CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

viernes, 26 de septiembre de 2008

AUDITORIA INFORMATICA


La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.



Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.



Los objetivos de la auditoría Informática son:
El control de la función informática
El análisis de la eficiencia de los Sistemas Informáticos
La verificación del cumplimiento de la Normativa en este ámbito
La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:
Gobierno corporativo
Administración del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protección y Seguridad
Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estandar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, ISO, COSO e ITIL.


Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y analisis de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
Auditoría de las comunicaciones.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.



PRUEBAS PARA REALIZAR UNA AUDITORIA



Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas pruebas.
Pruebas sustantivas: Aportan al auditor informático las suficientes evidencias y que se pueda formar un juicio. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (según la documentación, según declaran los auditados y según las políticas y procedimientos de la organización).

0 comentarios: