Auditoria de Tecnologas y Sistemas de la

Informacin
Auditoria de Sistemas de Informacin
La auditora es un examen sistemtico e independiente del entorno de los sistemas de informacin para
determinar si se han cumplido o no los objetivos que se pretenden alcanzar. La auditora tambin se describe
como una bsqueda continua de cumplimiento.
El objetivo de la auditora de SI es identificar los riesgos a los que est expuesta una organizacin en el entorno
informtico. La auditora de SI evala la adecuacin de los controles de seguridad e informa a la gerencia con
las conclusiones y recomendaciones adecuadas.
La auditora de SI es un subconjunto independiente del ejercicio de auditora normal. La auditora de los
sistemas de informacin es un proceso continuo de evaluacin de los controles; Sugerir medidas de seguridad
con el propsito de salvaguardar activos / recursos, mantener la integridad de los datos, mejorar la eficacia del
sistema y la eficiencia del sistema con el propsito de alcanzar los objetivos de la organizacin. Una auditora
bien planificada y estructurada es esencial para la gestin de riesgos y la supervisin y control de los sistemas
de informacin en cualquier organizacin.
Los objetivos de realizar una auditora del sistema son los siguientes:
Comparar el rendimiento real y el planificado.
Verificar que los objetivos declarados del sistema siguen siendo vlidos en el entorno actual.
Evaluar el logro de los objetivos establecidos.
Garantizar la fiabilidad de la informacin financiera y de otro tipo basada en computadoras.
Para garantizar que todos los registros esten incluidos durante el procesamiento.
Para garantizar la proteccin contra fraudes.

Alcance de la Auditoria De TI
As como las Tecnologas de la Informacin es un rea muy extensa, as lo puede ser la auditoria. Se plantea
un proceso y estrategias orientadas a la identificacin de riesgos y controles en la gestin de las
tecnologas de la Informacin, para su efectivo apoyo al logro de los objetivos de las organizaciones.
La identificacin de riesgos nos sirve para determinar el nivel de exposicin de la organizacin al
inadecuado uso de los servicios que brinda la tecnologa de la informacin; pero adems permite gestionar
los riesgos, implementando controles que estn orientados a evitarlos, transferirlos, reducirlos o
asumirlos gerencialmente.

Para visualizar de forma ms precisa el alcance de la auditora, podemos dividirla en cuatro reas:
 Administracin de los recursos de TI: asegurar que la empresa utilice la tecnologa de informacin
bajo criterios de costo-beneficio, considerando las necesidades de automatizacin y adecuacin de
cambios del entorno en que se desenvuelve.
Seguridad Fsica y Seguridad de Informacin: garantizar que el ambiente en el que los sistemas
funcionan protege su confidencialidad, integridad y confiabilidad, la reduccin al mnimo del riesgo
de que ocurran daos o prdidas accidentales o intencionales a los equipos y datos.
Desarrollo y Mantenimiento de Sistemas de Informacin: garantizar la disponibilidad de los sistemas
(software aplicativo) cuando se necesiten, los desarrollos y mantenimientos se realicen bajo
estndares y prcticas de trabajo definidas y aprobadas, que se controle la integridad de los datos y
que satisfagan a los requerimientos y necesidades de los usuarios.
Continuidad de las operaciones: Reducir al mnimo la posibilidad de que ocurra un desastre total y
garantizar que el negocio pueda reanudar sus operaciones con efectividad en caso de que ya no se
disponga de las instalaciones de procesamiento existentes.

Tareas del proceso de auditoria de sistemas

Hay cinco tareas que abarcan el proceso de auditora de TI:
Desarrollar e implementar una estrategia de auditoria de TI basada en riesgos en conformidad
con los estndares de auditoria de TI para asegurar que las reas claves sean incluidas.
Planificar auditorias especficas para determinar si los sistemas de informacin estn protegidos,
controlados y suministran valor a la organizacin.
Realizar auditoras acordes a los estndares de auditoria de TI para alcanzar los objetivos
planificados de la auditoria.
Reportar los hallazgos de la auditoria y presentar recomendaciones a los actores claves para
comunicar los resultados y efectuar cambios cuando sea necesario.
Realizar seguimientos o preparar informes de estatus para asegurar que las apropiadas acciones
han sido tomadas por la gerencia en el momento adecuado.

Auditora del uso del sistema informtico

Los Auditores de procesamiento de datos auditan el uso del sistema informtico con el fin de controlarlo. El
auditor necesita datos de control que se obtiene por el propio sistema informtico.
El Auditor del Sistema
El papel del auditor comienza en la etapa inicial del desarrollo del sistema para que el sistema resultante sea
seguro. Describe una idea de la utilizacin del sistema que se puede grabar que ayuda en la planificacin de la
carga y decidir sobre las especificaciones de hardware y software. Da una indicacin del uso prudente del
sistema informtico y del posible uso indebido del sistema.

Prueba de auditora
Una prueba de auditora o un registro de auditora es un registro de seguridad que comprende a quin ha
accedido a un sistema informtico y qu operaciones se realizan durante un perodo de tiempo determinado.
Los ensayos de auditora se utilizan para realizar un seguimiento detallado de cmo han cambiado los datos
del sistema.
Proporciona pruebas documentales de varias tcnicas de control a las que est sujeta una transaccin durante
su procesamiento. Los ensayos de auditora no existen de forma independiente. Se llevan a cabo como parte
de la contabilidad para la recuperacin de transacciones perdidas.
 Mtodos de auditora
La auditora se puede hacer de dos maneras diferentes -
Auditora en torno a la computadora
Tome muestras de entradas y aplica manualmente las reglas de procesamiento.
Compara las salidas esperadas con las salidas de la computadora.
Auditora a travs de la computadora
Establecer un ensayo de auditora que permita examinar los resultados intermedios seleccionados.
El control total proporcionan comprobaciones intermedias.

Consideraciones de auditora
Las consideraciones de auditora examinan los resultados del anlisis utilizando tanto las narrativas como los
modelos para identificar los problemas causados por funciones extraviadas, procesos o funciones divididos,
flujos de datos rotos, datos perdidos, procesamiento redundante o incompleto y oportunidades de
automatizacin no adaptadas.
Las actividades en esta fase son las siguientes:
Identificacin de los problemas ambientales actuales
Identificacin de causas problemticas
Identificacin de soluciones alternativas
Evaluacin y anlisis de viabilidad de cada solucin
Seleccin y recomendacin de la solucin ms prctica y adecuada
Estimacin de costos del proyecto y anlisis costo-beneficio

Seguridad
La seguridad del sistema se refiere a la proteccin del sistema contra robo, acceso no autorizado y
modificaciones, y daos accidentales o no intencionales. En los sistemas computarizados, la seguridad implica
la proteccin de todas las partes del sistema informtico que incluye datos, software y hardware. La seguridad
de los sistemas incluye la privacidad del sistema y la integridad del sistema.
Privacidad del sistema se ocupa de la proteccin de los sistemas de individuos de ser accedido y
utilizado sin el permiso / conocimiento de las personas interesadas.
La integridad del sistema se refiere a la calidad y fiabilidad de los datos en bruto, as como procesados
en el sistema.

Medidas de control
Hay una variedad de medidas de control que pueden clasificarse de la siguiente manera:
Backup
Copia de seguridad peridica de bases de datos diarias / semanales dependiendo de la criticidad y el
tamao del tiempo.
 Incremental de respaldo a intervalos ms cortos.
Las copias de seguridad guardadas en lugares remotos seguros son particularmente necesarias para
la recuperacin de desastres.
Los sistemas duplicados se ejecutan y todas las transacciones se reflejan si es un sistema muy crtico
y no se puede tolerar ninguna interrupcin antes de almacenar en el disco.
Control de acceso fsico a las instalaciones
Bloqueos fsicos y autenticacin biomtrica. Por ejemplo, la huella dactilar
Las tarjetas de identificacin o pases de entrada son revisados por el personal de seguridad.
Identificacin de todas las personas que leen o modifican datos y registran en un archivo.
Uso de control lgico o de software
Sistema de contraseas.
Cifrar datos / programas confidenciales.
Capacitar a los empleados en el cuidado / manejo de los datos y la seguridad.
Software antivirus y proteccin de firewall mientras est conectado a Internet.

Anlisis de riesgo
Un riesgo es la posibilidad de perder algo de valor. El anlisis de riesgos comienza con la planificacin del
sistema seguro mediante la identificacin de la vulnerabilidad del sistema y el impacto de ste. El plan
entonces se hace para manejar el riesgo y hacer frente al desastre. Se hace para acceder a la probabilidad de
posible desastre y su costo.
El anlisis de riesgos es un trabajo en equipo de expertos con diferentes antecedentes como qumicos, errores
humanos y equipos de proceso.
Los siguientes pasos se deben seguir mientras se lleva a cabo el anlisis de riesgo:
Identificacin de todos los componentes del sistema informtico.
Identificacin de todas las amenazas y peligros que enfrenta cada uno de los componentes.
Cuantificar los riesgos, es decir, evaluar la prdida en caso de que las amenazas se conviertan en
realidad.
Anlisis de Riesgo - Pasos Principales
A medida que los riesgos o amenazas cambian y las prdidas potenciales tambin estn cambiando, la gestin
del riesgo debe ser realizada peridicamente por los gerentes senior.
La gestin del riesgo es un proceso continuo que implica los siguientes pasos:
Identificacin de medidas de seguridad.
Clculo del coste de aplicacin de las medidas de seguridad.
Comparacin del costo de las medidas de seguridad con la prdida y probabilidad de amenazas.
Seleccin e implementacin de medidas de seguridad.
Revisin de la aplicacin de las medidas de seguridad.