Читать книгу Auditoría de seguridad informática. IFCT0109 - Ester Chicano Tejada - Страница 29
11. Resumen
ОглавлениеLa auditoría informática consiste en el análisis exhaustivo de los sistemas de información de una organización con la finalidad de detectar, identificar y describir las distintas vulnerabilidades que puedan presentarse.
Para que la auditoría se lleve a cabo satisfactoriamente, es de vital importancia la figura del auditor, que debe actuar conforme a un código deontológico y un código ético para que las actividades se desarrollen con objetividad e independencia. No es necesario que el auditor sea una sola persona, todo lo contrario, se recomienda que exista un equipo auditor en el que cada uno de los miembros esté especializado en áreas distintas de la auditoría para que ejecuten sus tareas de un modo complementario y así aumentar la calidad del informe elaborado.
Una vez elegido el equipo auditor, se podrá empezar a planificar la auditoría teniendo en cuenta la necesidad de obtener pruebas sustantivas y pruebas de cumplimiento a través del análisis de los hallazgos (debilidades del sistema auditado detectadas) obtenidas gracias a los conocimientos y la experiencia del auditor y a las herramientas de auditoría utilizadas, que añadirán precisión y exactitud a los resultados obtenidos.
Los hallazgos, para ser considerados como tales, deberán cumplir con una serie de requisitos básicos y se categorizarán como observaciones, no conformidades u oportunidades de mejora según su gravedad y alcance, dando prioridad a aquellos hallazgos que afecten al sistema en general y cuyos daños puedan ser graves.
Todos estos procedimientos y tareas deberán cumplir una serie de criterios comunes y deberán realizarse mediante unas normativas y metodologías comúnmente aceptadas relacionadas con la auditoría de sistemas de información, que den fiabilidad y respaldo profesional a las técnicas y herramientas utilizadas y garanticen el éxito de la auditoría.
Ejercicios de repaso y autoevaluación
1. Indique cuál de las siguientes normas no está dentro de las Normas de Auditoría de Sistemas de Información definidas por la ISACA.
1 El auditor deberá cumplir con los preceptos del Código de Ética Profesional de la ISACA.
2 El auditor de los sistemas de información deberá ser dependiente del auditado, tanto en actitud como en apariencia.
3 El auditor debe tener los suficientes conocimientos técnicos y destrezas para desempeñar correctamente las funciones de auditoría encomendadas.
4 Las tareas de auditoría deben llevarse a cabo con sumo cuidado profesional y cumpliendo las normativas de auditoría aplicables.
2. Indique a qué principio del código deontológico de la auditoría corresponden los siguientes conceptos.
1 El auditor informático debe estar plenamente capacitado para el ejercicio de su profesión y, para ello, debe actualizar sus conocimientos de forma periódica mediante actividades de formación continua.
2 Las recomendaciones del auditor siempre deben estar basadas en sus conocimientos y experiencias, manteniendo al auditado siempre informado de la evolución de las tecnologías de la información y de las actuaciones que se deben llevar a cabo.
3 En momentos de alto volumen de trabajo, el auditor deberá evitar que el exceso de trabajo dificulte su capacidad de concentración y precisión en sus tareas.
3. ¿Cuáles de los siguientes forman parte de los principios del código deontológico de la auditoría?
1 Principio de calidad.
2 Principio de eficacia.
3 Principio de perjuicio del auditado.
4 Principio de legalidad.
4. Rellene la siguiente tabla indicando la finalidad de las distintas clases de auditoría.
| Clase | Finalidad |
| Financiera | |
| De gestión | |
| De cumplimiento | |
| Informática |
5. Relacione los siguientes conceptos con los tipos de auditoría informática descritos a continuación.
1 Auditoría que se encarga de analizar resultados informáticos de todo tipo.
2 Auditoría encargada de analizar las actividades relacionadas con el entorno de sistemas informáticos.
3 Auditoría que analiza todos los procesos referentes a la seguridad informática, tanto física como lógica.
4 Auditoría encargada de analizar los distintos dispositivos de comunicación que forman parte de las redes de la organización.
1 Auditoría de comunicaciones y redes.
2 Auditoría de seguridad informática.
3 Auditoría de sistemas.
4 Auditoría de explotación.
6. Indique cuál de los siguientes conceptos no debe incluirse obligatoriamente en la planificación de la auditoría informática.
1 Áreas que serán auditadas.
2 Fecha límite para la finalización de la auditoría.
3 Empleados de la organización al completo.
4 Composición del equipo de auditoría.
7. Complete la siguiente oración.
Debido a la gran variedad de conocimientos específicos necesarios para abarcar todo tipo de empresas, el equipo auditor deberá contar con una serie de ______________ directos en la realización de la auditoría para complementar las posibles ______________ técnicas que puedan surgir.
8. Describa brevemente los distintos tipos de pruebas de auditoría informática.
9. Rellene el siguiente gráfico referente a la interrelación entre las pruebas sustantivas y las pruebas de cumplimiento.
10. Indique cuál de los siguientes conceptos no es una ventaja de las herramientas CAAT.
1 Se reduce el nivel de riesgo de la auditoría, al ser aplicaciones especializadas que maximizan la probabilidad de error.
2 Al ser técnicas mecanizadas, añaden independencia a las actividades desarrolladas por el auditor.
3 Proporcionan mayor coherencia a los resultados de la auditoría.
4 Facilitan una mayor disponibilidad de la información.
11. Mencione los requisitos básicos que deben cumplir los hallazgos de auditoría.
12. Indique a qué tipo de hallazgo de auditoría corresponden las siguientes definiciones.
1 Son aspectos de requisitos que podrían mejorarse, pero que no requieren una actuación inmediata.
2 Hallazgos que se detectan cuando se encuentra algún incumplimiento de un requisito definido en la auditoría.
3 No son fallos detectados en sí, son recomendaciones del auditor para mejorar la eficiencia y eficacia del sistema de información auditado.
13. Complete la siguiente oración:
Un hallazgo se clasificará como no __________ cuando se trate de fallos __________ del sistema, se detecte la __________ de algún elemento importante para el sistema de información o bien cuando se detecte un conjunto __________ que, vistas de un modo aislado, no son importantes, pero que en su detección global pueden desembocar en fallos más relevantes.
14. Rellene el siguiente gráfico indicando los distintos tipos de normas de auditoría y descríbalas brevemente.
15. ¿Cuál de las siguientes actividades no se corresponde con los conocimientos básicos del equipo de auditores informáticos?
1 Sistemas operativos.
2 Gestión de bases de datos.
3 Desarrollo de proyectos financieros.
4 Seguridad física y del entorno.
