Auditoría informática

Auditoría informática

Auditoría informática

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es critica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

Los objetivos de la auditoría Informática son:

  • El control de la función informática
  • El análisis de la eficiencia de los Sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

  • Eficiencia
  • Eficacia
  • Rentabilidad
  • Seguridad

Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:

  • Gobierno corporativo
  • Administración del Ciclo de vida de los sistemas
  • Servicios de Entrega y Soporte
  • Protección y Seguridad
  • Planes de continuidad y Recuperación de desastres

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

Tipos de Auditoría informática

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

  • Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
  • Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
  • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
  • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
  • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
  • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
  • Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
  • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Perfil del auditor informático

A un auditor informático se le presupone cierta formación informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis y análisis y seguridad en sí mismo.

En España existe un vacío legal por la ausencia de normativas que defina claramente:

  • Quien puede realizar auditoría informática.
  • Como se debe realizar una auditoría informática.
  • En que casos es necesaria una auditoría informática.

Existen diversas materias que están reguladas en materia informática:

  • Ley de auditoría de cuentas.
  • Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.
  • Ley Orgánica de Protección de Datos.

Ninguna de éstas normas definen quien puede ser auditor informático, aunque debe de disponer de conocimientos tanto en la normativa aplicable, como en informática, como en la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por informáticos y licenciados en derecho especializados en el mundo de la auditoría.

Principales pruebas y herramientas para efectuar una auditoría informática

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informático son:

  • Observación
  • Realización de cuestionarios
  • Entrevistas a auditados y no auditados
  • Muestreo estadístico
  • Flujogramas
  • Listas de chequeo
  • Mapas conceptuales
Obtenido de "Auditor%C3%ADa inform%C3%A1tica"

Wikimedia foundation. 2010.

Игры ⚽ Нужно сделать НИР?

Mira otros diccionarios:

  • Auditoría de seguridad de sistemas de información — Saltar a navegación, búsqueda Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas… …   Wikipedia Español

  • Auditoría contable — Saltar a navegación, búsqueda La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para… …   Wikipedia Español

  • Auditoría — Saltar a navegación, búsqueda Auditoría puede referirse a: Auditoría contable, realizada por un profesional experto en contabilidad de los libros y registros contables de una entidad. Auditoría energética, una inspección, estudio y análisis de… …   Wikipedia Español

  • Auditoría energética — Saltar a navegación, búsqueda Una auditoría energética es una inspección, estudio y análisis de los flujos de energía en un edificio, proceso o sistema con el objetivo de comprender la energía dinámica del sistema bajo estudio. Normalmente una… …   Wikipedia Español

  • Auditoría de accesibilidad — Saltar a navegación, búsqueda La auditoría de accesibilidad consiste en la revisión de la accesibilidad de un sitio web por parte de un experto. Al final de la auditoría, el auditor informa de posibles problemas de accesibilidad y proporciona… …   Wikipedia Español

  • Auditoría de código de aplicaciones — Saltar a navegación, búsqueda Es el proceso de revisar el código de una aplicación para encontrar errores en tiempo de diseño. Motivos para auditar el código de una aplicación La auditoría de código es parte del ciclo de vida en el desarrollo de… …   Wikipedia Español

  • Glosario de seguridad informática — Saltar a navegación, búsqueda # Termino Termino Definicion Referencia 1 Activo Físico Activo que se caracteriza por poseer un valor intrínseco y está constituido por maquinas, equipos, edificios, y otros bienes de inversión, así como por las… …   Wikipedia Español

  • Universidad Peruana de Ciencias e Informática — Alias UPCI Lema «La Universidad del Futuro, hoy» Tipo Universidad privada Fundación 4 de diciembre de …   Wikipedia Español

  • Ingeniería Técnica en Informática de Gestión — Centro de proceso de datos de la NASA en Columbia, compuesto por 20 clusters SGI Altix, un total de 10240 CPU. La Ingeniería Técnica en Informática de Gestión es una disciplina de la ingeniería que trata sobre la adquisición de conocimientos… …   Wikipedia Español

  • Ingeniería informática — Áreas del saber ciencia de la computación, electrónica e ingeniería de software Campo de aplicación Sistema de Información, Procesar información de manera automática La ingeniería informática es la rama de la ingeniería que aplica los fundamentos …   Wikipedia Español

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”