Intro Ducci on Auditori a in for Matic A

8/19/2019 Intro Ducci on Auditori a in for Matic A

1/12

Introduccióna la auditoríainformática

Ing. Edwyn Sanders


2/12


3/12

Introducción a la auditoría informática

Índice

1. Tipos de auditorías ...................................................................... 51.1. Auditoría de seguridad .............................................................. 51.2. Certificación de seguridad ........................................................ 6

2. Equipo auditor .............................................................................. 8

2.1. Independencia de auditoría ...................................................... 92.2. Código de conducta del equipo auditor ................................... 92.3. Perfil de los auditores ............................................................... 102.4. Perfil del auditor jefe ................................................................ 112.5. Distribución de funciones ......................................................... 112.6. Personal de auditoría ................................................................ 12


4/12


5/12


6/12

6 Introducción a la auditoría informática

Más adelante trataremos con un mayor detalle los aspectos que intervendránen la auditoría que revisa los aspectos técnicos de la implantación de controles.Por lo tanto, nos interesaremos en las revisiones a realizar en los controlestécnicos de seguridad implantados a nivel de la infraestructura de red o losservicios que se ofrecen sobre estas infraestructuras.

Estas auditorías pueden ser realizadas o por un grupo interno o por una entidadexterna, pero en cualquiera de los dos casos es importante una independenciasuficiente del equipo auditor frente al equipo implantador y de operacionespara poder garantizar la calidad del resultado.

Lasauditorías internas podrán realizarse siempre que las organizaciones po-sean un grupo de auditoría independiente del área que se ha de analizar y quetenga los conocimientos suficientes para dictaminar si las medidas de seguri-dad son suficientes y si están correctamente configuradas.

Lasauditorías externas son las que se realizan por empresas externas, total-mente independientes de la organización y con conocimientos acreditados enseguridad. Estas empresas se encargarán de revisar las diferentes medidas deseguridad.

En los dos casos, el resultado de estos procesos de auditoría consiste en la ela-boración de un informe en el que se dictaminan las deficiencias de seguridadque se hayan podido detectar dentro del alcance que se haya determinado para

la auditoría. Es importante tener en cuenta que este informe debe ser lo másobjetivo, claro, conciso y directo posible. Muy posiblemente estará dirigidotanto a personal directivo de alto nivel como a mandos intermedios y opera-tivos, por lo que deberá organizarse teniendo en cuenta ésta circunstancia.

1.2. Certificación de seguridad

La certificación de seguridad consiste en que la organización que ha im-plantado la normativa ISO/IEC 27001 (o en su defecto la UNE 71502)

encarga a una organización externa –acreditada y con unas característi-cas concretas–, que analice la implantación de esta normativa para dic-taminar si es correcta. Una vez finalizada su revisión, elaborará un in-forme y en el caso de que sea favorable se le entrega a la organizaciónun sello que certifica la correcta implantación de la normativa en la or-ganización.

Organizaciones de certificación

Las certificaciones de seguridad únicamente pueden ser realizadas por organizaciones de-bidamente acreditadas por entidades denominadas organismos de acreditación (comopor ejemplo en España, la ENAC). Es decir, la certificación únicamente la pueden otorgaraquellas organizaciones que cumplen con una serie de requisitos comprobados (audita-dos) por un tercero de confianza (el organismo de acreditación). Otro aspecto importanteque hay que destacar es que estas organizaciones de certificación son independientes, es

Ved también

En el apartado "Proceso de au-ditoría técnica de seguridad"

detallaremos los aspectos másimportantes acerca de las audi-torías de seguridad.


7/12


8/12


2. Equipo auditor

En este apartado se analizarán los diferentes aspectos que tienen relación conlos equipos de auditorías que realizan revisiones de los sistemas de gestión dela seguridad de la información tanto de cara a la certificación como de caraúnicamente la auditoría de seguridad.

El equipo auditor es el grupo de personas encargado de ejecutar el pro-yecto de auditoría, tanto en el caso de la revisión de las medidas deseguridad (auditoría de seguridad), como de la revisión de la correctaimplantación de la normativa ISO/IEC 27001, si se busca la obtenciónde la certificación.

Como se observa en la siguiente figura, el grupo auditor estará formado por unauditor líder o auditor jefe, que dirige la auditoría, y por un grupo de auditoresque le ayudan en su elaboración. El número de personas incluido dependeráde las limitaciones de tiempo/coste y del alcance de la auditoría.

Estructura básica de un equipo de auditoría

Los requisitos recomendables que se necesitan para poder pertenecer a un gru-po de auditoría son los que se reflejan en la figura anterior. Habitualmenteestos requisitos son obligados en el caso de que el equipo deba certificar unSGSI contra la norma ISO/IEC 27001 y serán controlados por el organismo deacreditación.

Las habilidades técnicas requeridas por el equipo auditor dependerán exclusi-

vamente del entorno que haya que auditar, aunque no son esenciales, puestoque el conocimiento técnico necesario podrá ser incorporado al equipo en losmomentos en que se necesite. El equipo auditor necesita por tanto tener un


9/12


10/12


Los miembros del equipo auditor deben estar cualificados para:

• Identificar las amenazas, vulnerabilidades e impactos que puedan com-prometer los activos de la organización.

• Discernir las áreas de actividad de la organización.

• Verificar que la organización ha identificado correctamente sus riesgos.

Formación y experiencia del auditor

Los miembros del equipo auditor deben tener una formación universitaria o experienciaprofesional y formación que se considere equivalente. También han de tener suficienteexperiencia (habitualmente se consideran cuatro años) en tecnologías de la información.

Deben tener por lo menos dos años de experiencia en seguridad de las tecnologías de lainformación y haber realizado un curso de auditoría de cinco días.

2.3. Perfil de los auditores

Además de los requisitos señalados en el subapartado anterior, es recomenda-ble que los auditores que forman parte del equipo auditor cuenten con expe-riencia previa desarrollando las siguientes actividades, especialmente si la au-ditoría es de certificación:

• Haber revisado la documentación del sistema de gestión de la seguridadde la información.

• Haber revisado el análisis de riesgos de una organización.

• Haber auditado la implantación de un sistema de gestión de la seguridadde la información.

• Haber desarrollado los informes relativos a la auditoría en la que participó.

Y a nivel personal se requiere, para poder desarrollar el trabajo de auditor, quesean:

• Maduros, profesionales e independientes.

• Objetivos, analíticos y persistentes.

• Realistas y capaces de analizar e interpretar las situaciones en su justa me-dida.

• Flexibles ante nuevas situaciones.

• Capaces de percibir situaciones y problemas no declarados.

Experiencia del auditor

En general es aconsejable quelos auditores hayan partici-pado en cuatro auditorías yal menos en veinte jornadascompletas.


11/12


Durante la realización de la auditoría, los auditores deben ser capaces de com-prender las diferentes funciones que tienen los empleados de la organizaciónauditada para que durante las entrevistas que realicen se ajusten al nivel y laautoridad que éstos posean.

2.4. Perfil del auditor jefe

El auditor jefe del grupo de auditoría será el encargado de dirigirla. En estesentido, un auditor, jefe además de los requisitos indicados en el subapartadoanterior, obligados para cualquier miembro del grupo de auditoría, deberá:

• Ser conocedor del proceso de certificación.• Haber realizado o participado en tres auditorías como miembro de un equi-

po de auditoría.• Haber demostrado habilidades de comunicación.

2.5. Distribución de funciones

Las funciones que debe desempeñar el auditor jefe dentro del proceso de au-ditoría son las siguientes:

• Planifica y gestiona todas las fases de la auditoría.

• Dirige la primera fase.

• Colabora en la selección del equipo de auditores.

• Controla los conflictos y maneja las situaciones difíciles.

• Dirige las reuniones con el equipo auditor y el personal auditado.

• Toma decisiones sobre la auditoría y el SGSI.

Las funciones que pertenecen a los auditores del equipo de auditoría son éstas:

• Apoyan al auditor jefe.

• Documentan y apoyan todos los hallazgos.

• Realizan el seguimiento de las acciones correctoras para corregir las noconformidades encontradas.

Conocimientosactualizados

Como es normal, los audito-res han de estar actualizadosen los diferentes aspectos rela-cionados con la seguridad de

la información, a través de laparticipación en cursos, semi-narios y demás vías de forma-ción.


12/12


2.6. Personal de auditoría

Durante la realización de la auditoría pueden participar más personas de lasque se han nombrado hasta ahora (auditor jefe, auditores y auditado):

• Equipo auditor – Jefe y miembros del equipo: normalmente se trata de una o dos per-

sonas.– Auditores en formación: personal en formación para convertirse en

auditor.– Observadores, auditor provisional: puede ser un observador del orga-

nismo de acreditación (por ejemplo, ENAC) para supervisar la audito-ría.

– Expertos, personal asesor: personal que asesora al auditor sobre temastécnicos o concretos del negocio o las tecnologías que se auditan.

– Testigos e invitados.• Equipo del auditado

– Guía: persona de la empresa que acompaña al equipo auditor y le fa-cilita la información solicitada. Normalmente será el responsable delsistema de gestión de la seguridad de la información.

– Representante de la dirección: persona autorizada por la empresa paraconfirmar la implicación y compromiso de la dirección con las políti-cas de seguridad aprobadas.

– Observadores, personal en formación: normalmente personal de la

empresa en formación como auditor interno.– Consultores: consultor externo que la empresa ha contratado para ase-

sorarle en el desarrollo del SGSI. Éste puede asistir a la auditoría perono debe intervenir en ningún momento.

Intro Ducci on Auditori a in for Matic A

Documents

Transcript of Intro Ducci on Auditori a in for Matic A