Este documento presenta los aspectos negativos recurrentes en las auditorías y destaca la importancia de las auditorías. Explica que una auditoría es un proceso sistemático e independiente para obtener evidencias y evaluar el cumplimiento mediante criterios objetivos. También describe las etapas de una auditoría, incluida la planificación, ejecución, informe y seguimiento, así como el enfoque basado en evidencias. La conclusión es que las auditorías son aliadas necesarias para evitar riesgos, cumplir con la ley y medir el rendim
1. AUDITORIA DE
CUMPLIMIENTO
¿Obligación o Necesidad?
Israel Araoz Severiche
iaraoz@tarsecurity.com
LA ISO/IEC 27001 – LE ISO 22301 – CFHI - CEH
Profesional en seguridad de la información
2. Agenda
• 9 Aspectos negativos recurrentes en una auditoria
• Auditoria (Definición)
• Proceso de auditoria
• Enfoque basado en envidencias
• Conclusiones
5. Imaginemos…
Hablamos el mismo idioma, pero es muy posible
que las palabras tengan un sentido distinto, por tal
motivo es importante dominar el vocabulario
básico.
6. 9 Aspectos negativos recurrentes….
• Recursos económicos limitados (Normalmente a la propuesta
de menor precio).
• Planificación de auditoria no adecuada del programa de
auditoria.
• Alta dirección poco involucrada en la gestión de seguridad de la
información.
7. 9 Aspectos negativos recurrentes….
• Revisión solo documental, no se reproduce el resultado de una
actividad.
• Desconocimiento del equipo auditor sobre conceptos
específicos, técnicas de auditoria y otros.
• Desconocimiento del negocio, la normativa deben ser
adaptadas al negocio, no el negocio a la normativa
8. 9 Aspectos negativos recurrentes….
• Falta de implementación de métricas por parte de la empresa
para medir la efectividad del control.
• Ver al auditor como un enemigo, entrando en una competencia
de conocimiento.
• Documentación innecesaria desconocimiento de los
reglamentos, normativas de cumplimiento
9. Permitiendo materializar…
• Incumplimiento normativo / Legal
• Sanciones económicas
• Manipulación informática indebida (CPP)
• Ciberataques
• Fuga de información
• Acceso no autorizado a información, servicios tecnológicos.
• Ataques de Malware
10. Causando
• Perdida de reputación e imagen.
• Impacto a nivel financiero
• Impacto a nivel legal
12. Definición : Auditoria
• Proceso sistemático, independiente y
documentado para obtener evidencias,
evaluando de forma objetiva con el fin
de determinar el grado que cumplen los
criterios de auditoria.
16. Proceso de auditoría
• Actividades planificadas con
tiempos y recursos asignados.
• Actividades implementadas
fuera de tiempo
Ejecución
InformeSeguimiento
Planificación
17. Enfoque con base en evidencias
Evidencia Documental
Evidencia Técnica
Evidencia Confirmativa
Evidencia Analítica
Evidencia Matemática
18. Proceso de mejora continua
Antecedentes
antes de
contratar
Implementar
código de ética
Evaluación
continua sobre
los auditores
Capacitaciones,
generación de
conciencia
Procedimientos
y políticas de
trabajo con
base en
estándares y
mejores
practicas
19. Conclusiones
• No basta con tener un documento que diga “Informe de
auditoria”
• Es necesario establecer criterios de calidad para los informes
de auditoria.
• Se debe evaluar el resultado del trabajo y al auditor.
• Planificar la auditoria, establece un tiempo prudente para la
ejecución de la auditoria.
20. Conclusiones
• Evitar riesgos asociadas a los procesos del negocio, recursos
humanos y tecnológicos.
• Cumplimiento Legal / Normativo
• Se debe implementar métricas, para medir si el control cumple
con el objetivo del mismo.
• Objetivos de tecnología de la información alineados al negocio
Recuerdo mi primer auditoria, primer semana en el trabajo y llegó la auditora, con un algunos procedimientos impresos ya marcados las actividades y registros que debería solicitarme
Comenzó a preguntar, puedes mostrarme tu plan de seguridad de la información….
Abrí mi Project donde ya tenía mis actividades, recursos asignados y tiempos para cumplir con la actividad…, lo primero que me comentó fue, Israel eso no es un plan, a lo que pregunte, para mi si lo es…
La realidad es que para las unidades de TI, Riesgos, Operaciones , OSI los presupuestos anuales son reducidos, por lo tanto obliga a escoger una oferta de menor valor.
Al no planificar y tomar en cuenta el tiempo establecido para ejecutar, revisar y presentar los resultados de la auditoria,, más el envío del informe a las entidades fiscalizadoras, generamos presión al auditor o equipo de auditores para realizar la auditoria, causando una revisión superficial, generando informes de auditorias generales
Por lo general los directores son personas muy ocupadas, por lo tanto es difícil ubicarlos y fácilmente excluidos de las reuniones.
El rol de la alta dirección es un factor clave, más allá de ser una contraparte, la al dirección comunica de forma vertical a todas las unidades de negocio los lineamientos claros y la decisión de implementar y mantener una gestión de seguridad de la información.
En muchos casos nosotros como auditores externos exigimos a las empresas o medimos a todas a las empresas como la misma vara, es importante tomar en cuenta las estructuras organizativas, la naturaleza y tamaño de la empresa
En el enfoque basado en evidencias, debemos tomar en cuenta los tipo de evidencias que existen
Documental : Cualquier documento : políticas, procedimientos, informes, registros de eventos , actas de reuniones
Técnica : resultados de un prueba técnica , por ejemplo análisis de prueba de intrusión a la red.
Confirmativa : Registros recogidos y guardados por un tercero (proveedor de resguardo de cintas de Backup)
Analítica : Analizar los datos y sus variaciones para identificar posibles desviaciones (Análisis sobre los logs de acceso a la red)
Matemática : Cálculos matemáticos ejecutados por el auditor (Cantidad de licencias compradas contra cantidad de licencias en producción y en stock )