2. ¿Qué es auditoria?
“Auditoría es la acumulación y evaluación de la
evidencia basada en información para determinar y
reportar sobre el grado de correspondencia entre la
información y los criterios establecidos. La auditoría
debe realizarla una persona independiente y
competente.”(Arens, 2007)
3. ¿Qué es auditoria de sistemas?
La auditoría de sistemas es la parte de la auditoría interna
que se encarga de llevar a cabo la evaluación de normas,
controles, técnicas y procedimientos que se tienen
establecidos en una empresa para lograr confiabilidad,
oportunidad, seguridad y confidencialidad de la
información que se procesa a través de computadoras.
4. Importancia de la auditoría de sistemas
Se realiza un análisis a toda la infraestructura de
los recursos IT de la compañía. Esto nos permite
conocer el estado de la seguridad actual y así
eliminar las vulnerabilidades y elevar el nivel de
protección de los recursos informáticos.
5. Función de una unidad de auditoría
Se encarga de la evaluación de todos aquellos aspectos relacionados
con los recursos informáticos de la organización como son software,
hardware, talento humano, funciones y procedimientos, enfocados
todos ellos desde el punto de vista administrativo, técnico y de
seguridad; y propende por prevenir a la empresa de aquellos riesgos
originados por omisiones, errores, violaciones, actos mal
intencionados, desastres naturales, etc., asesorando y
proporcionando recomendaciones y sugerencias a nivel directivo
para lograr un adecuado control interno en la empresa.
6. Perfil del Auditor de Sistemas
Para poder desempeñar adecuadamente la función de
auditoría de sistemas, el auditor debe ser un profesional
integro, poseedor de excelentes capacidades académicas,
éticas y morales, tener conocimiento suficiente y
experiencia en aspectos informáticos a nivel de hardware,
software, comunicaciones, en análisis, diseño, puesta en
marcha y mantenimiento de sistemas de información.
7. Conocimientos requeridos para hacer
una auditoría informática
•Sistemas informáticos
•Seguridad de la información
•Análisis forense digital
•Tecnologías emergentes
8. Sistemas informáticos
Comprender los principios y conceptos
fundamentales de los sistemas operativos,
arquitectura de computadoras, redes y
aplicaciones de software.
9. Seguridad de la información
Conocer los fundamentos de la seguridad de la
información, incluyendo la gestión de riesgos,
controles de acceso, encriptación, protección contra
malware y técnicas de prevención de intrusiones.
Además de evaluar la eficiencia de las políticas de
seguridad.
10. Análisis forense digital
Estar familiarizado con las técnicas de análisis
forense digital para investigar y recopilar
evidencia en casos de incidentes de seguridad,
análisis de riesgos, fraudes o violaciones de
datos.
11. Tecnologías emergentes
Mantenerse al tanto de las tecnologías
emergentes como la nube, el internet de las
cosas, la inteligencia artificial y el aprendizaje
automático, ya que estas pueden tener
implicaciones en la seguridad de la información
y los riesgos asociados.
13. Auditoría interna
Esta se realiza desde el ambiente interno de la
organización, sin empleados ajenos a la misma, ya
sea por empleados que fueron directamente
contratados o alguna subsidiaria a esta y la entidad
tiene el poder de decisión sobre el proceso llevado a
cabo para realizarla.
14. Auditoría externa
Esta se realiza por personal ajeno a la
empresa, y la organización no tiene poder de
decisión sobre el proceso llevado a cabo
por el ente que audita.
15. Pruebas y herramientas para efectuar
una auditoría informática
•Pruebas sustantivas
•Pruebas de cumplimiento
16. Pruebas sustantivas
Esta se encargan de verificar el grado de confiabilidad
del sistema operativo del organismo. Se suelen obtener
mediante observación, cálculos, muestreos, entrevistas,
técnicas de examen analítico, revisiones y
conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la información.
17. Pruebas de cumplimiento
Esta se encarga de verificar el grado de
cumplimiento de lo revelado mediante el
análisis de la muestra. Proporciona evidencias
de que los controles claves existen y que son
aplicables efectiva y uniformemente.
18. Ventajas de una auditoría informática
• Nos ayuda a mejorar el uso de los recursos.
• Actualiza las políticas actuales de seguridad de la organización.
• Reduce riesgos al eliminar las vulnerabilidades efectivamente.
• Nos permite optimizar los recursos informáticos de la compañía.
• Permite que se tomen acciones antes de que se vulnere la seguridad de los sistemas
informáticos.
• Nos ayuda a evitar que la empresa tenga que incurrir en multas o infracciones por
incumplimiento de medidas de seguridad.
• Con una auditoria se puede marcar un camino claro de actuación, en caso de sufrir un
incidente de seguridad.