ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

EJECUCION DE LA AUDITORIA


Enviado por   •  30 de Abril de 2019  •  Trabajos  •  1.934 Palabras (8 Páginas)  •  164 Visitas

Página 1 de 8

EJECUCION DE LA AUDITORIA

Nota lo mas importante de este documento para la tarea es lo del reporting

4.2.1. Recolección de información previa

Esta subfase permitirá al equipo auditor preparar la ejecución de las pruebas

identificadas en el plan de auditoría. Las actividades que se desarrollarán incluyen:

• Recopilar toda la información relevante para obtener un correcto entendimiento

del entorno a auditar:

– Los requisitos del negocio y los riesgos asociados.

– Leyes y regulaciones.

• Identificación de cargos/roles/funciones para detectar las entrevistas necesarias

y el personal que deberá asistir:

– La estructura organizacional.

– Los roles y responsabilidades.

• Identificación y estudio de la documentación existente del auditado que

sea relevante para la auditoría:

– Políticas y procedimientos.

– Descripción de los entornos de tratamiento de la información y estudio

de las vulnerabilidades conocidas que les sean aplicables.

– Descripción de las medidas de control establecidas.

4.2.2. Ejecución de la pruebas de auditoría

Una vez recopilada toda la información necesaria, el equipo auditor desarrollará de manera efectiva el conjunto de pruebas documentadas en el plan de auditoría. Tal y como se ha comentado, para la realización de una auditoríam de seguridad dependiendo de su alcance, enfoque y tipo, las pruebas que se deben practicar serán:

Revisióndedocumentación, como por ejemplo las políticas que se han de uditar para comprobar su idoneidad dado el entorno del auditado y las mejores prácticas reconocidas por la industria. Asimismo, se revisará otro tipo de documentación relevante para el proyecto como podrían ser inventarios, documentos de diseño, procedimientos operativos, etc.

Realizacióndeentrevistas para comprobar si el personal conoce las políticas y las aplica. Pueden ser necesarias diversas entrevistas dentro de un mismo nivel funcional con el objetivo de detectar incongruencia, olvidos o intentos de esconder el modo habitual de proceder.

Desarrollo de la entrevista

Las entrevistas se desarrollarán habitualmente en instalaciones propias del auditado para interrumpir lo menos posible las operaciones normales de la organización y deberán realizarse siempre al personal más representativo y mejor preparado para cubrir los aspectos que se quieren analizar. El desarrollo de las entrevistas se tiene que realizar en un tono no amenazador para el entrevistado y, aunque se trate de una auditoría, se tiene que transmitir la idea de que constituye una oportunidad para mejorar algún aspecto de la seguridad y/o la eficiencia de los procedimientos.

Ejecucióndepruebastécnicas para comprobar el modo como se encuentran

implantados los controles técnicos de acuerdo tanto a las políticas como a las buenas prácticas de la industria. Las áreas más habituales que se examinarán en este tipo de pruebas serán:

– Funcionamiento de los sistemas y las comunicaciones (con especial

importancia para el control y uso de accesos remotos).

– Configuración de los sistemas (servidores, puestos de trabajo o elementos

de la infraestructura de comunicaciones).

– Revisión de registros de actividad de sistemas.

Durante la ejecución de estas pruebas es posible que el equipo auditor detecte vulnerabilidades técnicas que, por su especial criticidad, se deberán transmitir con agilidad al auditado.

Realizacióndevisitas para examinar aspectos de seguridad física y/o comprobar

in situ el modo en que operan los sistemas de información.

 Es importante que a medida que se desarrolla el plan de auditoría, el equipo auditor vigile si, sobre la base de la nueva información que se va adquiriendo, no existen cambios sustanciales que impliquen o bien una modificación del alcance o bien la ejecución de pruebas diferentes a las inicialmente planteadas. En un primer momento, estos puntos deben ser discutidos por el equipo internamente y posteriormente concretados con el auditado, puesto que pueden implicar la necesidad de dotar de más recursos a la auditoría.

4.2.3. Análisis de la información

En realidad, el proceso de análisis se inicia desde el mismo momento en que

comienza la ejecución de la auditoría y únicamente finaliza con la aceptación por parte del auditado de la última revisión del informe de auditoría. Sin embargo,

cuando el desarrollo de las pruebas se encuentra en un estado avanzado, el equipo auditor deberá compaginarlas con el análisis de la información recopilada. Este análisis realizado en paralelo con la ejecución de pruebas permite ir refinando las sucesivas pruebas, tanto las puramente técnicas como aquellas otras que requieran nuevas entrevistas, visitas o documentación adicional del auditado.

Durante la fase de análisis, uno de los aspectos que el auditor deberá ir evaluando

es la importancia relativa o el riesgo de no conformidad del problema que detecte. En este sentido deberá emplear técnicas de análisis de riesgo consistentes en aplicar la conocida ecuación del riesgo:

Factores de la ecuación de riesgo

El riesgo es proporcional a tres factores:

• Al valor del activo de información involucrado.

• A la probabilidad de que una amenaza pueda aprovechar una vulnerabilidad

o problema que hemos detectado durante la auditoría.

• Al impacto que pueda llegar a provocar la explotación de la vulnerabilidad.Para poder valorar adecuadamente las evidencias encontradas en la auditoría y poder relativizarlas, será necesario realizar este ejercicio. Hay que destacar que, para la valoración de hallazgos de auditoría referentes a vulnerabilidades en sistemas de información, existe un método ampliamente utilizado, el common vulnerability scoring system (CVSS)

A la hora de analizar la información recopilada, podemos, de un modo general,

separarla en dos grandes áreas:

1)Revisióndepolíticas.Tal y como hemos expuesto en numerosas ocasiones

(no nos cansaremos de repetirlo) la piedra angular de un programa efectivo

de seguridad de la información son sus políticas de seguridad, tanto las generalistas

como las más específicas diseñadas con un alcance reducido orientado

a una temática o un entorno de sistemas de información determinado, bien

redactadas, comunicadas y cumplidas. Estas políticas sirven de origen para todo

el resto de documentación: directivas, estándares, procedimientos, guías,

...

Descargar como (para miembros actualizados)  txt (13.5 Kb)   pdf (269.7 Kb)   docx (60.7 Kb)  
Leer 7 páginas más »
Disponible sólo en Clubensayos.com