BIIT12 - Auditoría, COBIT, ENS, ISO 27000

Question 1

Auditoría, ¿qué es?

Answer 1

Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría

Question 2

Auditoría, ¿quién la realiza?

Answer 2

El auditor

Question 3

Auditoría, ¿hay alguna característica común en todos los auditores?

Answer 3

La independencia

Question 4

Auditoría, tipos de auditores (norma ISO 27000)

Answer 4

• Auditor de 1ª parte –> Auditor interno
• Auditor de 2ª parte –> Auditor de cliente
• Auditor de 3ª parte –> Auditor independiente
  La organización tiene la intención de lograr la certificación.

Question 5

Fases de una auditoría

Answer 5

• Toma de contacto
• Desarrollo de la auditoría
• Generar el informe de auditoría

Question 6

Auditoría vs consultoría

Answer 6

• Auditoría: se centra en señalar si las cosas están bien o no y ofrece recomendaciones sobre lo QUE habría que mejorar
• Consultoría: indicaría CÓMO hacer las cosas para que estén bien y CÓMO llevar a cabo las mejoras

Question 7

¿Qué es la auditoría informática?

Answer 7

Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado
* salvaguarda los activos
* mantiene la integridad de los datos
* lleva a cabo los fines de la organización
* utiliza eficientemente los recursos

Question 8

Auditoría informática, ¿quién la promueve?

Answer 8

EDPAA (Electronic Data Processing Auditors Association)

Question 9

Funciones de la auditoría informática

Answer 9

• Velar por la eficiencia y eficacia del sistema (auditoría interna)
• Comprobar el cumplimiento de normas y estándares (auditoría externa)
• Asegurar la calidad de los sistemas de información
• Supervisar los mecanismos de control interno para proteger recursos informáticos humanos y materiales
• Comprobar la seguridad de los sistemas de información (propiedades ACID)

Question 10

¿Qué es control (según la ISO 27000)?

Answer 10

Políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido

Question 11

Tipos de control

Answer 11

1ª clasificación
* Desarrollo –> Comprueba que el resultado obtenido concuerda con las especificaciones.
* Proceso –> Asegura que la explotación se realiza con las versiones adecuadas de los programas y de los datos.
* Continuación –> Determina que se evita la pérdida o corrupción de información, efectuando las salvaguardas y recuperaciones necesarias

2ª clasificación
* Detectivos –> Detecta la aparición de un riesgo, error, omisión o acto deliberado.
* Correctivos –> Corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas.
* Preventivos –> Evitan que se produzca un riesgo, error, omisión o acto deliberado.

Question 12

COBIT, ¿qué significan las siglas? ¿quién la ha desarrollado?

Answer 12

• Control OBjetives for Information and related Technologies
• ISACA (Information System Audit & Control Association)

Question 13

¿Qué aporta COBIT?

Answer 13

Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización

Question 14

COBIT 5, ¿de qué se compone?

Answer 14

• 5 principios
• 7 facilitadores (“enablers”)
• 37 procesos

Question 15

COBIT 5, ¿cuáles son los 5 principios?

Answer 15

1. Satisfacer las necesidades de los interesados (accionistas).
2. Cubrir la organización de forma integral.
3. Aplicar un único marco de trabajo integrado.
4. Permitir una aproximación holística.
5. Separar la Gestión del Gobierno.

Question 16

COBIT 5, ¿cuáles son los 7 facilitadores?

Answer 16

1. Principios, políticas y marcos.
2. Procesos.
3. Estructura organizacional.
4. Cultura, ética y comportamiento.
5. Información.
6. Servicios, infraestructura y aplicaciones.
7. Personas, habilidades y competencias.

Question 17

COBIT 5, ¿qué son los procesos?

Answer 17

Conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información.

Question 18

COBIT 5, categorías de procesos

Answer 18

• Procesos de gestión
• Procesos orientados al gobierno de las TI

Question 19

COBIT 5, ¿cómo se estructuran los procesos?

Answer 19

En 5 dominios

Question 20

COBIT 5, ¿cuáles son los 5 dominios de los procesos?

Answer 20

1. Planificación y organización.
2. Adquisición e implementación.
3. Soporte y servicio.
4. Monitorización.
5. Evaluar, dirigir (orientar) y supervisar.

Question 21

COBIT 5, ¿cómo se mide la madurez de los procesos?

Answer 21

ISO/IEC 15504 SPICE (Software Process Improvement Capability Determination).

Question 22

COBIT 2019, focus areas (áreas de interés)

Answer 22

• SME (Small and Medium Enterprises) –> Pymes
• Seguridad
• Riesgos
• DevOps –> Integración continua entre los departamentos de desarrollo y operación

Question 23

COBIT 2019, pilares

Answer 23

• 9 Principios –> Provienen del concepto de Gobernanza de IT
• 7 Componentes
• COBIT Core Model (Modelo Base de COBIT)
  - 40 Objetivos de gobierno (procesos)
  - 5 dominios

Question 24

COBIT 2019, ¿cuáles son los 2 ámbitos de los principios?

Answer 24

• Sistema de Gobierno: se ocupa de lo necesario para administrar la información y la tecnología corporativas
• Marco de Gobierno: se centra en la construcción de un Sistema de Gobierno

Question 25

COBIT 2019, sistema de Gobierno, ¿cuáles son los 6 principios?

Answer 25

1. Proporcionar valor a los interesados.
2. Permitir una aproximación holística.
   El sistema de gobierno está formado por una serie de Componentes (“agentes facilitadores” o “habilitadores”).
3. Sistema de gobierno dinámico.
4. Separar la Gestión del Gobierno.
5. Adaptarse a las necesidades de la organización.
6. Sistema de gobierno para el conjunto de la organización.

Question 26

COBIT 2019, marco de Gobierno, ¿cuáles son los 3 principios?

Answer 26

1. Modelo conceptual.
2. Abierto y flexible.
3. En línea con estándares.

Question 27

COBIT 2019, ¿qué son los componentes?

Answer 27

• Factores que, de forma individual o colectiva, contribuyen a las buenas prácticas del sistema de gobierno de las organizaciones a través de IT.
• Antes denominados agentes facilitadores en COBITv5

Question 28

COBIT 2019, ¿cuáles son los 7 componentes?

Answer 28

1. Principios, políticas y procedimientos.
2. Procesos.
3. Estructuras organizacionales.–> matriz RACI.
4. Cultura, ética y comportamiento.
5. Información.
6. Servicios, infraestructura y aplicaciones.
7. Personas, habilidades y competencias.

Question 29

COBIT 2019, ¿qué son los procesos (objetivo de gobierno o gestión)?

Answer 29

Conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información.

Question 30

COBIT 2019, categorías de los procesos (objetivo de gobierno o gestión)

Answer 30

• Procesos de gestión
• Procesos orientados al gobierno

Question 31

COBIT 2019, ¿cómo se estructuran los procesos?

Answer 31

CobiT Core Model (Modelo Base de COBIT) reconoce
* 5 dominios
* 40 procesos

Question 32

COBIT 2019, CobiT Core Model, ¿cuáles son los 5 dominios?

Answer 32

1. APO (Align, Plan and Organize) –> Alinear, Planificar y Organizar
2. BAI (Build, Acquire and Implement) –> Construir, Adquirir e Implementar
3. DSS (Deliver, Service and Support) –> Entrega, Soporte y Servicio
4. MEA (Monitor, Evaluate and Assess) –> Monitorizar, Evaluar y Valorar
5. EDM (Evaluate, Direct and Monitor) –> Evaluar, Dirigir (orientar) y Supervisar

Question 33

COBIT 2019, pasos para la creación de un sistema de Gobierno

Answer 33

1. Entender el contexto y la estrategia empresarial.
2. Determinar el alcance inicial del sistema de gobierno.
3. Refinar el alcance del sistema de gobierno.
4. Concluir el diseño del sistema de gobierno.

Question 34

COBIT 2019, 11 factores de diseño que se tienen en cuenta durante los 4 pasos para crear un sistema de Gobierno

Answer 34

1. Estrategia empresarial
2. Objetivos de la organización
3. Perfil de riesgo
4. Cuestiones relacionadas con IT –> evaluar los riesgos asociados a las IT
5. Amenazas
6. Requerimientos normativos
7. Rol de IT
8. Modelo de aprovisionamiento para las TI (Outsourcing, Cloud, Insourced, híbrido)
9. Métodos de implementación de IT (Agile, DevOps, tradicional, híbrido)
10. Estrategia de adopción tecnológica
11. Tamaño de la organización (grande o PYME)

Question 35

COBIT 2019, ¿cómo se mide la madurez de los procesos?

Answer 35

CPM (COBIT Performance Management)

Question 36

COBIT 2019, CPM, ¿qué permite valorar? ¿con qué es compatible?

Answer 36

• Permite valorar
  - la capacidad de los procesos (individualmente)
  - la madurez (de la organización en conjunto)
• Compatible con CMMI 2.0

Question 37

COBIT 2019, CPM ¿cuántos niveles de capacidad establece?

Answer 37

Establece una división en 6 niveles de capacidad enumerados del 0 al 5

Question 38

COBIT 5 y 2019, ¿qué se emplea para definir los roles y responsabilidades ?

Answer 38

Se emplea la matriz RACI (Responsible, Accountable, Consulted e Informed)

Question 39

COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el responsible (responsable)?

Answer 39

Se encarga de la ejecución de algún trabajo.

Question 40

COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el accountable (aprobador)?

Answer 40

Es el responsable final de un trabajo (dar el visto bueno de un trabajo), la persona que rinde cuentas

Question 41

COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el consulted (consultado)?

Answer 41

Posee información o puede ayudar a finalizar la tarea

Question 42

COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el informed (informado)?

Answer 42

Es aquel que tiene que ser informado de los avances y los resultados del trabajo

Question 43

Técnicas y Herramientas de Auditoría asistidas por ordenador

Answer 43

CAATs (Computer Asisted Audit Techniques) o TAAOs (técnicas de Auditoría Asistida por Ordenador)

Question 44

¿Qué es NASP? ¿quién es el responsable? ¿qué reconoce?

Answer 44

• Normas Auditoría del Sector Público
• IGAE
• La “evidencia informática”

Question 45

Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados y no automatizados, ¿a qué se someterán a partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos? ¿cada cuánto tiempo?

Answer 45

• A una auditoría interna o externa
• Al menos cada 2 años

Question 46

Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, ¿cuándo debe de realizarse una auditoría con carácter extraordinario? ¿inicia el cómputo de 2 años?

Answer 46

• Siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas
• Sí

Question 47

Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, informes de auditoría ¿qué deberá tener?

Answer 47

• Dictaminar sobre la adecuación de las medidas y controles a la ley y su desarrollo reglamentario
• Identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
• Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Question 48

Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, informes de auditoría ¿por quién serán analizados? ¿para quién quedarán a disposición?

Answer 48

• Serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas
• Quedarán a disposición de la AEPD o, en su caso, de las autoridades de control de las CCAA.

Question 49

LO 3/2018 de PDPGDD, planes de auditoría preventiva, ¿quién puede acordar su realización? ¿cuál es su objetivo?

Answer 49

• La Presidencia de la Agencia Española de Protección de Datos
• Tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y de la presente ley orgánica, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría.

Question 50

LO 3/2018 de PDPGDD, planes de auditoría preventiva, ¿quién podrá dictar las directrices generales o específicas para un concreto responsable o encargado de los tratamientos precisos?

Answer 50

La Presidencia de la Agencia Española de Protección de Datos

Question 51

LO 3/2018 de PDPGDD, planes de auditoría preventiva, directrices generales o específicas, ¿qué se quiere asegurar? ¿de qué organismos puede pedir colaboración para elaborarlas? ¿para quién son de obligado cumplimiento?

Answer 51

• La plena adaptación del sector o responsable al Reglamento (UE) 2016/679 y a la presente ley orgánica.
• Los organismos de supervisión de los códigos de conducta y de resolución extrajudicial de conflictos
• Para el sector o responsable al que se refiera el plan de auditoría.

Question 52

RD 311/2022 ENS, ¿qué es la auditoría de la seguridad?

Answer 52

Proceso sistemático, independiente y documentado que persigue la obtención de evidencias objetivas y su evaluación objetiva para determinar en qué medida se cumplen los criterios de auditoría en relación con la idoneidad de los controles de seguridad adoptados, el cumplimiento de la política de seguridad, las normas y los procedimientos operativos establecidos, y detectando desviaciones a los antedichos criterios

Question 53

RD 311/2022 ENS, auditoría de la seguridad ordinaria, ¿cuándo se realiza de forma ordinaria? ¿qué debe verificar?

Answer 53

• Al menos cada 2 años
• El cumplimiento de los requerimientos del ENS

Question 54

RD 311/2022 ENS, auditoría de la seguridad extraordinaria, ¿cuándo se realiza? ¿qué fecha determina para la realización de la siguiente auditoría regular ordinaria?

Answer 54

• Siempre que se produzcan modificaciones sustanciales en los sistemas de información, que puedan repercutir en las medidas de seguridad requeridas.
• La fecha de cómputo para el cálculo de los 2 años

Question 55

RD 311/2022 ENS, auditoría de la seguridad, ¿por cuánto tiempo se puede extender plazo de 2 años? ¿por qué?

Answer 55

• Durante 3 meses
• Cuando concurran impedimentos de fuerza mayor no imputables a la entidad titular del sistema o sistemas de información concernidos

Question 56

RD 311/2022 ENS, auditoría de la seguridad, ¿en función de qué se realizará?

Answer 56

• De la categoría del sistema
• Del perfil de cumplimiento específico que corresponda
• De conformidad con lo regulado en la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información

Question 57

RD 311/2022 ENS, auditoría de la seguridad, ¿qué se utilizarán en su realización?

Answer 57

• Los criterios, métodos de trabajo y de conducta generalmente reconocidos
• La normalización nacional e internacional aplicables a este tipo de actividades

Question 58

RD 311/2022 ENS, informe de auditoría, ¿sobre qué deberá dictaminar?

Answer 58

• Sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados.

Question 59

RD 311/2022 ENS, informe de auditoría, ¿qué deberá incluir?

Answer 59

• Los criterios metodológicos de auditoría utilizados
• El alcance y el objetivo de la auditoría
• Los datos, hechos y observaciones en que se basen las conclusiones formuladas
  Todo ello de conformidad con la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información

Question 60

RD 311/2022 ENS, informe de auditoría, ¿a quiénes se presentarán?

Answer 60

• Al responsable del sistema
• Al responsable de la seguridad. –> Presentará sus conclusiones al responsable del sistema

Question 61

RD 311/2022 ENS, sistemas de categoría ALTA, visto el dictamen de auditoría y atendiendo a una eventual gravedad de las deficiencias encontradas, el responsable del sistema, ¿qué podrá suspender temporalmente? ¿hasta cuándo?

Answer 61

• El tratamiento de informaciones, la prestación de servicios o la total operación del sistema
• Hasta su adecuada subsanación o mitigación

Question 62

RD 311/2022 ENS, informes de auditoría, ¿por quiénes podrán ser requeridos?

Answer 62

• Por los responsables de cada organización, con competencias sobre seguridad de las tecnologías de la información
• Por el CCN

Question 63

RD 311/2022 ENS, sistemas de categoría básica, ¿necesitarán realizar una auditoría? ¿por quién será realizada?

Answer 63

• No, bastará una autoevaluación
• Por el mismo personal que administra el sistema de información o en quien este delegue.

Question 64

RD 311/2022 ENS, sistemas de categoría media o alta, ¿sobre qué dictaminará el informe de auditoría?

Answer 64

Sobre el grado de cumplimiento de este real decreto e identificando los hallazgos de conformidad y no conformidad.

Question 65

RD 311/2022 ENS, equipo auditor, ¿por quién estará compuesto?

Answer 65

• El auditor jefe
• Auditores
• Expertos técnicos.

Question 66

RD 311/2022 ENS, equipo auditor, ¿por quién estará dirigido?

Answer 66

Por un auditor jefe, también llamado «líder» del equipo auditor.

Question 67

RD 311/2022 ENS, equipo auditor, ¿cuáles son las funciones del auditor jefe?

Answer 67

• Supervisará el proceso de auditoría
• Garantizará la exactitud de los hallazgos y recomendaciones mencionados en * Preservará las evidencias de la auditoría.

Question 68

¿Cuál es la guía CCN que indica cómo realizar una auditoría en base al ENS?

Answer 68

Guía CCN-STIC-802 Guía de Auditoría del Esquema Nacional de Seguridad

Question 69

¿Cuál es la herramienta de auditoría de cumplimiento con el ENS en sistemas Windows y Linux CentOS? ¿qué analiza?

Answer 69

• CLARA
• Las características de seguridad técnicas definidas a través del ENS en el ámbito de la Administración electrónica.