Una auditoría de sistemas de información es un proceso exhaustivo de revisión de la seguridad, la integridad y la eficiencia de los sistemas informáticos de una organización. Como la tecnología se ha integrado cada vez más en la mayoría de los aspectos de la vida empresarial, es cada vez más importante garantizar que los sistemas de información sean seguros, eficientes y cumplan con los estándares de la industria. Si estás pensando en hacer una auditoría de sistemas de información, es importante entender qué es y por qué es esencial para tu negocio.
Importancia de la auditoría informática
Desde los orígenes de la humanidad siempre ha existido la necesidad de contabilizar y administrar los recursos disponibles. Se tienen evidencias descubiertas por arqueólogos que comprueban, como en la antigua Grecia realizaban listas que reflejaban con tildes, puntos y círculos la disponibilidad y los movimientos de mercancías, finanzas y alimentos. Siglos después la metodología fue mejorando hasta nuestros días, donde se le conoce con el nombre de auditoría, existiendo diferentes modalidades, pero siempre con el mismo fin.
La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. Los avances tecnológicos en informática y computación están en continua mejora; condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores.
De acuerdo con un estudio de Deloitte, las empresas registraron un aumento en los presupuestos de Tecnologías de la Información (TI) del 8.4% en los últimos años debido a una mala gestión de los sistemas de software. Los sistemas de software suelen ser suministrados por grandes empresas, como Microsoft, IBM, Oracle y Adobe, quienes se encargan de implementar las auditorías en una periodicidad específica para asegurar que sus servicios están siendo utilizados correctamente. Sin embargo, las empresas también suelen realizar sus propias auditorías de software para llevar un control, detectar posibles riesgos en los sistemas informáticos y evitar pérdidas económicas significativas.
¿Cómo se realiza una auditoría informática?
Una auditoría de sistemas de información es una evaluación exhaustiva de tus sistemas informáticos, incluyendo hardware, software, redes, bases de datos y procedimientos de seguridad. Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría.
Lea también: Temas interesantes para tesis de contabilidad
El proceso general de una auditoría de sistemas de información incluye las siguientes fases:
- Análisis de los sistemas de información: En esta fase, el equipo de auditoría examinará los sistemas de información de la organización y evaluará su eficacia y eficiencia.
- Informe de hallazgos: En esta fase, el equipo de auditoría presentará sus hallazgos y recomendaciones a la gerencia de la organización.
También permite realizar inventarios, revisar los mecanismos de control y gestión. En cuanto al hardware, se puede conocer qué tipo de procesador tiene las computadoras, la memoria, service packs, capacidad de almacenamiento, particiones y medios usados. Es la que se realiza a lo interno de la empresa.
Cumplimiento en seguridad de la información
El cumplimiento en seguridad de información es un aspecto crítico para todas las industrias, ya que protege la confidencialidad, integridad y disponibilidad de la información y los datos que manejan. Por ejemplo, en la industria financiera, se requiere un alto nivel de cumplimiento debido a la sensibilidad de la información financiera y la necesidad de proteger la información confidencial de los clientes. En la industria de la salud, el cumplimiento es igualmente crítico debido a la sensibilidad de la información médica y a la necesidad de proteger la privacidad de los pacientes.
En el caso de México, la protección de datos personales y el manejo de información son regulados por la Ley General de Protección de Datos Personales en Posesión de los Particulares, que entró en vigor en el año 2010. De acuerdo con la ley mexicana, los titulares de los datos tienen derecho a conocer, actualizar y controlar la información que se tiene sobre ellos, así como a solicitar su rectificación, cancelación u oposición en caso de ser inexacta o estar siendo utilizada de manera inapropiada. El incumplimiento de la ley puede acarrear sanciones administrativas y, en algunos casos, penales. Por esta razón, es importante que las empresas y organismos tomen las medidas necesarias para cumplir con las normas de protección de datos y manejo de información.
ISO 27001
ISO 27001 es un marco de trabajo que ayuda a las empresas a implementar medidas de seguridad de la información efectivas. Incluye una serie de controles para proteger los datos y asegurar que se cumplan los estándares internacionales de seguridad. Estos puntos clave se combinan para proporcionar un marco integral para la gestión de la seguridad de la información y asegurar la protección de los datos sensibles y la privacidad de los clientes.
Lea también: Obtén tu RFC de Papelería
Llevar un plan de auditoría de seguridad de información y certificarse en ISO 27001 puede ser muy beneficioso para las empresas y organizaciones.
Auditoría de Información (AI)
La Auditoría de Información (AI) es una herramienta de la Gestión Informacional (GI), muy útil para evaluar recursos en las instituciones, porque permite conocer con lo que se cuenta para evitar redundancias o inconsistencias en el sistema. Sobre este término se comenzó a hablar en la década de los años setenta. Consiste en la evaluación periódica de los procesos estratégicos, operativos y de apoyo de una organización, al tener en cuenta el entorno, los recursos informativos, la estructura y sus funciones.
La Auditoría de la Información, según Infante (2009), citado por Castañón (2012), promueve y aplica conceptos de auditoría en el área de los sistemas de información, con el objetivo de dar recomendaciones a los directivos para mejorar o lograr el correcto control interno en ambientes de tecnología informática, y obtener mayor eficiencia operacional y administrativa. A partir de la década del noventa, del siglo pasado, el tema cobró auge, por lo que son muchas las investigaciones publicadas.
La Auditoría de Información (AI) es definida por Dios, Raposo y García (2008) como “el examen crítico y sistemático de los recursos de información que permite conocer con lo que se cuenta, dónde está y su valor”. Además, plantean que “es un proceso de control interno y de diagnosis global a que deben someterse las organizaciones, especialmente las que operan con ánimo de lucro, pero también y cada vez más, las no lucrativas”.
Auditoría de Información, por la Association for Information Management (Aslib, 1978), citado por Henczel y Robertson (2015), es evaluar sistemáticamente el uso de la información, sus recursos y sus flujos para establecer la medida en que contribuyen a los objetivos de una organización. Contribuye a la mejora continua de la información. Del mismo modo, pueden enfocarse en los Sistemas de Información al permitir que se evalúen los procesos con sus flujos y recursos informacionales de las entidades, determinar dónde hay registros duplicados innecesariamente, en qué lugar la información es tratada como un activo personal y en cuál como un recurso que debe ser compartido por todos. Igualmente, identifica las necesidades informacionales de la propia entidad y las específicas de las personas, e indica dónde podrían simplificarse los procesos organizacionales para su administración más eficiente.
Lea también: Finalidad de los impuestos
La metodología propuesta por Artiles (2015) consta de tres etapas. La primera consiste en el diagnóstico de la organización, donde se realiza un análisis de la estructura interna, los procedimientos, se evalúa tanto el estado de las TIC, como la Intranet, y se revisan los resultados de evaluaciones anteriores. En la etapa dos se analiza la organización del ambiente interno (comunicación), se trabaja a favor de eliminar los señalamientos de las auditorías, se identifican los flujos informacionales, se hace énfasis en la calidad y en las entrevistas a los colaboradores por áreas, se diseña el cuadro de mando informativo con los objetivos e indicadores, y se estructura el sistema de gestión documental, con los cuadros de origen y destino, y las tablas de plazos de transferencia. Por último, la tercera etapa consiste en las definiciones y se determinan las políticas, estrategias, procedimientos, servicios y manuales.
Las tres metodologías tienen aspectos comunes basadas en el análisis de la organización mediante el establecimiento de los procesos con sus flujos y recursos.
Rodríguez y Cano (2018), plantean que la AI es una herramienta de la gestión informacional para examinar y valorar los recursos informativos de la organización, y conocer el uso que se hace de la información.
Villardefrancos y Rivera (2006, pp. 54-55), abordan el desarrollo histórico de la función de auditoría, sus diferentes clasificaciones y tipos. Para las autoras, la auditoría constituye una herramienta de control y supervisión que contribuye a crear una cultura de la disciplina de la organización y permite descubrir fallas en las estructuras o vulnerabilidades que en ella existen.
González y Ponjuán (2011), realizan un análisis de los nexos y relaciones que existe entre la AI y la AC, y mencionan algunas de las metodologías y modelos para realizar cada una, para eso, toman en cuenta las de Soy (2003), Buchanan y Gibb (1998), Orna (1999), Henczel (2001), el Modelo de Hylton (2002), el de Roberts (2008), y la Metodología con énfasis en los procesos claves de Pérez Soltero et al., (2006).
El artículo de Vega (2006), aborda el concepto haciendo énfasis en que es una herramienta que permite el descubrimiento, monitoreo y evaluación de los recursos informacionales, y la compara con otros campos de la auditoría y las diferentes metodologías para realizarlas.
Griffiths (2013) ofrece una representación gráfica del panorama del tema, a través de un diagrama que muestra “islas” dentro del “mar” de AI, habitadas por los diversos grupos profesionales (llamados “tribus”), que ocupan un rol. Además, expresan que es una herramienta analítica útil que les permite evaluar los activos de información y demostrar el cumplimiento en la gestión de activos, ya sea que esos activos sean financieros, documentales o intangibles, como el know-how.
Gómez, Estrada, Bauta y García (2012) plantean que la auditoría de información ha aumentado en importancia como resultado de su impacto en la prevención o detección de violaciones que afecten la confidencialidad e integridad de los recursos de las organizaciones. Expresan que es un componente importante de la auditoría informática y que depende, en gran medida, de la expresividad de los log de eventos para garantizar la calidad de los resultados.
Contreras (2009) expresa que al examinar y evaluar sistemáticamente los recursos de información se está realizando una auditoría informacional, por lo que su ámbito es identificar el uso, los recursos y el flujo de la información.
Buchanan y Gibb (2007) explican que la auditoría de información es fundamental para la gestión organizacional efectiva de la información, y destacan tres desafíos para la práctica actual: orientación limitada sobre la gestión del alcance; vinculación ambigua con las TIC relacionadas a procesos de desarrollo y la falta de un enfoque metodológico estándar.
Interés por el tema de Auditoría de Información
En el año 2017 se aprecia un mayor interés de la temática en inglés, mientras que en español está menos estable. Además, por región se observa que en español disminuyen las investigaciones, pues solo Colombia y México muestran una mayor investigación. Con el término en inglés 5 países desarrollan la temática, los cuales pertenecen principalmente al continente africano.
La auditoría de sistemas de información es un proceso crítico que puede ayudar a garantizar que los sistemas de información de una organización sean seguros, eficientes y efectivos.