Auditoría de tecnología de la información - Information technology audit

Una auditoría de tecnología de la información , o auditoría de sistemas de información , es un examen de los controles de gestión dentro de una infraestructura de tecnología de la información (TI) y aplicaciones comerciales. La evaluación de la evidencia obtenida determina si los sistemas de información están salvaguardando los activos, manteniendo la integridad de los datos y operando de manera efectiva para lograr las metas u objetivos de la organización. Estas revisiones pueden realizarse junto con una auditoría de estados financieros , una auditoría interna u otra forma de compromiso de certificación.

Las auditorías de TI también se conocen como auditorías automatizadas de procesamiento de datos ( auditorías ADP ) y auditorías informáticas .

Anteriormente se denominaban auditorías de procesamiento electrónico de datos ( auditorías EDP ).

Propósito

Una auditoría de TI es diferente a una auditoría de estados financieros . Si bien el propósito de una auditoría financiera es evaluar si los estados financieros presentan razonablemente, en todos los aspectos materiales, la situación financiera de una entidad, los resultados de las operaciones y los flujos de efectivo de conformidad con las prácticas contables estándar , el propósito de una auditoría de TI es evaluar el sistema. diseño y efectividad del control interno. Esto incluye, pero no se limita a, protocolos de eficiencia y seguridad, procesos de desarrollo y gobierno o supervisión de TI. La instalación de controles es necesaria pero no suficiente para proporcionar la seguridad adecuada. Las personas responsables de la seguridad deben considerar si los controles están instalados según lo previsto, si son efectivos o si se ha producido alguna brecha en la seguridad y, de ser así, qué acciones se pueden tomar para evitar futuras violaciones. Estas consultas deben ser respondidas por observadores independientes e imparciales. Estos observadores están realizando la tarea de auditar sistemas de información. En un entorno de sistemas de información (SI), una auditoría es un examen de los sistemas de información, sus entradas, salidas y procesamiento.

Las funciones principales de una auditoría de TI son evaluar los sistemas que existen para proteger la información de una organización. Específicamente, las auditorías de tecnología de la información se utilizan para evaluar la capacidad de la organización para proteger sus activos de información y para distribuir la información adecuadamente a las partes autorizadas. La auditoría de TI tiene como objetivo evaluar lo siguiente:

¿Los sistemas informáticos de la organización estarán disponibles para la empresa en todo momento cuando sea necesario? (conocido como disponibilidad) ¿Se revelará la información de los sistemas solo a los usuarios autorizados? (conocido como seguridad y confidencialidad) ¿La información proporcionada por el sistema será siempre precisa, confiable y oportuna? (mide la integridad) De esta manera, la auditoría espera evaluar el riesgo para el activo valioso de la empresa (su información) y establecer métodos para minimizar esos riesgos.

Tipos de auditorías de TI

Varias autoridades han creado taxonomías diferentes para distinguir los distintos tipos de auditorías de TI. Goodman & Lawless afirman que existen tres enfoques sistemáticos específicos para realizar una auditoría de TI:

• Auditoría de procesos de innovación tecnológica . Esta auditoría construye un perfil de riesgo para proyectos nuevos y existentes. La auditoría evaluará la extensión y profundidad de la experiencia de la empresa en las tecnologías elegidas, así como su presencia en los mercados relevantes, la organización de cada proyecto y la estructura de la parte de la industria que se ocupa de este proyecto o producto, organización. y estructura de la industria.
• Auditoría de comparación innovadora . Esta auditoría es un análisis de las capacidades innovadoras de la empresa auditada, en comparación con sus competidores. Esto requiere el examen de las instalaciones de investigación y desarrollo de la empresa, así como su historial en la producción de nuevos productos.
• Auditoría de posición tecnológica : Esta auditoría revisa las tecnologías que tiene el negocio actualmente y que necesita agregar. Las tecnologías se caracterizan por ser "base", "clave", "ritmo" o "emergentes".

Otros describen el espectro de auditorías de TI con cinco categorías de auditorías:

• Sistemas y aplicaciones : una auditoría para verificar que los sistemas y las aplicaciones son apropiados, eficientes y están adecuadamente controlados para garantizar una entrada, un procesamiento y una salida válidos, confiables, oportunos y seguros en todos los niveles de la actividad de un sistema. Las auditorías de aseguramiento de sistemas y procesos forman un subtipo, y se centran en los sistemas de TI empresariales centrados en los procesos de negocio. Tales auditorías tienen el objetivo de ayudar a los auditores financieros.

• Instalaciones de procesamiento de información : una auditoría para verificar que la instalación de procesamiento está controlada para garantizar el procesamiento oportuno, preciso y eficiente de las solicitudes en condiciones normales y potencialmente disruptivas.
• Desarrollo de sistemas : una auditoría para verificar que los sistemas en desarrollo cumplen con los objetivos de la organización y para asegurar que los sistemas se desarrollan de acuerdo con los estándares generalmente aceptados para el desarrollo de sistemas .
• Gestión de TI y arquitectura empresarial : una auditoría para verificar que la gestión de TI ha desarrollado una estructura organizativa y procedimientos para garantizar un entorno controlado y eficiente para el procesamiento de la información .
• Cliente / Servidor, Telecomunicaciones, Intranets y Extranets : una auditoría para verificar que los controles de telecomunicaciones están implementados en el cliente (servicios de recepción de computadoras), el servidor y en la red que conecta los clientes y servidores.

Y algunos clasifican todas las auditorías de TI como una de las dos: auditorías de " revisión de control general " o auditorías de " revisión de control de aplicaciones ".

Varios profesionales de auditoría de TI del ámbito de aseguramiento de la información consideran que existen tres tipos fundamentales de controles independientemente del tipo de auditoría que se realice, especialmente en el ámbito de TI. Muchos marcos y estándares intentan dividir los controles en diferentes disciplinas o ámbitos, denominándolos "controles de seguridad", "controles de acceso", "controles de IA" en un esfuerzo por definir los tipos de controles involucrados. En un nivel más fundamental, se puede demostrar que estos controles constan de tres tipos de controles fundamentales: controles de protección / preventivos, controles de detección y controles reactivos / correctivos.

En un SI, existen dos tipos de auditores y auditorías: internos y externos. La auditoría de SI suele ser parte de la auditoría interna contable y, con frecuencia, la realizan auditores internos corporativos. Un auditor externo revisa los hallazgos de la auditoría interna, así como las entradas, el procesamiento y las salidas de los sistemas de información. La auditoría externa de los sistemas de información es realizada principalmente por auditores de sistemas de información certificados, como CISA, certificado por ISACA, Information System Audit and Control Association, EE. UU., Information System Auditor (ISA) certificado por ICAI (Institute of Chartered Accountants of India), y otros certificados por una organización de renombre para auditoría de SI. Eliminar -> (con frecuencia una parte de la auditoría externa general realizada por una firma de Contadores Públicos Certificados (CPA)). La auditoría de SI considera todos los peligros y controles potenciales en los sistemas de información. Se centra en cuestiones como operaciones, datos, integridad, aplicaciones de software, seguridad, privacidad, presupuestos y gastos, control de costes y productividad. Hay pautas disponibles para ayudar a los auditores en sus trabajos, como los de la Asociación de Control y Auditoría de Sistemas de Información.

Proceso de auditoría de TI

Los siguientes son pasos básicos para realizar el proceso de auditoría de tecnología de la información:

1. Planificación
2. Estudiar y evaluar controles
3. Prueba y evaluación de controles
4. Reportando
5. Seguimiento

Seguridad de información

La auditoría de la seguridad de la información es una parte vital de cualquier auditoría de TI y, a menudo, se entiende que es el objetivo principal de una auditoría de TI. El amplio alcance de la auditoría de la seguridad de la información incluye temas como los centros de datos (la seguridad física de los centros de datos y la seguridad lógica de las bases de datos, los servidores y los componentes de la infraestructura de red), las redes y la seguridad de las aplicaciones . Como la mayoría de los ámbitos técnicos, estos temas siempre están evolucionando; Los auditores de TI deben continuar ampliando constantemente su conocimiento y comprensión de los sistemas y el entorno y la búsqueda en la empresa de sistemas.

Historia de la auditoría de TI

El concepto de auditoría de TI se formó a mediados de la década de 1960. Desde ese momento, la auditoría de TI ha pasado por numerosos cambios, en gran parte debido a los avances en la tecnología y la incorporación de tecnología en los negocios.

Actualmente, hay muchas empresas dependientes de TI que dependen de la tecnología de la información para operar sus negocios, por ejemplo, una empresa de telecomunicaciones o banca. Para los otros tipos de negocios, TI desempeña el papel principal de la empresa, incluida la aplicación del flujo de trabajo en lugar de usar el formulario de solicitud en papel, usando el control de la aplicación en lugar del control manual que es más confiable o implementando la aplicación ERP para facilitar la organización mediante el uso de solo 1 aplicación. Según estos, la importancia de la auditoría de TI aumenta constantemente. Uno de los roles más importantes de la auditoría de TI es auditar sobre el sistema crítico para respaldar la auditoría financiera o respaldar las regulaciones específicas anunciadas, por ejemplo, SOX.

Principios de una auditoría de TI

Los siguientes principios de una auditoría deben encontrar una reflexión:

• Oportunidad: Solo cuando los procesos y la programación se inspeccionan continuamente con respecto a su potencial susceptibilidad a fallas y debilidades, pero también con respecto a la continuación del análisis de las fortalezas encontradas, o mediante análisis funcional comparativo con aplicaciones similares, se puede actualizar un marco. continuará.
• Apertura de la fuente: Requiere una referencia explícita en la auditoría de programas encriptados, cómo se debe entender el manejo de la fuente abierta. Por ejemplo, los programas que ofrecen una aplicación de código abierto, pero que no consideran el servidor de mensajería instantánea como código abierto, deben considerarse críticos. Un auditor debe tomar una posición propia ante el paradigma de la necesidad de la naturaleza de código abierto dentro de las aplicaciones criptológicas.
• Elaboración: los procesos de auditoría deben estar orientados a cierto estándar mínimo. Los recientes procesos de auditoría de software de cifrado a menudo varían mucho en calidad, alcance y eficacia, y también en la experiencia de recepción de los medios de comunicación, a menudo diferentes percepciones. Debido a la necesidad de un conocimiento especial por un lado y de poder leer el código de programación y luego, por otro lado, de tener también conocimiento de los procedimientos de cifrado, muchos usuarios incluso confían en las declaraciones más breves de confirmación formal. El compromiso individual como auditor, por ejemplo, en cuanto a calidad, escala y eficacia, debe evaluarse reflexivamente por usted mismo y documentarse en la auditoría.

• El contexto financiero: se necesita mayor transparencia para aclarar si el software se ha desarrollado comercialmente y si la auditoría se financió comercialmente (auditoría pagada). Hace una diferencia si se trata de un pasatiempo privado / proyecto comunitario o si una empresa comercial está detrás de él.
• Referencia científica de las perspectivas de aprendizaje: cada auditoría debe describir los hallazgos en detalle dentro del contexto y también resaltar el progreso y las necesidades de desarrollo de manera constructiva. Un auditor no es el padre del programa, pero al menos desempeña el papel de mentor, si se considera que el auditor forma parte de un círculo de aprendizaje de PDCA ( PDCA = Planificar-Hacer-Verificar-Actuar). Junto a la descripción de las vulnerabilidades detectadas también debe haber una descripción de las oportunidades innovadoras y el desarrollo de los potenciales.
• Inclusión de literatura: un lector no debe confiar únicamente en los resultados de una revisión, sino también juzgar de acuerdo con un circuito de un sistema de gestión (por ejemplo, PDCA, ver arriba), para asegurarse de que el equipo de desarrollo o el revisor estaba y está preparado para llevar a cabo un análisis más profundo, y también en el proceso de desarrollo y revisión está abierto a aprendizajes y a considerar notas de otros. Debe acompañarse una lista de referencias en cada caso de auditoría.
• Inclusión de manuales de usuario y documentación: Además, se debe verificar si existen manuales y documentación técnica, y si se amplían.
• Identificar referencias a innovaciones: Las aplicaciones que permiten tanto enviar mensajes a contactos offline como online, por lo que considerar el chat y el correo electrónico en una sola aplicación, como también es el caso de GoldBug, deben probarse con alta prioridad (criterio de chats de presencia además a la función de correo electrónico). El auditor también debe resaltar las referencias a las innovaciones y respaldar las necesidades de investigación y desarrollo adicionales.

Esta lista de principios de auditoría para aplicaciones criptográficas describe, más allá de los métodos de análisis técnico, en particular valores fundamentales que deben tenerse en cuenta.

Cuestiones emergentes

También hay nuevas auditorías impuestas por varias juntas estándar que deben realizarse, dependiendo de la organización auditada, lo que afectará a TI y garantizará que los departamentos de TI estén desempeñando ciertas funciones y controles de manera adecuada para ser considerados en cumplimiento. Ejemplos de tales auditorías son SSAE 16 , ISAE 3402 e ISO27001: 2013 .

Auditorías de presencia web

La extensión de la presencia de TI corporativa más allá del firewall corporativo (por ejemplo, la adopción de redes sociales por parte de la empresa junto con la proliferación de herramientas basadas en la nube como los sistemas de administración de redes sociales ) ha elevado la importancia de incorporar auditorías de presencia web en TI / SI. auditoría. Los propósitos de estas auditorías incluyen asegurar que la empresa esté tomando las medidas necesarias para:

• frenar el uso de herramientas no autorizadas (por ejemplo, "TI en la sombra")
• minimizar el daño a la reputación
• mantener el cumplimiento normativo
• prevenir la fuga de información
• mitigar el riesgo de terceros
• minimizar el riesgo de gobernanza

El uso de herramientas desarrolladas por departamentos o usuarios ha sido un tema controvertido en el pasado. Sin embargo, con la amplia disponibilidad de herramientas de análisis de datos, paneles de control y paquetes estadísticos, los usuarios ya no necesitan hacer cola esperando que los recursos de TI cumplan con las aparentemente interminables solicitudes de informes. La tarea de TI es trabajar con grupos empresariales para que el acceso autorizado y la generación de informes sean lo más sencillos posible. Para usar un ejemplo simple, los usuarios no deberían tener que hacer su propia comparación de datos para que las tablas relacionales puras se vinculen de manera significativa. TI necesita poner a disposición de los usuarios archivos de tipo almacén de datos no normalizados para simplificar su trabajo de análisis. Por ejemplo, algunas organizaciones actualizarán un almacén periódicamente y crearán tablas "planas" fáciles de usar que un paquete como Tableau puede cargar fácilmente y utilizar para crear paneles.

Auditorías de comunicaciones empresariales

El auge de las redes VOIP y problemas como BYOD y las crecientes capacidades de los sistemas de telefonía empresarial modernos provocan un mayor riesgo de que la infraestructura de telefonía crítica esté mal configurada, dejando a la empresa abierta a la posibilidad de fraude en las comunicaciones o reducción de la estabilidad del sistema. Los bancos, las instituciones financieras y los centros de contacto suelen establecer políticas que se aplicarán en sus sistemas de comunicaciones. La tarea de auditar que los sistemas de comunicaciones cumplan con la política recae en auditores especializados en telecomunicaciones. Estas auditorías aseguran que los sistemas de comunicación de la empresa:

• adherirse a la política establecida
• seguir políticas diseñadas para minimizar el riesgo de piratería o phreaking
• mantener el cumplimiento normativo
• prevenir o minimizar el fraude telefónico
• mitigar el riesgo de terceros
• minimizar el riesgo de gobernanza

Las auditorías de comunicaciones empresariales también se denominan auditorías de voz, pero el término está cada vez más en desuso a medida que la infraestructura de comunicaciones se vuelve cada vez más orientada y dependiente de los datos. El término "auditoría de telefonía" también está desaprobado porque la infraestructura de comunicaciones moderna, especialmente cuando se trata de clientes, es omnicanal, donde la interacción tiene lugar a través de múltiples canales, no solo por teléfono. Uno de los problemas clave que afecta a las auditorías de comunicaciones empresariales es la falta de estándares definidos por la industria o aprobados por el gobierno. Las auditorías de TI se construyen sobre la base del cumplimiento de los estándares y políticas publicados por organizaciones como NIST y PCI , pero la ausencia de dichos estándares para las auditorías de comunicaciones empresariales significa que estas auditorías deben basarse en los estándares y políticas internos de una organización, en lugar de la industria. Normas. Como resultado, las auditorías de comunicaciones empresariales todavía se realizan manualmente, con controles de muestreo aleatorios. Las herramientas de Policy Audit Automation para comunicaciones empresariales solo están disponibles recientemente.

Ver también

• Procesamiento electrónico de datos

Informática forense

• Informática forense
• Análisis de los datos

Operaciones

• Servicio de asistencia y auditoría de informes de incidentes
• Auditoría de gestión de cambios
• Auditoría de recuperación ante desastres y continuidad empresarial
• ISAE 3402

Diverso

• Garantía XBRL

Irregularidades y actos ilícitos

• Estándar AICPA: SAS 99 Consideración de fraude en una auditoría de estados financieros
• Estudios de casos de fraude informático

Referencias

enlaces externos

• Una carrera como auditor de sistemas de información , por Avinash Kadam (Network Magazine)
• Consejo de Examen de Instituciones Financieras Federales (FFIEC)
• La necesidad de la tecnología CAAT
• Arquitectura de seguridad abierta: controles y patrones para proteger los sistemas de TI
• Instituto Americano de Contadores Públicos Certificados (AICPA)
• Biblioteca de servicios de TI (ITIL)