Certificaciones del Auditor de Sistemas

ISACA

El objetivo principal es promover la educación de sus miembros, el uso compartido de recursos, el establecimiento de una red de contactos profesionales y una amplia gama de beneficios adicionales a nivel local, orientados al mejoramiento y al desarrollo de sus capacidades individuales relacionadas con la práctica de la auditoria.

La organización ISACA certifica a los auditores en auditorias de sistemas de información entre las cuales están:

Certificación CISA

Esta certificación la extiende la ISACA que es una organización internacional que ayuda a los profesionales en adaptar y asegurar la confianza en el mundo digital.

Beneficios de la certificación

·       Confirma los conocimientos y la experiencia.

·       Demuestra que mantiene el nivel de conocimientos necesarios para afrontar las nuevas tecnologías.

·       A nivel mundial esta certificación es reconocida como una marca de excelencia para el profesional de auditoria.

·       Aumenta el valor a la organización.

·       Se obtiene una ventaja competitiva sobre otros profesionales en el mercado.

·       Ayuda al profesional a mantener un alto estándar a través de la educación continua de ISACA y la conducta de ética.

Como se obtiene la certificación

Completar el examen CISA: la evaluación está disponible para el público que está interesado en la auditoria de sistemas, el cual se debe tener una preparación previa que en la página de la ISACA se puede encontrar el curso para poder solventar la evaluación.

Presentar una solicitud para la certificación CISA:  al presentar esta solicitud la cual debe tenerse un mínimo de 5 años de experiencia de auditoria de sistemas.

Adhesión al código de ética profesional: se debe cumplir con el código de Ética que es la guía de la conducta personal y profesional del individuo.

Adherencia al programa de educación profesional continua:  este programa ayuda a mantener la competencia del profesional por medio de la actualización de los conocimientos y habilidades en el are de sistemas de información.

Cumplimiento de los sistemas de información, normas de auditoria: se debe cumplir con las normas de auditoria de sistemas de información adoptados por ISACA.

Certificación CISM

Esta certificación es para administradores de seguridad de la información, está enfocada a la gerencia, esta certificación define los principales estándares de competencias y desarrollo profesional que un director de seguridad informática debe tener, entre las cuales están dirigir, diseñar, revisar y asesorar

Beneficios

·         Comprensión de la relación entre objetivos y metas de negocio mas amplio y un programa de seguridad de la información.

·         Distinción no solo de experiencia sino también de conocimientos y experiencia en el desarrollo y gestión de un programa de seguridad.

Como certificarse:

Aprobar el examen CISM

Adherirse al código de ISACA de la ética profesional

Cumplir con la política de educación continua

Experiencia de trabajo en el campo de la seguridad de la información.

Presentar solicitud para la certificación CISM

    

                                                       

Certificación CGEIT      

CGEIT acredita a una amplia diversidad de profesionales sobre sus conocimientos y aplicación de prácticas y principios de gobierno de TI corporativo. Esta certificación se basa en las cinco áreas del conocimiento del gobierno TI, así como también en las normas que respaldan el buen gobierno de las TI (COBIT e ITIL).

Beneficios:

·         Prestigio, conocimientos y experiencias permanentes.

·         Ventajas competitivas en comparación de otros.

·         Ingresos mayores y crecimiento profesional.

·         Capacidad de aprovechar las herramientas y recursos de una comunidad global de expertos de la industria.

Como certificarse

Pasar el examen

Adherirse al condigo de ética profesional

Comprometer a cumplir con la política de educación continua

Proporcionar evidencia de experiencia de trabajo de gobernanza de TI apropiada

Certificación CRISC

Es una certificación que prepara y habilita a los profesionales en tecnologías de información para el desafío de la gestión del riesgo empresarial desde el área de TI, y posiciona al profesional para convertirse en un miembro estratégico de la empresa.

Beneficios:

·         Prestigio a nivel profesional demostrando el conocimiento en riesgos de nivel empresarial.

·         Aumento del valor para la organización

·         Ventaja competitiva

·         Permite el acceso a la comunidad de conocimientos y networking de profesionales actualizados en la gestión de riesgos.

Como certificarse

Completar examen

Experiencia de control de sistemas de información y gestión de riesgos TI

Adherencia al código de ética profesional.

Cumplir con la continua política de formación profesional.

Certificación ISO 27001

Es un estándar para la seguridad informática, especifica los requisitos necesarios para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información.

La implementación de esta ISO en una organización es un proyecto que suele tener una duración de medio año a un año, depende de la madurez en seguridad de la información y el alcance.

La certificación es un proceso en donde la entidad evaluadora es independiente y acreditada audita el sistema, determinado en la ISO 27001, su grado de implementación real y su eficacia, en caso positivo, emite la certificación.

Perfil del Auditor de sistemas

Auditor de Sistemas

Se tenía la idea de que cualquier contador-publico podía realizar auditorías en entornos informáticos, sin embargo, se puede decir que un profesional que realiza auditorias de sistemas cuenta con una especialización en el tema de sistemas de información.

Un auditor informático es un profesional dedicado al análisis de sistemas de información que está especializado en algunas de las ramas de la auditoria informática que posee conocimientos generales de los ámbitos en que se desenvuelve, también con conocimientos empresariales.

En el entorno informático existen dos tipos de trabajos de auditoria: al sistema de información computarizado y a los recursos informáticos de la organización. En el primero el objetivo es evaluar la calidad de la información; en el segundo es de la evaluación de los recursos informáticos.

.

Características del auditor informático

·       Poseer una mezcla de conocimientos de auditoría financiera y de informática en general.

·       Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial.

·       Debe contener técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que se aporten deben estar en función a los objetivos de la empresa.

·      Tener un enfoque de calidad total, lo cual hará que sus conclusiones y trabajo sea reconocidos como un elemento valioso dentro de la empresa.

Responsabilidades del Auditor Informático

·       Analizar la administración de los riesgos de la información y de la seguridad implícita.

·       Analizar la administración de los sistemas de información, desde un enfoque de riesgo de seguridad, administración y efectividad de la misma.

·        Analizar la integridad, lo fiable y la certeza de la información que tienen los sistemas de información a través del análisis de aplicaciones.

·         Planificar las actividades de auditoria a realizar.

·         Consensuar un cronograma de trabajo a ejecutar con el auditado.

·         Auditoria del riesgo operativo de los circuitos de información.

·         Verificar el nivel de continuidad de las operaciones.

·       Establecer objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno.

Principios éticos del auditor informático

Beneficio del auditado: el auditor debe velar por obtener la máxima eficiencia, así como la mayor rentabilidad de los sistemas de información de la entidad dando recomendaciones que permitan maximizarlos.

De capacidad: el auditor debe ser competente para llevar a cabo el encargo que se le ha encomendado de lo contrario el auditor no va saber que hacer o como realizar las recomendaciones adecuadas sobre algo que él mismo no conoce.

De comportamiento profesional: este principio va relacionado con las normas que rigen la profesión del contador público, en donde se en marca la manera de proceder de un profesional con las demás personas de su alrededor.

De criterio propio: un profesional de la contabilidad y auditoría debe llevar a cabo una auditoria conforme a su criterio y no esperar la opinión de otros profesionales.

De discreción: un profesional debe en todo momento tener en resguardo todo tipo de información proporcionada por el auditado y no divulgarla con terceras personas.

De no injerencia: por lo importante que representa una evaluación de los sistemas de información de una entidad el auditor no puede permitir injerencias por parte de otros profesionales y a su vez evitar dar opiniones sobre otros profesionales en su labor.

De formación continuada: este principio indica que el auditor debe y es parte de su responsabilidad como profesional a mantenerse en continua actualización de sus conocimientos con el fin de estar a la vanguardia con las necesidades que se necesita cubrir en el mercado.

De independencia: el auditor debe ser autónomo e independiente al momento de llevar a cabo una auditoria permitiéndole realizar un trabajo de excelencia y dando puntos de vista adecuados.

De economía: el auditor debe velar por los derechos del auditado evitando gastos innecesarios.

Clases de Auditoría

Clases de Auditoría

Las clases de auditoria se clasifican de la siguiente forma:

Por su lugar de aplicación:

• Auditoría Externa:

Es la revisión independiente que realiza un profesional de la auditoría, con total libertad de criterio y sin ninguna influencia, con el propósito de evaluar el desempeño de las actividades, operaciones y funciones que se realizan en la empresa que lo contrata, así como de la razonabilidad en la emisión de sus resultados financieros.

• Auditoría Interna:

Es el departamento interno de la empresa que evalúa constantemente a la entidad sin embargo puede no ser completamente objetiva la evaluación por ser parte de la misma. El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.

Por su área de aplicación:

• Auditoría Financiera:

Es la que revisa los registros contables y operaciones financieras de las entidades para corroborar que todas las operaciones cumplen con los principios contables aplicables.

• Auditoría Administrativa:

Es la que revisa el cumplimiento de las actividades y funciones del aspecto administrativo, como la organización, los integrantes.

Auditoría Operacional:

Es la que revisa las actividades de operación del giro comercial de la entidad que se trate.

• Auditoría Integral:

Es la que revisa en su conjunto todas las áreas, funciones, operaciones de una empresa.

• Auditoría Gubernamental:

Es la que utiliza dentro de  las entidades del gobierno.

• Auditoría de sistemas:

Es la que revisa los sistemas de información de una empresa.

Especializadas en áreas específicas:

• Auditoría al área de medica:

Revisa las ciencias médicas con el propósito de corroborar el desempeño del personal  por medio de especialistas en el área.

• Auditoría Desarrollo de obras y construcciones:

Es la que se especializa en todo tipo de obras de construcción.

• Auditoría Fiscal:

La que revisa que la información financiera este acorde a las leyes fiscales aplicables.

• Auditoría Laboral:

La que revisa el correcto entorno de la selección, capacitación y desarrollo del personal de una entidad.

• Auditoría de proyectos de inversión:

Revisa los programas y ejecución de los recursos económicos de una entidad.

• Auditoría Caja chica o caja mayor:

Es la que revisa el manejo de efectivo, los comprobantes tanto de ingreso como de egresos.

• Auditoría Ambiental:

Es la que se hace para la calidad del medio ambiente para la aplicación de medidas preventivas.

• Auditoría de sistemas:

Es que se utiliza para la evaluación de todos los sistemas informáticos que tenga una entidad.

A continuación se presenta un video correspondiente a la Auditoria de Sistemas

Bases de Datos

¿Qué son las bases de datos?

Una base de datos es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar fácilmente.

Definición de base de datos

Se define una base de datos como una serie de datos organizados y relacionados entre sí, los cuales son recolectados y explotados por los sistemas de información de una empresa o negocio en particular.

Características

Entre las principales características de los sistemas de base de datos podemos mencionar:

Clasificación de las bases de datos

Según la variabilidad de la base de datos

• Bases de datos estáticas

Son bases de datos únicamente de lectura, utilizadas primordialmente para almacenar datos históricos que posteriormente se pueden utilizar para estudiar el comportamiento de un conjunto de datos a través del tiempo, realizar proyecciones, tomar decisiones.

• Bases de datos dinámicas

Son bases de datos donde la información almacenada se modifica con el tiempo, permitiendo operaciones como actualización, borrado y edición de datos, además de las operaciones fundamentales de consulta. Un ejemplo, puede ser la base de datos utilizada en un sistema de información de un supermercado.

Según el contenido

• Bases de datos bibliográficas

Solo contienen un representante de la fuente primaria, que permite localizarla. Un registro típico de una base de datos bibliográfica contiene información sobre el autor, fecha de publicación, editorial, título, edición, de una determinada publicación, etc. Puede contener un resumen o extracto de la publicación original, pero nunca el texto completo.

• Bases de datos de texto completo

Almacenan las fuentes primarias, como por ejemplo, todo el contenido de todas las ediciones de una colección de revistas científicas

El siguiente video se habla sobre las bases de datos

Gestor de base de datos

En la actualidad con el desarrollo de la tecnología se ha vuelto una herramienta muy importante para las bases de datos, existen aplicaciones que ayudan a la creación, administración y mantenimiento de bases de datos dentro de las empresas las cuales son llamadas sistemas de gestión de base de datos.

Un gestor de base de datos consta de varios elementos los cuales son:

Entidades: Conjunto de elementos que sufren las acciones. Una entidad debe tener como mínimo un atributo sino no es entidad.

Relaciones: Unen las entidades entre sí, estas relaciones pueden existir relaciones uno a uno, uno a muchos, muchos a muchos.

Atributos: Características particulares de las entidades que involucra.

Las ventajas de un gestor de bases de datos se pueden mencionar:

·         Proporciona muchas de las funciones estándar que el programador necesita escribir en un sistema de ficheros.

·         Disminuye anomalías en el acceso de múltiples usuarios.

·         Disminuye problemas de seguridad.

·         Disminuye problemas de integridad. 

Algunos inconvenientes podrían ser: la complejidad al momento de obtener lo mejor del sistema, el tamaño del programa puede ser muy complejo y extenso, el coste económico del programa que puede representar a la entidad.

Ejemplos de gestores de bases de datos