Читать книгу Auditoría de seguridad informática. IFCT0109 - Ester Chicano Tejada - Страница 15

Para llevar a cabo todas las actividades mencionadas en la tabla anterior, no es necesario que sean desempeñadas por un solo auditor informático, sino que se recomienda seleccionar una serie de técnicos especializados que abarquen los conocimientos y capacidades suficientes para desarrollar todas las tareas de un modo global.

El número de personas que formen el equipo auditor puede variar según las dimensiones de la organización, de los sistemas y de los equipos, pero, independientemente de la magnitud del equipo, sus miembros deberán estar suficientemente capacitados y deberán tener un alto sentido de la ética y la moralidad.

Para seleccionar el equipo adecuado, en un primer lugar hay que pensar en profesionales con suficiente nivel para realizar una correcta coordinación del desarrollo de las tareas de la auditoría, siendo capaz de facilitar la información requerida en todo momento.

Además, el equipo debe estar formado por profesionales con conocimientos básicos en cuanto a:

1 Desarrollo de proyectos informáticos.

2 Gestión del departamento de sistemas.

3 Análisis de riesgos en sistemas informáticos.

4 Sistemas operativos.

5 Redes locales y telecomunicaciones.

6 Gestión de bases de datos.

7 Seguridad física y del entorno.

8 Planificación informática.

9 Gestión de la seguridad de los sistemas.

10 Gestión de problemas, incidencias y cambios en entornos informáticos.

11 Administración de datos.

12 Ofimática.

13 Permisos de acceso y encriptación de datos.

14 Comercio electrónico.

Además, a todos estos conocimientos básicos habría que añadir otros conocimientos más especializados, atendiendo a las características de los sistemas y organizaciones a auditar. Por ejemplo, para auditar empresas cuya actividad principal es el desarrollo del negocio on-line no se requerirá el mismo conocimiento que para empresas cuya actividad se desarrolla enteramente off-line; para las primeras será necesario que los auditores tengan conocimientos más específicos de comercio electrónico, plataformas de pago seguras para Internet, etc.

Nota

El equipo auditor, para que la auditoría termine con éxito, deberá contar con el apoyo de la alta dirección de la organización. Si se cuenta con el apoyo suficiente, la obtención de los datos necesarios para la auditoría y la colaboración de los empleados y departamentos será más fácil y rápida, mejorando la eficiencia y eficacia de los procesos de auditoría.

Debido a la gran variedad de conocimientos específicos necesarios para abarcar todo tipo de empresas, el equipo auditor deberá contar con una serie de colabores directos en la realización de la auditoría para complementar las posibles deficiencias técnicas que puedan surgir. En concreto, es recomendable contar con colaboradores con características como:

1 Técnicos en informática.

2 Conocimientos en administración y finanzas.

3 Experiencia en informática y análisis de sistemas.

4 Experiencia y conocimiento en psicología industrial.

5 Conocimientos específicos de sistemas operativos, bases de datos, redes, etc., según el área que se vaya a auditar.

6 Conocimientos en análisis de riesgos.

Una vez decidido el equipo auditor y el personal que va a colaborar en la auditoría informática, ya se podrá proceder a la elaboración del contrato o carta convenio en la que se definan específicamente los objetivos, miembros, limitaciones, colaboración necesaria por parte de la organización, informes a elaborar y entregar y responsabilidad asumida por los auditores.

Este contrato o carta convenio deberá ser aceptada por la organización y el equipo auditor para poder comenzar con las tareas específicas de la auditoría.

Actividades

4. ¿Por qué es necesario contar con miembros con conocimientos multidisciplinares en el equipo auditor? Aparte de los conocimientos referentes al área informática, ¿considera que hay algún otro conocimiento indispensable que deba tener el auditor? Justifique su respuesta.