Auditoría de ordenadores informáticos

Muchas organizaciones, sin importar su tamaño o alcance de operación, se han dado cuenta de la importancia de utilizar la tecnología de la información para mantenerse a la vanguardia en el escenario global actual. 

Las empresas han invertido en sistemas de información porque reconocen los numerosos beneficios que la TI puede aportar a sus operaciones. La gerencia debe darse cuenta de la necesidad de garantizar que los sistemas de TI sean confiables, seguros e invulnerables a los ataques informáticos.

La seguridad

La importancia de la seguridad de la información es garantizar la confidencialidad, integridad y disponibilidad de los datos. La confidencialidad de los datos significa proteger la información de la divulgación a partes no autorizadas. 

La información como extractos de cuentas bancarias, secretos comerciales e información personal debe mantenerse privada y confidencial. La protección de esta información es una parte importante de la seguridad de la información.

La integridad de los datos se refiere a la protección de la información para que no sea modificada por partes no autorizadas. La información solo es valiosa cuando no ha sido manipulada. 

La información que se haya alterado de manera inapropiada podría resultar costosa, por ejemplo, si realizó una transacción de 1,000 euros y alguien la modificó a 100,000 Euros. La protección de los datos contra la manipulación por personas no autorizadas es fundamental en la seguridad de la información.

Protección de datos

La disponibilidad de información se refiere a garantizar que las personas autorizadas tengan acceso a la información cuando sea necesario. Negar a los usuarios legítimos el acceso a la información es un ataque bastante común en esta era de Internet. 

A los usuarios también se les puede negar el acceso a los datos a través de desastres naturales como inundaciones o accidentes como cortes de energía o incendios. La clave para garantizar la disponibilidad de datos es la copia de seguridad. Lo ideal es que los datos respaldados se almacenen en un lugar lejano para garantizar su seguridad, pero esta distancia debe tener en cuenta el tiempo que tomaría recuperar los datos respaldados.

Por lo tanto, una auditoría de los sistemas de información garantiza que los datos de la organización se almacenen de manera confidencial, que se garantice la integridad de los datos y que los datos estén disponibles en todo momento para los usuarios autorizados. Una auditoría de sistemas de información es una auditoría de los sistemas de TI, la gestión, las operaciones y los procesos relacionados de una organización.

Tipos de auditoría

Hay tres tipos de auditorías de sistemas de información: auditoría realizada en apoyo de una auditoría de estados financieros, auditoría para evaluar el cumplimiento de las leyes, políticas y estándares aplicables relacionados con TI y, finalmente, una auditoría de TI también puede ser un desempeño (o valor para -dinero) auditoría. Los objetivos de esta auditoría incluyen averiguar si existen excesos, ineficiencias y desperdicios en el uso y gestión de los sistemas de TI. Esta auditoría se lleva a cabo para asegurar a las partes interesadas que el sistema de TI implementado es rentable por el dinero invertido en él.

Los auditores de TI pueden participar desde el diseño inicial y la instalación de los sistemas de información para garantizar que se cumplan los tres componentes de la seguridad de la información (confidencialidad, integridad y disponibilidad). Por lo tanto, las funciones de los auditores de TI se pueden resumir en: 

  • participar en el desarrollo de sistemas de alto riesgo para garantizar que existan controles de TI adecuados
  • auditar los sistemas de información existentes
  • brindar soporte técnico a otros auditores y brindar servicios de consultoría de riesgos de TI.

¿Qué se hace durante una auditoría?

Los pasos generales que se siguen durante una auditoría de TI son establecer los objetivos y el alcance, desarrollar un plan de auditoría para lograr los objetivos, recopilar información sobre los controles de TI relevantes y evaluarlos (trabajo preliminar), realizar pruebas y finalmente informar sobre los hallazgos de auditoría. Además, puede haber un paso de seguimiento para averiguar si se han implementado las recomendaciones del equipo de auditoría, así como para abordar cualquier problema que surja.

Las áreas básicas del alcance de una auditoría de TI se pueden resumir como: 

  • la política y los estándares de la organización
  • la organización y gestión de las instalaciones informáticas
  • el entorno físico en el que operan las computadoras
  • la planificación de contingencias
  • la operación del software del sistema
  • el proceso de desarrollo del sistema de aplicaciones, revisión de aplicaciones de usuario y acceso de usuario final.

¿Qué es en realidad un auditor TI?

Los auditores en general han sido percibidos durante mucho tiempo como sádicos, cuya función era encontrar errores que los empleados habían cometido. La percepción de los auditores de TI es algo similar y no es extraño encontrarse con empleados que no cooperan. 

Esto es bastante desafortunado, porque los auditores de TI (como cualquier otro auditor) no están allí para hacer la vida más difícil para todos, sino para escuchar, observar e identificar las áreas de riesgo para hacer la vida más fácil para todos a partir de entonces.

Por lo tanto, se alienta a los gerentes de TI y otros empleados que pueden estar involucrados en el proceso de auditoría a cooperar y a considerar la auditoría como una oportunidad para mejorar la seguridad y confiabilidad de sus sistemas. 

Cualquier recomendación del equipo de auditoría debe tomarse como consejo, porque el papel del auditor es puramente consultivo. La gerencia es responsable de desarrollar sus políticas de seguridad e implementar las recomendaciones del informe de auditoría. Las auditorías son una herramienta de gestión, no un castigo.

Un ejemplo práctico

Para una empresa que se aventura en nuevos mercados, es importante tener en cuenta que una auditoría es útil para generar confianza y reputación pública. Supongamos que una empresa se está estableciendo en un nuevo mercado y el jefe de la empresa decide que la reducción de costos es una prioridad. 

El responsable de la empresa sigue adelante y elige los sistemas de información más baratos que se instalarán, sin tener en cuenta las vulnerabilidades de los nuevos sistemas de las que puede que no tenga conocimiento. Es posible que el proceso de instalación no tenga en cuenta varios controles de TI que conducen a un sistema que es vulnerable a la manipulación. 

Si ocurre un incidente y se informa en las noticias, esta empresa corre el riesgo de perder su reputación y los clientes que pueda haber ganado. Tratar los incidentes de seguridad negativos en las noticias es mucho más costoso que prevenirlos en primer lugar. Perder su reputación significa que los competidores obtienen una base de clientes y un margen de beneficio más amplios.

Conclusión

En resumen, una auditoría de sistemas de información es importante porque asegura que los sistemas de TI están adecuadamente protegidos, brindan información confiable a los usuarios y se administran adecuadamente para lograr los beneficios previstos. También reduce el riesgo de manipulación de datos, pérdida o fuga de datos, interrupción del servicio y mala gestión de los sistemas de TI.