top of page
Empresas Auditoras en Colombia

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

 

En colombia existen varias empresas que realizan esta tareas en la cuales tenemos:

 

AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN “AUDISIS LTDA”

KPMG LTDA.

E&C INGENIEROS LTDA

AUDITOOL S.A.S.

BDO AUDIT S.A.

 

Tomaremos como referencia la Compañía “AUDISIS LTDA”, Auditoría Integral y  Seguridad de Sistemas de Información Ltda., es una firma de Auditores – Consultores Gerenciales, de origen colombiano,  constituida legalmente el 23 de Septiembre de 1.988, quienes tienen como misión prestar servicios profesionales especializados y proveer herramientas de productividad en gestión integral de riesgos,control interno Organizacional,seguridad informática y auditoría de sistemas de información,auditoría integral en procesos de negocios,la fabricación y suministro herramientas de software de auditoría y gestión de riesgos,con el apoyo de personal experto y de las mejores calidades humanas y profesionales.

 

al igual cuenta con sistemas de información para los diversos tipos de auditoría y control interno, orientando su trabajo con un enfoque PROACTIVO que busca el mejoramiento continuo a través de la prevención y mitigación de riesgos potenciales y la implantación de la cultura de AUTOCONTROL en las organizaciones. De esta manera ayuda a modernizar el control interno y la auditoría en los procesos manuales y automatizados  de las Empresas.


en su apartado de clientes se observa una serie de empresas a la cuales se les brindó el servicio de auditoría  lo que brinda una noción de seguridad y trascendencia histórica en el mercado de auditorias

 

Datos de Contacto - AUDISIS Ltda.

Tels: 2556717 / 2556816 / 2556757;PBX: 3470022

E-mail: audisis@audisis.com

Web site: www.audisis.com - www.softwareaudisis.com

Dirección: Calle 53 No. 27 - 33 Oficina 602.

Bogotá - Colombia.

 

 

Leyes Colombianas que hablan de TIC

Ley 1221 de 2008 "Por la cual se establecen normas para promover y regular el Teletrabajo y se dictan otras disposiciones".

Ley 1712 de 2014 "Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones."

Ley 1680 de 2013 "Por la cual se garantiza a las personas ciegas y con baja visión, el acceso a la información, a las comunicaciones, al conocimiento y a las Tecnologías de la Información y las Comunicaciones".


Ley 1273 de 2009 "Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - den ominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones".

Que es Licenciamiento de Software

La licencia de software es, la autorización que el autor o autores, que son quienes ostentan el derecho intelectual exclusivo de su obra, conceden a otros para utilizar sus obras.

Los autores, pueden otorgar distinto tipo de licencia, pueden sólo autorizar su uso, pueden autorizar su modificación o distribución, etc.

 

Patentes y Derechos de Autor

Las patentes y los derechos de autor son la aplicación jurídica de lo que es el fundamento de todos los derechos de propiedad: el derecho del hombre al producto de su mente.

 

Todo tipo de trabajo productivo implica una combinación de esfuerzo mental y físico: de un pensamiento y de una acción física que traduce ese pensamiento en algo material. La proporción de esos dos elementos varía según los diferentes tipos de trabajo. En el extremo inferior de la escala, el esfuerzo mental necesario para realizar un trabajo manual no cualificado es mínimo. En el otro extremo, lo que las leyes de patentes y derechos de autor reconocen es el papel primordial del esfuerzo mental en la producción de valores materiales; estas leyes protegen la contribución de la mente en su forma más pura: el originar una *idea*. El tema de las patentes y derechos de autor es la propiedad *intelectual*.

 

Que son Riesgos Informáticos

Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos. Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de ser conscientes de que la administración del riesgo informático juega un rol crítico. La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización.


Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable. El análisis de riesgo informático es un elemento que forma parte del programa de gestión de continuidad de negocio (Business Continuity Management) En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad será de riesgo no controlado.

Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos).

 

Los principales riesgos son:

  • Malware: abreviatura de la expresión software malicioso, también conocido como virus de computador. Son los llamados caballos de Troya (o troyanos), spywares, keyloggers y otros tipos de software que se usan con fines fraudulentos.

  • Phishing:envío masivo de e-mails o mensajes instantáneos engañosos para hacer que los usuarios revelen sus credenciales al registrarse en la versión falsa de un sitio confiable.

  • Ingeniería social: manipulación mediante el engaño para lograr que los individuos realicen determinadas acciones, o para obtener el acceso a los sistemas, o a su información.

  • Whaling: muy similar al phishing, pero destinado específicamente a  individuos de alto nivel adquisitivo.

  • Man-in-the-middle (hombre en el medio): intercepta la información que se está intercambiando entre dos usuarios reconocidos/confiables.

  • Man-in-the-browser (hombre en el navegador): infección del navegador web mediante malware con el fin de tomar el control de la computadora del usuario. Esta acción no se puede impedir usando SSL (Secure Sockets Layer] y autenticación multi-factor estándar.

Que es Matriz de Riesgos

Una matriz de riesgo es una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una institución, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos que engendran estos riesgos (factores de riesgo).

 

Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros, operativos y estratégicos que impactan la misión de la organización.

 

La matriz debe ser una herramienta flexible que documente los procesos y evalúe demanera global el riesgo de una institución. Una matriz es una herramienta sencilla que permite realizar un diagnóstico objetivo de la situación global de riesgo de una institución financiera.

 

Permite una participación más activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la entidad. Es consistente con los modelos de auditoría basados en riesgos ampliamente difundido en las mejores prácticas internacionales (Coso, Coco - Cobit).


Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos,áreas, productos, procesos o actividades. Finalmente, una Matriz de Riesgo adecuadamente diseñada y efectivamente implementada se convierte en soporte conceptual y funcional de un efectivo Sistema Integral de Gestión de Riesgo

Que es Analisis de Riesgo

MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible tanto en español como en inglés.  Es usado para análisis y evaluación de riesgos tanto en los elementos informáticos como en la información y comunicaciones, permitiendo saber cuánto está en juego, cuáles son los riesgos a los que se está sometido y ayudará a minimizar los mismos.

John Andres Henao Hernadez

Carlos Uriel Vargas Gonzalez

Juan Carlos Nieto Rodriguez

2016

Donar con PayPal

Paginas de Interes

bottom of page