AUDITORÍA DE SISTEMAS DE INFORMACIÓN
El ambiente de control de una organización define los niveles de seguridad existentes y la forma en que los riesgos son disminuidos. No es suficiente con escribir un manual de seguridad, instalar las mejores herramientas y tener la mejor capacitación de nuestro personal.
El ciclo de la gestión y seguridad de las tecnologías de información se debe cerrar, asegurando que los controles implementados se están cumpliendo y se obtienen los resultados esperados; esto se logra a través de la conducción de auditorías de control generales y específicas.
La función de auditoría permite tener un punto de vista independiente y objetivo, además de identificar oportunidades de mejora en los controles de seguridad existentes.
Nuestros servicios de Auditoría de Sistemas de Información, le proporcionan a nuestros clientes la experiencia, objetividad e independencia necesarias para evaluar el ambiente de administración y control del Área de Informática y los Sistemas de Información de la organización.
Durante el desarrollo de la auditoría, tomamos en cuenta tanto los controles definidos por la organización, como las mejores prácticas de control existentes, incluyendo:
- ISACA/COBIT (Control Objectives for Information and Related Technologies)
- ISACA/ITAF (IT Assurance Framework)
- ISO 27001, ISO 22301 e ISO 20000
- NIST CSF
- Entre otros
OBJETIVO
Revisar el ambiente de control existente en la organización y en sus sistemas de información, con el fin de identificar y evaluar los controles de administración y seguridad implementados, su diseño y su cumplimiento, tomando en consideración los controles considerados como mejores prácticas de la industria.
Entregables
Informe de auditoría [controles identificados, observaciones, recomendaciones]
Metodología
- Inicio de la auditoría
- Definición de objetivos, alcance y criterios de la auditoría
- Revisión documental
- Preparación de actividades en sitio
- Preparación del plan de auditoría
- Preparación de documentos de trabajo
- Recolección y verificación de información
- Generación de hallazgos de auditoría
- Preparación de conclusiones de la auditoría
- Preparación del reporte de auditoría
Aprobación y distribución del reporte de auditoría - Terminación de la auditoría