Principios de Auditoria de Sistemas

Auditoria:

Es el examen crítico y sistemático que realiza una persona independiente del sistema auditado. En Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si, un sistema de información mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Perfil de un Auditor en el área de Informática:

·         Poseer conocimiento en auditoria, informática y financiera.

·         Desarrollar sistema informático.

·         Administración del departamento de informática.

·         Análisis de riesgo en un entorno informático.

·         Poseer conocimientos en sistemas operativos.

·         Telecomunicaciones y redes.

·         Administración de base de datos.

·         Seguridad física.

·         Operación y planificación informática.

·         Administración de seguridad de los sistemas.

·         Administración de cambio.

·         Comercio electrónico.

·         Encriptación de Datos.

La auditoría controla y verifica todos los estándares informáticos que aplica la organización. Analiza la eficiencia y eficacia de los sistemas de información.

¿Qué es ITIL?

La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.

Encriptación de datos:

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma entre otros aspectos. Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos.

Para poder Encriptar un dato, se pueden utilizar tres procesos matemáticos diferentes:

• Los algoritmos HASH
• Los simétricos
• Los asimétricos.

Eficacia:

La eficacia es la capacidad de alcanzar el efecto que espera o se desea tras la realización de una acción.

Por ejemplo: una persona desea romper un disco compacto que contiene información confidencial. Para esto, puede rayar la superficie del disco con una llave (una medida que será eficaz y eficiente) o dispararle con una ametralladora (una decisión eficaz, ya que logrará destruir el disco, pero poco eficiente, ya que utiliza recursos desproporcionados).

Eficiencia:

Es la capacidad de disponer de alguien o de algo para conseguir un objetivo con el mínimo de recursos posibles.

Ejemplos:

·         Puedes trabajar muy rápido, pero quizás no estés haciendo las cosas bien. Ejemplo: un grupo de trabajadores estaba podando árboles para hacer un camino, hasta que el jefe les dijo: “está perfecto, pero era para el otro lado”.

·         Se es eficiente cuando en 12 horas de trabajo se hacen 100 unidades de un determinado producto. Ahora, se mejora la eficiencia si esas 100 unidades se hacen en solo 10 horas. O se aumenta la eficiencia si en 12 horas se hacen 120 unidades. Aquí se ve que se hace un uso eficiente de un recurso (tiempo), y se logra un objetivo (hacer 100 o 120 productos).

Análisis de riesgos Informáticos:

Es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.