Dentro de las áreas generales de
una Auditoría Informática podríamos dividirlas en las siguientes divisiones:
·
Auditoría
de Desarrollo.
·
Auditoría
de Explotación.
·
Auditoría
de Sistemas.
·
Auditoría
de Comunicaciones.
·
Auditoría
de Seguridad.
La función de Desarrollo es una
evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su
vez, engloba muchas áreas, tantas como sectores tengan una empresa y deseen ser
informatizados.
Existen algunas normas que son las siguientes;
ISO/IEC 27004
Al igual que el ISO 27001, esta
norma (que aún se encuentra en estado de borrador) tiene como
responsable dentro de él, al subcomité SC 27, IT "Security
Techniques"
Luego del plenario en Malasia del
07 de noviembre del 2005, se inició la circulación de este documento para
estudio y comentarios por parte del SC27, los cuales deberán finalizar en abril
del 2007.
ISO 27001
Puede ser implementada en cualquier
tipo de organización, con o sin fines de lucro, privada o pública, pequeña o
grande. Está redactada por los mejores especialistas del mundo en el tema y
proporciona una metodología para implementar la gestión de la seguridad de la
información en una organización.
Estándar
cerrado
La especificación del estándar ha sido hecha pública, pero sin embargo, existen determinadas
restricciones legales (principalmente patentes, pero también derechos de autor, marcas, etc.) que
impiden que se pueda implementar el estándar libremente por parte de aquellos que no lo
desarrollaron o adquirieron sus derechos. Así, los términos de la licencia de implementación de las
especificaciones no son públicos ni comunes para todos los posibles agentes del mercado
interesados en implementar el estándar, esto es, en crear aplicaciones o herramientas informáticas
que sigan cumplan con lo definido en las especificaciones del estándar.
FASES DE LA AUDITORIA
Etapa
de Planeación de la Auditoría
El primer paso para realizar una
auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoría,
donde se debe identificar de forma clara las razones por las que se va a
realizar la auditoría,
1. 1. Identificar
el origen de la auditoría:
Este es el primer paso para iniciar
la planeación de la auditoría, en esta se debe determinar por qué surge la
necesidad o inquietud de realizar una auditoría.
2. 2. Visita
Preliminar al Área informática:
Consiste en realizar una visita
preliminar al área de informática que será auditada, luego de conocer el origen
de la petición de realizar la auditoría y antes de iniciarla formalmente; el
propósito es el de tener un primer contacto con el personal asignado a dicha
área, conocer la distribución de los sistemas y donde se localizan los
servidores y equipos terminales en el centro de cómputo, sus características,
las medidas de seguridad y otros aspectos sobre que problemáticas que se
presentan en el área auditada.
3. 3. Determinar
los puntos que serán evaluados:
Una vez determinados los objetivos
de la auditoría se debe relacionar los aspectos que serán
evaluados, y para esto se debe considerar aspectos específicos del área informática
y de los sistemas computacionales tales como: la gestión administrativa del
área informática y el centro de cómputo.
4.
4 4. Elaborar
planes, programas y presupuestos para realizar la auditoría:
Para realizar la planeación formal
de la auditoría informática y de sistemas, en la cual se concretan los planes,
programas y presupuestos para llevarla a cabo se debe elaborar los documentos
formales para el desarrollo de la auditoría, donde se delimiten las
etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento
del objetivo, anexando el presupuesto con los costos de los recursos que se
utilizarán para llevarla a cabo.
Etapa
de Ejecución de la Auditoría
La siguiente etapa después de la
planeación de la auditoría es la ejecución de la misma, y está determinada por
las características propias, los puntos elegidos y los requerimientos estimados
en la planeación.
Etapa
de Dictamen de la Auditoría
La tercera etapa luego de la
planeación y ejecución es emitir el dictamen, que es el resultado final de la
auditoría, donde se presentan los siguientes puntos: la elaboración del informe
de las situaciones que se han detectado, la elaboración del dictamen final y la
presentación del informe de auditoría.
Analizar la información y elaborar
un informe de las situaciones detectadas: junto con la detección de
las oportunidades de mejoramiento se debe realizar el análisis de los papeles
de trabajo y la elaboración del borrador de las oportunidades detectadas, para
ser discutidas con los auditados, después se hacen las modificaciones
necesarias y posteriormente el informe final de las situaciones detectadas.
- La planeación de la auditoría deberá ser documentada e incluirá:
- El establecimiento de los objetivos y el alcance del trabajo.
- La obtención de información de apoyo sobre las actividades que se auditarán.
- La determinación de los recursos necesarios para realizar la auditoría.
- El establecimiento de la comunicación necesaria con todos los que estarán involucrados en la auditoría.
- La realización, en la forma más apropiada, de una inspección física para familiarizarse con las actividades y controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis al realizar la auditoría y promover comentarios y la promoción de los auditados.
- La preparación por escrito del programa de auditoría.
- La determinación de cómo, cuándo y a quien se le comunicarán los resultados de la auditoría.
- La obtención de la aprobación del plan de trabajo de la auditoría.
Una lista de verificación, en
inglés: checklist, es una herramienta que se utiliza en diversos ámbitos de la
gestión de las organizaciones para extraer una serie de propiedades de aquello
que se somete a estudio.
La lista de verificación es una de
las formas más objetivas de valorar el estado de aquello que se somete a
control. El carácter cerrado de las respuestas proporciona esta objetividad,
pero también elimina información que puede ser útil porque no recoge todos los
matices, detalles, y singularidades.
referencias:
Coral, A. S. (2014). Administración
de Compras. Grupo Editorial Patria.
González, A. M. (2009). Mi
Esp@cio. Recuperado el 19 de 09 de 2015, de El Diagnóstico Organizacional;
elementos, métodos y técnicas: http://www.infosol.com.mx/espacio/Articulos/Desde_la_Investigacion/El-Diagnostico-Organizacional-elementos.html#.Vf4OF5cYHuU
No hay comentarios.:
Publicar un comentario