Inicio Posgrado

Descubre la importancia de una Auditoría de Sistemas de la Información

  |   Escrito por: UPN

Hoy en día los sistemas y tecnologías de información son piezas clave para el éxito de las empresas. Descubramos más sobre la importancia de la auditoría de sistemas de la información 

La auditoría de sistemas o auditoría informática es un proceso de revisión de los sistemas de información que ayuda a las empresas a identificar hallazgos, mitigar riesgos e implementar controles adecuados que permiten proteger su información crítica y valiosa. 

Para enfrentar los desafíos del mundo actual, es necesario reducir o atenuar los riesgos tecnológicos; de modo que no pongan en peligro la información crítica y valiosa de la organización. A partir de allí nace la importancia de la auditoría de sistemas o informática, ya que nos ayuda a cumplir con dicho propósito. 

IMPORTANCIA DE LA AUDITORÍA INFORMÁTICA 

La importancia de la seguridad de la información en la organización parte del hecho de que, conforme van apareciendo nuevas tecnologías en el mercado, también van surgiendo nuevos riesgos que ponen en peligro uno de los activos más importantes de toda organización: la información

La auditoría permite realizar un análisis del entorno de control de TI, e identificar los riesgos más relevantes. Los controles de TI pueden tener deficiencias en su diseño o no existir y, en consecuencia, podría afectar la confidencialidad, integridad y disponibilidad de la información crítica de la organización. 

Por ello, la auditoría obtiene los hallazgos u observaciones más importantes, y plantea recomendaciones o alternativas de solución, a fin de que la empresa pueda tomar acciones que ayuden a mitigar los riesgos. 

auditoría informática ejemplo
Este proceso de revisión es clave para aminorar posibles peligros en seguridad de la información y poder corregirlos.

3 PILARES DE LA SEGURIDAD DE LA INFORMACIÓN 

Para entender la meta de la seguridad de la información, nos enfocaremos en los pilares que sustentan este concepto: confidencialidad, integridad y disponibilidad. 

Confidencialidad: los datos solo estarán disponibles para las personas autorizadas. Esto también significa que la información no ha sido comprometida por terceros. La clave aquí es seleccionar correctamente las credenciales que se utilizarán para proteger la información.  

Integridad: la información no ha sido alterada de cualquier manera. Es importantísimo asegurarse de que los datos no se modificaron de forma intencional o accidental.  

Disponibilidad: toda información deberá estar disponible para los usuarios autorizados en el lugar y momento que se necesite. 

FASES DE LA AUDITORÍA INFORMÁTICA 

Como toda evaluación, se debe cumplir con los requisitos y buenas prácticas internacionales. Estos son los pasos de una auditoría informática: 

Fase I: Conocimientos del sujeto de evaluación o sistema: Aspectos legales y políticas Internos. Sobre estos elementos está construido el sistema de control: características del sistema operativo, organigrama del área que participa en el sistema, manual de funciones de las personas que participan en los procesos del sistema; informes de auditoría realizadas anteriormente, características de la aplicación de computadora, manual técnico de la aplicación del sistema, funcionarios (usuarios) autorizados para administrar la aplicación; equipos utilizados en la aplicación de computadora, seguridad de la aplicación (claves de acceso); procedimientos para generación y almacenamiento de los archivos de la aplicación, etc. 

Fase II: Análisis de riesgos y amenazas: Identificación de riesgos: daños físicos o destrucción de los recursos, pérdida por fraude o desfalco, extravío de documentos fuente, archivos o informes; robo de dispositivos o medios de almacenamiento; interrupción de las operaciones del negocio, pérdida de integridad de los datos, ineficiencia de operaciones, errores, etc. 

Fase III: Análisis y evaluación de controles: los controles de seguridad informática usualmente se clasifican en tres categorías: controles físicos, controles lógicos o técnicos y controles administrativos. Objetivos de la evaluación: verificar la existencia de los controles requeridos, determinar la operatividad y suficiencia de los controles existentes, plan de pruebas de los controles, etc. 

Fase IV: Informe de auditoría: informe detallado de recomendaciones, evaluación de las respuestas, informe resumen para la alta gerencia. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. 

Fase V: Seguimiento de las recomendaciones. Informes del seguimiento, evaluación de los controles implantados. 

Veamos un ejemplo de una auditoría informática de los más frecuentes: 

  • Auditoría a la gestión de TI: la contratación de bienes y servicios, documentación de los programas, etc. 
  • Auditoría al cumplimiento legal del Reglamento de Protección de Datos: cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley de Protección de Datos. 
  • Auditoría a la gestión de bases de datos: controles de acceso, de actualización, de integridad y calidad de los datos. 
  • Auditoría de la seguridad de la información: referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. 
  • Auditoría de la seguridad física: referido a la ubicación de la organización, evitando ubicaciones de riesgo y, en algunos casos, no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. 
  • Auditoría de la seguridad lógica: comprende los métodos de autenticación de los sistemas de información. 
  • Auditoría de las comunicaciones: se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación. 

También se desarrollan otras especializadas, como: 

  • Auditoría web 
  • Auditoría a la red inalámbrica 
  • Auditoría al código fuente 
  • Auditoría a dispositivos móviles 
  • Auditoría a infraestructuras críticas 
  • Auditoría a la respuesta a incidentes

*Esta nota es una colaboración de Rómulo Lomparte, docente de la Escuela de Postgrado de la Universidad Privada del Norte.  

¿Te interesa saber más sobre el tema? Te invitamos a conocer el Diplomado en Seguridad de la Información y Auditoría de Sistemas de Información. 

Etiquetas:

Comparte con tus amigos

Publicaciones Relacionadas

¿Qué son las habilidades directivas y cuál es su importancia?
Carrera de Negocios Internacionales
¿Por qué estudiar la carrera de Negocios Internacionales?
Pregado y posgrado: ¿qué son y en qué se diferencian?
Whatsapp UPN