SEGURIDAD EN LOS SISTEMAS DE

INFORMACION
FILTRACIONES DE INFORMACION
CUÁLES SON LOS COMPONENTES DE UN MARCO DE TRABAJO
ORGANIZACIONAL PARA LA SEGURIDAD Y EL CONTROL?
LA FUNCIÓN DE LA AUDITORÍA ¿Cómo sabe la gerencia que la seguridad y los controles de
los sistemas de información son efectivos? Para responder a esta pregunta, las organizaciones
deben llevar a cabo auditorías exhaustivas y sistemáticas. Una auditoría de sistemas de
información examina el entorno de seguridad general de la firma, además de controlar el
gobierno de los sistemas de información individuales. El auditor debe rastrear el flujo de
transacciones de ejemplo a través del sistema y realizar pruebas, utilizando (si es apropiado)
software de auditoría automatizado. La auditoría de sistemas de información también puede
examinar la calidad de los datos. Las auditorías de seguridad revisan las tecnologías, los
procedimientos, la documentación, la capacitación y el personal. Una auditoría detallada puede
incluso simular un ataque o desastre para evaluar la respuesta de la tecnología, el personal de
sistemas de información y los empleados de la empresa. La auditoría lista y clasifica todas las
debilidades de control; además, estima la probabilidad de su ocurrencia. Después evalúa el
impacto financiero y organizacional de cada amenaza. La figura 8.4 es el listado de ejemplo de
un auditor sobre las debilidades de control para un sistema de préstamos. Contiene una sección
para notificar a la gerencia sobre dichas debilidades y para la respuesta de la gerencia. Se espera
que la gerencia idee un plan para contrarrestar las debilidades considerables en los controles
autenticación biométrica