sábado, 29 de octubre de 2011

Alcance de la Auditoria Informática


Introducción


La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.


Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.


Los objetivos de la auditoría Informática son:
  • El control de la función informática
  • El análisis de la eficiencia de los Sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
  • Desempeño 
  • Fiabilidad 
  • Eficacia
  • Rentabilidad 
  • Seguridad 
  • Privacidad


    Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:
  • Gobierno corporativo
  • Administración del Ciclo de vida de los sistemas
  • Servicios de Entrega y Soporte
  • Protección y Seguridad
  • Planes de continuidad y Recuperación de desastres
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

Alcance

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. 
Ejemplo: 
¿Se someterán los registros grabados a un control de integridad exhaustivo*? 
¿Se comprobará que los controles de validación de errores son adecuados y suficientes*?

 La indefinición de los alcances de la auditoría compromete el éxito de la misma.

*Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes.
 Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.
*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.






Los principales objetivos    que constituyen a la auditoría Informática son:
  • el control de la función informática,
  • el análisis de la eficacia del Sistema Informático,
  • la verificación de la implantación de la Normativa,
  • y la revisión de la gestión de los recursos informáticos.
Carcateristicas






  • Síntomas de descoordinación y desorganización:


- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]
  • Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
  • Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
  • Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica- Seguridad Física - Confidencialidad[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)