“Guardo seis hombres honestos y serviciales (que me enseñaron todo lo que sé); Sus nombres son Qué, Por Qué, Cuándo, Cómo, Dónde y Quién˝
 — Rudyard Kipling,

 Algunos de los aspectos que se deben tener en cuenta durante el proceso de evaluación de los controles de TI son los siguientes:

  1. ¿Es efectivo el control?
  2. ¿Alcanza el resultado esperado?
  3. ¿Es efectivo el conjunto de controles preventivos, de detección y correctivos?
  4. ¿El control provee evidencia cuando los parámetros de control son rebasados o cuando fallan? ¿Cómo se alerta a la Dirección de los fallos y qué pasos se espera que se den?
  5. ¿Se conserva la evidencia (pistas de auditoría o de gestión)?

No es fácil definir los controles de línea base de TI porque las amenazas generales, como el software malicioso y la “piratería informática” cambian y frecuentemente se implantan nuevas tecnologías y aplicaciones en la organización. Las siguientes cuestiones deben ser consideradas cuando se selecciona un conjunto adecuado de controles de línea base:

  1. ¿Existen políticas que incluyan controles de TI?
  2. ¿Se han definido, asignado y aceptado las responsabilidades de TI y de controles de TI?
  3. ¿Se han asegurado lógica y físicamente los equipos y herramientas de la infraestructura de TI?
  4. ¿Se usan mecanismos de control para el acceso y la autenticación?
  5. ¿Se ha implementado un software antivirus y se realiza su mantenimiento?
  6. ¿Se ha implementado una tecnología de filtros de seguridad conforme a la política de la empresa (por ejemplo, en lo lugares de conexiones externas, como Internet, y en los lugares donde se necesita una separación entre redes internas)?
  7. ¿Se han completado evaluaciones de vulnerabilidades, se han identificado los riesgos y todo se ha resuelto adecuadamente?
  8. ¿Existen procesos de gestión de configuración, de cambios y de aseguramiento de calidad?
  9. ¿Existen procesos de supervisión y de medición del servicio?
  10. ¿Se dispone de especialistas con competencias en auditoría de TI (sea interna o externamente)?

Por: Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE

AUDITOR INTERNO – INSTRUCTOR – CONSULTOR – CONFERENCISTA

Artículo Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/  

Nahun Frett - Santo Domingo, República Dominicana

       

Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado