15 3 Consideraciones sobre la auditoría de sistemas

Maximizar la efectividad del proceso de auditoría de los sistemas de información y minimizar las intromisiones a/desde éste proceso.

Deberían existir controles para proteger los sistemas en activo y las herramientas de auditoría durante el desarrollo de las auditorías de los sistemas de información.

También se requiere la protección para salvaguardar la integridad y prevenir el mal uso de las herramientas de auditoría.

Invierta en auditoría TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estándares y métodos de buenas prácticas similares como referencias de comparación.

Examine ISO 19011 "Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental" como fuente valiosa para la realización de auditorías internas del SGSI.

ISO 19011 proporciona un marco excelente para crear un programa de auditorías internas y contiene asimismo las cualificaciones del equipo de auditoría interna.

Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).

Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección al final de las auditorías.