Tabla de contenidos
Hoy en día los sistemas y tecnologías de información son piezas clave para el éxito de las empresas. Descubramos más sobre la importancia de la auditoría de sistemas de la información.
La auditoría de sistemas o auditoría informática es un proceso de revisión de los sistemas de información que ayuda a las empresas a identificar hallazgos, mitigar riesgos e implementar controles adecuados que permiten proteger su información crítica y valiosa.
Para enfrentar los desafíos del mundo actual, es necesario reducir o atenuar los riesgos tecnológicos; de modo que no pongan en peligro la información crítica y valiosa de la organización. A partir de allí nace la importancia de la auditoría de sistemas o informática, ya que nos ayuda a cumplir con dicho propósito.
La importancia de la seguridad de la información en la organización parte del hecho de que, conforme van apareciendo nuevas tecnologías en el mercado, también van surgiendo nuevos riesgos que ponen en peligro uno de los activos más importantes de toda organización: la información.
La auditoría permite realizar un análisis del entorno de control de TI, e identificar los riesgos más relevantes. Los controles de TI pueden tener deficiencias en su diseño o no existir y, en consecuencia, podría afectar la confidencialidad, integridad y disponibilidad de la información crítica de la organización.
Por ello, la auditoría obtiene los hallazgos u observaciones más importantes, y plantea recomendaciones o alternativas de solución, a fin de que la empresa pueda tomar acciones que ayuden a mitigar los riesgos.
Para entender la meta de la seguridad de la información, nos enfocaremos en los pilares que sustentan este concepto: confidencialidad, integridad y disponibilidad.
Confidencialidad: los datos solo estarán disponibles para las personas autorizadas. Esto también significa que la información no ha sido comprometida por terceros. La clave aquí es seleccionar correctamente las credenciales que se utilizarán para proteger la información.
Integridad: la información no ha sido alterada de cualquier manera. Es importantísimo asegurarse de que los datos no se modificaron de forma intencional o accidental.
Disponibilidad: toda información deberá estar disponible para los usuarios autorizados en el lugar y momento que se necesite.
Como toda evaluación, se debe cumplir con los requisitos y buenas prácticas internacionales. Estos son los pasos de una auditoría informática:
Fase I: Conocimientos del sujeto de evaluación o sistema: Aspectos legales y políticas Internos. Sobre estos elementos está construido el sistema de control: características del sistema operativo, organigrama del área que participa en el sistema, manual de funciones de las personas que participan en los procesos del sistema; informes de auditoría realizadas anteriormente, características de la aplicación de computadora, manual técnico de la aplicación del sistema, funcionarios (usuarios) autorizados para administrar la aplicación; equipos utilizados en la aplicación de computadora, seguridad de la aplicación (claves de acceso); procedimientos para generación y almacenamiento de los archivos de la aplicación, etc.
Fase II: Análisis de riesgos y amenazas: Identificación de riesgos: daños físicos o destrucción de los recursos, pérdida por fraude o desfalco, extravío de documentos fuente, archivos o informes; robo de dispositivos o medios de almacenamiento; interrupción de las operaciones del negocio, pérdida de integridad de los datos, ineficiencia de operaciones, errores, etc.
Fase III: Análisis y evaluación de controles: los controles de seguridad informática usualmente se clasifican en tres categorías: controles físicos, controles lógicos o técnicos y controles administrativos. Objetivos de la evaluación: verificar la existencia de los controles requeridos, determinar la operatividad y suficiencia de los controles existentes, plan de pruebas de los controles, etc.
Fase IV: Informe de auditoría: informe detallado de recomendaciones, evaluación de las respuestas, informe resumen para la alta gerencia. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas.
Fase V: Seguimiento de las recomendaciones. Informes del seguimiento, evaluación de los controles implantados.
Veamos un ejemplo de una auditoría informática de los más frecuentes:
También se desarrollan otras especializadas, como:
*Esta nota es una colaboración de Rómulo Lomparte, docente de la Escuela de Postgrado de la Universidad Privada del Norte.
Etiquetas:
y nos
pondremos en contacto
para brindarte