jueves, 1 de diciembre de 2016

La Auditoría Informática





Antes de ahondar en la auditoría informática es necesario conocer que es la auditoria como tal. Puede considerarse, un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír;  nace como un órgano de control de algunas instituciones estatales y privadas.
La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes; posee elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre de recomendaciones.

La Auditoria se rige en su ejercicio por una serie de principios, entre los mas importantes  estan:

PRINCIPIO DE CALIDAD  

• En el auditor deberá prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. 
• En los casos en el que la precariedad de medios puestos a su disposición impidan o dificulten seriamente la realización de la auditoría, deberá segarse a realizarla hasta que se garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.

PRINCIPIO DE CAPACIDAD 

 • El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión de las mismas. 
• Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoría evitando que una sobreestimación personal pudiera provocar el incumplimiento parcial o total de la misma. 
• Conviene indicar que en los casos de producirse, por el contrario, una subestimación de su capacidad de su capacidad profesional, esta circunstancia podría afectar negativamente en la confianza del auditado sobre el resultado final de la auditoría. 
• A efectos de garantizar, en la medida de lo posible, la pertinencia de sus conocimientos, el auditor deberá procurar que éstos evolucionen, al unísono con el desarrollo de las tecnologías de la información, en una forma dinámica. 
• Es deseable que se fortalezca la certificación profesional de la aptitud de los auditores para realizar unos trabajos de índole tan compleja. 
• Esta certificación que deberá tener a plazo de validez acorde con la evolución de las nuevas tecnologías de la información de la información, debería estar validada y garantizada por la metodología empleada para acreditar dicha especialización.

PRINCIPIO DE CAUTELA


•  El auditor en todo momento debe ser consiente de que sus recomendaciones deben estar basadas en el experiencia contrastada que se le supone tiene adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolución de las nuevas tecnologías de la información. 
•  Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas tecnologías de información e informar al auditado de su previsible evolución, no es menos cierto que deben evitar la tentación de creer que, gracias a sus conocimientos, puede aventurar, con un casi absoluto grado de certeza. 
•  Debe, por tanto, el auditor actuar con un cierto grado de humildad, evitando dar la impresión de estar al corriente de una información privilegiada sobre el estado real de la evolución de los proyectos.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL  

•  El auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en todo momento, actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y de corrección en el trato personal. 
•  Para ello deberá cuidar la moderación en la exposición de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisión y exactitud en sus comentarios. 
•  El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias, debiendo eludir las injerencias no solicitadas por él, de profesionales de otras áreas, en temas relacionadas o que puedan incidir en el resultado da la auditoría.


Características de la Auditoría Informática:

La información de la empresa y para la empresa, siempre importante, por ello se considera un  activo real de la misma, como sus Stocks o materias primas si las hay. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Auditoria Informática de Comunicaciones

El auditor de Comunicaciones deberá  proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, entre otros.).

Durante la realización de la auditoria de comunicaciones el auditor debe controlar:
  •  La gestión de red, los equipos y su conectividad.
  • La monitorización de las comunicaciones.
  • La revisión de costes y la asignación formal de proveedores.
  • Creación y aplicabilidad de estándares. 
      Para ello debe establecer objetivos de control:

  • Tener una gerencia de comunicaciones con plena autoridad de voto y acción.
  • Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones.
  • Mantener una vigilancia constante sobre cualquier acción en la red.
  • Registrar un coste de comunicaciones y reparto a encargados.
  • Mejorar el rendimiento y la resolución de problemas presentados en la red.
  • Para garantizar el cumplimiento de los objetivos y garantizar el funcionamiento óptimo de las comunicaciones el auditor debe comprobar:
  • El nivel de acceso a diferentes funciones dentro de la red.
  • Coordinación de la organización de comunicación de datos y voz.
·         Han de existir normas de comunicación en:
  •  Tipos de equipamiento como adaptadores LAN.
  • Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas laborales.
  •  Uso de conexión digital con el exterior como Internet.
  •  Instalación de equipos de escucha como Sniffers (exploradores físicos) o Traceadores (exploradores lógicos).
  •  La responsabilidad en los contratos de proveedores.
  •  La creación de estrategias de comunicación a largo plazo.
  •  Los planes de comunicación a alta velocidad como fibra óptica.
  • Planificación de cableado.
  • Planificación de la recuperación de las comunicaciones en caso de desastre.
  • Documentación sobre el diagramado de la red.
  • Realizar pruebas sobre los nuevos equipos.
  • Establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores.
  • Vigilancia sobre toda actividad on-line.











Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)