AUDITORIA DE LA SEGURIDAD

1. La seguridad de la informacin en Espaa: Situacin se conocen realmente los riesgos? Perspectivas. Situacin: No existen datos concretos y fiables sobre el nivel de proteccin en Espaa, inclusive el Control Interno no est generalizado en este pas, respecto de los sistemas de informacin. Y de los riesgos no se conoce realmente la repercusin de los mismos en los sistemas, puesto que muchos no aplican sistemas de proteccin de informacin o si los tienen no estn totalmente implementados, no se registran auditorias de los sistemas informticos, que permitan evaluar los riesgos de las amenazas en contra de los datos informticos (tesoro incalculable de las empresas). Perspectivas: Se espera que se implemente y refuercen los controles, que se implanten modelos se seguridad, que la auditoria de seguridad de sistemas de informacin brinden el control sobre los controles de proteccin de los sistemas. 2. El perfil del auditor en seguridad de sistemas de informacin. El perfil que se requiere para llevar a cabo las auditorias de sistemas de informacin no est de definido, pero se sobreentiende que se necesita una formacin y sobre todo experiencia acordes con la funcin esto debe incluir conocer reas como: -Seguridad fsica -Sistemas Operativos -Bases de datos -Lenguajes de programacin -Independencia respecto de los auditados -Madurez -Capacidad de anlisis y de sntesis -Desinteresado -Redactar informes 3. Estandares para la auditoria de la seguridad Cobit, Certificacin CISA, debera conocer ISO 27001 y 19011. 4. La comunicacin a auditados y el factor sorpresa en auditorias de seguridad Siempre debe haber una comunicacin constante con el auditado, adems no es imprescindible el factor sorpresa ya que una auditoria es planificada y coordinada con el auditado de acuerdo al Plan de auditora que se haya planteado para la empresa 5. Qu debe hacer el auditor si se le pide que omita o vari algn punto en su informe? NO debe acepar esta insinuacin, bajo ninguna circunstancia.

6. Auditoria de la seguridad en las prximas dcadas: nuevos riesgos, tcnicas y herramientas. En el futuro aparecern nuevos riegos, esto depende mucho del progreso vertiginoso de las tecnologas de informacin, ya que cada da aparecern nuevos y valga decir mejores riesgos, as como tcnicas y herramientas de Auditoria que permitan mitigar y controla eficientemente cada riesgo potencial ya que deben estar a la par de las tecnologas de informacin. El auditor debe prepararse continuamente con los nuevos estndares internacionales y de las buenas prcticas de auditora generalmente aceptadas. 7. Equilibrio entre seguridad, calidad y productividad Debera existir un equilibrio entre seguridad, calidad y productividad, ya que la seguridad es parte de los objetivos de seguridad de la empresa lo que permitir tener un entorno protegido y seguro de las reas tcnicas, redes, sistemas, bases de datos, etc., evitando los potenciales riesgos. La calidad debe cumplir todos los estndares establecidos por la Alta gerencia o directorio, e ir de la mano con la productividad aportando especial atencin de seguridad en la contratacin de servicios. 8. Qu es ms crtico: datos, programas, personas, comunicaciones, instalaciones? Las personas el factor humano es el ms crtico, salvo en algunas situaciones de seguridad fsica automatizadas, el factor humano muy sensible ya que si las personas no desean colaborar de nada sirven los medios y dispositivos aunque sean caros y sofisticados. 9. Relaciones entre Administracin de Seguridad y Auditoria de sistemas de Informacin interna y externa. Sera la parte interlocutora entre los procesos de auditora de seguridad (Interna y externa), sin afectar la independencia de los auditores ya que estos evaluaran el desempeo de la funcin de administracin de la seguridad, desde si sus funciones son adecuadas y estn respaldadas por documentos al nivel suficiente, el cumplimiento de las funciones y su conflicto con otras. 10. Calculo de la rentabilidad de la auditoria de seguridad. Un ejercicio de auditora realizado profesionalmente, alineado con las practicas generalmente aceptadas de auditora y sobre todo puesta en marcha bajo un plan estrictamente determinado (bajo estndares internacionales) es un trabajo que da credibilidad tanto al auditor como a la empresa, ya que las recomendaciones que se emitan irn en beneficio directo del auditado.