Photo by Jhonatan Rumbos
En este editorial, se presentan las etapas y actividades para la planificación del desarrollo de la auditoria sobre un sistema computacional. La auditoria es un proceso sistemático y objetivo que busca evaluar el cumplimiento de los requisitos y normas establecidos para el funcionamiento de un sistema. La planificación es una fase clave que determina los objetivos, el alcance, los recursos, los métodos y los criterios de la auditoria. Las etapas y actividades que se deben realizar son las siguientes:
- Definir el propósito y los objetivos de la auditoria: se debe establecer claramente qué se quiere lograr con la auditoria, cuáles son las preguntas clave que se quieren responder y cuáles son los beneficios esperados.
- Identificar el sistema a auditar: se debe seleccionar el sistema computacional que se va a examinar, teniendo en cuenta su relevancia, su complejidad, su riesgo y su historial de auditorias previas.
- Determinar el alcance de la auditoria: se debe definir el ámbito de la auditoria, es decir, qué aspectos del sistema se van a evaluar, qué periodos se van a cubrir y qué limitaciones se van a considerar.
- Establecer los recursos necesarios: se debe estimar el tiempo, el personal, el presupuesto y los medios técnicos que se requieren para realizar la auditoria de forma eficiente y efectiva.
- Diseñar el plan de auditoria: se debe elaborar un documento que describa los pasos a seguir para ejecutar la auditoria, incluyendo las actividades, las responsabilidades, los plazos, las técnicas y las herramientas a utilizar.
- Preparar los documentos de trabajo: se debe recopilar y organizar la información relevante sobre el sistema a auditar, como por ejemplo, los manuales, los procedimientos, los registros, los informes y las evidencias.
- Coordinar con las partes interesadas: se debe comunicar e informar a las personas involucradas en el sistema a auditar sobre los objetivos, el alcance, los recursos y el plan de la auditoria, así como solicitar su colaboración y apoyo.
Estas etapas y actividades permiten planificar el desarrollo de la auditoria sobre un sistema computacional de forma ordenada y sistemática, lo que facilita su ejecución y su evaluación posterior.
En este artículo vamos a desarrollar un caso práctico de auditoría de sistemas informáticos aplicado a una empresa llamada Nextcom Systems, Inc. Esta empresa se dedica a ofrecer servicios de consultoría y soluciones tecnológicas a sus clientes, tanto en el ámbito nacional como internacional. Para ello cuenta con un equipo humano formado por un director, un gerente de recursos humanos, un administrador, un gerente de ventas, un gerente de servicios, un consultor senior y varios consultores junior. La empresa dispone de una red corporativa que conecta las computadoras de oficina con los servidores centrales y con Internet.
El primer paso para realizar una auditoría de sistemas informáticos es definir el diagnóstico inicial, que consiste en establecer los objetivos y los alcances de la auditoría, así como identificar los riesgos y las áreas críticas a evaluar.
- Verificar el cumplimiento de las normas y políticas de seguridad informática establecidas por la empresa y por la legislación vigente.
- Evaluar la eficiencia y la efectividad de los sistemas informáticos en relación con los procesos de negocio y las necesidades de los usuarios.
- Detectar las vulnerabilidades y las amenazas que puedan comprometer la integridad, la disponibilidad y la confidencialidad de la información.
- Proponer medidas correctivas y preventivas para mejorar el nivel de seguridad y el rendimiento de los sistemas informáticos.
- La auditoría se realizará sobre las computadoras de oficina que estén conectadas a la red corporativa, tanto física como inalámbricamente.
- La auditoría abarcará los aspectos técnicos y organizativos relacionados con los sistemas informáticos, tales como el hardware, el software, las comunicaciones, los accesos, los respaldos, las actualizaciones, etc.
- La auditoría se basará en las normas y marcos de referencia más reconocidos en el ámbito de la seguridad informática, como ISO 27001, COBIT o NIST.
Nextcom Systems, Inc es una empresa que tiene como misión ofrecer servicios de consultoría y soluciones tecnológicas innovadoras y personalizadas a sus clientes, con el fin de mejorar su competitividad y satisfacción.
Su visión es ser una empresa líder y referente en el mercado nacional e internacional, reconocida por su calidad, su profesionalidad y su compromiso con el medio ambiente.
- Incrementar su cartera de clientes y fidelizar a los existentes mediante una atención personalizada y una oferta adaptada a sus necesidades.
- Ampliar su presencia geográfica y diversificar sus líneas de negocio mediante alianzas estratégicas con otros socios tecnológicos.
- Potenciar su capital humano mediante la formación continua, el desarrollo profesional y el bienestar laboral.
- Optimizar sus recursos mediante la mejora continua de sus procesos internos y el uso eficiente de las tecnologías.
Photo by Jhonatan Rumbos
Para realizar el levantamiento de información que se va a aplicar en la auditoría se utilizarán las siguientes herramientas y técnicas:
- Entrevistas: Se realizarán entrevistas al personal clave de la empresa para conocer sus funciones, sus responsabilidades, sus expectativas y sus opiniones sobre los sistemas informáticos que utilizan.
- Cuestionarios: Se aplicarán cuestionarios al resto del personal para recabar datos sobre el grado de conocimiento, uso y satisfacción con los sistemas informáticos.
- Observación directa: Se observará in situ el funcionamiento y el estado de los equipos informáticos, así como las condiciones ambientales y físicas del lugar donde se ubican.
- Análisis documental: Se revisará la documentación existente sobre los sistemas informáticos, como manuales, procedimientos, registros, contratos, licencias, etc.
- Pruebas técnicas: Se realizarán pruebas técnicas sobre los sistemas informáticos para verificar su configuración, su funcionamiento, su seguridad y su rendimiento. Para ello se utilizarán herramientas específicas como escáneres de vulnerabilidades, analizadores de tráfico o simuladores de ataques.
El área que se va a auditar es el departamento de sistemas informáticos, que se encarga del diseño, la instalación, la administración, el mantenimiento y el soporte de los sistemas informáticos de la empresa.
- De un equipo portátil con conexión a Internet
- De un dispositivo USB con capacidad suficiente para almacenar datos
- De software específico para realizar las pruebas técnicas
- De software ofimático para elaborar los informes
- De acceso autorizado a la red corporativa
- De acceso autorizado a los servidores centrales
- De acceso autorizado a las computadoras
- De oficina auditadas
- Un equipo auditor formado por dos personas:
- Un auditor líder que coordine el trabajo
- Un auditor asistente que apoye en las tareas
- Un responsable del departamento auditado que facilite la información
- Un contacto del cliente que supervise el proceso
Echenique,J.(2001).AuditoríaenInformática.México:McGraw-Hill.
Acha,J.(1994).AuditoríaInformáticaEnLaEmpresa.Madrid:ParaninfoS.A.
MUÑOZ, C. (2002).Auditoría en Sistemas Computacionales. México: Person Educación.
Castañón M. (2012).Auditoría de sistemas de información. Documento en línea. Recuperado 30 de Mayo de 2023 en: https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion/
Marcelo R. (2016). Fases de Auditoria. Videoenlínea. Recuperado 31 de Mayo de 2023 en: https://www.youtube.com/watch?v=9z8luBaBEyU&ab_channel=RubiMarcelo
Photo by Jhonatan Rumbos