Auditoría de seguridad informática aplicando el estandar internacional Cobit 4.1 evaluando la dirección informática, recursos Ti, Outsourcing y riesgo informático para el area de informática de MS-América Central en el año 2010

Abstract

El presente trabajo, detalla el procedimiento de “ Auditoria de Seguridad Informática”, implemento el Modelo de Auditoria basado en el Estándar Internacional Cobit 4.1 donde se evaluaron la dirección Informática, recursos de TI, el Outsourcing, y finalmente el Riesgo Informático‖, para el área de Informática de MS- América Central en el periodo año 2010. Considerando que éstos están estrechamente relacionados entre sí y repercuten en gran medida en la administración, mantenimiento y monitoreo de la seguridad del área informática. La metodología se desarrolló a través del Modelo de Cobit 4.1 como principal instrumento de trabajo de Auditoría, donde se utiliza como base inicial el Detalle de los Objetivos de Control para el análisis de implementación y evaluación de controles relacionados con la seguridad. Posteriormente se describe el proceso tomando como referencia los logros a alcanzar, las directrices gerenciales según los lineamientos que propone el marco normativo Cobit 4.1, como son: Metas y Métricas del objetivo evaluado. Finalmente se hace una valoración del Modelo de Madurez en el cual se ubica a cada uno según el estado actual. En cuanto al proceso de auditoría, este se divide en tres fases: La Fase de Planeación, Fase de Examen y Evaluación y la Fase Dictamen de Auditoria. En la Fase de Planeación se diseñaron instrumentos, para la recopilación de datos como fuente primaria a fin de alcanzar los objetivos de la investigación. Así mismo, para la Fase I como para la Fase II se utilizaron técnicas como entrevistas, Recopilación y Análisis de Documentos, Encuestas y la Observación como una de las principales técnicas para conocer la situación actual del área de informática. Por otro lado se aplicaron herramientas de auditoría para evaluar la parte lógica y física de los recursos del área de TI, y la Fase III es la emisión de resultados y recomendacione