AI1 Introducci N AI PDF

1 Introduccin a la AI
AI.1
1
Mdulo AI.1

Introduccin a la
Auditora
Informtica
de los Sistemas de Informacin

Conjunto de conocimientos cientficos y tcnicas que
hacen posible el tratamiento automtico de la
informacin por medio de ordenadores. (www.rae.es)
?
AI.1
2
ndice

1. Funcin de la auditora y conceptos principales.
2. tica profesional.
3. Acreditaciones y certificaciones.
4. ISO/IEC 17021.
5. ISO/IEC 27006.
6. Bibliografa.

AI.1
3
1.1 Funcin de la auditora y conceptos principales
Auditora. (www.rae.es)

f. Revisin sistemtica de una actividad o de una
situacin para evaluar el cumplimiento de las reglas
o criterios objetivos a que aquellas deben
someterse.

AI.1
4
Auditora segn la ISO 19011 (3.1 Directrices para la
auditora de Sistemas de Gestin de la
calidad/ambiental)

Proceso sistemtico, independiente y
documentado para obtener evidencias y evaluarlas
de una manera objetiva con el fin de determinar la
extensin en que se cumplen los criterios del
referente utilizado.

Proceso (www.rae.es)
3. m. Conjunto de las fases sucesivas de un
fenmeno natural o de una operacin artificial.
AI.1
5
Documentado (www.rae.es)
2. adj. Dicho de una persona: Que posee noticias o
pruebas acerca de un asunto.

Independiente (www.rae.es)
3. adj. Dicho de una persona: Que sostiene sus
derechos u opiniones sin admitir intervencin ajena.

Referente
1. Trmino modlico de referencia. (www.rae.es)
2. Noma legal o estndar cuyo cumplimiento se
desea verificar.
AI.1
6
Evidencias (ISO 19011 3.3)
Registros, declaraciones de hecho o cualquier otra
informacin que son pertinentes segn el referente
de auditora y que son verificables.

Pertinente (www.rae.es)
2. adj. Que viene a propsito.

Verificable (www.rae.es)
1. Que se puede verificar.

Verificar (www.rae.es)
1. Comprobar o examinar la verdad de algo.
ISO/IEC 27000
Definiciones SGSI
AI.1
7
Evidencia
(Caractersticas)
Pertinente
Suficiente
Evidencia
(Propiedades)
Verificable
Autntica
Repetible
Neutra
Evidencia
(Naturaleza I)
Documental
Fsica
Testimonial
Evidencia
(Naturaleza II)
Analtica
Informtica
(Forense)
AI.1
8
Procedimientos
obtencin
evidencias (1)
Inspeccin
documental
Inspeccin
fsica
Observacin
Procedimientos
obtencin
evidencias (2)
Entrevista
Procedimientos
analticos
Simulaciones
AI.1
9
Evidencias en una auditora seguridad informtica

Documento de Poltica de Seguridad
Mtodo de realizar salvaguardias de las bases de datos explicado
por el administrador
Puertas abiertas en los racks de los servidores
Robustez dbil de las contraseas
Documento sobre la calidad de las contraseas
Prueba de obtencin de contraseas
El operador opina que se ha realizado la ltima revisin de los
sistemas de refrigeracin de la sala de ordenadores
El informe sobre la calidad de la comida en el restaurante de la
empresa indica que no se revisan las caducidades de los alimentos
El auditor cree que no hay un comit de seguridad
El procedimiento de gestin de personas recoge que se entrega un
manual de bienvenida al personal de nueva incorporacin
AI.1
10
Auditora de primera parte o interna
Cuando una organizacin realiza una evaluacin o
auditora interna por personal con experiencia e
independiente con las funciones evaluadas.

Auditora externa de segunda parte
Los auditores internos de una organizacin auditan a sus
proveedores o a un proveedor potencial para determinar
la viabilidad de su incorporacin a la empresa en calidad
de tal.

Auditora externa de tercera parte o de certificacin
Una organizacin independiente, acreditada, audita a una
organizacin, para determinar si cumple con una
determinada norma. (AI.1.3) ISO 19011 3.1
AI.1
11
Sistema de gestin

1. Sistema para establecer la poltica y los objetivos y
para lograr dichos objetivos. (ISO 19011 3.20) (IBM
14001)

2. Un sistema de gestin es una estructura probada para
la gestin y mejora continua de las polticas, los
procedimientos y procesos de la organizacin. (BSI)

3. de la seguridad: parte del sistema general de
gestin basado en un enfoque de riesgo empresarial,
para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
informacin (ISO/IEC 27000). (Poltica SGSI 8)
Sistemas de Gestin
AI.1
12
Sistema - Auditora

S.G. CALIDAD ISO 9001 ISO 19011
S.G. SEGURIDAD DE LA INFORMACIN
ISO/IEC 27001 ISO/IEC 27007
DESARROLLO SOFTWARE
ISO/IEC 12207 ISO/IEC 15504
S.G. MEDIO AMBIENTE
ISO 14001 ISO 19011
S.G. PREVENCIN RIESGOS LABORALES
OHSAS 18001:2007 ISO 19011
Auditar un Sistema de Gestin
ISO 19011 ISO 17021
S.G. SERVICIOS TIC
ISO 20000 ISO 19011
Sistemas de
AI.1
13
1.2 tica profesional
Cdigo de tica Profesional de ISACA

ISACA establece este Cdigo de tica Profesional para guiar la
conducta profesional y personal de los miembros y/o poseedores de
certificaciones de la asociacin.

1. Respaldar la implementacin y promover el cumplimiento con
estndares y procedimientos apropiados del gobierno y gestin efectiva
de los sistemas de informacin y la tecnologa de la empresa,
incluyendo la gestin de auditora, control, seguridad y riesgos.

2. Llevar a cabo sus labores con objetividad, debida diligencia y
rigor/cuidado profesional, de acuerdo con estndares de la
profesin.

3. Servir en beneficio de las partes interesadas de un modo legal y
honesto y, al mismo tiempo, mantener altos niveles de conducta y
carcter, y no involucrarse en actos que desacrediten a la profesin o a
la Asociacin.
AI.1
14

4. Mantener la privacidad y confidencialidad de la informacin obtenida
en el curso de sus deberes a menos que la divulgacin sea requerida
por una autoridad legal. Dicha informacin no debe ser utilizada para
beneficio personal ni revelada a partes inapropiadas.

5. Mantener la aptitud en sus respectivos campos y asumir slo aquellas
actividades que razonablemente esperen completar con las
habilidades, conocimiento y competencias necesarias.

6. Informar los resultados del trabajo realizado a las partes apropiadas,
revelando todos los hechos significativos sobre los cuales tengan
conocimiento.

AI.1
15

7. Respaldar la educacin profesional de las partes interesadas para
que tengan una mejor comprensin del gobierno y la gestin de los
sistemas de informacin y la tecnologa de la empresa, incluyendo la
gestin de la auditora, control, seguridad y riesgos.

8. El incumplimiento de este Cdigo de tica Profesional puede acarrear
una investigacin de la conducta de un miembro y/o titular de la
certificacin y, en ltima instancia, medidas disciplinarias.

AI.1
16
Cdigo de tica INTOSAI

Organizacin Internacional de Entidades Fiscalizadoras
Cdigo de tica para los auditores del sector pblico.

1. Integridad: valor central de un cdigo de tica (Pg. 18)
2. Independencia : la independencia con respecto a la entidad
auditada (Pg. 13)
3. Objetividad: las conclusiones se basan en las pruebas
(Pg. 13)
4. Imparcialidad, neutralidad poltica y conflicto de intereses
(Pg. 14)
5. Secreto profesional: No revelar informacin a terceros
(Pg. 15)
6. Competencia profesional: actualizar y mejorar las
capacidades requeridas (Pg. 16)
AI.1
17
1.3 Acreditaciones y certificaciones
Un tercero (entidad de certificacin) de confianza
certifica que la empresa gestiona un sistema de
forma correcta.

Razones: Por imagen, porque lo demandan sus
clientes o por qu es bueno para su funcionamiento
interno.

Sistema gestin implantado y funcionando y hay
evidencias que lo demuestran.

AI.1
18
Entidad de acreditacin
Entidades de certificacin son acreditadas por ENAC
(www.enac.es) u otras en el mundo. ENAC valida las
entidades acreditadas por otras entidades de
acreditacin de fuera de Espaa para que puedan
operar en Espaa.

BSI no est acreditada por ENAC sino por UKAS
(www.ukas.com).

ENAC ha reconocido a UKAS.

BSI puede certificar en Espaa.
AI.1
19
Entidad de certificacin
www.aenor.es

AENOR, entidad espaola, privada, independiente, sin nimo
de lucro, reconocida en los mbitos nacional, comunitario e
internacional, contribuye, mediante el desarrollo de las
actividades de normalizacin y certificacin (N+C), a
mejorar la calidad en las empresas, sus productos y
servicios, as como proteger el medio ambiente y, con ello, el
bienestar de la sociedad.

www.bsigroup.es
www.applus.com/
www.bureauveritas.es

AI.1
20
Sellos certificacin

Iberdrola 14001
Proceso de certificacin > 2:10
AI.1
21
1.4 ISO/IEC 17021:2006

ISO/IEC 17021 Requisitos para entidades
auditoras y certificadoras de sistemas de gestin

La norma ISO/IEC 17021, aplicable a las entidades que
certifican todo tipo de sistemas de gestin, asegura que los
organismos de certificacin prestan sus servicios de manera
competente, coherente e imparcial, facilitando as el
reconocimiento de dichos organismos y la aceptacin de sus
certificaciones en el plano nacional e internacional.

Versin actual: ISO/IEC 17021:2011.

AI.1
22
1.4 ISO/IEC 17021:2006
Principios generales (4)

1. Imparcialidad (4.2 imparciality):
1. Serlo y parecerlo.
2. Opiniones basadas en evidencias objetivas.
3. Amenazas (threats).
2. Competencia (4.3 competence): demostrable.
3. Responsabilidad (4.4 responsability): Evidencia suficiente
de conformidad. (sufficient evidence of conformity)
4. Transparencia (4.5 openness): sobre el proceso de
auditora y certificacin.
5. Confidencialidad (4.6 confidentiality): sobre la informacin
manejada durante la auditora.
6. Capacidad de respuesta a las quejas (4.6 responsiveness
to complaints).
IBERDROLA 3
AI.1
23
1.4 ISO/IEC 17021:2006
Requisitos generales (5)

1. Legales y normativos.
2. Acuerdos para certificar: acreditacin.
3. Responsabilidad respecto a las decisiones y opiniones
de auditora.
4. Imparcialidad y conflictos de intereses (amenaza).
5. Incompatibilidad entre auditora y consultora.
6. Responsabilidad: riesgos en el proceso de auditora.
7. Fuentes de financiacin no comprometen la imparcialidad.
AI.1
24
1.4 ISO/IEC 17021:2006
Requisitos organizacionales (6)

1. Organigrama con funciones y responsabilidades.
2. Comit directivo.
3. Supervisin del proceso de auditora.
4. Decisin sobre resultados auditoras o certificaciones.
5. Delegacin en comits sectoriales.
6. Proveer de los recursos humanos y materiales para el
proceso de auditora.
AI.1
25
1.4 ISO/IEC 17021:2006
Requisitos personal auditor (7)

1. Competencia y cualificacin demostrable:
1. Formacin: auditora y sectorial.
2. Experiencia.
3. Certificaciones profesionales.
2. Auditor jefe, auditores y expertos tcnicos (observador).
1. Competentes.
2. Cualificados.
3. Proceso documentado para evaluar y valorar la
capacidad de los auditores.
AI.1
26
1.4 ISO/IEC 17021:2006
Proceso de auditora (9)

Mdulo 3 de la asignatura AI.

1. ISO 19011.
2. ISO 17021.

AI.1
27
1.5 ISO/IEC 27006

ISO/IEC 27006 - Requisitos para acreditacin de
entidades de auditora y certificacin de sistemas de
gestin de seguridad de la informacin.

La norma internacional ISO/IEC 27006 especifica los
requisitos y proporciona orientacin para los organismos
que realizan la auditora y certificacin de un sistema de
gestin de seguridad (SGSI), adems de los requisitos
contenidos en la norma ISO / IEC 17021 e ISO / IEC 27001.

Versin actual: ISO/IEC 27006:2007
AI.1
28
1.5 ISO/IEC 27006
Principios generales (4)

1. Imparcialidad (4.2 imparciality):
1. Serlo y parecerlo.
2. Opiniones basadas en evidencias objetivas.
3. Amenazas (threats).
2. Competencia (4.3 competence): demostrable.
3. Responsabilidad (4.4 responasability): Evidencia
suficiente de conformidad. (sufficient evidence of
conformity)
4. Transparencia (4.5 openness): sobre el proceso de
auditora y certificacin.
5. Confidencialidad (4.6 confidentiality): sobre la informacin
manejada durante la auditora.
6. Capacidad de respuesta a las quejas (4.6 responsiveness
to complaints).
The principles from
ISO/IEC 17021:2006,
Clause 4 apply
AI.1
29
1.5 ISO/IEC 27006

1. Legales y normativos.
2. Acuerdos para certificar: acreditacin.
3. Responsabilidad respecto a las decisiones y opiniones
de auditora.
4. Imparcialidad y conflictos de intereses (amenaza).
5. Incompatibilidad entre auditora y consultora: +17021
6. Responsabilidad: riesgos en el proceso de auditora.
7. Fuentes de financiacin no comprometen la imparcialidad.
The principles from
ISO/IEC
17021:2006, Clause
5 apply
AI.1
30
1.5 ISO/IEC 27006

Incompatibilidad entre auditora y consultora: +17021
1. Proveer formacin en seguridad sin especificaciones
concretas de la organizacin a auditar.
2. Proveer directrices generales sobre implementacin
de la seguridad sin dar recomendaciones concretas.
3. Participar en auditoras de segunda o tercera parte.
4. Dar recomendaciones generales en la auditoras.
5. La auditora de certificacin no mantiene
interrelaciones con las auditoras internas.
AI.1
31
1.5 ISO/IEC 27006
Requisitos organizacionales (6)


1. Competencia en sistemas de gestin.
2. Competencia en seguridad de la informacin
3. Competencia en normativa legal y sectorial.
4. Competencia en anlisis y gestin de riesgos.
5. Conocimiento de la organizacin a auditar.
6. Competencia en proceso auditora (19011, 17021 y 27007).
The principles from ISO/IEC 17021:2006, Clause 6 apply
The principles from ISO/IEC 17021:2006, Clause 7 apply
And +17021
AI.1
32
1.5 ISO/IEC 27006

Competencia y cualificacin demostrable del auditor jefe,
auditores y expertos tcnicos:
1. Formacin.
2. Proceso de auditora.
3. Gestin de la seguridad de los S.I.: ISO/IEC 27001.
4. Experiencia.
5. Certificaciones profesionales.
6. Conocimiento de la organizacin a auditar.
ISO/IEC 27006 7.2.1.2
AI.1
33
1.5 ISO/IEC 27006

Proceso de auditora (9)

Mdulo 3 de la asignatura AI .

1. ISO 19011.
2. ISO 17021.
3. ISO 27006.
4. ISO 27007: gua de auditora de un SGSI.

AI.1
34
1.6 Bibliografa
www.isaca.org
www.intosai.org
www.enac.org
www.aenor.org
www.iso.org
www.bsigroup.es
www.applus.com/
www.bureauveritas.es

AI.1
35
Dudas, preguntas y reflexiones

AI1 Introducci N AI PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

AI1 Introducci N AI PDF

Загружено:

Авторское право:

Доступные форматы

1 Introduccin a la AI

Вам также может понравиться