El enfoque a tomar en la ejecución de una Auditoría de TI depende en gran medida del área y/o procesos a analizar y evaluar, y de las habilidades y conocimientos que se necesitan en el auditor de TI para la Auditoría a realizar. No es lo mismo revisar la gestión de un proyecto de TI –para cuya ejecución se necesitarán habilidades y conocimientos menos técnicos y más orientados a los de un gestor– que una revisión del nivel de seguridad de los servidores Unix expuestos en la DMZ, para cuya tarea de evaluación se necesitará un dominio de aspectos mucho más técnicos sobre esa tecnología en concreto.
DMZ es una zona que es principalmente pública a Internet. Aquí es donde se encuentran unas empresas web, e-mail y los servidores DNS. Una DMZ tiene a menudo una protección limitada, pero ya que está muy expuesto a la Internet, el supuesto es que las máquinas en la zona finalmente se verá comprometida. Por lo tanto, las máquinas tienen a menudo tan poco conectividad a la red privada como cualquier otra máquina de Internet.
Es importante diferenciar tres clases de trabajos de Auditoría de TI según el tipo de controles a evaluar:
Auditorías del gobierno de TI
Trabajos orientados a la evaluación de aquellos controles establecidos para la supervisión de una correcta gestión de la información, el establecimiento del “tone at the top”, así como de las políticas que marcan las guías generales de la organización con relación a TI.
Auditorías de la organización y gestión de TI
Enfocadas a revisar aspectos generales de la gestión de TI, tales como la protección física de los activos de TI, la gestión de cambios, la gestión del outsourcing (externalización), la gestión de proyectos de TI o la gestión financiera de TI.
Auditorías de la capa técnica
Engloban aquellos trabajos que requieren conocimientos específicos de la plataforma tecnológica (sistemas operativos, bases de datos, elementos de comunicaciones…). También pueden incluir la revisión de aquellos controles de determinada aplicación que requiera un conocimiento profundo y “técnico” de su funcionamiento.
Adicionalmente, y aunque no sean Auditorías de TI, habría que considerar los trabajos de análisis masivo de datos mediante el uso de herramientas tales como ACL o IDEA (por ejemplo: apoyo a investigaciones de fraude, SAS99). Estos trabajos han recaído históricamente bajo la responsabilidad de los auditores de TI, aunque, recientemente –debido al mayor conocimiento en sistemas y a la formación específica recibida por las nuevas generaciones de los auditores de negocio – la ejecución de dichos trabajos va, poco a poco, pasando a ser responsabilidad de estos últimos.
Tomado Texto online
Tomado Texto online
0 comentarios:
Publicar un comentario