Descubre las Mejores Herramientas para Auditoría Informática: Tipos, Aplicaciones y Secretos Imprescindiblespost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Uso de Herramientas para la Auditoría Informática: Tipos y Aplicaciones

Desde los orígenes de la humanidad siempre ha existido la necesidad de contabilizar y administrar los recursos disponibles.

Se tienen evidencias descubiertas por arqueólogos que comprueban, como en la antigua Grecia realizaban listas que reflejaban con tildes, puntos y círculos la disponibilidad y los movimientos de mercancías, finanzas y alimentos.

Siglos después la metodología fue mejorando hasta nuestros días, donde se le conoce con el nombre de auditoría, existiendo diferentes modalidades, pero siempre con el mismo fin.

Al igual que el uso de todo tipo de herramientas para llevar a cabo la auditoría con el empleo de los avances tecnológicos, se perfila también la necesidad de aplicarse auditorías especiales al área encargada de llevar a cabo el registro de todas las transacciones y actividades en general con el empleo de los equipos de cómputo, refiriéndose precisamente al área de informática o de procesamiento de datos, bien sea que opere a través de una sola máquina o, peor aún, con el uso de servidores y terminales instaladas en diversas áreas de la organización.

Importancia de la Auditoría Informática

La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad.

Lea también: Auditoría Operacional: Herramientas Clave

Los avances tecnológicos en informática y computación están en continua mejora, condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores.

Toda empresa, pública o privada, que posea Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia.

El éxito de una empresa depende de la eficiencia de sus sistemas de información.

Una empresa puede tener un staff de gente de primera, pero un sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá adelante.

También permite realizar inventarios, revisar los mecanismos de control y gestión.

Lea también: Software para auditorías informáticas

En cuanto al hardware, se puede conocer qué tipo de procesador tiene las computadoras, la memoria, service packs, capacidad de almacenamiento, particiones y medios usados.

Objetivos de la Auditoría Informática

Los principales objetivos que constituyen a la auditoría informática son:

  • El control de la función informática.
  • El análisis de la eficiencia de los sistemas informáticos que comporta.
  • La verificación del cumplimiento de la normativa general de la empresa en este ámbito.
  • La revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, lo cual se complementa con los objetivos de ésta.

El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado no solamente hasta qué puntos se ha llegado, sino cuales áreas fronterizas han sido omitidas.

Para esto se necesitan evaluar dos puntos convergentes que determinan el alcance: Control de integridad de registros y las aplicaciones que comparten registros.

Lea también: Software y recursos para la contabilidad mexicana

Herramientas para la Auditoría Informática (TAACs)

La aplicación de los procedimientos de auditoría ha dado lugar a que el auditor considere las técnicas que hacen uso de la computadora como una herramienta de auditoría.

La eficacia y eficiencia de los procedimientos de auditoría pueden mejorarse mediante el uso de las TAAC.

El software de auditoría consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoría del sistema de contabilidad de la entidad.

Puede consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema.

Tipos de Software de Auditoría

  • Programas de paquete: Son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Son usados para control de secuencias, búsquedas de registros, selección de datos, revisión de operaciones lógicas y muestreo.
  • Programas escritos para un propósito: Son programas de computadora diseñados para desempeñar tareas de auditoría en circunstancias específicas. Estos programas pueden ser desarrollados por el auditor, por la entidad, o por un programador externo contratado por el auditor. Si se desarrolla a la medida, es posible aprovechar estos programas para aplicar otras técnicas.
  • Programas de utilidad: Son usados por la entidad para desempeñar funciones comunes de procesamiento de datos, como clasificación, creación e impresión de archivos. Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo tanto, pueden no contener características tales como conteo automático de registros o totales de control.
  • Programas de administración del sistema: Son herramientas de productividad sofisticadas que son típicamente parte de los sistemas operativos sofisticados, por ejemplo, software para recuperación de datos o software para comparación de códigos. Como en el caso anterior, estas herramientas no son específicamente diseñadas para usos de auditoría y deben ser utilizadas con cuidado.

Otras Herramientas y Técnicas

  • Módulos especiales de recolección de información: Son módulos especiales de recolección de información incluidos en la aplicación y diseñados con fines específicos. Es semejante a una fotografía interna al sistema, es decir, a la memoria, lo que permite obtener resultados intermedios en diferentes momentos de un proceso o conseguir valores temporales de una variable. Se activa mediante ciertas condiciones preestablecidas. Permite al auditor rastrear los datos y evaluar los algoritmos aplicados a los datos.
  • Monitoreo continuo del sistema de transacciones: Involucra módulos incrustados en una aplicación que monitorea continuamente el sistema de transacciones. Recolecta la información en archivos especiales que puede examinar el auditor.
  • Trazas: Se incluye en algún tipo de registro, información significativa sobre las transacciones o sobre el sistema, que luego puede ser consultada por el auditor.
  • Mapeo: Indica por dónde pasa el programa cada vez que se ejecuta una instrucción.
  • Instantáneas de memoria (Dumps): Imprime o muestra en la pantalla el valor de las variables, en una porción o en todo el programa.
  • Análisis de código: Son características del programa tales como tamaño en bytes, localización en memoria, fecha de última modificación, etcétera. Involucra los códigos fuentes y códigos objetos.
  • SA (System Accounting): Es un Informe de Contabilidad del Sistema. Utilitario del sistema operativo que provee el medio para acumular y registrar la información necesaria para facturar a los usuarios y evaluar el uso del sistema.

Tipos de Pruebas en la Auditoría

En el proceso de auditoría, se realizan diferentes tipos de pruebas:

  • Pruebas detalladas de las transacciones y los balances.
  • Procedimientos de revisión analítica.
  • Pruebas de cumplimiento de los controles generales de Procesamiento Electrónico de Datos (PED), por ejemplo, el uso de datos de prueba para verificar los procedimientos de acceso a las bibliotecas del programa.
  • Pruebas de cumplimiento de los controles de aplicación de PED.

Criterios Generales Comúnmente Aceptados sobre Auditoría Informática

  • Código deontológico de la función de auditoría.
  • Relación de los distintos tipos de auditoría en el marco de los sistemas de información.
  • Criterios a seguir para la composición del equipo auditor.
  • Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento.
  • Tipos de muestreo a aplicar durante el proceso de auditoría.
  • Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools).
  • Explicación de los requerimientos que deben cumplir los hallazgos de auditoría.
  • Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades.
  • Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas.

Herramientas Específicas para la Auditoría de Sistemas

  • Herramientas del sistema operativo tipo Ping, Traceroute, etc.
  • Herramientas de análisis de red, puertos y servicios tipo Nmap, Netcat, NBTScan, etc.
  • Herramientas de análisis de vulnerabilidades tipo Nessus.
  • Analizadores de protocolos tipo WireShark, DSniff, Cain and Abel, etc.
  • Analizadores de páginas web tipo Acunetix, Dirb, Parosproxy, etc.
  • Ataques de diccionario y fuerza bruta tipo Brutus, John the Ripper, etc.

Aspectos sobre Cortafuegos en Auditorías de Sistemas Informáticos

  • Principios generales de cortafuegos.
  • Componentes de un cortafuegos de red.
  • Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad.
  • Arquitecturas de cortafuegos de red.

Síntomas que Indican la Necesidad de una Auditoría

Las empresas acuden a las auditorías externas o internas cuando existen síntomas perceptibles de debilidad:

  • Síntomas de descoordinación y desorganización.
  • Síntomas de mala imagen e insatisfacción de los usuarios.
  • No se atienden las peticiones de cambios de los usuarios.
  • No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables.
  • Síntomas de debilidades económico-financieras.
  • Necesidad de justificación de inversiones informáticas.

Consideraciones Finales

En cuanto al trabajo de la auditoría en sí, podemos remarcar que se precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de sistemas debe hacerse por gente altamente capacitada en el área, una auditoría mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.

La evolución del mundo hacia bloques económicos y de allí hacia empresas multinacionales, dan lugar a que cada vez pierdan importancia las normas específicas de cada país y tome mayor auge la estandarización internacional y las reglas que se fijen en ese contexto.

Debido también a que los inversionistas internacionales exigen reglas estandarizadas que les faciliten la realización de sus negocios apoyados en el uso de la tecnología y en sistemas de información que les provean reportes financieros de calidad que sirvan para la toma de decisiones.

El objetivo y alcance de una auditoría no cambia en un ambiente SIC, sin embargo, el uso del computador cambia el procesamiento, almacenamiento y salida de información, pudiendo afectar los sistemas de contabilidad y de control interno.

tags: #uso #de #herramientas #para #auditoria #informatica