Está en la página 1de 7

La Auditora Informtica es un proceso llevado a cabo por profesionales especialmente

capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organizacin,
utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.
Permiten detectar de Forma Sistemtica el uso de los recursos y los flujos de informacin
dentro de una Organizacin y determinar qu Informacin es crtica para el cumplimiento de
su Misin y Objetivos, identificando necesidades, falsedades, costes, valor y barreras, que
obstaculizan flujos de informacin eficientes. En si la auditora informtica tiene 2 tipos las
cuales son:
AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar a
personas ajena, en el cual los empleados realizan esta auditora trabajan ya sea para la
empresa que fueron contratados o simplemente algn afiliado a esta.
AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata a
personas de afuera para que haga la auditora en su empresa. Auditar consiste principalmente
en estudiar los mecanismos de control que estn implantados en una empresa u organizacin,
determinando si los mismos son adecuados y cumplen unos determinados objetivos o
estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los
mismos.
Los mecanismos de control pueden ser en el rea de Informtica son:

Directivos

Preventivos

Deteccin

Correctivos

Recuperacin

Contigencia

Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de


recuperacin ante una contingencia.
Los objetivos de la auditora Informtica son:

El anlisis de la eficiencia de los Sistemas Informticos

La verificacin del cumplimiento de la Normativa en este mbito

La revisin de la eficaz gestin de los recursos informticos.

Tambin existen otros tipos de auditora:

Auditora operacional: se refiere a la revisin de la operacin de una empresa y juzga


la eficiencia de la misma.

Auditora administrativa: se refiere a la organizacin y eficiencia de la estructura con la


que cuenta el personal y los procesos administrativos en que acta dicho personal.

Auditora social: se refiere a la revisin del entorno social en que se ubica y desarrolla
una empresa, con el fin de valorar aspectos externos e internos que interfieren en la
productividad de la misma.

Sus beneficios son:

Mejora la imagen pblica.

Confianza en los usuarios sobre la seguridad y control de los servicios de TI.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

Genera un balance de los riesgos en TI.

Realiza un control de la inversin en un entorno de TI, a menudo impredecible.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:


* Desempeo

Fiabilidad

Eficacia

Rentabilidad

Seguridad

Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:


* Gobierno corporativo

Administracin del Ciclo de vida de los sistemas

Servicios de Entrega y Soporte

Proteccin y Seguridad

Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la


auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT,
COSO e ITIL.
Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es
una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso
de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse
actualizado acumulando horas (puntos) para no perder la certificacin.
ndice
[ocultar]

1Tipos de Auditora Informtica

2Principales pruebas y herramientas para efectuar una auditora informtica

3reas a auditar en informtica

4Metodologas para Auditora Informtica


o
o

4.1Octave
4.2Magerit - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin
5Referencias

Tipos de Auditora Informtica[editar]


Dentro de la auditora informtica destacan los siguientes tipos (entre otros):

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los


programas, etc.

Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las


medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de
Proteccin de Datos.

Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y


anlisis de los flujogramas.

Auditora de las bases de datos: Controles de acceso, de actualizacin, de


integridad y calidad de los datos.

Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad,


integridad, confidencialidad, autenticacin y no repudio.

Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando


ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta.
Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes,
etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los


sistemas de informacin.

Auditora de las comunicaciones. Se refiere a la auditora de los procesos de


autenticacin en los sistemas de comunicacin.

Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

Importancia de la Auditora Informtica ahora


La auditora permite a travs de una revisin independiente, la evaluacin de actividades,
funciones especficas, resultados u operaciones de una organizacin, con el fin de evaluar su
correcta realizacin. Este autor hace nfasis en la revisin independiente, debido a que el
auditor debe mantener independencia mental, profesional y laboral para evitar cualquier tipo
de influencia en los resultados de la misma.
la tcnica de la auditora, siendo por tanto aceptables equipos multidisciplinarios formados por
titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en
derecho especializados en el mundo de la auditora.

Principales pruebas y herramientas para efectuar una


auditora informtica[editar]
En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se


suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de
examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y
validez de la informacin.

Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado


mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves
existen y que son aplicables efectiva y uniformemente.

reas a auditar en informtica[editar]


Las reas a auditar en donde se puede realizar la auditora informtica, puede ser:

A toda la entidad

A una funcin

A una subfuncion

Se pueden aplicar los siguientes tipos de auditora:

Auditora al ciclo de vida del desarrollo de un sistema

Auditora a un sistema en operacin

Auditora a controles generales (gestin)

Auditora a la administracin de la funcin informtica

Auditora a microcomputadoras aisladas

Auditora a redes

Las principales herramientas de las que dispone un auditor informtico son:

Observacin

Realizacin de cuestionarios

Entrevistas a auditados y no auditados

Muestreo estadstico

Flujogramas

Listas de chequeo

Mapas conceptuales

Metodologas para Auditora Informtica[editar]


La auditora informtica es una parte fundamental de la Seguridad Computacional que
permite medir y controlar riesgos informticos que pueden ser aprovechados por personas o
sistemas ajenos a nuestra organizacin o que no deben tener acceso a nuestros datos.
En este sentido, identificar los riesgos de manera oportuna ayudar a implementar de manera
preventiva, las medidas de seguridad. Para facilitar esta actividad, existen diferentes
metodologas que ayudan en el proceso de revisin de riesgos informticos. Dos de las ms
utilizadas son Octave y Magerit.

Octave[editar]
La metodologa Octave es una evaluacin que se basa en riesgos y planeacin tcnica de
seguridad computacional. Es un proceso interno de la organizacin, significa que las personas
de la empresa tienen la responsabilidad de establecer la estrategia de seguridad una vez que
se realice dicha evaluacin, y es precisamente lo interesante de esta metodologa que la
evaluacin se basa en el conocimiento del personal de la empresa para capturar el estado
actual de la seguridad. De esta manera es ms fcil determinar los riesgos crticos.
A diferencia de las evaluaciones tpicas enfocadas en la tecnologa, OCTAVE est dirigida a
riesgos organizacionales y est enfocada en temas estratgicos relacionados con la prctica,
es flexible y puede aplicarse a la medida para la mayora de las organizaciones. 1
En esta revisin es necesario que las empresas manejen el proceso de la evaluacin y tomen
las decisiones para proteger la informacin. El equipo de anlisis, integrado por personas de
los departamentos de TI, de negocios, etc, lleva a cabo la evaluacin, debido a que todas las
perspectivas son cruciales para controlar los riesgos de seguridad computacional.

Magerit - Metodologa de Anlisis y Gestin de Riesgos de los


Sistemas de Informacin[editar]

La metodologa Magerit fue desarrollada en Espaa debido al rpido crecimiento de las


tecnologas de informacin con la finalidad de hacerle frente a los diversos riesgos
relacionados con la seguridad informtica.
La CSAE (Consejo Superior de Administracin Electrnica) promueve la utilizacin de esta
metodologa como respuesta a la creciente dependencia de las empresas para lograr sus
objetivos de servicio.
Las fases que contempla el modelo MAGERIT son:
1. Planificacin del Proyecto.- establece el marco general de referencia para el proyecto.
2.

Anlisis de Riesgos.- permite determinar cmo es, cunto vale y cmo estn protegidos

los activos.
3. Gestin de Riesgos.- permite la seleccin e implantacin de salvaguardas para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados.
Al aplicar esta metodologa se conocer el nivel de riesgo actual de los activos, y por lo tanto
se podr mejorar las aplicaciones de salvaguardas y se podr conocer el riesgo reducido o
residual.
La razn de ser de MAGERIT est directamente relacionada con la generalizacin del uso de
los medios electrnicos, informticos y telemticos, que supone unos beneficios evidentes
para los ciudadanos, pero que tambin da lugar a ciertos riesgos que deben minimizarse con
medidas de seguridad que garanticen la autenticacin, confidencialidad, integridad y
disponibilidad de los sistemas de informacin y generan confianza cuando se utilicen tales
medios.2
Inclusive, se ha desarrollado software como Pilar basado en la metodologa de Magerit.