Algunos de los aspectos que se deben tener en cuenta durante el proceso de evaluación de los controles de TI son los siguientes:
- ¿Es efectivo el control?
- ¿Alcanza el resultado esperado?
- ¿Es efectivo el conjunto de controles preventivos, de detección y correctivos?
- ¿El control provee evidencia cuando los parámetros de control son rebasados o cuando fallan? ¿Cómo se alerta a la Dirección de los fallos y qué pasos se espera que se den?
- ¿Se conserva la evidencia (pistas de auditoría o de gestión)?
No es fácil definir los controles de línea base de TI porque las amenazas generales, como el software malicioso y la “piratería informática” cambian y frecuentemente se implantan nuevas tecnologías y aplicaciones en la organización. Las siguientes cuestiones deben ser consideradas cuando se selecciona un conjunto adecuado de controles de línea base:
- ¿Existen políticas que incluyan controles de TI?
- ¿Se han definido, asignado y aceptado las responsabilidades de TI y de controles de TI?
- ¿Se han asegurado lógica y físicamente los equipos y herramientas de la infraestructura de TI?
- ¿Se usan mecanismos de control para el acceso y la autenticación?
- ¿Se ha implementado un software antivirus y se realiza su mantenimiento?
- ¿Se ha implementado una tecnología de filtros de seguridad conforme a la política de la empresa (por ejemplo, en lo lugares de conexiones externas, como Internet, y en los lugares donde se necesita una separación entre redes internas)?
- ¿Se han completado evaluaciones de vulnerabilidades, se han identificado los riesgos y todo se ha resuelto adecuadamente?
- ¿Existen procesos de gestión de configuración, de cambios y de aseguramiento de calidad?
- ¿Existen procesos de supervisión y de medición del servicio?
- ¿Se dispone de especialistas con competencias en auditoría de TI (sea interna o externamente)?
Por: Nahun Frett, MBA, CIA, CCSA, CRMA, CPA, CFE
AUDITOR INTERNO – INSTRUCTOR – CONSULTOR – CONFERENCISTA
Artículo Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/
Nahun Frett - Santo Domingo, República Dominicana
Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool.