Auditoría de sistemas de información

La auditoría de los sistemas de información está definida como aquella auditoría que contempla el estudio, revisión y valoración de todos los elementos (o parte de ellos) de los sistemas automáticos de procesamiento de la información, incluyendo operaciones no automáticas relacionadas con ellos y su interfaz correspondiente. Existe un requerimiento de promulgación y desarrollo de Normas Generales para este tipo de auditoría ya que tiene una naturaleza especializada y requiere de habilidades específicas por parte del auditor.

Una adecuada planificación de la auditoría informática debe seguir una serie de gestiones previas permitiendo dimensionar el volumen y particularidades del área dentro de la institución a auditar, los tipos de sistemas, disposición y equipos. Estaciones de trabajo, redes de comunicaciones o servidores son revisados exhaustivamente para posteriormente puntualizar las fragilidades presentes en dichos elementos permitiendo saber la realidad de sus activos de información en cuanto a resguardo, control y medidas de seguridad.

La planificación se realiza desde el punto de vista de dos objetivos: Evaluación de los sistemas y procedimientos y Evaluación de los equipos de cómputo. En principio se debe obtener información general sobre la función de informática a evaluar y su organización, para lo cual se debe investigar preliminarmente y realizar algunas entrevistas. La presentación de un programa de trabajo deberá observar todos estos aspectos, el cual incluye costos, recurso humano necesario, documentos a solicitar o formular.

En la investigación preliminar se deberán tomar en cuenta la información de todas las áreas basándose en los siguientes puntos:

En el área de administración se recopila la siguiente información importante: objetivos a corto y largo plazo, recursos materiales y técnicos, documentos sobre equipos instalados y por instalar (numero, localización y características), contratos de compra y garantía de los equipos, ubicación de los equipos.

En el área de sistemas: descripción de los sistemas y programas instalados y que estén por instalarse que sean utilizados para almacenamiento de información, fechas de instalación, características técnicas de los equipos (como capacidad de almacenamiento, velocidad, tipo de procesador, etc.).

El personal participante debe estar debidamente calificado, tener un amplio sentido de moralidad y eficiencia al cual deberá compensarse justamente por su trabajo. El equipo auditor deberá ser conformado por personal del área a auditarse para que colabore con la información requerida. Por otro lado el equipo auditor deberá apoyarse en personal que cumpla con alguna de las siguientes características: técnico en informática, experiencia en informática, operación y análisis de sistemas y/o conocimientos de sistemas operativos. Podría también ser necesaria la participación de personal con conocimientos específicos de bases de datos, sistemas de redes, etc.

MÁS SOBRE

Gerencie.com en su correo.

Suscríbase y nosotros colocaremos en su bandeja de entrada la mejor información que generamos diariamente.

Siéntase libre de opinar

En Gerencie.com está permitido opinar, criticar, discutir, controvertir, disentir, etc. Lo que no está permitido es insultar o escribir palabras ofensivas o soeces. Si lo hace, su comentario será rechazado por el sistema o será eliminado por el administrador. Por último, trate de no escribir en mayúscula sostenida, resulta muy difícil leerle.