BIIT12 - Auditoría, COBIT, ENS, ISO 27000 Flashcards
Auditoría, ¿qué es?
Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría
Auditoría, ¿quién la realiza?
El auditor
Auditoría, ¿hay alguna característica común en todos los auditores?
La independencia
Auditoría, tipos de auditores (norma ISO 27000)
- Auditor de 1ª parte –> Auditor interno
- Auditor de 2ª parte –> Auditor de cliente
- Auditor de 3ª parte –> Auditor independiente
La organización tiene la intención de lograr la certificación.
Fases de una auditoría
- Toma de contacto
- Desarrollo de la auditoría
- Generar el informe de auditoría
Auditoría vs consultoría
- Auditoría: se centra en señalar si las cosas están bien o no y ofrece recomendaciones sobre lo QUE habría que mejorar
- Consultoría: indicaría CÓMO hacer las cosas para que estén bien y CÓMO llevar a cabo las mejoras
¿Qué es la auditoría informática?
Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado
* salvaguarda los activos
* mantiene la integridad de los datos
* lleva a cabo los fines de la organización
* utiliza eficientemente los recursos
Auditoría informática, ¿quién la promueve?
EDPAA (Electronic Data Processing Auditors Association)
Funciones de la auditoría informática
- Velar por la eficiencia y eficacia del sistema (auditoría interna)
- Comprobar el cumplimiento de normas y estándares (auditoría externa)
- Asegurar la calidad de los sistemas de información
- Supervisar los mecanismos de control interno para proteger recursos informáticos humanos y materiales
- Comprobar la seguridad de los sistemas de información (propiedades ACID)
¿Qué es control (según la ISO 27000)?
Políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido
Tipos de control
1ª clasificación
* Desarrollo –> Comprueba que el resultado obtenido concuerda con las especificaciones.
* Proceso –> Asegura que la explotación se realiza con las versiones adecuadas de los programas y de los datos.
* Continuación –> Determina que se evita la pérdida o corrupción de información, efectuando las salvaguardas y recuperaciones necesarias
2ª clasificación
* Detectivos –> Detecta la aparición de un riesgo, error, omisión o acto deliberado.
* Correctivos –> Corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas.
* Preventivos –> Evitan que se produzca un riesgo, error, omisión o acto deliberado.
COBIT, ¿qué significan las siglas? ¿quién la ha desarrollado?
- Control OBjetives for Information and related Technologies
- ISACA (Information System Audit & Control Association)
¿Qué aporta COBIT?
Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización
COBIT 5, ¿de qué se compone?
- 5 principios
- 7 facilitadores (“enablers”)
- 37 procesos
COBIT 5, ¿cuáles son los 5 principios?
- Satisfacer las necesidades de los interesados (accionistas).
- Cubrir la organización de forma integral.
- Aplicar un único marco de trabajo integrado.
- Permitir una aproximación holística.
- Separar la Gestión del Gobierno.
COBIT 5, ¿cuáles son los 7 facilitadores?
- Principios, políticas y marcos.
- Procesos.
- Estructura organizacional.
- Cultura, ética y comportamiento.
- Información.
- Servicios, infraestructura y aplicaciones.
- Personas, habilidades y competencias.
COBIT 5, ¿qué son los procesos?
Conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información.
COBIT 5, categorías de procesos
- Procesos de gestión
- Procesos orientados al gobierno de las TI
COBIT 5, ¿cómo se estructuran los procesos?
En 5 dominios
COBIT 5, ¿cuáles son los 5 dominios de los procesos?
- Planificación y organización.
- Adquisición e implementación.
- Soporte y servicio.
- Monitorización.
- Evaluar, dirigir (orientar) y supervisar.
COBIT 5, ¿cómo se mide la madurez de los procesos?
ISO/IEC 15504 SPICE (Software Process Improvement Capability Determination).
COBIT 2019, focus areas (áreas de interés)
- SME (Small and Medium Enterprises) –> Pymes
- Seguridad
- Riesgos
- DevOps –> Integración continua entre los departamentos de desarrollo y operación
COBIT 2019, pilares
- 9 Principios –> Provienen del concepto de Gobernanza de IT
- 7 Componentes
- COBIT Core Model (Modelo Base de COBIT)
- 40 Objetivos de gobierno (procesos)
- 5 dominios
COBIT 2019, ¿cuáles son los 2 ámbitos de los principios?
- Sistema de Gobierno: se ocupa de lo necesario para administrar la información y la tecnología corporativas
- Marco de Gobierno: se centra en la construcción de un Sistema de Gobierno
COBIT 2019, sistema de Gobierno, ¿cuáles son los 6 principios?
- Proporcionar valor a los interesados.
- Permitir una aproximación holística.
El sistema de gobierno está formado por una serie de Componentes (“agentes facilitadores” o “habilitadores”). - Sistema de gobierno dinámico.
- Separar la Gestión del Gobierno.
- Adaptarse a las necesidades de la organización.
- Sistema de gobierno para el conjunto de la organización.
COBIT 2019, marco de Gobierno, ¿cuáles son los 3 principios?
- Modelo conceptual.
- Abierto y flexible.
- En línea con estándares.
COBIT 2019, ¿qué son los componentes?
- Factores que, de forma individual o colectiva, contribuyen a las buenas prácticas del sistema de gobierno de las organizaciones a través de IT.
- Antes denominados agentes facilitadores en COBITv5
COBIT 2019, ¿cuáles son los 7 componentes?
- Principios, políticas y procedimientos.
- Procesos.
- Estructuras organizacionales.–> matriz RACI.
- Cultura, ética y comportamiento.
- Información.
- Servicios, infraestructura y aplicaciones.
- Personas, habilidades y competencias.
COBIT 2019, ¿qué son los procesos (objetivo de gobierno o gestión)?
Conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información.
COBIT 2019, categorías de los procesos (objetivo de gobierno o gestión)
- Procesos de gestión
- Procesos orientados al gobierno
COBIT 2019, ¿cómo se estructuran los procesos?
CobiT Core Model (Modelo Base de COBIT) reconoce
* 5 dominios
* 40 procesos
COBIT 2019, CobiT Core Model, ¿cuáles son los 5 dominios?
- APO (Align, Plan and Organize) –> Alinear, Planificar y Organizar
- BAI (Build, Acquire and Implement) –> Construir, Adquirir e Implementar
- DSS (Deliver, Service and Support) –> Entrega, Soporte y Servicio
- MEA (Monitor, Evaluate and Assess) –> Monitorizar, Evaluar y Valorar
- EDM (Evaluate, Direct and Monitor) –> Evaluar, Dirigir (orientar) y Supervisar
COBIT 2019, pasos para la creación de un sistema de Gobierno
- Entender el contexto y la estrategia empresarial.
- Determinar el alcance inicial del sistema de gobierno.
- Refinar el alcance del sistema de gobierno.
- Concluir el diseño del sistema de gobierno.
COBIT 2019, 11 factores de diseño que se tienen en cuenta durante los 4 pasos para crear un sistema de Gobierno
- Estrategia empresarial
- Objetivos de la organización
- Perfil de riesgo
- Cuestiones relacionadas con IT –> evaluar los riesgos asociados a las IT
- Amenazas
- Requerimientos normativos
- Rol de IT
- Modelo de aprovisionamiento para las TI (Outsourcing, Cloud, Insourced, híbrido)
- Métodos de implementación de IT (Agile, DevOps, tradicional, híbrido)
- Estrategia de adopción tecnológica
- Tamaño de la organización (grande o PYME)
COBIT 2019, ¿cómo se mide la madurez de los procesos?
CPM (COBIT Performance Management)
COBIT 2019, CPM, ¿qué permite valorar? ¿con qué es compatible?
- Permite valorar
- la capacidad de los procesos (individualmente)
- la madurez (de la organización en conjunto) - Compatible con CMMI 2.0
COBIT 2019, CPM ¿cuántos niveles de capacidad establece?
Establece una división en 6 niveles de capacidad enumerados del 0 al 5
COBIT 5 y 2019, ¿qué se emplea para definir los roles y responsabilidades ?
Se emplea la matriz RACI (Responsible, Accountable, Consulted e Informed)
COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el responsible (responsable)?
Se encarga de la ejecución de algún trabajo.
COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el accountable (aprobador)?
Es el responsable final de un trabajo (dar el visto bueno de un trabajo), la persona que rinde cuentas
COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el consulted (consultado)?
Posee información o puede ayudar a finalizar la tarea
COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el informed (informado)?
Es aquel que tiene que ser informado de los avances y los resultados del trabajo
Técnicas y Herramientas de Auditoría asistidas por ordenador
CAATs (Computer Asisted Audit Techniques) o TAAOs (técnicas de Auditoría Asistida por Ordenador)
¿Qué es NASP? ¿quién es el responsable? ¿qué reconoce?
- Normas Auditoría del Sector Público
- IGAE
- La “evidencia informática”
Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados y no automatizados, ¿a qué se someterán a partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos? ¿cada cuánto tiempo?
- A una auditoría interna o externa
- Al menos cada 2 años
Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, ¿cuándo debe de realizarse una auditoría con carácter extraordinario? ¿inicia el cómputo de 2 años?
- Siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas
- Sí
Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, informes de auditoría ¿qué deberá tener?
- Dictaminar sobre la adecuación de las medidas y controles a la ley y su desarrollo reglamentario
- Identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
- Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, informes de auditoría ¿por quién serán analizados? ¿para quién quedarán a disposición?
- Serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas
- Quedarán a disposición de la AEPD o, en su caso, de las autoridades de control de las CCAA.
LO 3/2018 de PDPGDD, planes de auditoría preventiva, ¿quién puede acordar su realización? ¿cuál es su objetivo?
- La Presidencia de la Agencia Española de Protección de Datos
- Tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y de la presente ley orgánica, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría.
LO 3/2018 de PDPGDD, planes de auditoría preventiva, ¿quién podrá dictar las directrices generales o específicas para un concreto responsable o encargado de los tratamientos precisos?
La Presidencia de la Agencia Española de Protección de Datos
LO 3/2018 de PDPGDD, planes de auditoría preventiva, directrices generales o específicas, ¿qué se quiere asegurar? ¿de qué organismos puede pedir colaboración para elaborarlas? ¿para quién son de obligado cumplimiento?
- La plena adaptación del sector o responsable al Reglamento (UE) 2016/679 y a la presente ley orgánica.
- Los organismos de supervisión de los códigos de conducta y de resolución extrajudicial de conflictos
- Para el sector o responsable al que se refiera el plan de auditoría.
RD 311/2022 ENS, ¿qué es la auditoría de la seguridad?
Proceso sistemático, independiente y documentado que persigue la obtención de evidencias objetivas y su evaluación objetiva para determinar en qué medida se cumplen los criterios de auditoría en relación con la idoneidad de los controles de seguridad adoptados, el cumplimiento de la política de seguridad, las normas y los procedimientos operativos establecidos, y detectando desviaciones a los antedichos criterios
RD 311/2022 ENS, auditoría de la seguridad ordinaria, ¿cuándo se realiza de forma ordinaria? ¿qué debe verificar?
- Al menos cada 2 años
- El cumplimiento de los requerimientos del ENS
RD 311/2022 ENS, auditoría de la seguridad extraordinaria, ¿cuándo se realiza? ¿qué fecha determina para la realización de la siguiente auditoría regular ordinaria?
- Siempre que se produzcan modificaciones sustanciales en los sistemas de información, que puedan repercutir en las medidas de seguridad requeridas.
- La fecha de cómputo para el cálculo de los 2 años
RD 311/2022 ENS, auditoría de la seguridad, ¿por cuánto tiempo se puede extender plazo de 2 años? ¿por qué?
- Durante 3 meses
- Cuando concurran impedimentos de fuerza mayor no imputables a la entidad titular del sistema o sistemas de información concernidos
RD 311/2022 ENS, auditoría de la seguridad, ¿en función de qué se realizará?
- De la categoría del sistema
- Del perfil de cumplimiento específico que corresponda
- De conformidad con lo regulado en la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información
RD 311/2022 ENS, auditoría de la seguridad, ¿qué se utilizarán en su realización?
- Los criterios, métodos de trabajo y de conducta generalmente reconocidos
- La normalización nacional e internacional aplicables a este tipo de actividades
RD 311/2022 ENS, informe de auditoría, ¿sobre qué deberá dictaminar?
- Sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados.
RD 311/2022 ENS, informe de auditoría, ¿qué deberá incluir?
- Los criterios metodológicos de auditoría utilizados
- El alcance y el objetivo de la auditoría
- Los datos, hechos y observaciones en que se basen las conclusiones formuladas
Todo ello de conformidad con la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información
RD 311/2022 ENS, informe de auditoría, ¿a quiénes se presentarán?
- Al responsable del sistema
- Al responsable de la seguridad. –> Presentará sus conclusiones al responsable del sistema
RD 311/2022 ENS, sistemas de categoría ALTA, visto el dictamen de auditoría y atendiendo a una eventual gravedad de las deficiencias encontradas, el responsable del sistema, ¿qué podrá suspender temporalmente? ¿hasta cuándo?
- El tratamiento de informaciones, la prestación de servicios o la total operación del sistema
- Hasta su adecuada subsanación o mitigación
RD 311/2022 ENS, informes de auditoría, ¿por quiénes podrán ser requeridos?
- Por los responsables de cada organización, con competencias sobre seguridad de las tecnologías de la información
- Por el CCN
RD 311/2022 ENS, sistemas de categoría básica, ¿necesitarán realizar una auditoría? ¿por quién será realizada?
- No, bastará una autoevaluación
- Por el mismo personal que administra el sistema de información o en quien este delegue.
RD 311/2022 ENS, sistemas de categoría media o alta, ¿sobre qué dictaminará el informe de auditoría?
Sobre el grado de cumplimiento de este real decreto e identificando los hallazgos de conformidad y no conformidad.
RD 311/2022 ENS, equipo auditor, ¿por quién estará compuesto?
- El auditor jefe
- Auditores
- Expertos técnicos.
RD 311/2022 ENS, equipo auditor, ¿por quién estará dirigido?
Por un auditor jefe, también llamado «líder» del equipo auditor.
RD 311/2022 ENS, equipo auditor, ¿cuáles son las funciones del auditor jefe?
- Supervisará el proceso de auditoría
- Garantizará la exactitud de los hallazgos y recomendaciones mencionados en * Preservará las evidencias de la auditoría.
¿Cuál es la guía CCN que indica cómo realizar una auditoría en base al ENS?
Guía CCN-STIC-802 Guía de Auditoría del Esquema Nacional de Seguridad
¿Cuál es la herramienta de auditoría de cumplimiento con el ENS en sistemas Windows y Linux CentOS? ¿qué analiza?
- CLARA
- Las características de seguridad técnicas definidas a través del ENS en el ámbito de la Administración electrónica.
