AUDITORA DE SISTEMAS, UNA EVALUACIN DEL DESARROLLO Y USO DE LAS TECNOLOGAS DE LA INFORMACIN

Autor: JUAN PABLO CORDERO ROMERO Ingeniero de Sistemas Docente Interino Universidad Autnoma Toms Fras jpablo.cordero.r@gmail.com

RESUMEN Este documento pretende mostrar los problemas que dan origen a la necesidad de llevar a cabo un proceso de auditora de sistemas en las instituciones que cuentan con tecnologas de informacin, expresar la importancia de la auditora, dar una definicin precisa de lo que es la auditora de sistemas, los principios en los cuales debe basarse el auditor de sistemas y exponer una metodologa que permita concluir con este proceso.

PALABRAS CLAVE: Auditora de Sistemas, Tecnologas de Informacin y Comunicaciones, Seguridad de Informacin, Proceso, Estndares ABSTRACT KEYWORDS:

1.

INTRODUCCIN

Las instituciones de nuestra sociedad cada vez ms estn conscientes de la necesidad y urgencia de contar con tecnologas de informacin que puedan ser tiles para alcanzar la productividad en el desempeo de sus funciones o para el desarrollo cotidiano de sus tareas, motivo por el cual han ido adquiriendo tecnologas que puedan servirles para este efecto. Sin embargo a partir de un conjunto de consultas y observacin realizadas al interior de algunas instituciones

podemos verificar que esta tecnologa en muchos casos no ha resuelto los problemas en el procesamiento de la informacin con los cuales tropiezan estas y por lo tanto no han logrado alcanzar la productividad deseada. Fruto de esta situacin se hace necesario un proceso de auditora o evaluacin que permita identificar las causas por las cuales existen estos problemas y adems un llevar a cabo un proceso por el cual se pueda plantear controles y posibles soluciones a dichos problemas.

2.

PROBLEMAS QUE DAN ORIGEN A UNA NECESIDAD DE PENSAR EN AUDITORA DE SISTEMAS

Disponibilidad: La informacin siempre debe estar disponible para aquellas personas que tengan derecho sobre ella. Pero en las instituciones muchas veces estas caractersticas son vulneradas por lo que podemos hablar de una deficiente seguridad. Este aspecto se da inclusive al determinar los responsables de la seguridad de la informacin. Equivocadamente pensamos que el nico responsable de la seguridad es el encargado de sistemas, sin embargo para poder mantener la seguridad debemos realizar un trabajo conjunto entre los usuarios de la tecnologa, el encargado de sistemas y los rganos de decisin dentro de la institucin.

Los problemas que an se pueden encontrar en las instituciones a pesar de contar con tecnologas de informacin y que origina la necesidad de llevar a cabo un proceso de auditora de sistemas son los siguientes [1]: Poca productividad. Al hablar de productividad debemos hacer referencia a la eficacia y eficiencia, esto implica que se pueda llegar a cumplir con las tareas u objetivos trazados en la institucin pero con economa de medios. En lo que respecta al uso de tecnologas de informacin no se ha podido alcanzar la productividad deseada con estas. Falta de confidencialidad.

3.

QU ES LA AUDITORA DE SISTEMAS?

Desde la percepcin de la seguridad informtica confidencialidad implica que solo puedan acceder a la informacin aquellas personas que tienen permiso para esto [2], sin embargo existen muchos casos en los cuales esta caracterstica es vulnerada y por lo tanto la informacin ser divulgada sin restricciones. Un ejemplo claro que se puede encontrar en las instituciones es el uso de contraseas compartidas o informacin privada que es divulgada inclusive a personas externas a la institucin. Deficiente seguridad.

Auditora de Sistemas es una evaluacin o examen crtico metdico realizado por personas con conocimientos de desarrollo y explotacin de tecnologas de informacin con el objetivo de mejorar el procesamiento y seguridad de las tecnologas de informacin y as lograr un mejor apoyo a la toma de decisiones. [5] La evaluacin que se pretende con la auditora de sistemas debe mostrar el estado actual en el que se encuentra el desarrollo y manejo de las tecnologas de informacin Se dice que la auditora debe ser crtica y metdica porque debe expresar los problemas a los que afronta la institucin pero tambin debe sealar los aspectos positivos de los procedimientos que lleve a cabo la institucin en el manejo de estas tecnologas y adems debe seguir un conjunto de pasos predefinidos en estndares proporcionados por organismos de especializados en esta rea como es el caso del IGTI (Instituto de gobierno de Tecnologas de Informacin) [6] o por ISACA en COBIT 4.0 [7]. El proceso de auditora debe ser realizado por personas con conocimientos en el desarrollo y uso de tecnologas de informacin porque el auditor de sistemas deber hacer uso de estos conocimientos para realizar una evaluacin cabal de su objeto de estudio. Como objetivo final del proceso de Auditora de Sistemas se debe lograr establecer el control interno, el

Segn el estndar ISO 17799 [3] y el estndar ISO 27001[4] seguridad de la informacin es la preservacin de tres caractersticas: Integridad: Esto implica que la informacin no sea modificada sin el consentimiento de la persona que tenga permisos sobre ella, ya sea en el almacenamiento o transmisin de la informacin. Confidencialidad: Como se mencion anteriormente la informacin solo debe ser divulgada a aquellas personas que tienen el permiso para acceder a ella.

mejoramiento en el procesamiento de la informacin y la garanta de seguridad de esta. 4. PRINCIPIOS DEL AUDITOR DE SISTEMAS

esencialmente las actividades, tareas, tiempos y recursos que se necesitan para la auditora. La etapa de ejecucin implica el llevar a cabo todas las actividades y tareas den plan de trabajo El informe final de auditora de sistemas debe contener las conclusiones a las que ha llegado el auditor, expresadas en funcin de los principios expresados anteriormente y estableciendo los controles necesarios para la institucin en lo que respecta a sus tecnologas de informacin. 6. CONCLUSIONES la auditora de sistemas surge de problemas que persisten a pesar de que una institucin cuente con tecnologas de informacin que se suponen van a apoyar el mejor desarrollo de sus tareas. La auditora de sistemas es un proceso necesario para medir la productividad que alcanzan los usuarios con el uso de tecnologas de informacin. Debe ser un proceso que resalte los problemas en el manejo de tecnologas de informacin, pero tambin debe resaltar los aspectos positivos en el manejo de dichas tecnologas. El auditor debe seguir ciertos principios esenciales para llevar a cabo el proceso de auditora de sistemas. Para garantizar el control y seguridad de la informacin se debe lograr una comprensin de las responsabilidades que tienen los usuarios sobre el manejo de las tecnologas de informacin. Existen varias metodologas para llevar a cabo una auditora de sistemas, de entre las cuales se destacan ms la metodologa tradicional y la metodologa basada en objetivos de control y anlisis de riesgos por su aplicabilidad.

El auditor de sistemas debe seguir algunos principios para llevar a cabo el proceso de auditora de sistemas [6]. Estos principios son los siguientes: Debe atender a razones y no excusas Debe ser crtico y objetivo Debe estudiar las causas y no los efectos Debe garantizar la proteccin de la informacin como uno de los activos ms importantes de la institucin PROCESO GENERAL DE AUDITORA DE SISTEMAS

5.

Para la ejecucin de la auditora de sistemas podemos seguir un conjunto de metodologas de entre las cuales se destacan la metodologa tradicional [5] y la metodologa basada en objetivos de control y el anlisis de riesgos [7]. Segn la metodologa tradicional las etapas que contempla la auditora de sistemas son: Entrevista preliminar Planificacin Ejecucin Informe final de Auditora

La entrevista preliminar implica un primer acercamiento del auditor con los directivos de la institucin, esta entrevista tiene como objetivo conocer la situacin actual en la que se encuentra la institucin en el manejo de sus tecnologas, adems de determinar el alcance de la auditora, como resultado de esta etapa se tiene un contrato de auditora el cual debe contener los derechos y obligaciones de los auditores de sistemas y directivos de la institucin. La planificacin se realizar en base a los resultados de la entrevista preliminar y de la experiencia de los auditores, en esta etapa se elabora el plan de trabajo que contempla

7.

BIBLIOGRAFA

[1] Yan Derrien, Tcnicas de Auditora Informtica, 4ta edicin, pp 35, 36, May 2004

[2] Mario Piattini, Emilio del Peso, Auditora Informtica: un enfoque prctico, 5ta edicin, pp, 123 139, Jun 2008 [3] ISO 17799 [4] ISO 27001

[5] Enrique Hernndez Hernndez, Auditora Informtica: un enfoque metodolgico, 3ra edicin, pp, 168 - 175, Jun 2007 [6] ITGT [7] COBIT 4.0