AUDITORIA INFORMATICA Y DE SISTEMAS

IMPORTANCIA DE LA AUDITORA INFORMTICA

Entre los puntos clave que reflejan la importancia de la auditora informtica, destacamos los siguientes: La alta sistematizacin de las organizaciones Nuevas tecnologas Automatizacin de los controles Integracin de la informacin Importancia de la informacin para la toma de decisiones

Conceptos de Auditora Informtica

Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos (humanos, financieros, tecnolgicos, etc.) relacionados con la funcin de informtica para garantizar al negocio que dicho conjunto opera con criterio de integracin y desempeo de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.

 El conjunto de acciones que realiza el personal especializado en las reas de auditora y de informtica para el aseguramiento continuo de que todos los recursos de informtica operen en un ambiente de seguridad y control eficiente, con la finalidad de proporcionar a la alta direccin o niveles ejecutivos, la certeza de que la informacin que pasa por el rea se maneja con los conceptos bsicos de integridad, totalidad, exactitud, confiabilidad, etc.

 La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalaciones, con el objeto de evaluar su efectividad y presentar recomendaciones a la gerencia.

Cul es el objetivo de la Auditora Informtica?

El objetivo fundamental de la Auditora Informtica es asesorar a los diferentes niveles de la Administracin de la empresa en el cumplimiento efectivo de sus responsabilidades, facilitndoles anlisis, apreciaciones, comentarios y recomendaciones relacionados con las actividades del procesamiento de la informacin en el computador.

OTROS ASPECTOS
EFECTIVIDAD.- Es el logro de las metas establecidas despus de considerar las alternativas. EFICIENCIA.- Es el logro de las metas con el menor costo posible. Los costos se expresan en trminos de recursos. ECONOMA.- Consiste en eliminar todo desperdicio, extravagancia y duplicacin.

Definicin de Auditoria Informtica.

Actividad profesional del auditor enfocada a la evaluacin de la informacin automatizada (informtica) y los sistemas de procesamiento de datos (en trminos de eficiencia, efectividad y economa).

Enfoques de Auditoria Informtica (auditoria con y en informtica).

Auditora EN Informtica: Evala el desempeo (eficiencia, efectividad) y la seguridad de los sistemas de informacin computarizada de una organizacin, en todo o en parte. Por ejemplo, auditar: Desarrollo de software Produccin de software Conectividad y redes Seguridad informtica Base de datos Hardware rea de informtica

Auditora CON Informtica:

Es utilizar la informtica como herramienta para la ejecucin de labores de auditora (financiera, de gestin u otras).

Organismo Regulador de Auditora Informtica.

ISACA (Information Systems Audit and Control Association - Asociacin de Auditora y Control de Sistemas de Informacin )

Certificaciones Otorgadas
ISACA mantiene el programa de certificacin CISA que es reconocida en forma global y ha sido obtenida por ms de 30.000 profesionales alrededor del mundo. De otro lado, su nueva certificacin CISM (Certified Information Security Manager - Gerente Certificado de Seguridad de Informacin) se concentra exclusivamente en el sector de gerencia de seguridad de la informacin.

CISA:

Auditor Informacin.

Certificado

de

Sistemas

de

Auditor Certificado de Sistemas de Informacin(CISA)

Es la principal certificacin de ISACA. Desde 1978 el examen CISA ha medido la excelencia en el rea de la auditoria de los sistemas de la informacin. CISA es actualmente una certificacin reconocida y aceptada en todo el mundo como smbolo de excelencia.

 La certificacin CISA ha sido obtenida por ms de 35,000 profesionales en todo el mundo, obtener una certificacin de esta naturaleza facilita asegurar una reputacin positiva como profesional calificado en el mbito de auditora y control de los sistemas de informacin.

Requisitos para la certificacin CISA:

Aprobar el examen de Certificacin CISA Experiencia en auditora, control y/o seguridad de Sistemas de Informacin (5 aos, algunos pueden ser sustituidos por experiencia/formacin equivalente) Adherirse al Cdigo de tica Profesional. Adherirse al programa de educacin profesional continua. Cumplir con los estndares de la Auditora de Sistemas de Informacin . Completar el formulario de solicitud de certificacin CISA .

CERTIFICACIN CISM
La certificacin CISM - Certified Information Security Manager ha sido desarrollada especficamente para administradores experimentados de seguridad de la informacin y para aquellos que poseen responsabilidades de seguridad de la informacin.

 La certificacin CISM es para aquellos individuos que gerencian, disean, supervisan o evalan la seguridad de la informacin en una organizacin. La certificacin CISM promociona el uso de prcticas internacionales y provee a la gerencia ejecutiva el aseguramiento de que los profesionales que poseen la certificacin, poseen la experiencia y el conocimiento requeridos para proveer servicios efectivos de seguridad. Los individuos que obtienen la certificacin CISM pasan a formar parte de una red selecta de pares.

 Al momento, el nmero de profesionales que ha obtenido la certificacin CISM supera los 7,000 a nivel mundial.
Asimismo el programa de certificacin CISM define las funciones globales del puesto de un administrador de seguridad de la informacin, siendo por tanto un mtodo idneo para medir el desempeo de la funcin actual en la organizacin o bien compararla con nuevos proyectos de incorporacin de personal.

Requisitos para la certificacin CISM

Aprobar el examen de Certificacin CISM. Experiencia en el campo de Seguridad de la Informacin (5 aos, algunos pueden ser sustituidos por experiencia/formacin equivalente). Adherirse al Cdigo de tica Profesional. Adherirse al programa de educacin profesional continua. Completar el formulario de solicitud de certificacin CISM.

El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.

El concepto de auditora es mucho ms que esto. La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or.

El diccionario Espaol lo define como: Revisor de Cuentas colegiado. En un principio esta definicin carece de la explicacin del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

De todo esto sacamos como deduccin que:

La auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.

Qu es eficiencia?

Podemos definir la eficiencia como la relacin entre los recursos utilizados en un proyecto y los logros conseguidos con el mismo.
Se entiende que la eficiencia se da cuando se utilizan menos recursos para lograr un mismo objetivo. O al contrario, cuando se logran ms objetivos con los mismos o menos recursos

Se es eficiente cuando en 12 horas de trabajo se hacen 100 unidades de un determinado producto. Ahora, se mejora la eficiencia si esas 100 unidades se hacen en slo 10 horas. O se aumenta a eficiencia si en 10 horas se hacen 120 unidades. Aqu vemos que se hace un uso eficiente de un recurso (tiempo), y se logra un objetivo (hacer 100 o 120 productos)

Qu es Eficacia?

Respecto a la eficacia, podemos definirla como el nivel de consecucin de metas y objetivos. La eficacia hace referencia a nuestra capacidad para lograr lo que nos proponemos. Ejemplo: se es eficaz si nos hemos propuesto construir un edificio en un mes y lo logramos. Fuimos eficaces, alcanzamos la meta.

La eficacia difiere de la eficiencia en el sentido que la eficiencia hace referencia en la mejor utilizacin de los recursos, en tanto que la eficacia hace referencia en la capacidad para alcanzar un objetivo, aunque en el proceso no se haya hecho el mejor uso de los recursos.

Podemos ser eficientes sin ser eficaces y podemos ser eficaces sin ser eficientes. Lo ideal sera ser eficaces y a la vez ser eficientes.

El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin.

para la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida y eficiente con el fin de obtener beneficios econmicos y reduccin de costos.

al igual que los dems rganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditora Informtica de Seguridad. Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditora Informtica de Datos.

Un Sistema Informtico mal diseado puede convertirse en una herramienta bastante peligrosa para la empresa. como las mquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados.