BIIT12 - Auditoría, COBIT, ENS, ISO 27000 Flashcards
Auditoría, ¿qué es?
Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría
Auditoría, ¿quién la realiza?
El auditor
Auditoría, ¿hay alguna característica común en todos los auditores?
La independencia
Auditoría, tipos de auditores (norma ISO 27000)
- Auditor de 1ª parte –> Auditor interno
- Auditor de 2ª parte –> Auditor de cliente
- Auditor de 3ª parte –> Auditor independiente
La organización tiene la intención de lograr la certificación.
Fases de una auditoría
- Toma de contacto
- Desarrollo de la auditoría
- Generar el informe de auditoría
Auditoría vs consultoría
- Auditoría: se centra en señalar si las cosas están bien o no y ofrece recomendaciones sobre lo QUE habría que mejorar
- Consultoría: indicaría CÓMO hacer las cosas para que estén bien y CÓMO llevar a cabo las mejoras
¿Qué es la auditoría informática?
Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado
* salvaguarda los activos
* mantiene la integridad de los datos
* lleva a cabo los fines de la organización
* utiliza eficientemente los recursos
Auditoría informática, ¿quién la promueve?
EDPAA (Electronic Data Processing Auditors Association)
Funciones de la auditoría informática
- Velar por la eficiencia y eficacia del sistema (auditoría interna)
- Comprobar el cumplimiento de normas y estándares (auditoría externa)
- Asegurar la calidad de los sistemas de información
- Supervisar los mecanismos de control interno para proteger recursos informáticos humanos y materiales
- Comprobar la seguridad de los sistemas de información (propiedades ACID)
¿Qué es control (según la ISO 27000)?
Políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido
Tipos de control
1ª clasificación
* Desarrollo –> Comprueba que el resultado obtenido concuerda con las especificaciones.
* Proceso –> Asegura que la explotación se realiza con las versiones adecuadas de los programas y de los datos.
* Continuación –> Determina que se evita la pérdida o corrupción de información, efectuando las salvaguardas y recuperaciones necesarias
2ª clasificación
* Detectivos –> Detecta la aparición de un riesgo, error, omisión o acto deliberado.
* Correctivos –> Corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas.
* Preventivos –> Evitan que se produzca un riesgo, error, omisión o acto deliberado.
COBIT, ¿qué significan las siglas? ¿quién la ha desarrollado?
- Control OBjetives for Information and related Technologies
- ISACA (Information System Audit & Control Association)
¿Qué aporta COBIT?
Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización
COBIT 5, ¿de qué se compone?
- 5 principios
- 7 facilitadores (“enablers”)
- 37 procesos
COBIT 5, ¿cuáles son los 5 principios?
- Satisfacer las necesidades de los interesados (accionistas).
- Cubrir la organización de forma integral.
- Aplicar un único marco de trabajo integrado.
- Permitir una aproximación holística.
- Separar la Gestión del Gobierno.
COBIT 5, ¿cuáles son los 7 facilitadores?
- Principios, políticas y marcos.
- Procesos.
- Estructura organizacional.
- Cultura, ética y comportamiento.
- Información.
- Servicios, infraestructura y aplicaciones.
- Personas, habilidades y competencias.
COBIT 5, ¿qué son los procesos?
Conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información.
COBIT 5, categorías de procesos
- Procesos de gestión
- Procesos orientados al gobierno de las TI
COBIT 5, ¿cómo se estructuran los procesos?
En 5 dominios
COBIT 5, ¿cuáles son los 5 dominios de los procesos?
- Planificación y organización.
- Adquisición e implementación.
- Soporte y servicio.
- Monitorización.
- Evaluar, dirigir (orientar) y supervisar.
COBIT 5, ¿cómo se mide la madurez de los procesos?
ISO/IEC 15504 SPICE (Software Process Improvement Capability Determination).
COBIT 2019, focus areas (áreas de interés)
- SME (Small and Medium Enterprises) –> Pymes
- Seguridad
- Riesgos
- DevOps –> Integración continua entre los departamentos de desarrollo y operación
COBIT 2019, pilares
- 9 Principios –> Provienen del concepto de Gobernanza de IT
- 7 Componentes
- COBIT Core Model (Modelo Base de COBIT)
- 40 Objetivos de gobierno (procesos)
- 5 dominios
COBIT 2019, ¿cuáles son los 2 ámbitos de los principios?
- Sistema de Gobierno: se ocupa de lo necesario para administrar la información y la tecnología corporativas
- Marco de Gobierno: se centra en la construcción de un Sistema de Gobierno
COBIT 2019, sistema de Gobierno, ¿cuáles son los 6 principios?
- Proporcionar valor a los interesados.
- Permitir una aproximación holística.
El sistema de gobierno está formado por una serie de Componentes (“agentes facilitadores” o “habilitadores”). - Sistema de gobierno dinámico.
- Separar la Gestión del Gobierno.
- Adaptarse a las necesidades de la organización.
- Sistema de gobierno para el conjunto de la organización.
COBIT 2019, marco de Gobierno, ¿cuáles son los 3 principios?
- Modelo conceptual.
- Abierto y flexible.
- En línea con estándares.
COBIT 2019, ¿qué son los componentes?
- Factores que, de forma individual o colectiva, contribuyen a las buenas prácticas del sistema de gobierno de las organizaciones a través de IT.
- Antes denominados agentes facilitadores en COBITv5