Auditora Informtica 1. Qu es auditora informtica?

Segn RAMOS GONZLEZ:

"La Auditora Informtica comprende la revisin y la evaluacin independiente y objetiva, por parte de personas independientes y tcnicamente competentes del entorno informtico de una entidad, abarcando todas o algunas de sus reas, los estndares y procedimientos en vigor, su idoneidad y el cumplimiento de stos, de los objetivos fijados, los contratos y las normas legales aplicables; el grado de satisfaccin de usuarios y directivos; los controles existentes y un anlisis de los riesgos".1

La Auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De esta forma la auditora informtica sustenta y confirma la consecucin de los objetivos tradicionales de auditora. El auditor evala y comprueba en determinados momentos del tiempo los controles y procedimientos informativos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso de software. El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y el funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada. 2. Qu abarca la auditora informtica? La auditora Informtica abarca diversos controles en su funcin tales como: Anlisis de la eficiencia de los Sistemas Informticos que comporta, la verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos informticos. Revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software)

3. Quines pueden realizar una auditora informtica? La persona que realice auditoria informtica debe ser Ingeniero en sistemas con experiencia en: Desarrollo y explotacin de Proyectos informticos en software y / o hardware. Conocer las metodologas de desarrollo de software. Conocimientos en redes y comunicaciones Conocer metodologas de auditora informtica.

El auditor informtico como encargado de la verificacin y certificacin de la informtica dentro de las organizaciones, deber contar con un perfil que le permita poder desempear su trabajo con la calidad y la efectividad esperada. Algunos elementos con que deber contar: Conocimientos generales. o Todo tipo de conocimientos tecnolgicos, de forma actualizada y especializada respecto a las plataformas existentes en la organizacin; o Normas estndares para la auditora interna; o Polticas organizacionales sobre la informacin y las tecnologas de la informacin. o Caractersticas de la organizacin respecto a la tica, estructura organizacional, tipo de supervisin existente, compensaciones monetarias a los empleados, extensin de la presin laboral sobre los empleados, historia de la organizacin, cambios recientes en la administracin, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempea la organizacin, etc. o Aspectos legales; Herramientas. o Herramientas de control y verificacin de la seguridad; o Herramientas de monitoreo de actividades, etc. Tcnicas. o Tcnicas de Evaluacin de riesgos; o Muestreo; o Clculo pos operacin; o Monitoreo de actividades; o Recopilacin de grandes cantidades de informacin; o Verificacin de desviaciones en el comportamiento de la data; o Anlisis e interpretacin de la evidencia, etc.

Adems cabe destacar que deben estar certificados por la ISACA (Information Systems Audit and Control Association) ya que es una asociacin de auditora y control de sistemas de informacin ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta

de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

4. Que software se puede utilizar en auditoria informtica Para la auditoria informtica existen diversos software, entre ello se van a destacar aquellos que son entregados de forma gratuita por BSA para la comunidad: Centennial Discovery, herramienta para auditora y descubrimiento de la red Gasp, una herramienta para el desarrollo de una auditora de software, hardware y archivos Novell ZENworks Asset Management, se utiliza para la realizacin de inventario integrado de bienes, empleo de software y conciliaciones de licencias EasyVista, herramienta que cubre todos los aspectos de Gestin de la tecnologa informtica en una solucin integrada y modular de toda la web. El objetivo de estos softwares es ayudar a identificar y realizar un seguimiento del software instalados en sus computadores y redes

5.

Cul de las BIG FOUR realizan auditora Informtica? / Que consultora realiza auditoria informtica

La consultora Deloitte ha implementado la auditoria interna como una mejora a los controles internos de las empresas La consultora KPMG entrega servicios de auditoria a los sistemas informticos por medio de su personal de controles de seguridad. 6. Que es la seguridad informtica La seguridad informtica corresponde a una parte de la informtica que se preocupa proteger la integridad y privacidad de la informacin almacenada en los sistemas informticos. Cabe destacar que la seguridad informtica solo se encarga de la seguridad en el medio informtico, es decir, se preocupa de proteger la informacin que este en los sistemas informticos. La seguridad informtica debe garantizar Disponibilidad de los sistemas de informacin La Recuperacin rpida y completa de los sistemas de informacin La Integridad de la informacin La Confidencialidad de la informacin Qu abarca la seguridad informtica

7.

La seguridad informtica abarca Software Bases de datos Metadatos Archivos y Todo lo que tenga informacin privilegiada o confidencial. 8. Cules son los estndar internacionales para auditar sistemas de informacin Entre los estndares internacionales para auditar los sistemas de informacin se encuentran: Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA) The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA) Administracin de la inversin de tecnologa de Inversin: un marco para la evaluacin y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO) Los estndares de administracin de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organizacin Internacional de Estndares (ISO). SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el CICA El Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniera de Software (SEI) Administracin de sistemas de informacin: Una herramienta de evaluacin prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin. Gua para el cuerpo de conocimientos de administracin de proyectos, desarrollado por el comit de estndares del instituto de administracin de proyectos. Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon. Administracin de seguridad de informacin: Aprendiendo de organizaciones lderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)