1 Auditoría de Tecnologías de la Información: realidad y nuevos retosOctubre 2015 1

2 Speaker Bio & Company InformationAntonio de la Madrid Campuzano Auditoría ( ) Jefe de Auditoría de Tecnologías de Ia Información en Telefónica España Consultoría ( ) Senior Consultant Accenture Vocal de la Junta Directiva del Capítulo de ISACA –Madrid de Formación y Certificaciones CISA - Certified Information Systems Auditor por ISACA CIA – Certified Internal Auditor por IIA Auditor Líder BS7799 ISO/IEC 27001 ITIL Foundation

3 Agenda 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos? El concepto de Control Interno. ¿Cómo trabajamos? Los Principios y las Normas El Proceso de Auditoría Tipos de Auditorias TI ¿Cuáles son los retos para Auditoria TI? 02 03 04 05 06

4 Agenda 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos? El concepto de Control Interno ¿Cómo trabajamos? Los Principios y las Normas El Proceso de Auditoría Tipos de Auditorias TI ¿Cuáles son los retos para Auditoria TI? 02 03 04 05 06

5 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?CONSEJO DE ADMINISTRACIÓN ALTA DIRECCIÓN CEO AUDITORÍA INTERNA OPERACIONES TI FINANZAS ETC. COMISIÓN DE AUDITORÍA

6 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos?D. Auditoría Interna Calidad Financiera Procesos TI

7 Agenda 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos? El concepto de Control Interno ¿Cómo trabajamos? Los Principios y las Normas El Proceso de Auditoría Tipos de Auditorias TI ¿Cuáles son los retos para Auditoria TI? 02 03 04 05 06

8 02 El concepto de Control InternoEl Sistema de Control Interno de una organización, comprende todos aquellos procesos que aseguren razonablemente: El cumplimiento de políticas, leyes y normas La integridad patrimonial La eficacia y eficiencia de las operaciones La fiabilidad de la información financiera Una adecuada gestión de riesgos, de acuerdo con los objetivos estratégicos de la compañía El CONTROL INTERNO es un PROCESO que llevan a cabo TODAS LAS PERSONAS que actúan en LOS DISTINTOS NIVELES DE LA ORGANIZACIÓN, pensado y enfocado para facilitar la consecución de los OBJETIVOS de la ORGANIZACIÓN.

9 02 El concepto de Control Interno

10 Agenda 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos? El concepto de Control Interno ¿Cómo trabajamos? Los Principios y las Normas El Proceso de Auditoría Tipos de Auditorias TI ¿Cuáles son los retos para Auditoria TI? 02 03 04 05 06

11 03 ¿Cómo trabajamos? Los Principios y las NormasMARCO INTERNACIONAL PARA LA PRACTICA PROFESIONAL Aprobado por el Instituto Global de Auditores Internos (IIA) es un referente fundamental para todo profesional que desempeñe la actividad de auditoria interna en el mundo. El objetivo es proporcionar una guía coherente que facilite la interpretación y aplicación de conceptos, metodologías y técnicas fundamentales para la profesión. CÓDIGO DE ÉTICA, en el que se establecen los principios que rigen el comportamiento de los individuos y organizaciones que ejercen la auditoría interna. Las NORMAS están concebidas como principios y proporcionan un marco para desarrollar y promover la auditoría interna, además de dar las bases para evaluar el desempeño de la auditoría interna.

12 03 ¿Cómo trabajamos? Los Principios y las NormasAUTORIZACIÓN ALCANCE OBJETIVOS MISIÓN

13 Agenda 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos? El concepto de Control Interno ¿Cómo trabajamos? Los Principios y las Normas El Proceso de Auditoría Tipos de Auditorias TI ¿Cuáles son los retos para Auditoria TI? 02 03 04 05 06

14 04 El Proceso de AuditoríaInputs de Auditoría

15 04 El Proceso de AuditoríaPLAN GENERAL PLANIFICACIÓN DE UNA AUDITORÍA TRABAJO DE CAMPO COMUNICACIÓN DE RESULTADOS SEGUIMIENTO DE LOS RESULTADOS Plan a 1 ó 2 años, que incorpora propuestas de: - Análisis de riesgos - Alta dirección - Comisión de Auditoría, etc. Tiene en cuenta, recursos, frecuencia, etc. - Riesgos y controles a evaluar. - Diseño de pruebas a realizar. - Recursos materiales y humanos asignados al trabajo. - Apertura del trabajo. - Deficiencias encontradas. - Supervisión del trabajo. -Documentar los papeles de trabajo. - Cierre - Documento de informe: redacción de conclusiones y recomndaciones - Rating - Negociación de planes de mejora. - Distribución a Alta Dirección - Registro en los sistemas de Auditoría - Seguimiento del grado de avance de la implantación de los planes de mejora.

16 Agenda 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos? El concepto de Control Interno ¿Cómo trabajamos? Los Principios y las Normas El Proceso de Auditoría Tipos de Auditorias TI ¿Cuáles son los retos para Auditoria TI? 02 03 04 05 06

17 05 Tipos de Auditorias TI 01 Auditoría de procesos TI

18 05 Tipos de Auditorias TI 01 Auditoría de procesos TI

19 01 Auditoría de procesos TI05 Tipos de Auditorias TI 01 Auditoría de procesos TI Algunos procesos críticos vinculados a la entrada de nuevo software, hardware y configuraciones: Gestión de Cambios Gestión de la Configuración Despliegues de red Lanzamiento de nuevos servicios Revisión in situ de los controles de: Seguridad en el diseño: controles adecuados desde el inicio Bastionado de servidores, BBDD, equipos de red, etc. Acompañamiento en proyectos críticos

20 02 Servicios Externalizados05 Tipos de Auditorias TI 02 Servicios Externalizados Inclusión de aspectos de Seguridad Control del Servicio SLA’s, Penalizaciones

21 05 Tipos de Auditorias TI 03 Seguridad Física y Control Ambiental

22 03 Seguridad Física y Control Ambiental05 Tipos de Auditorias TI 03 Seguridad Física y Control Ambiental Revisión de los procedimientos de autorización a los centros de tratamiento: CPDs (Sistemas de Información) Centros Industriales Salas de Comunicaciones Revisión in situ de los controles de: Acceso Climatización Temperatura Humedad SAIs: Baterías, Grupos Electrógenos Estado general de las salas, cableado, limpieza, suelo técnico Pruebas de planes de contingencia

23 05 Tipos de Auditorias TI 04 Auditoría de Seguridad: Hacking Ético Equipo externo especializado Apoyo a las Auditorías Internas Identificación de objetivos Con información parcial Perimetrales sobre activos expuestos Redes y servidores Internos

24 04 Auditoría de Seguridad: Redes de TI05 Tipos de Auditorias TI 04 Auditoría de Seguridad: Redes de TI Elementos: Routers, Switches, Firewalls, etc. Bastionado: Servicios y protocolos habilitados, etc Autenticación, Autorización, Accounting - AAA Flujos de tráfico Routers: ACLs Firewalls: Reglas FW Backups, Incidencias Operativas de cambios Etc.

25 04 Auditoría de Seguridad: Redes como ISP05 Tipos de Auditorias TI 04 Auditoría de Seguridad: Redes como ISP Principales Dominios de Red Acceso Fijo Acceso Móvil Femtonodos REM - Metropolitan Area Networks IP Única Packet Core Móvil Transporte IMS - New Generation Networks Redes de Empresas Plataformas de Servicios Televisión IP Prepago CDN – Content Delivery Network

26 04 Auditoría de Seguridad: Aplicaciones05 Tipos de Auditorias TI 04 Auditoría de Seguridad: Aplicaciones Revisión en diferentes niveles: Servidor / Sistema Operativo: Sistemas Abiertos: Servidor Web, Servidor Aplicación, Back-end Base Datos, etc. Mainframe: Z/OS, RACF Base de Datos: Oracle, DB2, SQL Server, etc. Aplicación: Desarrollos Propietarios, Aplicaciones Comerciales (Meta-4, SAP/R3, etc.) Verificación de los controles y parámetros que definen (AAA) Autenticación, Autorización, Accounting: Configuración de Acceso: LDAPs, Protocolos, ficheros de configuración Definición de perfiles: Distintos niveles de Autorización de Acceso a Datos Bitácoras de actividad, Logs Etc.

27 05 Tipos de Auditorias TI 04 Auditoría de Seguridad: Aplicaciones

28 05 Tipos de Auditorias TI 05 Auditoría Continua

29 05 Tipos de Auditorias TI 05 Auditoría ContinuaAcceso a las Plataformas de Gestión de Log Definición de consultas Monitorización eventos de control Reporte a áreas afectadas

30 06 Auditorías de cumplimiento05 Tipos de Auditorias TI 06 Auditorías de cumplimiento SOX - Sarbanes - Oxley, LOPD - Protección de Datos Personales Legal auditable Ley Comercio Electrónico Ley General de Telecomunicaciones Otras Regulaciones ISO 27002 ISO 20000 Estándares Calidad Servicio Regulación de Consumo y Competencia Indicadores SETSI – Secretaría Estado Telecomunicaciones

31 05 Tipos de Auditorias TI 07 Forense Investigación de fraudes internosBusca obtención de evidencias válidas ante un proceso judicial Respaldo legal de la Compañía Respaldo RRHH Garantías para el personal Salvaguarda de la cadena de custodia HW y SW específico para las investigaciones: Imagen forense copia bit a bit Huella de integridad digital de la imagen forense Software de análisis (búsqueda de frases, palabras críticas, etc.) Multidispositivo: PC, Portátiles, SmartPhones, Móviles, PDAs, etc.

32 05 Tipos de Auditorias TI 08 Otras tipologías Planes de Continuidad de Negocio Planes de Contingencia de TI Redes Almacenamiento Revisión Centros Industriales Microinformática: Seguridad en el Puesto de Trabajo Conservación de Datos Servicios de Reprografía e Impresión Etc.

33 Agenda 01 Auditoría Interna de TI ¿Quiénes somos?¿Dónde estamos? El concepto de Control Interno ¿Cómo trabajamos? Los Principios y las Normas El Proceso de Auditoría Tipos de Auditorias TI ¿Cuáles son los retos para Auditoria TI? 02 03 04 05 06

34 06 ¿Cuáles son los retos para Auditoria TI?Nuevas plataformas, dispositivos, Apps…hay que llegar a más con menos + Tecnología - Recursos Software y aplicaciones más abiertos y expuestos (OWASP) Calidad SW entregado Adquisición de servicios TI de forma departamental (Cloud, Sw,..) Shadow IT SOX, LOPD Automatizar y ganar eficiencia y agilidad Auditorías cumplimiento Evolución de las comunicaciones desde protocolos cerrados o poco conocidos a estándares muy conocidos como Ethernet, IP (VoLTE) Protocolos

35 Preguntas….