Las Pruebas de Auditoría de Sistemas

El aseguramiento de la correcta configuración y operación efectiva de los controles de TI implementados en cada componente o proceso de gestión de TI se logra a través de la realización de pruebas. Las pruebas se constituyen por un procedimiento a seguir para garantizar que un determinado control está en funcionamiento, que es eficiente y que sus resultados son efectivos. Las pruebas pueden incluir la revisión de configuraciones clave, de acuerdo a las especificaciones de fabrica de componentes de equipo o sistemas, la revisión de la documentación que evidencia la realización de un proceso, la revisión de las bitácoras de los sistemas de información, la verificación física de los controles ambientales en centros de datos, tales como la temperatura, humedad y el inventario de medidas de seguridad para garantizar acceso solo a personas autorizadas. En ambientes ERP grandes (SAP, Oracle Business Suite y similares) las pruebas a realizar ya están definidas por los mismos controles implementados en la solución de software. En estos casos el auditor tiene más bien que seleccionar de la amplia gama de controles y formas de prueba disponibles, cuales son los que se realizarán en base a la situación siendo evaluada y el perfil de riesgos de la organización.

Lo verdaderamente retador para un auditor de sistemas es cuando se enfrenta a una situación específica, no estándar, como los desarrollos a la medida que implementan muy frecuentemente en las empresas salvadoreñas y centroamericanas. Incluso hay una gran gama de aplicaciones realizadas por consultores locales, que es frecuente encontrar en diferentes empresas, que tampoco tienen documentados sus controles. En estos casos, un auditor de sistemas tiene que volver a lo básico. Primero, hay que entender como esta diseñado el sistema. Verificar la documentación técnica disponible, los procesos de negocio que soporta, experimentar con el sistema en ambientes de prueba. A partir de este aprendizaje, hay que echar a correr el análisis de riesgos, para identificar en que lugares el software presenta mayores riesgos. El arte esta en formular hipótesis de los riesgos existentes, para luego crear pruebas que comprueben o eliminen una hipótesis. Alguien dirá, el método científico aplicado a la Auditoría de Sistemas, pues bien, ¿Quién dijo que no se podía aplicar? De hecho el desarrollo de la ciencia se basa en el constante interrogatorio de la realidad. Pues bien, un buen auditor de TI siempre estará preguntándose que logra verificar una prueba. Incluso en ambientes que se supone están bien documentados, en programas de auditoría comercializados por los fabricantes, un buen auditor de TI puede encontrar los errores que han cometido los diseñadores del plan a partir de un interrogatorio constante de la efectividad de las pruebas, del análisis de los resultados. Hay que recordar que también el auditor debe de ser eficiente a la hora de realizar sus pruebas, por lo que no solo debe de buscar o diseñar las pruebas a realizar, sino buscar que sean las mejores, las que buscan probar o negar una hipótesis de manera más eficiente.

Es importante mencionar que para diseñar pruebas eficientes, el auditor de TI debe también de conocer de la tecnología. Su primera fortaleza debe de ser conocer la tecnología, eso le permitirá saber cuando una prueba es eficiente y cuando puede ser mejorada.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 30 de agosto de 2012 en Auditoría de TI y etiquetado en , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: