Vous êtes sur la page 1sur 6

Auditora informtica

En este artculo se detectaron varios problemas, por favor, edtalo para mejorarlo:

Necesita ser wikificado conforme a las convenciones de estilo de Wikipedia.


Carece de fuentes o referencias que aparezcan en una fuente acreditada.
Estas deficiencias fueron encontradas el 6 de mayo de 2015.

La auditora informtica es un proceso llevado a cabo por profesionales especialmente


capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten
detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una
organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y
objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan
flujos de informacin eficientes. En si la auditora informtica tiene 2 tipos las cuales son:

AUDITORIA INTERNA: es aquella que se hace desde dentro de la empresa; sin contratar a
personas ajena.

AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a


personas de afuera para que haga la auditora en su empresa. Auditar consiste principalmente
en estudiar los mecanismos de control que estn implantados en una empresa u organizacin,
determinando si los mismos son adecuados y cumplen unos determinados objetivos o
estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los
mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin,
correctivos o de recuperacin ante una contingencia.

Los objetivos de la auditora Informtica son:

El anlisis de la eficiencia de los Sistemas Informticos


La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.

Tambin existen otros tipos de auditora:

Auditora operacional: se refiere a la revisin de la operacin de una empresa y juzga la


eficiencia de la misma.
Auditora administrativa: se refiere a la organizacin y eficiencia de la estructura del
personal con la que cuenta el personal y los procesos administrativos en que acta dicho
personal.
Auditora social: se refiere a la revisin del entorno social en que se ubica y desarrolla una
empresa, con el fin de valorar aspectos externos e internos que interfieren en la
productividad de la misma.

Sus beneficios son:

Mejora la imagen pblica.


Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversin en un entorno de TI, a menudo impredecible.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

* Desempeo

Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:

* Gobierno corporativo

Administracin del Ciclo de vida de los sistemas


Servicios de Entrega y Soporte
Proteccin y Seguridad
Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la


auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT,
COSO e ITIL.

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es
una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso
de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse
actualizado acumulando horas (puntos) para no perder la certificacin.

ndice

[ocultar]
1Tipos de Auditora Informtica
2Principales pruebas y herramientas para efectuar una auditora informtica
3reas a auditar en informtica
4Metodologas para Auditora Informtica
o 4.1Octave
o 4.2Magerit - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
5Referencias

Tipos de Auditora Informtica[editar]


Dentro de la auditora informtica destacan los siguientes tipos (entre otros):

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los


programas, etc.
Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las
medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de
Proteccin de Datos.
Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis
de los flujogramas.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y
calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad,
integridad, confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta.
Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes,
etc.) y protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los
sistemas de informacin.
Auditora de las comunicaciones. Se refiere a la auditora de los procesos de
autenticacin en los sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

Importancia de la Auditora Informtica ahora

La auditora permite a travs de una revisin independiente, la evaluacin de actividades,


funciones especficas, resultados u operaciones de una organizacin, con el fin de evaluar su
correcta realizacin. Este autor hace nfasis en la revisin independiente, debido a que el
auditor debe mantener independencia mental, profesional y laboral para evitar cualquier tipo
de influencia en los resultados de la misma.

la tcnica de la auditora, siendo por tanto aceptables equipos multidisciplinarios formados por
titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en
derecho especializados en el mundo de la auditora.

Principales pruebas y herramientas para efectuar una


auditora informtica[editar]
En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen


obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen
analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez
de la informacin.
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el
anlisis de la muestra. Proporciona evidencias de que los controles claves existen y que
son aplicables efectiva y uniformemente.

reas a auditar en informtica


Las reas a auditar en donde se puede realizar la auditora informtica, puede ser:

A toda la entidad
A un departamento
A un rea
A una funcin
A una sub funcion

Se pueden aplicar los siguientes tipos de auditora:

Auditora al ciclo de vida del desarrollo de un sistema


Auditora a un sistema en operacin
Auditora a controles generales (gestin)
Auditora a la administracin de la funcin informtica
Auditora a microcomputadoras aisladas
Auditora a redes

Las principales herramientas de las que dispone un auditor informtico son:

Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujogramas
Listas de chequeo
Mapas conceptuales

Metodologas para Auditora Informtica[editar]


La auditora informtica es una parte fundamental de la Seguridad Computacional que
permite medir y controlar riesgos informticos que pueden ser aprovechados por personas o
sistemas ajenos a nuestra organizacin o que no deben tener acceso a nuestros datos.

En este sentido, identificar los riesgos de manera oportuna ayudar a implementar de manera
preventiva, las medidas de seguridad. Para facilitar esta actividad, existen diferentes
metodologas que ayudan en el proceso de revisin de riesgos informticos. Dos de las ms
utilizadas son Octave y Magerit.
Octave[editar]
La metodologa Octave es una evaluacin que se basa en riesgos y planeacin tcnica de
seguridad computacional. Es un proceso interno de la organizacin, significa que las personas
de la empresa tienen la responsabilidad de establecer la estrategia de seguridad una vez que
se realice dicha evaluacin, y es precisamente lo interesante de esta metodologa que la
evaluacin se basa en el conocimiento del personal de la empresa para capturar el estado
actual de la seguridad. De esta manera es ms fcil determinar los riesgos crticos.

A diferencia de las evaluaciones tpicas enfocadas en la tecnologa, OCTAVE est dirigida a


riesgos organizacionales y est enfocada en temas estratgicos relacionados con la prctica,
es flexible y puede aplicarse a la medida para la mayora de las organizaciones.1

En esta revisin es necesario que las empresas manejen el proceso de la evaluacin y tomen
las decisiones para proteger la informacin. El equipo de anlisis, integrado por personas de
los departamentos de TI, de negocios, etc, lleva a cabo la evaluacin, debido a que todas las
perspectivas son cruciales para controlar los riesgos de seguridad computacional.
Magerit - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas
de Informacin[editar]
La metodologa Magerit fue desarrollada en Espaa debido al rpido crecimiento de las
tecnologas de informacin con la finalidad de hacerle frente a los diversos riesgos
relacionados con la seguridad informtica.
La CSAE (Consejo Superior de Administracin Electrnica) promueve la utilizacin de esta
metodologa como respuesta a la creciente dependencia de las empresas para lograr sus
objetivos de servicio.

Las fases que contempla el modelo MAGERIT son:

1. Planificacin del Proyecto.- establece el marco general de referencia para el proyecto.

2. Anlisis de Riesgos.- permite determinar cmo es, cunto vale y cmo estn protegidos
los activos.

3. Gestin de Riesgos.- permite la seleccin e implantacin de salvaguardas para conocer,


prevenir, impedir, reducir o controlar los riesgos identificados.

Al aplicar esta metodologa se conocer el nivel de riesgo actual de los activos, y por lo tanto
se podr mejorar las aplicaciones de salvaguardas y se podr conocer el riesgo reducido o
residual.

La razn de ser de MAGERIT est directamente relacionada con la generalizacin del uso de
los medios electrnicos, informticos y telemticos, que supone unos beneficios evidentes
para los ciudadanos, pero que tambin da lugar a ciertos riesgos que deben minimizarse con
medidas de seguridad que garanticen la autenticacin, confidencialidad, integridad y
disponibilidad de los sistemas de informacin y generan confianza cuando se utilicen tales
medios.2

Inclusive, se ha desarrollado software como Pilar basado en la metodologa de Magerit.

Referencias[editar]

1. Volver arriba Gmez Ramrez, Victor Manuel (2014). Evaluacin de la seguridad de la


informacin con la metodologa Octave. Institucin Universitaria Pascual Bravo.
2. Volver arriba Lucero Gmez, Antonio Jos (2012). Anlisis y gestin de riesgos utilizando la
metodologa Magerit. Universidad de Cuenca.

Vous aimerez peut-être aussi