Categories: All - seguridad - auditorías - certificación - externas

by Alwin David Pineda Donaire 1 year ago

250

3-Introduccion a la Auditoría Informática

La auditoría informática es un proceso esencial para evaluar y verificar la seguridad de la información en una organización. Existen dos tipos principales de auditorías de seguridad:

3-Introduccion a la Auditoría Informática

INTRODUCCION A LA AUDITORIA INFORMATICA

1. TIPOS DE AUDITORIA

1.2. Certificación de Seguridad
Organizaciones de Certificación:

Las organizaciones de certificación son independientes, es decir, no ofrecen servidos de consultoría sino que son expresamente auditoras.

La certificación únicamente la pueden otorgar aquellas organizaciones que cumplen con una serie de requisitos comprobados (auditados) por un tercero de confianza (el organismo de acreditación).

Consiste en que la organización que ha implantado la normativa ISO/IEC 27001 o la UNE 71502, encarga a una organización externa acreditada, a que analice la implantación de esta normativa para dictaminar si es correcta.
1.1. Auditoría de Seguridad
Existen 2 tipos de Auditorías de Seguridad:

Las Auditorías Externas

Son las que se realizan por empresas externas, totalmente independientes de la organización y con conocimientos acreditados en seguridad.

Las Auditorías Internas

Dictaminan si las medidas de seguridad son suficientes y si están correctamente configuradas.

Podrán realizarse siempre que las organizaciones posean un grupo de auditoría independiente.

Estos procesos consisten, en la revisión de las medidas de seguridad para dictaminar si la seguridad es correcta o si presenta deficiencias.
Comprueba que la implantación de los controles de seguridad, cumple con lo establecido en las diferentes políticas dictadas por la organización.
Se incorpora directamente al proceso interno de la organización de gestión de la seguridad de la información.
Tipos fundamentales de Auditoría de Seguridad:
Certificación de Seguridad
Auditoría de Seguridad
Auditoría: es el proceso de revisar las diferentes medidas de seguridad que tiene implantadas una organización frente a un marco de referencia.

2. EQUIPO AUDITOR

2.6. Personal de Auditoría
Durante la realización de la auditoría pueden participar más personas de las que se han nombrado:

Equipo del Auditado:

Consultores:

Puede asistir a la auditoría pero no debe intervenir en ningún momento.

Consultor externo que la empresa ha contratado para asesorarle en el desarrollo del SGSI.

Observadores, Personal en Formación:

Es el personal de la empresa en formación como Auditor Interno.

Representante de la Dirección:

Persona autorizada por la empresa para confirmar la implicación y compromiso de la dirección con las políticas de seguridad aprobadas.

Guía:

Es el responsable del sistema de gestión de la seguridad de la información.

Persona de la empresa que acompaña al equipo auditor y le facilita la información solicitada.

Equipo Auditor:

Testigos e invitados.

Expertos, Personal Asesor:

Personal que asesora al auditor sobre temas técnicos o concretos del negocio o las tecnologías que se auditan.

Observadores, Auditor Provisional:

Puede ser un observador del organismo de acreditación, por ejemplo: ENAC, para supervisar la auditoría.

Auditores en Formación:

Personal en formación para convertirse en auditor.

Jefe y Miembros del Equipo:

Normalmente se trata de una o dos personas.

2.5. Distribución de Funciones
Las funciones que pertenecen a los auditores del equipo de auditoría son éstas:

• Realizar el seguimiento de las soluciones establecidas para corregir las no conformidades encontradas.

• Documentar y apoyar todos los hallazgos.

• Apoyar al auditor jefe.

Las funciones que debe desempeñar el Auditor Jefe dentro del proceso de auditoría son las siguientes:

• Toma decisiones sobre la auditoría y el SGSI.

• Dirige las reuniones con el equipo auditor y el personal auditado.

• Controla los conflictos y maneja las situaciones difíciles.

• Colabora en la selección del equipo de auditores.

• Dirige la primera fase.

• Planifica y gestiona todas las fases de la auditoría.

2.4. Perfil del Auditor Jefe
Conocimientos Actualizados:

Los auditores han de estar actualizados en los diferentes aspectos relacionados con la seguridad de la información, a través de la participación en cursos, seminarios y demás vías de formación.

Además de ser capaz de dirigir al equipo auditor, poseer las cualidades, características y conocimientos especificados anteriormente, deberá:

• Haber demostrado habilidades de comunicación.

• Haber realizado o participado en 3 auditorías como miembro de un equipo de auditoría.

• Ser conocedor del proceso de certificación.

2.3. Perfil de los Auditores
Durante la realización de la auditoría:

Los auditores deben ser capaces de comprender las diferentes funciones que tienen los empleados de la organización auditada, para que durante las entrevistas que realicen, se ajusten al nivel y la autoridad que éstos posean.

Experiencia del Auditor:

Es aconsejable que los auditores hayan participado en 4 auditorías y al menos en 20 jornadas completas.

Y a nivel personal se requiere que sean:

• Capaces de percibir situaciones y problemas no declarados.

• Flexibles ante nuevas situaciones.

• Realistas y capaces de analizar e interpretar las situaciones en su justa medida.

• Objetivos, analíticos y persistentes.

• Maduros, profesionales e independientes.

Es recomendable que los auditores que forman parte del equipo auditor, cuenten con experiencia previa desarrollando las siguientes actividades, especialmente si la auditoría es de certificación:

• Haber desarrollado los informes relativos a la auditoría en la que participó.

• Haber auditado la implantación de un sistema de gestión de la seguridad de la información.

• Haber revisado el análisis de riesgos de una organización.

• Haber revisado la documentación del sistema de gestión de la seguridad de la información.

2.2. Código de Conducta del Equipo Auditor
Formación y experiencia del auditor:

Haber realizado un curso de auditoría de 5 días.

Deben tener por lo menos 2 años de experiencia en seguridad de las tecnologías de la información.

Ha de tener suficiente experiencia, al menos de 4 años, en tecnologías de la información.

Los miembros del equipo auditor deben tener una formación universitaria o experiencia profesional y formación que se considere equivalente.

Los miembros del equipo auditor deben estar cualificados para:

• Verificar que la organización ha identificado correctamente sus riesgos.

• Discernir las áreas de actividad de la organización.

• Identificar las amenazas, vulnerabilidades e impactos que puedan comprometer los activos de la organización.

Han de seguir un código de conducta para asegurar la correcta realización de sus tareas:

• En caso de incumplimiento de este código, se procederá a una investigación en la que colaborarán para su esclarecimiento.

• No actuarán de forma que puedan perjudicar a ninguna de las partes implicadas en la auditoría.

• No podrán revelar las observaciones de las auditorías a terceros.

• No aceptarán ningún tipo de incentivo, comisión, descuento u otro tipo de provecho por parte de la organización auditada.

• Deben evitar cualquier tipo de asignación que pueda causar un conflicto de intereses.

• Deben actuar de forma veraz e imparcial.

2.1. Independencia de Auditoría
La No Conformidad:

Es un error en la creación del SGSI al respecto de la normativa ISO/IEC 27001 o cualquier otro marco que se tome como referencia contra el que se está auditando.

El equipo auditor:

Puede realizar auditorías previas a la certificación para verificar el estado del sistema de gestión de la seguridad de la información.

Puede realizar publicaciones sobre interpretaciones relativas a la normativa.

Tiene capacidad de impartir formación genérica sobre estas normativas o sobre aspectos de seguridad.

Está obligado a hacer el seguimiento de las no conformidades detectadas.

Está obligado a auditar y certificar el cumplimiento de las especificaciones del sistema de gestión de la seguridad de la información.

Una vez finalizada la auditoría, si puede emitir las recomendaciones que considere oportunas.

No puede dar recomendaciones específicas para el desarrollo del SGSI.

No puede formar parte del grupo que toma decisiones sobre el estado del sistema de gestión de la seguridad de la información.

No debe formar parte de las políticas o procedimientos de una organización.

No debe participar en la elaboración de manuales.

Equipo Auditor consta de:
Auditores

• Conocimientos sobre procesos de análisis y gestión del riesgo.

• Los últimos cuatro años trabajando con las IT y de éstos, los dos últimos relacionados con la seguridad de las IT.

• Calificaciones académicas necesarias.

Auditor Líder

• Capacidad para comunicar los resultados obtenidos tanto vía oral como escrita.

• Cualidades para el proceso de asesoramiento a la organización que está evaluando.

• Haber participado como mínimo en tres auditorías a organizaciones como miembro de un equipo auditor.

Es el grupo de personas encargado de revisar las medidas de seguridad y la correcta implementación de la normativa ISO/IEC 27001.