Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3.6-Auditoria de Los Recursos
3.6-Auditoria de Los Recursos
Índice
1. Introducción 1
2. Normas de Auditoría 5
2.1. Marcos técnicos para Auditorías de TI . . . . . . . . . . . . . 5
2.1.1. Marco 1: Personas, procesos, herramientas y medidas 6
2.1.2. Marco 2: STRIDE . . . . . . . . . . . . . . . . . . . . . 7
2.1.3. Marco 3: PDIO . . . . . . . . . . . . . . . . . . . . . . 8
1. Introducción
Auditoría— Revisión sistemática de una actividad o de una situación pa-
ra evaluar el cumplimiento de las reglas o criterios objetivos a que
aquellas deben someterse.
Revisión y verificación de las cuentas y de la situación económica de
una empresa o entidad.
1
Sin embargo, los cambios en el entorno regulatorio en los últimos años
han causado un aumento significativo en el alcance y profundidad de estas
responsabilidades.
Con el cambio en el entorno, la extensión, el enfoque, la confianza y
la calidad del trabajo de auditoría han aumentado significativamente en
cantidad, profundidad y dependencia. Por lo tanto, el entorno empresa-
rial actual, ya sea global o nacional, requiere cada vez más auditorías de
seguridad periódicas e inspecciones que incluyen el cumplimiento de:
Normas de auditoría, como las auditorías ISO 17799, ISO 27001 e ISO
27002, Declaración de Normas de Auditoría (SAS) 70, tanto tipo I co-
mo tipo II; y Declaración sobre las normas para los compromisos de
certificación (SSAE) No. 16.
Las redes.
2
Todos estos de manera recurrente, ya que una postura estática puede
dejar a la organización vulnerable sin darse cuenta.
Estas revisiones y auditorías pueden ser consideradas por la adminis-
tración de una organización con actitudes que varían entre dos extremos:
3
Facilitar la comunicación entre la gestión empresarial y tecnológica. Una
auditoria abre canales de comunicación entre el negocio y la tecnolo-
gía de una organización administración.
Los auditores pasan tiempo entrevistando, observando y probando
lo que sucede en la realidad y en la práctica.
Una auditoría puede proporcionar información valiosa en informes
escritos y presentaciones orales. La alta gerencia necesita saber de pri-
mera mano cómo está funcionando su organización.
4
neralmente proporciona un análisis detallado de fallas y recomen-
daciones concretas para formas específicas de mejorar lo que se ha
evaluado.
2. Normas de Auditoría
Las normas y prácticas de auditoría ayudan a las organizaciones a cum-
plir los requisitos reglamentarios y brindan orientación a la industria para
garantizar la debida diligencia, la certificación y garantizar la seguridad de
los interesados.
Las entidades que establecen estándares incluyen organizaciones inter-
nacionales, niveles de gobierno federales y estatales y grupos o asociacio-
nes específicos de la industria cuyo enfoque incluye el cumplimiento nor-
mativo.
Los principios rectores y la información publicada por estas entidades
pueden ser necesarios o, al menos, proporcionar a los gerentes la informa-
ción más reciente sobre los avances de la industria. Los gerentes no solo
deben conocer los nuevos desarrollos en la metodología de auditoría; tam-
bién deben ser expertos en identificar y aplicar la mejor solución disponible
para su arquitectura física y lógica única.
5
ditores competentes, objetivos e independientes, y el informe que se emita
señalará las posibles deficiencias y ha de contener recomendaciones; nece-
sariamente ha de discutirse previamente con los auditados.
4. Las Medidas son métricas a menudo pasadas por alto, aunque re-
presentan algunos de los datos más útiles en auditorías exhaustivas.
Pueden verificar que la aplicación está realizando su función en apo-
yo de su rol comercial asignado. Por ejemplo, las métricas pueden in-
formar sobre la eficiencia operativa de una aplicación y qué tan bien
6
podría escalar para satisfacer las necesidades del cliente a lo largo del
tiempo.
7
controles como sistemas redundantes, copias de seguridad y medidas
para evitar eventos de denegación de servicio.
Referencias
[1] B OSWORTH , S., K ABAY, M.E. & W HYNE , E. (2014). Computer Secu-
rity Handbook. United States of America: John Wiley & Sons, Inc.