Estándares y Metodologías Internacionales de Auditoria en Sistemas
Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de informática. Cuenta con un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática. Utilización de metodologías, instrumentos y procedimientos operativos propios.
En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control, en el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.
Se definen los requerimientos obligatorios para la auditoría de sistemas y la generación de informes.
Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas.
Existen estándares orientados a servir como base para auditorías de informática, dentro de ellos contamos con:
COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos contamos con los parámetros, entro de ellos se encuentra el garantizar la seguridad de los Sistemas.
Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001
Objetivo:
Informar a los auditores de sistemas el mínimo nivel aceptado para resolver las responsabilidades profesionales precisadas en el código de ética profesional de ISACA para auditores de sistemas de información.
A las gerencias y otras partes interesadas sobre las expectativas de la profesión concernientes a quienes la practican. Proveer información sobre el cómo cumplir con los estándares de la Auditoría de Sistemas.
Normas Generales de Auditoria en Sistemas
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Objetivos
Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen.
Título de auditoría: Responsabilidad, autoridad y rendimiento de cuentas La responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función de auditoría de los sistemas de información se documentarán de la manera apropiada en un título de auditoría o carta de contratación.
Independencia: Independencia profesional En todas las cuestiones relacionadas con la auditoría, el auditor de sistemas de información deberá ser independiente de la organización auditada tanto en actitud como en apariencia.
La función de auditoría de los sistemas de información deberá ser lo suficientemente independiente del área que se está auditando para permitir completar de manera objetiva la auditoría.
Ética y normas profesionales: Código de Ética Profesional El auditor de sistemas de información deberá acatar el Código de Ética Profesional de la Asociación de Auditoría y Control de Sistemas de Información.
Idoneidad: Habilidades y conocimientos El auditor de sistemas de información debe ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar el trabajo como auditor.
Planificación: El auditor de sistemas de información deberá planificar el trabajo de auditoría de los sistemas de información para satisfacer los objetivos de la auditoría y para cumplir con las normas aplicables de auditoría profesional.
Ejecución del trabajo de auditoría: Supervisión del personal de auditoría de los sistemas de información debe recibir la supervisión apropiada para proporcionar la garantía de que se cumpla con los objetivos de la auditoría y que se satisfagan las normas aplicables de auditoría profesional.
Informes: Contenido y formato de los informes en el momento de completar el trabajo de auditoría, el auditor de sistemas de información deberá proporcionar un informe, de formato apropiado, a los destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance, los objetivos, el período de cobertura, la naturaleza y amplitud del trabajo de auditoría realizado.
Actividades de seguimiento: Seguimiento El auditor de sistemas de información deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y recomendaciones es relevantes anteriores para determinar si se han implementado las acciones apropiadas de manera oportuna.
Organismos y Estándares Internacionales de la Auditoria en Sistemas.
Los organismos internacionales que se ocupan del control y de la auditoria de Sistemas son
Fuente Estándares: La regulación de las mejores prácticas de Auditoria en informática como administrar los riesgos en tecnología Informática, la auditoria en base a los organismos nacionales e internacionales.
Institute of System and Association, ISACA.
La InformationSystemAudit and Control Association -Asociación de Auditoria y Control de Sistemas de Información- ISACA, comenzó en 1967. En 1969, el grupo se formalizo, incorporándose bajo el nombre de EDP AuditorsAssociation
Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.
Certified Information Security Auditor, CISA.
La Asociación de Auditores y Control de Sistemas de Información (ISACA), provee una Certificación de Auditores en Sistemas de Información (CISA); por medio de un examen anual que realiza el Instituto a los candidatos, el Cual cubre el conocimiento de actividades requeridas para la función de Auditoria en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los Candidatos.
Certified Information Security Manager, CISM
También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.
Institute of InternalAuditors, IIA
El Intitute of Internal Auditors (IIA), organización Profesional con sede en los Estados Unidos, con más de 70.000 miembros en todo el mundo y años de existencia- anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de un millar de auditores de todos los continentes. El IIA es reconocido mundialmente como una autoridad, pues es el principal educador y líder en la certificación, la investigación y la guía tecnológica en la profesión de la auditoria interna.
CertifiedInternal Auditor, CIA
El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios. Contar con profesionales certificados en auditoria interna, para la organización significa contar con un valioso recurso para la dirección y el consejo de administración, que ayuda a garantizar el avance en la dirección correcta para el logro de sus metas y objetivos.
Estandares o Normas Internacionales
Se enuncian algunas de las Normas que el Auditor de Sistemas de información debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de información debe estar preparado para justificar cualquier incumplimiento a estas.
No hay comentarios:
Publicar un comentario