Auditoría de seguridad informática. IFCT0109. Ester Chicano Tejada
o pasos:
1 Identificación de la condición o asuntos deficientes o debilidades del sistema de información según los criterios aceptables definidos.
2 Identificación de los responsables respecto a las operaciones implicadas en el hallazgo.
3 Verificación de la causa o causas de la deficiencia detectada.
4 Determinación de si la deficiencia es un caso aislado o una condición generalizada y difundida.
5 Determinación de la relevancia y consecuencias de la deficiencia.
6 Entrevista con los interesados que puedan estar afectados con el hallazgo para obtener datos adicionales.
7 Determinación de las conclusiones de auditoría obtenidas por el análisis de la evidencia a raíz del hallazgo.
8 Definición de las acciones correctivas y/o recomendaciones que subsanen la deficiencia detectada.
Actividades
5. Después de haber visto con detalle los hallazgos negativos, ¿qué hallazgos positivos se podrían detectar en una auditoría?
Aplicación práctica
En pleno proceso de auditoría informática, las herramientas de auditoría han detectado una serie de debilidades que podrían clasificarse como hallazgos. No obstante, la importancia de estas es bastante banal y, además, el trabajo realizado para detectarlas no facilita suficiente información como para respaldar las posibles conclusiones que puedan obtenerse.
¿Estas debilidades podrían considerarse hallazgos? ¿Cumplen con todos los requisitos?
SOLUCIÓN
Las debilidades detectadas no pueden considerarse hallazgos al no cumplir con los requisitos básicos que les den garantía y confiabilidad.
Por un lado, se incumple el requisito de importancia relativa, al no ser las debilidades detectadas lo suficientemente relevantes como para ser comunicadas a los responsables.
Por el otro lado, también se incumple el requisito de estar basadas en un trabajo suficiente, al no haber podido obtener suficiente información como para respaldar los hallazgos y darles fiabilidad.
9. Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
Los hallazgos son una serie de hechos que han sido detectados con el análisis y la evaluación de los documentos, procesos, actividades, entrevistas, etc., de todas las partes que integran el sistema de información auditado.
En términos de auditoría, se consideran desviaciones los incumplimientos de los requisitos de acreditación detectados por la observación de los hallazgos detectados en la auditoría.
Los hallazgos de auditoría que manifiestan debilidades del sistema auditado se pueden clasificar en:
1 Oportunidades de mejora: no son fallos detectados en sí, son recomendaciones del auditor para mejorar la eficiencia y eficacia del sistema de información auditado.
2 Observaciones: aspectos de requisitos que podrían mejorarse, pero que no requieren una actuación inmediata.
3 No conformidades: se detectan no conformidades cuando se encuentra algún incumplimiento de un requisito definido en la auditoría. Requieren una actuación inmediata en cuanto son detectadas.
La clasificación de los hallazgos en no conformidades, observaciones u oportunidades de mejora deberá realizarse teniendo en cuenta una serie de criterios comunes:
1 Un hallazgo se clasificará como no conformidad cuando:Se trate de fallos generales del sistema.Se detecte la ausencia de algún elemento importante para el sistema de información.Se detecte un conjunto de varias observaciones que, vistas de un modo aislado, no son importantes, pero que en su detección global pueden desembocar en fallos más relevantes.
2 Se considerarán observaciones aquellos hallazgos en que:Se detecten fallos ocasionales, aislados, que no se produzcan con periodicidad.Se detecten fallos cuya resolución sea fácil o rápida.Se detecten incumplimientos parciales de los requisitos definidos en la auditoría.
3 Serán oportunidades de mejora:Las recomendaciones del auditor que, en caso de no aplicarlas, no provoquen debilidades o fallos en el sistema.Las recomendaciones que estén basadas en el juicio y la experiencia del auditor.
La clasificación de los hallazgos no es un proceso exacto; siempre está la posibilidad de no tener clara su categorización debido a la falta de información suficiente para conocer la gravedad exacta de la debilidad detectada.
Nota
Cuando debe tomarse la decisión sobre la clasificación de un hallazgo como no conformidad u observación, siempre es recomendable ser prudente y clasificarla como no conformidad para darle prioridad a su análisis y corrección.
La dificultad de aplicar un criterio exacto para clasificar los hallazgos hace necesario que el auditor emita juicios lo más objetivos posibles basados en sus experiencias anteriores que le permitan respaldar sus decisiones de categorización y de otorgamiento de prioridades.
Actividades
6. Ante la duda de clasificar un hallazgo entre no conformidad, observación o recomendación, ¿por qué se recomienda clasificarlo como no conformidad? Justifique su respuesta.
Aplicación práctica
En pleno proceso de auditoría del sistema, el software informático ha detectado un fallo general del sistema que señala una debilidad grave del mismo. Por otra parte, también se ha detectado una debilidad de menor gravedad cuya aparición es puramente ocasional (no hay periodicidad de la debilidad).
Clasifique ambos hallazgos e indique cuál de los dos debería ser resuelto prioritariamente.
SOLUCIÓN
El hallazgo detectado por un fallo general y grave del sistema debería ser clasificado como no conformidad al afectar al conjunto del sistema.
Sin embargo, el hallazgo de la debilidad ocasional y de poca gravedad tiene que clasificarse como observación al no haber periodicidad y no afectar al conjunto global del sistema en sí.
Debido a la elevada gravedad, debería resolverse prioritariamente la no conformidad, pudiendo posponerse el tratamiento de la observación hasta no ser resuelta la primera.
10. Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas
El desarrollo de una auditoría informática se basa en la aplicación de una serie de normas y metodologías comúnmente aceptadas que permiten al auditor realizar sus tareas dentro de unos criterios de calidad.
En cuanto a las metodologías de la auditoría