La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.
Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de información dentro de una Organización y determinar qué Información es crítica para el cumplimiento de su Misión y Objetivos, identificando necesidades, falsedades, costes, valor y barreras, que obstaculizan flujos de información eficientes. En si la auditoría informática tiene 2 tipos las cuales son:
AUDITORIA INTERNA
Es aquella que se hace desde el ambiente interno de la empresa, es decir, sin empleados ajenos a la misma, ya sea por empleados que fueron directamente contratados o alguna subsidiaria a esta y la entidad tiene el poder de decisión sobre el proceso llevado a cabo para realizarla.
AUDITORIA EXTERNA
Se realiza por personal ajeno a la empresa ya sea remunerado o no y la organización no tiene poder de decisión sobre el proceso llevado a cabo por el ente que audita.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.
Los mecanismos de control en el área de Informática son:
Directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoría Informática son:
También existen otros tipos de auditoría:
Sus beneficios son:
La auditoría informática sirve para mejorar ciertas características en la empresa como:
* Desempeño
Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:
* Gobierno corporativo
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
Importancia de la Auditoría Informática ahora
La auditoría permite a través de una revisión independiente, la evaluación de actividades, funciones específicas, resultados u operaciones de una organización, con el fin de evaluar su correcta realización. Este autor hace énfasis en la revisión independiente, debido a que el auditor debe mantener independencia mental, profesional y laboral para evitar cualquier tipo de influencia en los resultados de la misma.
la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:
Las áreas a auditar en donde se puede realizar la auditoría informática, puede ser:
Se pueden aplicar los siguientes tipos de auditoría:
La auditoría informática es una parte fundamental de la Seguridad Computacional que permite medir y controlar riesgos informáticos que pueden ser aprovechados por personas o sistemas ajenos a nuestra organización o que no deben tener acceso a nuestros datos.
En este sentido, identificar los riesgos de manera oportuna ayudará a implementar de manera preventiva, las medidas de seguridad. Para facilitar esta actividad, existen diferentes metodologías que ayudan en el proceso de revisión de riesgos informáticos. Dos de las más utilizadas son Octave y Magerit.
La metodología Octave es una evaluación que se basa en riesgos y planeación técnica de seguridad computacional. Es un proceso interno de la organización, significa que las personas de la empresa tienen la responsabilidad de establecer la estrategia de seguridad una vez que se realice dicha evaluación, y es precisamente lo interesante de esta metodología que la evaluación se basa en el conocimiento del personal de la empresa para capturar el estado actual de la seguridad. De esta manera es más fácil determinar los riesgos críticos.
A diferencia de las evaluaciones típicas enfocadas en la tecnología, OCTAVE está dirigida a riesgos organizacionales y está enfocada en temas estratégicos relacionados con la práctica, es flexible y puede aplicarse a la medida para la mayoría de las organizaciones.
En esta revisión es necesario que las empresas manejen el proceso de la evaluación y tomen las decisiones para proteger la información. El equipo de análisis, integrado por personas de los departamentos de TI, de negocios, etc, lleva a cabo la evaluación, debido a que todas las perspectivas son cruciales para controlar los riesgos de seguridad computacional.
La metodología Magerit fue desarrollada en España debido al rápido crecimiento de las tecnologías de información con la finalidad de hacerle frente a los diversos riesgos relacionados con la seguridad informática.
La CSAE (Consejo Superior de Administración Electrónica) promueve la utilización de esta metodología como respuesta a la creciente dependencia de las empresas para lograr sus objetivos de servicio.
“Las fases que contempla el modelo MAGERIT son:
1. Planificación del Proyecto.- establece el marco general de referencia para el proyecto.
2. Análisis de Riesgos.- permite determinar cómo es, cuánto vale y cómo están protegidos los activos.
3. Gestión de Riesgos.- permite la selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados”.
Al aplicar esta metodología se conocerá el nivel de riesgo actual de los activos, y por lo tanto se podrá mejorar las aplicaciones de salvaguardas y se podrá conocer el riesgo reducido o residual.
La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos, pero que también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticación, confidencialidad, integridad y disponibilidad de los sistemas de información y generan confianza cuando se utilicen tales medios.
Inclusive, se ha desarrollado software como Pilar basado en la metodología de Magerit.
Escribe un comentario o lo que quieras sobre AuditorÃa informática (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)