2. El mundo no está en peligro por las malas personas
sino por aquellas que permiten la maldad
(Albert Einstein).
3. Objetivo
1. Adquirir los conceptos
básicos relacionados con
la Auditoría Informática
2. Reconocer las
características de la
Auditoría Informática
● 1.1 Conceptos Básicos
Contenido
5. Introducción
● La auditoría de los sistemas de información se define como cualquier
auditoría que abarca la revisión y evaluación de todos los aspectos (o de
cualquier porción de ellos) de los sistemas automáticos de procesamiento de
la información, incluidos los procedimientos no automáticos relacionados con
ellos y las interfaces correspondientes.
6. Auditoría
● La palabra auditoría viene del latín auditorius y de esta proviene auditor, que
tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un
objetivo
7. Tipos de Auditorias
● Áreas Específicas
● Explotación
● Desarrollo
● Sistemas
● Comunicaciones
● Seguridad
● Áreas Generales
● Interna
● Dirección
● Usuario
● Seguridad
8. Metodología de auditoría informática
○ Alcance y objetivos
○ Estudio inicial del entorno auditable
○ Determinación de los recursos
○ Elaborar plan y programa de trabajo
○ Actividades de auditoría
○ Informe final
○ Carta de presentación del informe
11. Consideraciones para el éxito del
análisis crítico
○ Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin
fundamento)
○ Investigar las causas, no los efectos.
○ Atender razones, no excusas.
○ No confiar en la memoria, preguntar constantemente.
○ Criticar objetivamente y a fondo todos los informes y los datos recabados.
12. Investigación preliminar
○ No tiene y se necesita.
○ No se tiene y no se necesita.
○ Se tiene la información pero:
○ No se usa.
○ Es incompleta.
○ No está actualizada.
○ No es la adecuada.
○ Se usa, está actualizada, es la adecuada y está completa
13. Informe
Después de realizar los pasos anteriores y de acuerdo a los resultados
obtenidos, el auditor realizará un informe resultante con observaciones y/o
aclaraciones para llevar a cabo dentro de las áreas involucradas para el
mejor funcionamiento del sistema.
14. Auditoria de Datos
● La auditoría de datos habilita a una organización la identificación de quien
crea, modifica, elimina y accede los datos, cuando y como son accedidos. O
bien, la estructura de los datos.
● La sola existencia de auditoría de datos tiene un efecto disuasivo en los
intrusos de los datos.
15. Auditoria de datos: una forma de vida
● Su presencia debe ser parte integral de las operaciones de los servicios
informáticos en una organización en el día a día.
16. Auditoría de datos:
Mejores prácticas (1)
○ Responsabilidad segregada
■ El equipo responsable de auditar un sistema debe ser distinto a aquel que lo administra
y lo utiliza
○ Mantener el Sistema de Auditoría de Datos Independiente
■ Nada ni nadie debe ser capaz de alterar un log de auditoría
○ Hacerla Escalable, Ampliable y Eficiente
■ La plataforma de auditoría de datos debe acomodarse al crecimiento y la adición de
nuevas fuentes de datos
17. Auditoría de datos:
Mejores prácticas (2)
○ Hacerla Flexible
■ Los requerimientos de auditoría cambiarán; asegúrese que se pueda responder rápida y
fácilmente a esos cambios desplegando un marco de auditoría flexible
○ Gestión Centralizada
■ Una plataforma de auditoría de datos debe ser capaz de auditar múltiples bases de
datos en múltiples servidores físicos
18. Auditoría de datos:
Mejores prácticas (3)
○ Asegurar la Plataforma de auditoría de Datos
■ La plataforma de auditoría por si misma no debe tener “puertas traseras de acceso” a
sus propios datos ni permitir el acceso por dichas puertas traseras a los datos de
cualquiera de las bases de datos que monitorea.
○ Identificación de los Datos
■ Se debe establecer y mantener un inventario de todos los datos, incluyendo aquellos
provenientes de fuentes externas
19. Auditoría de datos:
Mejores prácticas (4)
○ Análisis de los Datos
■ Determine los roles, vulnerabilidades y responsabilidades relativas a todos los datos.
○ Hacerla Completa
■ La política de auditoría de datos necesita abarcar todos los datos dentro de una
organización, incluyendo todos los datos de aplicación, los datos de comunicaciones
incluyendo los registros de correos electrónicos y mensajes instantáneos, registros de
transacciones y toda la información que pasa hacia o alrededor de una organización
tanto desde dentro como desde afuera
20. Auditoría de datos:
Mejores prácticas (5)
○ Habilitación de Reportes y Análisis
○ Establecimiento de Patrones de Uso Normal
○ Establecimiento de una Política de Documentación y Revisión
■ La auditoría de datos implementada directamente para satisfacer mandatos de
reguladores debe referirse directamente a los elementos de las regulaciones que
satisface: (Sarbanes-Oxley, HIPAA, GLBA, etc.).
21. Auditoría de datos:
Mejores prácticas (6)
○ Monitorear, Alertar, Reportar
■ Dependiendo del riesgo, se deben atar los eventos o datos anormales a los sistemas de
alerta y, en algunos casos disparar alarmas en tiempo real.
○ Incrementar y Complementar la Seguridad
■ La auditoría de datos incrementa y complementa los niveles de la seguridad de los
sistemas de IT
○ Respaldo y Archivo
■ Los LOG de Auditoría, por si mismas, deben ser respaldadas y lo ideal, almacenadas en
una sitio remoto
22. Auditoría de datos:
Mejores prácticas (7)
○ Crear Procedimientos para la Operación y para la Recuperación ante Desastres
■ Es necesario crear políticas y procedimientos que gobiernen cómo se accede a las
pistas de auditoría y cómo se recuperan los datos perdidos
■ Todas las operaciones de recuperación también deben ser auditadas.
23. Conclusión
○ El acceso no autorizado o cambios desconocidos a los datos de una organización pueden
debilitar o arruinar una empresa.
○ El robo, error, pérdida, corrupción o fraude de los datos puede costarle a una compañía su
reputación, sus ganancias, o ambos.
○ La auditoría de datos no solamente protege los datos de una organización, sino que asegura
la responsabilidad, la recuperación y la longevidad de los sistemas que dependen de los
datos.
25. ISO/IEC 27000-series
● La serie de normas ISO/IEC 27000 son estándares de seguridad
publicados por la Organización Internacional para la Estandarización
(ISO) y la Comisión Electrotécnica Internacional (IEC).
● La serie contiene las mejores prácticas recomendadas en Seguridad
de la información para desarrollar, implementar y mantener
especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI).
26. COBIT
● Objetivos de Control para la información y Tecnologías relacionadas
(COBIT, en inglés: Control Objectives for Information and related
Technology)
● Es un conjunto de mejores prácticas para el manejo de información
creado por la Asociación para la Auditoria y Control de Sistemas de
Información, (ISACA, en inglés: Information Systems Audit and Control
Association), y el Instituto de Administración de las Tecnologías de la
Información (ITGI, en inglés: IT Governance Institute) en 1992.
27. ITIL
● La Information Technology Infrastructure Library ("Biblioteca de
Infraestructura de Tecnologías de Información"), frecuentemente
abreviada ITIL.
● Es un marco de trabajo de las mejores prácticas destinadas a facilitar
la entrega de servicios de tecnologías de la información (TI) de alta
calidad. ITIL resume un extenso conjunto de procedimientos de gestión
ideados para ayudar a las organizaciones a lograr calidad y eficiencia
en las operaciones de TI
Áreas especificas.
Desde su propio funcionamiento interno.
Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.
Desde la perspectiva de los usuarios, destinatarios reales de la informática.
Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.
Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.
Alcance::
Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
Estudio Inicial::
Organigrama
Departamentos
Relaciones jerárquicas
Flujos de información
Numero de puestos de trabajo
Numero de persona por puestos de trabajo
Determinación de recursos::
Recursos materiales Materiales software + materiales hardware
Recursos Humanos general, desarrollador, técnico de sistemas, DBA, ingeniero redes ,etc.