viernes, 4 de febrero de 2011

AUDITORIA INFORMATICA

AUDITORIA INFORMATICA.
La auditoría informática es el proceso llevado a cabo por profesionales generalmente Ingenieros o Ingenieros Técnicos en Informática que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoría Informática son:
v       El control de la función informática
v       El análisis de la eficiencia de los Sistemas Informáticos
v       La verificación del cumplimiento de la Normativa en este ámbito
v       La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
v       Desempeño
v       Fiabilidad
v       Eficacia
v       Rentabilidad
v       Seguridad
v       Privacidad
Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:
v       Gobierno corporativo
v       Administración del Ciclo de vida de los sistemas
v       Servicios de Entrega y Soporte
v       Protección y Seguridad
v       Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
TIPOS DE AUDITORÍA INFORMÁTICA.
Dentro de la auditoría informática destacan los siguientes tipos:
  • AUDITORÍA DE LA GESTIÓN: la contratación de bienes y servicios, documentación de los programas, etc.
  • AUDITORÍA LEGAL DEL REGLAMENTO DE PROTECCIÓN DE DATOS: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
  • AUDITORÍA DE LOS DATOS: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
  • AUDITORÍA DE LAS BASES DE DATOS: Controles de acceso, de actualización, de integridad y calidad de los datos.
  • AUDITORÍA DE LA SEGURIDAD: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • AUDITORÍA DE LA SEGURIDAD FÍSICA: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
  • AUDITORÍA DE LA SEGURIDAD LÓGICA: Comprende los métodos de autenticación de los sistemas de información.
  • AUDITORÍA DE LAS COMUNICACIONES: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
  • AUDITORÍA DE LA SEGURIDAD EN PRODUCCIÓN: Frente a errores, accidentes y fraudes.
La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.
PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA EFECTUAR UNA AUDITORÍA INFORMÁTICA.
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:
v       PRUEBAS SUSTANTIVAS: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
v       PRUEBAS DE CUMPLIMIENTO: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
v       Observación
v       Realización de cuestionarios
v       Entrevistas a auditados y no auditados
v       Muestreo estadístico
v       Flujogramas
v       Listas de chequeo
v       Mapas conceptuales

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)