auditoria informatica - tema ai10 isaca
DESCRIPTION
FACULTAD DE INFORMATICA UNIVERSIDAD COMPLUTENSE DE MADRID INGENIERIA INFORMATICA AUDITORIA INFORMATICA Auditoria Informatica - Tema AI10 ISACATRANSCRIPT
AI10 ISACA
AI10 1 1 MCMP - PLGR
ISACA
VIDEOS
CobitMan
COBIT Intro
Mª Carmen Molina Prego
Pedro Luis García Repetto
Auditoría Informática
Grado Ingeniería Informática
DACYA – FDI – UCM
AI10 ISACA
AI10 2 2 MCMP - PLGR
Índice
1.ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6. Bibliografía
AI10 ISACA
AI10 3 3 MCMP - PLGR
10.1 ISACA
HISTORIA
Fundada en 1969
Information Systems Audit and Control Association
Agrupa a más de 100 000 especialistas
Auditores SGSI
Administradores SGSI
Gobierno de las TI
Analistas y gestores del riesgo TI
MISIÓN
Proveer conocimientos y formación en auditoría y
aseguramiento
Certificar especialistas
Red social
AI10 ISACA
AI10 4 4 MCMP - PLGR
10.1 ISACA
CERTIFICACIONES PROFESIONALES CISA
Auditor Certificado de Sistemas de Información
+ 90 000 desde 1978
CISM
Administrador Certificado de Seguridad de la Información
+ 18 000 desde 2002
CGEIT
Certificado en la gobernanza de la TI empresarial
+ 4 800 desde 2007
CRISC
Diplomado en Riesgos y Control de Sistemas de
Información
+ 16 000 desde 2010
AI10 ISACA
AI10 5 5 MCMP - PLGR
10.1 ISACA
MARCOS DE TRABAJO
COBIT
Seguridad de los Sistemas de Información
VAL IT
Gestión de inversiones en TI
ITAF
Prácticas profesionales para el aseguramiento de TI
RISK IT
Gestión de Riesgos en TI
BMIS
Modelo de Negocio de la Seguridad Información
AI10 ISACA
AI10 6 6 MCMP - PLGR
10.1 ISACA
ACTIVIDADES
FORMACIÓN
CISA, CISM, CGEIT y CRISC
COBIT
VAL IT
RISK IT
IT Assurance Framework (ITAF)
CONGRESOS
INSIGHTS: IT and business leaders CACS: Informática Auditoría, Control y Seguridad
IT GRC: IT Gobernanza del riesgo y cumplimieto
ISRM: Gestión del Riesgo de la SI
AI10 ISACA
AI10 7 7 MCMP - PLGR
10.1 ISACA
© www.isaca.org
AI10 ISACA
AI10 8 8 MCMP - PLGR
10.1 ISACA
BMIS
AI10 ISACA
AI10 9 9 MCMP - PLGR
Índice
1. ISACA
2.COBIT
3. Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6. Bibliografía
AI10 ISACA
AI10 10 10 MCMP - PLGR
10.2 COBIT
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
Auditoría
COBIT1
2005/7 2000 1998
Evo
lució
n d
el A
lca
nce
1996 2012
Val IT
10.0 (2008)
Risk IT (2009)
© 2012 ISACA® Todos los derechos reservados.
AI10 ISACA
AI10 11 11 MCMP - PLGR
Marco de trabajo (CÓMO) para
Gobernanza TI (Similar a ISO/IEC 38500)
Control y seguridad TI
COBIT 5.0 integra:
COBIT 4.1
Risk IT
Val IT
COBIT
Referente en seguridad y gobernanza TI
No describe un proceso de auditoría TI
COBIT vs ISO/IEC 27001
ISO/IEC 27001: + Seguridad TI y – Gobernanza
TI. (Estándar: QUÉ)
COBIT: + Seguridad TI y + Gobernanza TI
10.2 COBIT
AI10 ISACA
AI10 12 12 MCMP - PLGR
COBIT: Orientado a los objetivos de negocio
10.2 COBIT
AI10 ISACA
AI10 13 13 MCMP - PLGR
Criterios o propiedades de la información
Efectividad: relevante y pertinente con el negocio
Eficiencia: uso óptimo recursos para su generación
Confidencialidad: acceso sólo a autorizados
Integridad: precisión y completitud
Disponibilidad: a disposición de los proc. negocio
Cumplimiento: legales y normativos internos o
externos
Confiabilidad: apropiada para la gerencia
10.2 COBIT
AI10 ISACA
AI10 14 14 MCMP - PLGR
Metas TI y Arquitectura empresarial TI
10.2 COBIT
AI10 ISACA
AI10 15 15 MCMP - PLGR
Gestión de recursos TI para alcanzar metas TI
Aplicaciones: automatizadas
y manuales
Información: datos entrada,
procesados, salidas, manuales
Infraestructura: instalaciones,
sitios y ambiente
Personas: internas o externas
10.2 COBIT
AI10 ISACA
AI10 16 16 MCMP - PLGR
Dominios de Cobit
Dominios se organizan en procesos
10.2 COBIT
Planificar y
Organizar PO 10
Adquirir e Implemen-
tar AI 7
Entrega y Soporte DS 13
Monitori-zar y
Evaluar ME 4
Dominios 4
Procesos 34
Controles 210
¿Alineado TI y negocio?
¿Uso óptimo recursos?
¿Se entienden objetivos TI?
¿Calidad sistema TI?
¿Alineado proyecto-negocio?
¿Proyectos en tiempo y en €?
¿Nuevos sistemas OK?
¿Cambios no afectan sistema?
¿Prioridades negocio?
¿Optimizados costos TI?
¿Uso y admin. TI segura?
¿CID?
¿Monitorea TI?
¿Controles efectivos y
eficientes?
¿Metas negocio-metas TI?
¿Gestión riesgos?
AI10 ISACA
AI10 17 17 MCMP - PLGR
CONTROLES GENERALES, DE NEGOCIO Y DE APLICACIÓN
n
10.2 COBIT
AI10 ISACA
AI10 18 18 MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
Meta Negocio TI 1
Meta TI 1.1
Proceso 1.1.1
Proceso 1.1.2
Meta TI 1.2
Proceso 1.10.1
Proceso 1.10.2 Financiera
Cliente
Interna
Aprendizaje y mejora
Metas negocio 17
Metas TI 28
Procesos 34
Dominios 4
Procesos 34
Controles 210
AI10 ISACA
AI10 19 19 MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
6 Continuidad y disponibilidad
del servicio
10 Asegurar relaciones con terceras partes
DS2
DS10.1
DS10.2
16 Reducir defectos entrega
PO8, AI14, AI6, AI7, DS10
22 Mínimo impacto si
interrupción
PO6, AI6, DS4, DS12
23 Servicio TI disponible
DS3, DS4, DS8, DS13
META
NEGOCIO TI
(CLIENTE)
CONTROLES PROCESOS META TI
AI10 ISACA
AI10 20 20 MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
17 Contratar y mantener
personal cualificado
9 Contratar y mantener
habilidades TI según metas TI
PO7 Gestión y desarrollo de personas
PO7.1
PO7.2
AI5 Adquirir recursos TI
AI5.1, AI5.2
AI5.3, AI5.4
META NEGOCIO
TI
(APRENDIZAJE
Y MEJORA)
CONTROLES PROCESOS META TI
AI10 ISACA
AI10 21 21 MCMP - PLGR
Proceso DD99 del dominio DD
Identificación del proceso.
DD99 Nombre del proceso
Proceso satisface el requerimiento de negocio de TI
Resumen de las metas de TI más importantes
Enfocándose a
Resumen de las metas de proceso más
importantes
Se logra con
Metas de actividad
Y se mide con
Métricas
10.2 COBIT
AI10 ISACA
AI10 22 22 MCMP - PLGR
Ej. 1 - Proceso PO9 del dominio PO
Identificación del proceso.
PO9 Evaluar y administrar los riesgos de TI
Proceso satisface el requerimiento de negocio de TI
Analizar los riesgos y su impacto en negocio
Enfocándose en
Elaborar un marco de trabajo gestión riesgos TI
Se logra con
Gestión y evaluación de riesgos en procesos
Planes de acción
Y se mide con
% objetivos críticos de TI cubiertos por evaluación riesgos
% Riesgos críticos TI
% Planes de acción aprobados
10.2 COBIT
Proceso PO09
AI10 ISACA
AI10 23 23 MCMP - PLGR
Ej. 2 - Proceso PO10 del dominio PO
Identificación del proceso.
PO10 Administración de proyectos
Proceso satisface el requerimiento de negocio de TI
Proyectos en tiempo, presupuesto y calidad
Enfocándose en
Programa de administración de proyectos.
Participación de interesados, riesgos y avances
Se logra con
Marco trabajo proyectos y planificación
Y se mide con
% proyectos que cumplen tiempo, presupuesto y calidad
% proyectos con revisión
% proyectos que siguen estándares y prácticas
10.2 COBIT
AI10 ISACA
AI10 24 24 MCMP - PLGR
Ej. 2 - Proceso PO10 del dominio PO
Objetivo de control de alto nivel (PO10)
Objetivos de control detallados (PO10.1, PO10.2, hasta
PO10.14) Controles generales
Directrices gerenciales
Entradas del procesos y salidas del proceso
Ej PO1 Proyecto PO10 ME1 Informes de
ejecución del proyecto
Matriz RACI de actividades: quién es Responsable, a
quién hay que reportar (Assist), a quién se Consulta y a
quién se Informa en cada actividad del proceso.
Metas (TI, Procesos y actividades) se miden mediante
métricas
10.2 COBIT
Proceso PO10
AI10 ISACA
AI10 25 25 MCMP - PLGR
Entradas y Salidas del Proceso PO10
10.2 COBIT
PO10 Administrar
proyectos
AI10 ISACA
AI10 26 26 MCMP - PLGR
Matriz RACI del Proceso PO10
10.2 COBIT
AI10 ISACA
AI10 27 27 MCMP - PLGR
Metas DS5 Garantizar la seguridad de los SI
10.2 COBIT
Negocio • Reputación y
liderazgo
TI
• Confidencialidad
• Confiabilidad
• Integridad
• Disponibilidad
Proceso
• Información sensible
• Detectar y resolver accesos no autorizados
• Minimizar impactos
Actividad
• Comprender los requisitos de seguridad, vulnerabilidades y amenazas
• Gestión entidades y autorizaciones
• Gestión incidentes seguridad
AI10 ISACA
AI10 28 28 MCMP - PLGR
Métricas DS5 Garantizar la Seguridad de los Sistemas
10.2 COBIT
Negocio • Nº reclamaciones
clientes.
• Nº Clientes OFF
TI
• Nº incidentes impacto en negocio
• Nº sistemas no cumplen req. seg.
• Tiempo gestión identidades
Proceso
• Nº accesos no autorizados
• Nº segregación funciones OFF
• % contraseñas débiles
• Nº Código malicioso prevenido
Actividad
• Frecuencia revisión eventos
• % cuentas obsoletas
• % IP no autorizadas
• % llaves criptográficas OFF
• Nº derechos accesos modificados
AI10 ISACA
AI10 29 29 MCMP - PLGR
Proceso de un dominio
Modelo de madurez: método para evaluar cómo está
funcionando el proceso definiendo un nivel entre (0) no
existente hasta (5) optimizado.
10.2 COBIT
AI10 ISACA
AI10 30 30 MCMP - PLGR
Niveles de madures en desarrollo software
0- No existente. No procesos. No se reconoce problema.
1 - Inicial. Las organizaciones en este nivel no disponen de un
ambiente estable para el desarrollo y mantenimiento de
software. Se utilizan técnicas correctas de ingeniería pero los
esfuerzos se ven minados por falta de planificación. El éxito
de los proyectos se basa la mayoría de las veces en el
esfuerzo personal, aunque a menudo se producen fracasos y
casi siempre retrasos y sobrecostes. El resultado de los
proyectos es impredecible.
2 – Repetible pero intuitivo. En este nivel las organizaciones
disponen de unas prácticas institucionalizadas de gestión de
proyectos, existen unas métricas básicas y un razonable
seguimiento de la calidad.
10.2 COBIT
AI10 ISACA
AI10 31 31 MCMP - PLGR
Niveles de madures en desarrollo software
3 - Definido. Además de una buena gestión de proyectos, a
este nivel las organizaciones disponen de correctos
procedimientos de coordinación entre grupos, formación
del personal, técnicas de ingeniería más detalladas y un nivel
más avanzado de métricas en los procesos. Se implementan
técnicas de revisión por pares (peer reviews).
4 - Administrado. Se caracteriza porque las organizaciones
disponen de un conjunto de métricas significativas de calidad
y productividad, que se usan de modo sistemático para la
toma de decisiones y la gestión de riesgos. El software
resultante es de alta calidad.
5 - Optimizado. La organización completa está volcada en la
mejora continua de los procesos. Se hace uso intensivo de
las métricas y se gestiona el proceso de innovación.
10.2 COBIT
AI10 ISACA
AI10 32 32 MCMP - PLGR
Cubo de Cobit
10.2 COBIT
AI10 ISACA
AI10 33 33 MCMP - PLGR
Prácticas
Analizar procesos:
Dominio Planear y Organizar
PO7 Administrar Recursos Humanos de TI
(Pág. 55 Cobit 4.1)
Dominio Entregar y dar Soporte
DS12 Administración del Ambiente Físico
(Pág. 145 Cobit 4.1)
10.2 COBIT
AI10 ISACA
AI10 34 34 MCMP - PLGR
Índice
1. ISACA
2. COBIT
3.Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6. Bibliografía
AI10 ISACA
AI10 35 35 MCMP - PLGR
10.3 Gobierno TI: Val IT
Val IT
Proporciona los
medios para
medir,
monitorizar y
optimizar la
realización de
valor de
negocio a parir
de las
inversiones TI
AI10 ISACA
AI10 36 36 MCMP - PLGR
10.3 Gobierno TI: Val IT
• Ayudar a la dirección (CEO) a lograr un valor óptimo de las inversiones a través de las TI con un coste económico y un riesgo conocido y aceptado
Objetivo
• Marco de trabajo para apoyar a la dirección (CEO) a entender y desempeñar sus roles relacionados con esas inversiones.
Proporciona
AI10 ISACA
AI10 37 37 MCMP - PLGR
10.3 Gobierno TI: Val IT
¿Estamos haciendo
lo que debemos)
hacer? (Estrategia)
¿Lo estamos haciendo correcta-mente?
(Arquitectu-ra TI)
¿Lo estamos logrando
bien? (Entrega)
¿Estamos obteniendo beneficio?
(Valor)
AI10 ISACA
AI10 38 38 MCMP - PLGR
10.3 Gobierno TI: Val IT
CEO: ¿Estamos haciendo lo que debemos hacer?
La pregunta estratégica ¿ Está la inversión:
De acuerdo con nuestra visión?
Coherente con nuestros objetivos de negocio?
Contribuyendo a nuestros objetivos estratégicos?
Proporcionando valor a un costo económico y
niveles de riego aceptable ?
AI10 ISACA
AI10 39 39 MCMP - PLGR
10.3 Gobierno TI: Val IT
CEO: ¿Estamos obteniendo beneficio?
La pregunta de valor ¿ Tenemos:
Un conocimiento claro y compartido de los
beneficios esperados?
Un mecanismo eficaz y transparente para
contabilizar los beneficios generados?
Una métrica relevante?
Un proceso eficaz de medición de beneficios?
AI10 ISACA
AI10 40 40 MCMP - PLGR
10.3 Gobierno TI: Val IT
CIO: ¿Lo estamos logrando bien?
La pregunta de entrega ¿ Tenemos:
Procesos eficaces y disciplinados de gestión,
entrega y gestión de cambios?
Personas técnicas y de negocio o comerciales
competentes y disponibles que reúnan las
capacidades necesarias?
Y la organización puede generar los cambios
necesarios para potenciar las capacidades?
AI10 ISACA
AI10 41 41 MCMP - PLGR
10.3 Gobierno TI: Val IT
CIO: ¿Lo estamos haciendo correctamente?
La pregunta de arquitectura ¿ Está la inversión:
De acuerdo con nuestra arquitectura?
Coherente con nuestros principios arquitectónicos?
Contribuyendo al mayor uso de nuestra
arquitectura?
En línea con otras iniciativas?
AI10 ISACA
AI10 42 42 MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4.ITAF
5. Estándares y guías
6. Bibliografía
AI10 ISACA
AI10 43 43 MCMP - PLGR
10.4 ITAF
Information Technology Assurance Framework
Proporciona orientación sobre la planificación de
la auditoría, la realización y la presentación de
informes de auditoría y aseguramiento TI.
Define los términos y conceptos específicos de
aseguramiento de TI.
Establece las normas que se ocupan de las
funciones de auditoría y aseguramiento TI.
Respecto a los profesionales, establece las
responsabilidades, conocimientos, habilidades, la
diligencia, conducta y competencia.
AI10 ISACA
AI10 44 44 MCMP - PLGR
10.4 ITAF
ITAF proporciona al profesional de la auditoría y
aseguramiento TI:
AI10 ISACA
AI10 45 45 MCMP - PLGR
10.4 ITAF
Normas o estándares generales: de obligado
cumplimiento sobre la ética profesional, la
independencia, la objetividad, conocimiento,
competencia y habilidad.
Estándares de desempeño: sobre la realización de la
auditoría o implementación de seguridad como:
planificación y supervisión, definición del alcance,
riesgo y materialidad, personas y recursos, evidencia,
juicio profesional y debido cuidado.
Estándares sobre informes: sobre la forma de
transmitir los resultados y la estructura y contenido de
los informes.
Directrices Guidelines: cómo aplicar los estándares.
AI10 ISACA
AI10 46 46 MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5.Estándares y guías
6. Bibliografía
AI10 ISACA
AI10 47 47 MCMP - PLGR
10.5 Estándares y guías
Estándares: definen los requisitos obligatorios para
la auditoría y aseguramiento. Definen:
Las características principales que deben reunir
los auditores TI.
Las fases y actividades del proceso de auditoría
TI.
Materialidad, evidencia, riesgo, controles IT, etc.
Directrices: proporcionan una guía para aplicar los
estándares y proporcionar información acerca de su
cumplimiento.
Herramientas y técnicas: proveen ejemplos sobre
cómo debe actuar un auditor de SI en una auditoría
AI10 ISACA
AI10 48 48 MCMP - PLGR
10.5 Estándares y guías
Conjunto de estándares, guías y procedimientos para
guiar la ejecución de las auditorías TI.
Estándares: S1 al S16
Guías: G1 a la G42
Técnicas y herramientas (Procedimientos) : P1 al P11
Versión: agosto 2010
AI10 ISACA
AI10 49 49 MCMP - PLGR
10.5 Estándares y guías
S1 Audit Charter S2 Independence
S3 Professional Ethics and
Standards S4 Competence
S5 Planning S6 Performance of Audit
Work
S7 Reporting S8 Follow-Up Activities
S9 Irregularities and Illegal
Acts S10 IT Governance
S11 Use of Risk Assessment
in Audit Planning S12 Audit Materiality
S13 Using the Work of Other
Experts S14 Audit Evidence
S15 IT Controls S16 E-commerce
AI10 ISACA
AI10 50 50 MCMP - PLGR
10.5 Estándares y guías
S2 Independencia
10.1 Introducción
01 Igual para todos los estándares
02 Propósito: independencia en proceso auditoría
10.2 Estándar
03 Independencia profesional: auditor
independiente en actitud y apariencia
04 Independencia organizacional: unidad de
auditoría independiente de la unidad auditada
10.3 Comentario
07 Informar sobre riesgo no independencia
09 Evaluación regular de la independencia
11 Guías relacionadas: G17 y G12
AI10 ISACA
AI10 51 51 MCMP - PLGR
10.5 Estándares y guías
G17 Rol de no auditoría en el auditor e influencia
en su independencia
1. Antecedentes
a) Relación con estándares: G2
b) Relación con controles de COBIT
c) Motivos que justifican la guía
i. Implicar auditor: implantación, consultoría y
formación
ii. Cómo “salvar” la independencia.
2. Carta de auditoría: Define en qué funciones de
auditoría puede participar. Si no, se reporta a
dirección.
AI10 ISACA
AI10 52 52 MCMP - PLGR
10.5 Estándares y guías
G17 Rol de no auditoría en el auditor e influencia
en su independencia
3. Funciones de no auditoría del auditor
a) No comprometen la independencia
b) Sí comprometen la independencia
4. Independencia
a) En funciones de no auditoría
b) Consecuencias de actividades de no
auditoría en auditoría futuras
5. Planificación de auditorías: riesgo independencia
6. Ejecución auditoría: monitorizar independencia
7. Informe: si la independencia está en riesgo
AI10 ISACA
AI10 53 53 MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6.Bibliografía
AI10 ISACA
AI10 54 54 MCMP - PLGR
1.6 Bibliografía
www.isaca.org
www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx
www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Pages/default.aspx
www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Pages/Val-IT1.aspx
www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-
Security.aspx
www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-
IT1.aspx
www.isaca.org/Knowledge-Center/Standards/Pages/default.aspx
www.isaca.org/spanish/Pages/default.aspx
http://www.itgi.org/
AI10 ISACA
AI10 55 55 MCMP - PLGR
Dudas, preguntas y reflexiones
MUCHAS GRACIAS
?