Auditoría Informática: Propósito, Riesgos y Controles Clave

Clasificado en Otras materias

Escrito el en español con un tamaño de 4,9 KB

¿Qué es la Auditoría Informática?

Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organización, así como dictaminar sobre el resultado de dicha evaluación.

Recursos TIC

  • Aumento de la vulnerabilidad.
  • Beneficios para alcanzar los objetivos.
  • Información como recurso estratégico.
  • Magnitud de los costos e inversiones TIC.
  • Aumento de la productividad.
  • Automatización de los procesos y prestación de servicios.

Factores que Propician la Auditoría Informática

  • Leyes gubernamentales.
  • Políticas internas de la empresa.
  • Necesidad de controlar el uso de equipos computacionales.
  • Altos costos debido a errores.
  • Pérdida de información y de capacidades de procesamiento de datos, aumentando así la posibilidad de toma de decisiones incorrectas.
  • Valor del hardware, software y personal.
  • Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.

Objetivos Generales de la Auditoría Informática

  • Asegurar la integridad, confidencialidad y confiabilidad de la información.
  • Minimizar la existencia de riesgos en el uso de tecnología de información.
  • Conocer la situación actual del área informática para lograr los objetivos.
  • Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, software y las instalaciones.
  • Incrementar la satisfacción de los usuarios de los Sistemas Informáticos.
  • Capacitación y educación sobre controles de los Sistemas de Información.
  • Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para las tecnologías de información.

Riesgo Informático

Según ISO, es la probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico el cual puede estar representado por pérdidas y daños.

Amenaza

Acciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible (virus, desastres ambientales, fallas eléctricas). Pueden ser de tipo lógico y físico.

Vulnerabilidad

Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias.

Impacto

Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras. Pérdida de dinero, pérdida de imagen de la empresa.

Administración de Riesgos

Luego de efectuar el análisis de riesgo-impacto, el ciclo de administración de riesgo finaliza con la determinación de las acciones a seguir:

  • Controlar el riesgo: fortaleciendo los controles existentes o agregar nuevos controles.
  • Eliminar el riesgo.
  • Compartir el riesgo: mediante acuerdos contractuales, traspasando el riesgo a un tercero.
  • Aceptar el riesgo: determinando el nivel de exposición.

La Topología Tradicional de los Controles Informáticos

  • Agente amenazante.
  • Concreción de la amenaza.
  • Daños a los equipos, datos o información.
  • Confidencialidad, Integridad, Disponibilidad.
  • Pérdida de dinero, clientes, imagen de la empresa.

Objetivos de la Auditoría Informática

  • Protección de activos e integridad de datos.
  • Gestionar la eficacia y eficiencia.

Control Interno Informático

Controlar diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo procedimientos, estándares y normas fijados por la dirección de la organización o la dirección informática.

Objetivos Principales

  • Asesorar sobre el conocimiento de las normas.
  • Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al grupo.
  • Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del servicio informático.

Categorías

  • Controles preventivos.
  • Controles detectivos.
  • Controles correctivos.

Algunos Controles Internos

  • Controles generales organizativos.
  • Controles de desarrollo, adquisición y mantenimiento de sistemas de información.
  • Controles de explotación de sistemas de información.
  • Controles en aplicaciones.

Auditoría y Control Interno Informático

  • Formación y Mentalización.
  • Medidas Tecnológicas implantadas.
  • Normas y Procedimientos.
  • Plan de Seguridad.
  • Política de Seguridad.
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
riesgo informático vulnerabilidad gestión de riesgos impacto factores auditoría amenaza objetivos auditoría Auditoría informática seguridad TICs control interno procesos informáticos