auditoría de tecnologías de la información: realidad y nuevos retos octubre 2015
TRANSCRIPT
Auditoría de Tecnologías de la Información: realidad y
nuevos retos
Octubre 2015
Speaker Bio & Company Information
• Antonio de la Madrid Campuzano
– Auditoría (2000- 2015)• Jefe de Auditoría de Tecnologías de Ia Información
en Telefónica España
– Consultoría (1997-2000)• Senior Consultant Accenture
– Vocal de la Junta Directiva del Capítulo de ISACA –Madrid de Formación y Certificaciones
– CISA - Certified Information Systems Auditor por ISACA
– CIA – Certified Internal Auditor por IIA
– Auditor Líder BS7799 ISO/IEC 27001
– ITIL Foundation
Agenda
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
El concepto de Control Interno.
¿Cómo trabajamos? Los Principios y las Normas
El Proceso de Auditoría
Tipos de Auditorias TI
¿Cuáles son los retos para Auditoria TI?
01
02
03
04
05
06
Agenda
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
El concepto de Control Interno
¿Cómo trabajamos? Los Principios y las Normas
El Proceso de Auditoría
Tipos de Auditorias TI
¿Cuáles son los retos para Auditoria TI?
01
02
03
04
05
06
01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
D. Auditoría Interna
Calidad Financiera Procesos TI
Agenda
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
El concepto de Control Interno
¿Cómo trabajamos? Los Principios y las Normas
El Proceso de Auditoría
Tipos de Auditorias TI
¿Cuáles son los retos para Auditoria TI?
01
02
03
04
05
06
02 El concepto de Control Interno
El Sistema de Control Interno de una organización, comprende todos aquellos procesos que aseguren razonablemente:
– El cumplimiento de políticas, leyes y normas
– La integridad patrimonial
– La eficacia y eficiencia de las operaciones
– La fiabilidad de la información financiera– Una adecuada gestión de riesgos, de acuerdo con los objetivos
estratégicos de la compañía
El CONTROL INTERNO es un PROCESO que llevan a cabo TODAS LAS PERSONAS que actúan en LOS DISTINTOS NIVELES DE LA ORGANIZACIÓN, pensado y enfocado para facilitar la consecución de los OBJETIVOS de la ORGANIZACIÓN.
02 El concepto de Control Interno
Agenda
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
El concepto de Control Interno
¿Cómo trabajamos? Los Principios y las Normas
El Proceso de Auditoría
Tipos de Auditorias TI
¿Cuáles son los retos para Auditoria TI?
01
02
03
04
05
06
03 ¿Cómo trabajamos? Los Principios y las Normas
MARCO INTERNACIONAL PARA LA PRACTICA PROFESIONAL
Aprobado por el Instituto Global de Auditores Internos (IIA) es un referente fundamental para todo profesional que desempeñe la actividad de auditoria interna en el mundo.
El objetivo es proporcionar una guía coherente que facilite la interpretación y aplicación de conceptos, metodologías y técnicas fundamentales para la profesión.
CÓDIGO DE ÉTICA, en el que se establecen los principios que rigen el comportamiento de los individuos y organizaciones que ejercen la auditoría interna.
Las NORMAS están concebidas como principios y proporcionan un marco para desarrollar y promover la auditoría interna, además de dar las bases para evaluar el desempeño de la auditoría interna.
03 ¿Cómo trabajamos? Los Principios y las Normas
AUTORIZACIÓN
ALCANCE
OBJETIVOS
MISIÓN
Agenda
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
El concepto de Control Interno
¿Cómo trabajamos? Los Principios y las Normas
El Proceso de Auditoría
Tipos de Auditorias TI
¿Cuáles son los retos para Auditoria TI?
01
02
03
04
05
06
Inputs de Auditoría
04 El Proceso de Auditoría
Remoto Posible Muy Posible Probable Muy Probable
0% - 10% 11% - 30% 31% - 50% 51% - 80% 81% -100%
Probabilidad
Imp
ac
toM
uy
Alt
o
Alt
o
Med
io
Baj
o
Mu
y B
ajo
17
2
1
11
7
8
5 6
13
14
12
20
11
18 15
4
9
10
3
1921
2123
4
27
12
29
24
13
7
1814
11
19
5
10
16
30
17
20
28
31
22
13
15
26
2
6
98
25
04 El Proceso de Auditoría
PLAN GENERAL
PLANIFICACIÓN DE UNA
AUDITORÍA
TRABAJODE
CAMPO
COMUNICACIÓN DE
RESULTADOS
SEGUIMIENTO DE LOS
RESULTADOS
- Riesgos y controles a evaluar.
- Diseño de pruebas a realizar.
- Recursos materiales y humanos asignados al trabajo.
- Apertura del trabajo.
- Deficiencias encontradas.
- Supervisión del trabajo.
-Documentar los papeles de trabajo.
- Cierre
- Documento de informe: redacción de conclusiones y recomndaciones
- Rating
- Negociación de planes de mejora.
- Distribución a Alta Dirección
- Registro en los sistemas de Auditoría
- Seguimiento del grado de avance de la implantación de los planes de mejora.
Plan a 1 ó 2 años, que incorpora propuestas de:
- Análisis de riesgos
- Alta dirección
- Comisión de Auditoría, etc.
Tiene en cuenta, recursos, frecuencia, etc.
Agenda
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
El concepto de Control Interno
¿Cómo trabajamos? Los Principios y las Normas
El Proceso de Auditoría
Tipos de Auditorias TI
¿Cuáles son los retos para Auditoria TI?
01
02
03
04
05
06
05 Tipos de Auditorias TI
01 Auditoría de procesos TI
05 Tipos de Auditorias TI
01 Auditoría de procesos TI
05 Tipos de Auditorias TI
01 Auditoría de procesos TI
Algunos procesos críticos vinculados a la entrada de nuevo software, hardware y configuraciones:
Gestión de Cambios Gestión de la Configuración Despliegues de red Lanzamiento de nuevos servicios
Revisión in situ de los controles de: Seguridad en el diseño: controles adecuados desde el inicio Bastionado de servidores, BBDD, equipos de red, etc. Acompañamiento en proyectos críticos
05 Tipos de Auditorias TI
02 Servicios Externalizados
Inclusión de aspectos de Seguridad
Control del Servicio
SLA’s,
Penalizaciones
05 Tipos de Auditorias TI
03 Seguridad Física y Control Ambiental
05 Tipos de Auditorias TI
03 Seguridad Física y Control Ambiental
Revisión de los procedimientos de autorización a los centros de tratamiento: CPDs (Sistemas de Información) Centros Industriales Salas de Comunicaciones
Revisión in situ de los controles de: Acceso Climatización Temperatura Humedad SAIs: Baterías, Grupos Electrógenos Estado general de las salas, cableado, limpieza, suelo técnico Pruebas de planes de contingencia
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Hacking Ético
Equipo externo especializado
Apoyo a las Auditorías Internas
Identificación de objetivos
Con información parcial
Perimetrales sobre activos expuestos
Redes y servidores Internos
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Redes de TI
Elementos: Routers, Switches, Firewalls, etc.
Bastionado: Servicios y protocolos habilitados, etc
Autenticación, Autorización, Accounting - AAA
Flujos de tráfico Routers: ACLs Firewalls: Reglas FW
Backups, Incidencias Operativas de cambios Etc.
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Redes como ISP
Principales Dominios de Red Acceso Fijo Acceso Móvil Femtonodos REM - Metropolitan Area
Networks IP Única Packet Core Móvil Transporte IMS - New Generation Networks Redes de Empresas
Plataformas de Servicios Televisión IP Prepago CDN – Content Delivery Network
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Aplicaciones
Revisión en diferentes niveles: Servidor / Sistema Operativo:
o Sistemas Abiertos: Servidor Web, Servidor Aplicación, Back-end Base Datos, etc.
o Mainframe: Z/OS, RACF Base de Datos: Oracle, DB2, SQL Server, etc. Aplicación: Desarrollos Propietarios, Aplicaciones Comerciales (Meta-4,
SAP/R3, etc.)
Verificación de los controles y parámetros que definen (AAA) Autenticación,
Autorización, Accounting: Configuración de Acceso: LDAPs, Protocolos, ficheros de configuración Definición de perfiles: Distintos niveles de Autorización de Acceso a
Datos Bitácoras de actividad, Logs Etc.
05 Tipos de Auditorias TI
04 Auditoría de Seguridad: Aplicaciones
05 Tipos de Auditorias TI
05 Auditoría Continua
05 Tipos de Auditorias TI
05 Auditoría Continua
Acceso a las Plataformas de Gestión de Log Definición de consultas Monitorización eventos de control Reporte a áreas afectadas
05 Tipos de Auditorias TI
06 Auditorías de cumplimiento
Otras Regulaciones
Ley Comercio ElectrónicoLey General de Telecomunicaciones
Estándares ISO 27002ISO 20000
Calidad Servicio
Regulación de Consumo y Competencia
Indicadores SETSI – Secretaría Estado Telecomunicaciones
Legal auditable
SOX - Sarbanes - Oxley, LOPD - Protección de Datos Personales
Investigación de fraudes internos Busca obtención de evidencias válidas ante un proceso judicial
• Respaldo legal de la Compañía• Respaldo RRHH• Garantías para el personal• Salvaguarda de la cadena de custodia
HW y SW específico para las investigaciones: • Imagen forense copia bit a bit• Huella de integridad digital de la imagen forense• Software de análisis (búsqueda de frases, palabras críticas, etc.)
Multidispositivo: PC, Portátiles, SmartPhones, Móviles, PDAs, etc.
07 Forense
05 Tipos de Auditorias TI
08 Otras tipologías
05 Tipos de Auditorias TI
Planes de Continuidad de Negocio
Planes de Contingencia de TI
Redes Almacenamiento
Revisión Centros Industriales
Microinformática: Seguridad en el Puesto de Trabajo
Conservación de Datos
Servicios de Reprografía e Impresión
Etc.
Agenda
Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?
El concepto de Control Interno
¿Cómo trabajamos? Los Principios y las Normas
El Proceso de Auditoría
Tipos de Auditorias TI
¿Cuáles son los retos para Auditoria TI?
01
02
03
04
05
06
06 ¿Cuáles son los retos para Auditoria TI?
+ Tecnología- Recursos
Nuevas plataformas, dispositivos, Apps…hay que llegar a más con menos
Calidad SWentregado
Software y aplicaciones más abiertos y expuestos (OWASP)
Shadow IT Adquisición de servicios TI de forma departamental (Cloud, Sw,..)
Auditoríascumplimiento
SOX, LOPD Automatizar y ganar eficiencia y agilidad
ProtocolosEvolución de las comunicaciones desde protocolos cerrados o poco conocidos a estándares muy conocidos como Ethernet, IP (VoLTE)