viernes, 11 de marzo de 2011

METODOLOGIA DE LA AUDITORIA

En la metodología debemos seguir los siguientes pasos:


  1. Estudio preliminar
  2. Revisión y evaluación de control y     seguridad
  3. Examen detallado de aéreas criticas
  4. Comunicación de resultados


ESTUDIO PRELIMINAR

Definir grupo de trabajo, programa de auditoria, visitas para conocer detalles, elaborar cuestionario para obtención de información, solicitud de plan de actividades, entre otros.

REVISIÓN DE DIAGRAMAS Y FLUJOS DE PROCESOS
Revisión de las aplicaciones de las áreas críticas

  • Backups
  • Documentación
  • Archivos y otras actividades
EXÁMEN DETALLADO DE ÁREAS CRÍTICAS.

Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas establecerá motivos, objetivos, alcance, recursos, metodología de trabajo, duración, plan de trabajo y análisis del problema.

COMUNICACIÓN DE RESULTADOS

Se elaborará del borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar  al definitivo.

Debe contener:

  • Motivos de la auditoria
  • Objetivos
  • Alcance
  • Estructuras Orgánicas –Funcional del área informática
  • Configuración del Hardware y software instalado
Existen diferentes metodos para auditar como:

COBIT

  • Es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios 
  • Propone un marco de acción donde se evalúan los criterios de información.
  • Se auditan los recursos que comprenden la tecnología de información  
  •  Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.


ITIL

Esta metodología es la aproximación más globalmente aceptada para la gestión de servicios de Tecnologías de Información en todo el mundo, ya que es una recopilación de las mejores prácticas tanto del sector público como del sector privado.    

Propone:

  •  El establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos (ya sean propios o de los clientes).
  • Para cada actividad que se realice se debe de hacer la documentación pertinente, ya que esta puede ser de gran utilidad para otros miembros del área

ISO 279001

Es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información (SGSI o ISMS) que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información    


IS 9001

Es una norma internacional que se aplica a los sistemas de gestión de calidad (SGC) y que se centra en todos los elementos de administración de calidad con los que una empresa debe contar para tener un sistema efectivo que le permita administrar y mejorar la calidad de sus productos o servicios   

METODOLOGIA ESCOGIDA COBIT.  


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)