Descubre el Alcance de la Auditoría Informática: Ejemplos Clave y Metodologías Infaliblespost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Alcance de la Auditoría Informática: Ejemplos y Metodología

Desde los orígenes de la humanidad siempre ha existido la necesidad de contabilizar y administrar los recursos disponibles. Se tienen evidencias descubiertas por arqueólogos que comprueban, como en la antigua Grecia realizaban listas que reflejaban con tildes, puntos y círculos la disponibilidad y los movimientos de mercancías, finanzas y alimentos. Siglos después la metodología fue mejorando hasta nuestros días, donde se le conoce con el nombre de auditoría, existiendo diferentes modalidades, pero siempre con el mismo fin.

Importancia de la Auditoría Informática

La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. Los avances tecnológicos en informática y computación están en continua mejora. Condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores. También permite realizar inventarios, revisar los mecanismos de control y gestión.

Definición del Alcance de la Auditoría

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir, cuáles materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben aparecer al comienzo del informe final. Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos específicos, éstos se añadirán a los objetivos generales y comunes de toda auditoría informática: la operatividad de los sistemas y los controles generales de gestión informática.

Metodología de la Auditoría Informática

Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría. Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto el auditor deberá fijarse en:

Análisis de la Organización

  • Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.
  • Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
  • Relaciones jerárquicas y funcionales entre órganos de la organización: El equipo auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas por el organigrama, o por el contrario, detectará, por ejemplo, si algún empleado tiene dos jefes. Las jerárquicas implican la correspondiente subordinación; las funcionales, por el contrario, indican relaciones no estrictamente subordinables.
  • Número de puestos de trabajo: El equipo auditor comprobará que los nombres de los puestos de trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.
  • Número de personas por puesto de trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

Análisis del Entorno Informático

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

Lea también: Profundidad de la Auditoría

  • Situación geográfica de los sistemas: Se determinará la ubicación geográfica de los distintos centros de proceso de datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.
  • Arquitectura y configuración de hardware y software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.
  • Inventario de hardware y software: El auditor recabará información escrita, en donde muestran todos los elementos físicos y lógicos de la instalación. En cuanto a hardware, incluirá las CPU, unidades de control local y remoto, periféricos de todo tipo, etcétera. El inventario de software debe contener todos los productos lógicos del sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.
  • Comunicación y redes de comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las redes locales de la empresa.

Procesos Informáticos

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada.

  • Metodología del diseño: Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones.
  • Documentación: La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
  • Cantidad y complejidad: El auditor recabará información de tamaño y características de las bases de datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática. Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente.

Herramientas Utilizadas

  • Hardware: Los procesos de control deben efectuarse necesariamente en las computadoras del auditado.
  • Software: Programas propios de la auditoría. Son muy potentes y flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.

Fases de la Auditoría

En general, la auditoría moderna es un proceso metódico y como tal tiene un esquema de progreso común a todos los proyectos. Este esquema es lo suficientemente general como para que pueda ser adoptado por cualquier empresa de servicios de auditoría que trabaje bajo la filosofía del proyecto. Además, tiene la ventaja de que permite al comprador público un seguimiento sencillo de la actividad auditora.

  • Planificación: La fase de planificación comienza por una evaluación de los problemas y/o resistencias que se hayan podido encontrar en la toma de contacto. El primer resultado de esta fase es la enunciación de los objetivos y alcance de la auditoría, que será recogido en un documento formal denominado plan de auditoría. Se puede limitar el alcance del proceso auditor por razones como indisponibilidad de recursos, cercanía a otros procesos auditores o imposibilidad de perturbar en un momento crítico una determinada área.
  • Captación de Información: Ésta es la fase de captación de información. Para evitar en lo posible que la información se vea empañada por las opiniones personales del auditor, éste posee una serie de herramientas para sistematizar el proceso de observación.
  • Análisis de datos y Desarrollo del informe: Cuando se ha terminado la recopilación de datos se procede al análisis de los mismos, con el fin de efectuar la identificación de los puntos débiles y los fuertes. El trabajo de desarrollo será recogido en un documento formal denominado informe de auditoría.
  • Presentación de Conclusiones: La presentación de conclusiones es un proceso a realizar en pasos sucesivos, de menor a mayor alcance. Primeramente se efectuarán rondas por áreas, informando de las conclusiones provisionales a las personas afectadas, de forma que puedan dar su opinión y que ésta se vea reflejada en la conclusión final.
  • Plan de acciones correctivas y Seguimiento: El responsable del área auditada deberá preparar un plan de acciones correctivas que presentará al auditor en un plazo no superior a 15 días tras la presentación del informe. El auditor realizará el seguimiento de las acciones correctivas abiertas hasta su resolución final con el objeto de verificar que se han tomado las medidas oportunas para corregir las desviaciones detectadas.

Herramientas de Recolección de Información

  • Cuestionarios: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidadosos en su fondo y su forma.
  • Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Ejemplos de Alcance en la Auditoría Informática

El alcance de una auditoría informática puede variar significativamente dependiendo de los objetivos y las necesidades de la organización. A continuación, se presentan algunos ejemplos:

Área Alcance Excepciones
Seguridad de la Red Evaluación de firewalls, sistemas de detección de intrusos, políticas de acceso y seguridad inalámbrica. No incluye pruebas de penetración externas sin autorización expresa.
Gestión de Datos Revisión de políticas de backup y recuperación, seguridad de bases de datos y cumplimiento normativo (ej. GDPR). No cubre datos archivados con más de 5 años de antigüedad.
Desarrollo de Software Análisis de metodologías de desarrollo, control de versiones, pruebas de seguridad y calidad del código. No incluye software de terceros sin acceso al código fuente.
Infraestructura de Hardware Inventario, configuración, rendimiento y seguridad física de servidores, estaciones de trabajo y dispositivos de red. No cubre equipos en desuso o fuera de producción.

Lea también: Auditoría Operacional: Alcance y Desarrollo

Lea también: Detalles del Alcance de la Auditoría Interna

tags: #alcance #auditoria #informatica #ejemplos