article banner
NOVEDADES

¿Qué es Auditoría de Sistemas de Información?

La auditoría de los Sistemas de Información es aquella que contempla el estudio, revisión y valoración de

Todos los elementos (o parte de ellos) de los sistemas automáticos de procesamiento de la información, incluyendo operaciones no automáticas relacionadas con ellos y su interfaz correspondiente. Existe un requerimiento de promulgación y desarrollo de Normas Generales para este tipo de auditoría ya que tiene una naturaleza especializada y requiere de habilidades específicas por parte del auditor.

Una adecuada planificación de la auditoría informática debe seguir una serie de gestiones previas permitiendo dimensionar el volumen y particularidades del área dentro de la institución a auditar, los tipos de sistemas, disposición y equipos. Estaciones de trabajo, redes de comunicaciones o servidores son revisados exhaustivamente para posteriormente puntualizar las fragilidades presentes en dichos elementos permitiendo saber la realidad de sus activos de información en cuanto a resguardo, control y medidas de seguridad.

La planificación se realiza desde el punto de vista de dos objetivos: Evaluación de los sistemas y procedimientos y Evaluación de los equipos de cómputo. En principio se debe obtener información general sobre la función de informática a evaluar y su organización, para lo cual se debe investigar preliminarmente y realizar algunas entrevistas. La presentación de un programa de trabajo deberá observar todos estos aspectos, el cual incluye costos, recurso humano necesario, documentos a solicitar o formular.

En la investigación preliminar se deberán tomar en cuenta la información de todas las áreas basándose en los siguientes puntos:

  • En el área de administración se recopila la siguiente información importante: objetivos a corto y largo plazo, recursos materiales y técnicos, documentos sobre equipos instalados y por instalar (numero, localización y características), contratos de compra y garantía de los equipos, ubicación de los equipos.
  • En el área de sistemas: descripción de los sistemas y programas instalados y que estén por instalarse que sean utilizados para almacenamiento de información, fechas de instalación, características técnicas de los equipos (como capacidad de almacenamiento, velocidad, tipo de procesador, etc.).
  • El personal participante debe estar debidamente calificado, tener un amplio sentido de moralidad y eficiencia al cual deberá compensarse justamente por su trabajo. El equipo auditor deberá ser conformado por personal del área a auditarse para que colabore con la información requerida. Por otro lado, el equipo auditor deberá apoyarse en personal que cumpla con alguna de las siguientes características: técnico en informática, experiencia en informática, operación y análisis de sistemas y/o conocimientos de sistemas operativos. Podría también ser necesaria la participación de personal con conocimientos específicos de bases de datos, sistemas de redes, etc.