Auditoría informática

Una auditoría informática es un examen de los controles de gestión existentes en una infraestructura de tecnología de la información, de tal manera que se evalúa si los sistemas de información están salvaguardando los activos, manteniendo la integridad de los datos y operando efectivamente para alcanzar los objetivos de la organización. Los propósitos de una auditoría informática son evaluar el diseño y eficacia del sistema TIC, lo que incluye protocolos de eficiencia y seguridad, procesos de desarrollo y mecanismos de control y supervisión, entre otros.

Auditoria informatica

Qué es una auditoría informática

La auditoría informática (en inglés “Information Technology Audit” o “Information Systems Audit”), es un proceso que busca evaluar la efectividad de un sistema TIC (Tecnologías de la información y la comunicación), para salvaguardar la integridad de los datos de una empresa y hacer un correcto uso de los recursos e infraestructura, manteniendo un cumplimiento de las leyes reguladoras.

Las auditorías informáticas permiten detectar el uso que se da a los recursos informáticos y a la información de la organización, además de detectar qué factores son críticos y pueden afectar al correcto funcionamiento de los sistemas de información.

Aunque una auditoría informática puede realizarse conjuntamente con una auditoría de estados financieros, auditoría interna u otro compromiso de certificación, una auditoría informática es diferente de una auditoría de estados financieros, ya que el propósito de una auditoría financiera es evaluar si una organización está cumpliendo con las prácticas contables estándar, mientras que el propósito de una auditoría informática es evaluar el diseño y la eficacia del control interno del sistema informático.

Una auditoría informática es un examen de los sistemas de información, las entradas, salidas y procesamiento de los datos. Esto incluye, pero no se limita a, protocolos de eficiencia y seguridad, procesos de desarrollo y supervisión del sistema. De esta manera, la auditoría espera evaluar el riesgo de uno de los activos más valiosos de la empresa (su información) y establecer métodos para minimizar dichos riesgos.

La auditoría informática considera todos los peligros y controles potenciales en los sistemas de información. Se centra en cuestiones como operaciones, datos, integridad, aplicaciones de software, seguridad, privacidad, presupuestos y gastos, control de costes y productividad. Estos controles pueden ser de tres tipos: Controles preventivos, Controles de detección y Controles reactivos/correctivos.

La implementación de controles es necesaria pero no suficiente para proporcionar una seguridad adecuada de la información. Las personas responsables de la información deben valorar si los controles están instalados según lo previsto, si son efectivos o si se ha producido alguna brecha en la seguridad y, de ser así, qué acciones se pueden tomar para prevenir futuros incumplimientos. Estas consultas deben ser respondidas por observadores independientes e imparciales.

Respecto a los tipos de auditoría informática, hay dos tipos de auditores y auditorías: interna y externa. La auditoría interna es realizada por auditores internos corporativos, se hace de forma interna en la organización, sin recurrir a terceros, y frecuentemente suele formar parte de una auditoría interna contable. A menudo un auditor externo revisa los resultados de la auditoría interna de los sistemas de información. La auditoría externa de los sistemas de información es realizada por una empresa certificada de auditoría y con frecuencia forma parte de una auditoría externa completa. Para las auditorías externas, comúnmente se recurre a empresas que cuentan con expertos en ingenierías relacionadas con la informática y en derecho, personal cualificado que esté en condiciones de determinar si los sistemas empleados por la empresa son los adecuados para alcanzar los objetivos deseados y si cumplen con lo que exigen las normas legales.

En cuanto a los beneficios que se obtienen al realizar una auditoría informática, algunos son los siguientes: mejora la imagen de la empresa ante el público, se transmite confianza a los clientes y personal de la empresa, permite establecer estrategias que optimicen el uso de los recursos de la empresa, mejora el clima interno de la organización, permite detectar y evaluar posibles riesgos en TI, mejora la seguridad de los sistemas de información.

La función principal de una auditoría informática es evaluar si los sistemas son adecuados para proteger la información de una organización. La auditoría informática tiene como objetivo evaluar lo siguiente:

  • Disponibilidad: Evaluar si los sistemas informáticos de la organización estarán disponibles para el negocio en todo momento cuando sea necesario, para distribuir adecuadamente la información a las partes autorizadas.
  • Seguridad y confidencialidad: Evaluar la capacidad de la organización para proteger sus activos de información y asegurar que la información contenida en los sistemas será divulgada solamente a los usuarios autorizados.
  • Integridad: Evaluar si la información proporcionada por el sistema será siempre exacta, confiable y oportuna.

Dependiendo de la organización auditada, existen cuestiones emergentes que requieren nuevos tipos adicionales de auditorías para asegurarse de que los departamentos de informática están realizando ciertas funciones y controles apropiadamente para ser considerados conformes, tales como la auditoría de presencia web (en inglés “Web Presence Audit”) o la auditoría de los sistemas de comunicación de la empresa (en inglés “Enterprise Communications Audit”).

Artículos en la categoría "Recuperación de datos"

  1. Pérdida de datos
  2. Borrado de archivos
  3. Degradación de datos
  4. Crash informático
  5. Fallo de disco duro
  6. Corrupción de datos
  7. Malware
  8. Hacking
  9. Inseguridad informática
  10. Error de software (bug)
  11. Reinicio (reboot)
  12. Recuperación de datos del disco duro
  13. Recuperación ante desastres
  14. Recuperación de información
  15. Auditoría informática
  16. Auditoría de seguridad informática
  17. Replicación de datos
  18. Journaling
  19. Persistencia de datos
  20. Ataque de arranque en frío (cold boot attack)
  21. Informática forense
  22. Arquelogía de datos
  23. Era oscura digital (Digital Dark Age)
  24. Preservación digital
  25. Modo a prueba de fallos
  26. File carving
  27. Undelete
  28. Restaurar sistema
  29. Deshacer (Undo)
  30. Papelera de reciclaje
  31. Copia de seguridad (backup)
  32. Copia de seguridad remota
  33. Copia de seguridad en tiempo real
  34. Software para hacer copias de seguridad
  35. SAI (Sistema de Alimentación Ininterrumpida)
  36. Protector de sobretensiones
  37. Dispositivo de rescate
  38. Información sensible
  39. Información clasificada
  40. Borrado seguro
  41. Encriptación del disco duro
  42. Borrado de metadatos

Los comentarios están cerrados