AUDITORIA DE SISTEMAS DE INFORMACIN

Qu es la Auditoria en Sistemas de Informacin?

Es el examen objetivo, crtico, sistemtico, posterior y selectivo que se hace a la administracin informtica de una organizacin, con el fin de emitir una opinin acerca de: La eficiencia en la adquisicin y utilizacin de los recursos informticos. La confiabilidad, la integridad, la seguridad y oportunidad de informacin. La efectividad de los controles en los sistemas de informacin

AUDITORIA DE SISTEMAS DE INFORMACIN

Qu es la Auditoria en Sistemas de Informacin?

Una auditoria de SI es diferente de una auditoria de estados financieros. Mientras que una auditoria financiera su propsito es evaluar si una organizacin est cumpliendo con las prcticas contables habituales, los efectos de una auditoria de SI deben evaluar el diseo del sistema de control interno y la eficacia. Esto incluye pero no se limita a la eficiencia y protocolos de seguridad, los procesos de desarrollo o de supervisin de SI. El objetivo es evaluar la capacidad de la organizacin para proteger sus activos de informacin y debidamente prescindir de la informacin a personas autorizadas.

AUDITORIA DE SISTEMAS DE INFORMACIN

Qu es la Auditoria en Sistemas de Informacin?

La auditoria de SI se centra en determinar los riesgos que son relevantes para los activos de informacin, y en la evaluacin de los controles a fin de reducir o mitigar estos riesgos. Mediante la implementacin de controles, el efecto de los riesgos se pueden minimizar, pero no puede eliminar por completo todos los riesgos.

AUDITORIA DE SISTEMAS DE INFORMACIN

Definicin

La auditora de SI, auditora informtica o auditora de sistemas es un tipo de auditora consistente en el examen de los sistemas de informacin y de los centros de proceso de datos, instalaciones y unidades informticas de las organizaciones, con objeto de facilitar la consecucin de los objetivos que persiguen, tanto los del rea informtica como, primordialmente los del conjunto de la organizacin . Verificar la calidad de los sistemas de informacin de la organizacin y proponer mejoras de los mismos, coherentes con el proyecto de calidad adoptado por la organizacin (cumplimiento de normas de calidad o modelo de excelencia en gestin).

AUDITORIA DE SISTEMAS DE INFORMACIN

Definicin

La auditora de sistemas de informacin persigue propiciar con sus actuaciones:

El establecimiento y mantenimiento de sistemas de gestin de la seguridad. La reduccin de los riesgos inherentes a la utilizacin de los SI. El incremento de la confianza de los usuarios internos y externos en los sistemas de informacin.

AUDITORIA DE SISTEMAS DE INFORMACIN

Definicin

Comprobar el cumplimiento de los requerimientos de negocio de la informacin, es decir las propiedades que la informacin debe tener para optimizar su utilizacin por la organizacin. Analizar la gestin de los riesgos asociados a los sistemas de informacin, proponiendo la adopcin de medidas que mejoren el sistema de anlisis y gestin de los riesgos informticos, o que conduzcan a que los riesgos sean mitigados, eliminados, compartidos o aceptados por la organizacin.

Comprobar e impulsar la seguridad de los sistemas de informacin.

AUDITORIA DE SISTEMAS DE INFORMACIN

Principales razones para auditar y controlar los SI

Toma de decisiones incorrectas Reducir el costo de los errores Control del uso de las TIC Consecuencias de las prdidas de datos Valor del hardware, del software y del personal Privacidad de los datos personales Fraude informtico

AUDITORIA DE SISTEMAS DE INFORMACIN

Funcin

Velar por la eficacia y eficiencia del SI, de forma que ste alcance con el menor costo posible los objetivos. Verificar el cumplimiento de las normas y estndares vigentes en la organizacin (leyes de firma electrnica, de proteccin de datos de carcter personal, de propiedad intelectual del software, etc.). Supervisar el control interno ejercido sobre los SI conducente a la proteccin de los activos de informacin de informacin de la organizacin: recursos humanos, locales e instalaciones, infraestructuras tecnolgicas, sistemas y aplicaciones, informacin tributaria.
8

AUDITORIA DE SISTEMAS DE INFORMACIN

Qu es la metodologa de Auditoria de SI?

Un camino estructurado de forma lgica para asegurar el xito de proyectos de auditora de informtica. Un grupo de etapas que pueden adaptarse a empresas pequeas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditora en informtica.

AUDITORIA DE SISTEMAS DE INFORMACIN

Metodologa y Estndares

Utilizacin de metodologas, instrumentos y procedimientos operativos propios. En la planificacin de las auditoras informticas Empleo de marcos referenciales para la declaracin de los objetivos del control. En el desarrollo de las auditoras informticas empleo de herramientas de auditora especficas.

10

AUDITORIA DE SISTEMAS DE INFORMACIN

Metodologa y Estndares

Los organismos internacionales que se ocupan del control y de la auditora de SI son fuente de fuente de estndares:

ISACA - Asociacin de Auditora y Control de Sistemas de Informacin ISO Organizacin estandarizacin. Internacional para la

NIST Instituto Nacional de Estndares y Tecnologa de los Estados Unidos.

11

AUDITORIA DE SISTEMAS DE INFORMACIN

Metodologa y Estndares

En la actualidad existen tres tipos de metodologas de auditoria informtica:

R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).

12

AUDITORIA DE SISTEMAS DE INFORMACIN

Metodologa y Estndares

En s las tres metodologas estn basadas en la minimizacin de los riesgos, que se conseguir en funcin de que existan los controles y de que stos funcionen. En consecuencia el auditor deber revisar estos controles y su funcionamiento.
Las metodologas de auditora de SI son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran profesionalidad y formacin continua.

13

AUDITORIA DE SISTEMAS DE INFORMACIN

Metodologa y Estndares

Solo existen dos tipos de metodologas para la auditoria de SI Controles Generales.- Son el producto estndar de los auditores profesionales. El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera, es resultado es escueto y forma parte del informe de auditora, en donde se hacen notar las vulnerabilidades encontradas. Estn desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan.
14

AUDITORIA DE SISTEMAS DE INFORMACIN

Metodologa y Estndares

Solo existen dos tipos de metodologas para la auditoria de SI Metodologas de los auditores internos.- Estn formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. Tambin se define el objetivo de la misma, que habr que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genricos, con una orientacin de los controles a revisar. El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor

15