METODOLOGIA

Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda revisar o analizar,

pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

Estudio preliminar

•

Revisión y evaluación de controles y seguridades

•

Examen detallado de áreas criticas

•

Comunicación de resultados

Estudio preliminar

informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para

evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos,

Entrevistas con los principales funcionarios del PAD.

.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad

Revisión y evaluación de controles y seguridades.-

realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de

procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

Consiste de la revisión de los diagramas de flujo de procesos,

Examen detallado de áreas criticas.-

un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del

mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la

duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo

lo anteriormente analizado.

Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace

Comunicación de resultados.-

hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción

simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa

•

Motivos de la Auditoría

•

Objetivos

•

Alcance

•

Estructura Orgánico-Funcional del área Informática

•

Configuración del Hardware y Software instalado

•

Control Interno• Resultados de la Auditoría

METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS

La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información (SGSI o ISMS) que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información. El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.

Cuáles son los Beneficios:

ü  Reducción de los costos vinculados a incidentes.

ü  Posibilidad de disminución de las primas de seguro.

ü  Mejora del conocimiento de los sistemas de información, sus problemas y los medios de protección.

ü  Mejora de la disponibilidad de los materiales y datos.

ü  Protección de la información.

ü  Diferenciación sobre la competencia y mercado.

Aproximación (o aprovechamiento) del modelo:

Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS en una organización. Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos.

Este estándar internacional adopta también el modelo “Plan-Do-Check-Act” (PDCA), el cual es aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente:

ü  Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización.

ü  Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.

ü  Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.

ü  Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS