BIENVENIDO

“A la gente le gusta trabajar con gente que sabe, y que le gusta lo que hace, y hace lo que le gusta

martes, 13 de mayo de 2014

Analizar y evaluar una Auditoría de TI

El enfoque a tomar en la ejecución de una Auditoría de TI depende en gran medida del área y/o procesos a analizar y evaluar, y de las habilidades y conocimientos que se necesitan en el auditor  de TI para la Auditoría a realizar. No es lo mismo revisar la gestión de un proyecto de TI –para cuya ejecución se necesitarán habilidades y conocimientos menos técnicos y más orientados a los de un gestor– que una revisión del nivel de seguridad de los servidores Unix expuestos en la DMZ, para cuya tarea de evaluación se necesitará un dominio de aspectos mucho más técnicos sobre esa tecnología en concreto.

DMZ es una zona que es principalmente pública a Internet. Aquí es donde se encuentran unas empresas web, e-mail y los servidores DNS. Una DMZ tiene a menudo una protección limitada, pero ya que está muy expuesto a la Internet, el supuesto es que las máquinas en la zona finalmente se verá comprometida. Por lo tanto, las máquinas tienen a menudo tan poco conectividad a la red privada como cualquier otra máquina de Internet.

Es importante diferenciar tres clases de trabajos de Auditoría de TI según el tipo de controles a evaluar:

Auditorías del gobierno de TI

Trabajos orientados a la evaluación de aquellos controles establecidos para la supervisión de una correcta gestión de la información, el establecimiento del “tone at the top”, así como de las políticas que marcan las guías generales de la organización con relación a TI.

Auditorías  de la organización y gestión de TI

Enfocadas a revisar aspectos generales de la gestión de TI, tales como la protección física de los activos de TI, la gestión de cambios, la gestión del outsourcing (externalización), la gestión de proyectos de TI o la gestión financiera de TI.

Auditorías de la capa técnica

Engloban aquellos trabajos que requieren conocimientos específicos de la plataforma tecnológica (sistemas operativos, bases de datos, elementos de comunicaciones…). También pueden incluir la revisión de aquellos controles de determinada aplicación que requiera un conocimiento profundo y “técnico” de su funcionamiento.

Adicionalmente, y aunque no sean Auditorías de TI, habría que considerar los trabajos de análisis masivo de datos mediante el uso de herramientas tales como ACL o IDEA (por ejemplo: apoyo a investigaciones de fraude, SAS99). Estos trabajos han recaído históricamente bajo la responsabilidad de los auditores de TI, aunque, recientemente –debido al mayor conocimiento en sistemas y a la formación específica recibida por las nuevas generaciones de los auditores de negocio – la ejecución de dichos trabajos va, poco a poco, pasando a ser responsabilidad de estos últimos.

Por 
FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES DE ESPAÑA