auditoría de tecnologías de la información: realidad y nuevos retos octubre 2015

Auditoría de Tecnologías de la Información: realidad y

nuevos retos

Octubre 2015

Speaker Bio & Company Information

• Antonio de la Madrid Campuzano

– Auditoría (2000- 2015)• Jefe de Auditoría de Tecnologías de Ia Información

en Telefónica España

– Consultoría (1997-2000)• Senior Consultant Accenture

– Vocal de la Junta Directiva del Capítulo de ISACA –Madrid de Formación y Certificaciones

– CISA - Certified Information Systems Auditor por ISACA

– CIA – Certified Internal Auditor por IIA

– Auditor Líder BS7799 ISO/IEC 27001

– ITIL Foundation

Agenda

Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

El concepto de Control Interno.

¿Cómo trabajamos? Los Principios y las Normas

El Proceso de Auditoría

Tipos de Auditorias TI

¿Cuáles son los retos para Auditoria TI?

01

02

03

04

05

06

Agenda

Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

El concepto de Control Interno

¿Cómo trabajamos? Los Principios y las Normas

El Proceso de Auditoría

Tipos de Auditorias TI

¿Cuáles son los retos para Auditoria TI?

01

02

03

04

05

06

01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

D. Auditoría Interna

Calidad Financiera Procesos TI

Agenda

Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

El concepto de Control Interno

¿Cómo trabajamos? Los Principios y las Normas

El Proceso de Auditoría

Tipos de Auditorias TI

¿Cuáles son los retos para Auditoria TI?

01

02

03

04

05

06

02 El concepto de Control Interno

El Sistema de Control Interno de una organización, comprende todos aquellos procesos que aseguren razonablemente:

– El cumplimiento de políticas, leyes y normas

– La integridad patrimonial

– La eficacia y eficiencia de las operaciones

– La fiabilidad de la información financiera– Una adecuada gestión de riesgos, de acuerdo con los objetivos

estratégicos de la compañía

El CONTROL INTERNO es un PROCESO que llevan a cabo TODAS LAS PERSONAS que actúan en LOS DISTINTOS NIVELES DE LA ORGANIZACIÓN, pensado y enfocado para facilitar la consecución de los OBJETIVOS de la ORGANIZACIÓN.

02 El concepto de Control Interno

Agenda

Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

El concepto de Control Interno

¿Cómo trabajamos? Los Principios y las Normas

El Proceso de Auditoría

Tipos de Auditorias TI

¿Cuáles son los retos para Auditoria TI?

01

02

03

04

05

06

03 ¿Cómo trabajamos? Los Principios y las Normas

MARCO INTERNACIONAL PARA LA PRACTICA PROFESIONAL

Aprobado por el Instituto Global de Auditores Internos (IIA) es un referente fundamental para todo profesional que desempeñe la actividad de auditoria interna en el mundo.

El objetivo es proporcionar una guía coherente que facilite la interpretación y aplicación de conceptos, metodologías y técnicas fundamentales para la profesión.

CÓDIGO DE ÉTICA, en el que se establecen los principios que rigen el comportamiento de los individuos y organizaciones que ejercen la auditoría interna.

Las NORMAS están concebidas como principios y proporcionan un marco para desarrollar y promover la auditoría interna, además de dar las bases para evaluar el desempeño de la auditoría interna.

03 ¿Cómo trabajamos? Los Principios y las Normas

AUTORIZACIÓN

ALCANCE

OBJETIVOS

MISIÓN

Agenda

Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

El concepto de Control Interno

¿Cómo trabajamos? Los Principios y las Normas

El Proceso de Auditoría

Tipos de Auditorias TI

¿Cuáles son los retos para Auditoria TI?

01

02

03

04

05

06

Inputs de Auditoría

04 El Proceso de Auditoría

Remoto Posible Muy Posible Probable Muy Probable

0% - 10% 11% - 30% 31% - 50% 51% - 80% 81% -100%

Probabilidad

Imp

ac

toM

uy

Alt

o

Alt

o

Med

io

Baj

o

Mu

y B

ajo

17

2

1

11

7

8

5 6

13

14

12

20

11

18 15

4

9

10

3

1921

2123

4

27

12

29

24

13

7

1814

11

19

5

10

16

30

17

20

28

31

22

13

15

26

2

6

98

25

04 El Proceso de Auditoría

PLAN GENERAL

PLANIFICACIÓN DE UNA

AUDITORÍA

TRABAJODE

CAMPO

COMUNICACIÓN DE

RESULTADOS

SEGUIMIENTO DE LOS

RESULTADOS

- Riesgos y controles a evaluar.

- Diseño de pruebas a realizar.

- Recursos materiales y humanos asignados al trabajo.

- Apertura del trabajo.

- Deficiencias encontradas.

- Supervisión del trabajo.

-Documentar los papeles de trabajo.

- Cierre

- Documento de informe: redacción de conclusiones y recomndaciones

- Rating

- Negociación de planes de mejora.

- Distribución a Alta Dirección

- Registro en los sistemas de Auditoría

- Seguimiento del grado de avance de la implantación de los planes de mejora.

Plan a 1 ó 2 años, que incorpora propuestas de:

- Análisis de riesgos

- Alta dirección

- Comisión de Auditoría, etc.

Tiene en cuenta, recursos, frecuencia, etc.

Agenda

Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

El concepto de Control Interno

¿Cómo trabajamos? Los Principios y las Normas

El Proceso de Auditoría

Tipos de Auditorias TI

¿Cuáles son los retos para Auditoria TI?

01

02

03

04

05

06

05 Tipos de Auditorias TI

01 Auditoría de procesos TI

05 Tipos de Auditorias TI

01 Auditoría de procesos TI

05 Tipos de Auditorias TI

01 Auditoría de procesos TI

Algunos procesos críticos vinculados a la entrada de nuevo software, hardware y configuraciones:

Gestión de Cambios Gestión de la Configuración Despliegues de red Lanzamiento de nuevos servicios

Revisión in situ de los controles de: Seguridad en el diseño: controles adecuados desde el inicio Bastionado de servidores, BBDD, equipos de red, etc. Acompañamiento en proyectos críticos

05 Tipos de Auditorias TI

02 Servicios Externalizados

Inclusión de aspectos de Seguridad

Control del Servicio

SLA’s,

Penalizaciones

05 Tipos de Auditorias TI

03 Seguridad Física y Control Ambiental

05 Tipos de Auditorias TI

03 Seguridad Física y Control Ambiental

Revisión de los procedimientos de autorización a los centros de tratamiento: CPDs (Sistemas de Información) Centros Industriales Salas de Comunicaciones

Revisión in situ de los controles de: Acceso Climatización Temperatura Humedad SAIs: Baterías, Grupos Electrógenos Estado general de las salas, cableado, limpieza, suelo técnico Pruebas de planes de contingencia

05 Tipos de Auditorias TI

04 Auditoría de Seguridad: Hacking Ético

Equipo externo especializado

Apoyo a las Auditorías Internas

Identificación de objetivos

Con información parcial

Perimetrales sobre activos expuestos

Redes y servidores Internos

05 Tipos de Auditorias TI

04 Auditoría de Seguridad: Redes de TI

Elementos: Routers, Switches, Firewalls, etc.

Bastionado: Servicios y protocolos habilitados, etc

Autenticación, Autorización, Accounting - AAA

Flujos de tráfico Routers: ACLs Firewalls: Reglas FW

Backups, Incidencias Operativas de cambios Etc.

05 Tipos de Auditorias TI

04 Auditoría de Seguridad: Redes como ISP

Principales Dominios de Red Acceso Fijo Acceso Móvil Femtonodos REM - Metropolitan Area

Networks IP Única Packet Core Móvil Transporte IMS - New Generation Networks Redes de Empresas

Plataformas de Servicios Televisión IP Prepago CDN – Content Delivery Network

05 Tipos de Auditorias TI

04 Auditoría de Seguridad: Aplicaciones

Revisión en diferentes niveles: Servidor / Sistema Operativo:

o Sistemas Abiertos: Servidor Web, Servidor Aplicación, Back-end Base Datos, etc.

o Mainframe: Z/OS, RACF Base de Datos: Oracle, DB2, SQL Server, etc. Aplicación: Desarrollos Propietarios, Aplicaciones Comerciales (Meta-4,

SAP/R3, etc.)

Verificación de los controles y parámetros que definen (AAA) Autenticación,

Autorización, Accounting: Configuración de Acceso: LDAPs, Protocolos, ficheros de configuración Definición de perfiles: Distintos niveles de Autorización de Acceso a

Datos Bitácoras de actividad, Logs Etc.

05 Tipos de Auditorias TI

04 Auditoría de Seguridad: Aplicaciones

05 Tipos de Auditorias TI

05 Auditoría Continua

05 Tipos de Auditorias TI

05 Auditoría Continua

Acceso a las Plataformas de Gestión de Log Definición de consultas Monitorización eventos de control Reporte a áreas afectadas

05 Tipos de Auditorias TI

06 Auditorías de cumplimiento

Otras Regulaciones

Ley Comercio ElectrónicoLey General de Telecomunicaciones

Estándares ISO 27002ISO 20000

Calidad Servicio

Regulación de Consumo y Competencia

Indicadores SETSI – Secretaría Estado Telecomunicaciones

Legal auditable

SOX - Sarbanes - Oxley, LOPD - Protección de Datos Personales

Investigación de fraudes internos Busca obtención de evidencias válidas ante un proceso judicial

• Respaldo legal de la Compañía• Respaldo RRHH• Garantías para el personal• Salvaguarda de la cadena de custodia

HW y SW específico para las investigaciones: • Imagen forense copia bit a bit• Huella de integridad digital de la imagen forense• Software de análisis (búsqueda de frases, palabras críticas, etc.)

Multidispositivo: PC, Portátiles, SmartPhones, Móviles, PDAs, etc.

07 Forense

05 Tipos de Auditorias TI

08 Otras tipologías

05 Tipos de Auditorias TI

Planes de Continuidad de Negocio

Planes de Contingencia de TI

Redes Almacenamiento

Revisión Centros Industriales

Microinformática: Seguridad en el Puesto de Trabajo

Conservación de Datos

Servicios de Reprografía e Impresión

Etc.

Agenda

Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?

El concepto de Control Interno

¿Cómo trabajamos? Los Principios y las Normas

El Proceso de Auditoría

Tipos de Auditorias TI

¿Cuáles son los retos para Auditoria TI?

01

02

03

04

05

06

06 ¿Cuáles son los retos para Auditoria TI?

+ Tecnología- Recursos

Nuevas plataformas, dispositivos, Apps…hay que llegar a más con menos

Calidad SWentregado

Software y aplicaciones más abiertos y expuestos (OWASP)

Shadow IT Adquisición de servicios TI de forma departamental (Cloud, Sw,..)

Auditoríascumplimiento

SOX, LOPD Automatizar y ganar eficiencia y agilidad

ProtocolosEvolución de las comunicaciones desde protocolos cerrados o poco conocidos a estándares muy conocidos como Ethernet, IP (VoLTE)

Preguntas….

antonio.delaMadridCampuzano@telefonica.com