¿Cuál es el trabajo de un auditor de TI?

5

Estoy realizando una capacitación en seguridad de la información, como parte del curso que incluyó estándares de cumplimiento como:

  • PCI DSS
  • ISO 27001-2005
  • Cobit framework

Luego de buscar en Google, llegué a saber que es para "auditores de TI" (corríjame si me equivoco).

En términos sencillos, ¿cuál es el trabajo de un auditor de TI?

    
pregunta user31079 24.09.2013 - 16:57
fuente

4 respuestas

4

Un auditor examina una organización para determinar si parece que cumplen con una norma o reglamento en particular. Hacen sus hallazgos en base a la evidencia, a menudo proporcionada directamente por la organización a solicitud del auditor. Y generalmente son independientes de las organizaciones que auditan.

En el caso de una auditoría de seguridad, el auditor puede buscar evidencia de que la organización tiene una política de seguridad, que la política es adecuada para protegerlos de acuerdo con la norma y que la organización la sigue. Esa política establecerá las prácticas a seguir, como requerir revisiones de códigos. Es probable que un auditor no realice una revisión del código por sí mismo, pero podría buscar un rastro de documentación que demuestre que la organización realiza revisiones de código. El estándar también puede requerir pruebas de penetración anuales, y él examinará los documentos producidos por los evaluadores de penetración. También podría consultar con la compañía de pruebas de pluma para asegurarse de que la organización no estaba mintiendo sobre las pruebas de pluma. Si no ve tales rastros de documentación, encuentra que la organización está fuera de cumplimiento.

Un auditor no puede verificar que una organización esté segura. Solo puede encontrar que una organización parece estar intentando operar de manera segura.

    
respondido por el John Deters 24.09.2013 - 20:01
fuente
3

Para auditores externos independientes, ignore la siguiente información debido al requisito de independencia profesional

Trabajo como auditor de TI. Las respuestas anteriores ilustran que el deber principal de uno de un auditor de TI es la verificación del cumplimiento de los procesos de TI según lo establecido por la administración de la empresa. Sin embargo, otro deber de un auditor de TI (tradicional pero puede diferir entre compañías), es la evaluación de riesgos de TI.

En este sentido, el auditor de TI sirve como asesor de gestión. En lugar de decirle a la gerencia cuáles son las deficiencias de TI, él / ella ayuda a la gerencia a responder ¿cuáles son los riesgos planteados para la empresa, ya que esos riesgos se relacionan con la TI? también puede ayudar a explicar algunas de las medidas de seguridad (controles) que deberían estar implementados para mitigar esos riesgos.

Al alejarse de un enfoque "centrado en el cumplimiento" para la auditoría de TI, las deficiencias de cumplimiento a menudo se deben a un problema mayor, como un tono laxo en la parte superior o procesos de TI inadecuadamente diseñados . Si bien en mi trabajo, prefiero ver el cumplimiento de las leyes, regulaciones y políticas de la empresa aplicables, mi trabajo a menudo va más allá de simplemente "marcar la casilla" si algo está en cumplimiento. Intento pensarme como más que solo hacer cumplir las reglas establecido por la gerencia. Los auditores de TI y otros profesionales de la seguridad de la información a menudo no son vistos como un "valor agregado" para la administración de las empresas, debido a que están vinculados solo para señalar lo que está mal. Agregar valor mediante una lluvia de ideas en las soluciones también se puede ver como un rol de un auditor de TI.

    
respondido por el Anthony 01.01.2018 - 04:36
fuente
2

El auditor trabaja mayormente con entrevistas, mientras que un pentester tiene un enfoque más práctico. Un auditor de TI solicita principalmente a los auditados que le proporcionen ciertos entregables. Estos entregables pueden ser documentos que indiquen cómo se implementa un proceso de TI, archivos de configuración, informes de mantenimiento para HVAC, ... El auditor de TI luego comparará este proceso de TI con un archivo estándar o de configuración con una línea de base.

Luego, realizará varias entrevistas con el personal involucrado y verá si se respeta el proceso correspondiente.

Como ejemplo de acceso lógico: el auditor verificará los Ingenieros / Movedores / Abandonados. Estas son personas:

  • quienes se unen a la compañía
  • posición de movimiento que requiere diferentes tipos de acceso
  • que dejan la empresa

Esta es una lista que le pedirá al departamento de recursos humanos. A continuación, comprobará si hay una muestra si:

  • El carpintero recibió los derechos que se requieren para sus permisos
  • Al operador se le revocaron sus antiguos derechos (por lo que no puede apilar derechos y entrar en una situación en la que tiene deberes incompatibles)
  • Al licenciado se le revocaron sus derechos

El auditor busca principalmente si se están utilizando los procesos y si se siguen estos.

    
respondido por el Lucas Kauffman 24.09.2013 - 20:19
fuente
1

Un auditor verifica si una solución (por ejemplo, una aplicación, infraestructura, etc.) cumple con una norma / ley específica o no.

    
respondido por el Gurzo 24.09.2013 - 17:12
fuente

Lea otras preguntas en las etiquetas