2
UNIVERSIDAD AUSTRAL DE CHILE Facultad De Ciencias Económicas Y Administrativas
Instituto De Administración Escuela De Auditoría
Auditoría y Seguridad Informática
Autor: Hardy Muñoz O.
Junio 2014, Valdivia
3
I. Introducción
En el mundo globalizado que vivimos actualmente, se ha vuelto cada vez más necesario
mantener la privacidad, seguridad, integridad y confidencialidad de un componente
fundamental para las empresas y sociedad en general. Esto alude a la Información, la cual
constituye el activo más importante de una organización y/o persona particular. Y es por
este motivo que es de vital importancia protegerla ante posibles o potenciales amenazas
de personas que ingresen sin acceso autorizado provocando grandes daños como por
ejemplo: Instalación de Virus, Robo de información, Plagio, Manipulación indebida de la
Información, Alteración e incluso tomar el control absoluto del servidor, entre otras.
Cada vez son más los medios a través de los cuales podemos acceder a nuestros Sistemas
de Información y paralelamente por cada medio de acceso tenemos una potencial amenaza.
Es por esto que se debe proteger la información incluso cuando ésta se encuentre
almacenada en “la nube” (Cloud Computing), ya que se debe ir supervisando su estado de
seguridad continuamente porque no está ajena a que un “atacante” o persona mal
intencionada ingrese e infecte la web.
Debido a esto nace la necesidad e importancia de mantener la privacidad y seguridad de
nuestra información. En respuesta a esto se creó la Auditoría y Seguridad Informática de la
Información, que nos permitirá saber periódicamente manteniendo controlado el estado
de seguridad de nuestros sistemas de Información.
Cabe destacar que NO cualquier profesional puede realizar una auditoría de Seguridad
Informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece
como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático.
4
II. ¿Qué es Seguridad Informática?
Primero que todo, se entiende como seguridad informática a la disciplina encargada de
proteger la privacidad e integridad de toda la información que es almacenada en un sistema
informático ya sean hardware, software y recursos humanos.
La seguridad Informática nace principalmente en respuesta de las crecientes amenazas
a la información que se pueden observar hoy en día, éstas amenazas ya sean por medio de
programas instalados en el ordenador o también en su mayoría desde el acceso remoto vía
web.
En resumen, La seguridad informática la podríamos definir como el conjunto de
hardware, software y procedimientos establecidos para asegurar que:
• Personas no autorizadas no accedan a lo que no deberían ver. • Personas autorizadas no ponen en peligro el sistema y los datos.
III. ¿Qué es Auditoría Informática?
Auditoría Informática es un proceso llevado a cabo especialmente por profesionales
altamente capacitados y certificados por ISACA en temas sistemas de información.
Este proceso consiste en:
El análisis de la eficiencia de los Sistemas Informáticos.
La verificación del cumplimiento de la Normativa en este ámbito.
La revisión de la eficaz gestión de los recursos informáticos.
Además permite detectar de forma sistemática el uso de los recursos y los flujos de
información dentro de una organización, determinando qué información es crítica para el
cumplimiento de su misión y objetivos.
La Auditoría informática tiene 2 tipos, las cuales son:
1.1 AUDITORIA INTERNA: Es aquella que se hace adentro de la empresa; sin contratar a
personas de afuera.
1.2 AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata
a personas de afuera para que haga la auditoria en su empresa.
5
IV. ¿Qué es Auditoría de Seguridad Informática?
4.1 DEFINICIÓN:
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de
información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo
por profesionales certificados ante el ISACA para identificar, enumerar y posteriormente
describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva
de toda la información que es almacenada en un sistema informático ya sean hardware,
software y recursos humanos.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables
quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo
siempre un proceso secuencial que permita a los administradores mejorar la seguridad de
sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su realización
cuál es la situación exacta de sus activos de información en cuanto a protección, control y
medidas de seguridad.
Cabe destacar que NO cualquier profesional puede realizar una auditoría de Seguridad
Informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual
establece como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático.
4.2 METODOLOGÍA DE DESARROLLO DE UNA AUDITORÍA INFORMÁTICA 1
Al igual que en la auditoría de cuentas, tenemos que distinguir 3 fases: Planificación,
Ejecución/Supervisión y Conclusiones.
Fase 1: Planificación
En esta fase el auditor debe fijar con claridad:
• Finalidad de la Auditoría, destinatario de las conclusiones, documentación a
entregar y fechas clave.
• Alcance del Trabajo (sistemas, procesos, aplicativos y áreas a revisar, localidades
que hay que visitar, etc). Es importante fijar qué queda fuera de la Auditoría, para
no crear falsas expectativas.
• Información y documentación previa a solicitar: informes de auditoría previos,
organigrama funcional y departamental, esquema de arquitecturas, procesos o
interfaces, etc).
1 Metodología obtenida en http://edirectivos.dev.nuatt.es/
6
• Programas de trabajo detallados y estándares que se van a seguir (internos de la
Sociedad, COBIT, ISO, etc).
• Equipo de trabajo y reparto de los programas entre los mismos, con fechas de
ejecución de cada apartado o área.
• Identificación de interlocutores (administradores de bases de datos, responsable
de seguridad, etc).
• Identificación de Herramientas tecnológicas para hacer el trabajo.
Fase 2: Ejecución
En esta fase se realizan todos los procedimientos detallados en los programas de la fase
anterior para obtener las evidencias del desarrollo del trabajo. Estas evidencias se
obtienen a través de:
• Estudio de procesos concretos (documentación, flujogramas, verificaciones in situ
con el usuario final del proceso, etc).
• Entrevistas y análisis de la documentación obtenida en las mismas
(procedimientos escritos, manuales, configuraciones de máquina,
parametrizaciones, etc).
• Pruebas de cumplimiento de procedimientos (con muestreos).
• Verificaciones físicas (p.ej: visita al centro de proceso de datos).
• Revisión de contratos de prestaciones de servicios y Acuerdos de nivel de servicio
(SLA).
Fase 3: Conclusiones
El output de esta fase suele ser un Informe de Auditoría, de Recomendaciones o de
Resultados que, una vez discutido con los afectados, es elevado a Definitivo. En dicho
Informe, aparte del Alcance del trabajo realizado y de los Procedimientos que se han
seguido, se suele incluir un Informe Ejecutivo y una relación detallada de
las Recomendaciones de Mejora por área analizada, con los siguientes parámetros y
Plan de Acción:
• Riesgo asociado
• Prioridad
• Dificultad de Implantación
• Área afectada y comentarios de dicha área al punto de mejora
• Fecha prevista de solución
• Persona/departamento responsable de la implantación
1 Metodología obtenida en http://edirectivos.dev.nuatt.es/
7
4.3 BENEFICIOS:
Entre los beneficios de realizar una Auditoría de Seguridad Informática cabe destacar lo
siguiente:
Mejora la imagen pública.
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos,
entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversión en un entorno de TI, a menudo
impredecible.
Además, la auditoría informática sirve para mejorar el desempeño en la empresa, en
relación a:
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
8
V. Asociación de Auditoría y Control de Sistemas de Información (ISACA)
ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación
de Auditoría y Control de Sistemas de Información); una asociación internacional que apoya
y patrocina el desarrollo de metodologías y certificaciones para la realización de
actividades auditoría y control en sistemas de información.
Origen
En 1969 un pequeño grupo de auditores que estaban trabajando con controles en
sistemas de información en Estados Unidos fundaron la EDPAA (Electronic Data Processing
Auditors Association). Pero en 1993, dado que los controles de los sistemas y tecnologías
de la información y comunicación son comunes a otras disciplinas fuera de la auditoría, se
cambió el nombre y esta organización pasó a llamarse ISACA.
Con más de 115.000 integrantes en 180 países, ISACA® (www.isaca.org) ayuda a
empresas y líderes en Tecnologías de Información a construir confianza y maximizar el valor
de la información y de los sistemas de información. ISACA es una fuente confiable de
conocimiento, estándares, comunidad, y desarrollo de carrera para los profesionales en
gobierno, privacidad, riesgos, seguridad, aseguramiento y auditoría de sistemas.
5.1 CERTIFICADOS QUE SE PUEDEN OBTENER EN ISACA
ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los
profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI.
Estas certificaciones son:
- Auditor de Sistemas de Información / Certified Information Systems Auditor® (CISA®).
- Administrador de la Seguridad de Información/ Certified Information Security
Manager® (CISM ®).
- Gobernabilidad de TI de las empresas / Certified in the Governance of Enterprise
IT® (CGEIT®).
- Sistemas de Información de Riesgos y Control / Certified in Risk and Information Systems
Control™ (CRISC™).
Para esto ISACA lleva a cabo exámenes de certificación dos veces al año, en junio y
diciembre y los requisitos para certificarte son los siguientes:
Aprobar el examen
Experiencia relevante (5 o más años de experiencia en el área de interés)
Apegarte al código de ética ISACA.
Apegarte al programa de educación profesional continua.
Cumplimiento con los estándares de ISACA.
9
Breve descripción de certificaciones otorgadas por ISACA
5.2 ¿CÓMO INSCRIBIRSE PARA EL EXAMEN?
Puede inscribirse para un examen de ISACA por medio de inscripción en línea o por
formulario de inscripción impresa. Para presentar su inscripción en línea por medio del sitio
web de ISACA, visite www.isaca.org/examreg. Para inscribirse por medio del formulario de
inscripción impreso, complete el formulario de inscripción impreso suministrado en
www.isaca.org/exam y envíelo por fax o por correo a ISACA junto con su información de
pago.
El costo para rendir los exámenes de certificación son los siguientes:
Inscripción Examen Miembro de ISACA No miembro de ISACA
Inscripción Temprana US $420 US $600
Inscripción plazo final US $470 US $650
CISA CISM CGEIT CRISC La designación CISA es una certificación reconocida globalmente para profesionales en auditoría, control, aseguramiento y seguridad de SI.
La certificación CISM está enfocada en la gestión, promueve prácticas Internacionales de seguridad y reconoce a la persona que administra, diseña, supervisa y evalúa la seguridad de la información de una empresa.
Acredita una amplia variedad de profesionales por su conocimiento y aplicación de prácticas y principios de gobierno de TI de la empresa.
La certificación CRISC está diseñada para aquellas personas expertas en gestión de riesgo de tecnología y negocio, así como el diseño, la implementación, el monitoreo y el mantenimiento del control de SI.
10
VI. Principales Estándares de Seguridad Informática Nacionales e
Internacionales
6.1 Estándares Internacionales:
ISO/IEC 27000:
Son estándares de seguridad publicados por la Organización Internacional para la
Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en seguridad de la
información para desarrollar, implementar y mantener especificaciones para los
Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas
normas se encuentran en preparación, e incluyen:
- ISO/IEC 27001:
La ISO 27001 es la Norma que permite el aseguramiento, la confidencialidad e
integridad de los datos y de la información, así como de los sistemas que la
procesan.
La gestión de la seguridad en la información se complementa con las buenas
prácticas o controles establecidos en ISO 27002.
- ISO/IEC 27002:
Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Este
estándar internacional va orientado a la seguridad de la información en las
empresas u organizaciones, de modo que las probabilidades de ser afectados
por robo, daño o pérdida de información se minimicen al máximo.
11
6.2 Estándares Nacionales:
En cuanto al ámbito nacional, existe la ley 19.223, la cual se refiere a los delitos
informáticos.
Ley N°19.223:
Esta ley tipifica figuras penales a la informática. Consta de cuatro artículos, los cuales
se especifican a continuación:
- Artículo 1°: “El que maliciosamente, destruya o inutilice un sistema de
tratamiento de información o sus partes o componentes, o impida, obstaculice
o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado
medio a máximo.”
- Artículo 2°: “El que con el ánimo de apoderarse, usar o conocer indebidamente
de la información contenida en un sistema de tratamiento de la misma, lo
intercepte, interfiera o acceda a él, será castigado con presidio menor en su
grado mínimo a medio.”
- Artículo 3°: “El que maliciosamente altere, dañe o destruya los datos contenidos
en un sistema de tratamiento de información, será castigado con presidio menor
en su grado medio.”
- Artículo 4°: “El que maliciosamente revele o difunda los datos contenidos en un
sistema de información, sufrirá la pena de presidio menor en su grado medio. Si
quien incurre en estas conductas es el responsable del sistema de información,
la pena se aumentará en un grado.”
12
VII. Relación entre Auditoría y Seguridad informática (COBIT)
7.1. AUDITORÍA DE SISTEMAS DE INFORMACIÓN Y SEGURIDAD INFORMÁTICA
La información es uno de los activos más importantes de cualquier organización. Es por
esto, que al optimizar el tiempo y trabajo potenciando el uso de la tecnología importantes
ventajas competitivas y oportunidades.
Sin embargo, si no se gestiona correctamente el uso de la tecnología, estas
oportunidades se pueden transformar en amenazas para la compañía. Desde evaluar si las
inversiones tecnológicas aportan lo esperado a la organización, hasta la revisión de las
medidas de seguridad implantadas, o un análisis del grado de adecuación a la legislación
vigente, son aspectos importantes que toda organización tiene que tener presente.
7.2. COBIT
El significado de COBIT proviene del inglés “Control Objectives for Information and
related Technology”, que significa “Objetivos de Control para la Información y Tecnologías
relacionadas”. COBIT es un conjunto de buenas prácticas para el manejo de información
creada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA en inglés)
y el Instituto de Administración de las Tecnologías de la Información (ITGI en inglés).
COBIT permite que las tecnologías de la información y relacionadas se gobiernen y
administren de una manera holística a nivel de toda la Organización, incluyendo el alcance
completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los
intereses relacionados con la TI de las partes interesadas internas y externas.
Es un modelo de evaluación y monitoreo que se enfoca en el control de negocios y la
seguridad de las TI, y que abarca controles específicos de TI desde una perspectiva de
negocios.
Su misión es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de
control generalmente aceptados de las tecnologías de información que sean autorizados,
actualizados e internacionales para el uso de los gestores de un negocio y los auditores.
13
VIII. Conclusiones
La Seguridad Informática No es un producto, es un proceso que hay que mantener y cuidar
a lo largo del tiempo. Mientras que una Auditoría de Seguridad Informática le dará el
conocimiento suficiente para poder tomar decisiones respecto a la seguridad informática
de sus sistemas.
Hoy en día hay que tener muy presente que para las empresas, la información representa y
constituye el activo más valioso de la organización, por lo que es necesario mantenerla muy
protegida tomando las medidas necesarias para combatir las amenazas. Una de las medidas
que se pueden tomar es teniendo copias de seguridad de la información, claro que siempre
se debe tener el debido cuidado brindando una seguridad de alto nivel.
Además, es importante estar consciente que toda organización está compuesta por
personas, las cuales deben ir capacitándose continuamente al ritmo de las tecnologías de
la información y comunicación. En consecuencia, se puede deducir que hoy en día el
concepto de la experiencia de los trabajadores ha cambiado y no depende de la cantidad
de años de trabajo, sino del nivel de competencias que posea en una determinada área, lo
cual se obtendrá por medio de un aprendizaje continuo.
La seguridad no funciona si no se aplica un modelo. El principal valor de COBIT es
precisamente la gran diversidad de modelos y estándares a nivel global, resultado del
trabajo de un gran grupo de practicantes de diversas regiones geográficas, quienes analizan
y desarrollan un paraguas general que abarca estándares específicos para seguridad,
riesgos, etc.
Para finalizar, la Auditoría de Sistemas de Información representa una muy buena
alternativa para los profesionales tanto de Auditoría como de Ingenieros Informáticos.
Ambos están igualmente capacitados para ejercer esta profesión; Sin embargo los
Ingenieros Informáticos tienen una base bastante más sólida en Sistemas de Información
que los Auditores, mientras que los Auditores tienen mayor conocimiento en cuanto al
proceso de la Auditoría como tal. Por lo que al trabajar en conjunto se obtendrían muy
buenos resultados, ya que se complementan y pueden hacer un muy buen equipo de
trabajo. Con respecto a la actividad, ésta representa una muy buena alternativa en cuanto
a términos monetarios y además porque da la posibilidad de modificar el destino de sus
carreras, especializándose en diferentes ámbitos de las tecnologías de Información.
14
IX. BIBLIOGRAFÍA
http://www.isaca.org/Certification/Documents/Candidates-Guide-
2014_exp_SPA_1113.pdf
http://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la-
estrategia-de-seguridad-informatica
http://www.isaca.org/spanish/Pages/default.aspx
http://www.proxyconsulting.es/?p=85
http://www.iaitg.eu/mediapool/67/671026/data/auditoria.pdf
http://edirectivos.dev.nuatt.es/articulos/1000002030-la-auditoria-informatica-su-
necesidad-y-metodologia
http://nuestrofuturo12061.wordpress.com/el-auditor-informatico/
http://www.leychile.cl/Navegar?idNorma=30590
http://www.iso27000.es/iso27000.html
http://www.isotools.cl/normas/riesgos-y-seguridad/iso-27001/
http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx