Auditoria Informática

Propósito de auditoría Informática (AI)

La función de AI es garantizar que los sistemas de ordenador:

• Salvaguardan los “bienes” de la organización
• Mantienen la integridad de los datos.
• Alcanzan los objetivos de la empresa de un modo eficaz y efectivo.

Visión General.

Uno de los problemas que han surgido con el uso generalizado de los ordenadores es la  necesidad de mantener la integridad de los datos. A medida que los ordenadores toman mayor control de los datos, la carencia de un control directo sobre los mismos se vuelve cada vez mayor y esto proporciona una inquietud creciente en las empresas.

Debido a esto tenemos que considerar:

• Implicación: Estamos en manos de la Informática. Por ejemplo, ningún banco, sin importar su tamaño, sería capaz de realizar su trabajo sin ayuda de la informática.

• Cuestión: ¿Quién garantiza que los procesos informáticos son correctos? ¿Quién garantiza a un usuario que la liquidación periódica de su cuenta corriente es correcta, por ejemplo?

Necesidad de Control y AI.

Estando en un medio informático en el que el ordenador realiza de forma automática las tareas tendremos que controlar si lo que hace es lo que realmente queremos que haga.

Los ordenadores juegan un papel muy importante al ayudarnos en el proceso de datos, por lo que hay que controlar su uso, ya que en el procesamiento de datos es uno de los puntos donde se puede producir el fraude con mayor facilidad.

Coste de la pérdida de datos en las organizaciones.

En la actualidad, los datos son recursos críticos para la continuidad de las funciones de cualquier empresa, y su importancia dependerá de lo vital que sea para la organización.

 Para poder proteger estos recursos será necesario establecer una política a nivel organización, de copias de seguridad y recuperación. Por su importancia, se estudiarán estos temas con más profundidad más adelante.

Toma de decisiones incorrecta.

Los datos nos van a permitir entre otras cosas realizar tomas de decisión. Pero para que las decisiones tomadas a partir de los datos sean correctas, tendremos que garantizar que los datos que nos son suministrados son asimismo correctos.

Abuso Informático o Abuso del Ordenador.

Se podría pensar que el abuso informático constituye la causa principal de la necesidad de AI. Errores y omisiones que originan pérdidas frecuentemente, son el motivo de toma de decisiones erróneas. Esto nos obliga a plantear soluciones para estas dos causas en primer lugar, antes incluso que al abuso informático.

No podemos dejar de establecer controles para evitar el abuso informático, dado que los costes derivados de éste suelen ser muy superiores a los producidos por el abuso “manual”, o a los derivados de las dos causas anteriormente citadas.

Privacidad de los datos.

Desde la llegada de los ordenadores la difusión incontrolada de estos datos se ha convertido en un serio problema, principalmente debido a que crear, actualizar y difundir una base de datos con datos personales de posibles clientes es mucho más fácil ahora que cuando los sistemas eran manuales.

La privacidad de los datos es un derecho la Ley de Protección de Datos de Carácter Personal asegura la confidencialidad de los datos y protege a los propietarios de los mismos del uso ilegítimo de ellos por terceras personas.

Evolución controlada del uso del ordenador.

La tecnología en general es neutral: es decir, no es buena ni es mala. Lo que realmente puede ocasionar problemas es su uso incorrecto. Para garantizar que esto no ocurra, hay que tomar decisiones importantes sobre cómo se deben usar los ordenadores en la sociedad. 

La función del gobierno, de las sociedades profesionales y de los distintos grupos de presión el evaluar el uso “racional” de la tecnología.

Definición de AI: Estudio pormenorizado

El proceso de recoger evidencias para determinar si un sistema informático salvaguarda los bienes, mantiene la integridad de los datos, alcanza los objetivos de la empresa de un modo efectivo y consume recursos con eficacia.

Existen 2 tipos de auditorías las cuales son:

Auditoria Externa: Se encarga de centrar en los objetivos de seguridad (Salvaguarda bienes e integridad de datos)

Auditoria Interna: Se centra en los objetivos de gestión, garantizar que las tareas se realicen en grados adecuadas de efectividad y eficacia.

Objetivos de salvaguarda de bienes.

Se consideran como “bienes” al hardware, software, personas, datos (ficheros, bases de datos, etc.), documentación, suministros, etc. Además de estos bienes se concentran todos en un mismo sitio, ámbito físico del CPD, por lo que deben de ser especialmente protegidos por un sistema de control interno, y su producción debe ser un objetivo importante.

Objetivos de integridad de datos.

Uno de los aspectos que debemos cuidar especialmente es la integridad de los datos, pero realizar esta tarea nos va a suponer un coste frente a los beneficios esperados al implantar unas medias de seguridad.

Para determinar los costes y beneficios existen 2 factores que afectan al valor de un de un dato para la empresa:

• Valor de la información que proporciona el dato: depende de la capacidad que ésta tenga para reducir la ambigüedad en una toma de decisiones.

• Las veces en que el dato es usado por personas que toman decisiones: Si el dato es compartido, su falta de integridad afectará a todos los usuarios, por lo que en un entorno compartido es vital mantener esta integridad.

Objetivos de efectividad del sistema.

Para ver si un SPD (Sistema de Proceso de Datos) es efectivo hay que conocer las características del usuario y el tipo de decisiones que se van a tomar.

Para saber si el sistema está trabajando correctamente, y para poder medir su efectividad, es necesario esperar a que el sistema lleve funcionando un cierto tiempo, tras el cual, normalmente la gerencia solicita una auditoría para saber si el sistema alcanza los objetivos que se había planteado.

Objetivos de eficiencia del sistema

Un SPD eficiente es el que utiliza el mínimo de recursos para alcanzar sus objetivos. En cualquier sistema los recursos son escasos y hay que compartirlos, por lo que saber si se están utilizando los recursos de forma eficiente no siempre es fácil.

La eficiencia se vuelve crítica cuando el ordenador comienza a estar escaso de recursos por lo que, si además los recursos son caros, hay que saber si se agotaron porque las aplicaciones son ineficientes, porque existen cuellos de botella, o simplemente porque el crecimiento natural de las aplicaciones ha reducido dichos recursos.