¿Qué es auditoría informática? ¿cuáles son sus objetivos y alcances?

...

El responsable informático, igualmente, puede recurrir a la auditoría de su propio servicio. De esta forma, podrá obtener la opinión independiente de un especialista -en contacto con varias instalaciones informáticas- sobre su propio departamento. En un contexto de reorganización, la auditoría de su área será también para él una forma de ratificar algunas de sus decisiones y, por lo tanto, de justificar y de hacer aceptar a sus colaboradores la nueva estructura y los procedimientos introducidos.

Por último, los organismos de control externo (organismos fiscales, de regulación, Tribunales de Cuenta, etc.) tienen igualmente la necesidad de evaluar la calidad del entorno informático, fundamentalmente en lo que hace a la calidad de los datos digitalizados que deben controlar para cumplir con su misión de fiscalización. Existen situaciones en las que el auditor debe estar alerta y aclarar las razones del pedido de una auditoría informática. Por ejemplo, cuando es encargada por la Dirección, en un contexto de relación tensa con la Gerencia de Sistemas, el auditor puede ser considerado (a veces con razón) como un “cortacabezas”; o cuando es encargada por una nueva Gerencia de Sistemas en el momento de hacerse cargo de sus funciones, en este caso la auditoría puede ser el pretexto para una crítica o para poner en tela de juicio la labor de quien lo precedió en dicho cargo. En este último caso, siendo bien pensado, puede servir para establecer el estado de situación en la cual se asume la responsabilidad de conducir el área

- ¿Cómo detectar la necesidad de una auditoría informática?

Síntomas de Necesidad de una Auditoría Informática:

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinacion y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]

Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.

- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económico-financiero:

- Incremento desmesurado de costes.

- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).

- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica

- Seguridad Física

- Confidencialidad

[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]

- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

*Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

...