1. No category

Auditoría de Tecnologías de
la Información: realidad y
nuevos retos
Octubre 2015
Speaker Bio & Company Information
• Antonio de la Madrid Campuzano
– Auditoría (2000- 2015)
• Jefe de Auditoría de Tecnologías de Ia Información
en Telefónica España
– Consultoría (1997-2000)
• Senior Consultant Accenture
– Vocal de la Junta Directiva del Capítulo de ISACA –
Madrid de Formación y Certificaciones
– CISA - Certified Information Systems Auditor por
ISACA
– CIA – Certified Internal Auditor por IIA
– Auditor Líder BS7799 ISO/IEC 27001
– ITIL Foundation
Agenda
01
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
02
El concepto de Control Interno.
03
¿Cómo trabajamos? Los Principios y las Normas
04
El Proceso de Auditoría
05
Tipos de Auditorias TI
06
¿Cuáles son los retos para Auditoria TI?
Agenda
01
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
02
El concepto de Control Interno
03
¿Cómo trabajamos? Los Principios y las Normas
04
El Proceso de Auditoría
05
Tipos de Auditorias TI
06
¿Cuáles son los retos para Auditoria TI?
01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
CONSEJO
DE ADMINISTRACIÓN
COMISIÓN
DE AUDITORÍA
ALTA DIRECCIÓN
CEO
AUDITORÍA INTERNA
OPERACIONES
TI
FINANZAS
ETC.
01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
D. Auditoría
Interna
Calidad
Financiera
Procesos
TI
Agenda
01
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
02
El concepto de Control Interno
03
¿Cómo trabajamos? Los Principios y las Normas
04
El Proceso de Auditoría
05
Tipos de Auditorias TI
06
¿Cuáles son los retos para Auditoria TI?
02 El concepto de Control Interno
El Sistema de Control Interno de una organización, comprende todos aquellos
procesos que aseguren razonablemente:
– El cumplimiento de políticas, leyes y normas
– La integridad patrimonial
– La eficacia y eficiencia de las operaciones
– La fiabilidad de la información financiera
– Una adecuada gestión de riesgos, de acuerdo con los objetivos
estratégicos de la compañía
El CONTROL INTERNO es un PROCESO que llevan a cabo TODAS LAS
PERSONAS que actúan en LOS DISTINTOS NIVELES DE LA ORGANIZACIÓN,
pensado y enfocado para facilitar la consecución de los OBJETIVOS de la
ORGANIZACIÓN.
02 El concepto de Control Interno
Agenda
01
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
02
El concepto de Control Interno
03
¿Cómo trabajamos? Los Principios y las Normas
04
El Proceso de Auditoría
05
Tipos de Auditorias TI
06
¿Cuáles son los retos para Auditoria TI?
03 ¿Cómo trabajamos? Los Principios y las Normas
MARCO INTERNACIONAL PARA LA PRACTICA PROFESIONAL
Aprobado por el Instituto Global de Auditores Internos (IIA) es un referente
fundamental para todo profesional que desempeñe la actividad de auditoria interna
en el mundo.
El objetivo es proporcionar una guía coherente que facilite la interpretación y
aplicación de conceptos, metodologías y técnicas fundamentales para la
profesión.
CÓDIGO DE ÉTICA, en el que se establecen los
principios que rigen el comportamiento de los
individuos y organizaciones que ejercen la auditoría
interna.
Las NORMAS están concebidas como principios y
proporcionan un marco para desarrollar y promover la
auditoría interna, además de dar las bases para
evaluar el desempeño de la auditoría interna.
03 ¿Cómo trabajamos? Los Principios y las Normas
 AUTORIZACIÓN
 ALCANCE
 OBJETIVOS
 MISIÓN
Agenda
01
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
02
El concepto de Control Interno
03
¿Cómo trabajamos? Los Principios y las Normas
04
El Proceso de Auditoría
05
Tipos de Auditorias TI
06
¿Cuáles son los retos para Auditoria TI?
04 El Proceso de Auditoría
Inputs de
Auditoría
1
Muy Alto
5
1
3
8
2
4
6
2
3
11
Alto
12
10
17
13
15
23
25
Medio
24
Bajo
30
13
22
14
18
9
20
26
29
6
21
19
27
5
7
12
19
21
28
18
15 14
11
20
31
17
Muy Bajo
Impacto
8
4 9
11
16
7
10
Remoto
Posible
Muy Posible
Probable
Muy Probable
0% - 10%
11% - 30%
31% - 50%
51% - 80%
81% -100%
Probabilidad
04 El Proceso de Auditoría
PLAN
GENERAL
Plan a 1 ó 2
años,
que
incorpora
propuestas de:
- Análisis
riesgos
de
- Alta dirección
- Comisión de
Auditoría, etc.
Tiene en cuenta,
recursos,
frecuencia, etc.
PLANIFICACIÓN
DE UNA
AUDITORÍA
Riesgos
controles
evaluar.
y
a
Diseño
pruebas
realizar.
de
a
Recursos
materiales
y
humanos
asignados
al
trabajo.
TRABAJO
DE
CAMPO
- Apertura
trabajo.
del
Deficiencias
encontradas.
- Supervisión del
trabajo.
-Documentar los
papeles
de
trabajo.
- Cierre
COMUNICACIÓN
DE
RESULTADOS
- Documento de
informe:
redacción
de
conclusiones y
recomndaciones
- Rating
- Negociación de
planes
de
mejora.
- Distribución a
Alta Dirección
SEGUIMIENTO
DE LOS
RESULTADOS
- Registro en los
sistemas
de
Auditoría
Seguimiento
del grado de
avance de la
implantación de
los planes de
mejora.
Agenda
01
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
02
El concepto de Control Interno
03
¿Cómo trabajamos? Los Principios y las Normas
04
El Proceso de Auditoría
05
Tipos de Auditorias TI
06
¿Cuáles son los retos para Auditoria TI?
05 Tipos de Auditorias TI
01 Auditoría de procesos TI
05 Tipos de Auditorias TI
01 Auditoría de procesos TI
05 Tipos de Auditorias TI
01 Auditoría de procesos TI
Algunos procesos críticos vinculados a la entrada de nuevo software,
hardware y configuraciones:




Gestión de Cambios
Gestión de la Configuración
Despliegues de red
Lanzamiento de nuevos servicios
Revisión in situ de los controles de:
 Seguridad en el diseño: controles adecuados desde el inicio
 Bastionado de servidores, BBDD, equipos de red, etc.
 Acompañamiento en proyectos críticos
05 Tipos de Auditorias TI
02 Servicios Externalizados
 Inclusión de
Seguridad
aspectos
 Control del Servicio

SLA’s,

Penalizaciones
de
05 Tipos de Auditorias TI
03 Seguridad Física y Control Ambiental
05 Tipos de Auditorias TI
03 Seguridad Física y Control Ambiental
Revisión de los procedimientos de autorización a los centros de tratamiento:
 CPDs (Sistemas de Información)
 Centros Industriales
 Salas de Comunicaciones
Revisión in situ de los controles de:
 Acceso
 Climatización
 Temperatura
 Humedad
 SAIs: Baterías, Grupos Electrógenos
 Estado general de las salas, cableado, limpieza, suelo técnico
 Pruebas de planes de contingencia
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Hacking Ético
 Equipo externo especializado
 Apoyo a las Auditorías Internas
 Identificación de objetivos
 Con información parcial
 Perimetrales sobre activos expuestos
 Redes y servidores Internos
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Redes de TI
 Elementos: Routers, Switches,
Firewalls, etc.
 Bastionado: Servicios y protocolos
habilitados, etc
 Autenticación, Autorización,
Accounting - AAA
 Flujos de tráfico
 Routers: ACLs
 Firewalls: Reglas FW
 Backups, Incidencias
 Operativas de cambios
 Etc.
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Redes como ISP
Principales Dominios de Red
 Acceso Fijo
 Acceso Móvil
 Femtonodos
 REM - Metropolitan Area
Networks
 IP Única
 Packet Core Móvil
 Transporte
 IMS - New Generation Networks
 Redes de Empresas
Plataformas de Servicios
 Televisión IP
 Prepago
 CDN – Content Delivery Network
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Aplicaciones
 Revisión en diferentes niveles:
 Servidor / Sistema Operativo:
o Sistemas Abiertos: Servidor Web, Servidor Aplicación, Back-end Base
Datos, etc.
o Mainframe: Z/OS, RACF
 Base de Datos: Oracle, DB2, SQL Server, etc.
 Aplicación: Desarrollos Propietarios, Aplicaciones Comerciales (Meta-4,
SAP/R3, etc.)
 Verificación de los controles y parámetros que definen (AAA) Autenticación,
Autorización, Accounting:
 Configuración de Acceso: LDAPs, Protocolos, ficheros de configuración
 Definición de perfiles: Distintos niveles de Autorización de Acceso a
Datos
 Bitácoras de actividad, Logs
 Etc.
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Aplicaciones
05 Tipos de Auditorias TI
05 Auditoría Continua
05 Tipos de Auditorias TI
05 Auditoría Continua
Acceso a las Plataformas de Gestión de Log
 Definición de consultas
 Monitorización eventos de control
 Reporte a áreas afectadas
05 Tipos de Auditorias TI
06 Auditorías de cumplimiento
Legal
auditable
SOX - Sarbanes - Oxley,
LOPD - Protección de Datos Personales
Ley Comercio Electrónico
Otras
Regulaciones Ley General de Telecomunicaciones
Estándares
Calidad
Servicio
ISO 27002
ISO 20000
Regulación de Consumo y Competencia
Indicadores SETSI – Secretaría Estado Telecomunicaciones
05 Tipos de Auditorias TI
07 Forense
 Investigación de fraudes internos
 Busca obtención de evidencias válidas ante un proceso judicial
• Respaldo legal de la Compañía
• Respaldo RRHH
• Garantías para el personal
• Salvaguarda de la cadena de custodia
 HW y SW específico para las investigaciones:
• Imagen forense copia bit a bit
• Huella de integridad digital de la imagen forense
• Software de análisis (búsqueda de frases, palabras críticas, etc.)
 Multidispositivo: PC, Portátiles, SmartPhones, Móviles, PDAs, etc.
05 Tipos de Auditorias TI
08 Otras tipologías
 Planes de Continuidad de Negocio
 Planes de Contingencia de TI
 Redes Almacenamiento
 Revisión Centros Industriales
 Microinformática: Seguridad en el Puesto de Trabajo
 Conservación de Datos
 Servicios de Reprografía e Impresión
 Etc.
Agenda
01
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
02
El concepto de Control Interno
03
¿Cómo trabajamos? Los Principios y las Normas
04
El Proceso de Auditoría
05
Tipos de Auditorias TI
06
¿Cuáles son los retos para Auditoria TI?
06 ¿Cuáles son los retos para Auditoria TI?
+ Tecnología
- Recursos
Nuevas plataformas, dispositivos, Apps…hay que llegar a más con
menos
Calidad SW
entregado
Software y aplicaciones más abiertos y expuestos (OWASP)
Shadow IT
Adquisición de servicios TI de forma departamental (Cloud, Sw,..)
Auditorías
SOX, LOPD Automatizar y ganar eficiencia y agilidad
cumplimiento
Protocolos
Evolución de las comunicaciones desde protocolos cerrados o poco
conocidos a estándares muy conocidos como Ethernet, IP (VoLTE)
Preguntas….
[email protected]