Читать книгу Auditoría de seguridad informática. IFCT0109 - Ester Chicano Tejada - Страница 25
8.2. Pasos a seguir en el desarrollo de hallazgos
ОглавлениеUna vez detectado el hallazgo, el auditor deberá desarrollarlo de modo que se obtengan todos los aspectos importantes del problema. Esta fase de desarrollo estará formada por las siguientes tareas o pasos:
1 Identificación de la condición o asuntos deficientes o debilidades del sistema de información según los criterios aceptables definidos.
2 Identificación de los responsables respecto a las operaciones implicadas en el hallazgo.
3 Verificación de la causa o causas de la deficiencia detectada.
4 Determinación de si la deficiencia es un caso aislado o una condición generalizada y difundida.
5 Determinación de la relevancia y consecuencias de la deficiencia.
6 Entrevista con los interesados que puedan estar afectados con el hallazgo para obtener datos adicionales.
7 Determinación de las conclusiones de auditoría obtenidas por el análisis de la evidencia a raíz del hallazgo.
8 Definición de las acciones correctivas y/o recomendaciones que subsanen la deficiencia detectada.
Actividades
5. Después de haber visto con detalle los hallazgos negativos, ¿qué hallazgos positivos se podrían detectar en una auditoría?
Aplicación práctica
En pleno proceso de auditoría informática, las herramientas de auditoría han detectado una serie de debilidades que podrían clasificarse como hallazgos. No obstante, la importancia de estas es bastante banal y, además, el trabajo realizado para detectarlas no facilita suficiente información como para respaldar las posibles conclusiones que puedan obtenerse.
¿Estas debilidades podrían considerarse hallazgos? ¿Cumplen con todos los requisitos?
SOLUCIÓN
Las debilidades detectadas no pueden considerarse hallazgos al no cumplir con los requisitos básicos que les den garantía y confiabilidad.
Por un lado, se incumple el requisito de importancia relativa, al no ser las debilidades detectadas lo suficientemente relevantes como para ser comunicadas a los responsables.
Por el otro lado, también se incumple el requisito de estar basadas en un trabajo suficiente, al no haber podido obtener suficiente información como para respaldar los hallazgos y darles fiabilidad.
