Читать книгу Auditoría de seguridad informática. IFCT0109 - Ester Chicano Tejada - Страница 14

Antes de empezar la auditoría, el auditor deberá elaborar una planificación en la que se detallen los objetivos y procedimientos que se llevarán a cabo para realizar la auditoría informática.

En esta planificación se deberá incluir sobre todo:

1 Lugar o lugares en los que se realizarán las tareas de auditoría.

2 Duración de la auditoría.

3 Fecha límite para la finalización de la auditoría.

4 Composición del equipo de auditoría.

5 Áreas que serán auditadas.

En resumen, el auditor planificará los objetivos a cumplir y los métodos y procedimientos que se van a proseguir para lograr dichos objetivos de un modo eficaz y eficiente.

Como ya se puede observar, la composición del equipo de auditoría es un aspecto fundamental para lograr el éxito de la auditoría informática. Las tareas del auditor son de lo más variadas y es necesario formar un equipo con profesionales multidisciplinares y capacitados para que, de forma global, se puedan llevar a cabo una serie de actividades básicas, descritas en la tabla siguiente.

Actividades básicas del auditor informático

Establecimiento y análisis de la política de seguridad.

Verificación y cumplimiento de los estándares, normas y cualificaciones relacionadas con la auditoría y la seguridad informáticas.

Organización de la seguridad y clasificación de los recursos.

Análisis de las inversiones realizadas y futuras de seguridad.

Análisis de los riesgos de la organización.

Análisis y control de la seguridad física de la organización.

Establecimiento de medidas de protección y control de accesos al sistema.

Evaluación de la seguridad en las comunicaciones y operaciones.

Evaluación de la seguridad y vulnerabilidades de los sistemas operativos y demás software del sistema.

Definición del plan de continuidad de la organización.

Gestión de la seguridad de la organización con el establecimiento de medidas y definición del cuadro integral de mandos.