El proceso y las fases de la auditoría de sistemas de información

Trabajo: El proceso y las fases de la auditoría de sistemas de información

Objetivos

Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o evento que tenga el potencial de causarle daño o a sus datos y recursos.

Con esta actividad se pretenden conseguir los siguientes objetivos:

• Aprender a planificar y realizar una auditoría basada en riesgos.
• Identificar los «riesgos inherentes» de los sistemas TI de una organización, a partir de los cuales se establezcan objetivos de control, controles, etc.
• Realizar una matriz de riesgos: Riesgos inherentes–Objetivos de Control–Control Prueba–Evidencia.
• Redactar un informe de auditoría dirigido a la dirección de la organización.

Descripción de la actividad

«Viento en Popa» es una empresa dedicada a la planificación de actividades náuticas, así como a impartir clases teóricas y prácticas de navegación. Ofrece la posibilidad de obtener la certificación de Patrón de Embarcaciones de Recreo (PER).

Dentro de la estrategia empresarial se desarrolló, como canal de información y venta, un portal web que, de forma somera, consta de dos partes claramente diferenciadas:

• La zona de administración, desde la cual se gestiona la información relativa a cursos y alumnos.
• La zona de clientes y alumnos, donde el usuario tiene acceso a la información de «Viento en Popa» referente a actividades y cursos, y acceso a la parte privada de cada uno, con la posibilidad de realizar exámenes, descargar temarios y documentación, etc.

Desarrolla los siguientes puntos:

• Planificar y realizar una auditoría basada en riesgos del portal web «Viento en Popa». Para ello, se debe comenzar con la identificación de «riesgos inherentes» a partir de los cuales se establezcan objetivos de control, controles, etc.
• Una planificación del trabajo.
• Generación de una matriz donde se identifiquen los riesgos inherentes de «Viento en Popa» según la casuística marcada en el enunciado. Esta matriz debe de contener: Riesgos inherentes–Objetivos de Control–Control Prueba–Evidencia.
• Redactar un informe dirigido a la dirección de «Viento en Popa», con los resultados de la auditoría siguiendo las fases explicadas.

• Antecedentes/Introducción. Breve introducción donde se explique el negocio de «Viento en Popa» y el trabajo a realizar.
• Objetivos: explicación de que se va a conseguir con el trabajo en «Viento en Popa».
• Alcance: explicación de sobre el universo auditable del trabajo.
• Metodología: breve explicación de la metodología utilizada.
• Resumen ejecutivo: explicación para la alta dirección del trabajo realizado y de los resultados obtenidos.
• Desarrollo del trabajo: se incluirá una tabla general de EDR.
• Plan de Acción: para gestionar un riesgo o incumplimiento identificado.
• Anexos: se deberá incluir cualquier información relevante para la comprensión del trabajo.

Datos útiles:

• Equipo de dos auditores.
• Tiempo estimado del proceso completo 2 meses/hombre.
• La tecnología en la que está desarrollado el portal es Java.

Nota importante: la solución se puede presentar considerando una de las siguientes dos opciones:

• «Viento en Popa» tiene subcontratado un hosting de los servicios ofrecidos en la web.
• «Viento en Popa» tiene en sus instalaciones los servidores que dan el servicio ofrecido en la web.

Se considerarán ejercicios válidos si contestas a todos los apartados razonando debidamente cada decisión tomada.

Rúbrica

Para la evaluación de la actividad se empleará la siguiente rubrica:

...