Seguridad informatica

Solo disponible en BuenasTareas
  • Páginas : 13 (3004 palabras )
  • Descarga(s) : 7
  • Publicado : 8 de agosto de 2010
Leer documento completo
Vista previa del texto
ITAudit
Vol. 9, 10 de Abril de 2006

Preparándose para la Auditoría de Seguridad — Recomendaciones para Auditores de TI Principiantes
Identificar riesgos y vulnerabilidades y evaluar la efectividad de las medidas de seguridad perimetral son algunos de los pasos que los auditores de TI principiantes necesitan comprender para realizar revisiones más eficaces de los controles de seguridad. PorLakshmana Rao Vemuri, CISA, Consultor Sénior de Seguridad, Paladion Networks Las organizaciones hacen suposiciones diferentes sobre los niveles de seguridad necesarios para proteger sus sistemas y activos de información. Aunque las empresas puedan diferir en sus ideas acerca de la seguridad de las TI [Tecnologías de la Información], el papel de los auditores internos es el mismo: revisar elentorno de seguridad existente e identificar la efectividad de los controles internos. Desafortunadamente, los auditores de TI noveles se encontrarán con no pocas dificultades. Muchas empresas tienen cortafuegos y sistemas de detección de intrusiones (IDS) mal configurados, carencia de sistemas para detectar no-conformidades con las políticas y procedimientos de TI, usan sistemas antivirusdesactualizados y esperan demasiado tiempo para parchear los sistemas cuando se detectan vulnerabilidades. Cada uno de estos temas puede ser un reto para un auditor veterano, por lo que aquéllos que acaban de iniciarse en este campo deberán moverse rápidamente. Además, los auditores noveles necesitan comprender las complejidades de redes informáticas, sistemas operativos, software y hardware a menudo muydispares. Así, incluso auditores experimentados deben “hacer sus deberes” antes de la auditoría para maximizar el proceso de revisión. ANTES DE LA AUDITORÍA Para llevar a cabo con éxito revisiones de controles de seguridad, los auditores de TI principiantes deben aprender con qué contar durante un proceso de auditoría. Adicionalmente, deberían comprender los mecanismos adecuados para identificarriesgos y vulnerabilidades de seguridad, evaluar la efectividad de las medidas de seguridad perimetral y trabajar con la alta dirección de forma eficaz. Las cuestiones fundamentales que un auditor principiante debería tener en mente antes de comenzar una auditoría de seguridad son la determinación de los riesgos y vulnerabilidades existentes, así como el nivel de buen gobierno y conformidad de lasTI de la organización. Una vez que se le ha encomendado a un auditor la tarea de revisar el entorno de seguridad de las TI de una empresa, deberá evaluar los diferentes niveles de seguridad de todos los activos de TI y cómo se protege cada uno de ellos. Se requiere también del auditor dar recomendaciones de cómo mejorar la seguridad de las TI de la organización y certificar si existen controlesinternos adecuados para asegurar todos los activos de TI. Para hacer las recomendaciones adecuadas y comprender qué controles son necesarios, los auditores deberían identificar las vulnerabilidades y riesgos de seguridad existentes en colaboración con los miembros de la dirección de TI y la alta dirección. Una forma de identificar riesgos y vulnerabilidades de seguridad antes de la auditoría esrecomendando a la organización la realización de una evaluación de riesgos. Aparte de ayudar a los auditores a determinar qué controles serían más efectivos basándose en las necesidades de seguridad de la organización, una evaluación de riesgos puede ayudar a disipar la resistencia a los resultados de la auditoría, permitiendo a la dirección tener una imagen exacta del estado actual de la seguridadantes de tener lugar la auditoría. Si el cliente no ha completado una evaluación de riesgos, el auditor debería realizar una evaluación de riesgos básica para identificar áreas de debilidad, que a su vez ayudará a demostrar la necesidad de un control determinado.

El buen gobierno de las TI se basa en procesos de alta calidad, bien definidos y repetibles, que tienen que estar adecuadamente...
tracking img