EJECUCION DE LA AUDITORIA
Enviado por Fabian Lopez • 30 de Abril de 2019 • Trabajo • 1.934 Palabras (8 Páginas) • 179 Visitas
EJECUCION DE LA AUDITORIA
Nota lo mas importante de este documento para la tarea es lo del reporting
4.2.1. Recolección de información previa
Esta subfase permitirá al equipo auditor preparar la ejecución de las pruebas
identificadas en el plan de auditoría. Las actividades que se desarrollarán incluyen:
• Recopilar toda la información relevante para obtener un correcto entendimiento
del entorno a auditar:
– Los requisitos del negocio y los riesgos asociados.
– Leyes y regulaciones.
• Identificación de cargos/roles/funciones para detectar las entrevistas necesarias
y el personal que deberá asistir:
– La estructura organizacional.
– Los roles y responsabilidades.
• Identificación y estudio de la documentación existente del auditado que
sea relevante para la auditoría:
– Políticas y procedimientos.
– Descripción de los entornos de tratamiento de la información y estudio
de las vulnerabilidades conocidas que les sean aplicables.
– Descripción de las medidas de control establecidas.
4.2.2. Ejecución de la pruebas de auditoría
Una vez recopilada toda la información necesaria, el equipo auditor desarrollará de manera efectiva el conjunto de pruebas documentadas en el plan de auditoría. Tal y como se ha comentado, para la realización de una auditoríam de seguridad dependiendo de su alcance, enfoque y tipo, las pruebas que se deben practicar serán:
• Revisióndedocumentación, como por ejemplo las políticas que se han de uditar para comprobar su idoneidad dado el entorno del auditado y las mejores prácticas reconocidas por la industria. Asimismo, se revisará otro tipo de documentación relevante para el proyecto como podrían ser inventarios, documentos de diseño, procedimientos operativos, etc.
• Realizacióndeentrevistas para comprobar si el personal conoce las políticas y las aplica. Pueden ser necesarias diversas entrevistas dentro de un mismo nivel funcional con el objetivo de detectar incongruencia, olvidos o intentos de esconder el modo habitual de proceder.
Desarrollo de la entrevista
Las entrevistas se desarrollarán habitualmente en instalaciones propias del auditado para interrumpir lo menos posible las operaciones normales de la organización y deberán realizarse siempre al personal más representativo y mejor preparado para cubrir los aspectos que se quieren analizar. El desarrollo de las entrevistas se tiene que realizar en un tono no amenazador para el entrevistado y, aunque se trate de una auditoría, se tiene que transmitir la idea de que constituye una oportunidad para mejorar algún aspecto de la seguridad y/o la eficiencia de los procedimientos.
• Ejecucióndepruebastécnicas para comprobar el modo como se encuentran
implantados los controles técnicos de acuerdo tanto a las políticas como a las buenas prácticas de la industria. Las áreas más habituales que se examinarán en este tipo de pruebas serán:
– Funcionamiento de los sistemas y las comunicaciones (con especial
importancia para el control y uso de accesos remotos).
– Configuración de los sistemas (servidores, puestos de trabajo o elementos
de la infraestructura de comunicaciones).
– Revisión de registros de actividad de sistemas.
Durante la ejecución de estas pruebas es posible que el equipo auditor detecte vulnerabilidades técnicas que, por su especial criticidad, se deberán transmitir con agilidad al auditado.
• Realizacióndevisitas para examinar aspectos de seguridad física y/o comprobar
in situ el modo en que operan los sistemas de información.
Es importante que a medida que se desarrolla el plan de auditoría, el equipo auditor vigile si, sobre la base de la nueva información que se va adquiriendo, no existen cambios sustanciales que impliquen o bien una modificación del alcance o bien la ejecución de pruebas diferentes a las inicialmente planteadas. En un primer momento, estos puntos deben ser discutidos por el equipo internamente y posteriormente concretados con el auditado, puesto que pueden implicar la necesidad de dotar de más recursos a la auditoría.
4.2.3. Análisis de la información
En realidad, el proceso de análisis se inicia desde el mismo momento en que
comienza la ejecución de la auditoría y únicamente finaliza con la aceptación por parte del auditado de la última revisión del informe de auditoría. Sin embargo,
cuando el desarrollo de las pruebas se encuentra en un estado avanzado, el equipo auditor deberá compaginarlas con el análisis de la información recopilada. Este análisis realizado en paralelo con la ejecución de pruebas permite ir refinando las sucesivas pruebas, tanto las puramente técnicas como aquellas otras que requieran nuevas entrevistas, visitas o documentación adicional del auditado.
Durante la fase de análisis, uno de los aspectos que el auditor deberá ir evaluando
es la importancia relativa o el riesgo de no conformidad del problema que detecte. En este sentido deberá emplear técnicas de análisis de riesgo consistentes en aplicar la conocida ecuación del riesgo:
Factores de la ecuación de riesgo
El riesgo es proporcional a tres factores:
• Al valor del activo de información involucrado.
• A la probabilidad de que una amenaza pueda aprovechar una vulnerabilidad
o problema que hemos detectado durante la auditoría.
• Al impacto que pueda llegar a provocar la explotación de la vulnerabilidad.Para poder valorar adecuadamente las evidencias encontradas en la auditoría y poder relativizarlas, será necesario realizar este ejercicio. Hay que destacar que, para la valoración de hallazgos de auditoría referentes a vulnerabilidades en sistemas de información, existe un método ampliamente utilizado, el common vulnerability scoring system (CVSS)
A la hora de analizar la información recopilada, podemos, de un modo general,
separarla en dos grandes áreas:
1)Revisióndepolíticas.Tal y como hemos expuesto en numerosas ocasiones
(no nos cansaremos de repetirlo) la piedra angular de un programa efectivo
de seguridad de la información son sus políticas de seguridad, tanto las generalistas
como las más específicas diseñadas con un alcance reducido orientado
a una temática o un entorno de sistemas de información determinado, bien
redactadas, comunicadas y cumplidas. Estas políticas sirven de origen para todo
el resto de documentación: directivas, estándares, procedimientos, guías,
...