Auditoría informática
A auditoría informática é o proceso de recoller, agrupar e avaliar evidencias para determinar se un Sistema de Información salvagarda o activo empresarial, mantén a integridade dos datos, leva a cabo eficazmente os fins da organización, utiliza eficientemente os recursos, e cumpre coas leis e regulacións establecidas.
Auditar consiste principalmente en estudar os mecanismos de control que están implantados nunha empresa ou organización, determinando se os mesmos son adecuados e cumpren uns determinados obxectivos ou estratexias, establecendo os cambios que se deberían realizar para a consecución dos mesmos. Os mecanismos de control poden ser directivos, preventivos, de detección, correctivos ou de recuperación ante unha continxencia.
Os obxectivos da auditoría Informática son:
- O control da función informática.
- A análise da eficiencia dos Sistemas Informáticos.
- A verificación do cumprimento da Normativa neste ámbito.
- A revisión da eficaz xestión dos recursos informáticos.
A auditoría informática serve para mellorar certas características na empresa como:
- Eficiencia.
- Eficacia.
- Rendibilidade.
- Seguridade.
Xeralmente pódese desenvolver nalgunha ou combinación das seguintes areas:
- Goberno corporativo.
- Administración do Ciclo de vida dos sistemas.
- Servizos de Entrega e Soporte.
- Protección e Seguridade.
- Plans de continuidade e Recuperación de desastres.
A necesidade de contar con lineamentos e ferramentas estándar para o exercicio da auditoría informática promoveu a creación e desenvolvemento de mellores prácticas como COBIT, COSO e ITIL.
Actualmente a certificación de ISACA para ser CISA Certified Information Systems Auditor é unha das máis recoñecidas e avaladas polos estándares internacionais xa que o proceso de selección consta dun exame inicial bastante extenso e a necesidade de manterse actualizado acumulando horas (puntos) para non perder a certificación.
Tipos de Auditoría informática
[editar | editar a fonte]Dentro da auditoría informática destacan os seguintes tipos (entre outros):
- Auditoría da xestión: Referido á contratación de bens e servizos, documentación dos programas etc.
- Auditoría legal do Regulamento de Protección de Datos: Cumprimento legal das medidas de seguridade esixidas polo Regulamento de desenvolvemento da Lei Orgánica de Protección de Datos.
- Auditoría dos datos: Clasificación dos datos, estudo das aplicacións e análises dos fluxogramas.
- Auditoría das bases de datos: Controis de acceso, de actualización, de integridade e calidade dos datos.
- Auditoría da seguridade: Referidos a datos e información verificando dispoñibilidade, integridade, confidencialidade, autenticación e non repudio.
- Auditoría da seguridade física: Referido á localización da organización, evitando localizacións de risco, e nalgúns casos non revelando a situación física desta. Tamén está referida ás proteccións externas (arcos de seguridade, CCTV, vixiantes etc.) e proteccións da contorna.
- Auditoría da seguridade lóxica: Comprende os métodos de autenticación dos sistemas de información.
- Auditoría das comunicacións. Refírese á auditoría dos procesos de autenticación nos sistemas de comunicación.
- Auditoría da seguridade en produción: Fronte a erros, accidentes e fraudes.
Perfil do auditor informático
[editar | editar a fonte]A un auditor informático presupónselle certa formación informática e experiencia no sector, independencia e obxectividade, madurez, capacidade de síntese e análise e seguridade en si mesmo.
En España existe un baleiro legal pola ausencia de normativas que defina claramente:
- Quen pode realizar auditoría informática.
- Como se debe realizar unha auditoría informática.
- En que casos é necesaria unha auditoría informática.
Existen diversas materias que están reguladas en materia informática:
- Lei de auditoría de contas.
- Lei de Servizos da Sociedade da Información e do Comercio Electrónico.
- Lei Orgánica de Protección de Datos.
Ningunha destas normas definen quen pode ser auditor informático, aínda que debe de dispor de coñecementos tanto na normativa aplicable, como en informática, como na técnica da auditoría, sendo xa que logo aceptables equipos multidisciplinarios formados por informáticos e licenciados en dereito especializados no mundo da auditoría.
Principais probas e ferramentas para efectuar unha auditoría informática
[editar | editar a fonte]Na realización dunha auditoría informática o auditor pode realizar as seguintes probas:
- Probas clásicas: Consiste en probar as aplicacións / sistemas con datos datos de proba, observando a entrada, a saída esperada, e a saída obtida. Existen paquetes que permiten a realización destas probas.
- Probas substantivas: Achegan ao auditor informático as suficientes evidencias e que se poida formar un xuízo. Adóitanse obter mediante observación, cálculos, mostraxes, entrevistas, técnicas de exame analítico, revisións e conciliacións. Verifican así mesmo a exactitude, integridade e validez da información.
- Probas de cumprimento: Determinan se un sistema de control interno funciona adecuadamente (segundo a documentación, segundo declaran os auditados e segundo as políticas e procedementos da organización).
As principais ferramentas das que dispón un auditor informático son:
- Observación.
- Realización de cuestionarios.
- Entrevistas a auditados e non auditados.
- Mostraxe estatística.
- Fluxogramas.
- Listas de recoñecemento.
- Mapas conceptuais.