Fundamentos Generales de la Auditoría Informática

Fundamentos Generales de la Auditoría Informática

Claudio Muñoz Aliaga

Auditoría de Sistemas

Instituto IACC

17-04-2021

Desarrollo

1. Para esta pregunta el marco de trabajo o estándar a recomendar es el COBIT. Esto por lo siguiente:

Unas pequeñas definiciones de cada una podría ser que ISO 19011 está enfocada a fijar estándares para aplicar una auditoría a cualquier sistema de gestión de cualquier compañía, el COSO se refiere o se usa para las prácticas en gestión de riesgos y control interno de las empresas. También tenemos el ITIL y la ISO 27001, el primero proporciona una guía de mejores prácticas para la gestión de servicios de tecnología de información, y la última se orienta a la gestión de seguridad de la información. En cambio COBIT se enfoca en el gobierno y la gestión de empresas de tecnología de información. El marco COBIT es un modelo para auditar la gestión y el control de los sistemas de información y tecnología, está orientado a todos los sectores o departamentos dentro de una organización. ( administradores, usuarios, etc).

De acuerdo a los objetivos que la organización se trazó para este año este marco de trabajo es el ideal para conseguir los objetivos y poder mejorar su posición en el Mercado que tanto requiere.

COBIT tiene 5 principios básicos que se adecuan perfecto a lo que necesita la organización, dar un valor agregado a la organización:

• Satisfacción de las necesidades de las partes interesadas.
• Cobertura de toda la empresa.
• Aplicación de un marco de referencia.
• Separación de gobierno y gestión.
• Enfoque holístico; debe tomar en cuentas muchos componentes o habilitadores.

1. ITIL, se ha convertido en un marco de trabajo para las mejores provisiones en gestión de infraestructura de tecnologías y prestación de servicios. Tiene algunas normas específicas que son adaptables a cualquier organización, estas son:

• Estrategia de Servicio, se enfoca en el estudio de mercado y nuevas posibilidades de servicios innovadores que satisfagan al cliente. También se analizan las posibles mejoras de los servicios ya existentes. Cubre la gestión financiera, el portafolio ya existente y la gestión de la demanda.
• Diseño del Servicio, al identificar un servicio, analiza su viabilidad, personal disponible y capacitación, infraestructura disponible y planificar aspectos de seguridad.
• Transición del servicio, aquí se realizan diversas pruebas a todo nivel necesario.
• Operación del Servicio, se monitorea el funcionamiento del servicio, se registran los eventuales incidencias.
• Mejora continua del servicio, se utilizan herramientas de medición y retroalimentación.

ISO 27001, es un conjunto de normas que tratan aspectos relacionados a la seguridad de la información. Esta norma establece controles en 11 áreas, algunas de éstas áreas son gestión de activos, seguridad de los recursos humanos, seguridad física y ambiental, control de acceso, gestión de continuidad del negocio, cumplimiento entre otras.

Algunos beneficios que tiene esta norma son Reducción de costos, Ahorro de Recursos, ahorro de papel, menos burocracia, eficacia y eficiencia de gestión, integración, entre otros.

Analizando cada norma de trabajo, pienso que deben haber otros factores como por ejemplo el tiempo que lleve la Empresa en el negocio, si es poco tiempo creo que la norma ITIL sería la indicada por sus características en su enfoque de gestión.

Al ser una empresa ya consolidada con clientes fijos desde hace un tiempo, la norma ISO 27001 debe ser la indicada para esta auditoría.

...