Auditoria de sistemas

Metodología, herramientas y procedimientos de las AUDITORÍA DE SISTEMAS

Introducción

La auditoría de sistemas es un proceso fundamental para garantizar la eficiencia y la eficacia de los sistemas de información de una organización. Este proceso implica la evaluación, análisis y revisión de los sistemas informáticos de la empresa con el objetivo de identificar posibles riesgos, oportunidades de mejora y asegurar el cumplimiento de los requisitos legales y normativos. Para llevar a cabo una auditoría de sistemas de manera efectiva, se requiere de una metodología clara, herramientas adecuadas y procedimientos bien definidos.

Una metodología bien definida proporciona un marco de referencia para el equipo de auditoría, lo que les permite llevar a cabo el proceso de manera sistemática y enfocada en los objetivos de la auditoría.

A continuación, se abordarán los aspectos más importantes de la metodología, herramientas y procedimientos de las auditorías de sistemas para entender mejor cómo estas pueden contribuir a mejorar la seguridad y la eficiencia de los sistemas informáticos de una organización.

RIESGOS

¿Qué es el Riesgo en una auditoria de sistemas?

Al igual que cualquier otra área de funcionamiento de Un riesgo de auditoría es aquel que

De esta forma el auditor ayuda a evitar la materialización de riesgos como fraudes, lavado de dinero, operativos, incumplimientos normativos, ataques cibernéticos, entre otros, pues recomienda cuáles son las acciones que se deben tomar y los controles que se deben ajustar en los sistemas para que esto no suceda.

RIESGOS

¿Qué riesgos se deben considerar a la hora de realizar una auditoria de sistemas?

Una vez comprendido el concepto sobre que se considera “Riesgo” en una auditoria de sistemas, es más fácil entender cuáles son dichos riesgos que se deben de tener presentes: De manera general, se han determinado 3 tipos de riesgos que se deben tener en cuenta en una auditoria de sistemas, los cuales son:

Riesgo inherente Riesgo de control Riesgo de detección.

Riesgo inherente

Este tipo de riesgo además de estar fuera del control de un auditor, tiene que ver exclusivamente con la actividad económica de la empresa independientemente de las metodologías de control que se apliquen.

El factor principal que conlleva al desarrollo de ese riesgo es el volumen de las transacciones o productos que tiene la empresa.

RIESGOS

¿Qué riesgos se deben considerar a la hora de realizar una auditoria de sistemas?

Riesgo de control Riesgo de detección

Una empres es capaz de perder el control total de un proceso de auditoria, o no realizarlo correctamente, lo que llevaría a la aparición de situaciones irregulares en los sistemas de contabilidad y de información.

En este tipo de riesgo influye de manera significativa el control interno, sin él, remediar incorreciones de manera precisa puede ser un gran problema.

Se da cuando en la auditoría no se detecta la existencia de errores en el proceso realizado, generalmente deriva de procedimientos inadecuados por parte del grupo auditor.

Si una auditoria tiene un problema con los riesgos de detección es muy probable que debilite el riesgo de control y el riesgo inherente. El riesgo de detección es fundamental para ejecutar una auditoria exitosa.

Distintas metodologías de la auditoria en sistemas

Debido a la complejidad que representa una Auditoria de Sistemas, es necesario contar con habilidades y herramientas para poder realizar una auditoria de manera exitosa, para eso existe una serie de metodologías que permiten optimizar desarrollo de una auditoria en acción. Durante el desarrollo de una Auditoria de Sistemas diferentes metodologías son utilizadas para el buen funcionamiento de dicha auditoría, las 4 principales son las siguientes:

ESTUDIO PRELIMINAR

Su objetivo es obtener una comprensión general de los sistemas y procesos de la organización.

REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES:

Esta evaluación puede incluir la revisión de políticas y procedimientos, la revisión de configuraciones de seguridad, la realización de pruebas de penetración, entre otros.

EXAMEN DETALLADO DE ÁREAS CRITICAS:

Es usada para identificar posibles debilidades o áreas que necesiten mejoras. Esta evaluación incluye la revisión de registros de auditoría y gestión de contraseñas, entre otros…

COMUNICACIÓN DE RESULTADOS:

En esta ultima y no menos importante fase se presenta un informe de auditoría detallado que resume los hallazgos, las recomendaciones y las observaciones realizadas durante el proceso de auditoría. El informe debe ser claro, preciso y conciso y debe incluir recomendaciones para mejorar los controles y la seguridad de los sistemas.

Distintas metodologías de la auditoria en sistemas

Normas Generales:

La auditoría en sistemas es una disciplina especializada que busca evaluar la seguridad y la eficiencia de los sistemas informáticos y de la información. Hay varias metodologías de auditoría en sistemas, pero todas comparten las mismas normas generales:

Independencia:

La auditoría debe realizarse de manera independiente, imparcial y objetiva El auditor debe ser libre de cualquier influencia

Confidencialidad:

La información obtenida durante el desarrollo de una auditoria debe ser totalmente discreta a personas no autorizadas.

Competencia profesional:

El auditor debe tener las habilidades, conocimientos y experiencia necesarios para llevar a cabo una auditoría en sistemas. Esto incluye estar actualizado con las últimas tendencias y tecnologías.

Informe:

El informe debe incluir recomendaciones específicas para mejorar la seguridad y la eficiencia de los sistemas auditados.

Debido cuidado:

El auditor debe realizar su trabajo con el cuidado y la diligencia adecuados. Debe seguir los procedimientos adecuados, obtener la evidencia suficiente y apropiada y evaluarla de manera crítica.

Objetivos de control de metodología de auditoría.

La metodología de auditoría de sistemas tiene varios objetivos de control que se utilizan para evaluar la eficacia y eficiencia de los controles de seguridad de la información en una organización.

Estos son solo algunos de los objetivos de control comunes en la auditoría de sistemas. La elección de los objetivos de control dependerá de la naturaleza y el alcance de la auditoría, así como de los riesgos específicos que enfrenta la organización.

• ACCESO AUTORIZADO

El acceso a los sistemas y datos debe ser limitado solo a autorizados

• INTEGRIDAD DE LA INFORMACIÓN

Garantizar que la información sea precisa y completa sin manipulaciones no autorizadas.

• DISPONIBILIDAD DE LOS SISTEMAS Y DATOS

Asegurar que los sistemas y datos estén disponibles cuando sea necesario.

• CONFIDENCIALIDAD DE LA INFORMACIÓN

Asegurar que la información se mantenga confidencial y que solo los usuarios autorizados puedan acceder a ella.

• GESTIÓN DE CAMBIOS

Garantizar que los cambios en los sistemas y la información gestionados de manera controlada.

• SEGURIDAD FÍSICA

Garantizar que los controles de seguridad física, como el acceso a las instalaciones y la protección de los equipos, sean efectivos para prevenir robos o daños a los sistemas y la información.

Recopilación de la documentación y evidencias de la auditoría.

La recopilación de la documentación y evidencias de la auditoría es un proceso clave en la auditoría, ya que permite a los auditores obtener la información necesaria para evaluar la eficacia y eficiencia de los controles internos de una organización. Este proceso implica la identificación, selección y obtención de documentos y registros relevantes que respalden los procesos, procedimientos y controles que se están evaluando.

Durante la recopilación de la documentación, los auditores pueden utilizar una variedad de técnicas y herramientas, incluyendo entrevistas con el personal de la organización, análisis de documentos, inspecciones físicas y pruebas de control. Los auditores también pueden obtener evidencia a través de pruebas de sustantividad, que implican la revisión de transacciones para determinar si existen errores o irregularidades.

Es importante destacar que la recopilación de la documentación y evidencias de la auditoría debe realizarse de manera cuidadosa y rigurosa, con el objetivo de garantizar que la información obtenida sea confiable, relevante y suficiente para respaldar las conclusiones y recomendaciones de la auditoría. Los auditores deben seguir las normas y procedimientos de auditoría establecidos para garantizar la calidad y la integridad de la información recopilada.

Fallas y debilidades del Sistema computacional

Es importante tener en cuenta que cada sistema es único y que sus debilidades y fallas pueden variar en función de los componentes que lo conforman, su configuración y su entorno de uso. Es por eso que es fundamental realizar evaluaciones periódicas de seguridad en los sistemas. A continuación un resumen de las fallas más universales:

ERRORES DE PROGRAMACIÓN: Estos errores pueden provocar que un sistema no funcione correctamente o que pueda ser vulnerable a ataques externos.

FALLOS EN LOS COMPONENTES FÍSICOS: Los componentes físicos, como discos duros, placas base, tarjetas de red, entre otros, pueden fallar y provocar que un sistema no funcione correctamente.

VIRUS Y MALWARE: El software malicioso puede infectar un sistema y provocar daños o robar información.

VULNERABILIDADES DE SOFTWARE: El software que se utiliza en un sistema puede tener vulnerabilidades que permitan que los atacantes lo exploten para acceder al sistema o para provocar daños.

FALLOS EN LA CONFIGURACIÓN: Una configuración incorrecta de un sistema o de sus componentes puede provocar fallas o debilidades afecten su desempeño o seguridad.

FALLOS EN LA GESTIÓN DE LOS USUARIOS: Una mala gestión de usuarios, contraseñas y permisos puede permitir que usuarios no autorizados accedan a un sistema o a su información.

Técnicas y herramientas necesarias para identificar los riesgos a que está expuesta la información.

Existen diversas técnicas que se pueden utilizar para identificar los riesgos a los que está expuesta la información, combinándolas es posible desarrollar estrategias para erradicarlos.

Análisis de riesgos: Implica identificar los activos valiosos y la información crítica que se deben proteger, y luego identificar las amenazas potenciales y las vulnerabilidades del sistema que pueden ser explotadas por los atacantes.

Análisis de vulnerabilidades: Se utiliza para identificar las debilidades de los sistemas de información, las aplicaciones y las redes. Permite ayudar a determinar el nivel de riesgo asociado con cada debilidad y a priorizar las acciones para remediarlas.

Revisión de políticas y procedimientos: Implica revisar las políticas y procedimientos de seguridad existentes para identificar posibles debilidades o fallas en el enfoque de seguridad de la organización.

Análisis de tendencias: Puede proporcionar información valiosa sobre los riesgos a los que está expuesta la información. Al examinar los patrones de actividad, se pueden identificar las áreas en las que los riesgos son más altos y se pueden tomar medidas preventivas.

Entrevistas: Las entrevistas con expertos y usuarios de los sistemas de información pueden ser una fuente valiosa de información para identificar los riesgos. Se puede obtener información sobre los procesos de negocio y los activos de información.

Referencias Bibliográficas

Antonio Brizuela. (2023). Riesgos de auditoria y sus tipos.

Gerencie.com. Recuperado: 28 de Febrero del 2023. Disponible en:

https://www.gerencie.com/tipos-de-riesgos-de-auditoria.html

Ederlys H. Melendez. (2023). Riesgos en auditoria. Gestiopolis.

Recuperado: 28 de Febrero del 2023. Disponible en:

https://www.gestiopolis.com/riesgos-en-auditoria/

Francisco N. Solarte S. (2023). Metodología para realizar auditoría. Blogstop. Recuperado: 1 de Marzo del 2023. Disponible en:

http://auditordesistemas.blogspot.com/2011/11/metodologia-pararealizar-auditoria.html

Andrésn Q. Arias. (2023). Auditoría Informática: Control Interno. Worpdress. Recuperado: 1 de Marzo del 2023. Disponible en:

https://chaui201521701020289.wordpress.com/2015/11/22/controlinterno/

Patricia Nuño. (2023). Auditoría en Sistemas. Emprende PYME.

Recuperado: 1 de Marzo del 2023. Disponible en:

https://emprendepyme.net/auditoria-de-sistemas.html