Читать книгу Auditoría de seguridad informática. IFCT0109 - Ester Chicano Tejada - Страница 26

Los hallazgos son una serie de hechos que han sido detectados con el análisis y la evaluación de los documentos, procesos, actividades, entrevistas, etc., de todas las partes que integran el sistema de información auditado.

En términos de auditoría, se consideran desviaciones los incumplimientos de los requisitos de acreditación detectados por la observación de los hallazgos detectados en la auditoría.

Los hallazgos de auditoría que manifiestan debilidades del sistema auditado se pueden clasificar en:

1 Oportunidades de mejora: no son fallos detectados en sí, son recomendaciones del auditor para mejorar la eficiencia y eficacia del sistema de información auditado.

2 Observaciones: aspectos de requisitos que podrían mejorarse, pero que no requieren una actuación inmediata.

3 No conformidades: se detectan no conformidades cuando se encuentra algún incumplimiento de un requisito definido en la auditoría. Requieren una actuación inmediata en cuanto son detectadas.

La clasificación de los hallazgos en no conformidades, observaciones u oportunidades de mejora deberá realizarse teniendo en cuenta una serie de criterios comunes:

1 Un hallazgo se clasificará como no conformidad cuando:Se trate de fallos generales del sistema.Se detecte la ausencia de algún elemento importante para el sistema de información.Se detecte un conjunto de varias observaciones que, vistas de un modo aislado, no son importantes, pero que en su detección global pueden desembocar en fallos más relevantes.

2 Se considerarán observaciones aquellos hallazgos en que:Se detecten fallos ocasionales, aislados, que no se produzcan con periodicidad.Se detecten fallos cuya resolución sea fácil o rápida.Se detecten incumplimientos parciales de los requisitos definidos en la auditoría.

3 Serán oportunidades de mejora:Las recomendaciones del auditor que, en caso de no aplicarlas, no provoquen debilidades o fallos en el sistema.Las recomendaciones que estén basadas en el juicio y la experiencia del auditor.

La clasificación de los hallazgos no es un proceso exacto; siempre está la posibilidad de no tener clara su categorización debido a la falta de información suficiente para conocer la gravedad exacta de la debilidad detectada.

Nota

Cuando debe tomarse la decisión sobre la clasificación de un hallazgo como no conformidad u observación, siempre es recomendable ser prudente y clasificarla como no conformidad para darle prioridad a su análisis y corrección.

La dificultad de aplicar un criterio exacto para clasificar los hallazgos hace necesario que el auditor emita juicios lo más objetivos posibles basados en sus experiencias anteriores que le permitan respaldar sus decisiones de categorización y de otorgamiento de prioridades.

Actividades

6. Ante la duda de clasificar un hallazgo entre no conformidad, observación o recomendación, ¿por qué se recomienda clasificarlo como no conformidad? Justifique su respuesta.

Aplicación práctica

En pleno proceso de auditoría del sistema, el software informático ha detectado un fallo general del sistema que señala una debilidad grave del mismo. Por otra parte, también se ha detectado una debilidad de menor gravedad cuya aparición es puramente ocasional (no hay periodicidad de la debilidad).

Clasifique ambos hallazgos e indique cuál de los dos debería ser resuelto prioritariamente.

SOLUCIÓN

El hallazgo detectado por un fallo general y grave del sistema debería ser clasificado como no conformidad al afectar al conjunto del sistema.

Sin embargo, el hallazgo de la debilidad ocasional y de poca gravedad tiene que clasificarse como observación al no haber periodicidad y no afectar al conjunto global del sistema en sí.

Debido a la elevada gravedad, debería resolverse prioritariamente la no conformidad, pudiendo posponerse el tratamiento de la observación hasta no ser resuelta la primera.