Auditoría informática de comunicaciones y redes
La auditoría informática de comunicaciones y redes se encargará de analizar los distintos dispositivos de comunicación que forman parte de las redes de la organización para detectar sus debilidades y proponer medidas que las corrijan.
Para ello, los auditores deberán conocer la topología de la red de comunicaciones, en la que se describan con detalle las líneas que forman parte de ella, cómo son y su ubicación para comprobar su nivel de operatividad.
Auditoría de desarrollo de proyectos
En la auditoría de desarrollo de proyectos, los auditores informáticos analizan la metodología utilizada para desarrollar los distintos proyectos de la organización, distinguiendo entre cada área de negocio de la empresa.
También se analiza el desarrollo de proyectos globales que se extienden al conjunto de la organización, comprobando su correcta ejecución y el mantenimiento de la seguridad a lo largo de todo el proceso.
Auditoría de seguridad informática
La auditoría de seguridad informática analiza todos los procesos referentes a la seguridad informática, tanto física como lógica.
La seguridad física es la protección de los componentes hardware, dispositivos, instalaciones y entornos de los distintos sistemas informáticos. Los auditores deberán analizar la correcta protección de los elementos físicos ante posibles catástrofes, incendios, robos, etc.
La seguridad lógica, por el contrario, es la protección del software, los procesos y programas del sistema, y su auditoría consistirá en analizar la correcta protección y actualización de estos componentes, además de la protección de los datos que forman parte del sistema.
Actividades
3. Busque información adicional sobre las distintos tipos de auditoría y mencione los distintos elementos que tienen en común.
4. Criterios a seguir para la composición del equipo auditor
Antes de empezar la auditoría, el auditor deberá elaborar una planificación en la que se detallen los objetivos y procedimientos que se llevarán a cabo para realizar la auditoría informática.
En esta planificación se deberá incluir sobre todo:
1 Lugar o lugares en los que se realizarán las tareas de auditoría.
2 Duración de la auditoría.
3 Fecha límite para la finalización de la auditoría.
4 Composición del equipo de auditoría.
5 Áreas que serán auditadas.
En resumen, el auditor planificará los objetivos a cumplir y los métodos y procedimientos que se van a proseguir para lograr dichos objetivos de un modo eficaz y eficiente.
Como ya se puede observar, la composición del equipo de auditoría es un aspecto fundamental para lograr el éxito de la auditoría informática. Las tareas del auditor son de lo más variadas y es necesario formar un equipo con profesionales multidisciplinares y capacitados para que, de forma global, se puedan llevar a cabo una serie de actividades básicas, descritas en la tabla siguiente.
Actividades básicas del auditor informático |
Establecimiento y análisis de la política de seguridad. |
Verificación y cumplimiento de los estándares, normas y cualificaciones relacionadas con la auditoría y la seguridad informáticas. |
Organización de la seguridad y clasificación de los recursos. |
Análisis de las inversiones realizadas y futuras de seguridad. |
Análisis de los riesgos de la organización. |
Análisis y control de la seguridad física de la organización. |
Establecimiento de medidas de protección y control de accesos al sistema. |
Evaluación de la seguridad en las comunicaciones y operaciones. |
Evaluación de la seguridad y vulnerabilidades de los sistemas operativos y demás software del sistema. |
Definición del plan de continuidad de la organización. |
Gestión de la seguridad de la organización con el establecimiento de medidas y definición del cuadro integral de mandos. |
4.1. Características y capacidades del equipo auditor
Para llevar a cabo todas las actividades mencionadas en la tabla anterior, no es necesario que sean desempeñadas por un solo auditor informático, sino que se recomienda seleccionar una serie de técnicos especializados que abarquen los conocimientos y capacidades suficientes para desarrollar todas las tareas de un modo global.
El número de personas que formen el equipo auditor puede variar según las dimensiones de la organización, de los sistemas y de los equipos, pero, independientemente de la magnitud del equipo, sus miembros deberán estar suficientemente capacitados y deberán tener un alto sentido de la ética y la moralidad.
Para seleccionar el equipo adecuado, en un primer lugar hay que pensar en profesionales con suficiente nivel para realizar una correcta coordinación del desarrollo de las tareas de la auditoría, siendo capaz de facilitar la información requerida en todo momento.
Además, el equipo debe estar formado por profesionales con conocimientos básicos en cuanto a:
1 Desarrollo de proyectos informáticos.
2 Gestión del departamento de sistemas.
3 Análisis de riesgos en sistemas informáticos.
4 Sistemas operativos.
5 Redes locales y telecomunicaciones.
6 Gestión de bases de datos.
7 Seguridad física y del entorno.
8 Planificación informática.
9 Gestión de la seguridad de los sistemas.
10 Gestión de problemas, incidencias y cambios en entornos informáticos.
11 Administración de datos.
12 Ofimática.
13 Permisos de acceso y encriptación de datos.
14 Comercio electrónico.
Además, a todos estos conocimientos básicos habría que añadir otros conocimientos más especializados, atendiendo a las características de los sistemas y organizaciones a auditar. Por ejemplo, para auditar empresas cuya actividad principal es el desarrollo del negocio on-line no se requerirá el mismo conocimiento que para empresas cuya actividad se desarrolla enteramente off-line; para las primeras será necesario que los auditores tengan conocimientos más específicos de comercio electrónico, plataformas de pago seguras para Internet, etc.
Nota
El equipo auditor, para que la auditoría termine con éxito, deberá contar con el apoyo de la alta dirección de la organización. Si se cuenta con el apoyo suficiente, la obtención de los datos necesarios para la auditoría y la colaboración de los empleados y departamentos será más fácil y rápida, mejorando la eficiencia y eficacia de los procesos de auditoría.
Debido a la gran variedad de conocimientos específicos necesarios para abarcar todo tipo de empresas, el equipo auditor deberá contar con una serie de colabores directos en la realización de la auditoría para complementar las posibles deficiencias técnicas que puedan