Rolling Meadows, IL, EE. UU. (13 de octubre de 2017) – Los auditores se enfrentan a tareas rigurosas que requieren habilidades matemáticas, científicas y técnicas que deberían familiarizarlas con los conceptos criptográficos asociados con la auditoría. Sin embargo, ese no es siempre el caso.
En un informe reciente publicado por la asociación mundial de tecnología ISACA, la investigación descubrió que la mayoría de los auditores pueden no poseer el conjunto de habilidades más técnicas, pero aun así son capaces de evaluar los sistemas criptográficos. La evaluación de sistemas criptográficos incluye un proceso de cuatro fases que se puede adaptar en función del conjunto de habilidades del auditor, la cultura, los requisitos normativos y otro contexto. El modelo consta de las siguientes fases, que pueden realizarse en cualquier orden:
- Inventario y descubrimiento
- Shakeout basado en el riesgo
- Evaluación de los detalles de implementación
- Prueba práctica
«La evaluación de sistemas criptográficos puede ser difícil, con la necesidad de una comprensión más profunda de las matemáticas y la ingeniería involucradas en los protocolos del sistema», dijo Rob Clyde, CISM, vicepresidente de la junta directiva de ISACA y director general de Clyde Consulting LLC. «Sin embargo, con la implementación adecuada de prácticas básicas como las que se reflejan en el libro blanco, es posible».
La familiaridad con los conceptos criptográficos, las aplicaciones, las posibles vulnerabilidades y las amenazas puede mejorar el conjunto de habilidades del auditor, haciéndolo aplicable en todos los entornos. La nueva guía de ISACA también proporciona a los auditores una descripción general de la criptografía, que incluye:
- Terminología, conceptos y componentes
- Fundamentos del Criptosistema
- Aplicaciones de criptosistemas y evaluación en contexto
- Evaluación de criptosistemas en la práctica
- Monitoreo continuo
Assessing Cryptographic Systems está disponible como descarga gratuita . Además, también se ha creado una política de muestragratuita sobre el uso de controles criptográficos para su uso en la empresa, en un esfuerzo por aplicar una política uniforme para toda la compañía.
