Post on 08-Jul-2018
8/19/2019 Metodologias de Auditoria
1/21
UNIVERSIDAD BICENTENARIA DE ARAGUA
VICERECTORADO ACADEMICO
FACULTAD DE INGENIERIA
ESCUELA DE INGENIERIA DE SISTEMAS
MARACAY, VENEZUELA
Metodologías de audto!ía
de sste"as
Fa#ltado!$ B!%$
I&g% 'os( Lus Ce)allos Mo!ales, Lus C%I%$ *+*-**.
Sa& 'oa/uí& de Tu!"e!o, Ma!0o de 12*-
8/19/2019 Metodologias de Auditoria
2/21
La audto!ía de sste"as de &3o!"a#4& es "u5 #o"6le7a 5 6o! ta&to es
&e#esa!o #o&ta! #o& #e!tas 8a)ldades /ue te 6e!"ta& a 6!o9e#8a! al ":;"o este
t6o de audto!ías 5 8a#e! /ue su uso sea el ade#uado 5 o)te&e! el )e&e3#o de
ad/u!! #o& la 6!:#t#a la 8a)ldad &e#esa!a 6a!a !eal0a! u&a #o!!e#ta audto!ía desste"as de &3o!"a#4&%
A#tual"e&te la audto!a de los sste"as de &3o!"a#4& es de3&da #o"o
#ual/ue! audto!a /ue a)a!/ue la !e9s4& 5 e9alua#4& de todos los as6e#tos de los
sste"as auto":t#os de 6!o#esa"e&to de la &3o!"a#4&, lu5e&do los
6!o#ed"e&tos &o auto":t#os !ela#o&ados #o& ellos 5 las &te!3a#es
#o!!es6o&de&tes%
Es &ds6e&sa)le to"a! e& #ue&ta /ue 6a!a 8a#e! u&a ade#uada 6la&ea#4& de
la audto!a e& sste"as de &3o!"a#4&, 8a5 /ue segu! u&a se!e de 6asos 6!e9os /ue
6e!"t!:& d"e&so&a! el ta"aY&3a&te, 122+?%
La audto!ía es u&a 3u4& de d!e##4& #u5a 3&aldad es a&al0a! 5a6!e#a!, #o& 9stas al as e9e&tuales las a##o&es #o!!e#t9as, el #o&t!ol &te!&o de las
o!ga&0a#o&es 6a!a ga!a&t0a! la &teg!dad de su 6at!"o&o, la 9e!a#dad de su
&3o!"a#4& 5 el "a&te&"e&to de la e3#a#a de sus sste"as de gest4&%
8/19/2019 Metodologias de Auditoria
3/21
Ot!as 6os)les de3&#o&es 6uede& se!$
Es u& e;a"e& #o"6!e&s9o de la est!u#tu!a de u&a e"6!esa, e& #ua&to a los
6la&es 5 o)7et9os, "(todos 5 #o&t!oles, su 3o!"a de o6e!a#4& 5 sus e/u6os8u"a&os 5 3ís#os%
@U&a 9s4& 3o!"al 5 sste":t#a 6a!a dete!"&a! 8asta /u( 6u&to u&a o!ga&0a#4&
est: #u"6le&do los o)7et9os esta)le#dos 6o! la ge!ea, así #o"o 6a!a de&t3#a!
los /ue !e/ue!e& "e7o!a!se% >!o5e#tos3&de#a!!e!a, 1222?
*%1 C!te!o de Audto!ía
C!te!o de Audto!a$ olít#as, 6!a#t#as, 6!o#ed"e&tos o !e/ue!"e&tos
#o&t!a los /ue el audto! #o"6a!a la &3o!"a#4& !e#o6lada so)!e la gest4& de
#aldad% Los !e/ue!"e&tos 6uede& lu! est:&da!es, &o!"as, !e/ue!"e&tos
o!ga&0a#o&ales es6e#í3#os, 5 !e/ue!"e&tos legslat9os o !egulados% >asto!,
122?%
*% Audto!ía e& sste"as
Es la !a"a /ue se ea!ga de lle9a! a #a)o la e9alua#4& de &o!"as,
#o&t!oles, t(#&#as 5 6!o#ed"e&tos /ue se te&e& esta)le#dos e& u&a e"6!esa 6a!a
log!a! #o&3a)ldad, o6o!tu&dad, segu!dad 5 #o&3dealdad de la &3o!"a#4& /ue
se 6!o#esa a t!a9(s de los sste"as de &3o!"a#4&% La audto!ía de sste"as es u&a
!a"a es6e#al0ada de la audto!ía /ue 6!o"ue9e 5 a6l#a #oe6tos de audto!ía e& el
:!ea de sste"as de &3o!"a#4&%
*% Audto!ía I&3o!":t#a
La audto!ía e& &3o!":t#a es la !e9s4& 5 la e9alua#4& de los #o&t!oles,
sste"as, 6!o#ed"e&tos de &3o!":t#a= de los e/u6os de #4"6uto, su utl0a#4&,
e3#ea 5 segu!dad, de la o!ga&0a#4& /ue 6a!t#6a& e& el 6!o#esa"e&to de la
8/19/2019 Metodologias de Auditoria
4/21
&3o!"a#4&, a 3& de /ue 6o! "edo del seY&3a&te, 122+?%
1% Audto!ía e& sste"as de &3o!"a#4&
La audto!ía de los sste"as de &3o!"a#4& se de3&e #o"o #ual/ue!
audto!ía /ue a)a!#a la !e9s4& 5 e9alua#4& de todos los as6e#tos >o de #ual/ue!
6o!#4& de ellos? de los sste"as auto":t#os de 6!o#esa"e&to de la
&3o!"a#4&, ludos los 6!o#ed"e&tos &o auto":t#os !ela#o&ados #o& ellos
5 las &te!3a#es #o!!es6o&de&tes% >Agu!!e, 122?
1%* O)7et9os
a!t#6a#4& e& el desa!!ollo de &ue9os sste"as%
E9alua#4& de #o&t!oles
Cu"6l"e&to de la "etodología%
• E9alua#4& de la segu!dad e& el :!ea &3o!":t#a%• E9alua#4& de su3#ea e& los 6la&es de #o&t&gea%
Res6aldos, 6!o9ee! /u( 9a a 6asa! s se 6!ese&ta& 3allas
8/19/2019 Metodologias de Auditoria
5/21
• O6&4& de la utl0a#4& de los !e#u!sos &3o!":t#os%
• Co&t!ol de "od3#a#4& a las a6l#a#o&es e;ste&tes%
• a!t#6a#4& e& la &ego#a#4& de #o&t!atos #o& los 6!o9eedo!es%
• Re9s4& de la utl0a#4& del sste"a o6e!at9o 5 los 6!og!a"as
• Audto!ía de la )ase de datos%
• Audto!ía de la !ed de tele6!o#esos%
• Desa!!ollo de so3ta!e de audto!ía% >Y&3a&te, 122+?
1%1 !o#ed"e&tos
Se !e/ue!e& 9a!os 6asos 6a!a !eal0a! u&a audto!ía de sste"as de
&3o!"a#4&% El audto! de sste"as de)e e9alua! los !esgos glo)ales 5 luego
desa!!olla! u& 6!og!a"a de audto!ía /ue #o&sta de o)7et9os de #o&t!ol 5
6!o#ed"e&tos de audto!ía /ue de)e& sats3a#e! esos o)7et9os% El 6!o#eso de
audto!ía e;ge /ue el audto! de sste"as !eH&a e9dea, e9alHe 3o!tale0as 5
de)ldades de los #o&t!oles e;ste&tes )asado e& la e9dea !e#o6lada, 5 /ue
6!e6a!e u& &3o!"e de audto!ía /ue 6!ese&te esos te"as e& 3o!"a o)7et9a a la
ge!ea% As"s"o, la ge!ea de audto!ía de)e ga!a&t0a! u&a ds6o&)ldad 5
asg&a#4& ade#uada de !e#u!sos 6a!a !eal0a! el t!a)a7o de audto!ía ade":s de las
!e9so&es de segu"e&to so)!e las a##o&es #o!!e#t9as e"6!e&ddas 6o! la ge!ea%
3. Tipos de auditoría
E;ste& algu&os t6os de audto!ía e&t!e las /ue la Audto!ía de Sste"as
&teg!a u& "u&do 6a!alelo 6e!o d3e!e&te 5 6e#ula! !esalta&do su e&3o/ue a la
3u4& &3o!":t#a%
E&t!e los 6!6ales e&3o/ues de Audto!ía te&e"os los sgue&tes$
8/19/2019 Metodologias de Auditoria
6/21
% Metodología de la audto!ía de sste"as de &3o!"a#4&
E;ste& algu&as "etodologías de Audto!ías de Sste"as de &3o!"a#4& 5
todas de6e&de& de lo /ue se 6!ete&da !e9sa! o a&al0a!$
http://www.gestiopolis.com/wp-content/uploads/2012/11/auditoria-de-sistemas-de-informacion.gif
8/19/2019 Metodologias de Auditoria
7/21
• Estudo 6!el"&a!
• Re9s4& 5 e9alua#4& de #o&t!oles 5 segu!dades
• E;a"e& detallado de :!eas #!t#as
• Co"u&#a#4& de !esultados
%* Estudo 6!el"&a!
Ilu5e de3&! el g!u6o de t!a)a7o, el 6!og!a"a de audto!ía, e3e#tua! 9stas
a la u&dad &3o!":t#a 6a!a #o&o#e! detalles de la "s"a, ela)o!a! u& #uesto&a!o
6a!a la o)te4& de &3o!"a#4& 6a!a e9alua! 6!el"&a!"e&te el #o&t!ol &te!&o,
sol#tud de 6la& de a#t9dades, Ma&uales de 6olít#as, !egla"e&tos, E&t!e9stas #o&los 6!6ales 3uo&a!os%
%1 Re9s4& 5 e9alua#4& de #o&t!oles 5 segu!dades
Co&sste de la !e9s4& de los dag!a"as de 3lu7o de 6!o#esos, !eal0a#4& de
6!ue)as de #u"6l"e&to de las segu!dades, !e9s4& de a6l#a#o&es de las :!eas
#!ít#as, Re9s4& de 6!o#esos 8st4!#os, Re9s4& de do#u"e&ta#4& 5 a!#89os,
e&t!e ot!as a#t9dades%
% E;a"e& detallado de :!eas #!ít#as
Co& las 3ases a&te!o!es el audto! des#u)!e las :!eas #!ít#as 5 so)!e ellas
8a#e u& estudo 5 a&:lss 6!o3u&do e& los /ue de3&!: #o!eta"e&te su g!u6o de
t!a)a7o 5 la dst!)u#4& de #a!ga del "s"o, esta)le#e!: los "ot9os, o)7et9os,
al#ae Re#u!sos /ue usa!:, de3&!: la "etodología de t!a)a7o, la du!a#4& de la
audto!ía, !ese&ta!: el 6la& de t!a)a7o 5 a&al0a!: detallada"e&te #ada 6!o)le"aeo&t!ado #o& todo lo a&te!o!"e&te a&al0ado%
8/19/2019 Metodologias de Auditoria
8/21
% Co"u&#a#4& de !esultados
Se ela)o!a!: el )o!!ado! del &3o!"e a se! ds#utdo #o& los e7e#ut9os de la
e"6!esa 8asta llega! al &3o!"e de3&t9o, el #ual se 6!ese&ta!: es/ue":t#a"e&te e&
3o!"a de "at!0, #uad!os o !eda##4& s"6le 5 #osa /ue desta/ue los 6!o)le"as
eo&t!ados, los e3e#tos 5 las !e#o"e&da#o&es de la Audto!ía%
El &3o!"e de)e #o&te&e! lo sgue&te$
• Mot9os de la Audto!ía
• O)7et9os
• Al#ae
• Est!u#tu!a O!g:&#oFuo&al del :!ea
Metodología 6a!a la audto!a de sste"as
COBIT
COBIT 5 ISOJIEC *++$122
Las dos &o!"as &te!&a#o&ales usadas 8o5 so& COBIT Y ISOJIEC *++$122%
COBIT >O)7et9os de Co&t!ol 6a!a la I&3o!"a#4& 5 la Te#&ología !ela#o&ada? 3ue
l)e!ado 5 usado 6!6al"e&te 6o! la #o"u&dad TI% E& *++., las D!e#t!#es de
D!e##4& 3ue!o& ael C4dgo de 6!:#t#a 6a!a
la Segu!dad de I&3o!"a#4& la D!e##4&? es ta")(& u& est:&da! &te!&a#o&al 5 es
la "e7o! 6!:#t#a 6a!a 6o&e! e& 6!:#t#a la d!e##4& de segu!dad% Las dos &o!"as &o
#o"6te& el u&o #o& el ot!o 5 e& !ealdad #o"6le"e&ta& el u&o al ot!o% COBIT
tí6#a"e&te #u)!e u&a ":s a"6la :!ea "e&t!as ISOJIEC *++ 6!o3u&da"e&te es
8/19/2019 Metodologias de Auditoria
9/21
e&3o#ado >#oe&t!ado? e& el :!ea de segu!dad% A)a7o se des#!)e la &te!!ela#4& de
las dos &o!"as así #o"o ISOJIEC *++ 6uede se! &teg!ado #o& COBIT%
Co"6o&e&tes
Resu"e& >Su"a!o? E7e#ut9o
Las de#so&es de &ego#o est:& )asadas e& la &3o!"a#4& o6o!tu&a,
!ele9a&te 5 #osa% E;6!esa"e&te dsela la&3#a#4& 5 la
O!ga&0a#4&, la Ad/us#4& 5 la uesta e& 6!:#t#a, la E&t!ega 5 el A6o5o, la
Su6e!9s4&? 5 6!o#esos de TI%
Ma!#o
U&a o!ga&0a#4& a#e!tada es #o&st!uda so)!e u& "a!#o s4ldo de datos e&3o!"a#4&% El Ma!#o e;6l#a #o"o los 6!o#esos de TI e&t!ega& la &3o!"a#4& /ue
el &ego#o te&e /ue al#a&0a! sus o)7et9os% Esta e&t!ega es #o&t!olada 6o!
o)7et9os de #o&t!ol de alto &9el, u& 6a!a #ada 6!o#eso de TI, #o&te&da e& los #uat!o
do"&os% El Ma!#o se de&t3#a #u:l de los sete #!te!os de la &3o!"a#4& >la
e3#a#a, la e3#a#a, la #o&3dealdad, la &teg!dad, la ds6o&)ldad, el
#u"6l"e&to 5 la 3a)ldad?, así #o"o /ue !e#u!sos TI >la ge&te, usos, te#&ología,
&stala#o&es 5 datos? so& "6o!ta&tes 6a!a los 6!o#esos de TI 6a!a total"e&te a6o5a!
el o)7et9o de &ego#o%
O)7et9os de Co&t!ol
8/19/2019 Metodologias de Auditoria
10/21
La lla9e al "a&te&"e&to de la !e&ta)ldad e& u& a")e&te /ue se #a")a
te#&ol4g#a"e&te es #o"o )e& usted "a&te&e el #o&t!ol% Los O)7et9os de Co&t!ol
del COBIT 6!o9ee& la 6e!s6#a#a >dea? #!ít#a tu9o /ue del&ea! u&a 6!:#t#a #la!a
de 6olít#a 5 )ue&a 6a!a "a&dos de TI% Iludo so& las de#la!a#o&es de !esultadosdeseados u o)7et9os 6a!a se! al#a&0ados 6o! 6o&e&do e& 6!:#t#a los 1* o)7et9os
de #o&t!ol es6e#í3#os, detallados e& todas 6a!tes de los 6!o#esos de TI%
D!e#t!#es De audto!a
A&al#e, e9alHa, 8aga de &t(!6!ete, !ea##o&e, el &st!u"e&to% a!a al#a&0a! sus
o)7et9os deseados 5 o)7et9os usted 5 #o8e!e&te"e&te #o&sta&te"e&te de)e !e9sa!
sus 6!o#ed"e&tos% D!e#t!#es de audto!a 6e!3la& 5 a#o&se7a& a#t9dades !ealesse! !eal0adas #o!!es6o&de&te a #ada u&o de los o)7et9os de #o&t!ol de TI de alto
&9el, 7ust3#a&do el !esgo de o)7et9os de #o&t!ol &o se&do eo&t!ados% D!e#t!#es
de audto!a so& u& &st!u"e&to &est"a)le 6a!a &te!9e&to!es de sste"as de
&3o!"a#4& e& el asegu!a"e&to de d!e##4& /ue 6!o9ee 5Jo el #o&se7o 6a!a la
"e7o!a%
I&st!u"e&to de 6uesta e& 6!:#t#a
U& I&st!u"e&to de uesta e& 6!:#t#a , /ue #o&te&e la Coea de
D!e##4& 5 el Dag&4st#o de Co&t!ol de TI, 5 la Guía de uesta e& 6!:#t#a, FAKs,
estudos de #aso de o!ga&0a#o&es a#tual"e&te /ue usa& COBIT, 5 las 6!ese&ta#o&es
de da6ost9a /ue 6uede& se! usadas &t!odu#! COBIT e& o!ga&0a#o&es% El &ue9o
'uego de I&st!u"e&to es dse9e&ta7osa? 6a!a
6!egu&ta! so)!e #ada COBIT t!ata&$ Este do"&o es "6o!ta&te 6a!a &uest!os
o)7et9os de &ego#o Be& es !eal0ado Ku(& lo 8a#e 5 /ue& es !es6o&sa)le
So& 3o!"al0ados los 6!o#esos 5 el #o&t!ol
8/19/2019 Metodologias de Auditoria
11/21
D!e#t!#es de D!e##4&
a!a asegu!a! u&a e"6!esa a#e!tada, usted #o& e3#a#a de)e "a&e7a! la
u&4& e3#a0 e&t!e 6!o#esos de &ego#o 5 sste"as de &3o!"a#4&% Las &ue9asD!e#t!#es de D!e##4& so& #o"6uestas de Modelos de Madu!e0, a5uda! dete!"&a!
las eta6as 5 los &9eles de e;6e#tat9a de #o&t!ol 5 #o"6a!a!los #o&t!a &o!"as de
&dust!a= Fa#to!es de ;to C!ít#os, 6a!a de&t3#a! las a##o&es ":s "6o!ta&tes
6a!a al#a&0a! #o&t!ol de los 6!o#esos de TI= I&d#ado!es de O)7et9o Cla9es, 6a!a
de3&! los &9eles o)7et9o de 3uo&a"e&to= e I&d#ado!es de Fuo&a"e&to
Cla9es, 6a!a "ed! s u& 6!o#eso de #o&t!ol de TI eue&t!a su o)7et9o% Estas
D!e#t!#es de D!e##4& a5uda!:& a #o&testa! las 6!egu&tas de 6!eo#u6a#4& >&te!(s?
&"edata a todo los /ue te&e& u&a esta#a >u& &te!(s? e& el (;to de la e"6!esa%
ISO 1222
El est:&da! &te!&a#o&al ISOJIEC 1222$122 8a sdo desa!!ollado 6a!a
6!o6o!#o&a! u& "odelo 6a!a esta)le#e!, "6le"e&ta!, "o&to!ea!, !e9sa!, "a&te&e! 5
"e7o!a! u& Sste"a de Ad"&st!a#4& de Segu!dad de I&3o!"a#4& >ISMS 6o! sus
sglas e& I&gl(s I&3o!"ato& Se#u!t5 Ma&age"e&t S5ste"?%
La te#&ología 8a sdo 6e!#)da e& la a#tualdad e& 3o!"a glo)al #o"o
ds6a!ado! de #a")os 6e!"a&e&tes del a")e&te de &ego#os% S& e")a!go, e;ste
u&a dea 6!"o!dal /ue a6a!e#e &"49l #o&t!a esta 3ue!0a te#&ol4g#a /ue "6l#a
/ue las o!ga&0a#o&es /ue so)!e99e&, so& a/uellas /ue e&t!ega& ":s 9alo!
9e!dade!o a sus #le&tes%
La 3u4& de audto!ía #o&t&Ha 6!o6o!#o&a&do se!9#os de asegu!a"e&to
ta&to a #le&tes &te!&os #o"o e;te!&os% Dado /ue la te#&ología "6a#ta la 3o!"a de
8a#e! &ego#os, de)e 8a)e! 3o!"as e3e#t9as 5 sellas 6a!a lle9a! a #a)o la
e9alua#4& de los #o&t!oles /ue de)e& e;st! 6a!a ga!a&t0a! d#8o se!9#o%
8/19/2019 Metodologias de Auditoria
12/21
Ba7o la 6!e"sa a&te!o!, e;ste u& g!a& &te!(s e& el "edo 6o! de&t3#a! los
est:&da!es &te!&a#o&ales /ue so& utl0ados #o"H&"e&te 6o! e"6!esas ta&to
6H)l#as #o"o 6!9adas%
E& a")os se#to!es, se 8a#e& uso de u&a se!e de est:&da!es /ue guía& el
desa!!ollo de 6!o5e#tos de TI, e&t!e ellos se 6uede& "eo&a!$
• D!e#t!#es Ge!eales de COBIT, desa!!ollado 6o! la I&3o!"ato& S5ste"s Audt
a&d Co&t!ol Asso#ato& >ISACA?
• T8e Ma&age"e&t o3 t8e Co&t!ol o3 data I&3o!"ato& Te#8&olog5, desa!!ollado 6o!
el I&sttuto Ca&ade&se de Co&tado!es Ce!t3#ados >CICA?%
• Ad"&st!a#4& de la &9e!s4& de te#&ología de I&9e!s4&$ u& "a!#o 6a!a la
e9alua#4& 5 "e7o!a del 6!o#eso de "adu!e0, desa!!ollado 6o! la O3#&a de
Co&ta)ldad Ge&e!al de los Estados U&dos >GAO?%
• Los est:&da!es de ad"&st!a#4& de #aldad 5 asegu!a"e&to de #aldad ISO +222,
desa!!ollados 6o! la O!ga&0a#4& I&te!&a#o&al de Est:&da!es >ISO?%
• S5sT!ust !6os 5 #!te!os de #o&3a)ldad de Sste"as, desa!!ollados 6o! la
Aso#a#4& de Co&tado!es H)l#os >AICA? 5 el CICA%
• El Modelo de E9olu#4& de Ca6a#dades de so3ta!e >CMM?, desa!!ollado 6o! el
I&sttuto de I&ge&e!ía de So3ta!e >SEI?%
• Ad"&st!a#4& de sste"as de &3o!"a#4&$ U&a 8e!!a"e&ta de e9alua#4&
6!:#t#a, desa!!ollado 6o! la D!e#t9a de Re#u!sos de Te#&ología de I&3o!"a#4&%
•
Guía 6a!a el #ue!6o de #o&o#"e&tos de ad"&st!a#4& de 6!o5e#tos,desa!!ollado 6o! el #o"t( de est:&da!es del &sttuto de ad"&st!a#4& de 6!o5e#tos%
8/19/2019 Metodologias de Auditoria
13/21
• I&ge&e!ía de segu!dad de sste"as Modelo de "adu!e0 de #a6a#dades >SSE
CMM?, desa!!ollado 6o! la agea de segu!dad &a#o&al >NSA? #o& el a6o5o de la
U&9e!sdad de Ca!&ege Mello&%
• Ad"&st!a#4& de segu!dad de &3o!"a#4&$ A6!e&de&do de o!ga&0a#o&es
líde!es, desa!!ollado 6o! la O3#&a de Co&ta)ldad Ge&e!al de los Estados U&dos
>GAO?%
Al#ae de los Est:&da!es%
Est:&da!es de ad"&st!a#4& de #aldad 5 asegu!a"e&to de #aldad ISO
+222, desa!!ollados 6o! la O!ga&0a#4& I&te!&a#o&al de Est:&da!es >ISO?$
• La #ole##4& ISO +222 es u& #o&7u&to de est:&da!es 5 d!e#t!#es /ue a6o5a& a las
o!ga&0a#o&es a "6le"e&ta! sste"as de #aldad e3e#t9os, 6a!a el t6o de t!a)a7o
/ue ellos !eal0a&%
Modelo de E9olu#4& de Ca6a#dades de so3ta!e >CMM?, desa!!ollado 6o!
el I&sttuto de I&ge&e!ía de So3ta!e >SEI?$
• Este "odelo 8a#e 6os)le e9alua! las #a6a#dades o 8a)ldades 6a!a e7e#uta!, de
u&a o!ga&0a#4&, #o& !es6e#to al desa!!ollo 5 "a&te&"e&to de sste"as de
&3o!"a#4&% Co&sste e& *. se#to!es #la9e, ag!u6ados al!ededo! de #o &9eles de
"adu!e0% Se 6uede #o&sde!a! /ue CMM es la )ase de los 6!6os de e9alua#4&
!e#o"e&dados 6o! COBIT, así #o"o 6a!a algu&os de los 6!o#esos de ad"&st!a#4&
de COBIT%
I&ge&e!ía de segu!dad de sste"as Modelo de "adu!e0 de #a6a#dades>SSE CMM?, desa!!ollado 6o! la agea de segu!dad &a#o&al >NSA? #o& el a6o5o
de la U&9e!sdad de Ca!&ege Mello&$
8/19/2019 Metodologias de Auditoria
14/21
• Este "odelo des#!)e las #a!a#te!íst#as eseales de u&a a!/ute#tu!a de
segu!dad o!ga&0a#o&al 6a!a te#&ología de &3o!"a#4& 5 #o"u&#a#4& ele#t!4&#a,
de a#ue!do #o& las 6!:#t#as ge&e!al"e&te a#e6tadas o)se!9adas e& las
o!ga&0a#o&es%
No!"as%
El "odelo CMMI 5 las &o!"as ISO 122*
CMMI
CMMI >Ca6a)lt5 Matu!t5 Model I&teg!ato&? es u& "odelo de "e7o!a de
6!o#esos de #o&st!u##4& de so3ta!e /ue 6!o9ee los ele"e&tos &e#esa!os 6a!a
dete!"&a! su e3e#t9dad%
Este "odelo 6uede se! utl0ado #o"o guía 6a!a "e7o!a! las a#t9dades de
u& 6!o5e#to, :!ea u o!ga&0a#4&, 5a /ue 6!o6o!#o&a u& "a!#o de !e3e!ea 6a!a
e9alua! la e3e#t9dad de los 6!o#esos a#tuales, 3a#lta&do #o& ello la de3& de
a#t9dades, 6!o!dades 5 "etas 6a!a ga!a&t0a! la "e7o!a #o&t&ua%
El "odelo CMMI 5 las &o!"as ISO 122* >#o&t!oles de la &o!"a ISOJIEC
*++?% 1. de Fe)!e!o de 122%
La &e#esdad de u&a gest4& e3#e&te 5 e3#a0 de la te#&ología de la
&3o!"a#4& >TI? 8a 6uesto e& "a!#8a desde 8a#e "u#8os a
8/19/2019 Metodologias de Auditoria
15/21
de ellas !e/ue!e te&e! e& #ue&ta, s"ult:&ea"e&te, a ot!as &o!"as /ue a3e#te& al
"s"o #o&7u&to de TI% o! esta !a04&, 5 dada la !e6e!#us4& a#tual de las &o!"as de
segu!dad de TI, es "6o!ta&te #o&o#e! los !e/ue!"e&tos de estas &o!"as, e&t!e ellas
el #o&7u&to de #o&t!oles de la &o!"a ISO *++, 6a!a esta)le#e! a#e!#a"e&tos o 6u&tos de #o&3luea #o& la &o!"a CMMI%
Segu!dad de la &3o!"a#4& >segH& ISO 122*?$ 6!ese!9a#4& de su
#o&3dealdad, &teg!dad 5 ds6o&)ldad, así #o"o la de los sste"as "6l#ados
e& su t!ata"e&to
• Co&3dealdad$ la &3o!"a#4& &o se 6o&e a ds6os#4& & se !e9ela a
&d9duos, e&tdades o 6!o#esos &o auto!0ados%
• I&teg!dad$ "a&te&"e&to de la e;a#ttud 5 #o"6lettud de la &3o!"a#4& 5
sus "(todos de 6!o#eso%
• Ds6o&)ldad$ a##eso 5 utl0a#4& de la &3o!"a#4& 5 los sste"as de
t!ata"e&to de la "s"a 6o! 6a!te de los &d9duos, e&tdades o 6!o#esos
auto!0ados Cua&do lo !e/ue!a&%
ISOJIEC 1222$ de3&e el 9o#a)ula!o est:&da! e"6leado e& la 3a"la1222 >de3& de t(!"&os 5 #oe6tos?
ISOJIEC 122*$ es6e#3#a los !e/ustos a #u"6l! 6a!a "6la&ta! u& SGSI
#e!t3#a)le #o&3o!"e a las &o!"as 1222
De3&e #4"o es el SGSI, #4"o se gesto&a 5 #u:les so& las !es6o&sa)ldades
de los 6a!t#6a&tes% Sgue u& "odelo DCA >la&DoC8e#PA#t? #o"o 6u&tos
#la9e te&e Gest4& de !esgos Q Me7o!a #o&t&ua
ISOJIEC 1221$ #4dgo de )ue&as 6!:#t#as 6a!a la gest4& de la segu!dad%
I&d#a !e#o"e&da#o&es so)!e /u( "eddas to"a! 6a!a asegu!a! los sste"as de
&3o!"a#4& de u&a o!ga&0a#4&% A su 9e0, des#!)e los o)7et9os de #o&t!ol
8/19/2019 Metodologias de Auditoria
16/21
>as6e#tos a a&al0a! 6a!a ga!a&t0a! la segu!dad de la &3o!"a#4&? 5 es6e#3#a los
#o&t!oles !e#o"e&da)les a "6la&ta! >"eddas a to"a!?
o! ot!a 6a!te, a&tes ISO *++, )asado e& est:&da! BS ++ >e& Es6ae& desa!!ollo, 6e&de&te de 6u)l#a#4&?
ISOJIEC 122$ es6e#3#a las "(t!#as 5 las t(#&#as de "edda a6l#a)les
6a!a dete!"&a! la e3#a#a de u& SGSI 5 de los #o&t!oles !ela#o&ados >e& desa!!ollo, 6e&de&te de 6u)l#a#4&?% Med#4& de los #o"6o&e&tes de la 3ase @Do
>I"6le"e&ta! 5 Utl0a!? del ##lo DCA%
ISOJIEC 122$ gest4& de !esgos de segu!dad de la &3o!"a#4&
>!e#o"e&da#o&es, "(todos 5 t(#&#as 6a!a e9alua#4& de !esgos de segu!dad?
ISOJIEC 122-$ !e/ustos a #u"6l! 6o! las o!ga&0a#o&es ea!gadas de
e"t! #e!t3#a#o&es ISOJIEC 122*
Re/ustos 6a!a la a#!edta#4& de las e&tdades de audto!a 5 #e!t3#a#4&
ISOJIEC 122$ guía de a#tua#4& 6a!a audta! los SGSI #o&3o!"e a las &o!"as
1222
ISOJIEC 12**$ guía de gest4& de segu!dad de la &3o!"a#4& es6e#í3#a 6a!a
tele#o"u&#a#o&es >e& desa!!ollo? ela)o!ada #o&7u&ta"e&te #o& la ITU >U&4&
I&te!&a#o&al de Tele#o"u&#a#o&es?
ISOJIEC 12*$ guía de #o&t&udad de &ego#o e& lo !elat9o a te#&ologías de la
&3o!"a#4& 5 #o"u&#a#o&es >e& desa!!ollo?
8/19/2019 Metodologias de Auditoria
17/21
ISOJIEC 121$ guía !elat9a a la #)e!segu!dad >e& desa!!ollo?
ISOJIEC 121$ guía de segu!dad e& a6l#a#o&es >e& desa!!ollo?
ISOJIEC 1++$ guía 6a!a "6la&ta! ISOJIEC 1221 es6e#í3#a 6a!a e&to!&os
"(d#os
ISO122*
Fase la&3#a#4& >la& esta)le#e! el SGSI?$ Esta)le#e! la 6olít#a, o)7et9os,
6!o#esos 5 6!o#ed"e&tos !elat9os a la gest4& del !esgo 5 "e7o!a! la segu!dad de
la &3o!"a#4& de la o!ga&0a#4& 6a!a o3!e#e! !esultados de a#ue!do #o& las 6olít#as
5 o)7et9os ge&e!ales de la o!ga&0a#4&%
Fase E7e#u#4& >Do "6le"e&ta! 5 gesto&a! el SGSI?$ I"6le"e&ta! 5 gesto&a! el
SGSI de a#ue!do a su 6olít#a, #o&t!oles, 6!o#esos 5 6!o#ed"e&tos%
Fase Segu"e&to >C8e#P "o&to!0a! 5 !e9sa! el SGSI?$ Med! 5 !e9sa! las
6!esta#o&es de los 6!o#esos del SGSI%
Fase Me7o!a >A#t "a&te&e! 5 "e7o!a! el SGSI?$ Ado6ta! a##o&es #o!!e#t9as 5 6!e9e&t9as )asadas e& audto!ías 5 !e9so&es &te!&as o e& ot!a &3o!"a#4&
!ele9a&te a 3& de al#a&0a! la "e7o!a #o&t&ua del SGSI%
ITIL
La de3& ":s #o&9e&te /ue se 8a 6oddo eo&t!a! de ITIL, la de3&e así$
ITIL 6uede se! de3&do #o"o u& #o&7u&to de )ue&as 6!:#t#as dest&adas a "e7o!a! la gest4& 5 6!o9s4& de se!9#os TI% Su o)7et9o Hlt"o es "e7o!a! la #aldad de los
se!9#os TI o3!e#dos, e9ta! los 6!o)le"as aso#ados a los "s"os 5 e& #aso de /ue
estos o#u!!a& o3!e#e! u& "a!#o de a#tua#4& 6a!a /ue estos sea& solu#o&ados #o& el
"e&o! "6a#to 5 a la "a5o! )!e9edad 6os)le% CIV
8/19/2019 Metodologias de Auditoria
18/21
La t!adu##4& del 6:!!a3o a&te!o! 6od!ía se! t!adu#da e&$ ITIL es u&
#o&7u&to de 6!:#t#as /ue a5uda a gesto&a! "e7o! los se!9#os, #o& lo /ue se o)te&e
u&a "e7o!a de su #aldad 5 se e9ta& 6!o)le"as% Y e& el #aso de /ue e;sta&
6!o)le"as, se te&d!:& #o&t!olados% ITIL se desa!!oll4 u&a 9e0 !e#o&o#do el 8e#8o de/ue las e"6!esas esta)a& llega&do a se! #ada 9e0 ":s de6e&de&tes de TI 6a!a
#u"6l! sus o)7et9os% Este !e"e&to de la de6e&dea, 8a ge&e!ado el #!e#"e&to
&e#esa!o de los se!9#os TI de #aldad, 8a#(&dolos #o!!es6o&de! a los o)7et9os del
&ego#o, /ue de)e& #o!!es6o&de! a su 9e0 #o& los !e/ue!"e&tos 5 e;6e#tat9as del
#le&te%
Du!a&te el ##lo de 9da de u& 6!odu#to de TI, la 3ase de o6e!a#4& su6o&e
#e!#a del 2.2 de su #oste 5 te"6o, gast:&dose el !esto del te"6o 5 6!esu6uesto
e& su desa!!ollo u o)te4& BON2% De este "odo, u&os 6!o#esos e3e#t9os 5
e3#e&tes de la gest4& del se!9#o, so& eseales 6a!a el (;to de los 6!odu#tos de
TI%
o! su 6a!te ITIL o3!e#e u& "a!#o #o"H& 6a!a todas las a#t9dades del de6a!ta"e&to
de TI, #o"o 6a!te de la 6!o9s4& de se!9#os, )asados e& la &3!aest!u#tu!a de TI%
Estas a#t9dades, se d9de& e& 6!o#esos /ue usados e& #o&7u&to, 6!o9ee& u& "a!#o
e3e#t9o 6a!a #o&st!u! u&a gest4& de se!9#os ":s "adu!a% Cada u&o de estos
6!o#esos, #u)!e u&a o ":s ta!eas del de6a!ta"e&to de TI, tales #o"o el se!9#o de
desa!!ollo, gest4& de &3!aest!u#tu!as 5 6!o9s4& 5 so6o!te de se!9#os BON2%
A su 9e0, el C#lo de Vda del Se!9#o #o&sta de #o 3ases /ue se
#o!!es6o&de& #o& los l)!os de ITIL 9e!s4& % Estos l)!os des#!)e& #o"o los
6!o#esos, /ue 5a 8a& sdo de&t3#ados, 6uede& se! o6t"0ados 5 #o"o la
#oo!d&a#4& e&t!e ellos 6uede se! "e7o!ada CIV*$
• Est!atega del Se!9#o$ 6!o6o&e t!ata! la gest4& de se!9#os &o s4lo #o"o u&a
#a6a#dad s&o #o"o u& a#t9o est!at(g#o%
8/19/2019 Metodologias de Auditoria
19/21
• Dse
8/19/2019 Metodologias de Auditoria
20/21
Rela#4& de los "odelos
Cuad!o !esu"e& de "etodologías
COBIT ITIL ISO1222
Es u& #o&7u&to de &o!"as
/ue ga!a&t0a& la
e3#ea 5 e3#a#a del
uso de la te#&ología de
&3o!"a#4& a5uda&do e&el #u"6l"e&to de "etas
5 el &9el de "adu!e0 de
los 6!o#esos de la
o!ga&0a#4&
!o9ee u&a "etodología
/ue 6e!"te o)te&e! u&
e&3o/ue sste":t#o del
se!9#o TI #e&t!ado e& los
6!o#esos 5 6!o#ed"e&tos,el esta)le#"e&to de las
est!ategas 6a!a la gest4&
o6e!at9a 6a!a la
Es la &o!"a a6l#ada a las
te#&ología de la
&3o!"a#4& utl0adas e&
las e"6!esas /ue
"6le"e&ta& u&a"etodología a!a la gest4&
o6e!at9a
8/19/2019 Metodologias de Auditoria
21/21
&3!aest!u#tu!a TI%
ostula /ue el se!9#o de
so6o!te, la ad"&st!a#4& 5
la o6e!a#4& se !eal0a a
t!a9(s de #o 6!o#esos$
"a&e7os de de&tes,
6!o)le"as,
#o&3gu!a#o&es, #a")os 5
e&t!egas%