Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONCEPTOS DE AUDITORÍA
4
Para este caso se usará el estándar CobIT 4.1 de donde se tomará los procesos y objetivos
de control relacionados directamente con el objetivo general y alcances que fueron
determinados en el plan de auditoría.
Cabe mencionar que dentro de cada proceso existen varios objetivos de control y que no se
debe seleccionar solo un objetivo de control sino que pueden ser todos o aquellos que más
estén relacionados con los alcances de la auditoría.
Incialmente hay que tener en cuenta el plan de auditoría porque allí se tiene el objetivo que se
pretende en la auditoría y los alcances de cada uno de los ítem evaluados.
Plan de auditoría
PROGRAMA DE AUDITORÍA
Los objetivos de control relacionados con los alcances de la auditoría son los
siguientes:
PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de
sistemas debe estar claro y definido el personal de la tecnología de la información,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento
de servicios que satisfagan los objetivos de la Institución.
PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza explota las
vulnerabilidades existentes), clasificandolas si son relevantes y en que medida
afectan al área informática y la dependencia de registro y control donde se maneja
el sistema de información.
PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la evaluación
periódica de la probabilidad e impacto de los riesgos identificados, usando
métodos cuantitativos y cualitativos, que permitan la medición del riesgo
encontrado.
AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una especificación de
diseño de alto nivel para la adquisición de software, teniendo en cuenta las
directivas tecnológicas y la arquitectura de información dentro de la dependencia.
Tener aprobadas las especificaciones de diseño por la dependencia para
garantizar que el diseño de alto nivel responde a los requerimientos. Reevaluar
cuando sucedan discrepancias significativas técnicas o lógicas durante el
desarrollo o mantenimiento.
AI6 Administrar cambios: Para realizar algún cambio bien sea de software, de
hardware de comunicaciones o de servidores, debe existir un proceso que
administre formalmente y controladamente dichos cambios, cada cambio debe
seguir un proceso de recepción, evaluación, prioridad y autorización previo a la
implantación, sin obviar la constatación o revisión después del cambio, esto con el
fin de reducir riesgos que impacten negativamente la estabilidad o integridad del
ambiente del buen funcionamiento de las comunicaciones y servidores.
DS4.5 Pruebas del plan de continuidad de TI: Es importante que dentro de la
dependencia el plan de continuidad sea conocido por todas las partes interesadas,
es esencial que los cambios en los procedimientos y las responsabilidades sean
comunicados de forma clara y oportuna. Hacer pruebas de continuidad de forma
regular para asegurar que los procesos de TI pueden ser recuperados de forma
efectiva y así probar que el plan es efectivo o sino corregir deficiencias en el plan,
y así ejecutar un plan de acción para permitir que el plan permanezca aplicable.
DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos,
externos y temporales) y su actividad en sistemas de TI (Entorno de TI, operación
de sistemas, desarrollo y mantenimiento) deben ser identificables de manera
única. Permitir que el usuario se identifique a través de mecanismos de
autenticación. Confirmar que los permisos de acceso del usuario al sistema y los
datos están en línea con las necesidades del módulo definidas y documentadas y
que los requerimientos de trabajo están adjuntos a las identidades del usuario.
Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del
usuario, aprobados por el responsable del sistema e implementado por la persona
responsable de la seguridad. Las identidades del usuario y los derechos de
acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas
en coste y procedimientos rentables, y se mantienen actualizados para establecer
la identificación del usuario, realizar la autenticación y habilitar los derechos de
acceso.
DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos
los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren
identificar las necesidades de entrenamiento de cada grupo de usuarios. Además
de identificar las necesidades, este proceso incluye la definición y ejecución de
una estrategia para llevar a cabo un entrenamiento efectivo y para medir los
resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de
la tecnología al disminuir los errores, incrementando la productividad y el
cumplimiento de los controles clave tales como las medidas de seguridad de los
usuarios.
DS12.1 Selección y Diseño del Centro de Datos: Registro y control y el Área
Informática deben definir y seleccionar los centros de datos físicos para el equipo
de TI para soportar la estrategia de tecnología ligada a la estrategia del negocio.
Esta selección y diseño del esquema de un centro de datos debe tomar en cuenta
el riesgo asociado con desastres naturales y causados por el hombre. También
debe considerar las leyes y regulaciones correspondientes, tales como
regulaciones de seguridad y de salud en el trabajo.
DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad físicas
alineadas con los requerimientos de la organización. Las medidas deben incluir,
zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío y
recepción. En particular mantenga un perfil bajo respecto a la presencia de
operaciones críticas de TI. Deben establecerse las responsabilidades sobre el
monitoreo y los procedimientos de reporte y de resolución de incidentes de
seguridad física.
https://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml.