Auditoría de Sistemas de Información: Conceptos, Metodologías y Marcos de Referencia Esenciales

Enviado por Chuletator online y clasificado en Economía

Escrito el en español con un tamaño de 7,24 KB

Auditoría de Sistemas de Información (ASI): Conceptos Clave y Aplicaciones

La Auditoría de Sistemas de Información (ASI) se define como cualquier auditoría que abarque la revisión y evaluación de todos los aspectos de los sistemas de procesamiento de la información, incluyendo los procedimientos no automáticos relacionados y las interfaces. A diferencia de las auditorías contables o de calidad, la ASI no se realiza de forma periódica, sino ante problemas reales, amenazas potenciales o modificaciones legales.

Causas de la Auditoría Informática

  • Desorganización
  • Insatisfacción
  • Debilidades financieras
  • Inseguridad
  • Cumplimiento de la legalidad

Objetivos de la ASI

  • Mantenimiento de la operatividad
  • Mejora de la eficacia, seguridad y rentabilidad de los Sistemas de Información (SI)

Beneficios de la ASI

  • Refuerzo de la imagen corporativa
  • Aumento de la confianza en los sistemas
  • Reducción de costes operativos
  • Control y supervisión del gasto en IT

Responsabilidades del Auditor

  • No emitir juicios sin un contraste sólido
  • Respetar las relaciones jerárquicas dentro de la organización

Áreas Generales de la ASI

  1. Dirección de SI
  2. Usuarios
  3. Interna (Propias del departamento de IT)
  4. Seguridad

Áreas Específicas de la ASI

  • Explotación
  • Desarrollo
  • Sistemas
  • Comunicaciones
  • Seguridad física y lógica

Tipos de Auditoría de Sistemas de Información (ASI)

ASI Interna

Unidad perteneciente a la organización.

  • Ventajas: Conocimiento profundo del sistema y de los objetivos organizacionales.
  • Desventajas: Posible falta de independencia.

ASI Externa

Servicio independiente contratado.

  • Ventajas: Mayor objetividad.
  • Desventajas: Posible desconocimiento inicial de los problemas específicos de la empresa.

ASI Mixta

Equipo compuesto por personal interno y externo.

  • Gran especialización
  • Permite contrastar información interna
  • Preparación para futuras auditorías externas
  • Visión más objetiva y completa

ASI según el Ámbito

Auditoría de Cifras

Su objetivo es conocer y evaluar la información que maneja el sistema.

  • Control de Entrada de Datos

    Conocer y evaluar los errores, su periodicidad y sus causas en la fase de entrada de datos.

  • Control de Tratamiento de Datos

    Se enfoca en los errores que se producen durante la transferencia y procesamiento de datos.

  • Control de Salida de Datos

    Verifica si la información resultante proporciona respuestas válidas, concretas y correctas a los distintos usuarios del sistema.

Auditoría de Procedimientos

Su objetivo es el análisis y evaluación de la adecuación de los métodos, la documentación y la normativa aplicada.

ASI según la Especificidad

  • Auditoría Perimetral

    Se centra en la seguridad de la red local o corporativa.

  • Auditoría de Intrusión

    Evalúa el nivel de resistencia del sistema ante una intrusión no deseada.

  • Auditorías Forenses

    Realiza un análisis posterior a los incidentes de seguridad para determinar causas y responsabilidades.

  • Auditoría de Páginas Web

    Identifica vulnerabilidades en el diseño o configuración de sitios web.

  • Auditoría de Código de Aplicaciones

    Revisa el código fuente de las aplicaciones en busca de fallos de seguridad o malas prácticas.

Metodología para la Realización de una Auditoría

  1. Definición del ámbito y objetivos
  2. Estudio previo
  3. Determinación de recursos necesarios
  4. Elaboración del Plan de Auditoría
  5. Realización de la Auditoría
  6. Elaboración del Informe Final

Las Entrevistas en la Auditoría

En una buena entrevista, el auditor puede recoger información más abundante y confiable que a través de muchos otros medios técnicos.

Propósitos de la Entrevista en la Auditoría

  • Obtener información de los responsables de las operaciones o procesos objeto de auditoría
  • Facilitar la recolección de información relevante
  • Establecer un acercamiento y una relación de confianza con el personal
  • Permite aclarar preguntas, orientar la investigación y resolver las dificultades para la persona entrevistada

Técnicas de Auditoría

Trazas o Huellas

Permiten rastrear los caminos de los datos a través del sistema.

Muestreo

Cuando, por el tamaño o el tiempo disponible, no es posible auditar la totalidad de los datos o procesos, se utilizará una muestra representativa.

Técnicas de Auditoría Asistidas por Ordenador (TAAO)

Son programas y datos que el auditor utiliza como parte de los procedimientos para procesar datos importantes para la auditoría de contenidos en los Sistemas de Información (SI).

  • Planning Advisor

    Ayuda a automatizar el proceso de planificación de la auditoría, identificar y clasificar las áreas de mayor exposición mediante criterios de evaluación basados en riesgos. Es útil para auditores, departamentos de auditoría y unidades de negocio que aplican un enfoque de riesgo a su actividad de auditoría.

  • Cobit Advisor

    Permite la definición del personal, así como la planificación y organización, adquisición y mantenimiento, desarrollo y soporte y monitoreo por cada dominio de COBIT.

  • Audicontrol

    Es una metodología asistida por computador, desarrollada por AUDISIS, para evaluar riesgos, diseñar y documentar procesos de auditoría.

Marcos de Referencia y Estándares en Auditoría IT

COBIT

Modelo estándar más empleado, un marco de buenas prácticas para la auditoría de TI y respaldado por la ISACA. Sus dominios principales son:

  • Planificación y organización
  • Adquisición e implementación
  • Distribución y soporte
  • Monitorización

COSO

Documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control interno. Está diseñado para identificar los eventos que potencialmente afectan a la entidad y para administrar los riesgos, proveyendo seguridad razonable para la administración.

OSSTMM

Manual de la Metodología Abierta de Testeo de Seguridad (Open Source Security Testing Methodology Manual).

Auditoría en Cloud Computing

Los elementos incluidos en el programa de auditoría pueden estar distribuidos en una o varias regiones geográficas, lo que requiere seleccionar los marcos jurídicos aplicables. Las tareas principales a auditar incluyen:

  • Gobernanza de las TIC
  • Cumplimiento normativo
  • Privacidad de datos
  • Seguridad de las TIC
  • Gestión de operaciones
  • Plan de contingencia y continuidad del negocio

Entradas relacionadas: