Kategorien: Alle - gestión - eficiencia - seguridad - control

von Fabio A. Chang D. Vor 12 Jahren

744

Auditoria de Sistema de Información

La auditoría de sistemas de información tiene como propósito evaluar y mejorar diversos aspectos relacionados con el uso de la tecnología en una organización. Entre sus objetivos principales se incluyen el control de las funciones informáticas, la eficiencia de los sistemas y la verificación del cumplimiento normativo.

Auditoria de Sistema de Información

Auditoria de Sistema de Información

Tipos de Auditoria de Sistemas

Auditoría de la gestión: • La contratación de bienes y servicios, documentación de los programas. Auditoría legal del Reglamento de Protección de Datos: • Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Auditoría de los datos: • Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. Auditoría de las bases de datos: • Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: • Referidos a datos e información verificando disponibilidad, integridad, confidencialidad y autenticación. Auditoría de la seguridad física: • Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. Auditoría de la seguridad lógica: • Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones: • Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: • Frente a errores, accidentes y fraudes.
Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática. Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera. Entre los principales enfoques de Auditoría tenemos los siguientes: Financiera Veracidad de estados financieros. Preparación de informes de acuerdo a principios contables. Evalúa la eficiencia, Operacional. Eficacia Economía de los métodos y procedimientos que rigen un proceso de una empresa. Sistemas, Se preocupa de la función informática. Fiscal, Se dedica a observar el cumplimiento de las leyes fiscales. Administrativa Analiza: Logros de los objetivos de la Administración Desempeño de funciones administrativas Evalúa: Calidad Métodos Mediciones Controles de los bienes y servicios Revisa la contribución a la sociedad Social así como la participación en actividades socialmente orientadas.
Dentro de la auditoría informática destacan los siguientes tipos (entre otros): • Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc. • Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. • Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Objetivos de la Auditoria de Sistema

• El control de la función informática. • El análisis de la eficiencia de los Sistemas Informáticos. • La verificación del cumplimiento de la Normativa en este ámbito. • La revisión de la eficaz gestión de los recursos informáticos. • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información. • Seguridad del personal, los datos, el hardware, el software y las instalaciones. • Minimizar existencias de riesgos en el uso de Tecnología de información. • Conocer la situación actual del área informática para lograr los objetivos.
• La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. • La actividad dirigida a verificar y juzgar información. • El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. • El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado: Daños Salvaguarda activos Destrucción Uso no autorizado Robo Mantiene Integridad de Información Precisa, los datos Completa Oportuna Confiable Alcanza metas Contribución de la organizacionales función informática Consume recursos Utiliza los recursos adecuadamente eficientemente en el procesamiento de la información • Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a: • Eficiencia en el uso de los recursos informáticos • Validez de la información • Efectividad de los controles establecidos
• El análisis de la eficiencia de los Sistemas Informáticos • La verificación del cumplimiento de la Normativa en este ámbito • La revisión de la eficaz gestión de los recursos informáticos.

Qué es la Auditoria de Sistemas de Información

Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías de seguridad de sistemas informáticos permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y auditabilidad de la información tratada por los sistemas.
La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.

Estandares para realizar Auditoria de Sistemas

Subtopic

Herramientas para realizar las Auditorias de Sistemas

Medidas de seguiridad a adoptar en los diferentes niveles de Auditoria de Sistema.