Auditoría de Seguridad Informática y Pruebas de Cumplimiento

La auditoría de seguridad informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Existen diferentes tipos de auditoría de seguridad informática, como la auditoría de la gestión, auditoría legal del Reglamento de Protección de Datos, auditoría de los datos, auditoría de las bases de datos, auditoría de la seguridad, auditoría de la seguridad física, auditoría de la seguridad lógica, auditoría de las comunicaciones, auditoría de la seguridad en producción, entre otros.

Las pruebas sustantivas y de cumplimiento son dos enfoques utilizados en la auditoría de seguridad informática. Las pruebas sustantivas verifican la exactitud, integridad y validez de la información, mientras que las pruebas de cumplimiento verifican el grado de cumplimiento de los controles establecidos. Estas pruebas se realizan utilizando diferentes herramientas, como observación, cuestionarios, entrevistas, muestreo estadístico, flujogramas, listas de chequeo y mapas conceptuales.