¿Es necesario el rol de un auditor dentro de la organización? ¿Por qué? Justificar
la respuesta. La auditoría interna le da muchos beneficios a una organización precisamente por la visión tanto objetiva como independiente de analizar sistemas, de analizar funcionamientos y de brindar este servicio de asegurar sobre la organización y termina generando y detectando objetivamente que puntos están flojos, qué temas conviene resolver, cuáles conviene mejorar, en qué gestiones conviene elevar el grado de madurez, donde detectar que hay riesgos y por dónde conviene aplicar mayores controles o dónde hay controles redundantes que hacen ineficientes alguno de los procesos, por lo que termina verificando si dicha organización está funcionando de la mejor forma posible encaminados a los objetivos planteados o la estrategia que se planificó inicialmente y dejar de lado el sesgo de alguna persona que participa de la operación diaria de las áreas en el análisis de la información, del funcionamiento de los sistemas y de los procesos. Todo esto hace posible los principios de control interno, como son el mantener los sistemas de control con una alta calidad, llevar una responsabilidad de la gestión de mantenerlos y de ejecutarlos, el alcance de los procedimientos debe ser equiparable al riesgo y por último a mayor tamaño de la empresa, es mayor la necesidad de contar con un esquema de control interno definido.
¿Existen diferencias entre un auditor de sistemas y uno de seguridad? ¿Por qué?
Justificar. El auditor de sistemas abarca a la auditoría de seguridad de la información, porque el segundo se enfoca a los pilares básicos de seguridad, confidencialidad, integridad e integridad de la información, por ende casi todas sus tareas están enfocadas a evaluar, analizar y concluir sobre el funcionamiento de controles de seguridad, el control de acceso, el control de log de usuarios, log de sistemas, aplicación de actualizaciones y parches, configuración segura de servidores, de hardware y software, en fin, está acotado a todas esas tareas, mientras que el auditor de sistemas, además de revisar esos mismos dominios puede realizar las capacitaciones técnicas de los equipos, la cultura de los equipos, las iniciativas con nuevas tecnologías o proyectos que se vayan definiendo, la estructura organizacional y una gran variedad de procesos IT que tienen que ver con incidentes (no de seguridad necesariamente), gestión de solicitudes, de requerimientos, gestión de cambios, gestión de problemas, entre otras cosas.