Clase Seis

FASES DE UNA AUDITORIA

OBJETIVO GENERAL


 Evaluar las directrices para una auditoría de sistemas, además de su aplicabilidad en una 
organización

OBJETIVOS ESPECÍFICOS
  • Establecer las pautas para la realización de una auditoría de sistemas.
  • Analizar algunos ejemplos de auditorías de sistemas como medio para ver la aplicación de la teoría de auditorías en el campo de la informática.

Fases de la Auditoría de Sistemas Y su Seguimiento


 Vídeo:









En esta unidad ya entraremos un poco más en materia, veremos cómo realizar entonces una auditoría de Sistemas. Veamos entonces las fases o pasos que se deben tener en cuenta para la realización de una auditoría:


Fases para la Auditoría de Sistemas


Para comenzar es muy necesario que conozcan los siguientes aspectos previamente:

1. Conocer de manera general la organización, esto en aspectos como:

b. Organigrama de la Organización

c. Equipos de la Organización

d. Sistemas de la Organización

e. Sistema de Redes y Telecomunicación

2. Ahora para la investigación previa, realice las siguientes actividades:

a. Entrevistas a los auditados

b. Visita a las instalaciones de la organización auditada

c. Entrevistas informales a las personas involucradas con el sistema a auditar.

d. Revisar todo tipo de documentos facilitados por la organización

e. Revisar reportes o informes de auditorías que se hayan realizado en previas auditorías.

f. Analizar el sistema o los sistemas de control interno de la organización.

3. Algunos de los documentos que se deben solicitar a la organización para dicha actividad 

preliminar son:

  • Lista de aplicaciones de la organización
  • Lista de los empleados de la organización (con estado activo o despedidos durante el tiempo que ha transcurrido desde la última auditoría hasta esta)Información de los usuarios de los sistemas y sus respectivos privilegios
  • Lista de chequeo o revisiones del sistema
  • Políticas de seguridad de los sistemas de la organización
  • Políticas de seguridad de la Organización.
  • Documentos de configuración de los sistemas (con los respectivos cambios hechos)
  • Lista de los Roles de los administradores del sistema y la seguridad de los mismos.
  • Planes de cualificación y capacitación del personal
  • Los reportes de las auditorías anteriores

4. Para comenzar el trabajo de estudio de la auditoría de sistemas, veamos este proceso 

organizado por partes así:

5. Instalación y configuración de los equipos

  • Políticas para la instalación y la configuración inicial.
  • Configuración de los servicios como. 
  • Configuración de los parámetros de seguridad.
  • Los sistemas de archivos.
  • Las particiones y sus configuraciones.
  • Los programas (SW) instalado.

6. Seguridad Física

  • Acceso del personal al departamento de sistemas y a la sala de telecomunicaciones (closet de los servidores).
  • Señalización.
  • Instalación del sistema eléctrico. 
  • Estado UPS
  • Almacenamiento de cintas, discos y documentación
  • Entorno del closet de telecomunicaciones (temperatura, humedad, ventilación).
  • Ubicación de equipos.
  • Aseo.

7. Seguridad Lógica

  • Control de acceso a objetos del sistema.
  • Archivos con permisos especiales.
  • Mecanismos de identificación y autenticación.
  • Administración de usuarios.
  • Administración de cuentas. 
  • Perfiles de los usuario.
  • Control de usuarios especiales.
  • Manejo de cuentas especiales.
  • Proceso de encendido /apagado y de inicio y cierre de sesión.
  • Proceso de arranque del sistema.
  • Cifrado de datos
  • Acceso remoto.

8. Documentación del Sistema

  • Políticas y estándares de los procesos relacionados con el sistema a auditar
  • Políticas de seguridad de la organización.
  • Manuales del sistema a auditar.
  • Manuales de procedimientos.
  • Manuales de usuario.
  • Manuales de funciones.
  • Documentación de la instalación y configuración inicial del sistema a auditar.
  • Póliza de seguros para los sistemas y los equipos.

9. Mantenimiento y soporte

  • Soporte por parte del proveedor.
  • Control de la realización de tareas de mantenimiento.
  • Planes de mantenimiento lógico y físico.
  • Contratación de mantenimiento y soporte.
  • Actualizaciones realizadas a los equipos (HW).
  • Actualizaciones realizadas.

10. Aspectos administrativos

  • Estructura de la Organización (organigrama).
  • Definición de roles y funciones.
  • Selección y contratación de personal
  • Capacitación y entrenamiento.
  • Ambiente laboral.

11. Monitoreo y Auditoría

  • Evaluación de la función de auditoría interna (si se cuenta con ésta) o la externa.
  • Procedimientos de auditoría realizados con relación a este sistema a auditar.
  • Existencia y utilización de herramientas de monitoreo y auditoría.
  • Procedimientos de monitoreo.
  • Reportes de monitoreo y auditoría.

12. Planes de respaldo y recuperación (Planes de Contingencia)

  • Que exista un plan de contingencia.
  • Conocimiento y divulgación del plan de contingencias.
  • Pruebas y ajustes al plan de contingencias.
  • Planes de respaldo 
  • Elaboración y gestión de copias de seguridad (Backups)

13. Administración e implementación de la seguridad

  • Función encargada de la administración de la seguridad.
  • Roles y responsabilidades.
  • Políticas y estándares.
  • Entrenamiento y capacitación en seguridad.
  • Personal de asesoría
  • Procedimientos de administración de la seguridad.
  • Almacenamiento 
  • Documentación.

EL SEGUIMIENTO DE LA AUDITORÍA DE SISTEMAS:

En consiste el seguimiento a la auditoría de sistemas?, Este pretende valor dos aspectos claves:

1. La calidad del funcionamiento del sistema, es decir, evaluar características como su 
aplicabilidad, si los sistemas están completos y son congruentes con sus competencias, 
si brindan seguridad.

2. La calidad de la Gestión de la Organización, es decir, medir su eficiencia, eficacia, si la 
información que proveen es confiable y oportuna, si hay respaldo y legalidad con su 
patrimonio y sus objetivos.

Algunas generalidades o preguntas claves a tener en cuenta en el Seguimiento son:

  • Cómo
  • Qué
  • Para qué
  • Tipos
  • Quién debe hacerlo
  • Por qué

Veamos el siguiente gráfico que nos recuerda qué preguntarnos en el seguimiento.

El seguimiento además también debe hacerse al programa de auditorías, donde se evalúen aspectos como:

La Aptitud de los auditores para seguir el programa de auditorías. No se puede olvidar que 
una mala actitud del auditor puede llevar a que la evaluación se vea viciada, o sus resultados sean alterados de una u otra manera.

Que gracias a la Organización y el auditor, los cronogramas y planes de auditoría se estén 
siguiendo a tiempo de acuerdo a la planeación establecida previamente a la ejecución de 
las auditorías.

Que se esté realizando una retroalimentación por parte de auditores y auditados para ir 
analizando los resultados de dicha evaluación.

Que se estén llevando a cabo los registros de la auditoría.

Que haya coherencia en las acciones tomadas por el auditor y otros auditores previos (si 
existiere el caso de auditorías previas).

Que se evidencie en el auditor prácticas de auditoría nuevas o alternativas.

Las Normas Generales que se deben tener en cuenta para el seguimiento de las auditorías se resumen en el siguiente gráfico.



EJERCICIO DE APRENDIZAJE:

1. Explique en sus palabras, por qué debe hacerse “el seguimiento” a los informes de auditorías? 

2. ¿En cuáles casos consideras no es necesario hacer seguimiento?

No hay comentarios:

Publicar un comentario

Suscribirse a: Comentarios (Atom)