Bloque II. Tema 11. Auditoría informática. Objetivos, alcance y metodología. Técnicas y herramientas. Normas y estándares

Referencias obtenidas del campus virtual UMA.

Auditoría informática. Objetivos, alcance y metodología

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguardar los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Un examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado.

Otra definición sería la actividad para determinar por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su implantación.

En general:

Tipos de auditoría:

Controles internos

El control interno es cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Categorías de los objetivos de los controles informáticos:

Técnicas y herramientas

ITILv3

Referencia: Libros / Introductory View of ITIL v3

IT Infraestructure Library.

Proporciona un marco de trabajo de guía de Mejores Prácticas para la gestión de los servicios TI. Hay unas publicaciones principales (core publications):

Hay certificación para la persona, no para la organización.

Las auditorías en la LOPD

Ver tema LOPD, medidas de seguridad de nivel medio.

Auditoría de la seguridad en ENS

ANEXO III ENS, RD 4/2010, 8 enero.

Revisión y examen independiente de los registros y actividades del sistema para:

La seguridad de los sistemas de información será auditada en los siguientes términos:

  1. Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información.
  2. Que existen procedimientos para resolución de conflictos entre dichos responsables.
  3. Que se han designado personas para dichos roles a la luz del principio de “separación de funciones”.
  4. Que se ha realizado un análisis de riesgos, con revisión y aprobación anual.
  5. Que se cumplen las recomendaciones de protección descritas en el ANEXO II, sobre medidas de seguridad, en función de las condiciones de aplicación en cada caso.
  6. Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.

Niveles de Auditoría

Auditoría a sistemas de categoría BÁSICA:

  1. Los sistemas de categoría BÁSICA o inferior no necesitarán realizar una auditoría. Bastará una autoevaluación realizada por el mismo personal, o en quien éste delegue.
  2. Los informes de autoevaluación serán analizados por el responsable de seguridad competente.

Auditoría a sistemas de categoría MEDIA o ALTA:

  1. El informe de auditoría dictaminará sobre el grado de cumplimiento del presente RD, identificará sus deficiencias y sugerirá las medidas correctoras. Deberá incluir los criterios metodológicos y los datos, hechos y observaciones.
  2. Los informes de auditoría serán analizados por el responsable de seguridad competente.