IEDGE – Iniciación a la Auditoría Informática


1 Star2 Stars3 Stars4 Stars5 Stars (Valora este post)
Loading...

No existe actualmente una definición exacta de Auditoría Informática, pero podemos decir que es el proceso que permite recolectar y evaluar las evidencias para determinar si el sistema automatizado salvaguarda y mantiene la integridad de los datos. En todas las empresas, la información es de gran importancia; debido a su poder estratégico, se invierten grandes sumas de dinero y tiempo en creación de sistemas de información para conseguir una mayor productividad empresarial. Esta importante premisa y el uso de la tecnología y computadoras para procesar la información, influyó en el nacimiento de la auditoría informática.

La auditoría informática define el entorno y los límites en que se va a desarrollar dicho proceso, complementándose con losobjetivos establecidos para ser revisados.

Estas son las razones por los que es tan importante:

  • Si los datos de entrada no son los correctos o son manipulados, se podrán difundir resultados o información errónea sobre la organización.
  • Para evitar fraudes, espionaje, delitos informáticos, …
  • Los sistemas deben estar bien diseñados.
  • Controlar los accesos a las bases de datos.
  • Cumplir la Ley de Derecho de Autor, evitar la piratería del software y el uso no autorizado de programas.
  • Impedir el robo de secretos comerciales, información de cualquier tipo (financiera, tecnológica, logística, etc…).
  • Controlar el gasto, revisando las inversiones injustificadas, incremento de costes,…
  • Evaluación de riesgos en materia de seguridad.
  • Comprobar el uso eficiente de los ordenadores, evitando usos ajenos de la organización.
  • Evitar la pérdida de la continuidad del servicio, elaborando planes de contingencia para lograr el objetivo.

Los tipos de auditoría informática son:

  • De producción o explotación: revisa todo lo relacionado con la producción de resultados informáticos por cualquier medio (listados, impresos, ficheros magnéticos,…) La materia prima son los datos, que deben ser transformados y que deben ser sometidos a controles de calidad e integridad. La transformación se realiza mediante proceso informático (programas) y los resultados son sometidos a controles de calidad y distribuidos al cliente final.
  • De desarrollo de proyectos: abarca todo lo relacionado con los prerrequisitos del usuario y del entorno, análisis funcional, diseño, análisis orgánico (pre-programación y programación), pruebas, producción y alta para el proceso. Todas estas fases serán sometidas al control interno
  • De sistemas: incluye sistemas operativos, software, aplicaciones, administración de bases de datos, etc…
  • De comunicaciones y redes: está enfocada a la redes, líneas,… y requiere la participación de la empresa telefónica que preste soporte.
  • Seguridad informática: engloba tanto la seguridad física (protección del hardware y los soportes de datos, seguridad en los edificios e instalaciones) como la lógica (uso del software, protección de datos, procesos y programas, así como el acceso a la información).
  • Para aplicaciones en Internet: evalúa los riesgos de internet (operativo, tecnológico y financiero), vulnerabilidad y arquitectura de seguridad, y verificar la confidencialidad de las aplicaciones.

Resumiendo, estas son las etapas del auditor por las que pasa el auditor:

  • Alcance y objetivos.
  • Estudio del entorno auditable.
  • Determinar los recursos para realizar la auditoría.
  • Elaboración de un plan y el programa de trabajo.
  • Actividades de la auditoría.
  • Redacción del informe final.

Muchas gracias y espero sus comentarios!

Juan Manuel Escudero

Profesor de Dirección en Tecnología y Sistemas de Información

Nota: Para aprender de una forma práctica y rápida todo sobre la gestión profesional de un departamento de Sistemas y Tecnología de la Información, les invitamos a que consulten la Especialidad Europea en Gestión de Sistemas y Tecnologías de la Información donde se formará con los mejores profesores de Europa y Latinoamérica y conocerá las mejores prácticas en el área de SITI.

* Los contenidos publicados en este post son responsabilidad exclusiva del Autor.


Comentarios


  1. Irasema Rivera
    comento el día 22 de Marzo a las 3:17 pm (#)


    Además de los tipos de auditoría que tu mencionas tambien podriamos tener otros tipos de auditorias como:

    Centro de Datos
    Gobierno de TI
    Plan de continuidad del negocio
    Desarrollo de software
    Bases de datos
    Redes y Comunicaciones
    Outsourcing de sistemas
    Arquitectura y procesos

    Saludos.