Caso Practico De Una Auditoria
Páginas: 14 (3362 palabras)
Publicado: 8 de junio de 2012
ANEXO
Caso Práctico de una Auditoría de Seguridad Informática “Ciclo de Seguridad”
A continuación se presenta un caso de auditoría de área general para proporcionar una visión más desarrollada y amplia de la función auditora.
Es una auditoría de Seguridad Informática que tiene como misión revisar tanto la seguridad física del Centro de Proceso de Datos en su sentido más amplio, como laseguridad lógica de datos, procesos y funciones informáticas más importantes de aquél.
Ciclo de Seguridad
El objetivo de esta auditoría de seguridad es revisar la situación y las cuotas de eficiencia de la misma en los órganos más importantes de la estructura informática.
Para ello, se fijan los supuestos de partida:
El área auditada es la Seguridad. El área a auditar se divide en: Segmentos.Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditoría se realizara en 3 niveles.
Los segmentos a auditar, son:
• Segmento 1: Seguridad de cumplimiento de normas y estándares.
• Segmento 2: Seguridad de Sistema Operativo.
• Segmento 3: Seguridad de Software.
• Segmento 4: Seguridad de Comunicaciones.
• Segmento 5:Seguridad de Base de Datos.
• Segmento 6: Seguridad de Proceso.
• Segmento 7: Seguridad de Aplicaciones.
• Segmento 8: Seguridad Física.
Se darán los resultados globales de todos los segmentos y se realizará un tratamiento exhaustivo del Segmento 8, a nivel de sección y subsección.
Conceptualmente la auditoria informática en general y la de Seguridad en particular, ha dedesarrollarse en seis fases bien diferenciadas:
Fase 0. Causas de la realización del ciclo de seguridad.
Fase 1. Estrategia y logística del ciclo de seguridad.
Fase 2. Ponderación de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Cálculos y resultados del ciclo de seguridad.
Fase 5. Confección del informe del ciclo de seguridad.
A su vez, las actividades auditorasse realizan en el orden siguiente:
1. Comienzo del proyecto de Auditoría Informática.
2. Asignación del equipo auditor.
3. Asignación del equipo interlocutor del cliente.
4. Cumplimentación de formularios globales y parciales por parte del cliente.
5. Asignación de pesos técnicos por parte del equipo auditor.
6. Asignación de pesos políticos por parte del cliente.
7.Asignación de pesos finales a segmentos y secciones.
8. Preparación y confirmación de entrevistas.
9. Entrevistas, confrontaciones y análisis y repaso de documentación.
10. Calculo y ponderación de subsecciones, secciones y segmentos.
11. Identificación de áreas mejorables.
12. Elección de las áreas de actuación prioritaria.
13. Preparación de recomendaciones y borrador deinforme
14. Discusión de borrador con cliente.
15. Entrega del informe.
Causas de realización de una Auditoría de Seguridad
Esta constituye la FASE 0 de la auditoría y el orden 0 de actividades de la misma.
El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstosde costes, obligaciones legales, situación de ineficiencia global notoria, etc.
De esta manera el auditor conocerá el entorno inicial. Así, el equipo auditor elaborará el Plan de Trabajo.
Estrategia y logística del ciclo de Seguridad
Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3:
Fase 1. Estrategia y logística del ciclo de seguridad
1.Designación del equipo auditor.
2. Asignación de interlocutores, validadores y decisores del cliente.
3. Cumplimentación de un formulario general por parte del cliente, para la realización del estudio inicial.
Con las razones por las cuales va a ser realizada la auditoría (Fase 0), el equipo auditor diseña el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en función del...
Caso Práctico de una Auditoría de Seguridad Informática “Ciclo de Seguridad”
A continuación se presenta un caso de auditoría de área general para proporcionar una visión más desarrollada y amplia de la función auditora.
Es una auditoría de Seguridad Informática que tiene como misión revisar tanto la seguridad física del Centro de Proceso de Datos en su sentido más amplio, como laseguridad lógica de datos, procesos y funciones informáticas más importantes de aquél.
Ciclo de Seguridad
El objetivo de esta auditoría de seguridad es revisar la situación y las cuotas de eficiencia de la misma en los órganos más importantes de la estructura informática.
Para ello, se fijan los supuestos de partida:
El área auditada es la Seguridad. El área a auditar se divide en: Segmentos.Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditoría se realizara en 3 niveles.
Los segmentos a auditar, son:
• Segmento 1: Seguridad de cumplimiento de normas y estándares.
• Segmento 2: Seguridad de Sistema Operativo.
• Segmento 3: Seguridad de Software.
• Segmento 4: Seguridad de Comunicaciones.
• Segmento 5:Seguridad de Base de Datos.
• Segmento 6: Seguridad de Proceso.
• Segmento 7: Seguridad de Aplicaciones.
• Segmento 8: Seguridad Física.
Se darán los resultados globales de todos los segmentos y se realizará un tratamiento exhaustivo del Segmento 8, a nivel de sección y subsección.
Conceptualmente la auditoria informática en general y la de Seguridad en particular, ha dedesarrollarse en seis fases bien diferenciadas:
Fase 0. Causas de la realización del ciclo de seguridad.
Fase 1. Estrategia y logística del ciclo de seguridad.
Fase 2. Ponderación de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Cálculos y resultados del ciclo de seguridad.
Fase 5. Confección del informe del ciclo de seguridad.
A su vez, las actividades auditorasse realizan en el orden siguiente:
1. Comienzo del proyecto de Auditoría Informática.
2. Asignación del equipo auditor.
3. Asignación del equipo interlocutor del cliente.
4. Cumplimentación de formularios globales y parciales por parte del cliente.
5. Asignación de pesos técnicos por parte del equipo auditor.
6. Asignación de pesos políticos por parte del cliente.
7.Asignación de pesos finales a segmentos y secciones.
8. Preparación y confirmación de entrevistas.
9. Entrevistas, confrontaciones y análisis y repaso de documentación.
10. Calculo y ponderación de subsecciones, secciones y segmentos.
11. Identificación de áreas mejorables.
12. Elección de las áreas de actuación prioritaria.
13. Preparación de recomendaciones y borrador deinforme
14. Discusión de borrador con cliente.
15. Entrega del informe.
Causas de realización de una Auditoría de Seguridad
Esta constituye la FASE 0 de la auditoría y el orden 0 de actividades de la misma.
El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstosde costes, obligaciones legales, situación de ineficiencia global notoria, etc.
De esta manera el auditor conocerá el entorno inicial. Así, el equipo auditor elaborará el Plan de Trabajo.
Estrategia y logística del ciclo de Seguridad
Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3:
Fase 1. Estrategia y logística del ciclo de seguridad
1.Designación del equipo auditor.
2. Asignación de interlocutores, validadores y decisores del cliente.
3. Cumplimentación de un formulario general por parte del cliente, para la realización del estudio inicial.
Con las razones por las cuales va a ser realizada la auditoría (Fase 0), el equipo auditor diseña el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en función del...
Leer documento completo
Regístrate para leer el documento completo.