14.11.2007 1
LOGO COLABORADOR
14.11.2007 2
LOGO COLABORADOR
ASPECTOS LEGALES DE LA AUDITORÍA DE SISTEMAS
José Manuel MuñozAbogado y Auditor CISA
14.11.2007 3
LOGO COLABORADOR
INTRODUCCIÓN
UNA VISIÓN TRANSVERSAL
14.11.2007 4
LOGO COLABORADOR
INTRODUCCIÓN
ASPECTOS LEGALES
PREVIOS I INTEGRADOS I CONSECUENTES
14.11.2007 5
LOGO COLABORADOR
ESTATUTO I CONTRATO DE AUDITORÍA
ESTATUTO I CONTRATO DE AUDITORIA
14.11.2007 6
LOGO COLABORADOR
ESTATUTO I CONTRATO DE AUDITORÍA
AUTORIDAD
ALCANCE
OBJETIVO
RESPONSABILIDAD
14.11.2007 7
LOGO COLABORADOR
ESTATUTO I CONTRATO DE AUDITORÍA
OBJETIVOS GENERALES DE UNA AUDITORÍA DE SISTEMAS
> EXISTENCIA DE CONTROLES INTERNOS-ADMINISTRACIÓN DEL RIESGO
> CUMPLIMIENTO DE REQUERIMIENTOS
> CONFIDENCIALIDAD, INTEGRIDAD, CONFIABILIDAD Y DISPONIBILIDAD DE
LA INFORMACIÓN
14.11.2007 8
LOGO COLABORADOR
ESTATUTO I CONTRATO DE AUDITORÍA
REQUERIMIENTOS LEGALESQUE AFECTAN AL ALCANCE Y OBJETIVOS DE LA AUDITORÍA
> APLICABLES A LA AUDITORÍA
LEYES, ACUERDOS REGULATORIOS, CONTRATOS
> APLICABLES A LA ORGANIZACIÓN AUDITADA
ACTIVIDAD, SISTEMAS, BASES DE DATOS, INFORMES, ETC.
14.11.2007 9
LOGO COLABORADOR
ESTATUTO I CONTRATO DE AUDITORÍA
EJEMPLOS POR SECTORES O MATERIAS
LOPD I LSSI-CE I SANIDAD I TELECOMUNICACIONES I BANCA I SEGUROS I BOLSA I OTROS
14.11.2007 10
LOGO COLABORADOR
ESTATUTO I CONTRATO DE AUDITORÍA
RESPONSABILIDAD
LA INFORMACIÓN ES UN ACTIVO PRINCIPAL PARA LAS ORGANIZACIONES
> AUDITORÍAS DE SISTEMAS DE INFORMACIÓN> AUDITORÍAS FINANCIERAS > AUDITORÍAS INTEGRADAS> AUDITORÍAS LEGALES I ADECUACIÓN> AUDITORÍAS FORENSES> DUE DILIGENCE
14.11.2007 11
LOGO COLABORADOR
ESTATUTO I CONTRATO DE AUDITORÍA
RESPONSABILIDAD CIVIL I PENAL I PROFESIONAL
14.11.2007 12
LOGO COLABORADOR
AUDITORÍA DE SISTEMAS
AUDITORÍA DE SISTEMAS
14.11.2007 13
LOGO COLABORADOR
AUDITORÍA DE SISTEMAS
DETECCIÓN DEL FRAUDE I ACTOS ILÍCITOS
14.11.2007 14
LOGO COLABORADOR
AUDITORÍA DE SISTEMAS
POSIBLES ACTUACIONES ANTE IRREGULARIDADES/ACTOS ILÍCITOS
> COMUNICACIÓN A LA DIRECCIÓN
> COMUNICACIÓN A LAS AUTORIDADES COMPETENTES
> RESOLUCIÓN DEL CONTRATO
14.11.2007 15
LOGO COLABORADOR
AUDITORÍA DE SISTEMAS
AUDITORÍA DE LA ARQUITECTURA DEL SISTEMA Y SOFTWARE
14.11.2007 16
LOGO COLABORADOR
AUDITORÍA DE SISTEMAS
SOFTWARE
> PREVENCIÓN Y DETECCION DEL USO DE SOFTWARE ILEGAL
> REVISIÓN DE LAS POLÍTICAS Y PROCEDIMIENTOS DOCUMENTADOS PARA LA
PROTECCIÓN DEL USO NO AUTORIZADO O COPIA DEL SOFTWARE
> REVISIÓN DEL INVENTARIO DEL SOFTWARE UTILIZADO Y LICENCIADO
> REVISIÓN DE CONTRATO DE LICENCIA
> REVISIÓN DE UNA MUESTRA ALEATORIA EN SERVIDORES Y PCs USUARIO
14.11.2007 17
LOGO COLABORADOR
AUDITORÍA DE SISTEMAS
AUDITORÍA DE LA INFRAESTRUCTURA Y DE LAS OPERACIONES
14.11.2007 18
LOGO COLABORADOR
AUDITORÍA DE SISTEMAS
REVISIÓN
> HARDWARE (PLANES Y CRITERIOS DE ADQUISICIÓN)
> SISTEMA OPERATIVO
> BASES DE DATOS
> INFRAESTRCUTURA DE RED Y CONTROLES OPERATIVOS
> OPERACIONES DE SI
> OTROS
14.11.2007 19
LOGO COLABORADOR
AUDITORÍA DEL GOBIERNO TI
AUDITORÍA DEL GOBIERNO TI
ESTRUCTURA E IMPLEMENTACIÓN
14.11.2007 20
LOGO COLABORADOR
AUDITORÍA DEL GOBIERNO TI
REVISIÓN DE DOCUMENTACIÓN Y COMPROMISOS CONTRACTUALES
14.11.2007 21
LOGO COLABORADOR
AUDITORÍA DEL GOBIERNO TI
REVISIÓN DE DOCUMENTACIÓN
ESTRATEGIAS, PLANES Y PRESUPUESTOS DE TI I POLÍTICAS DE SEGURIDADI CUADROS ORGANIZATIVOS Y FUNCIONALES I DESCRIPCIONES DE PUESTOS DE TRABAJO I REPORTES DEL COMITÉ DE DIRECCIÓN I PROCEDIMIENTOS DE DESARROLLO DE SISTEMAS Y DE CAMBIO DE PROGRAMAS I PROCEDIMIENTOS DE OPERACIONES I MANUALES DE RECURSOS HUMANOS I PROCEDIMIENTOS DE ASEGURAMIENTO DE LA CALIDAD (SI)
14.11.2007 22
LOGO COLABORADOR
AUDITORÍA DEL GOBIERNO TI
REVISIÓN DE CONTRATOS
HARDWARE I SOFTWARE I NETWARE I PEOPLEWARE I SERVICIOS TI
14.11.2007 23
LOGO COLABORADOR
AUDITORÍA DEL GOBIERNO TI
CICLO DE VIDA DE LOS CONTRATOS
1. DEFINICIÓN Y DESARROLLO DE LOS REQUERIMIENTOS
2. PROCESO DE LICITACIÓN3. PROCESO DE SELECCIÓN
4. ACEPTACIÓN Y FORMALIZACIÓN DEL CONTRATO
5. MANTENIMIENTO DEL CONTRATO6. CUMPLIMIENTO DEL CONTRATO
14.11.2007 24
LOGO COLABORADOR
AUDITORÍA DEL GOBIERNO TI
REVISIÓN DEL CUMPLIMIENTO DE REQUERIMIENTOS LEGALES
14.11.2007 25
LOGO COLABORADOR
AUDITORÍA DE INTRUSIÓN
AUDITORÍA DE INTRUSIÓN
PRUEBAS DE PENETRACIÓN / HACKING ÉTICO
14.11.2007 26
LOGO COLABORADOR
AUDITORÍA DE INTRUSIÓN
ALCANCE
> AUTORIZACIÓN EXPRESA> DIRECCIONES/RANGOS IPs A SER PROBADOS> ANFITRIONES RESTRINGIDOS (NO DEBEN SER PROBADOS)> TÉCNICAS ACEPTABLES DE PRUEBA (INGENIERÍA SOCIAL, INYECCIONES DE SQL,...)> METOLOGÍA PROPUESTA> HORARIO DE LOS SIMULACROS DE ATAQUE> DIRECCIONES DE IP DE ATAQUE SIMULADO (DIFERENCIA ATAQUE REAL)> NDA - CONFINDECIALIDAD> COMUNICACIÓN A LA FUERZAS Y CUERPOS DE SEGURIDAD O AUTORIDADES DE
CONTROL(SIMULACROS DE ATAQUE RESTRINGIDOS EN FUNCIÓN DEL PAÍS)
> INFORMACIÓN DE LOS RIESGOS
14.11.2007 27
LOGO COLABORADOR
AUDITORÍA FORENSE
AUDITORÍA FORENSE
14.11.2007 28
LOGO COLABORADOR
AUDITORÍA FORENSE
OBTENCIÓN Y PROTECCIÓN DE LA EVIDENCIA I CUSTODIA I ENTREGA
14.11.2007 29
LOGO COLABORADOR
AUDITORÍA FORENSE
ORIGEN I OBJETIVIDAD I TIEMPO DE DISPONIBILIDAD I LEGALIDAD
14.11.2007 30
LOGO COLABORADOR
AUDITORÍA FORENSE
EL INFORME/DICTAMEN PERICIAL
14.11.2007 31
LOGO COLABORADOR
AUDITORÍA FORENSE
LA DEFENSA DEL INFORME
(PROCEDIMIENTOS JUDICIALES O ARBITRALES)
14.11.2007 32
LOGO COLABORADOR
AUDITORÍA DEL BCP
AUDITORÍA DEL PLAN DE CONTINUIDAD DEL NEGOCIO
14.11.2007 33
LOGO COLABORADOR
AUDITORÍA DEL BCP
DOCUMENTOS A REVISAR
> PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
> CONTRATO DE PROCESAMIENTO ALTERNATIVO(PRUEBAS PERIÓDICAS, ESCROW CÓDIGO FUENTE, GARANTIAS Y RESPONSABILIDADES )
> CONTRATO DE SEGURO(VERIFICACIÓND DE LA COBERTURAS)
14.11.2007 34
LOGO COLABORADOR
AUDITORÍA LEGAL DE SI
AUDITORÍA LEGAL I ADECUACIÓN I CUMPLIMIENTO
14.11.2007 35
LOGO COLABORADOR
AUDITORÍA LEGAL DE SI
ADECUACIÓN
LEGISLACIÓN NACIONAL O INTERNACIONAL
> PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD)> SERVICIOS DE SOCIEDAD DE LA INFORMACIÓN I COMERCIO ELECTRÓNICO (LSSI-CE - LISI)> ADMINISTRACIÓN ELECTRÓNICA> GOBIERNO TI (SOX)> PROPIEDAD INTELECTUAL> FIRMA ELECTRÓNICA> SANIDAD> PREVENCIÓN DE RIESGOS LABORALES> TELECOMUNICACIONES> BANCA> SEGUROS> BOLSA> AERONÁUTICA> OTROS
14.11.2007 36
LOGO COLABORADOR
AUDITORÍA LEGAL DE SI
PARA DETERMINAR EL NIVEL DE CUMPLIMIENTO
> IDENTIFICAR LOS REQUERIMIENTOS
> DOCUMENTAR LEYES Y NORMAS> DETERMINAR SI CONSTITUYERON EL MARCO DE PLANES, POLÍTICAS, ESTÁNDARES Y
PROCEDIMIENTOS
> REVISAR LOS DOCUMENTOS INTERNOS
> CUMPLIMIENTO CON LOS PROCEDIMIENTOS DE ADECUACIÓN
14.11.2007 37
LOGO COLABORADOR
EL INFORME DE AUDITORÍA
INFORME DE AUDITORÍA
14.11.2007 38
LOGO COLABORADOR
EL INFORME DE AUDITORÍA
INTRODUCCIÓN I PRESENTACIÓN DE LA ENTIDAD AUDITADA I OBJETIVO I ALCANCE I PERÍODO I LIMITACIONES I METOLOGÍAS Y PROCEDIMIENTOS IEJECUCIÓN DEL TRABAJO I CONCLUSIÓN/OPINIÓN I RESERVAS Y CALIFICACIONES I HALLAZGOS Y RECOMENDACIONES I DIFUSIÓN DEL INFORME