Auditoría informática
La auditoría informática o auditoría de los sistemas de información es un proceso de análisis de los sistemas de la información de una organización con el objetivo de evaluar su estado y el nivel de seguridad existente. Consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información cumple con los requisitos de salvaguardar los activos de la organización, mantener la integridad de los datos y lograr eficazmente los fines de la organización. Además, se busca evaluar si el sistema utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas.
Los mecanismos de control en el área de Informática son directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoría informática son:
- El análisis de la eficiencia de los sistemas informáticos
- La verificación del cumplimiento de la normativa en este ámbito
- La revisión de la eficaz gestión de los recursos informáticos.
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de buenas prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
Tipos de auditoría
Generalmente, se distinguen dos tipos de auditoría y de auditores, según si estos pertenecen a la organización o no:
- Auditoría interna: se realiza desde el ambiente interno de la organización, es decir, sin empleados ajenos a la misma, ya sea por empleados que fueron directamente contratados o alguna subsidiaria a esta y la entidad tiene el poder de decisión sobre el proceso llevado a cabo para realizarla.
- Auditoría externa: se realiza por personal ajeno a la empresa, y la organización no tiene poder de decisión sobre el proceso llevado a cabo por el ente que audita.
Según el área de la organización que se audita:
- Auditoría operacional: se refiere a la revisión de la operación de una organización y juzga la eficiencia de la misma. Esta operación puede consistir en los permisos de empleados o en los accesos a sistemas de gestión.
- Auditoría administrativa: se refiere a la organización y eficiencia de la estructura del personal con la que cuenta el personal y los procesos administrativos en que actúa dicho personal.
- Auditoría social: se refiere a la revisión del entorno social en que se ubica y desarrolla una organización, con el fin de valorar aspectos externos e internos que interfieren en la productividad de la misma.
Otra clasificación según el área de la organización:
- Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
- Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
- Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
- Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
- Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
- Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
- Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
- Auditoría de las comunicaciones. Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación.
- Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
- Auditoría a empleados: Frente a errores, accidentes y fraudes, accesos no autorizados y vulnerabilidad de claves.
Principales pruebas y herramientas para efectuar una auditoría informática
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:
- Pruebas sustantivas: Verifican el grado de confiabilidad del SO del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
- Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.
Metodologías para la auditoría informática
Existen diferentes metodologías que ayudan en el proceso de revisión de riesgos informáticos. Dos de las más utilizadas son Octave y Magerit.
Octave
La metodología Octave es una evaluación que se basa en riesgos y planeación técnica de seguridad computacional. Es un proceso interno de la organización, significa que las personas de la empresa tienen la responsabilidad de establecer la estrategia de seguridad una vez que se realice dicha evaluación, y es precisamente lo interesante de esta metodología que la evaluación se basa en el conocimiento del personal de la empresa para capturar el estado actual de la seguridad. De esta manera es más fácil determinar los riesgos críticos.
A diferencia de las evaluaciones típicas enfocadas en la tecnología, Octave está dirigida a riesgos organizacionales y está enfocada en temas estratégicos relacionados con la práctica, es flexible y puede aplicarse a la medida para la mayoría de las organizaciones.[1]
En esta revisión es necesario que las empresas manejen el proceso de la evaluación y tomen las decisiones para proteger la información. El equipo de análisis, integrado por personas de los departamentos de TI, de negocios, etc, lleva a cabo la evaluación, debido a que todas las perspectivas son cruciales para controlar los riesgos de seguridad computacional.
Magerit
La metodología Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) fue desarrollada en España debido al rápido crecimiento de las tecnologías de información con la finalidad de hacerle frente a los diversos riesgos relacionados con la seguridad informática.
El Consejo Superior de Administración Electrónica (CSAE) promueve la utilización de esta metodología como respuesta a la creciente dependencia de las empresas para lograr sus objetivos de servicio.
Las fases que contempla el modelo Magerit son:
- Planificación del proyecto: establece el marco general de referencia para el proyecto.
- Análisis de riesgos: permite determinar cómo es, cuánto vale y cómo están protegidos los activos.
- Gestión de riesgos: permite la selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados”.
Al aplicar esta metodología se conocerá el nivel de riesgo actual de los activos, y por lo tanto se podrá mejorar las aplicaciones de salvaguardas y se podrá conocer el riesgo reducido o residual.
La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos, pero que también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticación, confidencialidad, integridad y disponibilidad de los sistemas de información y generan confianza cuando se utilicen tales medios.[2]
También se ha desarrollado software como Pilar basado en la metodología de Magerit.
Beneficios
Sus beneficios son:
- Mejora la imagen pública.
- Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
- Optimiza las relaciones internas y del clima de trabajo.
- Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).
- Genera un balance de los riesgos en TI.
- Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
Referencias
- Gómez Ramírez, Victor Manuel (2014). «Evaluación de la seguridad de la información con la metodología Octave». Institución Universitaria Pascual Bravo. (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).
- Lucero Gómez, Antonio José (2012). «Análisis y gestión de riesgos utilizando la metodología Magerit». Universidad de Cuenca.