Auditoría en Sistemas de Información: Qué es, Tipos Esenciales y Cómo Mejorar tu Seguridadpost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Auditoría en los Sistemas de Información: Definición y Tipos

Desde los orígenes de la humanidad siempre ha existido la necesidad de contabilizar y administrar los recursos disponibles. Se tienen evidencias descubiertas por arqueólogos que comprueban, como en la antigua Grecia realizaban listas que reflejaban con tildes, puntos y círculos la disponibilidad y los movimientos de mercancías, finanzas y alimentos. Siglos después la metodología fue mejorando hasta nuestros días, donde se le conoce con el nombre de auditoría, existiendo diferentes modalidades, pero siempre con el mismo fin. También permite realizar inventarios, revisar los mecanismos de control y gestión.

La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. Los avances tecnológicos en informática y computación están en continua mejora. Condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores. Si necesitas mayor información para diseñar e implementar estrategias de ciberseguridad, redes inteligentes, infraestructura y datos.

Definición de Auditoría de Información

La Auditoría de Información (AI) es una herramienta de la Gestión Informacional (GI), muy útil para evaluar recursos en las instituciones, porque permite conocer con lo que se cuenta para evitar redundancias o inconsistencias en el sistema. Sobre este término se comenzó a hablar en la década de los años setenta. Consiste en la evaluación periódica de los procesos estratégicos, operativos y de apoyo de una organización, al tener en cuenta el entorno, los recursos informativos, la estructura y sus funciones.

La Auditoría de la Información promueve y aplica conceptos de auditoría en el área de los sistemas de información, con el objetivo de dar recomendaciones a los directivos para mejorar o lograr el correcto control interno en ambientes de tecnología informática, y obtener mayor eficiencia operacional y administrativa.

La Auditoría de Información (AI) es definida como “el examen crítico y sistemático de los recursos de información que permite conocer con lo que se cuenta, dónde está y su valor”. Además, plantean que “es un proceso de control interno y de diagnosis global a que deben someterse las organizaciones, especialmente las que operan con ánimo de lucro, pero también y cada vez más, las no lucrativas”. Auditoría de Información es evaluar sistemáticamente el uso de la información, sus recursos y sus flujos para establecer la medida en que contribuyen a los objetivos de una organización. Contribuye a la mejora continua de la información.

Lea también: Auditoría de Calidad: Ejemplo y Guía

Del mismo modo, pueden enfocarse en los Sistemas de Información al permitir que se evalúen los procesos con sus flujos y recursos informacionales de las entidades, determinar dónde hay registros duplicados innecesariamente, en qué lugar la información es tratada como un activo personal y en cuál como un recurso que debe ser compartido por todos. Igualmente, identifica las necesidades informacionales de la propia entidad y las específicas de las personas, e indica dónde podrían simplificarse los procesos organizacionales para su administración más eficiente.

Metodologías de Auditoría de Información

Las metodologías de los autores Bryson (1997), Artiles (2015) y González et al. (2017) se centran en analizar la organización a través de su estructura interna y del uso que se le da a la información. Las tres metodologías tienen aspectos comunes basadas en el análisis de la organización mediante el establecimiento de los procesos con sus flujos y recursos.

La metodología propuesta por Artiles (2015) consta de tres etapas. La primera consiste en el diagnóstico de la organización, donde se realiza un análisis de la estructura interna, los procedimientos, se evalúa tanto el estado de las TIC, como la Intranet, y se revisan los resultados de evaluaciones anteriores. En la etapa dos se analiza la organización del ambiente interno (comunicación), se trabaja a favor de eliminar los señalamientos de las auditorías, se identifican los flujos informacionales, se hace énfasis en la calidad y en las entrevistas a los colaboradores por áreas, se diseña el cuadro de mando informativo con los objetivos e indicadores, y se estructura el sistema de gestión documental, con los cuadros de origen y destino, y las tablas de plazos de transferencia. Por último, la tercera etapa consiste en las definiciones y se determinan las políticas, estrategias, procedimientos, servicios y manuales.

Al realizar las búsquedas sobre el tema se obtuvo como resultado, en el caso de la BD Ebsco, que solo aparecen 18 resultados utilizando el término en español, de los cuales 11 son relevantes, pues son los que presentan metodologías, estudios de caso y análisis teóricos o conceptuales sobre la temática. Estos abarcan el período de 2001 a 2015, de los cuales 17 pertenecen a la BD Library, Information Science & Technology Abstracts, y 1 a Green FILE+, de ellos 16 son Publicaciones académicas, 1 es un libro y 1 es una crítica. Utilizando el término en inglés “Information Audit” aparecen 218 resultados.

Buchanan y Gibb (2008b), argumentan los aspectos relacionados con la integralidad, aplicabilidad y usabilidad de cuatro metodologías de auditoría de información comúnmente citadas. La integralidad centra su atención en la integridad conceptual, lógica y estructural de cada enfoque metodológico. La aplicabilidad ayuda en su alcance y a la capacidad de adaptarlos a los requisitos organizativos individuales. La usabilidad considera la facilidad percibida con la que se puede adoptar y aplicar cada enfoque.

Lea también: Auditoría y las Líneas de Defensa

Rodríguez y Cano (2018), plantean que la AI es una herramienta de la gestión informacional para examinar y valorar los recursos informativos de la organización, y conocer el uso que se hace de la información.

Asimismo, Caraballoso, Romero y Castro (2015) aplican una AI como instrumento de gestión de la Biblioteca de la Universidad de Sancti Spíritus "José Martí Pérez", que permite evaluar sus servicios, por medio del modelo integral para auditar organizaciones de información en Cuba, propuesto por María del Carmen Villardefrancos. Se aplicó a seis servicios informacionales seleccionados de la biblioteca universitaria en estudio, en el primer trimestre del año 2014.

En el análisis de SciELO, aparecen 97 resultados usando el término en español, de los cuales 11 son pertinentes. También, se encuentra el de Stable (2012), donde se plantea una metodología para realizar auditorías de información y de conocimiento a la que llama Aud-InfoCon, elaborada a partir de los principales nexos que existen entre estos dos procesos, del análisis de las causas que motivan su realización y de los objetivos que persiguen.

Gómez, Estrada, Bauta y García (2012) plantean que la auditoría de información ha aumentado en importancia como resultado de su impacto en la prevención o detección de violaciones que afecten la confidencialidad e integridad de los recursos de las organizaciones. Expresan que es un componente importante de la auditoría informática y que depende, en gran medida, de la expresividad de los log de eventos para garantizar la calidad de los resultados.

Contreras (2009) expresa que al examinar y evaluar sistemáticamente los recursos de información se está realizando una auditoría informacional, por lo que su ámbito es identificar el uso, los recursos y el flujo de la información.

Lea también: Auditorías Ambientales: Una Guía

Henczel y Robertson (2015) en “Demystifying the Information Audit” abordan varias definiciones sobre el término, explican qué es lo que hace, así como el proceso de auditoría y la evolución de ella.

Para las autoras, la auditoría constituye una herramienta de control y supervisión que contribuye a crear una cultura de la disciplina de la organización y permite descubrir fallas en las estructuras o vulnerabilidades que en ella existen.

El artículo de Vega (2006), aborda el concepto haciendo énfasis en que es una herramienta que permite el descubrimiento, monitoreo y evaluación de los recursos informacionales, y la compara con otros campos de la auditoría y las diferentes metodologías para realizarlas.

Griffiths (2013) ofrece una representación gráfica del panorama del tema, a través de un diagrama que muestra “islas” dentro del “mar” de AI, habitadas por los diversos grupos profesionales (llamados “tribus”), que ocupan un rol. Además, expresan que es una herramienta analítica útil que les permite evaluar los activos de información y demostrar el cumplimiento en la gestión de activos, ya sea que esos activos sean financieros, documentales o intangibles, como el know-how.

En el año 2017 se aprecia un mayor interés de la temática en inglés, mientras que en español está menos estable. Además, por región se observa que en español disminuyen las investigaciones, pues solo Colombia y México muestran una mayor investigación. Con el término en inglés 5 países desarrollan la temática, los cuales pertenecen principalmente al continente africano.

Tipos de Auditoría Informática

Existen diferentes tipos de auditoría informática, entre las que destacan la auditoría interna y la auditoría externa:

  • Auditoría Interna: Es la que se realiza a lo interno de la empresa. La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos procedimientos y estándares que el resto de aquélla. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente.
  • Auditoría Externa: La auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. En cuanto a empresas se refiere, solamente las más grandes pueden poseer una auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Una empresa o institución que posee auditoría interna puede y debe, en ocasiones, contratar servicios de auditoría externa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa.

Proceso General de Auditoría

Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría.

Un proceso general de auditoría puede incluir los siguientes pasos:

  1. Análisis organizacional.
  2. Planeamiento de la auditoría.
  3. Procesos de gestión.
  4. Inventario de recursos.
  5. Valoración y costos de los recursos.
  6. Flujos y mapas.

tags: #auditoria #en #los #sistemas #de #informacion