carne : 201108049 Alcance de una auditora de sistemas de informacin Aun as, el alcance normal de las auditoras de sistemas de informacin aun somete a todo el ciclo de vida de la tecnologa bajo escrutinio, incluyendo la exactitud de los clculos de las computadoras. La palabra alcance viene precedida por normal debido a que el alcance de una auditora depende de su objetivo. Las auditoras son siempre el resultado de cierta preocupacin sobre el manejo de bienes. La parte interesada puede ser un agente regulador, el dueo de un capital, o cualquier otro participante en la operacin del ambiente de sistemas, incluyendo a los propios gerentes de sistemas. Esta parte tendr un objetivo al comisionar la auditora. El objetivo puede ser validar la exactitud de los sistemas de clculo, confi rmar que los sistemas
estn
representando
apropiadamente
los
capitales,
evaluar
la
integridad operativa de un proceso automtico, verifi car que la informacin
confi dencial no est expuesta a individuos no autorizados, y/o mltiples combinaciones de estos y otros asuntos de importancia. El objetivo de una auditora
determinar
su
alcance.
A veces el reto para los auditores que representan intereses de gestin es
ubicar el objetivo de la auditora en la tecnologa. Primero identifi can actividad de negocio que tiene ms probabilidades de obtener el mejor tipo de evidencia para apoyar el objetivo de la auditora. Ellos identifi can qu sistemas aplicacin y redes estn siendo usadas para manejar la informacin que apoya la actividad del negocio. Por ejemplo, una auditora puede enfocarse en un proceso especifi co de tecnologa de informacin, en tal caso su alcance incluir a los sistemas empleados para crear entradas, para ejecutar, o para controlar dichos procesos de tecnologas de informacin. Una auditora enfocada en un rea especfi ca del negocio incluir los sistemas necesarios para apoyar al proceso de negocio. Una auditora que se enfoca
en la privacidad de informacin cubrir a los controles de tecnologa que
refuerzan los controles de confi dencialidad de cualquier base de datos, archivo de sistema, o servidor de aplicaciones que proveen acceso a datos de informacin personal. Desde el punto de vista de un gerente de tecnologas de informacin, el alcance debe estar claro desde el inicio de la auditora. Esta debe contar con un
conjunto
de
personas,
procesos,
tecnologas
bien
defi nidos
que
correspondan al objetivo de la auditora. Si un auditor previamente no
entiende el entorno tecnolgico, es posible que se produzcan errores en la defi nicin del alcance. Cuando suceden esos errores, estos son generalmente encontrados durante el curso de la auditora, y sistemas que antes fueron declarados fuera del alcance pueden ser declarados dentro del alcance. El profesional
de
auditoras
llama
esto
corrupcin
del
alcance.
Generalmente se trata de evitar, porque tiene como consecuencia que ms
recursos que los planeados sean necesarios para cumplir con el objetivo de la auditora. Una vez que el alcance ha sido determinado, se le provee al auditor un contacto para la revisin. En algunas organizaciones, el rol de este enlace es asignado formalmente. Este rol casi siempre es asumido por un profesional de seguridad de la informacin, pero no hay expectativas reales por parte de la auditora de que efectivamente sea alguien de seguridad. Por defecto, esta persona ser la ms califi cada en la cadena de manejo de la tecnologa de informacin cuyas responsabilidades cubran los sistemas que caen en el alcance de la auditora. Este contacto tendr que proveer informacin de antecedentes de los sistemas que el auditor pueda usar para planear la auditora. Polticas, diagramas de la arquitectura, manuales de sistemas, y otros tipos de documentacin sern requeridos con anticipacin. Por esto, es necesario que a la hora de planifi car una auditora que pueda acelerar o corroborar ciertos procesos dentro de los sistemas empleados en el negocio, se cuente con un agente confi able en el cual depositar las responsabilidades que involucran una auditora. En este sentido, ACLcuenta
con la experiencia necesaria en el manejo de asuntos tcnicos y de gestin
de procesos, as como con conocimiento actualizado en las tecnologas a emplearse que hace que los plazos y requerimientos en el proceso de diagnstico de sistemas sean cumplidos de forma ordenada y asequible.