viernes, 12 de agosto de 2016

Etapas y Lineamientos del Proceso de Auditoria Informática

Conceptos

  • Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados
  • Procedimiento: Forma especificada para llevar a cabo una actividad o un proceso
  • No conformidad: Incumplimiento de un requisito
  • Conformidad: Cumplimiento de un requisito
  • Requisito: Necesidad o expectativa establecida, generalmente implícita u obligatoria

Etapas

FASE
ACTIVIDADES
Conocimiento del sistema o área auditada
  1. Identificar el origen de la auditoria.
  2. Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada.
  3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización.
  4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas encontradas.
Planeación de la Auditoria de Sistemas
  1. Elaborar el plan de auditoría
  2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro)
  3. De acuerdo al estándar elegido, seleccionar los ítems que serán evaluados que estén en relación directa con el objetivo y alcances definidos en el plan.
  4. Seleccionar el equipo de trabajo y asignar tareas específicas
  5. Determinar las actividades que se llevarán a cabo y los tiempos en que serán llevadas a cabo en cada ítem evaluado. (Programa de auditoría)
  6. Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de chequeo, formatos de cuestionarios)
  7. Diseñar el plan de pruebas (formato pruebas)
Ejecución de la Auditoria de Sistemas
  1. Aplicar los instrumentos de recolección de información diseñados
  2. Ejecutar las pruebas del plan de pruebas
  3. Levantar la información de activos informáticos de la organización auditada
  4. Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT)
  5. Realizar la valoración de las amenazas y vulnerabilidades encontradas y probadas
  6. Realizar el proceso de evaluación de riesgos
  7. Determinar el tratamiento de los riesgos
Resultados de la Auditoria de Sistemas
  1. Determinar las soluciones para los hallazgos encontrados (controles)
  2. Elaborar el Dictamen para cada uno de los procesos evaluados.
  3. Elaborar el informe final de auditoría para su presentación y sustentación
  4. Integrar y organizar los papeles de trabajo de la auditoria
  5. Diseñar las políticas y procedimientos integrando los controles definidos

ISO 2001:2015
Es una norma desarrollada basándose en todos los retos empresariales con los que se enfrentan las empresas de hoy en día no importando tamaño y sector. La norma es lo suficientemente flexible como para ofrecer a las organizaciones no solo una herramienta para la gestión de la calidad, sino también un marco significativo para la mejora empresarial gracias a la eficacia y la mejora de la satisfacción del cliente.


Requisitos de la norma:

  1. Alcance
  2. Referencias normativas
  3. Términos y definiciones
  4. Contexto de la organización
  5. Liderazgo
  6. Planificación
  7. Soporte
  8. Operaciones
  9. Evaluación del desempeño
  10. Mejora
ISO 9000:2005 Fundamentos y vocabulario


En el vídeo se explica la norma ISO 2009:2015 desde su creación hasta implementan.
Menciona a las organizaciones que trabajan justo con esta para su correcta funcionalidad.
Es una norma basada en el riego, esto para dar mejora.

Su estructura se basa en el enfoque PHVA:
  1. Planear
  2. Hacer
  3. Verificar
  4. Actuar

Estos son elementos que componen el ciclo de la mejora.

Referencias

http://auditordesistemas.blogspot.com/2011/11/metodologia-para-realizar-auditoria.html
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)