Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En este sentido, las empresas tanto del sector público como del privado,
han venido reconociendo los beneficios potenciales que la tecnología puede brindar,
y se ha creado una carrera desenfrenada en la que el
éxito de las organizaciones, depende de cómo se comprenden, administren,
regulen y controlen los riesgos asociados con la implementación de recursos de te
cnología y su vinculación con los procesos de negocios de las organizaciones.
Por lo anterior,
los administradores se encuentran atados al paradigma de determinar la inversión r
azonable en tecnología y su control,
y la forma en la cual se debe equilibrar la relación de riesgo e inversión controla
da en un ambiente tecnológico, el cual es absolutamente impredecible.
Con el fin de contar con elementos que permitan mantener la relación de riesgo e
inversiones controladas y en equilibrio,
el concepto de control y regulación ha generado en la actualidad conceptos confus
os en la tarea ardua de implementar buenos controles en tecnologías de informaci
ón,
los cuales soporten exitosamente la cadena de valor de cada una de las organiza
ciones.
Par lograr determinar una evaluación adecuada con respecto a los controles en te
cnologías de información, de manera sustancial,
los auditores han tenido que tomar liderazgo en
estos esfuerzos, ya que se enfrentan cotidianamente a la necesidad de soportar y
sustentar sus opiniones frente a la administración,
acerca de los controles internos que garantizan razonablemente la confiabilidad de
la información que en ellos se genera y por ende el cumplimiento de sus metas
y objetivos.
En esta sentido,
la auditoría de seguridad deberá valorar aspectos relacionados con los sistemas o
perativos, software comercial, de comunicaciones, de base de datos, de proceso,
de aplicaciones e indudablemente las instalaciones y aspectos físicos.
A continuación se describen algunos puntos que deben contemplarse al realizar u
na auditoría de seguridad,
y determinar si existen controles adecuados para proteger la integridad y confiabili
dad de los equipos, software e información,
contra usos y modificaciones no autorizados, por daño y /o pérdida.
Organizacional
Visitar la sala de cómputo y verificar que no existen señales exteriores que indiqu
en su ubicación a extraños.
Obtener una
lista del personal autorizado para acceder a las instalaciones y determinar si su
acceso es necesario, verificar si esta lista es
regularmente revisada para decidir si el acceso de este personal sigue siendo vál
ido.
Verificar que el acceso al equipo del centro de cómputo sólo lo realice el persona
l autorizado.
Visitas Guiadas
Determinar si las previsiones contra incendio del centro de cómputo están acorde
s con los estándares generalmente aceptados para tales medidas de protección.
Revisar los estándares generalmente aceptados para protección contra incendio que
publican las organizaciones nacionales e internacionales y verificar si las medidas
que se adoptan en el centro de cómputo están de acuerdo con estos estándares,
por ejemplo:
Asegurarse de que el
personal del centro de cómputo recibe entrenamiento periódico sobre procedimiento
s y controles de seguridad.
Condiciones de proceso
Verificar que los manuales de administración de los equipos estén bien protegidos
y solo puedan ser accesados por personal autorizado.
Verificar que exista suficiente espacio físico dentro de las instalaciones de la sala
de cómputo, de acuerdo con la densidad de equipos y a los planes a futuro.
Garantizar que el acceso lógico al equipo esté restringido por procedimientos y pol
íticas de acceso utilizando passwords.
Dirección anterior
Fecha y/o lugar de nacimiento de algún miembro de la familia
Color de ojos de alguien de su familia
Acceso a la información
Equipos
Archivos
Programas de las aplicaciones
Comandos del sistema operativo, etcétera
Perfiles
Verificar que:
Dentro de este tipo de auditoría, se pueden considerar los siguientes tipos de anál
isis, los cuales realizan diferentes empresas en el mercado,
entre las que se destacan:
Diagnósticos
Forenses
Conclusión
Para lograr determinar una evaluación adecuada con respecto a los controles en t
ecnologías de información y en particular lo relacionado con la seguridad,
de manera sustancial, los auditores han tenido que tomar el liderazgo en
estos esfuerzos, ya que se enfrentan cotidianamente a la necesidad de soportar y
sustentar sus opiniones frente a la administración,
acerca de los controles internos que garantizan razonablemente la confiabilidad de
la información que en
ellos se genera y por ende el cumplimiento de sus metas y objetivos.