Auditoría de un Sistema Operativo: Pasos Clave para Proteger tus Datos de Forma Efectivapost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Auditoría de un Sistema Operativo: Pasos Clave para la Protección de Datos

Una auditoría de sistemas puede definirse como cualquier inspección que abarque la revisión y evaluación de sistemas de información, y sus recursos relacionados, con el fin de determinar si se cuenta con controles internos que provean una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados, al mismo tiempo que los riesgos serán evitados, detectados y/o corregidos de forma oportuna.

Objetivos de una Auditoría de Sistemas Informáticos

Muy a menudo, los objetivos de una auditoría de sistemas informáticos se concentran en corroborar que los controles internos existen y funcionen como se espera para minimizar el riesgo. Los objetivos de auditoría de sistemas también incluyen asegurar el cumplimiento de los requisitos regulatorios y de normativa interna, así como la confidencialidad, integridad y disponibilidad de la información.

Estrategias de la Auditoría de Sistemas

Al desarrollar una estrategia de auditoría de sistemas se debe considerar el tipo de pruebas a realizar (pruebas de cumplimiento o sustantivas) y las técnicas de recopilación de evidencia a utilizar durante el proceso de auditoría.

Pruebas de Cumplimiento vs. Pruebas Sustantivas

¿Cuál es la diferencia entre pruebas de cumplimiento y pruebas sustantivas? Las pruebas de cumplimiento determinan si los controles están siendo aplicados conforme a las políticas y los procedimientos de la organización. Por otro lado, las pruebas sustantivas consisten en la recopilación de evidencia para evaluar la integridad de las transacciones, datos individuales y otra información.

Las pruebas de cumplimiento se pueden ejemplificar cuando una organización tiene un procedimiento de control que establece que todos los cambios de la aplicación deben pasar por la autorización de un control de cambios. Como auditor (a) de sistemas informáticos, se puede tomar el control de versiones del aplicativo en ejecución y luego verificar que la documentación de control de cambios relacionada cuenta con las autorizaciones correspondientes.

Lea también: Auditoría de Calidad: Ejemplo y Guía

Para pruebas sustantivas, un(a) auditor(a) de sistemas informáticos haría un inventario físico y lo compararía con el inventario registrado y reportado por el área de TI, con el objetivo de validar la integridad que la información registrada, es decir revisa que los datos de los activos registrados estén completos y libres de errores.

Obtención de Evidencia

Cuando se trata de obtener evidencia que permita auditar y presentar un informe, se considera:

  • Revisar la documentación disponible (políticas, procedimientos, estándares y estructuras).
  • Entrevistar al personal apropiado.
  • Observar los procesos y el desempeño de los empleados, mediante recorridos.
  • Realizar pruebas técnicas a los controles y sus resultados.

En el proceso de recopilación de evidencias, la observación y documentación de lo que hace realmente un individuo frente a lo que se supone que debe hacer puede proporcionar pruebas valiosas al equipo auditor. Además, realizar una inspección física o virtual puede brindar información importante sobre cómo se realiza una función en particular e inclusive observar el grado de concientización del personal en materia de seguridad de la información.

Planificación de la Auditoría de TI

La planificación de la auditoría de TI implica dos pasos principales. El primer paso de la auditoría de TI es realizar un entendimiento del negocio y del entorno general bajo revisión, recopilando información; el segundo consiste en realizar o reutilizar los análisis de riesgos existentes en la organización para cerciorarse de que se mantenga el rumbo hacia los objetivos. Cada vez son más las organizaciones que se están moviendo hacia un enfoque de auditoría basado en riesgos, lo cual ayuda a un(a) auditor(a) de sistemas informáticos a planificar y priorizar la revisión sobre las áreas o temas que representan mayor riesgo para la organización.

En un enfoque basado en el riesgo, los auditores y auditoras de sistemas informáticos se basan en los controles internos y operativos, así como en el conocimiento de la empresa o el negocio. Este tipo de enfoque ayuda a identificar los controles clave a ser evaluados y, por ende, determinar las pruebas de cumplimiento y sustantivas a ser ejecutadas.

Lea también: Auditoría y las Líneas de Defensa

Entendimiento del Negocio

Al realizar el entendimiento del negocio, el equipo de auditoría de TI debería al menos, identificar los siguientes elementos:

  • Misión, objetivos y principales procesos del negocio.
  • Cambios en el entorno de negocio y la industria.
  • Resultados de las auditorías anteriores.
  • Leyes y regulaciones aplicables.
  • Marco de control interno (políticas, procedimientos, estructuras).
  • Evaluaciones de riesgos inherentes.
  • Tipo de sistemas de información y tecnología que soportan los procesos de negocio.

Proceso de Auditoría Informática

Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría.

  1. Alineación y Calendario: Se debe alinear con las partes interesadas y ser aprobado por la alta dirección, planteando un calendario de auditorías. Una auditoría que está bien alineada con un programa y un calendario permite destinar los recursos humanos suficientes para atender todas las actividades y considerar el tiempo necesario para ejecutarla.
  2. Planificación del Proceso: Una cosa es planificar el programa de la auditoría y otra la planificación del proceso.
  3. Verificación del Plan: Una vez que se conforma el equipo de auditores, es necesario que, entre todos, se verifique la eficacia del plan de la auditoría propuesta.
  4. Generación de Informes: La auditoría no está completa hasta que no se generen los informes. La calidad de estos reflejará el nivel del trabajo que se ha hecho durante la revisión interna.
  5. Seguimiento de Mejoras: Uno de los objetivos principales de realizar una auditoría interna es encontrar oportunidades para mejorar el sistema. Por esto, este último paso es esencial. El seguimiento de las mejoras asegurará el valor de la auditoría interna completa.

Importancia de las Auditorías Periódicas

Dado que el área de TI juega un papel fundamental para las organizaciones, la realización de auditorías periódicas se ha vuelto necesario como parte de las acciones de seguridad informática. Como ya se revisó, las auditorías de TI evalúan los sistemas de información de una entidad y las medidas de protección con las que se cuentan para crear una estructura sólida de seguridad. Estas auditorías periódicas buscan revisar la variedad de recursos, como el uso de software, servicios web, sistemas operativos, sistemas de seguridad, redes y los aplicativos con los que se cuenten.

La principal motivación de las auditorías de TI es lograr la identificación y la evaluación de los riesgos en una empresa. Por lo general, se busca encontrar los riesgos relacionados con la integridad, la confidencialidad, la disponibilidad de la infraestructura y la seguridad informática. Una vez evaluados los riesgos, el equipo de TI tendrá una visión clara sobre qué curso de acción deben tomar para eliminar, reducir o prepararse ante esos riesgos como parte del entorno de trabajo mediante el uso de controles.

Auditoría de Seguridad Informática

La auditoría de seguridad informática es un procedimiento que consiste en realizar un examen exhaustivo de los sistemas informáticos, redes y prácticas de la empresa, para poder evaluar el nivel de seguridad con el que contamos, así como para identificar las vulnerabilidades, encontrar posibles riesgos y comprobar si se están cumpliendo las políticas de seguridad.

Lea también: Auditorías Ambientales: Una Guía

Informe y Recomendaciones

La etapa final de la auditoría es entregar un informe detallado sobre el proceso realizado, observaciones, recomendaciones y un plan de acción. Una empresa que realiza una auditoría de seguridad informática está protegiendo su información, su infraestructura y a sus clientes.

Después de reunir toda la evidencia, el auditor o auditora de sistemas informáticos la revisará para determinar si las operaciones auditadas están bien controladas y son efectivas. En este punto es donde el equipo auditor aporta su visión objetiva y experiencia para identificar oportunidades de mejora. Por ejemplo, se puede encontrar una debilidad en un área que se compense con un control muy fuerte en otra área adyacente. Es su responsabilidad como auditor de sistemas informáticos informar ambas situaciones en el informe de auditoría.

A medida que la tecnología se integra cada vez más en la estructura de la gestión y las operaciones comerciales, se hace necesario evaluar el uso de esta y las posibles amenazas relacionadas. También abundan las oportunidades para reducir costos y obtener una mayor eficiencia mediante la auditoría de los procesos y sistemas de TI.

tags: #auditoria #de #un #sistema #operativo #pasos