Auditoría
Dentro del plan de continuidad PDCA, se encuentra en el de “chequeo”, si podría decir que todo el proceso de auditoría es CONFIDENCIAL, por ello lo primero a realizar es un contrato de confidencialidad con el Auditor.
Definición de Auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.
Tipos de auditoría: tenemos muchos enfoques de auditoría, por ejemplo:
- Auditoria de Gestión y de Resultados
- Auditoría Financiera
- Auditoría Externa
- Auditoría Interna
- Auditoría Integral
- Auditoría Financiera
- Auditoría de Gestión,
- Auditoría de Cumplimiento
- Auditoría de Control Interno
- Auditoría de Sistemas
- Auditoría Ambiental
- Auditoría Médica
Veremos dos tipos de auditoría:
Auditoría de Sistemas: Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para logar la Confidencialidad, Disponibilidad e Integridad de la Información que se procesa a través de los sistemas de información.
- La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
- La actividad dirigida a verificar y juzgar información.
- El examen y evaluación de los procesos y la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
- El proceso de recolección y evaluación de evidencia
Leer más: http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml#ixzz32WV3nT51
Auditoría de Cumplimiento: es la comprobación o examen de las operaciones financieras, administrativas, económicas y de otra índole de una entidad para establecer que se han realizado conforme a las normas legales, reglamentarias, estatutarias y de procedimientos que le son aplicables.
Esta auditoría se practica mediante la revisión de los documentos que soportan legal, técnica, financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las medidas de control interno están de acuerdo con las normas que le son aplicables y si dichos procedimientos están operando de manera efectiva y son adecuados para el logro de los objetivos de la entidad.
Ej. Esquema Nacional de Seguridad
¿Qué es una Auditoría Interna?
Una auditoría interna es el proceso mediante el cual la organización evalúa el cumplimiento de la implantación del Sistema de Gestión de la Seguridad de la información en una empresa bajo una normativa. Para el caso de estudio, pues la normativa es la ISO/IEC 27001. El numeral 6 de esta normativa anuncia los aspectos y parámetros a considerar para la realización de las auditorías internas. En el número 15.3 de la normativa ISO/IEC 27002, se presentan las consideraciones de la auditoría de los sistemas de información que es necesario auditar para verificación de las medidas implementadas en los sistemas de información que la empresa posee y que están incluidos dentro del alcance del SGSI.
¿Qué es una Auditoría Externa?
Es cuando se busca un experto externo para poder complementar la auditoría interna, ya que no podemos auditarnos a nosotros mismos.
Es el examen crítico, sistemático y detallado de un sistema de información realizado por un auditor externo independiente, de esta manera se otorga una validez a la auditoría interna.
Niveles de Auditoría Interna:
El estadio de madurez de la auditoría es equivalente al estadio de madurez del SGSI.
- Etapa 1: Básica, Seguridad
- Etapa 2: Legal (LOPD, LSA, ENS, etc.)
- Etapa 3: Organización (controles de la ISO 27002)
- Etapa 4: Complejo (Auditor externo independiente)
Los aspectos a considerar en las auditorías internas son:
- Las auditorías internas deben estar bien planificadas (plan auditor) y aprobadas por la dirección
- El equipo auditor deben ser profesionales idóneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización.
- Se debe estipular un coordinador del equipo auditor
- La auditoría se deben orientar hacia la correcta implantación de los 11 controles de seguridad implementados.
- Toda la organización debe conocer el alcance y la agenda estipulada para la auditoría interna.
- Los informes y resultados deberán ser conocidos por todo el personal de la organización involucrado dentro del alcance del SGSI
- De acuerdo al informe y/o resultados presentados en la auditoría interna, la organización debe estipular los planes para mejorar la eficacia del SGSI y realizar el procedimiento documentado de las acciones correctivas y preventivas. En el numeral 8 de la normativa ISO/IEC 27001, se trata la mejora SGSI, incluyendo en los numerales 8.1, el concepto de mejora continua y en el numeral 8.2 y 8.3 los requisitos para el procedimiento documentado de la acción preventiva y correctiva respectivamente.
¿Para qué sirve una Auditoría Interna?
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información.
Realización de pruebas y auditorías periódicas
La realización de pruebas y auditorías periódicas de seguridad constituyen un elemento de gran importancia para poder comprobar la adecuada implantación de las directrices y medidas definidas en las Políticas de Seguridad.
- Análisis de posibles vulnerabilidades del sistema informático, empleando herramientas como Nessus o Internet Security Scanner para tratar de localizar de forma automática algunas de las vulnerabilidades más conocidas.
- Sondeos de seguridad que complementan el análisis de vulnerabilidades con tareas de detección y de revisión de la instalación y configuración de los equipos de seguridad (firewalls, antivirus, IDS, entre ellos).Pruebas de intrusión, en las que no sólo se detectan las vulnerabilidades, sino que se trata de explotar las que se hayan identificado para tratar de comprometer el sistema afectado.
- Otras pruebas de seguridad que contemplan aspectos humanos y organizacionales, recurriendo a técnicas como la «Ingeniería Social» para tratar de descubrir información sensible o determinados detalles sobre la configuración y el funcionamiento del sistema.
- El análisis y evaluación de riesgos, en el que se pretende determinar cuál es el nivel de riesgo asumido por la organización a partir del análisis de posibles amenazas y vulnerabilidades.
- Por otra parte, también conviene estudiar la respuesta de la organización ante ataques simulados y determinados tipos de incidentes de seguridad, de forma que se pueda comprobar la adecuada ejecución de las tareas y la disponibilidad de recursos previstos en los planes de contingencia.
- En los trabajos de auditoría se deberá revisar el nivel de cumplimiento de los requisitos legales.
Har varios modelos de auditorías (pero veremos dos):
- Incial
- Seguimiento
La auditoría inicial de certificación de un SG se realiza en dos Fases:
Fase 1
- Auditar la documentación del sistema de gestión.
- (cuando la fase 1 se realice in situ) evaluar la ubicación y las condiciones de las instalaciones e intercambiar información con el personal con el fin de determinar el estado de preparación para la auditoría fase 2.
- revisar el estado y grado de comprensión de los requisitos de la norma, en particular en lo que concierne a la identificación de aspectos clave o significativos del desempeño procesos, objetivos y funcionamiento del sistema de gestión.
- recopilar la información necesaria correspondiente al alcance del sistema de gestión, a los procesos y emplazamientos, así como a los aspectos legales y reglamentarios relacionados y su cumplimiento. revisar la asignación de recursos para la fase 2 y acordar con el cliente los detalles de la auditoría fase 2.
- proporcionar un enfoque para la planificación de la auditoría fase 2, obteniendo una comprensión suficiente del sistema de gestión del cliente y de las operaciones del sitio en el contexto de los posibles aspectos significativos.
- evaluar si las auditorías internas y la revisión por la dirección se planifican y realizan, y si el nivel de implementación del sistema de gestión confirma que la organización cliente está preparada para la auditoría fase 2
Fase 2: Su objetivo es evaluar la implantación eficaz del SG. Se realizará siempre en las instalaciones del cliente. Se
comprobará:
- la información y las evidencias de la conformidad con todos los requisitos de la norma de SG u otro documento normativo aplicable.
- la realización por el cliente de un seguimiento, medición, informe y revisión con relación a los objetivos y metas de desempeño clave (coherentes con las expectativas de la norma de sistemas de gestión u otro documento normativo aplicable);
- el sistema de gestión del cliente y su desempeño en relación con el cumplimiento de la legislación.
- el control operacional de los procesos del cliente
- las auditorías internas y la revisión por la dirección.
- la responsabilidad de la dirección en relación con las políticas del cliente.
- los vínculos entre los requisitos normativos, la política, los objetivos y metas de desempeño (coherentes con las expectativas de la norma de sistemas de gestión u otro documento normativo aplicable), cualquier requisito legal aplicable, la responsabilidad, la competencia del personal, las operaciones, los procedimientos, los datos del desempeño y los hallazgos y conclusiones de las auditorías internas.
La Auditoría de Seguimiento:
Se realizarán visitas de seguimiento, al menos una vez al año, para comprobar que el SG certificado continúa cumpliendo los requisitos de la norma de referencia. El primer seguimiento tras la auditoría inicial tendrá lugar a los 12 meses de la auditoría fase 2.
Fuente y más información: sgs.es