BIIT12 - Auditoría, COBIT, ENS, ISO 27000 Flashcards

1
Q

Auditoría, ¿qué es?

A

Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Auditoría, ¿quién la realiza?

A

El auditor

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Auditoría, ¿hay alguna característica común en todos los auditores?

A

La independencia

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Auditoría, tipos de auditores (norma ISO 27000)

A
  • Auditor de 1ª parte –> Auditor interno
  • Auditor de 2ª parte –> Auditor de cliente
  • Auditor de 3ª parte –> Auditor independiente
    La organización tiene la intención de lograr la certificación.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Fases de una auditoría

A
  • Toma de contacto
  • Desarrollo de la auditoría
  • Generar el informe de auditoría
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Auditoría vs consultoría

A
  • Auditoría: se centra en señalar si las cosas están bien o no y ofrece recomendaciones sobre lo QUE habría que mejorar
  • Consultoría: indicaría CÓMO hacer las cosas para que estén bien y CÓMO llevar a cabo las mejoras
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

¿Qué es la auditoría informática?

A

Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado
* salvaguarda los activos
* mantiene la integridad de los datos
* lleva a cabo los fines de la organización
* utiliza eficientemente los recursos

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Auditoría informática, ¿quién la promueve?

A

EDPAA (Electronic Data Processing Auditors Association)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Funciones de la auditoría informática

A
  • Velar por la eficiencia y eficacia del sistema (auditoría interna)
  • Comprobar el cumplimiento de normas y estándares (auditoría externa)
  • Asegurar la calidad de los sistemas de información
  • Supervisar los mecanismos de control interno para proteger recursos informáticos humanos y materiales
  • Comprobar la seguridad de los sistemas de información (propiedades ACID)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

¿Qué es control (según la ISO 27000)?

A

Políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Tipos de control

A

1ª clasificación
* Desarrollo –> Comprueba que el resultado obtenido concuerda con las especificaciones.
* Proceso –> Asegura que la explotación se realiza con las versiones adecuadas de los programas y de los datos.
* Continuación –> Determina que se evita la pérdida o corrupción de información, efectuando las salvaguardas y recuperaciones necesarias

2ª clasificación
* Detectivos –> Detecta la aparición de un riesgo, error, omisión o acto deliberado.
* Correctivos –> Corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas.
* Preventivos –> Evitan que se produzca un riesgo, error, omisión o acto deliberado.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

COBIT, ¿qué significan las siglas? ¿quién la ha desarrollado?

A
  • Control OBjetives for Information and related Technologies
  • ISACA (Information System Audit & Control Association)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

¿Qué aporta COBIT?

A

Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

COBIT 5, ¿de qué se compone?

A
  • 5 principios
  • 7 facilitadores (“enablers”)
  • 37 procesos
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

COBIT 5, ¿cuáles son los 5 principios?

A
  1. Satisfacer las necesidades de los interesados (accionistas).
  2. Cubrir la organización de forma integral.
  3. Aplicar un único marco de trabajo integrado.
  4. Permitir una aproximación holística.
  5. Separar la Gestión del Gobierno.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

COBIT 5, ¿cuáles son los 7 facilitadores?

A
  1. Principios, políticas y marcos.
  2. Procesos.
  3. Estructura organizacional.
  4. Cultura, ética y comportamiento.
  5. Información.
  6. Servicios, infraestructura y aplicaciones.
  7. Personas, habilidades y competencias.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

COBIT 5, ¿qué son los procesos?

A

Conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

COBIT 5, categorías de procesos

A
  • Procesos de gestión
  • Procesos orientados al gobierno de las TI
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

COBIT 5, ¿cómo se estructuran los procesos?

A

En 5 dominios

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

COBIT 5, ¿cuáles son los 5 dominios de los procesos?

A
  1. Planificación y organización.
  2. Adquisición e implementación.
  3. Soporte y servicio.
  4. Monitorización.
  5. Evaluar, dirigir (orientar) y supervisar.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

COBIT 5, ¿cómo se mide la madurez de los procesos?

A

ISO/IEC 15504 SPICE (Software Process Improvement Capability Determination).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

COBIT 2019, focus areas (áreas de interés)

A
  • SME (Small and Medium Enterprises) –> Pymes
  • Seguridad
  • Riesgos
  • DevOps –> Integración continua entre los departamentos de desarrollo y operación
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

COBIT 2019, pilares

A
  • 9 Principios –> Provienen del concepto de Gobernanza de IT
  • 7 Componentes
  • COBIT Core Model (Modelo Base de COBIT)
    - 40 Objetivos de gobierno (procesos)
    - 5 dominios
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

COBIT 2019, ¿cuáles son los 2 ámbitos de los principios?

A
  • Sistema de Gobierno: se ocupa de lo necesario para administrar la información y la tecnología corporativas
  • Marco de Gobierno: se centra en la construcción de un Sistema de Gobierno
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

COBIT 2019, sistema de Gobierno, ¿cuáles son los 6 principios?

A
  1. Proporcionar valor a los interesados.
  2. Permitir una aproximación holística.
    El sistema de gobierno está formado por una serie de Componentes (“agentes facilitadores” o “habilitadores”).
  3. Sistema de gobierno dinámico.
  4. Separar la Gestión del Gobierno.
  5. Adaptarse a las necesidades de la organización.
  6. Sistema de gobierno para el conjunto de la organización.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

COBIT 2019, marco de Gobierno, ¿cuáles son los 3 principios?

A
  1. Modelo conceptual.
  2. Abierto y flexible.
  3. En línea con estándares.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

COBIT 2019, ¿qué son los componentes?

A
  • Factores que, de forma individual o colectiva, contribuyen a las buenas prácticas del sistema de gobierno de las organizaciones a través de IT.
  • Antes denominados agentes facilitadores en COBITv5
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
28
Q

COBIT 2019, ¿cuáles son los 7 componentes?

A
  1. Principios, políticas y procedimientos.
  2. Procesos.
  3. Estructuras organizacionales.–> matriz RACI.
  4. Cultura, ética y comportamiento.
  5. Información.
  6. Servicios, infraestructura y aplicaciones.
  7. Personas, habilidades y competencias.
29
Q

COBIT 2019, ¿qué son los procesos (objetivo de gobierno o gestión)?

A

Conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información.

30
Q

COBIT 2019, categorías de los procesos (objetivo de gobierno o gestión)

A
  • Procesos de gestión
  • Procesos orientados al gobierno
31
Q

COBIT 2019, ¿cómo se estructuran los procesos?

A

CobiT Core Model (Modelo Base de COBIT) reconoce
* 5 dominios
* 40 procesos

32
Q

COBIT 2019, CobiT Core Model, ¿cuáles son los 5 dominios?

A
  1. APO (Align, Plan and Organize) –> Alinear, Planificar y Organizar
  2. BAI (Build, Acquire and Implement) –> Construir, Adquirir e Implementar
  3. DSS (Deliver, Service and Support) –> Entrega, Soporte y Servicio
  4. MEA (Monitor, Evaluate and Assess) –> Monitorizar, Evaluar y Valorar
  5. EDM (Evaluate, Direct and Monitor) –> Evaluar, Dirigir (orientar) y Supervisar
33
Q

COBIT 2019, pasos para la creación de un sistema de Gobierno

A
  1. Entender el contexto y la estrategia empresarial.
  2. Determinar el alcance inicial del sistema de gobierno.
  3. Refinar el alcance del sistema de gobierno.
  4. Concluir el diseño del sistema de gobierno.
34
Q

COBIT 2019, 11 factores de diseño que se tienen en cuenta durante los 4 pasos para crear un sistema de Gobierno

A
  1. Estrategia empresarial
  2. Objetivos de la organización
  3. Perfil de riesgo
  4. Cuestiones relacionadas con IT –> evaluar los riesgos asociados a las IT
  5. Amenazas
  6. Requerimientos normativos
  7. Rol de IT
  8. Modelo de aprovisionamiento para las TI (Outsourcing, Cloud, Insourced, híbrido)
  9. Métodos de implementación de IT (Agile, DevOps, tradicional, híbrido)
  10. Estrategia de adopción tecnológica
  11. Tamaño de la organización (grande o PYME)
35
Q

COBIT 2019, ¿cómo se mide la madurez de los procesos?

A

CPM (COBIT Performance Management)

36
Q

COBIT 2019, CPM, ¿qué permite valorar? ¿con qué es compatible?

A
  • Permite valorar
    - la capacidad de los procesos (individualmente)
    - la madurez (de la organización en conjunto)
  • Compatible con CMMI 2.0
37
Q

COBIT 2019, CPM ¿cuántos niveles de capacidad establece?

A

Establece una división en 6 niveles de capacidad enumerados del 0 al 5

38
Q

COBIT 5 y 2019, ¿qué se emplea para definir los roles y responsabilidades ?

A

Se emplea la matriz RACI (Responsible, Accountable, Consulted e Informed)

39
Q

COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el responsible (responsable)?

A

Se encarga de la ejecución de algún trabajo.

40
Q

COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el accountable (aprobador)?

A

Es el responsable final de un trabajo (dar el visto bueno de un trabajo), la persona que rinde cuentas

41
Q

COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el consulted (consultado)?

A

Posee información o puede ayudar a finalizar la tarea

42
Q

COBIT 5 y 2019, matriz RACI, ¿de qué se encarga el informed (informado)?

A

Es aquel que tiene que ser informado de los avances y los resultados del trabajo

43
Q

Técnicas y Herramientas de Auditoría asistidas por ordenador

A

CAATs (Computer Asisted Audit Techniques) o TAAOs (técnicas de Auditoría Asistida por Ordenador)

44
Q

¿Qué es NASP? ¿quién es el responsable? ¿qué reconoce?

A
  • Normas Auditoría del Sector Público
  • IGAE
  • La “evidencia informática”
45
Q

Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados y no automatizados, ¿a qué se someterán a partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos? ¿cada cuánto tiempo?

A
  • A una auditoría interna o externa
  • Al menos cada 2 años
46
Q

Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, ¿cuándo debe de realizarse una auditoría con carácter extraordinario? ¿inicia el cómputo de 2 años?

A
  • Siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas
47
Q

Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, informes de auditoría ¿qué deberá tener?

A
  • Dictaminar sobre la adecuación de las medidas y controles a la ley y su desarrollo reglamentario
  • Identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
  • Incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
48
Q

Real Decreto 1720/2007, medidas de seguridad aplicables a los ficheros y tratamientos automatizados, informes de auditoría ¿por quién serán analizados? ¿para quién quedarán a disposición?

A
  • Serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas
  • Quedarán a disposición de la AEPD o, en su caso, de las autoridades de control de las CCAA.
49
Q

LO 3/2018 de PDPGDD, planes de auditoría preventiva, ¿quién puede acordar su realización? ¿cuál es su objetivo?

A
  • La Presidencia de la Agencia Española de Protección de Datos
  • Tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y de la presente ley orgánica, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría.
50
Q

LO 3/2018 de PDPGDD, planes de auditoría preventiva, ¿quién podrá dictar las directrices generales o específicas para un concreto responsable o encargado de los tratamientos precisos?

A

La Presidencia de la Agencia Española de Protección de Datos

51
Q

LO 3/2018 de PDPGDD, planes de auditoría preventiva, directrices generales o específicas, ¿qué se quiere asegurar? ¿de qué organismos puede pedir colaboración para elaborarlas? ¿para quién son de obligado cumplimiento?

A
  • La plena adaptación del sector o responsable al Reglamento (UE) 2016/679 y a la presente ley orgánica.
  • Los organismos de supervisión de los códigos de conducta y de resolución extrajudicial de conflictos
  • Para el sector o responsable al que se refiera el plan de auditoría.
52
Q

RD 311/2022 ENS, ¿qué es la auditoría de la seguridad?

A

Proceso sistemático, independiente y documentado que persigue la obtención de evidencias objetivas y su evaluación objetiva para determinar en qué medida se cumplen los criterios de auditoría en relación con la idoneidad de los controles de seguridad adoptados, el cumplimiento de la política de seguridad, las normas y los procedimientos operativos establecidos, y detectando desviaciones a los antedichos criterios

53
Q

RD 311/2022 ENS, auditoría de la seguridad ordinaria, ¿cuándo se realiza de forma ordinaria? ¿qué debe verificar?

A
  • Al menos cada 2 años
  • El cumplimiento de los requerimientos del ENS
54
Q

RD 311/2022 ENS, auditoría de la seguridad extraordinaria, ¿cuándo se realiza? ¿qué fecha determina para la realización de la siguiente auditoría regular ordinaria?

A
  • Siempre que se produzcan modificaciones sustanciales en los sistemas de información, que puedan repercutir en las medidas de seguridad requeridas.
  • La fecha de cómputo para el cálculo de los 2 años
55
Q

RD 311/2022 ENS, auditoría de la seguridad, ¿por cuánto tiempo se puede extender plazo de 2 años? ¿por qué?

A
  • Durante 3 meses
  • Cuando concurran impedimentos de fuerza mayor no imputables a la entidad titular del sistema o sistemas de información concernidos
56
Q

RD 311/2022 ENS, auditoría de la seguridad, ¿en función de qué se realizará?

A
  • De la categoría del sistema
  • Del perfil de cumplimiento específico que corresponda
  • De conformidad con lo regulado en la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información
57
Q

RD 311/2022 ENS, auditoría de la seguridad, ¿qué se utilizarán en su realización?

A
  • Los criterios, métodos de trabajo y de conducta generalmente reconocidos
  • La normalización nacional e internacional aplicables a este tipo de actividades
58
Q

RD 311/2022 ENS, informe de auditoría, ¿sobre qué deberá dictaminar?

A
  • Sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados.
59
Q

RD 311/2022 ENS, informe de auditoría, ¿qué deberá incluir?

A
  • Los criterios metodológicos de auditoría utilizados
  • El alcance y el objetivo de la auditoría
  • Los datos, hechos y observaciones en que se basen las conclusiones formuladas
    Todo ello de conformidad con la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información
60
Q

RD 311/2022 ENS, informe de auditoría, ¿a quiénes se presentarán?

A
  • Al responsable del sistema
  • Al responsable de la seguridad. –> Presentará sus conclusiones al responsable del sistema
61
Q

RD 311/2022 ENS, sistemas de categoría ALTA, visto el dictamen de auditoría y atendiendo a una eventual gravedad de las deficiencias encontradas, el responsable del sistema, ¿qué podrá suspender temporalmente? ¿hasta cuándo?

A
  • El tratamiento de informaciones, la prestación de servicios o la total operación del sistema
  • Hasta su adecuada subsanación o mitigación
62
Q

RD 311/2022 ENS, informes de auditoría, ¿por quiénes podrán ser requeridos?

A
  • Por los responsables de cada organización, con competencias sobre seguridad de las tecnologías de la información
  • Por el CCN
63
Q

RD 311/2022 ENS, sistemas de categoría básica, ¿necesitarán realizar una auditoría? ¿por quién será realizada?

A
  • No, bastará una autoevaluación
  • Por el mismo personal que administra el sistema de información o en quien este delegue.
64
Q

RD 311/2022 ENS, sistemas de categoría media o alta, ¿sobre qué dictaminará el informe de auditoría?

A

Sobre el grado de cumplimiento de este real decreto e identificando los hallazgos de conformidad y no conformidad.

65
Q

RD 311/2022 ENS, equipo auditor, ¿por quién estará compuesto?

A
  • El auditor jefe
  • Auditores
  • Expertos técnicos.
66
Q

RD 311/2022 ENS, equipo auditor, ¿por quién estará dirigido?

A

Por un auditor jefe, también llamado «líder» del equipo auditor.

67
Q

RD 311/2022 ENS, equipo auditor, ¿cuáles son las funciones del auditor jefe?

A
  • Supervisará el proceso de auditoría
  • Garantizará la exactitud de los hallazgos y recomendaciones mencionados en * Preservará las evidencias de la auditoría.
68
Q

¿Cuál es la guía CCN que indica cómo realizar una auditoría en base al ENS?

A

Guía CCN-STIC-802 Guía de Auditoría del Esquema Nacional de Seguridad

69
Q

¿Cuál es la herramienta de auditoría de cumplimiento con el ENS en sistemas Windows y Linux CentOS? ¿qué analiza?

A
  • CLARA
  • Las características de seguridad técnicas definidas a través del ENS en el ámbito de la Administración electrónica.