viernes, 29 de abril de 2022

Auditoría Informática

En este blog se presentaran conceptos de auditoria como también sus fases y los tipos que existen entre otros temas. Como primer parte debemos de definir que es la auditoria.

 ¿Qué es la auditoria?

Una auditoría es un proceso de verificación y/o validación del cumplimiento de una actividad según lo planeado y las directrices estipuladas. Según la ISO (Organización Internacional de Normalización) es un proceso sistemático independiente y documentado que permite obtener evidencia de auditoría y realizar una evaluación objetiva para determinar en qué medida son alcanzados los criterios de auditoría (conjunto de políticas, procedimientos o requisitos a revisar).

En este caso ese concepto es en general, ahora definiremos la auditoria informática.

Auditoria Informática

Una auditoría informática es de gran importancia hoy en día ya que la tecnología avanza tan rápido que podemos pensar que tenemos las medidas de seguridad adecuadas, y en cambio tener áreas desprotegidas. Se trata de un proceso que realizan los profesionales especializados en la materia para asegurar que el sistema informático implantado en el proceso de negocio cumpla con la normativa correspondiente en protección de datos, además de comprobar si las medidas adoptadas de seguridad son suficientes. De esta forma, resolvemos las posibles incidencias que pueda tener un sistema informático y, sobre todo, establecemos los diferentes criterios que toda la plantilla debe considerar para el buen uso del mismo.

En la auditoria existen diferentes tipos entre los cuales están:

  • Auditoría externa: Es una evaluación que se realiza como solicitud a un requerimiento legal, en el cual se tiene como principal objetivo verificar que el patrimonio, los ingresos y las operaciones de la empresa concuerdan con los registros oficiales. Esta auditoría es efectuada por un auditor externo totalmente independiente a la compañía.
  • Auditoría Interna: Esta clase de auditoría es un proceso de evaluación interna que tiene como propósito evaluar los procesos administrativos y el manejo de recursos dentro de la organización. Esta auditoría es realizada por personas vinculadas a la empresa y habitualmente es solicitada por los gerentes.
  • Auditoria operativa: El principal objetivo es mejorar la productividad empresarial por medio de una valoración del nivel de eficiencia y eficacia en la operación. Esta auditoría puede ser ejecutada tanto por un ente interno como externo.
  • Auditoria fiscal: Es un tipo de inspección de carácter tributario y tiene como propósito verificar que el pago de impuestos se esté haciendo en el tiempo adecuado y por el valor correcto.
  • Auditoría ambiental: Esta evaluación tiene como principal objetivo determinar el impacto ambiental que genera la empresa de acuerdo a los requerimientos que exige la normatividad vigente.
  • Auditoría pública: Es un tipo de auditoría que solicita un ente gubernamental con la intención de revisar a profundidad los estados financieros y poder identificar si existe algún tipo de irregularidad legal.
  • Auditoría informática: En la actualidad todas las compañías cuentan con sistemas informáticos indispensables para la operación, por lo cual es importante realizar una evaluación periódica del estado de las máquinas y poder estar al tanto de cualquier actualización, reparación o modernización que se requiera.
  • Auditoría integral: Esta auditoría agrupa varios tipos de auditoría con el fin de generar un informe global de todos los aspectos relevantes de la organización.
Como importancia de la auditoria es manipular información de manera fácil, rápida y automática por medio de un software especializado.

Marco Legal

La auditoria cuenta con su marco legal, que cuenta con los siguientes tipos:

  • Constitución Política de los Estados Unidos Mexicanos.
  • Ley Federal del Trabajo.
  • Ley Federal de Derechos de Autor.
  • Ley Federal de la Propiedad Industrial.
  • Ley de Adquisición y Obras Publicas.
  • Código Penal Federal.
  • Código de Comercio.

Objetivos de la Auditoria Informática

Los aspectos relativos al control de la seguridad de la Información tienen tres líneas básicas en la auditoria del sistema de información:
  • La seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físicos de las instalaciones, del personal informático, etc.
  • La confidencialidad y la seguridad informática hace referencia no sólo a la protección del material, el logicial, los soportes de la información, sino también al control de acceso a la propia información.
  • En relación a los aspectos jurídicos y económicos relativos a la seguridad de la información hace referencia a analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar los cada vez más frecuentes delitos informáticos que se cometen en la empresa.

Alcance de la Auditoria Informática

El alcance de la auditoría informática apoya al Objetivo fundamental de la auditoría informática, el cual es la Operatividad.
Dentro del alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática y se complementa con los objetivos de ésta.
Los puntos del alcance de la auditoría expresa los límites de la misma, por lo tanto, debe existir un acuerdo muy preciso entre auditores y clientes.
Ya que con ellos se definirán sobre las funciones, las materias y las organizaciones a auditar.

Fases de la Auditoria Informática

Fase I - Conocimientos del Sistema: 

Aspectos Legales y Políticas Internas: Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. 

    • Características del Sistema Operativo:
    • Organigrama del área que participa
    • Manual de funciones de las personas que participan en los procesos del sistema
    • Informes de auditoría realizadas anteriormente.

Fase II - Análisis de transacciones y recursos:

Definición de las transacciones:

  • Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos.
  • La importancia de las transacciones deberá ser asignada con los administradores.
  • Análisis de las transacciones: Establecer el flujo de los documentos
  • Análisis de los recursos: Identificar y codificar los recursos que participan en el sistema.

Fase III - Análisis de riesgos y amenazas: 

Identificación de riesgos:

  • Daños físicos o destrucción de los recursos
  • Pérdida por fraude o desfalco
  • Extravío de documentos fuente, archivos o informes
  • Robo de dispositivos o medios de almacenamiento
  • Interrupción de las operaciones del negocio
  • Pérdida de integridad de los datos
  • Ineficiencia de operaciones
  • Errores

Fase IV - Análisis de controles: 

Codificación de controles: 

  • Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.
  • Relación entre recursos / amenazas / riesgos: La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles.

Fase V - Evaluación de Controles:

Objetivos de la evaluación: 

  • Verificar la existencia de los controles requeridos.
  • Determinar la operatividad y suficiencia de los controles existentes.
Plan de pruebas de los controles:
  • Incluye la selección del tipo de prueba a realizar.
  • Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

Fase VI - Informe de Auditoria:

Informe resumen para la alta gerencia: Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas:

  • Introducción: objetivo y contenido del informe de auditoria
  • Objetivos de la auditoría
  • Alcance: cobertura de la evaluación realizada
  • Opinión: con relación a la suficiencia del control interno del sistema evaluado
  • Hallazgos
  • Recomendaciones

Fase VII - Seguimiento de Recomendaciones:

Evaluación de los controles implantados:

  • Fin de la sesión.
  • Revisión.
  • Evaluación.
  • Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Información.
  • Auditoría Informática.
  • Objetivos

Fase de planeación

  • Elaboración de los instrumentos de recopilación de información.
  • Elaborar el programa de actividades que se desarrollan durante la auditoria, con sus responsabilidades.
  • Conocer a la empresa que se va a auditar.
  • Definir el auditar líder y los auditores de apoyo.

Evaluación de la Seguridad

 Interpretación de auditoria  El Auditor al momento de aceptar el trabajo tiene que trabajar para interés público para eso debe con los Prin...