You are on page 1of 12

Introduccin

a la auditora
informtica

Ing. Edwyn Sanders

Introduccin a la auditora informtica

ndice

1. Tipos de auditoras ......................................................................

1.1. Auditora de seguridad ..............................................................

1.2. Certificacin de seguridad ........................................................

2. Equipo auditor ..............................................................................

2.1. Independencia de auditora ......................................................

2.2. Cdigo de conducta del equipo auditor ...................................

2.3. Perfil de los auditores ...............................................................

10

2.4. Perfil del auditor jefe ................................................................

11

2.5. Distribucin de funciones .........................................................

11

2.6. Personal de auditora ................................................................

12

1. Tipos de auditoras

Una auditora es el proceso de revisar las diferentes medidas de seguridad que tiene implantadas una organizacin frente a un marco de referencia. La realiza una entidad independiente.

Desde el punto de vista de las auditoras de seguridad, nos encontramos con


dos tipos fundamentales:

Auditora de seguridad

Certificacin de seguridad

1.1. Auditora de seguridad


La auditora de seguridad se incorpora directamente al proceso interno de la
organizacin de gestin de la seguridad de la informacin y comprueba que la
implantacin de los controles de seguridad cumple con lo establecido en las
diferentes polticas dictadas por la organizacin y que ha sido implantado de
forma tcnicamente correcta. Estos procesos consisten, por tanto, en la revisin de las medidas de seguridad sin ms objetivo que dictaminar si la seguridad es correcta o si presenta deficiencias en el alcance que se haya determinado frente a una referencia dada, que puede ser la propia poltica de seguridad
de la organizacin o una norma como la ISO/IEC 17799:2005, o COBIT.
Es importante destacar que al tratarse de un proceso interno del SGSI, la auditora tendr definido un alcance que, como mximo, ser el mismo que el del
propio SGSI; aunque tambin podr centrarse en un alcance ms reducido: un
tipo de infraestructura, una aplicacin, un proceso del SGSI concreto como
por ejemplo el cumplimiento de algn aspecto legal relativo a la privacidad,
la proteccin de datos personales, o los procesos relacionados con la gestin
del personal (procesos de seleccin, entrenamiento, terminacin de contratos,
etc.).

En cualquier caso es esencial antes de abordar un proceso de auditora


definir tanto el alcance como la referencia contra la que se quiere auditar.

Introduccin a la auditora informtica

Introduccin a la auditora informtica

Ms adelante trataremos con un mayor detalle los aspectos que intervendrn


en la auditora que revisa los aspectos tcnicos de la implantacin de controles.
Por lo tanto, nos interesaremos en las revisiones a realizar en los controles
tcnicos de seguridad implantados a nivel de la infraestructura de red o los
servicios que se ofrecen sobre estas infraestructuras.
Estas auditoras pueden ser realizadas o por un grupo interno o por una entidad
externa, pero en cualquiera de los dos casos es importante una independencia
suficiente del equipo auditor frente al equipo implantador y de operaciones
para poder garantizar la calidad del resultado.
Las auditorasinternas podrn realizarse siempre que las organizaciones posean un grupo de auditora independiente del rea que se ha de analizar y que
tenga los conocimientos suficientes para dictaminar si las medidas de seguridad son suficientes y si estn correctamente configuradas.
Las auditorasexternas son las que se realizan por empresas externas, totalmente independientes de la organizacin y con conocimientos acreditados en
seguridad. Estas empresas se encargarn de revisar las diferentes medidas de
seguridad.
En los dos casos, el resultado de estos procesos de auditora consiste en la elaboracin de un informe en el que se dictaminan las deficiencias de seguridad
que se hayan podido detectar dentro del alcance que se haya determinado para
la auditora. Es importante tener en cuenta que este informe debe ser lo ms
objetivo, claro, conciso y directo posible. Muy posiblemente estar dirigido
tanto a personal directivo de alto nivel como a mandos intermedios y operativos, por lo que deber organizarse teniendo en cuenta sta circunstancia.
1.2. Certificacin de seguridad

La certificacin de seguridad consiste en que la organizacin que ha implantado la normativa ISO/IEC 27001 (o en su defecto la UNE 71502)
encarga a una organizacin externa acreditada y con unas caractersticas concretas, que analice la implantacin de esta normativa para dictaminar si es correcta. Una vez finalizada su revisin, elaborar un informe y en el caso de que sea favorable se le entrega a la organizacin
un sello que certifica la correcta implantacin de la normativa en la organizacin.

Organizaciones de certificacin
Las certificaciones de seguridad nicamente pueden ser realizadas por organizaciones debidamente acreditadas por entidades denominadas organismosdeacreditacin (como
por ejemplo en Espaa, la ENAC). Es decir, la certificacin nicamente la pueden otorgar
aquellas organizaciones que cumplen con una serie de requisitos comprobados (auditados) por un tercero de confianza (el organismo de acreditacin). Otro aspecto importante
que hay que destacar es que estas organizaciones de certificacin son independientes, es

Ved tambin
En el apartado "Proceso de auditora tcnica de seguridad"
detallaremos los aspectos ms
importantes acerca de las auditoras de seguridad.

decir, no ofrecen servicios de consultora sino que son expresamente auditoras. Algunas
de esas empresas son AENOR, APPLUS, BSi (British Standard Institute), TV, etc.

En cuanto a la realizacin de la auditora y de la certificacin, siempre que


sea en base a la normativa anterior se realizan de la misma forma. La nica
diferencia es el resultado final: slo en el segundo caso puede entregarse un
informe de certificacin.

Introduccin a la auditora informtica

2. Equipo auditor

En este apartado se analizarn los diferentes aspectos que tienen relacin con
los equipos de auditoras que realizan revisiones de los sistemas de gestin de
la seguridad de la informacin tanto de cara a la certificacin como de cara
nicamente la auditora de seguridad.

El equipo auditor es el grupo de personas encargado de ejecutar el proyecto de auditora, tanto en el caso de la revisin de las medidas de
seguridad (auditora de seguridad), como de la revisin de la correcta
implantacin de la normativa ISO/IEC 27001, si se busca la obtencin
de la certificacin.

Como se observa en la siguiente figura, el grupo auditor estar formado por un


auditor lder o auditor jefe, que dirige la auditora, y por un grupo de auditores
que le ayudan en su elaboracin. El nmero de personas incluido depender
de las limitaciones de tiempo/coste y del alcance de la auditora.

Estructura bsica de un equipo de auditora

Los requisitos recomendables que se necesitan para poder pertenecer a un grupo de auditora son los que se reflejan en la figura anterior. Habitualmente
estos requisitos son obligados en el caso de que el equipo deba certificar un
SGSI contra la norma ISO/IEC 27001 y sern controlados por el organismo de
acreditacin.
Las habilidades tcnicas requeridas por el equipo auditor dependern exclusivamente del entorno que haya que auditar, aunque no son esenciales, puesto
que el conocimiento tcnico necesario podr ser incorporado al equipo en los
momentos en que se necesite. El equipo auditor necesita por tanto tener un

Introduccin a la auditora informtica

Introduccin a la auditora informtica

nivel de conocimiento tecnolgico amplio y sobre todo un dominio de sus


interrelaciones, aunque no es necesario que sea exhaustivo en ninguna rea
en particular.
2.1. Independencia de auditora
Con el fin de garantizar su imparcialidad, el equipo auditor no debe participar en la elaboracin de manuales, polticas o procedimientos de una organizacin, ni puede formar parte del grupo que toma decisiones sobre el estado
del sistema de gestin de la seguridad de la informacin. Tampoco puede dar
recomendaciones especficas para el desarrollo del SGSI. S podr, una vez finalizada la auditora, emitir las recomendaciones que considere oportunas.
Por el contrario, el equipo auditor s que puede auditar y certificar el cumplimiento de las especificaciones del sistema de gestin de la seguridad de la informacin; de hecho tiene la obligacin de hacerlo. Tambin debe hacer el
seguimiento de las no conformidades detectadas.
Por otra parte, un miembro del equipo auditor tambin tiene capacidad de
impartir formacin genrica sobre estas normativas o sobre aspectos de seguridad, puede realizar publicaciones sobre interpretaciones relativas a la normativa y, por ltimo, tambin puede realizar auditoras previas a la certificacin
para verificar el estado del sistema de gestin de la seguridad de la informacin.
2.2. Cdigo de conducta del equipo auditor
Especialmente cuando se trata de auditoras de certificacin, los miembros del
equipo auditor han de seguir un cdigo de conducta para asegurar la correcta
realizacin de sus tareas:

Deben actuar de forma veraz e imparcial.

Deben evitar cualquier tipo de asignacin que pueda causar un conflicto


de intereses.

No aceptarn ningn tipo de incentivo, comisin, descuento u otro tipo


de provecho por parte de la organizacin auditada.

No podrn revelar las observaciones de las auditoras a terceros.

No actuarn de forma que puedan perjudicar a ninguna de las partes implicadas en la auditora.

En caso de incumplimiento de este cdigo, se proceder a una investigacin en la que colaborarn para su esclarecimiento.

No conformidad
La no conformidad es un error
en la creacin del SGSI al respecto de la normativa ISO/IEC
27001 o cualquier otro marco
que se tome como referencia
contra el que se est auditando.

10

Introduccin a la auditora informtica

Los miembros del equipo auditor deben estar cualificados para:

Identificar las amenazas, vulnerabilidades e impactos que puedan comprometer los activos de la organizacin.

Discernir las reas de actividad de la organizacin.

Verificar que la organizacin ha identificado correctamente sus riesgos.


Formacin y experiencia del auditor
Los miembros del equipo auditor deben tener una formacin universitaria o experiencia
profesional y formacin que se considere equivalente. Tambin han de tener suficiente
experiencia (habitualmente se consideran cuatro aos) en tecnologas de la informacin.
Deben tener por lo menos dos aos de experiencia en seguridad de las tecnologas de la
informacin y haber realizado un curso de auditora de cinco das.

2.3. Perfil de los auditores


Adems de los requisitos sealados en el subapartado anterior, es recomendable que los auditores que forman parte del equipo auditor cuenten con experiencia previa desarrollando las siguientes actividades, especialmente si la auditora es de certificacin:

Haber revisado la documentacin del sistema de gestin de la seguridad


de la informacin.

Haber revisado el anlisis de riesgos de una organizacin.

Haber auditado la implantacin de un sistema de gestin de la seguridad


de la informacin.

Haber desarrollado los informes relativos a la auditora en la que particip.

Y a nivel personal se requiere, para poder desarrollar el trabajo de auditor, que


sean:

Maduros, profesionales e independientes.

Objetivos, analticos y persistentes.

Realistas y capaces de analizar e interpretar las situaciones en su justa medida.

Flexibles ante nuevas situaciones.

Capaces de percibir situaciones y problemas no declarados.

Experiencia del auditor


En general es aconsejable que
los auditores hayan participado en cuatro auditoras y
al menos en veinte jornadas
completas.

11

Durante la realizacin de la auditora, los auditores deben ser capaces de comprender las diferentes funciones que tienen los empleados de la organizacin
auditada para que durante las entrevistas que realicen se ajusten al nivel y la
autoridad que stos posean.
2.4. Perfil del auditor jefe
El auditor jefe del grupo de auditora ser el encargado de dirigirla. En este
sentido, un auditor, jefe adems de los requisitos indicados en el subapartado
anterior, obligados para cualquier miembro del grupo de auditora, deber:

Ser conocedor del proceso de certificacin.

Haber realizado o participado en tres auditoras como miembro de un equipo de auditora.

Haber demostrado habilidades de comunicacin.

2.5. Distribucin de funciones


Las funciones que debe desempear el auditor jefe dentro del proceso de auditora son las siguientes:

Planifica y gestiona todas las fases de la auditora.

Dirige la primera fase.

Colabora en la seleccin del equipo de auditores.

Controla los conflictos y maneja las situaciones difciles.

Dirige las reuniones con el equipo auditor y el personal auditado.

Toma decisiones sobre la auditora y el SGSI.

Las funciones que pertenecen a los auditores del equipo de auditora son stas:

Apoyan al auditor jefe.

Documentan y apoyan todos los hallazgos.

Realizan el seguimiento de las acciones correctoras para corregir las no


conformidades encontradas.

Introduccin a la auditora informtica

Conocimientos
actualizados
Como es normal, los auditores han de estar actualizados
en los diferentes aspectos relacionados con la seguridad de
la informacin, a travs de la
participacin en cursos, seminarios y dems vas de formacin.

12

2.6. Personal de auditora


Durante la realizacin de la auditora pueden participar ms personas de las
que se han nombrado hasta ahora (auditor jefe, auditores y auditado):

Equipoauditor

Jefe y miembros del equipo: normalmente se trata de una o dos personas.

Auditores en formacin: personal en formacin para convertirse en

Observadores, auditor provisional: puede ser un observador del orga-

auditor.
nismo de acreditacin (por ejemplo, ENAC) para supervisar la auditora.

Expertos, personal asesor: personal que asesora al auditor sobre temas


tcnicos o concretos del negocio o las tecnologas que se auditan.

Testigos e invitados.

Equipodelauditado

Gua: persona de la empresa que acompaa al equipo auditor y le facilita la informacin solicitada. Normalmente ser el responsable del
sistema de gestin de la seguridad de la informacin.

Representante de la direccin: persona autorizada por la empresa para


confirmar la implicacin y compromiso de la direccin con las polticas de seguridad aprobadas.

Observadores, personal en formacin: normalmente personal de la


empresa en formacin como auditor interno.

Consultores: consultor externo que la empresa ha contratado para asesorarle en el desarrollo del SGSI. ste puede asistir a la auditora pero
no debe intervenir en ningn momento.

Introduccin a la auditora informtica