Auditoría Informática

Auditorías a las tecnologías y sistemas de información

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoria de los sistemas abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

El objetivo es dar recomendaciones para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa

Objetivos específicos:

  • 1. Participación en el desarrollo de nuevos sistemas:
    • evaluación de controles
      cumplimiento de la metodología.
  • 2. Evaluación de la seguridad en el área informática.
  • 3. Evaluación de suficiencia en los planes de contingencia.
    • respaldos, prever qué va a pasar si se presentan fallas.
  • 4. Opinión de la utilización de los recursos informáticos.
    • resguardo y protección de activos.
  • 5. Control de modificación a las aplicaciones existentes.
    • fraudes
      control a las modificaciones de los programas.
  • 6. Participación en la negociación de contratos con los proveedores.
  • 7. Revisión de la utilización del sistema operativo y los programas
    • utilitarios.
      control sobre la utilización de los sistemas operativos
      programas utilitarios.

    Desarrollo de políticas y procedimientos de seguridad de la información

    Servicios de consultoría dedicados a la definición, diseño e implementación de Planes Corporativos de Seguridad de la Información e Infraestructura Tecnológica, Mapas de Riesgos, Políticas y procedimientos de Seguridad, Planes de Seguridad Preventiva, Planes de Contingencia y Continuidad de Negocio.

    Evaluaciones de Riesgo/Control de procesos tecnológicos y sistemas de información administrativos

    El riesgo es el potencial de que una amenaza determinada ocasione la pérdida o disminución de un activo o aumento de un pasivo. Es así como los riesgos provocan un impacto directo o indirecto en las organizaciones.
    El Riesgo Operativo en los Sistemas de Información, corresponde a las deficiencias en los sistemas de información o controles internos que produzcan pérdidas inesperadas. El riesgo está asociado a errores humanos, a fallas del sistema, procedimientos y controles inadecuados.

    En esta tarea se desarrolla las siguientes etapas:
    • Cuestionarios: se realizan entrevista con el fin de evaluar de acuerdo a una escala predeterminada, los distintos riesgos y vulnerabilidades
    • Identificación de Riesgos: Posteriormente se clasifican los riesgos de acuerdo a su impacto en la organización.
    • Calculo del Impacto: Se efectúa el cálculo del impacto que va de acuerdo a la probabilidad
    • Identificación de medidas y su costo: Se identifican las distintas posibilidades de medidas para minimizar y administrar el riesgo, y su costo para la organización.
    • Simulaciones: Esta etapa es la más importante, debido al análisis entre las distintas medidas, de acuerdo a consideraciones técnicas y de costo, lo cual determinará el Plan de Medidas de Seguridad.
    • Creación de Informes. Es el Plan de medidas de Seguridad de los Sistemas de Información de la organización, entre lo que se puede mencionar planes de contingencia.

    Asesorías en continuidad de negocio y recuperación ante desastres.

    La epidemia que actualmente vivimos podría prolongar y profundizar la crisis económica que atravesamos, y detener o frenar la operación de algunas empresas.
    Actualmente las empresas dependen de procesos apoyados en tecnologías de la información convirtiéndose en puntos de falla críticos para la operación y desarrollo de los negocios.
    Hay dos grandes actividades o tipo de planeación que las empresas debieran abordar tempranamente y que estando implementadas podrían asegurar que el negocio se recupere prontamente ante indisponibilidades:
    • Plan de Continuidad de Negocio (BCP), cuyo objetivo aplicar procedimientos alternativos cuando un problema se presenta y afecta a la forma norma de hacer el trabajo. Este proceso está orientado a los procedimientos administrativos y operacionales basados en las personas.
    • Plan de Recuperación ante Desastres (DRP), cuyo objetivo aplicar procedimientos alternativos cuando un problema de gran envergadura afecta a un gran porcentaje de la sala de procesamiento de datos principal. Este proceso está orientado a los procedimientos tecnológicos.

    Ante un panorama mundial como el actual, nos encontramos que los planes de contingencia en las empresas están fundamentalmente enfocados a proteger la información (datos) y la infraestructura central de Tecnologías de Información (TI), es decir Plan de Recuperación ante Desastres (DRP). Muy pocas empresas tiene un Plan Integral de Continuidad de Negocios (BCP).

    Asesorías en negocios tecnológicos

    Consultoría orientada al apoyo en definir cómo invertir e integrar componentes en la infraestructura de Tecnologías de Información, de modo que ésta ayude a conseguir los objetivos de negocio. En la medida que la organización conozca y administre su infraestructura de Tecnologías de Información, fortalecerá identificar oportunidades para agregar efectividad y valor al negocio.