2

UNIVERSIDAD AUSTRAL DE CHILE Facultad De Ciencias Económicas Y Administrativas

Instituto De Administración Escuela De Auditoría

Auditoría y Seguridad Informática

Autor: Hardy Muñoz O.

Junio 2014, Valdivia

3

I. Introducción

En el mundo globalizado que vivimos actualmente, se ha vuelto cada vez más necesario

mantener la privacidad, seguridad, integridad y confidencialidad de un componente

fundamental para las empresas y sociedad en general. Esto alude a la Información, la cual

constituye el activo más importante de una organización y/o persona particular. Y es por

este motivo que es de vital importancia protegerla ante posibles o potenciales amenazas

de personas que ingresen sin acceso autorizado provocando grandes daños como por

ejemplo: Instalación de Virus, Robo de información, Plagio, Manipulación indebida de la

Información, Alteración e incluso tomar el control absoluto del servidor, entre otras.

Cada vez son más los medios a través de los cuales podemos acceder a nuestros Sistemas

de Información y paralelamente por cada medio de acceso tenemos una potencial amenaza.

Es por esto que se debe proteger la información incluso cuando ésta se encuentre

almacenada en “la nube” (Cloud Computing), ya que se debe ir supervisando su estado de

seguridad continuamente porque no está ajena a que un “atacante” o persona mal

intencionada ingrese e infecte la web.

Debido a esto nace la necesidad e importancia de mantener la privacidad y seguridad de

nuestra información. En respuesta a esto se creó la Auditoría y Seguridad Informática de la

Información, que nos permitirá saber periódicamente manteniendo controlado el estado

de seguridad de nuestros sistemas de Información.

Cabe destacar que NO cualquier profesional puede realizar una auditoría de Seguridad

Informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece

como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático.

4

II. ¿Qué es Seguridad Informática?

Primero que todo, se entiende como seguridad informática a la disciplina encargada de

proteger la privacidad e integridad de toda la información que es almacenada en un sistema

informático ya sean hardware, software y recursos humanos.

La seguridad Informática nace principalmente en respuesta de las crecientes amenazas

a la información que se pueden observar hoy en día, éstas amenazas ya sean por medio de

programas instalados en el ordenador o también en su mayoría desde el acceso remoto vía

web.

En resumen, La seguridad informática la podríamos definir como el conjunto de

hardware, software y procedimientos establecidos para asegurar que:

• Personas no autorizadas no accedan a lo que no deberían ver. • Personas autorizadas no ponen en peligro el sistema y los datos.

III. ¿Qué es Auditoría Informática?

Auditoría Informática es un proceso llevado a cabo especialmente por profesionales

altamente capacitados y certificados por ISACA en temas sistemas de información.

Este proceso consiste en:

El análisis de la eficiencia de los Sistemas Informáticos.

La verificación del cumplimiento de la Normativa en este ámbito.

La revisión de la eficaz gestión de los recursos informáticos.

Además permite detectar de forma sistemática el uso de los recursos y los flujos de

información dentro de una organización, determinando qué información es crítica para el

cumplimiento de su misión y objetivos.

La Auditoría informática tiene 2 tipos, las cuales son:

1.1 AUDITORIA INTERNA: Es aquella que se hace adentro de la empresa; sin contratar a

personas de afuera.

1.2 AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata

a personas de afuera para que haga la auditoria en su empresa.

5

IV. ¿Qué es Auditoría de Seguridad Informática?

4.1 DEFINICIÓN:

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de

información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo

por profesionales certificados ante el ISACA para identificar, enumerar y posteriormente

describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva

de toda la información que es almacenada en un sistema informático ya sean hardware,

software y recursos humanos.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables

quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo

siempre un proceso secuencial que permita a los administradores mejorar la seguridad de

sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización

cuál es la situación exacta de sus activos de información en cuanto a protección, control y

medidas de seguridad.

Cabe destacar que NO cualquier profesional puede realizar una auditoría de Seguridad

Informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual

establece como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático.

4.2 METODOLOGÍA DE DESARROLLO DE UNA AUDITORÍA INFORMÁTICA 1

Al igual que en la auditoría de cuentas, tenemos que distinguir 3 fases: Planificación,

Ejecución/Supervisión y Conclusiones.

Fase 1: Planificación

En esta fase el auditor debe fijar con claridad:

• Finalidad de la Auditoría, destinatario de las conclusiones, documentación a

entregar y fechas clave.

• Alcance del Trabajo (sistemas, procesos, aplicativos y áreas a revisar, localidades

que hay que visitar, etc). Es importante fijar qué queda fuera de la Auditoría, para

no crear falsas expectativas.

• Información y documentación previa a solicitar: informes de auditoría previos,

organigrama funcional y departamental, esquema de arquitecturas, procesos o

interfaces, etc).

1 Metodología obtenida en http://edirectivos.dev.nuatt.es/

6

• Programas de trabajo detallados y estándares que se van a seguir (internos de la

Sociedad, COBIT, ISO, etc).

• Equipo de trabajo y reparto de los programas entre los mismos, con fechas de

ejecución de cada apartado o área.

• Identificación de interlocutores (administradores de bases de datos, responsable

de seguridad, etc).

• Identificación de Herramientas tecnológicas para hacer el trabajo.

Fase 2: Ejecución

En esta fase se realizan todos los procedimientos detallados en los programas de la fase

anterior para obtener las evidencias del desarrollo del trabajo. Estas evidencias se

obtienen a través de:

• Estudio de procesos concretos (documentación, flujogramas, verificaciones in situ

con el usuario final del proceso, etc).

• Entrevistas y análisis de la documentación obtenida en las mismas

(procedimientos escritos, manuales, configuraciones de máquina,

parametrizaciones, etc).

• Pruebas de cumplimiento de procedimientos (con muestreos).

• Verificaciones físicas (p.ej: visita al centro de proceso de datos).

• Revisión de contratos de prestaciones de servicios y Acuerdos de nivel de servicio

(SLA).

Fase 3: Conclusiones

El output de esta fase suele ser un Informe de Auditoría, de Recomendaciones o de

Resultados que, una vez discutido con los afectados, es elevado a Definitivo. En dicho

Informe, aparte del Alcance del trabajo realizado y de los Procedimientos que se han

seguido, se suele incluir un Informe Ejecutivo y una relación detallada de

las Recomendaciones de Mejora por área analizada, con los siguientes parámetros y

Plan de Acción:

• Riesgo asociado

• Prioridad

• Dificultad de Implantación

• Área afectada y comentarios de dicha área al punto de mejora

• Fecha prevista de solución

• Persona/departamento responsable de la implantación

1 Metodología obtenida en http://edirectivos.dev.nuatt.es/

7

4.3 BENEFICIOS:

Entre los beneficios de realizar una Auditoría de Seguridad Informática cabe destacar lo

siguiente:

Mejora la imagen pública.

Confianza en los usuarios sobre la seguridad y control de los servicios de TI.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos,

entre otros).

Genera un balance de los riesgos en TI.

Realiza un control de la inversión en un entorno de TI, a menudo

impredecible.

Además, la auditoría informática sirve para mejorar el desempeño en la empresa, en

relación a:

Fiabilidad

Eficacia

Rentabilidad

Seguridad

Privacidad

8

V. Asociación de Auditoría y Control de Sistemas de Información (ISACA)

ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación

de Auditoría y Control de Sistemas de Información); una asociación internacional que apoya

y patrocina el desarrollo de metodologías y certificaciones para la realización de

actividades auditoría y control en sistemas de información.

Origen

En 1969 un pequeño grupo de auditores que estaban trabajando con controles en

sistemas de información en Estados Unidos fundaron la EDPAA (Electronic Data Processing

Auditors Association). Pero en 1993, dado que los controles de los sistemas y tecnologías

de la información y comunicación son comunes a otras disciplinas fuera de la auditoría, se

cambió el nombre y esta organización pasó a llamarse ISACA.

Con más de 115.000 integrantes en 180 países, ISACA® (www.isaca.org) ayuda a

empresas y líderes en Tecnologías de Información a construir confianza y maximizar el valor

de la información y de los sistemas de información. ISACA es una fuente confiable de

conocimiento, estándares, comunidad, y desarrollo de carrera para los profesionales en

gobierno, privacidad, riesgos, seguridad, aseguramiento y auditoría de sistemas.

5.1 CERTIFICADOS QUE SE PUEDEN OBTENER EN ISACA

ISACA ofrece cuatro certificaciones, las cuales son reconocidas a nivel mundial para los

profesionales de Auditoría, Seguridad, Gobierno y Riesgo de TI.

Estas certificaciones son:

- Auditor de Sistemas de Información / Certified Information Systems Auditor® (CISA®).

- Administrador de la Seguridad de Información/ Certified Information Security

Manager® (CISM ®).

- Gobernabilidad de TI de las empresas / Certified in the Governance of Enterprise

IT® (CGEIT®).

- Sistemas de Información de Riesgos y Control / Certified in Risk and Information Systems

Control™ (CRISC™).

Para esto ISACA lleva a cabo exámenes de certificación dos veces al año, en junio y

diciembre y los requisitos para certificarte son los siguientes:

Aprobar el examen

Experiencia relevante (5 o más años de experiencia en el área de interés)

Apegarte al código de ética ISACA.

Apegarte al programa de educación profesional continua.

Cumplimiento con los estándares de ISACA.

9

Breve descripción de certificaciones otorgadas por ISACA

5.2 ¿CÓMO INSCRIBIRSE PARA EL EXAMEN?

Puede inscribirse para un examen de ISACA por medio de inscripción en línea o por

formulario de inscripción impresa. Para presentar su inscripción en línea por medio del sitio

web de ISACA, visite www.isaca.org/examreg. Para inscribirse por medio del formulario de

inscripción impreso, complete el formulario de inscripción impreso suministrado en

www.isaca.org/exam y envíelo por fax o por correo a ISACA junto con su información de

pago.

El costo para rendir los exámenes de certificación son los siguientes:

Inscripción Examen Miembro de ISACA No miembro de ISACA

Inscripción Temprana US $420 US $600

Inscripción plazo final US $470 US $650

CISA CISM CGEIT CRISC La designación CISA es una certificación reconocida globalmente para profesionales en auditoría, control, aseguramiento y seguridad de SI.

La certificación CISM está enfocada en la gestión, promueve prácticas Internacionales de seguridad y reconoce a la persona que administra, diseña, supervisa y evalúa la seguridad de la información de una empresa.

Acredita una amplia variedad de profesionales por su conocimiento y aplicación de prácticas y principios de gobierno de TI de la empresa.

La certificación CRISC está diseñada para aquellas personas expertas en gestión de riesgo de tecnología y negocio, así como el diseño, la implementación, el monitoreo y el mantenimiento del control de SI.

10

VI. Principales Estándares de Seguridad Informática Nacionales e

Internacionales

6.1 Estándares Internacionales:

ISO/IEC 27000:

Son estándares de seguridad publicados por la Organización Internacional para la

Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).

La serie contiene las mejores prácticas recomendadas en seguridad de la

información para desarrollar, implementar y mantener especificaciones para los

Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas

normas se encuentran en preparación, e incluyen:

- ISO/IEC 27001:

La ISO 27001 es la Norma que permite el aseguramiento, la confidencialidad e

integridad de los datos y de la información, así como de los sistemas que la

procesan.

La gestión de la seguridad en la información se complementa con las buenas

prácticas o controles establecidos en ISO 27002.

- ISO/IEC 27002:

Es una guía de buenas prácticas que describe los objetivos de control y controles

recomendables en cuanto a seguridad de la información. No es certificable. Este

estándar internacional va orientado a la seguridad de la información en las

empresas u organizaciones, de modo que las probabilidades de ser afectados

por robo, daño o pérdida de información se minimicen al máximo.

11

6.2 Estándares Nacionales:

En cuanto al ámbito nacional, existe la ley 19.223, la cual se refiere a los delitos

informáticos.

Ley N°19.223:

Esta ley tipifica figuras penales a la informática. Consta de cuatro artículos, los cuales

se especifican a continuación:

- Artículo 1°: “El que maliciosamente, destruya o inutilice un sistema de

tratamiento de información o sus partes o componentes, o impida, obstaculice

o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado

medio a máximo.”

- Artículo 2°: “El que con el ánimo de apoderarse, usar o conocer indebidamente

de la información contenida en un sistema de tratamiento de la misma, lo

intercepte, interfiera o acceda a él, será castigado con presidio menor en su

grado mínimo a medio.”

- Artículo 3°: “El que maliciosamente altere, dañe o destruya los datos contenidos

en un sistema de tratamiento de información, será castigado con presidio menor

en su grado medio.”

- Artículo 4°: “El que maliciosamente revele o difunda los datos contenidos en un

sistema de información, sufrirá la pena de presidio menor en su grado medio. Si

quien incurre en estas conductas es el responsable del sistema de información,

la pena se aumentará en un grado.”

12

VII. Relación entre Auditoría y Seguridad informática (COBIT)

7.1. AUDITORÍA DE SISTEMAS DE INFORMACIÓN Y SEGURIDAD INFORMÁTICA

La información es uno de los activos más importantes de cualquier organización. Es por

esto, que al optimizar el tiempo y trabajo potenciando el uso de la tecnología importantes

ventajas competitivas y oportunidades.

Sin embargo, si no se gestiona correctamente el uso de la tecnología, estas

oportunidades se pueden transformar en amenazas para la compañía. Desde evaluar si las

inversiones tecnológicas aportan lo esperado a la organización, hasta la revisión de las

medidas de seguridad implantadas, o un análisis del grado de adecuación a la legislación

vigente, son aspectos importantes que toda organización tiene que tener presente.

7.2. COBIT

El significado de COBIT proviene del inglés “Control Objectives for Information and

related Technology”, que significa “Objetivos de Control para la Información y Tecnologías

relacionadas”. COBIT es un conjunto de buenas prácticas para el manejo de información

creada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA en inglés)

y el Instituto de Administración de las Tecnologías de la Información (ITGI en inglés).

COBIT permite que las tecnologías de la información y relacionadas se gobiernen y

administren de una manera holística a nivel de toda la Organización, incluyendo el alcance

completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los

intereses relacionados con la TI de las partes interesadas internas y externas.

Es un modelo de evaluación y monitoreo que se enfoca en el control de negocios y la

seguridad de las TI, y que abarca controles específicos de TI desde una perspectiva de

negocios.

Su misión es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de

control generalmente aceptados de las tecnologías de información que sean autorizados,

actualizados e internacionales para el uso de los gestores de un negocio y los auditores.

13

VIII. Conclusiones

La Seguridad Informática No es un producto, es un proceso que hay que mantener y cuidar

a lo largo del tiempo. Mientras que una Auditoría de Seguridad Informática le dará el

conocimiento suficiente para poder tomar decisiones respecto a la seguridad informática

de sus sistemas.

Hoy en día hay que tener muy presente que para las empresas, la información representa y

constituye el activo más valioso de la organización, por lo que es necesario mantenerla muy

protegida tomando las medidas necesarias para combatir las amenazas. Una de las medidas

que se pueden tomar es teniendo copias de seguridad de la información, claro que siempre

se debe tener el debido cuidado brindando una seguridad de alto nivel.

Además, es importante estar consciente que toda organización está compuesta por

personas, las cuales deben ir capacitándose continuamente al ritmo de las tecnologías de

la información y comunicación. En consecuencia, se puede deducir que hoy en día el

concepto de la experiencia de los trabajadores ha cambiado y no depende de la cantidad

de años de trabajo, sino del nivel de competencias que posea en una determinada área, lo

cual se obtendrá por medio de un aprendizaje continuo.

La seguridad no funciona si no se aplica un modelo. El principal valor de COBIT es

precisamente la gran diversidad de modelos y estándares a nivel global, resultado del

trabajo de un gran grupo de practicantes de diversas regiones geográficas, quienes analizan

y desarrollan un paraguas general que abarca estándares específicos para seguridad,

riesgos, etc.

Para finalizar, la Auditoría de Sistemas de Información representa una muy buena

alternativa para los profesionales tanto de Auditoría como de Ingenieros Informáticos.

Ambos están igualmente capacitados para ejercer esta profesión; Sin embargo los

Ingenieros Informáticos tienen una base bastante más sólida en Sistemas de Información

que los Auditores, mientras que los Auditores tienen mayor conocimiento en cuanto al

proceso de la Auditoría como tal. Por lo que al trabajar en conjunto se obtendrían muy

buenos resultados, ya que se complementan y pueden hacer un muy buen equipo de

trabajo. Con respecto a la actividad, ésta representa una muy buena alternativa en cuanto

a términos monetarios y además porque da la posibilidad de modificar el destino de sus

carreras, especializándose en diferentes ámbitos de las tecnologías de Información.

14

IX. BIBLIOGRAFÍA

http://www.isaca.org/Certification/Documents/Candidates-Guide-

2014_exp_SPA_1113.pdf

http://searchdatacenter.techtarget.com/es/reporte/El-rol-de-CobIT-5-en-la-

estrategia-de-seguridad-informatica

http://www.isaca.org/spanish/Pages/default.aspx

http://www.proxyconsulting.es/?p=85

http://www.iaitg.eu/mediapool/67/671026/data/auditoria.pdf

http://edirectivos.dev.nuatt.es/articulos/1000002030-la-auditoria-informatica-su-

necesidad-y-metodologia

http://nuestrofuturo12061.wordpress.com/el-auditor-informatico/

http://www.leychile.cl/Navegar?idNorma=30590

http://www.iso27000.es/iso27000.html

http://www.isotools.cl/normas/riesgos-y-seguridad/iso-27001/

http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx