AUDITORIAS

Dentro de la auditoría informática destacan los siguientes tipos:

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.

Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis del flujo gramas.

Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.

Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.

Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

La metodología empleada en la auditoría informática es similar a las fases que componen una auditoría tradicional: primero se planea para obtener y entender los procesos de negocio; en segundo lugar se analiza y evalúa el control interno establecido para determinar la probable efectividad y eficiencia del mismo; posteriormente, se aplican pruebas de auditorías para verificar la efectividad de los procedimientos de control (pruebas de cumplimiento), o de los productos de los procesos de trabajo (pruebas sustantivas).

Después se informan los resultados de las auditorías, con el fin de reportar las sugerencias correspondientes a las oportunidades de mejora encontradas y finalmente, se efectúa el seguimiento para evaluar el nivel del cumplimiento y el impacto de las recomendaciones hechas.

De igual forma, existe un estándar internacional conocido como Control Objetives for Information and Related Technology (COBIT), que sirve como guía para la buena práctica de la auditoría de las TI, emitido por la ISACA. Éste contempla los procesos típicos de la función de TI, agrupados en cuatro dominios:

Planificación y organización: identificación de la forma en que las TI pueden contribuir de la mejor manera al logro de los objetivos institucionales, y al establecimiento de una organización e infraestructura tecnológica apropiada.

Adquisición e implementación: para llevar a cabo la estrategia de TI es necesario identificar, desarrollar o adquirir soluciones de TI adecuadas, así como implementarlas e integrarlas dentro del proceso del negocio. Además, cubre los cambios y el mantenimiento realizados a sistemas existentes.

Distribución y soporte: corresponde a la entrega de los servicios requeridos, desde las tradicionales operaciones sobre seguridad y continuidad, hasta la capacitación, así como los procesos de soporte necesarios.

Monitoreo: todos los procesos necesitan ser evaluados de forma regular a través del tiempo, para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

IMPORTANCIA DE LA AUDITORÍA INFORMÁTICA

La tecnología de informática, traducida en hardware, software, sistemas de información, investigación tecnológica, redes locales, bases de datos, ingeniería de software, telecomunicaciones, servicios y organización de informática, es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a sus similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado.

De los extremos señalados surge de inmediato

...