¿Qué es una auditoría de sistemas informáticos?

Según la definición que aporta la RAE, entendemos como auditoría la: “Revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse.” Por lo tanto, basándonos en esta conceptualización podemos definir una auditoría de sistemas como una comprobación del uso adecuado de los sistemas informáticos de una empresa, aconsejando sobre la protección de estos y de los datos que contengan.

Estructura de una auditoría

Alcance y objetivo

La auditoría se fundamentará en dos textos legales: el RGPD y la nueva actualización de la LOPD de carácter personal, ambas normativas tienen por objeto el adecuado uso de los datos de carácter personal.

El alcance de la auditoría tendrá su limitación en la naturaleza de la misma, es decir, en una auditoría de sistemas, el auditor se preocupará de analizar los equipos informáticos que componen la red empresarial en búsqueda de posibles vulnerabilidades. Por lo tanto, el alcance estará en los equipos informáticos y algunos componentes que puedan afectar a los mismos, como puede ser el uso de dispositivos de almacenamiento, conexiones externas, etc.

Al igual que el alcance, el objetivo de una auditoría estará condicionado por la naturaleza de la misma, cada tipo de auditoría tendrá un objetivo específico. Las auditorías de sistemas de la información tienen como objetivo mantener la confidencialidad, integridad y disponibilidad del sistema informático empresarial y comprobar su eficacia, siempre desde un punto de vista completamente objetivo.

Objetivos secundarios que podemos distinguir de los principales, ya que resaltan la importancia de la auditoría de sistemas:

  • Mejorar el desarrollo de la empresa.
  • Favorecer la productividad de los trabajadores dependientes del sistema informático.
  • Concienciar en seguridad informática.
  • Reducir costes en infraestructuras que se dañan por un uso inadecuado.
  • Aconsejar en seguridad.
  • Reducir riesgos.

Metodología

Un auditor de sistemas deberá hacer uso de varias herramientas para llevar a cabo el objetivo de una buena auditoría de seguridad, a continuación se listan algunos ejemplos:

  • Inventario de equipos.
  • Barrido de puertos.
  • Entrevistas, cuestionarios o encuestas a los trabajadores.
  • Comparativas con protocolos de seguridad.
  • Análisis de comportamiento.
  • Escaneo de red.
  • Intrusión en equipos.

Conclusiones

El auditor comunicará las conclusiones a las que haya llegado mediante la metodología empleada, de modo comprensible y claro para los componentes de la empresa. Además, realizará las oportunas sugerencias y consejos que puedan aumentar la eficacia y seguridad del sistema informático empresarial.

¿Debo realizar una auditoría de sistemas?

Si el negocio se desarrolla en su mayoría haciendo uso de sistemas informáticos si que se debería realizar una auditoría, ya que, aportará múltiples beneficios cuando se implanten las recomendaciones del auditor. Entre los beneficios destacan los siguientes:

  • Reducción de daños en infraestructuras.
  • Reduce la posibilidad de riesgos y amenazas.
  • Favorece la productividad de los trabajadores.
  • Favorece a la imagen de la empresa.

Sin una fórmula exacta, desde Borealos proponemos tres factores que te ayudarán a decidir si necesitas una auditoría de sistemas.

  1. Cantidad de datos que procesas.
  2. Calidad de los datos que procesas.
  3. Desarrollo de la empresa. La estabilidad del negocio es fundamental para poder invertir en seguridad.