La auditoría informática es un proceso esencial para evaluar la seguridad y el cumplimiento de las normas en una organización. Un equipo auditor, liderado por un auditor jefe con experiencia en certificaciones y habilidades de comunicación, es el encargado de llevar a cabo esta tarea.
Auditoria: Es el proceso de revisar las diferentes medidas de seguridad que tiene implantadas una organización frente a un marco de referencia.
Introduccion a la auditoria informatica
2. Equipo Auditor: Es el grupo de personas encargado de ejecutar el proyecto de auditoria, tanto en el caso de la revisión de medidas de seguridad(auditoria de seguridad) como la revisión de la correcta implantación de la normativa ISO/IEC 27001, si se busca la obtención de la certificación.
2.6 Personal de Auditoria
Equipo del Auditado
- Guía.
- Representante de dirección.
- Observadores.
- Personal en formación.
- Consultores
Equipo Auditor
- Jefe y miembros del equipo, normalmente se trata de 1 o 2 personas.
- Auditores en formación: Personal en formación para convertirse en auditor.
- Observadores, Auditor provisional: Puede ser un observador del organismo de acreditación para supervisar la auditoria.
- Expertos, Personal Asesor: Personal que asesora al auditor sobre temas técnicos o tecnologías que se auditan.
- Testigos e invitados
2.5 Distribución de funciones
- Planificar y gestionar todas las fases de la auditoria.
- Dirige la primera fase.
- Colabora en la selección del equipo de auditores.
- Controla los conflictos y maneja las situaciones difíciles.
- Dirige las reuniones con el equipo auditor y el personal auditado.
- Toma decisiones sobre auditoria y SGSI.
2.4 Perfil del Auditor Jefe
- Ser conocedor del proceso de certificación.
-Haber realizado o participado en tres auditorias como miembro de un equipo de auditoria.
- Haber demostrado habilidades de comunicación.
2.3 Perfil de los Auditores
- Haber revisado la documentación del sistema de gestión de la seguridad de la información.
- Haber revisado el análisis de riesgo de una organización.
- Haber auditado la implantación de un sistema de gestión de la seguridad dela información.
- Haber desarrollado los informes relativos a la auditoria en la que participo.
2.2 Código de conducta del equipo auditor
Deberán seguir el siguiente código:
- Deben actuar de forma veraz e imparcial
- Deben evitar cualquier tipo de asignación que pueda causar un conflicto de intereses.
- No aceptaran ningún tipo de incentivo, comisión, descuento u otro tipo de provecho de parte de la organización auditada.
- No podrán revelar las observaciones de las auditorias a terceros.
- No actuaran de forma que puedan perjudicar a ninguna de las partes involucradas en la auditoria.
- En caso de incumplimiento de este código, se procederá a una investigación en la que colaboraran para su esclarecimiento.
2.1 Independencia de Auditoria
Con el fin de garantizar la imparcialidad, el equipo auditor no debe participar en la elaboración de manuales, políticas o procedimientos de una organización, ni puede formar parte del grupo que toma decisiones sobre el estado del sistema de gestión de seguridad de la informacion.
1. Tipos de Auditorias
Certificación de Seguridad: Consiste en la organización que ha implantado la normativa ISO/IEC 27001 encarga a una organización externa-acreditada y con unas características concretas, que analice la implantación de esta normativa para analizar si es correcta.
Auditoria de Seguridad: Comprueba que la implantación de los controles de seguridad cumple con lo establecido en las diferentes políticas dictadas por la organización y que ha sido implantado técnicamente de manera correcta.