Una auditoría de tecnología de la información , o auditoría de sistemas de información , es un examen de los controles de gestión dentro de una infraestructura de tecnología de la información (TI) y aplicaciones comerciales. La evaluación de la evidencia obtenida determina si los sistemas de información protegen los activos, mantienen la integridad de los datos y funcionan de manera efectiva para lograr las metas u objetivos de la organización. Estas revisiones se pueden realizar junto con una auditoría de estados financieros , una auditoría interna u otra forma de compromiso de atestación.
Una auditoría de TI es diferente de una auditoría de estados financieros . Si bien el propósito de una auditoría financiera es evaluar si los estados financieros presentan razonablemente, en todos los aspectos importantes, la posición financiera, los resultados de las operaciones y los flujos de efectivo de una entidad de conformidad con las prácticas contables estándar., el propósito de una auditoría de TI es evaluar el diseño y la efectividad del control interno del sistema. Esto incluye, entre otros, protocolos de eficiencia y seguridad, procesos de desarrollo y gobierno o supervisión de TI. La instalación de controles es necesaria pero no suficiente para brindar una seguridad adecuada. Las personas responsables de la seguridad deben considerar si los controles están instalados según lo previsto, si son efectivos o si se ha producido alguna brecha en la seguridad y, de ser así, qué acciones se pueden tomar para prevenir futuras brechas. Estas consultas deben ser respondidas por observadores independientes e imparciales. Estos observadores están realizando la tarea de auditoría de los sistemas de información. En un entorno de sistemas de información (SI), una auditoría es un examen de los sistemas de información, sus entradas, salidas y procesamiento.[1]
A medida que la tecnología continúa avanzando y se vuelve más frecuente en nuestras vidas y en los negocios, se produce un aumento de las amenazas e interrupciones de TI. Estos afectan a todas las industrias y se presentan de diferentes formas, como filtraciones de datos, amenazas externas y problemas operativos. Estos riesgos y la necesidad de altos niveles de garantía aumentan la necesidad de auditorías de TI para verificar el rendimiento de los sistemas de TI de las empresas y para reducir la probabilidad y el impacto de las amenazas e interrupciones tecnológicas. [2]
Las funciones principales de una auditoría de TI son evaluar los sistemas que existen para proteger la información de una organización. Específicamente, las auditorías de tecnología de la información se utilizan para evaluar la capacidad de la organización para proteger sus activos de información y distribuir información adecuadamente a las partes autorizadas. [3] La auditoría de TI tiene como objetivo evaluar lo siguiente:
¿Los sistemas informáticos de la organización estarán disponibles para el negocio en todo momento cuando sea necesario? (conocido como disponibilidad) ¿Se divulgará la información en los sistemas solo a los usuarios autorizados? (conocido como seguridad y confidencialidad) ¿La información provista por el sistema será siempre precisa, confiable y oportuna? (mide la integridad) De esta manera, la auditoría espera evaluar el riesgo del activo valioso de la empresa (su información) y establecer métodos para minimizar esos riesgos.
Más específicamente, las organizaciones deben considerar tres requisitos principales: confidencialidad, integridad y disponibilidad para etiquetar sus necesidades de seguridad y confianza en sus sistemas de TI.