaguardias de las bases de datos explicado por el administrador Puertas abiertas en los racks de los servidores Robustez débil de las contraseñas Documento sobre la calidad de las contraseñas Prueba de obtención de contraseñas El operador opina que se ha realizado la última revisión de los sistemas de refrigeración de la sala de ordenadores El informe sobre la calidad de la comida en el restaurante de la empresa indica que no se revisan las caducidades de los alimentos El auditor cree que no hay un comité de seguridad El procedimiento de gestión de personas recoge que se entrega un manual de bienvenida al personal de nueva incorporación
1 Introducción a la AI AI.1 11 1.1 Función de la auditoría y conceptos principales Auditoría de primera parte o interna Cuando una organización realiza una evaluación o auditoría interna por personal con experiencia e independiente con las funciones evaluadas. Auditoría externa de segunda parte Los auditores internos de una organización auditan a sus proveedores o a un proveedor potencial para determinar la viabilidad de su incorporación a la empresa en calidad de tal. Auditoría externa de tercera parte o de certificación Una organización independiente, acreditada, audita a una organización, para determinar si cumple con una determinada norma. (AI.1.3) ISO 19011 3.1
1 Introducción a la AI AI.1 12 1.1 Qué se audita Sistemas de gestión Procesos Productos
1 Introducción a la AI AI.1 13 1.1 Qué se audita 1. Sistema para establecer la política y los objetivos y para lograr dichos objetivos. (ISO 19011 3.20) Ejemplo: IBM 14001 1. Un sistema de gestión es una estructura probada para la gestión y mejora continua de las políticas, los procedimientos y procesos de la organización. (BSI) 2. … de la seguridad: parte del sistema general de gestión basado en un enfoque de riesgo empresarial, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información (ISO/IEC 27000) (4 Política SGSI Pág 4) Sistemas de Gestión Sistemas de gestión
1 Introducción a la AI AI.1 14 1.1 Qué se audita Sistemas - Auditoría S.G. CALIDAD ISO 9001 – ISO 19011 S.G. SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001 – ISO/IEC 27007 DESARROLLO SOFTWARE ISO/IEC 12207 – ISO/IEC 15504 S.G. MEDIO AMBIENTE ISO 14001 – ISO 19011 S.G. PREVENCIÓN RIESGOS LABORALES OHSAS 18001:2007– ISO 19011 Auditar un Sistema de Gestión ISO 19011 – ISO 17021 S.G. SERVICIOS TIC ISO 20000 – ISO 19011 Sistemas de
1 Introducción a la AI AI.1 15 1.1 Qué se audita Procesos Desarrollo software Desarrollo hardware Administrativo de gestión y concesión de ayudas Gestión contable en una empresa Fabricación de automóviles Creación artística
1 Introducción a la AI AI.1 16 1.1 Qué se audita Productos Aplicación gestión nóminas Controlador hardware Ayuda o beca Contabilidad Automóviles Obra artística
1 Introducción a la AI AI.1 17 Índice 1. Función de la auditoría y conceptos principales. 2.Ética profesional. 3. Acreditaciones y certificaciones. 4. ISO/IEC 17021. 5. ISO/IEC 27006. 6. Bibliografía.
1 Introducción a la AI AI.1 18 1.2 Ética profesional Código de Ética Profesional de ISACA ISACA establece este Código de Ética Profesional para guiar la conducta profesional y personal de los miembros y/o poseedores de certificaciones de la asociación. 1. Respaldar la implementación y promover el cumplimiento con estándares y procedimientos apropiados del gobierno y gestión efectiva de los sistemas de información y la tecnología de la empresa, incluyendo la gestión de auditoría, control, seguridad y riesgos. 2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor/cuidado profesional, de acuerdo con estándares de la profesión.
1 Introducción a la AI AI.1 19 1.2 Ética profesional Código de Ética Profesional de ISACA 4. Servir en beneficio de las partes interesadas de un modo legal y honesto y, al mismo tiempo, mantener altos niveles de conducta y carácter, y no involucrarse en actos que desacrediten a la profesión o a la Asociación. 5. Mantener la privacidad y confidencialidad de la información obtenida en el curso de sus deberes a menos que la divulgación sea requerida por una autoridad legal. Dicha información no debe ser utilizada para beneficio personal ni revelada a partes inapropiadas. 4. Mantener la aptitud en sus respectivos campos y asumir sólo aquellas actividades que razonablemente esperen completar con las habilidades, conocimiento y competencias necesarias.
1 Introducción a la AI AI.1 20 1.2 Ética profesional Código de Ética Profesional de ISACA 7. Informar los resultados del trabajo realizado a las partes apropiadas, revelando todos los hechos significativos sobre los cuales tengan conocimiento. 8. Respaldar la educación profesional de las partes interesadas para que tengan una mejor comprensión del gobierno y la gestión de los sistemas de información y la tecnología de la empresa, incluyendo la gestión de la auditoría, control, seguridad y riesgos. 9. El incumplimiento de este Código de Ética Profesional puede acarrear una investigación de la conducta de un miembro y/o titular de la certificación y, en última instancia, medidas disciplinarias.
1 Introducción a la AI AI.1 21 1.2 Ética profesional Código de Ética INTOSAI Organización Internacional de Entidades Fiscalizadoras Código de Ética (pág. 11) para los auditores del sector público. 1. Integridad: valor central de un código de ética (Pág. 18) 2. Independencia : la independencia con respecto a la entidad auditada (Pág. 13) 3. Objetividad: las conclusiones se basan en las pruebas (Pág. 13) 4. Imparcialidad, neutralidad política y conflicto de intereses (Pág. 14) 5. Secreto profesional: No revelar información a terceros (Pág. 15) 6. Competencia profesional: actualizar y mejorar las capacidades requeridas (Pág. 16)
1 Introducción a la AI AI.1 22 Índice 1. Función de la auditoría y conceptos principales. 2. Ética profesional. 3. Acreditaciones y certificaciones 4. ISO/IEC 17021. 5. ISO/IEC 27006. 6. Bibliografía.
1 Introducción a la AI AI.1 23 1.3 Acreditaciones y certificaciones Un tercero (entidad de certificación) de confianza certifica que la empresa gestiona un sistema de forma correcta. Razones: Por imagen, porque lo demandan sus clientes o por qué es bueno para su funcionamiento interno. Sistema gestión implantado y funcionando y hay evidencias que lo demuestran.
1 Introducción a la AI AI.1 24 1.3 Acreditaciones y certificaciones Entidad de acreditación Entidades de certificación son acreditadas por ENAC (www.enac.es) u otras en el mundo. ENAC valida las entidades acreditadas por otras entidades de acreditación de fuera de España para que puedan operar en España. BSI no está acreditada por ENAC sino por UKAS (www.ukas.com). ENAC ha reconocido a UKAS. BSI puede certificar en España.
1 Introducción a la AI AI.1 25 1.3 Acreditaciones y certificaciones Entidad de certificación www.aenor.es AENOR, entidad española, privada, independiente, sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional, contribuye, mediante el desarrollo de las actividades de normalización y certificación (N+C), a mejorar la calidad en las empresas, sus productos y servicios, así como proteger el medio ambiente y, con ello, el bienestar de la sociedad. www.bsigroup.es www.applus.com/ www.bureauveritas.es
1 Introducción a la AI AI.1 26 1.3 Acreditaciones y certificaciones Sellos certificación Iberdrola 14001 Proceso de certificación > 2:10
1 Introducción a la AI AI.1 27 Índice 1. Función de la auditoría y conceptos principales 2. Ética profesional 3. Acreditaciones y certificaciones 4.ISO/IEC 17021 5. ISO/IEC 27006 6. Bibliografía
1 Introducción a la AI AI.1 28 1.4 ISO/IEC 17021:2006 ISO/IEC 17021 Requisitos para entidades auditoras y certificadoras de sistemas de gestión La norma ISO/IEC 17021, aplicable a las entidades que certifican todo tipo de sistemas de gestión, asegura que los organismos de certificación prestan sus servicios de manera competente, coherente e imparcial, facilitando así el reconocimiento de dichos organismos y la aceptación de sus certificaciones en el plano nacional e internacional. Versión actual: ISO/IEC 17021:2011.
1 Introducción a la AI AI.1 29 1.4 ISO/IEC 17021:2006 Principios generales (4) 1. Imparcialidad (4.2 imparciality): 1. Serlo y parecerlo. 2. Opiniones basadas en evidencias objetivas. 3. Amenazas (threats): cliente paga por certificarse. 2. Competencia (4.3 competence): demostrable. 3. Responsabilidad (4.4 responsability): Evidencia suficiente de conformidad. (sufficient evidence of conformity) 4. Transparencia (4.5 openness): sobre el proceso de auditoría y certificación. 5. Confidencialidad (4.6 confidentiality): sobre la información manejada durante la auditoría. 6. Capacidad de respuesta a las quejas (4.6 responsiveness to complaints). IBERDROLA 3
1 Introducción a la AI AI.1 30 1.4 ISO/IEC 17021:2006 Requisitos generales (5) 1. Legales y normativos. 2. Acuerdos para certificar: acreditación. 3. Responsabilidad respecto a las decisiones y opiniones de auditoría. 4. Imparcialidad y conflictos de intereses (amenaza): reducir o elimina la amenaza o abstenerse en la certificación. 5. Incompatibilidad entre auditoría y consultoría. 6. Responsabilidad: riesgos en el proceso de auditoría. 7. Fuentes de financiación no comprometen la imparcialidad.
1 Introducción a la AI AI.1 31 1.4 ISO/IEC 17021:2006 Requisitos organizacionales (6) 1. Organigrama con funciones y responsabilidades. 2. Comité directivo. 3. Supervisión del proceso de auditoría. 4. Decisión sobre resultados auditorías o certificaciones. 5. Delegación en comités sectoriales: representación de industria, gobierno, consumidores, ONG, etc. SC-27 6. Proveer de los recursos humanos y materiales para el proceso de auditoría.
1 Introducción a la AI AI.1 32 1.4 ISO/IEC 17021:2006 Requisitos personal auditor (7) 1. Competencia y cualificación demostrable: 1. Formación: auditoría y sectorial. 2. Experiencia. 3. Certificaciones profesionales. 2. Auditor jefe, auditores, expertos técnicos y observador. 1. Competentes. 2. Cualificados. 3. Proceso documentado para evaluar y valorar la capacidad de los auditores.
1 Introducción a la AI AI.1 33 1.4 ISO/IEC 17021:2006 Proceso de auditoría (9) Módulo 2 de la asignatura AI. 1. ISO 19011. 2. ISO 17021: capítulo 9
1 Introducción a la AI AI.1 34 Índice 1. Función de la auditoría y conceptos principales 2. Ética profesional 3. Acreditaciones y certificaciones 4. ISO/IEC 17021 5.ISO/IEC 27006 6. Bibliografía
1 Introducción a la AI AI.1 35 1.5 ISO/IEC 27006 ISO/IEC 27006 - Requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. La norma internacional ISO/IEC 27006 especifica los requisitos y proporciona orientación para los organismos que realizan la auditoría y certificación de un sistema de gestión de seguridad (SGSI), además de los requisitos contenidos en la norma ISO / IEC 17021 e ISO / IEC 27001. Versión actual: ISO/IEC 27006:2007
1 Introducción a la AI AI.1 36 1.5 ISO/IEC 27006 Principios generales (4) 1. Imparcialidad (4.2 imparciality): 1. Serlo y parecerlo. 2. Opiniones basadas en evidencias objetivas. 3. Amenazas (threats). 2. Competencia (4.3 competence): demostrable. 3. Responsabilidad (4.4 responasability): Evidencia suficiente de conformidad. (sufficient evidence of conformity) 4. Transparencia (4.5 openness): sobre el proceso de auditoría y certificación. 5. Confidencialidad (4.6 confidentiality): sobre la información manejada durante la auditoría. 6. Capacidad de respuesta a las quejas (4.6 responsiveness to complaints). The principles from ISO/IEC 17021:2006, Clause 4 apply
1 Introducción a la AI AI.1 37 1.5 ISO/IEC 27006 Requisitos generales (5) 1. Legales y normativos. 2. Acuerdos para certificar: acreditación. 3. Responsabilidad respecto a las decisiones y opiniones de auditoría. 4. Imparcialidad y conflictos de intereses (amenaza). 5. Incompatibilidad entre auditoría y consultoría: +17021 6. Responsabilidad: riesgos en el proceso de auditoría. 7. Fuentes de financiación no comprometen la imparcialidad. The principles from ISO/IEC 17021:2006, Clause 5 apply
1 Introducción a la AI AI.1 38 1.5 ISO/IEC 27006 Requisitos generales (5) Incompatibilidad entre auditoría y consultoría: +17021 1. Proveer formación en seguridad sin especificaciones concretas de la organización a auditar. 2. Proveer directrices generales sobre implementación de la seguridad sin dar recomendaciones concretas. 3. Participar en auditorías de segunda o tercera parte. 4. Dar recomendaciones generales en la auditorías. 5. La auditoría de certificación no mantiene interrelaciones con las auditorías internas.
1 Introducción a la AI AI.1 39 1.5 ISO/IEC 27006 Requisitos organizacionales (6) Requisitos personal auditor (7) 1. Competencia en sistemas de gestión. 2. Competencia en seguridad de la información 3. Competencia en normativa legal y sectorial. 4. Competencia en análisis y gestión de riesgos. 5. Conocimiento de la organización a auditar. 6. Competencia en proceso auditoría (19011, 17021 y 27007). The principles from ISO/IEC 17021:2006, Clause 6 apply The principles from ISO/IEC 17021:2006, Clause 7 apply And +17021
1 Introducción a la AI AI.1 40 1.5 ISO/IEC 27006 Requisitos personal auditor (7) Competencia y cualificación demostrable del auditor jefe, auditores y expertos técnicos: 1. Formación. 2. Proceso de auditoría. 3. Gestión de la seguridad de los S.I.: ISO/IEC 27001. 4. Experiencia. 5. Certificaciones profesionales. 6. Conocimiento de la organización a auditar. ISO/IEC 27006 7.2.1.2
1 Introducción a la AI AI.1 41 1.5 ISO/IEC 27006 Proceso de auditoría (9) Módulo 2 de la asignatura AI . 1. ISO 19011: guía de auditoría de un SG calidad 2. ISO 17021: capítulo 9 3. ISO 27006: capítulo 9 4. ISO 27007: guía de auditoría de un SGSI
1 Introducción a la AI AI.1 42 1.6 Bibliografía www.isaca.org www.intosai.org www.enac.org www.aenor.org www.iso.org www.bsigroup.es www.applus.com/ www.bureauveritas.es
1 Introducción a la AI AI.1 43 Dudas, preguntas y reflexiones

Recomendados

Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolUva Vargas
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Maria Jose Buigues
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoriaAdrian Sigueñas Calderon
 
Estandares de auditoria
Estandares de auditoriaEstandares de auditoria
Estandares de auditoriaBilkys
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 

Recomendados

Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolUva Vargas
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Maria Jose Buigues
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoriaAdrian Sigueñas Calderon
 
Estandares de auditoria
Estandares de auditoriaEstandares de auditoria
Estandares de auditoriaBilkys
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISOTools Chile
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoDiego Cueva Córdova
 
Ohsas 18001
Ohsas 18001 Ohsas 18001
Ohsas 18001 ABBEY0106
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
ISO 27001
ISO 27001ISO 27001
ISO 27001frank Ramirez
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Iso 20000
Iso 20000Iso 20000
Iso 20000hperez-ti
 
Resumen explicativo de la norma iso 9001
Resumen explicativo de la norma iso 9001Resumen explicativo de la norma iso 9001
Resumen explicativo de la norma iso 9001Esteban Saavedra Sepúlveda
 
Auditoria isaca
Auditoria isacaAuditoria isaca
Auditoria isacaCarmen Hevia Medina
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001itService ®
 
Iso 45001 vidaurito
Iso 45001 vidauritoIso 45001 vidaurito
Iso 45001 vidauritovidauro carpio incio
 
Presentacion introductoria al_sci
Presentacion introductoria al_sciPresentacion introductoria al_sci
Presentacion introductoria al_sciArturo Diaz Dextre
 
Mapa conceputal ohsas
Mapa conceputal ohsasMapa conceputal ohsas
Mapa conceputal ohsasAlejandro Arbelaez
 
Coso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirCoso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirJesus Alvarez
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Silvia Nevarez
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
5 programa seguridad
5 programa seguridad5 programa seguridad
5 programa seguridadTeresa Vazquez
 
Ohsas
OhsasOhsas
OhsasEdgar Gonzales cruz
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaPedro Garcia Repetto
 
Cobit 5 introduction plgr
Cobit 5 introduction plgrCobit 5 introduction plgr
Cobit 5 introduction plgrPedro Garcia Repetto
 

Más contenido relacionado

La actualidad más candente

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISOTools Chile
 
Ohsas 18001
Ohsas 18001 Ohsas 18001
Ohsas 18001 ABBEY0106
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001itService ®
 
Presentacion introductoria al_sci
Presentacion introductoria al_sciPresentacion introductoria al_sci
Presentacion introductoria al_sciArturo Diaz Dextre
 
Coso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirCoso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirJesus Alvarez
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Silvia Nevarez
 

La actualidad más candente (20)

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Ohsas 18001
Ohsas 18001 Ohsas 18001
Ohsas 18001
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
Resumen explicativo de la norma iso 9001
Resumen explicativo de la norma iso 9001Resumen explicativo de la norma iso 9001
Resumen explicativo de la norma iso 9001
 
Auditoria isaca
Auditoria isacaAuditoria isaca
Auditoria isaca
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001
 
Iso 45001 vidaurito
Iso 45001 vidauritoIso 45001 vidaurito
Iso 45001 vidaurito
 
Presentacion introductoria al_sci
Presentacion introductoria al_sciPresentacion introductoria al_sci
Presentacion introductoria al_sci
 
Mapa conceputal ohsas
Mapa conceputal ohsasMapa conceputal ohsas
Mapa conceputal ohsas
 
Coso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirCoso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimir
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
 
5 programa seguridad
5 programa seguridad5 programa seguridad
5 programa seguridad
 
Ohsas
OhsasOhsas
Ohsas
 

Destacado

AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaPedro Garcia Repetto
 
TRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICATRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICAJeny Patricia E
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
INFORME DE AUDITORIA
INFORME DE AUDITORIAINFORME DE AUDITORIA
INFORME DE AUDITORIAELEPJ
 
ISO 28000 Seguridad En La Cadena De Suministro
ISO 28000 Seguridad En La Cadena De SuministroISO 28000 Seguridad En La Cadena De Suministro
ISO 28000 Seguridad En La Cadena De SuministroRicardo Cañizares Sales
 
Sistema de gestión de seguridad de la cadena de suministro iso 28000
Sistema de gestión de seguridad de la cadena de suministro iso 28000Sistema de gestión de seguridad de la cadena de suministro iso 28000
Sistema de gestión de seguridad de la cadena de suministro iso 28000Jesus Alberto Gutierrez R.
 
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datosCurso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datosJack Daniel Cáceres Meza
 
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...Jack Daniel Cáceres Meza
 
Curso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesCurso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesJack Daniel Cáceres Meza
 
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...Jack Daniel Cáceres Meza
 
Curso: Comunicación de datos y redes: 10 Redes de área amplia
Curso: Comunicación de datos y redes: 10 Redes de área ampliaCurso: Comunicación de datos y redes: 10 Redes de área amplia
Curso: Comunicación de datos y redes: 10 Redes de área ampliaJack Daniel Cáceres Meza
 
Curso: Administración de proyectos informáticos: 02 Sistemas de información
Curso: Administración de proyectos informáticos: 02 Sistemas de informaciónCurso: Administración de proyectos informáticos: 02 Sistemas de información
Curso: Administración de proyectos informáticos: 02 Sistemas de informaciónJack Daniel Cáceres Meza
 
Curso: Planeamiento estratégico (administración): 01 Introducción
Curso: Planeamiento estratégico (administración): 01 IntroducciónCurso: Planeamiento estratégico (administración): 01 Introducción
Curso: Planeamiento estratégico (administración): 01 IntroducciónJack Daniel Cáceres Meza
 
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicioCurso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicioJack Daniel Cáceres Meza
 

Destacado (20)

AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria Informatica
 
Cobit 5 introduction plgr
Cobit 5 introduction plgrCobit 5 introduction plgr
Cobit 5 introduction plgr
 
Trabajo de auditoria
Trabajo de auditoriaTrabajo de auditoria
Trabajo de auditoria
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgos
 
TRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICATRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICA
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
INFORME DE AUDITORIA
INFORME DE AUDITORIAINFORME DE AUDITORIA
INFORME DE AUDITORIA
 
AI02 Proceso de auditoría
AI02 Proceso de auditoríaAI02 Proceso de auditoría
AI02 Proceso de auditoría
 
ISO 28000 Seguridad En La Cadena De Suministro
ISO 28000 Seguridad En La Cadena De SuministroISO 28000 Seguridad En La Cadena De Suministro
ISO 28000 Seguridad En La Cadena De Suministro
 
AI08 Auditoria producto software
AI08 Auditoria producto softwareAI08 Auditoria producto software
AI08 Auditoria producto software
 
Sistema de gestión de seguridad de la cadena de suministro iso 28000
Sistema de gestión de seguridad de la cadena de suministro iso 28000Sistema de gestión de seguridad de la cadena de suministro iso 28000
Sistema de gestión de seguridad de la cadena de suministro iso 28000
 
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datosCurso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
 
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...
 
Curso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesCurso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redes
 
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
 
Curso: Comunicación de datos y redes: 10 Redes de área amplia
Curso: Comunicación de datos y redes: 10 Redes de área ampliaCurso: Comunicación de datos y redes: 10 Redes de área amplia
Curso: Comunicación de datos y redes: 10 Redes de área amplia
 
Curso: Administración de proyectos informáticos: 02 Sistemas de información
Curso: Administración de proyectos informáticos: 02 Sistemas de informaciónCurso: Administración de proyectos informáticos: 02 Sistemas de información
Curso: Administración de proyectos informáticos: 02 Sistemas de información
 
Curso: Planeamiento estratégico (administración): 01 Introducción
Curso: Planeamiento estratégico (administración): 01 IntroducciónCurso: Planeamiento estratégico (administración): 01 Introducción
Curso: Planeamiento estratégico (administración): 01 Introducción
 
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicioCurso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
 

Similar a Introducción a la auditoría informática

Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolDaniel Arevalo
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Orlin Jose Reyes
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
M4 Proceso de Auditoria (1).pptx
M4 Proceso de Auditoria (1).pptxM4 Proceso de Auditoria (1).pptx
M4 Proceso de Auditoria (1).pptxCarlosLuna686778
 
Aspectos criticos ohsas 18001 tajamar presentación AUDELCO
Aspectos criticos ohsas 18001 tajamar presentación AUDELCOAspectos criticos ohsas 18001 tajamar presentación AUDELCO
Aspectos criticos ohsas 18001 tajamar presentación AUDELCOInstituto Logístico Tajamar
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasOvi Larios
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptxAreaTIC1
 
Certificación de Sistema de Gestión de Seguridad de la Información
Certificación de Sistema de Gestión de Seguridad de la Información Certificación de Sistema de Gestión de Seguridad de la Información
Certificación de Sistema de Gestión de Seguridad de la Información NYCE
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 

Similar a Introducción a la auditoría informática (20)

14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Segunda parte
Segunda parteSegunda parte
Segunda parte
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoria
 
Tema 2
Tema 2Tema 2
Tema 2
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
M4 Proceso de Auditoria (1).pptx
M4 Proceso de Auditoria (1).pptxM4 Proceso de Auditoria (1).pptx
M4 Proceso de Auditoria (1).pptx
 
Modulo III, parte 2
Modulo III, parte 2Modulo III, parte 2
Modulo III, parte 2
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Aspectos criticos ohsas 18001 tajamar presentación AUDELCO
Aspectos criticos ohsas 18001 tajamar presentación AUDELCOAspectos criticos ohsas 18001 tajamar presentación AUDELCO
Aspectos criticos ohsas 18001 tajamar presentación AUDELCO
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
Certificación de Sistema de Gestión de Seguridad de la Información
Certificación de Sistema de Gestión de Seguridad de la Información Certificación de Sistema de Gestión de Seguridad de la Información
Certificación de Sistema de Gestión de Seguridad de la Información
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 

Último (16)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 

Introducción a la auditoría informática

  • 1. 1 Introducción a la AI AI.1 1 Módulo AI.1 Introducción a la Auditoría Informática Mª Carmen Molina Prego Pedro Luis García Repetto Auditoría Informática Grado Ingeniería Informática DACYA – FDI – UCM
  • 2. 1 Introducción a la AI AI.1 2 Módulo AI.1 Introducción a la Auditoría Informática de los Sistemas de Información Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores. (www.rae.es) ¿ ?
  • 3. 1 Introducción a la AI AI.1 3 Índice 1. Función de la auditoría y conceptos principales. 2. Ética profesional. 3. Acreditaciones y certificaciones. 4. ISO/IEC 17021. 5. ISO/IEC 27006. 6. Bibliografía.
  • 4. 1 Introducción a la AI AI.1 4 1.1 Función de la auditoría y conceptos principales Auditoría. (www.rae.es) f. Revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse.
  • 5. 1 Introducción a la AI AI.1 5 1.1 Función de la auditoría y conceptos principales Auditoría según la ISO 19011 (3.1 Directrices para la auditoría de Sistemas de Gestión de la calidad/ambiental) Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de una manera objetiva con el fin de determinar la extensión en que se cumplen los criterios del referente utilizado. Proceso (www.rae.es) 3. m. Conjunto de las fases sucesivas de un fenómeno natural o de una operación artificial.
  • 6. 1 Introducción a la AI AI.1 6 1.1 Función de la auditoría y conceptos principales Documentado (www.rae.es) 2. adj. Dicho de una persona: Que posee noticias o pruebas acerca de un asunto. Independiente (www.rae.es) 3. adj. Dicho de una persona: Que sostiene sus derechos u opiniones sin admitir intervención ajena. Referente 1. Término modélico de referencia. (www.rae.es) 2. Noma legal o estándar cuyo cumplimiento se desea verificar.
  • 7. 1 Introducción a la AI AI.1 7 1.1 Función de la auditoría y conceptos principales Evidencias (ISO 19011 3.3) Registros, declaraciones de hecho o cualquier otra información que son pertinentes según el referente de auditoría y que son verificables. Pertinente (www.rae.es) 2. adj. Que viene a propósito. Verificable (www.rae.es) 1. Que se puede verificar. Verificar (www.rae.es) 1. Comprobar o examinar la verdad de algo. ISO/IEC 27000 2 Definiciones SGSI
  • 8. 1 Introducción a la AI AI.1 8 1.1 Función de la auditoría y conceptos principales Evidencia (Propiedades) Verificable Auténtica Repetible Neutra Evidencia (Características) Pertinente Suficiente
  • 9. 1 Introducción a la AI AI.1 9 1.1 Función de la auditoría y conceptos principales Procedimientos obtención evidencias (1) Inspección documental Inspección física Observación Procedimientos obtención evidencias (2) Entrevista Procedimientos analíticos Simulaciones Procedimientos obtención evidencias (1)
  • 10. 1 Introducción a la AI AI.1 10 1.1 Función de la auditoría y conceptos principales Evidencias en una auditoría seguridad informática Documento de Política de Seguridad Método de realizar salvaguardias de las bases de datos explicado por el administrador Puertas abiertas en los racks de los servidores Robustez débil de las contraseñas Documento sobre la calidad de las contraseñas Prueba de obtención de contraseñas El operador opina que se ha realizado la última revisión de los sistemas de refrigeración de la sala de ordenadores El informe sobre la calidad de la comida en el restaurante de la empresa indica que no se revisan las caducidades de los alimentos El auditor cree que no hay un comité de seguridad El procedimiento de gestión de personas recoge que se entrega un manual de bienvenida al personal de nueva incorporación
  • 11. 1 Introducción a la AI AI.1 11 1.1 Función de la auditoría y conceptos principales Auditoría de primera parte o interna Cuando una organización realiza una evaluación o auditoría interna por personal con experiencia e independiente con las funciones evaluadas. Auditoría externa de segunda parte Los auditores internos de una organización auditan a sus proveedores o a un proveedor potencial para determinar la viabilidad de su incorporación a la empresa en calidad de tal. Auditoría externa de tercera parte o de certificación Una organización independiente, acreditada, audita a una organización, para determinar si cumple con una determinada norma. (AI.1.3) ISO 19011 3.1
  • 12. 1 Introducción a la AI AI.1 12 1.1 Qué se audita Sistemas de gestión Procesos Productos
  • 13. 1 Introducción a la AI AI.1 13 1.1 Qué se audita 1. Sistema para establecer la política y los objetivos y para lograr dichos objetivos. (ISO 19011 3.20) Ejemplo: IBM 14001 1. Un sistema de gestión es una estructura probada para la gestión y mejora continua de las políticas, los procedimientos y procesos de la organización. (BSI) 2. … de la seguridad: parte del sistema general de gestión basado en un enfoque de riesgo empresarial, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información (ISO/IEC 27000) (4 Política SGSI Pág 4) Sistemas de Gestión Sistemas de gestión
  • 14. 1 Introducción a la AI AI.1 14 1.1 Qué se audita Sistemas - Auditoría S.G. CALIDAD ISO 9001 – ISO 19011 S.G. SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001 – ISO/IEC 27007 DESARROLLO SOFTWARE ISO/IEC 12207 – ISO/IEC 15504 S.G. MEDIO AMBIENTE ISO 14001 – ISO 19011 S.G. PREVENCIÓN RIESGOS LABORALES OHSAS 18001:2007– ISO 19011 Auditar un Sistema de Gestión ISO 19011 – ISO 17021 S.G. SERVICIOS TIC ISO 20000 – ISO 19011 Sistemas de
  • 15. 1 Introducción a la AI AI.1 15 1.1 Qué se audita Procesos Desarrollo software Desarrollo hardware Administrativo de gestión y concesión de ayudas Gestión contable en una empresa Fabricación de automóviles Creación artística
  • 16. 1 Introducción a la AI AI.1 16 1.1 Qué se audita Productos Aplicación gestión nóminas Controlador hardware Ayuda o beca Contabilidad Automóviles Obra artística
  • 17. 1 Introducción a la AI AI.1 17 Índice 1. Función de la auditoría y conceptos principales. 2.Ética profesional. 3. Acreditaciones y certificaciones. 4. ISO/IEC 17021. 5. ISO/IEC 27006. 6. Bibliografía.
  • 18. 1 Introducción a la AI AI.1 18 1.2 Ética profesional Código de Ética Profesional de ISACA ISACA establece este Código de Ética Profesional para guiar la conducta profesional y personal de los miembros y/o poseedores de certificaciones de la asociación. 1. Respaldar la implementación y promover el cumplimiento con estándares y procedimientos apropiados del gobierno y gestión efectiva de los sistemas de información y la tecnología de la empresa, incluyendo la gestión de auditoría, control, seguridad y riesgos. 2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor/cuidado profesional, de acuerdo con estándares de la profesión.
  • 19. 1 Introducción a la AI AI.1 19 1.2 Ética profesional Código de Ética Profesional de ISACA 4. Servir en beneficio de las partes interesadas de un modo legal y honesto y, al mismo tiempo, mantener altos niveles de conducta y carácter, y no involucrarse en actos que desacrediten a la profesión o a la Asociación. 5. Mantener la privacidad y confidencialidad de la información obtenida en el curso de sus deberes a menos que la divulgación sea requerida por una autoridad legal. Dicha información no debe ser utilizada para beneficio personal ni revelada a partes inapropiadas. 4. Mantener la aptitud en sus respectivos campos y asumir sólo aquellas actividades que razonablemente esperen completar con las habilidades, conocimiento y competencias necesarias.
  • 20. 1 Introducción a la AI AI.1 20 1.2 Ética profesional Código de Ética Profesional de ISACA 7. Informar los resultados del trabajo realizado a las partes apropiadas, revelando todos los hechos significativos sobre los cuales tengan conocimiento. 8. Respaldar la educación profesional de las partes interesadas para que tengan una mejor comprensión del gobierno y la gestión de los sistemas de información y la tecnología de la empresa, incluyendo la gestión de la auditoría, control, seguridad y riesgos. 9. El incumplimiento de este Código de Ética Profesional puede acarrear una investigación de la conducta de un miembro y/o titular de la certificación y, en última instancia, medidas disciplinarias.
  • 21. 1 Introducción a la AI AI.1 21 1.2 Ética profesional Código de Ética INTOSAI Organización Internacional de Entidades Fiscalizadoras Código de Ética (pág. 11) para los auditores del sector público. 1. Integridad: valor central de un código de ética (Pág. 18) 2. Independencia : la independencia con respecto a la entidad auditada (Pág. 13) 3. Objetividad: las conclusiones se basan en las pruebas (Pág. 13) 4. Imparcialidad, neutralidad política y conflicto de intereses (Pág. 14) 5. Secreto profesional: No revelar información a terceros (Pág. 15) 6. Competencia profesional: actualizar y mejorar las capacidades requeridas (Pág. 16)
  • 22. 1 Introducción a la AI AI.1 22 Índice 1. Función de la auditoría y conceptos principales. 2. Ética profesional. 3. Acreditaciones y certificaciones 4. ISO/IEC 17021. 5. ISO/IEC 27006. 6. Bibliografía.
  • 23. 1 Introducción a la AI AI.1 23 1.3 Acreditaciones y certificaciones Un tercero (entidad de certificación) de confianza certifica que la empresa gestiona un sistema de forma correcta. Razones: Por imagen, porque lo demandan sus clientes o por qué es bueno para su funcionamiento interno. Sistema gestión implantado y funcionando y hay evidencias que lo demuestran.
  • 24. 1 Introducción a la AI AI.1 24 1.3 Acreditaciones y certificaciones Entidad de acreditación Entidades de certificación son acreditadas por ENAC (www.enac.es) u otras en el mundo. ENAC valida las entidades acreditadas por otras entidades de acreditación de fuera de España para que puedan operar en España. BSI no está acreditada por ENAC sino por UKAS (www.ukas.com). ENAC ha reconocido a UKAS. BSI puede certificar en España.
  • 25. 1 Introducción a la AI AI.1 25 1.3 Acreditaciones y certificaciones Entidad de certificación www.aenor.es AENOR, entidad española, privada, independiente, sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional, contribuye, mediante el desarrollo de las actividades de normalización y certificación (N+C), a mejorar la calidad en las empresas, sus productos y servicios, así como proteger el medio ambiente y, con ello, el bienestar de la sociedad. www.bsigroup.es www.applus.com/ www.bureauveritas.es
  • 26. 1 Introducción a la AI AI.1 26 1.3 Acreditaciones y certificaciones Sellos certificación Iberdrola 14001 Proceso de certificación > 2:10
  • 27. 1 Introducción a la AI AI.1 27 Índice 1. Función de la auditoría y conceptos principales 2. Ética profesional 3. Acreditaciones y certificaciones 4.ISO/IEC 17021 5. ISO/IEC 27006 6. Bibliografía
  • 28. 1 Introducción a la AI AI.1 28 1.4 ISO/IEC 17021:2006 ISO/IEC 17021 Requisitos para entidades auditoras y certificadoras de sistemas de gestión La norma ISO/IEC 17021, aplicable a las entidades que certifican todo tipo de sistemas de gestión, asegura que los organismos de certificación prestan sus servicios de manera competente, coherente e imparcial, facilitando así el reconocimiento de dichos organismos y la aceptación de sus certificaciones en el plano nacional e internacional. Versión actual: ISO/IEC 17021:2011.
  • 29. 1 Introducción a la AI AI.1 29 1.4 ISO/IEC 17021:2006 Principios generales (4) 1. Imparcialidad (4.2 imparciality): 1. Serlo y parecerlo. 2. Opiniones basadas en evidencias objetivas. 3. Amenazas (threats): cliente paga por certificarse. 2. Competencia (4.3 competence): demostrable. 3. Responsabilidad (4.4 responsability): Evidencia suficiente de conformidad. (sufficient evidence of conformity) 4. Transparencia (4.5 openness): sobre el proceso de auditoría y certificación. 5. Confidencialidad (4.6 confidentiality): sobre la información manejada durante la auditoría. 6. Capacidad de respuesta a las quejas (4.6 responsiveness to complaints). IBERDROLA 3
  • 30. 1 Introducción a la AI AI.1 30 1.4 ISO/IEC 17021:2006 Requisitos generales (5) 1. Legales y normativos. 2. Acuerdos para certificar: acreditación. 3. Responsabilidad respecto a las decisiones y opiniones de auditoría. 4. Imparcialidad y conflictos de intereses (amenaza): reducir o elimina la amenaza o abstenerse en la certificación. 5. Incompatibilidad entre auditoría y consultoría. 6. Responsabilidad: riesgos en el proceso de auditoría. 7. Fuentes de financiación no comprometen la imparcialidad.
  • 31. 1 Introducción a la AI AI.1 31 1.4 ISO/IEC 17021:2006 Requisitos organizacionales (6) 1. Organigrama con funciones y responsabilidades. 2. Comité directivo. 3. Supervisión del proceso de auditoría. 4. Decisión sobre resultados auditorías o certificaciones. 5. Delegación en comités sectoriales: representación de industria, gobierno, consumidores, ONG, etc. SC-27 6. Proveer de los recursos humanos y materiales para el proceso de auditoría.
  • 32. 1 Introducción a la AI AI.1 32 1.4 ISO/IEC 17021:2006 Requisitos personal auditor (7) 1. Competencia y cualificación demostrable: 1. Formación: auditoría y sectorial. 2. Experiencia. 3. Certificaciones profesionales. 2. Auditor jefe, auditores, expertos técnicos y observador. 1. Competentes. 2. Cualificados. 3. Proceso documentado para evaluar y valorar la capacidad de los auditores.
  • 33. 1 Introducción a la AI AI.1 33 1.4 ISO/IEC 17021:2006 Proceso de auditoría (9) Módulo 2 de la asignatura AI. 1. ISO 19011. 2. ISO 17021: capítulo 9
  • 34. 1 Introducción a la AI AI.1 34 Índice 1. Función de la auditoría y conceptos principales 2. Ética profesional 3. Acreditaciones y certificaciones 4. ISO/IEC 17021 5.ISO/IEC 27006 6. Bibliografía
  • 35. 1 Introducción a la AI AI.1 35 1.5 ISO/IEC 27006 ISO/IEC 27006 - Requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. La norma internacional ISO/IEC 27006 especifica los requisitos y proporciona orientación para los organismos que realizan la auditoría y certificación de un sistema de gestión de seguridad (SGSI), además de los requisitos contenidos en la norma ISO / IEC 17021 e ISO / IEC 27001. Versión actual: ISO/IEC 27006:2007
  • 36. 1 Introducción a la AI AI.1 36 1.5 ISO/IEC 27006 Principios generales (4) 1. Imparcialidad (4.2 imparciality): 1. Serlo y parecerlo. 2. Opiniones basadas en evidencias objetivas. 3. Amenazas (threats). 2. Competencia (4.3 competence): demostrable. 3. Responsabilidad (4.4 responasability): Evidencia suficiente de conformidad. (sufficient evidence of conformity) 4. Transparencia (4.5 openness): sobre el proceso de auditoría y certificación. 5. Confidencialidad (4.6 confidentiality): sobre la información manejada durante la auditoría. 6. Capacidad de respuesta a las quejas (4.6 responsiveness to complaints). The principles from ISO/IEC 17021:2006, Clause 4 apply
  • 37. 1 Introducción a la AI AI.1 37 1.5 ISO/IEC 27006 Requisitos generales (5) 1. Legales y normativos. 2. Acuerdos para certificar: acreditación. 3. Responsabilidad respecto a las decisiones y opiniones de auditoría. 4. Imparcialidad y conflictos de intereses (amenaza). 5. Incompatibilidad entre auditoría y consultoría: +17021 6. Responsabilidad: riesgos en el proceso de auditoría. 7. Fuentes de financiación no comprometen la imparcialidad. The principles from ISO/IEC 17021:2006, Clause 5 apply
  • 38. 1 Introducción a la AI AI.1 38 1.5 ISO/IEC 27006 Requisitos generales (5) Incompatibilidad entre auditoría y consultoría: +17021 1. Proveer formación en seguridad sin especificaciones concretas de la organización a auditar. 2. Proveer directrices generales sobre implementación de la seguridad sin dar recomendaciones concretas. 3. Participar en auditorías de segunda o tercera parte. 4. Dar recomendaciones generales en la auditorías. 5. La auditoría de certificación no mantiene interrelaciones con las auditorías internas.
  • 39. 1 Introducción a la AI AI.1 39 1.5 ISO/IEC 27006 Requisitos organizacionales (6) Requisitos personal auditor (7) 1. Competencia en sistemas de gestión. 2. Competencia en seguridad de la información 3. Competencia en normativa legal y sectorial. 4. Competencia en análisis y gestión de riesgos. 5. Conocimiento de la organización a auditar. 6. Competencia en proceso auditoría (19011, 17021 y 27007). The principles from ISO/IEC 17021:2006, Clause 6 apply The principles from ISO/IEC 17021:2006, Clause 7 apply And +17021
  • 40. 1 Introducción a la AI AI.1 40 1.5 ISO/IEC 27006 Requisitos personal auditor (7) Competencia y cualificación demostrable del auditor jefe, auditores y expertos técnicos: 1. Formación. 2. Proceso de auditoría. 3. Gestión de la seguridad de los S.I.: ISO/IEC 27001. 4. Experiencia. 5. Certificaciones profesionales. 6. Conocimiento de la organización a auditar. ISO/IEC 27006 7.2.1.2
  • 41. 1 Introducción a la AI AI.1 41 1.5 ISO/IEC 27006 Proceso de auditoría (9) Módulo 2 de la asignatura AI . 1. ISO 19011: guía de auditoría de un SG calidad 2. ISO 17021: capítulo 9 3. ISO 27006: capítulo 9 4. ISO 27007: guía de auditoría de un SGSI
  • 42. 1 Introducción a la AI AI.1 42 1.6 Bibliografía www.isaca.org www.intosai.org www.enac.org www.aenor.org www.iso.org www.bsigroup.es www.applus.com/ www.bureauveritas.es
  • 43. 1 Introducción a la AI AI.1 43 Dudas, preguntas y reflexiones