Auditor�a inform�tica

Ir a la navegaci�nIr a la b�squeda
Commons-emblem-issue.svg
En este art�culo sobre inform�tica se detectaron varios problemas, por favor,
ed�talo para mejorarlo:
Necesita ser wikificado conforme a las convenciones de estilo de Wikipedia.
Carece de fuentes o referencias que aparezcan en una fuente acreditada.
Estas deficiencias fueron encontradas el 6 de mayo de 2015.
La Auditor�a Inform�tica es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un Sistema de Informaci�n salvaguarda el
activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo
eficazmente los fines de la organizaci�n, utiliza eficientemente los recursos,
cumple con las leyes y regulaciones establecidas.

Permiten detectar de Forma Sistem�tica el uso de los recursos y los flujos de

informaci�n dentro de una Organizaci�n y determinar qu� Informaci�n es cr�tica para
el cumplimiento de su Misi�n y Objetivos, identificando necesidades, falsedades,
costes, valor y barreras, que obstaculizan flujos de informaci�n eficientes. En si
la auditor�a inform�tica tiene 2 tipos las cuales son:

AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar
a personas ajenas, en el cual los empleados realizan esta auditor�a trabajan ya sea
para la empresa que fueron contratados o simplemente alg�n afiliado a esta.

AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata

a personas de afuera para que haga la auditor�a en su empresa. Auditar consiste
principalmente en estudiar los mecanismos de control que est�n implantados en una
empresa u organizaci�n, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deber�an
realizar para la consecuci�n de los mismos.

Los mecanismos de control en el �rea de Inform�tica son:

Directivos, preventivos, de detecci�n, correctivos o de recuperaci�n ante una

contingencia.

Los objetivos de la auditor�a Inform�tica son:

El an�lisis de la eficiencia de los Sistemas Inform�ticos

La verificaci�n del cumplimiento de la Normativa en este �mbito
La revisi�n de la eficaz gesti�n de los recursos inform�ticos.
Tambi�n existen otros tipos de auditor�a:

Auditor�a operacional: se refiere a la revisi�n de la operaci�n de una empresa y

juzga la eficiencia de la misma.
Auditor�a administrativa: se refiere a la organizaci�n y eficiencia de la
estructura del personal con la que cuenta el personal y los procesos
administrativos en que act�a dicho personal.
Auditor�a social: se refiere a la revisi�n del entorno social en que se ubica y
desarrolla una empresa, con el fin de valorar aspectos externos e internos que
interfieren en la productividad de la misma.
Sus beneficios son:

Mejora la imagen p�blica.

Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre
otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversi�n en un entorno de TI, a menudo impredecible.
La auditor�a inform�tica sirve para mejorar ciertas caracter�sticas en la empresa
como:

* Desempe�o

Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
Generalmente se puede desarrollar en alguna o combinaci�n de las siguientes �reas:

* Gobierno corporativo

Administraci�n del Ciclo de vida de los sistemas

Servicios de Entrega y Soporte
Protecci�n y Seguridad
Planes de continuidad y Recuperaci�n de desastres
La necesidad de contar con lineamientos y herramientas est�ndar para el ejercicio
de la auditor�a inform�tica ha promovido la creaci�n y desarrollo de mejores
pr�cticas como COBIT, COSO e ITIL.

Actualmente la certificaci�n de ISACA para ser CISA Certified Information Systems

Auditor es una de las m�s reconocidas y avaladas por los est�ndares internacionales
ya que el proceso de selecci�n consta de un examen inicial bastante extenso y la
necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la
certificaci�n.

�ndice
1 Tipos de Auditor�a Inform�tica
2 Principales pruebas y herramientas para efectuar una auditor�a inform�tica
3 �reas a auditar en inform�tica
4 Metodolog�as para Auditor�a Inform�tica
4.1 Octave
4.2 Magerit - Metodolog�a de An�lisis y Gesti�n de Riesgos de los Sistemas de
Informaci�n
5 Referencias
Tipos de Auditor�a Inform�tica
Dentro de la auditor�a inform�tica destacan los siguientes tipos (entre otros):

Auditor�a de la gesti�n: la contrataci�n de bienes y servicios, documentaci�n de

los programas, etc.
Auditor�a legal del Reglamento de Protecci�n de Datos: Cumplimiento legal de las
medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Org�nica de
Protecci�n de Datos.
Auditor�a de los datos: Clasificaci�n de los datos, estudio de las aplicaciones y
an�lisis de los flujogramas.
Auditor�a de las bases de datos: Controles de acceso, de actualizaci�n, de
integridad y calidad de los datos.
Auditor�a de la seguridad: Referidos a datos e informaci�n verificando
disponibilidad, integridad, confidencialidad, autenticaci�n y no repudio.
Auditor�a de la seguridad f�sica: Referido a la ubicaci�n de la organizaci�n,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situaci�n f�sica
de esta. Tambi�n est� referida a las protecciones externas (arcos de seguridad,
CCTV, vigilantes, etc.) y protecciones del entorno.
Auditor�a de la seguridad l�gica: Comprende los m�todos de autenticaci�n de los
sistemas de informaci�n.
Auditor�a de las comunicaciones. Se refiere a la auditor�a de los procesos de
autenticaci�n en los sistemas de comunicaci�n.
Auditor�a de la seguridad en producci�n: Frente a errores, accidentes y fraudes.
Importancia de la Auditor�a Inform�tica ahora

La auditor�a permite a trav�s de una revisi�n independiente, la evaluaci�n de

actividades, funciones espec�ficas, resultados u operaciones de una organizaci�n,
con el fin de evaluar su correcta realizaci�n. Este autor hace �nfasis en la
revisi�n independiente, debido a que el auditor debe mantener independencia mental,
profesional y laboral para evitar cualquier tipo de influencia en los resultados de
la misma.

la t�cnica de la auditor�a, siendo por tanto aceptables equipos multidisciplinarios

formados por titulados en Ingenier�a Inform�tica e Ingenier�a T�cnica en
Inform�tica y licenciados en derecho especializados en el mundo de la auditor�a.

Principales pruebas y herramientas para efectuar una auditor�a inform�tica

En la realizaci�n de una auditor�a inform�tica el auditor puede realizar las
siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SO del organismo. Se

suelen obtener mediante observaci�n, c�lculos, muestreos, entrevistas, t�cnicas de
examen anal�tico, revisiones y conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la informaci�n.
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante
el an�lisis de la muestra. Proporciona evidencias de que los controles claves
existen y que son aplicables efectiva y uniformemente.
�reas a auditar en inform�tica
Las �reas a auditar en donde se puede realizar la auditor�a inform�tica, puede ser:

A toda la entidad
A una funci�n
A una subfuncion
Se pueden aplicar los siguientes tipos de auditor�a:

Auditor�a al ciclo de vida del desarrollo de un sistema

Metodolog�as para Auditor�a Inform�tica
La auditor�a inform�tica es una parte fundamental de la Seguridad Computacional que
permite medir y controlar riesgos inform�ticos que pueden ser aprovechados por
personas o sistemas ajenos a nuestra organizaci�n o que no deben tener acceso a
nuestros datos.

En este sentido, identificar los riesgos de manera oportuna ayudar� a implementar

de manera preventiva, las medidas de seguridad. Para facilitar esta actividad,
existen diferentes metodolog�as que ayudan en el proceso de revisi�n de riesgos
inform�ticos. Dos de las m�s utilizadas son Octave y Magerit.

Octave
La metodolog�a Octave es una evaluaci�n que se basa en riesgos y planeaci�n t�cnica
de seguridad computacional. Es un proceso interno de la organizaci�n, significa que
las personas de la empresa tienen la responsabilidad de establecer la estrategia de
seguridad una vez que se realice dicha evaluaci�n, y es precisamente lo interesante
de esta metodolog�a que la evaluaci�n se basa en el conocimiento del personal de la
empresa para capturar el estado actual de la seguridad. De esta manera es m�s f�cil
determinar los riesgos cr�ticos.

A diferencia de las evaluaciones t�picas enfocadas en la tecnolog�a, OCTAVE est�

dirigida a riesgos organizacionales y est� enfocada en temas estrat�gicos
relacionados con la pr�ctica, es flexible y puede aplicarse a la medida para la
mayor�a de las organizaciones.1?

En esta revisi�n es necesario que las empresas manejen el proceso de la evaluaci�n

y tomen las decisiones para proteger la informaci�n. El equipo de an�lisis,
integrado por personas de los departamentos de TI, de negocios, etc, lleva a cabo
la evaluaci�n, debido a que todas las perspectivas son cruciales para controlar los
riesgos de seguridad computacional.

Magerit - Metodolog�a de An�lisis y Gesti�n de Riesgos de los Sistemas de

Informaci�n
La metodolog�a Magerit fue desarrollada en Espa�a debido al r�pido crecimiento de
las tecnolog�as de informaci�n con la finalidad de hacerle frente a los diversos
riesgos relacionados con la seguridad inform�tica.

La CSAE (Consejo Superior de Administraci�n Electr�nica) promueve la utilizaci�n de

esta metodolog�a como respuesta a la creciente dependencia de las empresas para
lograr sus objetivos de servicio.

�Las fases que contempla el modelo MAGERIT son:

1. Planificaci�n del Proyecto.- establece el marco general de referencia para el

proyecto.

2. An�lisis de Riesgos.- permite determinar c�mo es, cu�nto vale y c�mo est�n
protegidos los activos.

3. Gesti�n de Riesgos.- permite la selecci�n e implantaci�n de salvaguardas para

conocer, prevenir, impedir, reducir o controlar los riesgos identificados�.

Al aplicar esta metodolog�a se conocer� el nivel de riesgo actual de los activos, y

por lo tanto se podr� mejorar las aplicaciones de salvaguardas y se podr� conocer
el riesgo reducido o residual.

La raz�n de ser de MAGERIT est� directamente relacionada con la generalizaci�n del

uso de los medios electr�nicos, inform�ticos y telem�ticos, que supone unos
beneficios evidentes para los ciudadanos, pero que tambi�n da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que garanticen la
autenticaci�n, confidencialidad, integridad y disponibilidad de los sistemas de
informaci�n y generan confianza cuando se utilicen tales medios.2?

Inclusive, se ha desarrollado software como Pilar basado en la metodolog�a de

Magerit.