La auditoría informática es un
proceso llevado a cabo por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar
si un sistema de
información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización,
utiliza eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Permiten detectar de forma sistemática el uso de los recursos y
los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de información eficientes. en si la auditoria informática
tiene 2 tipos las cuales son: AUDITORIA INTERNA: es aquella que se hace adentro
de la empresa; sin contratar a personas de afuera. AUDITORIA EXTERNA: como su
nombre lo dice es aquella en la cual la empresa contrata a personas de afuera
para que haga la auditoria en su empresa. Auditar consiste principalmente en
estudiar los mecanismos de control que están implantados en una empresa u
organización, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deberían
realizar para la consecución de los mismos. Los mecanismos de control pueden
ser directivos, preventivos, de detección, correctivos o de recuperación ante
una contingencia.
Los objetivos de la auditoría Informática son:
·
El análisis de la eficiencia de los Sistemas Informáticos
·
La verificación del cumplimiento de la Normativa en este ámbito
·
La revisión de la eficaz gestión de los recursos informáticos.
Sus beneficios son:
·
Mejora la imagen pública.
·
Confianza en los usuarios sobre la seguridad y control de los servicios
de TI.
·
Optimiza las relaciones internas y del clima de trabajo.
·
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos,
entre otros).
·
Genera un balance de los riesgos en TI.
·
Realiza un control de la inversión en un entorno de TI, a menudo
impredecible.
La auditoría informática sirve para mejorar ciertas
características en la empresa como:
·
Desempeño
·
Fiabilidad
·
Eficacia
·
Rentabilidad
·
Seguridad
·
Privacidad
Generalmente se puede desarrollar en alguna o
combinación de las siguientes áreas:
·
Gobierno corporativo
·
Administración del Ciclo de vida de los sistemas
·
Servicios de Entrega y Soporte
·
Protección y Seguridad
·
Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y
herramientas estándar para el ejercicio de la auditoría informática ha
promovido la creación y desarrollo de mejores prácticas como COBIT,
COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified
Information Systems Auditor es una de las más reconocidas y avaladas
por los estándares internacionales ya que el proceso de selección consta de un
examen inicial bastante extenso y la necesidad de mantenerse actualizado
acumulando horas (puntos) para no perder la certificación.
Tipos de Auditoría de
Sistemas
Dentro de la auditoría informática destacan los
siguientes tipos (entre otros):
·
Auditoría de la gestión: la contratación de bienes y servicios, documentación de los
programas, etc.
·
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de
seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
·
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de
los flujogramas.
·
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los
datos.
·
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
·
Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación
física de esta. También está referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
·
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
·
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los
sistemas de comunicación.
·
Auditoría de la seguridad en producción: Frente a errores, accidentes y
fraudes.
Importancia de la Auditoria Informática
La auditoría permite a través de una revisión
independiente, la evaluación de actividades, funciones específicas, resultados
u operaciones de una organización, con el fin de evaluar su correcta
realización. Este autor hace énfasis en la revisión independiente, debido a que
el auditor debe mantener independencia mental, profesional y laboral para
evitar cualquier tipo de influencia en los resultados de la misma.
la técnica de la auditoría, siendo por tanto
aceptables equipos multidisciplinarios formados por titulados en Ingeniería
Informática e Ingeniería Técnica en Informática y licenciados en derecho
especializados en el mundo de la auditoría
Principales pruebas y
herramientas para efectuar una auditoría informática
En la realización de una auditoría informática el
auditor puede realizar las siguientes pruebas:
·
Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen
obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la información.
·
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis
de la muestra. Proporciona evidencias de que los controles claves existen y que
son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un
auditor informático son:
·
Observación
·
Realización de cuestionarios
·
Entrevistas a auditados y no auditados
·
Muestreo estadístico
·
Flujogramas
·
Listas de chequeo
No hay comentarios:
Publicar un comentario