Auditoría

Una auditoría es una revisión de los procedimientos que se llevan en una empresa a
nivel contable o laboral entre otros, para comprobar que se reúne una serie de
requisitos establecidos. Puede ser interna o externa, en función de si la realiza la propia
empresa, o una entidad externa a la misma.
El objetivo principal de la auditoría no es detectar fraudes, aunque se suele pensar que
es así, sino revisar los protocolos que se utilizan en la empresa para encontrar posibles
errores e implantar las mejoras que correspondan. No obstante, puede ocurrir que
durante la auditoría se descubra alguna irregularidad legal.

Tipos

Este proceso tiene un sinfín de clasificaciones. La más general es aquella relacionada

con la entidad que hace la auditoría:

 Interna: Elaborada por personas que trabajan en la compañía. Estas se

ejecutan como un ejercicio de auto-examinación y les permite encontrar
los puntos a mejorar. Se pueden efectuar antes de una auditoría importante o
de forma periódica para registrar los cambios.
 Externa: Procedida por agentes fuera de la compañía, por ejemplo: los
consultores. Estas auditorías pueden realizarse como un proceso de
certificación, ya sea para obtener alguna o preservar la que se tiene.

Aparte de esta tipificación, existe una que se basa en los rubros de la evaluación. Esta
es la más común en el mundo de la consultoría:
Auditoría informática:

Es un proceso que consiste en recopilar, agrupar y evaluar evidencias que permiten

determinar si el sistema informático utilizado por una empresa mantiene la integridad
de los datos, cumple con los protocolos establecidos, hace un uso eficiente de los
recursos, cumple con las normativas y leyes establecidas que regulan la materia.

También permite realizar inventarios, revisar los mecanismos de control y gestión.

Además, del estado real de los activos informáticos como son: software, hardware y
conexiones.

En cuanto al hardware, se puede conocer qué tipo de procesador tiene las

computadoras, la memoria, service packs, capacidad de almacenamiento, particiones y
medios usados. Así mismo, conocer los periféricos conectados, tales como: servidores,
router, impresoras, ratón, teclados, micrófonos, cornetas, entre otros.

Tipos de auditoría de seguridad informática

Podemos encontrar dos clasificaciones si hablamos de tipos de auditoría de seguridad
informática. Si atendemos a quien la realiza encontramos dos variantes:
  Auditoría externa: la realiza personal ajeno a la organización.
 Auditoría interna: se encargan personas que trabajan directamente para la
empresa.

Auditoría según la funcionalidad a analizar

Si atendemos a la principal funcionalidad que se va a analizar, encontramos estos tipos
de auditoría de seguridad informática:

 Auditoría forense: se efectúa tras producirse algún incidente de ciberseguridad

con el objetivo de recuperar pruebas que evidencien las causas y a qué le ha
afectado.
 Auditoría web: se busca conocer las vulnerabilidades sobre los servicios web y
aplicaciones de la organización.
 Auditoría de redes: todos los dispositivos que se conectan a redes son
analizados para controlar su seguridad.
 Auditoría de código: este tipo de auditoría de seguridad informática se ejecuta
sobre aplicaciones y programas.
 Hacking ético: consiste en lanzar un test de intrusión tal y como haría un
atacante real. Es tarea del hacker ético.
 Auditoría física: tiene como objetivo proteger la zona perimetral para verificar
que todo funciona bien (cámaras, medidas de acceso…).
 Auditoría de vulnerabilidades: se buscan agujeros de seguridad informática y
en las contraseñas.