Ester Chicano Tejada - Auditoría de seguridad informática. IFCT0109

Dentro del área de los sistemas de información, se pueden encontrar varias divisiones, descritas en el siguiente gráfico:

Auditoría informática de explotación

La auditoría informática de explotación se encarga de analizar resultados informáticos de todo tipo: listados impresos, órdenes automatizadas de procesos, etc.

El análisis consistirá sobre todo en someter los resultados obtenidos a controles de calidad y en analizar si su distribución posterior (al cliente, a otros empleados, a superiores, etc.) se realiza mediante un proceso adecuado.

También se auditan las distintas secciones que componen la informática de explotación y las relaciones existentes entre ellos.

Recuerde

La explotación informática es el proceso encargado de realizar los resultados informáticos de cualquier tipo.

Auditoría informática de sistemas

La auditoría informática de sistemas se encarga de analizar las actividades relacionadas con en el entorno de sistemas informáticos. Más concretamente, en esta tipología se analizan los siguientes componentes:

1 Sistemas operativos: se comprueba si están actualizados y, en caso de no estarlo, se averiguan las causas de la desactualización. También se analizan posibles incompatibilidades de software ocasionadas por el sistema operativo.

2 Software básico: se analizan las distintas aplicaciones instaladas para verificar que no agreden ni condicionan al sistema operativo.

3 Tunning: se evalúan las distintas técnicas y medidas de evaluación de los comportamientos del sistema y de los subsistemas.

4 Optimización de los sistemas y subsistemas: la auditoría comprobará que las acciones de optimización de sistemas y subsistemas son efectivas y que no se compromete su operatividad.

5 Administración de las bases de datos: el auditor se asegurará del conocimiento de los distintos procedimientos de la base de datos y comprobará la seguridad, la integridad y la consistencia de los datos.

6 Investigación y desarrollo: la auditoría se encargará de mantener la actividad de investigación y desarrollo, impidiendo que por estas se dificulten procesos y tareas fundamentales.

Auditoría informática de comunicaciones y redes

La auditoría informática de comunicaciones y redes se encargará de analizar los distintos dispositivos de comunicación que forman parte de las redes de la organización para detectar sus debilidades y proponer medidas que las corrijan.

Para ello, los auditores deberán conocer la topología de la red de comunicaciones, en la que se describan con detalle las líneas que forman parte de ella, cómo son y su ubicación para comprobar su nivel de operatividad.

Auditoría de desarrollo de proyectos

En la auditoría de desarrollo de proyectos, los auditores informáticos analizan la metodología utilizada para desarrollar los distintos proyectos de la organización, distinguiendo entre cada área de negocio de la empresa.

También se analiza el desarrollo de proyectos globales que se extienden al conjunto de la organización, comprobando su correcta ejecución y el mantenimiento de la seguridad a lo largo de todo el proceso.

Auditoría de seguridad informática

La auditoría de seguridad informática analiza todos los procesos referentes a la seguridad informática, tanto física como lógica.

La seguridad física es la protección de los componentes hardware, dispositivos, instalaciones y entornos de los distintos sistemas informáticos. Los auditores deberán analizar la correcta protección de los elementos físicos ante posibles catástrofes, incendios, robos, etc.

La seguridad lógica, por el contrario, es la protección del software, los procesos y programas del sistema, y su auditoría consistirá en analizar la correcta protección y actualización de estos componentes, además de la protección de los datos que forman parte del sistema.

Actividades

3. Busque información adicional sobre las distintos tipos de auditoría y mencione los distintos elementos que tienen en común.

Antes de empezar la auditoría, el auditor deberá elaborar una planificación en la que se detallen los objetivos y procedimientos que se llevarán a cabo para realizar la auditoría informática.

En esta planificación se deberá incluir sobre todo:

1 Lugar o lugares en los que se realizarán las tareas de auditoría.

2 Duración de la auditoría.

3 Fecha límite para la finalización de la auditoría.

4 Composición del equipo de auditoría.

5 Áreas que serán auditadas.

En resumen, el auditor planificará los objetivos a cumplir y los métodos y procedimientos que se van a proseguir para lograr dichos objetivos de un modo eficaz y eficiente.

Como ya se puede observar, la composición del equipo de auditoría es un aspecto fundamental para lograr el éxito de la auditoría informática. Las tareas del auditor son de lo más variadas y es necesario formar un equipo con profesionales multidisciplinares y capacitados para que, de forma global, se puedan llevar a cabo una serie de actividades básicas, descritas en la tabla siguiente.

Para llevar a cabo todas las actividades mencionadas en la tabla anterior, no es necesario que sean desempeñadas por un solo auditor informático, sino que se recomienda seleccionar una serie de técnicos especializados que abarquen los conocimientos y capacidades suficientes para desarrollar todas las tareas de un modo global.

El número de personas que formen el equipo auditor puede variar según las dimensiones de la organización, de los sistemas y de los equipos, pero, independientemente de la magnitud del equipo, sus miembros deberán estar suficientemente capacitados y deberán tener un alto sentido de la ética y la moralidad.

Para seleccionar el equipo adecuado, en un primer lugar hay que pensar en profesionales con suficiente nivel para realizar una correcta coordinación del desarrollo de las tareas de la auditoría, siendo capaz de facilitar la información requerida en todo momento.