Erhalten Sie Zugang zu diesem und mehr als 300000 Büchern ab EUR 5,99 monatlich.
- Herausgeber: IC Editorial
- Kategorie: Wissenschaft und neue Technologien
- Sprache: Spanisch
Libro especializado que se ajusta al desarrollo de la cualificación profesional y adquisición del certificado de profesionalidad "IFCT0109 - SEGURIDAD INFORMÁTICA". Manual imprescindible para la formación y la capacitación, que se basa en los principios de la cualificación y dinamización del conocimiento, como premisas para la mejora de la empleabilidad y eficacia para el desempeño del trabajo.
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 278
Veröffentlichungsjahr: 2025
Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:
Ähnliche
Auditoría deseguridad informáticaIFCT0109
Ester Chicano Tejada
iceditorial
Auditoría deseguridad informática. IFCT0109
© Ester Chicano Tejada
1ª Edición
© IC Editorial, 2025
Editado por: IC Editorial
c/ Cueva de Viera, 2, Local 3
Centro Negocios CADI
29200 Antequera (Málaga)
Teléfono: 952 70 60 04
Fax: 952 84 55 03
Correo electrónico: [email protected]
Internet: www.iceditorial.com
IC Editorial ha puesto el máximo empeño en ofrecer una información completa y precisa. Sin embargo, no asume ninguna responsabilidad derivada de su uso, ni tampoco la violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. Mediante esta publicación se pretende proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta no supone para IC Editorial ninguna forma de asistencia legal, administrativa ni de ningún otro tipo.
Reservados todos los derechos de publicación en cualquier idioma.
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos) si necesita fotocopiar o escanear algún fragmento de esta obra (www.cedro.org).
Según el Código Penal, el contenido está protegido por la ley vigente que establece penas de prisión y/o multas a quienes intencionadamente reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica.
ISBN: 978-84-1184-797-1
Presentación del manual
El Certificado de Profesionalidad es el instrumento de acreditación, en el ámbito de la Administración laboral, de las cualificaciones profesionales del Catálogo Nacional de Cualificaciones Profesionales adquiridas a través de procesos formativos o del proceso de reconocimiento de la experiencia laboral y de vías no formales de formación.
El elemento mínimo acreditable es la Unidad de Competencia. La suma de las acreditaciones de las unidades de competencia conforma la acreditación de la competencia general.
Una Unidad de Competencia se define como una agrupación de tareas productivas específica que realiza el profesional. Las diferentes unidades de competencia de un certificado de profesionalidad conforman la Competencia General, definiendo el conjunto de conocimientos y capacidades que permiten el ejercicio de una actividad profesional determinada.
Cada Unidad de Competencia lleva asociado un Módulo Formativo, donde se describe la formación necesaria para adquirir esa Unidad de Competencia, pudiendo dividirse en Unidades Formativas.
El presente manual desarrolla el Módulo Formativo MF0487_3: Auditoría de seguridad informática,
asociado a la unidad de competencia UC0487_3: Auditar redes de comunicación y sistemas informáticos,
del Certificado de Profesionalidad Seguridad informática.
Índice
Portada
Título
Copyright
Presentación del manual
Índice
Capítulo 1Criterios generales comúnmente aceptados sobre auditoría informática
1. Introducción
2. Código deontológico de la función de auditoría
3. Relación de los distintos tipos de auditoría en el marco de los sistemas de la información
4. Criterios a seguir para la composición del equipo auditor
5. Tipos de pruebas a realizar en el marco de la auditoría. Pruebas sustantivas y pruebas de cumplimiento
6. Tipos de muestreo a aplicar durante el proceso de auditoría
7. Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools)
8. Explicación de los requerimientos que deben cumplir los hallazgos de auditoría
9. Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
10. Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas
11. Resumen
Ejercicios de repaso y autoevaluación
Capítulo 2Aplicación de la normativa de protección de datos de carácter personal
1. Introducción
2. Principios de protección de datos de carácter personal
3. Normativa europea recogida en la directiva 95/46/CE (Reglamento Europeo de Protección de Datos)
4. Normativa nacional recogida en el Código penal, Ley Orgánica para el Tratamiento Automatizado de Datos (LORTAD), Ley orgánica de Protección de Datos (LOPD)/Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (R. D. 1720/2007)
5. Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización
6. Explicación de las medidas de seguridad para la protección de los datos de carácter personal recogidas en el Real Decreto 1720/2007 (RGPD y LOPDGDD)
7. Guía para la realización de la auditoría bienal obligatoria de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD)/Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
8. Resumen
Ejercicios de repaso y autoevaluación
Capítulo 3Análisis de riesgos de los sistemas de información
1. Introducción
2. Introducción al análisis de riesgos
3. Principales tipos de vulnerabilidades, fallos de programa, programas maliciosos y su actualización permanente, así como criterios de programación segura
4. Particularidades de los distintos tipos de código malicioso (malware)
5. Principales elementos del análisis de riesgos y sus modelos de relaciones
6. Metodologías cualitativas y cuantitativas de análisis de riesgos
7. Identificación de los activos involucrados en el análisis de riesgos y su valoración
8. Identificación de las amenazas que pueden afectar a los activos identificados previamente
9. Análisis e identificación de las vulnerabilidades existentes en los sistemas de información que permitirían la materialización de amenazas, incluyendo análisis local, análisis remoto de caja blanca y de caja negra
10. Optimización del proceso de auditoría y contraste de vulnerabilidades e informe de auditoría
11. Identificación de las medidas de salvaguarda existentes en el momento de la realización del análisis de riesgos y su efecto sobre las vulnerabilidades y amenazas
12. Establecimiento de los escenarios de riesgo entendidos como pares activo-amenaza susceptibles de materializarse
13. Determinación de la probabilidad e impacto de materialización de los escenarios
14. Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza
15. Determinación por parte de la organización de los criterios de evaluación del riesgo, en función de los cuales se determina si un riesgo es aceptable o no
16. Relación de las distintas alternativas de gestión de riesgos
17. Guía para la elaboración del plan de gestión de riesgos
18. Exposición de la metodología NIST SP 800-30
19. Exposición de la metodología Magerit versión 2 (Magerit versión 3)
20. Resumen
Ejercicios de repaso y autoevaluación
Capítulo 4Uso de herramientas para la auditoría de sistemas
1. Introducción
2. Herramientas del sistema operativo tipo Ping, Traceroute, etc.
3. Herramientas de análisis de red, puertos y servicios tipo Nmap, Netcat, NBTScan, etc.
4. Herramientas de análisis de vulnerabilidades tipo Nessus
5. Analizadores de protocolos tipo WireShark, DSniff, Cain & Abel, etc.
6. Analizadores de páginas web tipo Acunetix, Dirb, Parosproxy, etc.
7. Ataques de diccionario y fuerza bruta tipo Brutus, John the Ripper, etc.
8. Resumen
Ejercicios de repaso y autoevaluación
Capítulo 5Descripción de los aspectos sobre cortafuegos en auditorías de sistemas informáticos
1. Introducción
2. Principios generales de cortafuegos
3. Componentes de un cortafuegos de red
4. Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad
5. Arquitecturas de cortafuegos de red
6. Otras arquitecturas de cortafuegos de red
7. Resumen
Ejercicios de repaso y autoevaluación
Capítulo 6Guías para la ejecución de las distintas fases de la auditoría de sistema de información
1. Introducción
2. Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada
3. Guía para la elaboración del plan de auditoría
4. Guía para las pruebas de auditoría
5. Guía para la elaboración del informe de auditoría
6. Resumen
Ejercicios de repaso y autoevaluación
Bibliografía
Capítulo 1
Criterios generales comúnmente aceptados sobre auditoría informática
Contenido
1. Introducción
2. Código deontológico de la función de auditoría
3. Relación de los distintos tipos de auditoría en el marco de los sistemas de la información
4. Criterios a seguir para la composición del equipo auditor
5. Tipos de pruebas a realizar en el marco de la auditoría. Pruebas sustantivas y pruebas de cumplimiento
6. Tipos de muestreo a aplicar durante el proceso de auditoría
7. Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools)
8. Explicación de los requerimientos que deben cumplir los hallazgos de auditoría
9. Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
10. Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas
11. Resumen
1. Introducción
La complejidad y evolución de los sistemas de información hace necesaria la aparición de profesionales informáticos que se encarguen de evaluar su correcto funcionamiento y detectar aquellos puntos débiles que requieran la adopción de medidas correctivas y preventivas para evitar pérdidas de información relevante que podrían conllevar costes importantes a las organizaciones.
Por este motivo, la figura del auditor informático se hace cada vez más presente en las organizaciones: un profesional independiente que evalúe la eficiencia de sus sistemas informáticos y que sea capaz de formular recomendaciones y propuestas de mejora con la finalidad de mantener la integridad y exactitud de los datos y así garantizar un servicio correcto dentro de unos estándares de calidad.
En este capítulo, se enumeran las características principales tanto de la actividad de la auditoría informática como de la figura del profesional auditor, además de introducir las principales tareas que se deben ejecutar para que la auditoría cumpla con los objetivos previstos.
2. Código deontológico de la función de auditoría
La auditoría es el análisis exhaustivo de los sistemas informáticos con la finalidad de detectar, identificar y describir las distintas vulnerabilidades que puedan presentarse.
En el momento de desempeñar las funciones de auditoría en un sistema de información, los auditores deben cumplir una serie de normas éticas y un código deontológico para cumplir con profesionalidad y rigidez sus objetivos.
El código deontológico consiste en una serie de preceptos en los que se determinan los derechos exigibles a ciertos profesionales cuando desempeñan su actividad con el fin de ajustar los comportamientos profesionales a unos principios éticos y morales adecuados.
En el caso de la auditoría informática, existe una organización internacional que diseña los estándares de auditoría y control de sistemas de información aceptados por la comunidad general de auditoría.
Esta organización, llamada ISACA (Information Systems Audit and Control Association), expide además el certificado CISA (Certified Information Systems Auditor) a quien cumpla los requisitos estipulados en cuanto a normas, código ético, procedimientos de control, etc.
2.1. Normas profesionales de la ISACA
Los miembros que pertenecen a ISACA y los titulares de la certificación CISA deben comprometerse a comprender y cumplir con las Guías y Estándares profesionales de ISACA, además de adherirse a su Código de Ética Profesional.
Estas Guías y Estándares Profesionales de ISACA incluyen una serie de normas de auditoría, cuyo número es indeterminado, ya que pueden ser revisadas y actualizadas con el tiempo. Algunas de las más destacables son las siguientes:
1. El auditor de los sistemas de información debe ser independiente del ente auditado, tanto en actitud como en apariencia.
2. Para que la auditoría se desarrolle de un modo objetivo, la función de auditoría debe ser independiente del área que se pretende auditar.
3. El auditor debe cumplir con los preceptos del Código de Ética Profesional de la ISACA.
El Código de Ética Profesional de la ISACA está formado por una serie de directivas de actuación profesional y personal que deben seguir todos los miembros que forman parte de la asociación.
4. El auditor debe tener los suficientes conocimientos técnicos y destrezas para desempeñar correctamente las funciones de auditoría encomendadas.
5. El auditor de sistemas de información debe reciclar continuamente sus conocimientos para mantener en un nivel adecuado su competencia técnica.
6. Las auditorías de sistemas de información deben ser planificadas y supervisadas con suficiente rigor para mantener la seguridad de que se cumplen los objetivos de auditoría establecidos y las normas estipuladas.
7. En el proceso de auditoría, el auditor debe respaldarse necesariamente con evidencias que confirmen sus hallazgos, resultados y conclusiones.
8. Las tareas de auditoría deben llevarse a cabo son sumo cuidado profesional, cumpliendo las normativas de auditoría aplicables.
En la actualidad, ISACA cuenta con más de 110.000 miembros de más de 160 países, lo que apoya su seriedad y profesionalidad.
9. Durante la realización del informe, el auditor debe expresar con claridad los objetivos de la auditoría, su duración (de fecha a fecha) y las tareas realizadas en todo el proceso.
10. En el mismo informe, el auditor también deberá mencionar las observaciones necesarias para una mejor comprensión y las conclusiones obtenidas con las distintas tareas realizadas.
En la imagen siguiente, se observa una descripción básica de cada una de las normas que forman parte de la normativa profesional de la ISACA.
2.2. Código de Ética de la ISACA
Como ya se ha mencionado, el Código de Ética de ISACA establece una serie de preceptos con el fin de guiar la conducta profesional de los miembros de la organización y de los poseedores de su certificación.
Más concretamente, este código de ética se define en ocho lineamientos:
1. Apoyar la implementación y el cumplimiento de los estándares, procedimientos, normas y controles de los sistemas de información y de la tecnología de la empresa.
2. Ejecutar las tareas con objetividad, diligencia y rigor profesional, siguiendo los estándares marcados en la profesión.
3. Actuar en interés de las partes interesadas (empleadores, clientes, público en general, etc.) de un modo diligente, leal y honesto, sin contribuir en actividades ilícitas o incorrectas que puedan desacreditar la profesión o a la asociación.
4. Mantener la confidencialidad de la información que se obtenga en el desarrollo de la auditoría, salvo que sea exigida por una autoridad legal. La información no se podrá utilizar en beneficio propio ni cederla a terceros inapropiados.
5. Mantener la aptitud y capacidad en los campos relacionados con la auditoría y los sistemas de información mediante la realización de actividades que permitan actualizar y mejorar las habilidades, competencias y conocimientos necesarios.
6. Abstenerse de cualquier conducta que pueda perjudicar la reputación de la profesión o de ISACA. Asimismo, hay que actuar siempre cumpliendo con los más altos estándares éticos para mantener la confianza del público.
7. Cumplir con todas las leyes y regulaciones pertinentes, incluidas aquellas que estén relacionadas con la profesión y las responsabilidades en los sistemas de información y auditoría.
8. Apoyar la educación profesional de las partes interesadas (gerencia, clientes, etc.) para una mejor comprensión de las tareas de auditoría, de la gestión de los sistemas de información y de la tecnología de la organización.
Importante
El incumplimiento del Código de Ética de ISACA puede desembocar en una investigación de las actuaciones de la empresa por parte de ISACA e, incluso, en la adopción de medidas disciplinarias.
2.3. Código deontológico de la auditoría
Además de las Normas Profesionales y el Código de Ética propuestos por ISACA, hay también un código deontológico que deben tener en cuenta todos los profesionales que quieran dedicarse a la actividad de auditoría informática.
Como ya se ha mencionado, el código deontológico está formado por una serie de principios morales elaborados que sirvan de guía a los auditores informáticos en el momento de ejercer su profesión, teniendo en cuenta una ética de la informática.
Principios del código deontológico de la auditoría
El código deontológico de la auditoría está formado por una serie de principios fundamentales, descritos a continuación.
Principio de beneficio del auditado
Las tareas del auditor deben estar enfocadas a maximizar el beneficio de sus clientes sin anteponer sus intereses personales. En caso de hacer prevalecer sus intereses antes de los clientes, se considerará una conducta no ética.
Además, el auditor también deberá evitar recomendar actuaciones que no sean necesarias o que impliquen algún tipo de riesgo sin justificación para el auditado.
Principio de calidad
El auditor debe ejercer sus tareas dentro de unos estándares de calidad de modo que, en caso de no disponer de medios adecuados para realizar sus actividades convenientemente, deberá negarse a realizarlas hasta que no se garantice un mínimo de condiciones técnicas.
Si el auditor, en el momento de elaborar el informe, considera que no tiene conocimientos técnicos suficientes, deberá remitirlo a otro técnico más cualificado para mejor calidad de la auditoría.
Principio de capacidad
El auditor informático debe estar plenamente capacitado para el ejercicio de su profesión y, para ello, debe actualizar sus conocimientos de forma periódica mediante actividades de formación continua.
Nota
El auditor debe planificar su formación para que sus conocimientos se actualicen de un modo acorde con la evolución de las tecnologías de la información.
Para conocer sus necesidades de formación, el auditor deberá ser consciente en todo momento de sus aptitudes y capacidades, conociendo también sus puntos débiles con el fin de cometer menos errores en el ejercicio de sus tareas.
Principio de cautela
Las recomendaciones del auditor siempre deben estar basadas en sus conocimientos y experiencias, manteniendo al auditado siempre informado de la evolución de las tecnologías de la información y de las actuaciones que se deben llevar a cabo.
Principio de comportamiento profesional
En el momento de realizar las tareas de su profesión, el auditor siempre deberá tener en cuenta las normas tanto explícitas como implícitas, teniendo sumo cuidado en la exposición de sus opiniones.
Además, debe tener seguridad en sus actuaciones y en la exposición de sus conocimientos técnicos, trasmitiendo una imagen de precisión y exactitud a sus auditados.
Principio de concentración en el trabajo
En momentos de alto volumen de trabajo, el auditor deberá evitar que el exceso de trabajo dificulte su capacidad de concentración y precisión en sus tareas.
Por ello, deberá realizar previsiones de posibles acumulaciones de trabajo y evaluar las consecuencias de no llevar a cabo sus tareas con la precisión y profesionalidad requerida para mantener unos estándares de calidad en la auditoría.
Nota
En momentos de alta carga de trabajo, el auditor nunca deberá realizar informes y emitir conclusiones partiendo de trabajos anteriores para ahorrar esfuerzos; no solo habrá una merma de la calidad, sino que también pueden obtenerse conclusiones erróneas y, por tanto, auditorías poco válidas.
Principio de confianza
El auditor deberá dar siempre sensación de confianza al auditado mediante la transparencia en sus actuaciones. Esta confianza entre auditor y auditado se confirmará resolviendo las posibles dudas que puedan surgir en ambas partes y utilizando un lenguaje llano que mejore la comprensión y comunicación de las tareas realizadas.
Principio de criterio propio
El auditor deberá actuar siempre con criterio propio e independencia, sin permitir que su criterio dependa de otros profesionales.
En caso de haber diferencia de criterios, el auditor deberá reflejarlo en el informe, justificando y motivando con claridad su criterio.
Principio de economía
El auditor deberá delimitar específicamente el alcance y los límites de la auditoría, evitando retrasos innecesarios que puedan llevar a costes extra y protegiendo siempre los derechos económicos de los auditados.
Principio de fortalecimiento y respeto de la profesión
Los auditores deberán cuidar y proteger el valor de su profesión, manteniendo unos precios acordes con su preparación.
Deberán evitar establecer precios demasiado reducidos para no caer en términos de competencia desleal y evitar confrontaciones con otros auditores, promoviendo en todo momento el respeto entre ellos.
Principio de integridad moral
Los auditores deberán desempeñar sus tareas con una actitud honesta, leal y diligente, evitando siempre participar en actividades que puedan perjudicar a terceras personas o al auditado.
Recuerde
La ética debe estar presente siempre en la actuación profesional de los auditores informáticos, protegiendo los derechos del auditado y evitando su perjuicio derivado de la aplicación de sus conocimientos técnicos.
Además, en ningún caso deberán aprovecharse de sus conocimientos para utilizarlos en contra del auditado.
Principio de legalidad
El auditor deberá promover la preservación de la legalidad a sus auditados, no consintiendo la eliminación de dispositivos de seguridad y ni de datos relevantes para la elaboración de la auditoría.
Principio de precisión
La actuación del auditor debe realizarse siempre con precisión, no emitiendo conclusiones ni informes hasta no estar completamente convencido de su correcta elaboración.
En el momento de la exposición de las conclusiones, el auditor actuará con carácter crítico e indicando con claridad cómo se ha llevado a cabo el análisis de los datos y los motivos que han llevado a sus conclusiones.
Principio de responsabilidad
El auditor debe asumir la responsabilidad de sus actuaciones, juicios y consejos y estará obligado a hacerse cargo de los posibles daños y perjuicios que haya podido causar alguna de sus actuaciones.
Nota
El hecho de obligar a asumir responsabilidades por parte del auditor le obliga a actuar con suma cautela y seguridad para evitar juicios y conclusiones erróneas que puedan llevar a consecuencias dañinas.
Principio de secreto profesional
El auditor deberá mantener siempre la confidencialidad de los datos de los auditados, manteniendo siempre una relación de confianza entre ellos.
En ningún momento podrá difundir datos obtenidos en la realización de sus tareas a terceras personas.
Para mantener este secreto profesional, será necesaria la implantación de medidas de seguridad que garanticen la protección de la información obtenida en la auditoría.
Principio de veracidad
El auditor, en el ejercicio de su profesión, deberá asegurar en todo momento la veracidad de sus manifestaciones y opiniones, sin incumplir el secreto profesional y el respeto al auditado.
Principios del código deontológico de la auditoría
Principio del beneficio del auditado
Principio de calidad
Principio de capacidad
Principio de cautela
Principio de comportamiento profesional
Principio de concentración en el trabajo
Principio de confianza
Principio de criterio propio
Principio de economía
Principio de fortalecimiento y respeto de la profesión
Principio de integridad moral
Principio de legalidad
Principio de precisión
Principio de responsabilidad
Principio de secreto profesional
Principio de veracidad
Actividades
1. Aparte de ISACA, busque otros organismos internacionales que protejan la profesión de la auditoría informática.
2. ¿Por qué considera importante establecer unos principios éticos para los auditores informáticos? ¿Qué consecuencias podría acarrear su incumplimiento?
Aplicación práctica
En su empresa se están planteando la posibilidad de realizar una auditoría informática externa contratando personal ajeno que garantice la independencia de los análisis y resultados. El primer auditor candidato a ser contratado no ha delimitado los posibles objetivos y el alcance de la auditoría a realizar y les está ofreciendo las tareas de auditoría a unos precios demasiado reducidos en relación a los precios de mercado. ¿Contrataría a este auditor? ¿Por qué? ¿Incumple algún principio establecido dentro del Código Deontológico de la Auditoría Informática?
SOLUCIÓN
No es recomendable contratar a este auditor porque no cumple por completo con el Código Deontológico de la Auditoría informática.
En concreto, está incumpliendo los principios de economía (al no definir claramente el alcance de la auditoría) y de respeto y fortalecimiento de la profesión (al ofrecer precios demasiado reducidos respecto a los normales dentro del sector).
Siempre será más conveniente contratar a un auditor que cumpla perfectamente con los principios éticos y morales del código deontológico, que proporcione una garantía de calidad de la auditoría a realizar.
3. Relación de los distintos tipos de auditoría en el marco de los sistemas de la información
La auditoría en sí es una actividad que consiste en emitir un juicio y opinión profesional sobre el objeto o la materia analizada, indicando si se están cumpliendo los requisitos que procedan en cada temática. Esta opinión deberá fundamentarse en una serie de procedimientos que justifiquen y sirvan de soporte al análisis realizado.
En la siguiente tabla, se muestran varios tipos de auditoría, atendiendo al tipo de información que se maneja:
Clase
Objeto analizado
Finalidad
Financiera
Cuentas anuales
Verificar la representación de la realidad financiera de la empresa.
De gestión
Acciones de los departamentos de la empresa
Comprobar la eficacia y eficiencia de los procesos de la organización.
De cumplimiento
Normas establecidas
Comprobar si las operaciones y actuaciones respetan las normas establecidas.
Informática
Sistemas informáticos
Comprobar la operatividad y eficiencia de los procesos informáticos según normas establecidas.
La variedad de tipologías de auditoría no solo está presente en temáticas generales, sino que dentro de cada una de ellas se pueden distinguir subtipos de auditorías según las áreas específicas.
3.1. Tipos de auditorías dentro de los sistemas de información
Dentro del área de los sistemas de información se pueden distinguir las auditorías mediante diferentes divisiones. Por ejemplo, dependiendo de quién las ejecute, una auditoría puede:
Interna:
son aquellas auditorías que se realizan por el personal propio de la organización principalmente. Pueden contar con apoyo de personal externo.
Externa:
son aquellas auditorías realizadas de forma principal por personal externo a la organización donde se desarrolla la auditoría.
También, dependiendo de la metodología empleada, se pueden clasificar las auditorías de la siguiente manera:
De cumplimiento:
son auditorías que sirven para verificar el cumplimiento de un determinado estándar (como por ejemplo, la ISO 27001), o también de los procedimientos y políticas internas de la propia organización.
Técnicas:
estas auditorías tienen un alcance reducido, que está acotado a uno o varios sistemas informáticos para analizar.
Por último, dependiendo del objetivo técnico, se puede realizar una clasificación referente al área o tecnologías en las que se va a realizar la auditoría. Es común encontrar auditorías técnicas en cada uno de los campos de los sistemas de información, como pueden ser enfocadas a bases de datos, desarrollo de aplicaciones, configuración de servicios, e incluso en sistemas basados en inteligencia artificial. Sin embargo, el campo de la seguridad informática es un referente en cuanto a auditorías se refiere, ya que además se encuentra íntimamente ligado con el resto de campos. Algunas de los tipos de auditorías técnicas más importantes dentro de la seguridad informática son:
Páginas y aplicaciones web
A la hora de auditar un sistema basado en tecnologías web se utiliza como referencia OWASP (Open Web Application Security Project), que proporciona guías para identificar posibles vulnerabilidades que podrían ser explotadas por atacantes. Debido a la creciente complejidad de las aplicaciones web en los últimos años, este tipo de auditorías cada vez son más frecuentes y necesarias, especialmente para proteger los datos que manejan.
Forense
Al producirse un incidente de seguridad informática, es importante seguir una serie de pautas y acciones para tratarlo correctamente. Este tipo de auditorías son las usadas en este caso, donde se busca recopilar toda la información posible que esté relacionada con las causas que han producido el incidente, junto al alcance del mismo (información y sistemas afectados) y la recopilación de evidencias existentes.
Control de acceso físico
Como su propio nombre indica, en este tipo de auditorías se busca evaluar las medidas de seguridad física de unas instalaciones, o incluso de una organización completa. Los elementos que se auditan para comprobar su correcto funcionamiento son, a rasgos generales, mecanismos de apertura de puertas, software de control de acceso, sensores de movimiento/apertura, y cámaras de seguridad.
Test de intrusión o pentest
Este tipo de auditoría busca evaluar las medidas de seguridad técnicas de un sistema u organización, como pueden ser firewalls, IDS/IPS o SIEM. La forma de auditar este tipo de sistemas siempre va a ser emulando a un posible atacante real, para identificar cuáles son las vulnerabilidades explotables que deben ser corregidas, y que, de lo contrario, podrían materializarse en vías para que se produzcan incidentes de seguridad.
Red
Aunque estas auditorías están relacionadas con los test de intrusión, solo se basan en revisar los dispositivos conectados a la red, para verificar el nivel de seguridad de los mismos. Esto se consigue comprobando diferentes puntos, de los que podemos destacar la evaluación de reglas del firewall, los controles de acceso a la red, protocolos usados, versiones de los diferentes firmwares y segmentación de la red.
Recuerde
La explotación informática es aquel proceso cuya finalidad principal es aprovechar las vulnerabilidades de sistemas, aplicaciones o redes para obtener un acceso no autorizado o realizar acciones maliciosas.
Actividades
3. Busque información adicional sobre los distintos tipos de auditoría y mencione los distintos elementos que tienen en común.
4. Criterios a seguir para la composición del equipo auditor
Antes de empezar la auditoría, el auditor deberá elaborar una planificación en la que se detallen los objetivos y procedimientos que se llevarán a cabo para realizar la auditoría informática.
En esta planificación se deberá incluir sobre todo:
Lugar o lugares en los que se realizarán las tareas de auditoría.
Duración de la auditoría.
Fecha límite para la finalización de la auditoría.
Composición del equipo de auditoría.
Áreas que serán auditadas.
En resumen, el auditor planificará los objetivos a cumplir y los métodos y procedimientos que se van a proseguir para lograr dichos objetivos de un modo eficaz y eficiente.
Como ya se puede observar, la composición del equipo de auditoría es un aspecto fundamental para lograr el éxito de la auditoría informática. Las tareas del auditor son de lo más variadas y es necesario formar un equipo con profesionales multidisciplinares y capacitados para que, de forma global, se puedan llevar a cabo una serie de actividades básicas, descritas en la siguiente tabla:
Actividades básicas del auditor informático
Establecimiento y análisis de la política de seguridad.
Verificación y cumplimiento de los estándares, normas y cualificaciones relacionadas con la auditoría y la seguridad informáticas.
Organización de la seguridad y clasificación de los recursos.
Análisis de las inversiones realizadas y futuras de seguridad.
Análisis de los riesgos de la organización.
Análisis y control de la seguridad física de la organización.
Establecimiento de medidas de protección y control de accesos al sistema.
Evaluación de la seguridad en las comunicaciones y operaciones.
Evaluación de la seguridad y vulnerabilidades de los sistemas operativos y demás software del sistema.
Definición del plan de continuidad de la organización.
Gestión de la seguridad de la organización con el establecimiento de medidas y definición del cuadro integral de mandos.
4.1. Características y capacidades del equipo auditor
Para llevar a cabo todas las actividades mencionadas en la tabla anterior, no es necesario que sean desempeñadas por un solo auditor informático, sino que se recomienda seleccionar una serie de técnicos especializados que abarquen los conocimientos y capacidades suficientes para desarrollar todas las tareas de un modo global.
El número de personas que formen el equipo auditor puede variar según las dimensiones de la organización, de los sistemas y de los equipos, pero, independientemente de la magnitud del equipo, sus miembros deberán estar suficientemente capacitados y deberán tener un alto sentido de la ética y la moralidad.
Para seleccionar el equipo adecuado, en un primer lugar hay que pensar en profesionales con suficiente nivel para realizar una correcta coordinación del desarrollo de las tareas de la auditoría, siendo capaz de facilitar la información requerida en todo momento.
Además, el equipo debe estar formado por profesionales con conocimientos básicos en cuanto a:
Desarrollo de proyectos informáticos.
Gestión del departamento de sistemas.
Análisis de riesgos en sistemas informáticos.
Sistemas operativos.
Redes locales y telecomunicaciones.
Gestión de bases de datos.
Seguridad física y del entorno.
Planificación informática.
Gestión de la seguridad de los sistemas.
Gestión de problemas, incidencias y cambios en entornos informáticos.
Administración de datos.
Ofimática.
Permisos de acceso y encriptación de datos.
Comercio electrónico.
Además, a todos estos conocimientos básicos habría que añadir otros conocimientos más especializados, atendiendo a las características de los sistemas y organizaciones a auditar. Por ejemplo, para auditar empresas cuya actividad principal es el desarrollo del negocio online no se requerirá el mismo conocimiento que para empresas cuya actividad se desarrolla enteramente offline; para las primeras será necesario que los auditores tengan conocimientos más específicos de comercio electrónico, plataformas de pago seguras para internet, etc.
Nota
El equipo auditor, para que la auditoría termine con éxito, deberá contar con el apoyo de la alta dirección de la organización. Si se cuenta con el apoyo suficiente, la obtención de los datos necesarios para la auditoría y la colaboración de los empleados y departamentos será más fácil y rápida, mejorando la eficiencia y eficacia de los procesos de auditoría.
Debido a la gran variedad de conocimientos específicos necesarios para abarcar todo tipo de empresas, el equipo auditor deberá contar con una serie de colabores directos en la realización de la auditoría para complementar las posibles deficiencias técnicas que puedan surgir. En concreto, es recomendable contar con colaboradores con características como:
Técnicos en informática.
Conocimientos en administración y finanzas.
Experiencia en informática y análisis de sistemas.
Experiencia y conocimiento en psicología industrial.
Conocimientos específicos de sistemas operativos, bases de datos, redes, etc., según el área que se vaya a auditar.
Conocimientos en análisis de riesgos.
Una vez decidido el equipo auditor y el personal que va a colaborar en la auditoría informática, ya se podrá proceder a la elaboración del contrato o carta convenio en la que se definan específicamente los objetivos, miembros, limitaciones, colaboración necesaria por parte de la organización, informes a elaborar y entregar y responsabilidad asumida por los auditores.
Este contrato o carta convenio deberá ser aceptada por la organización y el equipo auditor para poder comenzar con las tareas específicas de la auditoría.
Actividades
4. ¿Por qué es necesario contar con miembros con conocimientos multidisciplinares en el equipo auditor? Aparte de los conocimientos referentes al área informática, ¿considera que hay algún otro conocimiento indispensable que deba tener el auditor? Justifique su respuesta.
5. Tipos de pruebas a realizar en el marco de la auditoría. Pruebas sustantivas y pruebas de cumplimiento
Una de las tareas fundamentales de la auditoría informática son las pruebas de auditoría. Las pruebas clásicas consisten en el desarrollo de un conjunto de técnicas para probar las aplicaciones y sistemas operativos con datos de prueba. Mediante la observación de los datos de entrada, los datos de salida obtenidos y los datos de salida esperados, se pueden realizar comparaciones para verificar la calidad, eficiencia y eficacia de los sistemas evaluados.
En auditoría informática, se distinguen dos tipos de pruebas:
Pruebas sustantivas:
pruebas que pretenden identificar los errores derivados de la falta de seguridad o confidencialidad de los datos. Evalúan la calidad de los datos y verifican si los controles establecidos por las políticas o procedimientos son eficaces.
Pruebas de cumplimiento:
las que permiten determinar si un sistema de control interno y/o procedimiento funciona correctamente y si es acorde con las políticas, normativas y procedimientos definidos por la organización.
Mientras que las pruebas de cumplimiento tienen como objeto la obtención de evidencias que prueben el cumplimiento de los procedimientos de control, las pruebas sustantivas pretenden obtener evidencias para evaluar la integridad de los datos y procedimientos individuales.
Las pruebas de cumplimiento verifican la correcta utilización de los controles de un modo acorde con las políticas y procedimientos de la gestión establecidos por la organización. Un ejemplo de estas es la prueba de la auditoría para determinar si los controles de una librería de programas es adecuada: el auditor puede hacer una selección de programas y determinar la adecuación de su utilización con las políticas de la organización.
Sin embargo, las pruebas sustantivas pretenden obtener evidencias de la validez e integridad de los datos almacenados en los equipos y dispositivos. Por ejemplo, una prueba sustantiva sería la revisión del inventario para comprobar si todos los dispositivos magnéticos están correctamente inventariados.
