Descubre la Metodología Definitiva para una Auditoría Informática Efectiva y Segurapost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Metodología General de la Auditoría Informática

Desde los orígenes de la humanidad siempre ha existido la necesidad de contabilizar y administrar los recursos disponibles.

Se tienen evidencias descubiertas por arqueólogos que comprueban, como en la antigua Grecia realizaban listas que reflejaban con tildes, puntos y círculos la disponibilidad y los movimientos de mercancías, finanzas y alimentos.

Siglos después la metodología fue mejorando hasta nuestros días, donde se le conoce con el nombre de auditoría, existiendo diferentes modalidades, pero siempre con el mismo fin.

Importancia de la Auditoría Informática

La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad.

Los avances tecnológicos en informática y computación están en continua mejora, condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores.

Lea también: Auditoría administrativa: sus elementos esenciales

También permite realizar inventarios, revisar los mecanismos de control y gestión.

En cuanto al hardware, se puede conocer qué tipo de procesador tiene las computadoras, la memoria, service packs, capacidad de almacenamiento, particiones y medios usados.

Es la que se realiza a lo interno de la empresa.

Si necesitas mayor información para diseñar e implementar estrategias de ciberseguridad, redes inteligentes, infraestructura y datos.

Cómo se Realiza una Auditoría Informática

Análisis Preliminar

Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría.

Lea también: Guía completa sobre la auditoría ambiental

Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar.

Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos específicos, éstos se añadirán a los objetivos generales y comunes de toda auditoría informática: la operatividad de los sistemas y los controles generales de gestión informática.

Alcance de la Auditoría

El alcance de la auditoría expresa los límites de la misma.

Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

Lea también: Metodología de Auditoría Administrativa

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir, cuáles materias, funciones u organizaciones no van a ser auditadas.

Tanto los alcances como las excepciones deben aparecer al comienzo del informe final.

Estudio de la Organización

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática.

Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental.

Para realizar esto el auditor deberá fijarse en:

  • Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.
  • Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
  • Relaciones jerárquicas y funcionales entre órganos de la organización: El equipo auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas por el organigrama, o por el contrario, detectará, por ejemplo, si algún empleado tiene dos jefes. Las jerárquicas implican la correspondiente subordinación; las funcionales, por el contrario, indican relaciones no estrictamente subordinables.

Flujos de Información

Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.

En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.

Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad.

Estos flujos de información son indeseables y producen graves perturbaciones en la organización.

Número de Puestos de Trabajo

El equipo auditor comprobará que los nombres de los puestos de trabajo de la organización corresponden a las funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes.

Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.

Número de Personas por Puesto de Trabajo

Es un parámetro que los auditores informáticos deben considerar.

La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

Conocimiento del Entorno

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse.

Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

  • Situación geográfica de los sistemas: Se determinará la ubicación geográfica de los distintos centros de proceso de datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.
  • Arquitectura y configuración de hardware y software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.
  • Inventario de hardware y software: El auditor recabará información escrita, en donde muestran todos los elementos físicos y lógicos de la instalación. En cuanto a hardware, incluirá las CPU, unidades de control local y remoto, periféricos de todo tipo, etcétera. El inventario de software debe contener todos los productos lógicos del sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.
  • Comunicación y redes de comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las redes locales de la empresa.

Procesos Informáticos

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada.

  • Metodología del diseño: Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones.
  • Documentación: La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
  • Cantidad y complejidad: El auditor recabará información de tamaño y características de las bases de datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática.

Herramientas Software

Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente.

Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

  • Software: Programas propios de la auditoría: Son muy potentes y flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
  • Hardware: Los procesos de control deben efectuarse necesariamente en las computadoras del auditado.

Fases de la Auditoría

En general, la auditoría moderna es un proceso metódico y como tal tiene un esquema de progreso común a todos los proyectos.

Este esquema es lo suficientemente general como para que pueda ser adoptado por cualquier empresa de servicios de auditoría que trabaje bajo la filosofía del proyecto.

Además, tiene la ventaja de que permite al comprador público un seguimiento sencillo de la actividad auditora.

Por ello, la especificación de una secuencia de fases de este tipo puede ser considerada como un elemento a tener en cuenta a la hora de la redacción del pliego de prescripciones técnicas.

La aplicación de las recomendaciones ISO garantizará la organización del trabajo de auditoría y el control de todas sus fases.

Recopilación de Información

En esta etapa se recaba toda la información relevante referente a la organización a auditar.

La información es de todo tipo, pero se deberá hacer hincapié en las áreas relacionadas con los SI.

  • Objetivos estratégicos de la organización y plan de SI. Estos objetivos deberían estar contenidos dentro del plan de sistemas de información, en caso de que exista.
  • Restricciones legales, sociales, de entorno en las que debe funcionar la "organización".
  • Organigrama de la organización.
  • Volumen de la organización. Presupuesto anual, distribución geográfica de instalaciones, número de empleados, etcétera.
  • Resultados de otras auditorías.

Área Informática

Se encarga de todo lo relacionado con los sistemas informáticos y con la aplicación de las directrices del plan de sistemas de información.

  • Modelo general.
  • Equipo físico existente. Esta información permite un posicionamiento inicial sobre el área informática.
  • Volumen del área informática. Número de empleados, producción de líneas de código y módulos, distribución de personal por áreas de explotación, mantenimiento, desarrollo e investigación, etcétera.
  • Aplicaciones en proceso de desarrollo. Permiten evaluar el esfuerzo actual en nueva producción.
  • Aplicaciones en proceso de explotación.

Planificación

La fase de planificación comienza por una evaluación de los problemas y/o resistencias que se hayan podido encontrar en la toma de contacto.

Es importante esta reflexión para identificar aquellas áreas problemáticas a las que probablemente haya que dedicar más tiempo y recursos.

El primer resultado de esta fase es la enunciación de los objetivos y alcance de la auditoría, que será recogido en un documento formal denominado plan de auditoría.

Se puede limitar el alcance del proceso auditor por razones como indisponibilidad de recursos, cercanía a otros procesos auditores o imposibilidad de perturbar en un momento crítico una determinada área.

  • Alcance de los objetivos.
  • Resultados parciales a considerar.
  • Presupuesto.

Captación de Información

Ésta es la fase de captación de información.

Para evitar en lo posible que la información se vea empañada por las opiniones personales del auditor, éste posee una serie de herramientas para sistematizar el proceso de observación.

  • Cuestionarios.
  • Modelos de entrevistas.
  • Técnicas psicológicas de grupos.
  • Modelos matemáticos, ejemplo: CPE (Computer Performance Evaluation).
  • Simulaciones del comportamiento de sistemas a construir.
  • Programas de registro de actividad de dispositivos y redes de comunicaciones.
  • Modelos de comportamiento y de análisis organizacional.

Interacción con el Personal

Durante toda esta fase se establece un estrecho contacto con el personal de la organización.

Es importante mantener una correcta disposición de escucha activa y respeto por las opiniones de las personas que deben utilizar los sistemas.

El auditor debe detectar situaciones de poca transferencia de información por parte de los usuarios, que implique la existencia de poco contacto entre los usuarios y el personal de los SI.

tags: #metodologia #general #auditoria #informatica