Josué Perdomo Florián

Matrícula: A00102106

ADMINISTRACIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN

Tema: Monitoreo y Auditoría

 Monitoreo y Auditoría
La auditoría y el monitoreo son actividades dinámicas y continuas dentro
de la implementación de un sistema de gestión de riesgos, y debe
hacerse de acuerdo con las necesidades y el contexto de la
organización. Cada actividad debe tener un marco definido que
proporciona a la alta dirección la comprensión de las expectativas
generales y el enfoque a medida que se ejecuta el plan.

El marco, para la ejecución del plan de auditoría y monitoreo basado en

el riesgo, debe:

● Establecer el propósito y el objetivo de la auditoría o el

seguimiento.

● Identificar el alcance de los objetivos, asegurando que sean

medibles y precisos.

● Considerar si se puede necesitar asesoría legal para establecer el

enfoque de la actividad.

● Llevar a cabo una discusión inicial con el área de negocios

auditada, para obtener información relacionada con las
características de la auditoría, el tiempo necesario y el proceso
por el que se auditará.

● Desarrollar un formato para la presentación de informes

apropiado.

● Realizar la auditoría o el monitoreo, según corresponda.

● Identificar hallazgos preliminares y presentar observaciones.

● Ofrecer la oportunidad para que los hallazgos y las observaciones

sean validados por la organización o por el área auditada.
 ● Finalizar los informes.

● Identificar los procesos para el seguimiento después de que la alta

dirección tome medidas correctivas relacionadas con los hallazgos
y las observaciones.

● Determinar los puntos clave de la auditoría o el monitoreo que

deben ser reportados a la alta dirección.

El proceso general de desarrollo y ejecución del plan de auditoría y

monitoreo según ISO 31000 debe ser documentado. Esto incluye una
descripción de la forma en que se realiza la evaluación de los riesgos y
la metodología que se utilizó para priorizarlos.

Se deben adjuntar los documentos de trabajo que respaldan los

hallazgos, los informes y las correcciones. Los planes de acción deben
ser documentados y archivados apropiadamente.

Con la auditoría se busca la actualización continua de los programas y

equipos tecnológicas de las empresas y ver si se corresponden con la
normativa legal establecida en el entorno en el que se mueve. Se
pueden realizar auditorías del software de toda la empresa, o solo de
algunas partes que nos interesan. Por ejemplo, auditoría de software
contable o de seguridad, entre otros. Los objetivos que persigue la
auditoría de software son:

● Análisis del software y hardware de la empresa

● Conocer el rendimiento de la inversión tecnológica realizada

● Realizar un inventario de los activos software de la empresa

● Relación entre el software y el hardware de la empresa para

comprobar la legalidad de las licencias.

Para ello, se analizan todos los equipos informáticos de la organización

ya sean físicos o virtuales, y los software utilizados para su
funcionamiento, como también los antivirus. También se controlan de los
equipos o los contratos que se mantengan con las empresas
proveedoras del software.

Existen dos tipos de auditorías para realizar en tu empresa. Por un lado,

puede ser la propia empresa quien haga una auditoría interna y destine
como recurso a sus propios empleados para controlar cuál es la
situación de los equipos informáticos que se poseen.

Por otro lado, las organizaciones también pueden realizar auditorías

externas en las que contratan a otras empresas para que hagan el
control sobre el estado del software. Estas empresas estudian con
detalle toda la parte informática de software y hardware, ofrecen unas
conclusiones sobre la auditoría realizada y cuál es la forma en que se
puede actuar para obtener una mejora de la situación actual.

También se puede dar el caso en que se realicen auditorías de software

con el objetivo de comprobar la total legalidad de los programas de
software y licencias utilizadas por la empresa. En ese caso puede ser la
propia empresa creadora del software la que haga la auditoría para
comprobar que todo se encuentra bajo los marcos legales.

Un ejemplo de ello, puede ser Microsoft que haga una inspección de

software en una empresa para comprobar que los ordenadores no
poseen instalado el windows pirata. Para ello, comprueban el número de
licencias contratadas y el número de ordenadores que lo poseen y
saben si hay más de los obtenidos mediante su compra.