Auditoría de Sistemas de Información: Conceptos, Metodologías y Marcos de Referencia Esenciales
Enviado por Chuletator online y clasificado en Economía
Escrito el en español con un tamaño de 7,24 KB
Auditoría de Sistemas de Información (ASI): Conceptos Clave y Aplicaciones
La Auditoría de Sistemas de Información (ASI) se define como cualquier auditoría que abarque la revisión y evaluación de todos los aspectos de los sistemas de procesamiento de la información, incluyendo los procedimientos no automáticos relacionados y las interfaces. A diferencia de las auditorías contables o de calidad, la ASI no se realiza de forma periódica, sino ante problemas reales, amenazas potenciales o modificaciones legales.
Causas de la Auditoría Informática
- Desorganización
- Insatisfacción
- Debilidades financieras
- Inseguridad
- Cumplimiento de la legalidad
Objetivos de la ASI
- Mantenimiento de la operatividad
- Mejora de la eficacia, seguridad y rentabilidad de los Sistemas de Información (SI)
Beneficios de la ASI
- Refuerzo de la imagen corporativa
- Aumento de la confianza en los sistemas
- Reducción de costes operativos
- Control y supervisión del gasto en IT
Responsabilidades del Auditor
- No emitir juicios sin un contraste sólido
- Respetar las relaciones jerárquicas dentro de la organización
Áreas Generales de la ASI
- Dirección de SI
- Usuarios
- Interna (Propias del departamento de IT)
- Seguridad
Áreas Específicas de la ASI
- Explotación
- Desarrollo
- Sistemas
- Comunicaciones
- Seguridad física y lógica
Tipos de Auditoría de Sistemas de Información (ASI)
ASI Interna
Unidad perteneciente a la organización.
- Ventajas: Conocimiento profundo del sistema y de los objetivos organizacionales.
- Desventajas: Posible falta de independencia.
ASI Externa
Servicio independiente contratado.
- Ventajas: Mayor objetividad.
- Desventajas: Posible desconocimiento inicial de los problemas específicos de la empresa.
ASI Mixta
Equipo compuesto por personal interno y externo.
- Gran especialización
- Permite contrastar información interna
- Preparación para futuras auditorías externas
- Visión más objetiva y completa
ASI según el Ámbito
Auditoría de Cifras
Su objetivo es conocer y evaluar la información que maneja el sistema.
Control de Entrada de Datos
Conocer y evaluar los errores, su periodicidad y sus causas en la fase de entrada de datos.
Control de Tratamiento de Datos
Se enfoca en los errores que se producen durante la transferencia y procesamiento de datos.
Control de Salida de Datos
Verifica si la información resultante proporciona respuestas válidas, concretas y correctas a los distintos usuarios del sistema.
Auditoría de Procedimientos
Su objetivo es el análisis y evaluación de la adecuación de los métodos, la documentación y la normativa aplicada.
ASI según la Especificidad
Auditoría Perimetral
Se centra en la seguridad de la red local o corporativa.
Auditoría de Intrusión
Evalúa el nivel de resistencia del sistema ante una intrusión no deseada.
Auditorías Forenses
Realiza un análisis posterior a los incidentes de seguridad para determinar causas y responsabilidades.
Auditoría de Páginas Web
Identifica vulnerabilidades en el diseño o configuración de sitios web.
Auditoría de Código de Aplicaciones
Revisa el código fuente de las aplicaciones en busca de fallos de seguridad o malas prácticas.
Metodología para la Realización de una Auditoría
- Definición del ámbito y objetivos
- Estudio previo
- Determinación de recursos necesarios
- Elaboración del Plan de Auditoría
- Realización de la Auditoría
- Elaboración del Informe Final
Las Entrevistas en la Auditoría
En una buena entrevista, el auditor puede recoger información más abundante y confiable que a través de muchos otros medios técnicos.
Propósitos de la Entrevista en la Auditoría
- Obtener información de los responsables de las operaciones o procesos objeto de auditoría
- Facilitar la recolección de información relevante
- Establecer un acercamiento y una relación de confianza con el personal
- Permite aclarar preguntas, orientar la investigación y resolver las dificultades para la persona entrevistada
Técnicas de Auditoría
Trazas o Huellas
Permiten rastrear los caminos de los datos a través del sistema.
Muestreo
Cuando, por el tamaño o el tiempo disponible, no es posible auditar la totalidad de los datos o procesos, se utilizará una muestra representativa.
Técnicas de Auditoría Asistidas por Ordenador (TAAO)
Son programas y datos que el auditor utiliza como parte de los procedimientos para procesar datos importantes para la auditoría de contenidos en los Sistemas de Información (SI).
Planning Advisor
Ayuda a automatizar el proceso de planificación de la auditoría, identificar y clasificar las áreas de mayor exposición mediante criterios de evaluación basados en riesgos. Es útil para auditores, departamentos de auditoría y unidades de negocio que aplican un enfoque de riesgo a su actividad de auditoría.
Cobit Advisor
Permite la definición del personal, así como la planificación y organización, adquisición y mantenimiento, desarrollo y soporte y monitoreo por cada dominio de COBIT.
Audicontrol
Es una metodología asistida por computador, desarrollada por AUDISIS, para evaluar riesgos, diseñar y documentar procesos de auditoría.
Marcos de Referencia y Estándares en Auditoría IT
COBIT
Modelo estándar más empleado, un marco de buenas prácticas para la auditoría de TI y respaldado por la ISACA. Sus dominios principales son:
- Planificación y organización
- Adquisición e implementación
- Distribución y soporte
- Monitorización
COSO
Documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control interno. Está diseñado para identificar los eventos que potencialmente afectan a la entidad y para administrar los riesgos, proveyendo seguridad razonable para la administración.
OSSTMM
Manual de la Metodología Abierta de Testeo de Seguridad (Open Source Security Testing Methodology Manual).
Auditoría en Cloud Computing
Los elementos incluidos en el programa de auditoría pueden estar distribuidos en una o varias regiones geográficas, lo que requiere seleccionar los marcos jurídicos aplicables. Las tareas principales a auditar incluyen:
- Gobernanza de las TIC
- Cumplimiento normativo
- Privacidad de datos
- Seguridad de las TIC
- Gestión de operaciones
- Plan de contingencia y continuidad del negocio