Auditoria de la Informacin

Elaborado por:

Prez Alonso @aljpc

alpc001@gmail.com

La Auditora de Sistemas de Informacin Auditar hoy en da es de suma importancia para nuestras empresas sobre todo aqu en Venezuela, ya que de esta forma verifican y validan que sus sistemas integrados estn en buen funcionamiento y siendo lo mas eficaz posible para de esta manera generar el mejor rendimiento posible y as lograr que nuestro pas vaya mejorando tcnica y tecnolgicamente. No es fcil ser auditor, se debe tener mucha perseverancia y sobre todo saber mucho sobre como tratar al cliente, tener mucha tica profesional, estar claro hasta donde puedo llegar con mi auditoria, conocer las leyes, por eso hay que estudiar al menos las leyes de tecnologa que hay en la constitucin y sobre todo conocer toda la organizacin a la cual se va a auditar. De tal manera es bueno ver un resumen de las normas mas usadas para auditar como lo es COBIT & ISO 27000, algunas ventajas y desventajas que pueden observarse entre ellas, cabe destacar que hay otras que son creadas por el mismo auditor, que no son relevantes y muy poco usadas. Concepto Segn Alonso Palermo (2003) la auditoria en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. Segn la organizacin ISACA, la auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. Tomando en consideracin lo anteriormente expuesto, se puede decir que la auditora de sistemas de informacin es la verificacin del funcionamiento de los mismos y la evaluacin para determinar si estos cumplen con las normas y estndares establecidos (como ISO27000 y COBIT). Esto incluye tanto a las tecnologas blandas como a las duras. Objetivo La auditora de sistemas de informacin tiene como objetivo soportar a la gerencia de la organizacin en cuanto a la toma de decisiones que se refieren a la tecnologa (blanda o dura) que posee, que a su vez apoya varios o todos los procesos internos. Garantizar la seguridad de los sistemas, conformar las directrices de los estndares de sistemas, gestionar la seguridad de datos y realizar los anlisis de servicios y aplicaciones son slo

algunos de los objetivos de las auditoras, por lo que se puede decir que los objetivos de las auditoras de sistemas de informacin son: Buscar el mayor beneficio posible y la relacin que estos guarden con los costos de los sistemas implantados (software, plataforma tecnolgica, sistemas de cmputos, etc) Aumentar la satisfaccin de los usuarios. Garantizar la mayor integridad, confidencialidad y confiabilidad de la informacin Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Soporta la toma de decisiones de inversin y gastos innecesarios Soporta la educacin sobre controles en los Sistemas de Informacin

Normas Generales para la auditora de sistemas de Informacin ISO 27000 Es una norma que tiene asignada todo lo referente a la seguridad de datos, especfica los
requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI).

COBIT En ingls: Control Objectives for Information and related Technology (COBIT), Objetivos de Control para Tecnologas de informacin y relacionadas. Se define como un conjunto de las mejores prcticas para el manejo de informacin. Ventajas y Desventajas de ISO 27000 y COBIT ISO 27000 Proteccin de la informacin Diferenciacin Confidencialidad con los socios, proveedores y clientes. Adopcin de un estndar global Cumplimiento con mandatos y reglas Reforzamiento de procedimientos La informacin pertenece a la alta gerencia Revisin independiente de la SGSI (Information Security Management System) Mejorar la conciencia de seguridad Combinar recursos con otros Sistemas de Administracin Mecanismos para medir los sucesos del control de seguridad

COBIT La mejora de gobierno corporativo de Tecnologas de Informacin de las organizaciones en la reduccin de los riesgos operacionales. Los objetivos de control para la informacin y tecnologas relacionadas (COBIT) es una estrategia de buen marco para ayudar a una organizacin. Orientado al negocio Alineado con estndares y regulaciones Basado en una revisin crtica y analticas de actividades en TI. Alineado con estndares de control y auditoras (COSO, IFAC, IIA, ISACA, AICPA)

tica y Responsabilidad Profesional del Auditor La tica y moral viene desde que nacimos y que todo a nuestro alrededor ya seamos de otras razas y/o religiones siempre seremos humanos y todos somos iguales. La tica Profesional es reconocida como la ciencia normativa que estudia los deberes y los derechos de los profesionales en el cumplimiento de sus actividades laborales y en sus relaciones con sus clientes, el estado, y sus colegas. La tica Profesional, puede definirse como el conjunto de principios ticos asumidos voluntariamente por quienes profesan una determinada Profesin, por razones de integridad, de profesionalismo y de responsabilidad social, lo que implica un compromiso de identidad con el rol que cumplen en la vida social. La tica profesional del auditor, se refiere a la responsabilidad del mismo para con el pblico, hacia los clientes y colegas y los niveles de conducta mximos y mnimos que debe poseer. Al respecto, se corresponden los siguientes principios: 1. Beneficio del auditado. 2. Calidad. 3. Capacidad. 4. Comportamiento profesional 5. Concentracin en el trabajo. 6. Confianza y Transparencia en el trabajo. 7. Criterio propio. 8. Discrecin 9. Formacin continuada 10. Fortalecimiento y respeto de la profesin 11. Independencia. 12. Informacin suficiente 13. Integridad moral. 14. Legalidad. 15. Precisin 16. Responsabilidad 17. Secreto profesional 18. Veracidad 19. Dignidad.20. Transparencia.-

21. 22. 23. 24.

Vocacin de servicio.Justicia y equidad.Solidaridad y tolerancia.Respeto por el orden jurdico.

Bibliografa Algunas fuentes de: http://es.wikipedia.org/wiki/COBIT http://es.wikipedia.org/wiki/ISO_27000_series http://www.monografias.com/trabajos16/auditoria-de-informacion/auditoria-deinformacion.shtml