Auditora informtica

La Auditora Informtica es un proceso llevado a cabo El anlisis de la eciencia de los Sistemas Inform-
por profesionales especialmente capacitados para el efec- ticos
to, y que consiste en recoger, agrupar y evaluar evidencias
para determinar si un Sistema de Informacin salvaguar- La vericacin del cumplimiento de la Normativa en
da el activo empresarial, mantiene la integridad de los este mbito
datos ya que esta lleva a cabo ecazmente los nes de la La revisin de la ecaz gestin de los recursos infor-
organizacin, utiliza ecientemente los recursos, cumple mticos.
con las leyes y regulaciones establecidas.
Permiten detectar de Forma Sistemtica el uso de los re- Tambin existen otros tipos de auditora:
cursos y los ujos de informacin dentro de una Orga-
nizacin y determinar qu Informacin es crtica para el
Auditora operacional: se reere a la revisin de la
cumplimiento de su Misin y Objetivos, identicando ne-
operacin de una empresa y juzga la eciencia de la
cesidades, falsedades, costes, valor y barreras, que obsta-
misma.
culizan ujos de informacin ecientes. En si la auditora
informtica tiene 2 tipos las cuales son: Auditora administrativa: se reere a la organizacin
AUDITORIA INTERNA: Es aquella que se hace desde y eciencia de la estructura del personal con la que
dentro de la empresa; sin contratar a personas ajena, en el cuenta el personal y los procesos administrativos en
cual los empleados realizan esta auditora trabajan ya sea que acta dicho personal.
para la empresa que fueron contratados o simplemente
Auditora social: se reere a la revisin del entorno
algn aliado a esta.
social en que se ubica y desarrolla una empresa, con
AUDITORIA EXTERNA: Como su nombre lo dice es el n de valorar aspectos externos e internos que in-
aquella en la cual la empresa contrata a personas de afuera tereren en la productividad de la misma.
para que haga la auditora en su empresa. Auditar consis-
te principalmente en estudiar los mecanismos de control Sus benecios son:
que estn implantados en una empresa u organizacin,
determinando si los mismos son adecuados y cumplen
Mejora la imagen pblica.
unos determinados objetivos o estrategias, estableciendo
los cambios que se deberan realizar para la consecucin Conanza en los usuarios sobre la seguridad y con-
de los mismos. trol de los servicios de TI.
Los mecanismos de control pueden ser en el rea de
Optimiza las relaciones internas y del clima de tra-
Informtica son:
bajo.
Directivos Disminuye los costos de la mala calidad (reprocesos,
rechazos, reclamos, entre otros).
Preventivos
Genera un balance de los riesgos en TI.
Deteccin Realiza un control de la inversin en un entorno de
TI, a menudo impredecible.
Correctivos
La auditora informtica sirve para mejorar ciertas carac-
Recuperacin
tersticas en la empresa como:
Contigencia * Desempeo

Los mecanismos de control pueden ser directivos, pre- Fiabilidad

ventivos, de deteccin, correctivos o de recuperacin an-
te una contingencia. Ecacia

Los objetivos de la auditora Informtica son: Rentabilidad

1
2 3 REAS A AUDITAR EN INFORMTICA

Seguridad Auditora de la seguridad lgica: Comprende los

mtodos de autenticacin de los sistemas de infor-
Privacidad macin.

Generalmente se puede desarrollar en alguna o combi- Auditora de las comunicaciones. Se reere a la

nacin de las siguientes reas: auditora de los procesos de autenticacin en los sis-
temas de comunicacin.
* Gobierno corporativo
Auditora de la seguridad en produccin: Frente
Administracin del Ciclo de vida de los sistemas a errores, accidentes y fraudes.

Servicios de Entrega y Soporte

Importancia de la Auditora Informtica ahora
Proteccin y Seguridad La auditora permite a travs de una revisin indepen-
Planes de continuidad y Recuperacin de desastres diente, la evaluacin de actividades, funciones espec-
cas, resultados u operaciones de una organizacin, con
el n de evaluar su correcta realizacin. Este autor hace
La necesidad de contar con lineamientos y herramientas
nfasis en la revisin independiente, debido a que el au-
estndar para el ejercicio de la auditora informtica ha
ditor debe mantener independencia mental, profesional y
promovido la creacin y desarrollo de mejores prcticas
laboral para evitar cualquier tipo de inuencia en los re-
como COBIT, COSO e ITIL.
sultados de la misma.
Actualmente la certicacin de ISACA para ser CISA
la tcnica de la auditora, siendo por tanto aceptables
Certied Information Systems Auditor es una de las ms
equipos multidisciplinarios formados por titulados en In-
reconocidas y avaladas por los estndares internaciona-
geniera Informtica e Ingeniera Tcnica en Informtica
les ya que el proceso de seleccin consta de un examen
y licenciados en derecho especializados en el mundo de
inicial bastante extenso y la necesidad de mantenerse ac-
la auditora.
tualizado acumulando horas (puntos) para no perder la
certicacin.

2 Principales pruebas y herra-

1 Tipos de Auditora Informtica mientas para efectuar una audi-
tora informtica
Dentro de la auditora informtica destacan los siguientes
tipos (entre otros):
En la realizacin de una auditora informtica el auditor
puede realizar las siguientes pruebas:
Auditora de la gestin: la contratacin de bienes
y servicios, documentacin de los programas, etc.
Pruebas sustantivas: Verican el grado de cona-
Auditora legal del Reglamento de Proteccin de bilidad del SI del organismo. Se suelen obtener me-
Datos: Cumplimiento legal de las medidas de segu- diante observacin, clculos, muestreos, entrevistas,
ridad exigidas por el Reglamento de desarrollo de la tcnicas de examen analtico, revisiones y concilia-
Ley Orgnica de Proteccin de Datos. ciones. Verican asimismo la exactitud, integridad
y validez de la informacin.
Auditora de los datos: Clasicacin de los datos,
estudio de las aplicaciones y anlisis de los ujogra- Pruebas de cumplimiento: Verican el grado de
mas. cumplimiento de lo revelado mediante el anlisis de
la muestra. Proporciona evidencias de que los con-
Auditora de las bases de datos: Controles de ac- troles claves existen y que son aplicables efectiva y
ceso, de actualizacin, de integridad y calidad de los uniformemente.
datos.
Auditora de la seguridad: Referidos a datos e
informacin vericando disponibilidad, integridad, 3 reas a auditar en informtica
condencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la Las reas a auditar en donde se puede realizar la auditora
ubicacin de la organizacin, evitando ubicaciones informtica, puede ser:
de riesgo, y en algunos casos no revelando la situa-
cin fsica de esta. Tambin est referida a las pro- A toda la entidad
tecciones externas (arcos de seguridad, CCTV, vi-
gilantes, etc.) y protecciones del entorno.
4.2 Magerit - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin 3

A una funcin establecer la estrategia de seguridad una vez que se realice

A una subfuncion
Se pueden aplicar los siguientes tipos de auditora:
Auditora al ciclo de vida del desarrollo de un
sistema
Auditora a un sistema en operacin
Auditora a controles generales (gestin)
Auditora a la administracin de la funcin in-
formtica
Auditora a microcomputadoras aisladas
Auditora a redes
Las principales herramientas de las que dispone un audi-
tor informtico son:
Observacin
Realizacin de cuestionarios
dicha evaluacin, y es precisamente lo interesante de esta
metodologa que la evaluacin se basa en el conocimiento
del personal de la empresa para capturar el estado actual
de la seguridad. De esta manera es ms fcil determinar
los riesgos crticos.
A diferencia de las evaluaciones tpicas enfocadas en la
tecnologa, OCTAVE est dirigida a riesgos organizacio-
nales y est enfocada en temas estratgicos relacionados
con la prctica, es exible y puede aplicarse a la medida
para la mayora de las organizaciones.[1]
En esta revisin es necesario que las empresas manejen el
proceso de la evaluacin y tomen las decisiones para pro-
teger la informacin. El equipo de anlisis, integrado por
personas de los departamentos de TI, de negocios, etc,
lleva a cabo la evaluacin, debido a que todas las perspec-
tivas son cruciales para controlar los riesgos de seguridad
computacional.
4.2 Magerit - Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de
Informacin

Entrevistas a auditados y no auditados La metodologa Magerit fue desarrollada en Espaa de-

bido al rpido crecimiento de las tecnologas de infor-
Muestreo estadstico macin con la nalidad de hacerle frente a los diversos
riesgos relacionados con la seguridad informtica.
Flujogramas
La CSAE (Consejo Superior de Administracin Electr-
Listas de chequeo nica) promueve la utilizacin de esta metodologa como
respuesta a la creciente dependencia de las empresas para
Mapas conceptuales lograr sus objetivos de servicio.
Las fases que contempla el modelo MAGERIT son:
4 Metodologas para Auditora In- 1. Planicacin del Proyecto.- establece el marco general
de referencia para el proyecto.
formtica
2. Anlisis de Riesgos.- permite determinar cmo es,
cunto vale y cmo estn protegidos los activos.
La auditora informtica es una parte fundamental de
la Seguridad Computacional que permite medir y con- 3. Gestin de Riesgos.- permite la seleccin e implan-
trolar riesgos informticos que pueden ser aprovechados tacin de salvaguardas para conocer, prevenir, impedir,
por personas o sistemas ajenos a nuestra organizacin o reducir o controlar los riesgos identicados.
que no deben tener acceso a nuestros datos. Al aplicar esta metodologa se conocer el nivel de riesgo
En este sentido, identicar los riesgos de manera oportu- actual de los activos, y por lo tanto se podr mejorar las
na ayudar a implementar de manera preventiva, las me- aplicaciones de salvaguardas y se podr conocer el riesgo
didas de seguridad. Para facilitar esta actividad, existen reducido o residual.
diferentes metodologas que ayudan en el proceso de re- La razn de ser de MAGERIT est directamente relacio-
visin de riesgos informticos. Dos de las ms utilizadasnada con la generalizacin del uso de los medios electr-
son Octave y Magerit. nicos, informticos y telemticos, que supone unos be-
necios evidentes para los ciudadanos, pero que tambin
da lugar a ciertos riesgos que deben minimizarse con me-
4.1 Octave
didas de seguridad que garanticen la autenticacin, con-
La metodologa Octave es una evaluacin que se basa en dencialidad, integridad y disponibilidad de los sistemas
riesgos y planeacin tcnica de seguridad computacional. de informacin
[2]
y generan conanza cuando se utilicen ta-
Es un proceso interno de la organizacin, signica que les medios.
las personas de la empresa tienen la responsabilidad de Inclusive, se ha desarrollado software como Pilar basado
4 5 REFERENCIAS

en la metodologa de Magerit.

5 Referencias
[1] Gmez Ramrez, Victor Manuel (2014). Evaluacin de
la seguridad de la informacin con la metodologa Octa-
ve. Institucin Universitaria Pascual Bravo.

[2] Lucero Gmez, Antonio Jos (2012). Anlisis y gestin

de riesgos utilizando la metodologa Magerit. Universi-
dad de Cuenca.
 5

6 Origen del texto y las imgenes, colaboradores y licencias

6.1 Texto
Auditora informtica Fuente: https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica?oldid=96359499 Colaboradores:
Tano4595, Superzerocool, BOT-Superzerocool, Filipo, CEM-bot, Gabriel Acquistapace, Dou1985, Dorieo, Robertoe, Aalvarez12, Xosema,
Humberto, Eduardo23m, Fixertool, AchedDamiman, Javier NF-LEG, Matdrodes, Aelo, Muro Bot, Mel 23, Tirithel, Farisori, Eduardosalg,
Epch000, MastiBot, LordboT, Jcallacna, Jordav, Jkbw, Surfaz, Botarel, Kraixx, AnselmiJuan, Angelito7, Kpichi, JackieBot, Waka Waka,
DragShot, KLBot2, DerKrieger, Acratta, Jacinto.canales, Marcenikkix, KillerLM, Jrosashe, Panian Pazn y Annimos: 68

6.2 Imgenes
Archivo:Commons-emblem-issue.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/b/bc/Commons-emblem-issue.svg
Licencia: GPL Colaboradores: File:Gnome-emblem-important.svg Artista original: GNOME icon artists and User:ViperSnake151

6.3 Licencia del contenido

Creative Commons Attribution-Share Alike 3.0