Este documento proporciona información sobre el perfil de un auditor de seguridad, incluyendo características como la independencia, integridad, experiencia y capacidad de análisis. También discute que la auditoría interna no debe estar ubicada dentro del área auditada y que es preferible que esté dentro de la auditoría general para mantener la independencia. Por último, presenta algunas normas de la ISO 17799 sobre minimizar riesgos de interrupción y aislar herramientas de entornos de desarrollo y producción.

1. Auditoría de Seguridad

2. PERFIL DEL AUDITOR DE SEGURIDAD
 Independencia y seguridad
 Integridad
 Formación y experiencia
 Amabilidad y firmeza
 Capacidad de análisis
 Liderazgo y aceptación
 Motivación e interés

3.  La auditoría interna no debe estar ubicada dentro del área a auditar
 Informática/Sistemas de Información/Tecnologías de la Información
 Es preferible que esté dentro de la auditoría general, es decir que tenga
independencia del área auditada.
 Los auditores internos tendrán relación con la función de Administración de
Seguridad.
 La función de Auditoria de Sistemas de Información y la de Administración de
Seguridad pueden ser complementarias, pero sin perder su independencia.

4. Norma ISO 17799 (27002)
 ISO/IEC 17799, conocida por su nueva versión como ISO/IEC 27002, resulta ser un
estándar adecuado para implantar la seguridad.
 Se indica que:
 Para minimizar el riesgo de interrupción de procesos que afectan al negocio, se debe
no solo tomar en cuenta a caídas sino otras formas que pueden afectar el
rendimiento.
 El acceso a los datos deben ser de solo lectura, o el acceso a copias.
 Las herramientas deben estar aisladas de los entornos de desarrollo y de producción
(el software y los ficheros de datos.)
Se trata más de la seguridad de los registros que de la auditoria de la seguridad.