Normativa y buenas prácticas en auditoría, ciberseguridad y protección de datos

Enviado por Chuletator online y clasificado en Formación y Orientación Laboral

Escrito el en español con un tamaño de 8,19 KB

Marco normativo, ético y organismos

IIA (Audit Int.): MIPP. Código de Ética: Integridad, Objetividad, Confidencialidad, Competencia.

ISACA (Audit Sist.): crea COBIT (Gobierno = qué / dirigir vs Gestión = cómo / planificar / ejecutar).

COSO: Marco de Control Interno.

Tipos de auditoría y alcance

  • Interna: Alcance = departamento / unidad; mejora continua; voluntaria.
  • Externa: Global; certifica.

Modelo de las tres líneas de defensa

3 Líneas de Defensa:

  • 1. Gestión operativa (dueño del riesgo / operación).
  • 2. Riesgo / Cumplimiento (función de control).
  • 3. Auditoría interna (independiente).

Externa = aseguramiento independiente.

Modelos y marcos complementarios

  • COBIT (Gobierno y gestión de TI).
  • COSO (Control interno).
  • Cubo: Operaciones / Reporte / Cumplimiento + Ambiente / Riesgo / Control / Información / Monitoreo.
  • ISO 27001: SGSI (Sistema de Gestión de la Seguridad de la Información). Ciclo PDCA (Plan-Do-Check-Act). Las cláusulas 4-10 son obligatorias.
  • NIST CSF: marco de ciberseguridad con 5 funciones: Identificar, Proteger, Detectar, Responder, Recuperar.

Auditoría por área

  • Auditoría TI: protege activos tecnológicos e integridad.
  • Auditoría Operacional: evalúa eficacia y eficiencia del negocio.

Planificación y priorización

Ranking para planificación:

  1. Riesgos (probabilidad futura).
  2. Problemas (incidentes presentes).
  3. Beneficios (valor).
  4. Dirección (petición de la gerencia).

Priorizar 80/20.

Auditoría de seguridad: enfoques y alcance

Audit Seguridad (conocimiento):

  • Negra (0 información).
  • Blanca (información total).
  • Gris (información parcial / usuario).

Audit Seguridad (alcance): pentesting interno, externo, web, aplicaciones, código, ingeniería.

Fases de un test o auditoría de seguridad

  • Planificación
  • Investigación
  • Detección
  • Solución (acordada) →
  • Documentación
  • Seguimiento.

Herramientas y evidencia

TAACs / CAATs: software para análisis masivo de datos. Apoya, NO sustituye el juicio del auditor.

Evidencias: deben ser suficientes, fiables, relevantes y útiles. Base de los hallazgos.

Protección de datos: RGPD y normativa española

RGPD - Principios: Licitud, Minimización, Exactitud, Limitación del plazo, Responsabilidad proactiva.

Datos sensibles (categoría especial): ideología, religión, salud, orientación sexual, biometría → nivel ALTO.

Derechos ARCO+: acceso, rectificación, supresión (derecho al olvido), limitación, portabilidad, oposición.

LOPDGDD: derechos digitales, desconexión digital, intimidad en videovigilancia, testamento digital.

Sanciones AEPD: leves / graves / muy graves (hasta 20M € o 4% de la facturación global).

Fraude y prevención

Triángulo del fraude: Motivo + Oportunidad (falta de control) + Necesidad (presión).

Regla 10-80-10: 10% nunca roba, 10% siempre roba, 80% depende de oportunidad / controles.

Prevención de fraude: código de conducta (prevención), auditoría sorpresa (detección), canal de denuncias (detección).

ENS (Esquema Nacional de Seguridad)

Obligatorio para el sector público y proveedores. Auditoría cada 2 años.

Certificaciones profesionales

  • Certs ISACA: CISA (auditor), CISM (manager de seguridad), CRISC (riesgos), CGEIT (gobierno).
  • Certs técnicas: CISSP (general / gestión), CEH (hacking ético), CCSP (cloud).

Riesgo, vulnerabilidad y controles

Vulnerabilidad = debilidad. Amenaza = posible fuente de daño. Riesgo = Probabilidad × Impacto.

Controles:

  • Preventivos (evitan la ocurrencia).
  • Detectivos (alertan / detectan).
  • Correctivos (restauran / mitigan).

Auditoría continua e indicadores

Auditoría continua: monitorización automática y constante. Observa tendencias frente a la foto fija periódica.

Indicadores: KPI (rendimiento / metas) vs KRI (riesgo / umbrales). Cuadros de mando.

Madurez e independencia

Madurez (CMMI): 0 (Inexistente), 1 (Inicial), 2 (Repetible), 3 (Definido), 4 (Gestionado), 5 (Óptimo).

Independencia: valor fundamental de la auditoría (especialmente externa). Evitar el conflicto de interés (juez y parte).

Alcance, informe y roles

Alcance (scope): define los límites, qué entra y qué NO (fase 1: Planificación).

Informe: incluye hallazgos (no conformidades), riesgos y recomendaciones (no obligatorias).

Roles: CISO (responsable de seguridad), CIO (responsable de TI), DPO / DPD (delegado de protección de datos / legal).

Ingeniería social y concienciación

Ingeniería social: ataque al humano (p. ej. phishing). El entrenamiento y la concienciación son clave.

Continuidad del negocio

Business Continuity: DRP (recuperación ante desastres / tecnología) + BCP (continuidad del negocio / global).

Ética y competencias del auditor

  • Integridad: el auditor debe ser honesto, diligente y responsable (base del Código de Ética IIA).
  • Objetividad: no comprometer la calidad por prejuicios o influencias.
  • Confidencialidad: respetar el valor y la propiedad de la información; no divulgar sin permiso.
  • Competencia: aplicar conocimientos, aptitudes y experiencia necesarios.

Herramientas TAAC y técnicas estadísticas

InfoZoom / ACL / IDEA: herramientas TAAC para extraer, estratificar y analizar datos.

Ley de Benford: técnica estadística usada en TAACs para detectar fraudes en datos numéricos.

Notas finales

Este documento resume conceptos, marcos, roles, controles y buenas prácticas para la auditoría, la seguridad informática y la protección de datos. Conserva todos los elementos originales y los presenta en formato estructurado para facilitar su consulta.

Karma: 16%
Visitas: 0

Entradas relacionadas:

Etiquetas:
RGPD controles fraude COSO certificaciones ISACA COBIT continuidad negocio ISO27001 auditoría ciberseguridad NIST CSF ENS