AUDITORÍA INFORMÁTICA

es el proceso de recoger, agrupar y evaluar evidencias para determinar si un

sistema informatizado salvaguarda los activos, mantiene la integridad de los datos,

lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los

recursos.

objetivos de una Auditoria Informática.

El análisis de la eficiencia de los Sistemas Informáticos.

La verificación del cumplimiento de la Normativa en este ámbito.

La revisión de la eficaz gestión de los recursos informáticos.

Las auditorias informáticas pueden ser de forma interna o externa.

Auditoría Interna. Es desarrollada de forma personal que podrían o no depender

del área revisando aspectos principalmente administrativos mediante revisiones

programadas en aspectos operativos y de registro de la empresa. Esto genera un

informe para su revisión.

Auditoría Externa, conocida también como auditoría independiente, es

desarrollada por auditores externos que son contratados por la organización

generando un juicio completamente imparcial.

otros tipos de auditorías:

Auditoria operacional. Es la revisión de las operaciones de una empresa y se

juzga la eficiencia de la operación misma.

Auditoria administrativa. Organización y eficiencia de la estructura personal con la

que cuenta la empresa, además de los procesos administrativos en que actúa

dicho personal.

Auditoria social. Revisión del entorno social en que se ubica y desarrolla una

empresa, con la finalidad de valorar los aspectos externos e internos que infieren

en la productividad de la misma.

Antecedentes

la auditoria se ha llevado a cabo desde que el hombre hizo su aparición, fue

llevado de manera empírica, sirvió de gran ayuda para los pueblos

conquistadores, dando fe de los tributos obtenidos. En México, los oidores de la

corona española, se convirtieron en auditores que vigilaban el pago de quinto real

a los reyes españoles".

Con relación a la auditoria informática los antecedentes más cercanos son de

Estados Unidos. En los años cuarenta comenzaron a observarse los primeros

resultados en la rama de la computación, mediante sistemas de apoyo militar, pero

todo esto se basaba únicamente en custodiar de manera física por personal

calificado.

Con el paso de tiempo la informática y tecnología han creado nuevas necesidades

en todos los sectores de la sociedad volviendo indispensable la mejora de los

procesos industriales principalmente.

Normas.
Según se describe en [bib-imcp], las normas de auditoría son los requisitos

mínimos de calidad relativos a la personalidad del auditor, al trabajo que

desempeña ya la información que rinde como resultado de este trabajo.

Las normas de auditoría se clasifican en:

Normas personales.

Normas de ejecución del trabajo.

Normas de información.

Normas personales

son cualidades que el auditor debe tener para ejercer sin dolo una auditoría,

basados en un su conocimiento profesional, así como en un entrenamiento

técnico, que le permita ser imparcial a la hora de dar sus sugerencias.

Normas de ejecución del trabajo

son la planificación de los métodos y procedimientos, tanto como papeles de

trabajo a aplicar dentro de la auditoría.

Normas de información

son el resultado que el auditor debe entregar a los interesados para que se den

cuenta de su trabajo, también es conocido como informe o dictamen.

La Organización internacional de Estandarización (ISO) ha elaborado normas para

asegurarse de la seguridad informática de las organizaciones. Estas están

agrupadas en la familia de normativas ISO 27000.

La ISO en auditoría informática más reconocida es la ISO 27001, publicada en

2005 y revisada en 2013. Según el mismo estándar, “la seguridad de la

información consiste en la preservación de confidencialidad, integridad y

disponibilidad, así como los sistemas implicados en su tratamiento, dentro de una

organización.”

Esta norma se utiliza como la referencia para implementar un Sistema en Gestión

de la Seguridad de la Información (SGSI) y hacer frente a cualquier riesgo digital.

ISO 17799

Es una norma retirada que fue emitida por la International Standards Organization

con el lema "Tecnología de la Información – Técnicas de seguridad – Código para

la práctica de la gestión de la seguridad de la información".

El objetivo de la norma ISO/IEC 17799 fue proporcionar una base común para

desarrollar normas de seguridad dentro de las organizaciones y ser una práctica

eficaz de la gestión de la seguridad.

Se basó en la norma inglesa (British Standard) BS 7799, habiendo evolucionado

hacia la ISO/IEC 27001, hoy en día se considera comprendida dentro de esta

última.

Aplicación

Los requisitos establecidos en esta norma son genéricos y están previstos para

ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño

y naturaleza. No es aceptable la exclusión de cualquiera de los requisitos

especificados en los numerales 4, 5, 6, 7 y 8 cuando una organización declara

conformidad con la presente norma.

Cualquier exclusión de controles, considerada necesaria para satisfacer los

criterios de aceptación de riesgos, necesita justificarse y debe suministrarse

evidencia de que los riesgos asociados han sido aceptados apropiadamente por

las personas responsables. En donde se excluya cualquier control, las

declaraciones de conformidad con esta norma no son aceptables a menos que

dichas exclusiones no afecten la capacidad de la organización y/o la

responsabilidad para ofrecer seguridad de la información que satisfaga los

requisitos de seguridad determinados por la valoración de riesgos y los requisitos

reglamentarios aplicables.

seguridad de la información

preservación de la confidencialidad, la integridad y la disponibilidad de la

información; además, puede involucrar otras propiedades tales como:

autenticidad, trazabilidad (Accountability), no repudio y fiabilidad.

[NTC-ISO/IEC 17799:2006]

Aplicación

La norma ISO17799 va dirigida a cualquier tipo de organización o de compañía,

privada o pública.