Ester Chicano Tejada - Auditoría de seguridad informática. IFCT0109

Здесь есть возможность читать онлайн «Ester Chicano Tejada - Auditoría de seguridad informática. IFCT0109» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на испанском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Auditoría de seguridad informática. IFCT0109: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Auditoría de seguridad informática. IFCT0109»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Libro especializado que se ajusta al desarrollo de la cualificación profesional y adquisición de certificados de profesionalidad. Manual imprescindible para la formación y la capacitación, que se basa en los principios de la cualificación y dinamización del conocimiento, como premisas para la mejora de la empleabilidad y eficacia para el desempeño del trabajo.

Auditoría de seguridad informática. IFCT0109 — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Auditoría de seguridad informática. IFCT0109», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема
Сбросить

Интервал:

Закладка:

Сделать

1 Los hallazgos de auditoría deben tener cierta importancia que les dé la suficiente relevancia para que merezcan ser comunicados a la organización en el informe de auditoría.

2 Los hallazgos deben estar basados en hechos y evidencias concretos que figuren en los papeles de trabajo y que les permitan ser identificados con facilidad.

3 Los hallazgos deben haber sido detectados con criterios de objetividad, equidad y realidad para otorgarles independencia del criterio del auditor.

4 Los hallazgos deben ser lo suficientemente convincentes para que sean comprensibles y coherentes para otras personas que no hayan participado en el proceso de auditoría.

5 Además, los hallazgos deben estar basados en una labor y trabajo profundos y extensos que respalden las conclusiones y recomendaciones formuladas a partir de estos.

En resumen, los requisitos de los hallazgos de auditoría se mencionan en el gráfico siguiente.

Como se puede comprobar estos requisitos son subjetivos y están sujetos a - фото 26

Como se puede comprobar, estos requisitos son subjetivos y están sujetos a interpretaciones. Los términos de “importancia”, “precisión”, “convincentes”, etc., de estos requisitos son de difícil definición concreta y requerirán de justificaciones lo suficientemente firmes para que los hallazgos obtenidos sean firmes y confiables y no lleven a conclusiones erróneas.

8.2. Pasos a seguir en el desarrollo de hallazgos

Una vez detectado el hallazgo, el auditor deberá desarrollarlo de modo que se obtengan todos los aspectos importantes del problema. Esta fase de desarrollo estará formada por las siguientes tareas o pasos:

1 Identificación de la condición o asuntos deficientes o debilidades del sistema de información según los criterios aceptables definidos.

2 Identificación de los responsables respecto a las operaciones implicadas en el hallazgo.

3 Verificación de la causa o causas de la deficiencia detectada.

4 Determinación de si la deficiencia es un caso aislado o una condición generalizada y difundida.

5 Determinación de la relevancia y consecuencias de la deficiencia.

6 Entrevista con los interesados que puedan estar afectados con el hallazgo para obtener datos adicionales.

7 Determinación de las conclusiones de auditoría obtenidas por el análisis de la evidencia a raíz del hallazgo.

8 Definición de las acciones correctivas y/o recomendaciones que subsanen la deficiencia detectada.

картинка 27

Actividades

5. Después de haber visto con detalle los hallazgos negativos, ¿qué hallazgos positivos se podrían detectar en una auditoría?

картинка 28

Aplicación práctica

En pleno proceso de auditoría informática, las herramientas de auditoría han detectado una serie de debilidades que podrían clasificarse como hallazgos. No obstante, la importancia de estas es bastante banal y, además, el trabajo realizado para detectarlas no facilita suficiente información como para respaldar las posibles conclusiones que puedan obtenerse.

¿Estas debilidades podrían considerarse hallazgos? ¿Cumplen con todos los requisitos?

SOLUCIÓN

Las debilidades detectadas no pueden considerarse hallazgos al no cumplir con los requisitos básicos que les den garantía y confiabilidad.

Por un lado, se incumple el requisito de importancia relativa, al no ser las debilidades detectadas lo suficientemente relevantes como para ser comunicadas a los responsables.

Por el otro lado, también se incumple el requisito de estar basadas en un trabajo suficiente, al no haber podido obtener suficiente información como para respaldar los hallazgos y darles fiabilidad.

9. Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades

Los hallazgos son una serie de hechos que han sido detectados con el análisis y la evaluación de los documentos, procesos, actividades, entrevistas, etc., de todas las partes que integran el sistema de información auditado.

En términos de auditoría, se consideran desviaciones los incumplimientos de los requisitos de acreditación detectados por la observación de los hallazgos detectados en la auditoría.

Los hallazgos de auditoría que manifiestan debilidades del sistema auditado se pueden clasificar en:

1 Oportunidades de mejora: no son fallos detectados en sí, son recomendaciones del auditor para mejorar la eficiencia y eficacia del sistema de información auditado.

2 Observaciones: aspectos de requisitos que podrían mejorarse, pero que no requieren una actuación inmediata.

3 No conformidades: se detectan no conformidades cuando se encuentra algún incumplimiento de un requisito definido en la auditoría. Requieren una actuación inmediata en cuanto son detectadas.

La clasificación de los hallazgos en no conformidades observaciones u - фото 29

La clasificación de los hallazgos en no conformidades, observaciones u oportunidades de mejora deberá realizarse teniendo en cuenta una serie de criterios comunes:

1 Un hallazgo se clasificará como no conformidad cuando:Se trate de fallos generales del sistema.Se detecte la ausencia de algún elemento importante para el sistema de información.Se detecte un conjunto de varias observaciones que, vistas de un modo aislado, no son importantes, pero que en su detección global pueden desembocar en fallos más relevantes.

2 Se considerarán observaciones aquellos hallazgos en que:Se detecten fallos ocasionales, aislados, que no se produzcan con periodicidad.Se detecten fallos cuya resolución sea fácil o rápida.Se detecten incumplimientos parciales de los requisitos definidos en la auditoría.

3 Serán oportunidades de mejora:Las recomendaciones del auditor que, en caso de no aplicarlas, no provoquen debilidades o fallos en el sistema.Las recomendaciones que estén basadas en el juicio y la experiencia del auditor.

La clasificación de los hallazgos no es un proceso exacto; siempre está la posibilidad de no tener clara su categorización debido a la falta de información suficiente para conocer la gravedad exacta de la debilidad detectada.

картинка 30

Nota

Cuando debe tomarse la decisión sobre la clasificación de un hallazgo como no conformidad u observación, siempre es recomendable ser prudente y clasificarla como no conformidad para darle prioridad a su análisis y corrección.

La dificultad de aplicar un criterio exacto para clasificar los hallazgos hace necesario que el auditor emita juicios lo más objetivos posibles basados en sus experiencias anteriores que le permitan respaldar sus decisiones de categorización y de otorgamiento de prioridades.

картинка 31

Actividades

6. Ante la duda de clasificar un hallazgo entre no conformidad, observación o recomendación, ¿por qué se recomienda clasificarlo como no conformidad? Justifique su respuesta.

картинка 32

Читать дальше
Тёмная тема
Сбросить

Интервал:

Закладка:

Сделать

Похожие книги на «Auditoría de seguridad informática. IFCT0109»

Представляем Вашему вниманию похожие книги на «Auditoría de seguridad informática. IFCT0109» списком для выбора. Мы отобрали схожую по названию и смыслу литературу в надежде предоставить читателям больше вариантов отыскать новые, интересные, ещё непрочитанные произведения.


Отзывы о книге «Auditoría de seguridad informática. IFCT0109»

Обсуждение, отзывы о книге «Auditoría de seguridad informática. IFCT0109» и просто собственные мнения читателей. Оставьте ваши комментарии, напишите, что Вы думаете о произведении, его смысле или главных героях. Укажите что конкретно понравилось, а что нет, и почему Вы так считаете.

x