Trabajo 2.2 Auditoría y Evaluación Brenda Berenice Hernández Velázquez Fátima Abigail Porras Noriega Elizabeth Santoyo Flores IRIC 901
Trabajo 2.2 Auditoría y Evaluación Investiga y sintetiza una respuesta para cada una de las siguientes cuestiones: a) Qué objetivos busca la auditoría informática. La auditoría informática consiste en la evaluación y cumplimiento de las normas y estándares implementados en la empresa y la verificación de que los procesos se encuentren funcionando de manera correcta, con la finalidad de que la información y el uso de hardware y software esté operando adecuadamente. Los objetivos que busca principalmente son el control de la función informática, el análisis de la eficiencia de los sistemas informáticos, la verificación del cumplimiento de la normativa y la revisión de la eficaz gestión de los recursos informáticos. b) Qué beneficios tiene la realización de una auditoría de manera periódica. Algunos de los beneficios que tiene una auditoría informática periódica incluye: El poder revisar constantemente la eficacia de los procesos y saber si estos son realizados acorde a las normativas de la empresa; la detección de errores al realizar pruebas de producción, mediante las cuales se puede identificar oportunamente si la forma de realizar las actividades es la correcta; y finalmente el tener una inspección más cuidadosa de la cadena de suministro, además de proporcionar los controles necesarios para que los sistemas sean confiables y seguros. c) Qué deficiencias en el manejo de TI, puede encontrar una auditoría. Algunas de las deficiencias en el manejo de TI que se pudieran encontrar al realizar una auditoría incluyen que se pueden encontrar con sistemas operativos desactualizados, que los datos que se almacenan en la base de datos se encuentren expuestos por una mala administración de ésta, o encontrarse con ineficiencias en la topología de red que hacen que no haya una buena comunicación entre dispositivos, entre algunas otras. d) Qué habilidades debe tener un auditor para poder generar un dictamen adecuado. Las habilidades que debe tener un auditor incluyen: capacidad de observación, acoplamiento a diferentes entornos o contextos, mostrar seguridad en lo que hace, imparcialidad durante el proceso de auditoría, ser firme en cuanto a su toma de decisiones, formular de forma clara y con razonamiento lógico las conclusiones sobre la auditoría realizada y debe disponer de los conocimientos necesarios referentes al área donde se aplicará la auditoría. e) Qué se debería evaluar en una inspección física. En la inspección física deberían evaluarse tanto los equipos TI como la organización y modos de gestión del establecimiento para verificar que la organización haya adoptado las medidas necesarias para garantizar un alto nivel de protección para las personas y los activos de TI. Principalmente se debe evaluar la veracidad de datos e información suministrada, la toma de medidas para prevenir accidentes, controles de acceso, estándares aplicables, planes de emergencia y capacitación, las estaciones de trabajo, la infraestructura de red, servidores y que esto se encuentre actualizado y se le de mantenimiento. f) Qué se debería evaluar con relación al software y por qué. Con relación al software, de manera general se debería evaluar que las licencias sean vigentes y se les de un uso adecuado, que el código fuente sea accesible, el registro y autorización de los cambios, las pruebas de implementación, los sistemas de reportes de errores, la actualización de soporte de los licenciamientos, la disponibilidad de los manuales de usuario, etc. Esto debe realizarse porque así se asegura que las aplicaciones se encuentren vigentes para que sigan recibiendo soporte, actualizaciones y mejoras de seguridad, lo cual representaría rentabilidad y ventaja competitiva en el mercado. g) Con relación a una auditoría informática, qué se puede evaluar del recurso humano. Con relación al recurso humano, se deben evaluar las políticas y prácticas del personal de la empresa y también su funcionamiento actual, además de sugerencias para mejorar. Se deben evaluar principalmente las capacidades de los usuarios respecto a su experiencia utilizando los sistemas de información, su conciencia al usar los recursos (por ejemplo si saben cómo identificar un phishing), cómo está funcionando el personal, localizar las prácticas o condiciones que pudieran ser perjudiciales para la empresa o no se justifiquen, o prácticas y condiciones que debieran incrementarse, etc.