Please enable JavaScript.
Coggle requires JavaScript to display documents.
PISTAS AUDITORIA INFORMÁTICA. - Coggle Diagram
PISTAS AUDITORIA INFORMÁTICA.
La auditoría informática es una modalidad de auditoría que concierne a la evaluación en profundidad de los recursos informáticos y tecnológicos de una organización.
La auditoría informática sirve para mejorar ciertas características
en la empresa como:
Los mecanismos de control en el área de Informática son:
:check:Correctivos
:check:Directivos
:check:Preventivos
:check: De detección
:red_flag: Rentabilidad
:warning: Seguridad
:check: Eficacia
:silhouette: Privacidad
:lock: Fiabilidad
Consiste en la serie de documentos, archivos informáticos, y otros elementos de información que se examinan durante una auditoría, y muestran cómo los sistemas de información son utilizados por una empresa de principio a fin
La auditoría informática tiene 2 tipos las cuales son:
:star:
Auditoria interna:
Es aquella que realiza la auditoria los especialistas de la empresa.
:STAR:
Auditoria externa:
La empresa contrata a especialistas externos a la empresa
BENEFICIOS DE LA AUDITORIA INFORMATICA
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Genera un balance de los riesgos en TI.
Mejora la imagen pública
Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
TIPOS DE AUDITORIA INFORMATICA
Dentro de la auditoría informática destacan los siguientes tipos:
Auditoría de la seguridad:
Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física:
Referido a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.
Auditoría de las bases de datos:
Controles de acceso, de actualización, de integridad y
calidad de los datos.
Auditoría de la seguridad lógica:
Comprende los métodos de autenticación de los
sistemas de información.
Auditoría de los datos:
Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
Auditoría de las comunicaciones.
Se refiere a la auditoría de los procesos de
autenticación en los sistemas de comunicación.
Auditoría legal del reglamento de protección de datos:
Cumplimiento legal de las medidas de seguridad exigidas por el reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
Auditoría de la seguridad en producción:
Frente a errores, accidentes y fraudes
Auditoría de la gestión:
Es la contratación de bienes y servicios, documentación de los
programas, etc
Auditoría a empleados:
Frente a errores, accidentes y fraudes, accesos no autorizados y vulnerabilidad de claves.
OBJETIVOS DE LA AUDITORIA INFORMATICA
:pencil2: La revisión de la eficaz gestión de los recursos informáticos.
:pencil2: La valoración de los sistemas informáticos de una organización.
:pencil2: La verificación del cumplimiento de la Normativa en este ámbito
:pencil2: Medir que los sistemas informáticos sean empleados de manera eficiente
:pencil2: El análisis de la eficiencia de los Sistemas Informáticos
ELEMENTOS DE UNA PISTA DE AUDITORIA
Para que los procesos realizados puedan ser eficaces, claros y llevarse a cabo rápidamente, es necesario lo siguiente:
La pista de auditoría debe tener claro el procedimiento y los canales que sigue cada operación.
METODOLOGIA DE TRABAJO
Determinación de los recursos necesarios para
realizar la auditoría.
Elaboración del plan y de los programas de trabajo.
Estudio inicial del entorno auditable.
Actividades propiamente dichas de la auditoría.
Alcance y Objetivos de la auditoría de seguridad de
sistemas informáticos.
Confección y redacción del Informe Final
La cantidad de pasos necesarios para obtener la información es lo que da una idea sobre la complejidad del proceso.
TIPOS DE AUDITORIAS DE SEGURIDAD INFORMATICA
Dependiendo de los fines de la auditoría, es posible contratar profesionales externos con un objetivo concreto en su análisis informático.
Este puede ser:
Actualización de dispositivos
Se trata de la verificación de la actualización de los
diferentes softwares y antivirus.
Hacking Ético
Consiste en poner a prueba las medidas de seguridad con un test de intrusión con técnicas de hacking.
La auditoría web
Está orientado a conocer las propiedades de las aplicaciones digitales y servicios web que utilizamos a diario en nuestra estrategia de negocio
Auditoría de redes
Provee a los directivos de un mapeo de todos los equipos conectados a la red interna, el estado de las conexiones y la actividad de los dispositivos que articula.
Auditorías de código
Se trata de pruebas de calidad del código fuente para identificar vulnerabilidades no solo ante ataques informáticos sino también ante el propio crecimiento de la demanda
Auditoría física
Se encarga de proteger perimetralmente a una entidad a partir de sistemas como controles físicos de entrada, alarmas contra incendios, sistemas de video vigilancia, el estado de las instalaciones de servicios de luz, agua y gas, etc.
Una auditoría forense
Se trata de un servicio especializado para actuar ante un incidente
de seguridad con el objetivo de recopilar evidencias digitales
AUDITORIA DE SEGURIDAD DE SISTEMAS DE INFORMACIÓN
:pen: Comprende el análisis y gestión de los sistemas informáticos de una empresa, llevado a cabo para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse
:pen: Es un estudio profesional que realizan expertos ajenos a la empresa con el objetivo de detectar las vulnerabilidades de la implementación de tecnología en la estrategia de negocio.
CORRECTO FUNCIONAMIENTO Y RENDIMIENTO DE EQUIPOS Y SISTEMAS DE UNA EMPRESA
La capacitación del personal en el uso de la tecnología
El cumplimiento de las normativas vigentes
Los planes de contingencia ante eventualidades que pongan en riesgo el sistema
Los puntos de vulnerabilidad informática
El funcionamiento de los dispositivos fijos y móviles
Las oportunidades de mejora del rendimiento a través de nuevas herramientas
La calidad de los servidores
Las políticas de protección de datos y resguardo de la información
El estado de las redes de comunicación
Los protocolos de acción ante contingencias, amenazas y ataques delictivos
La actualización de los diferentes software de gestión
:pen: Permiten conocer en el momento de su realización cuál es la situación exacta de los activos de información en cuanto a protección, control y medidas de seguridad.
