Instituto Nacional de Estadstica e Informtica

QU ES LA AUDITORA INFORMTICA?

COLECCIN CULTURA INFORMTICA

_________________________________________________________ INSTITUTO NACIONAL DE ESTADSTICA E INFORMTICA Elaborado por la Subjefatura de Informtica Direccin Tcnica Desarrollo Informtico Telfono 433-4223 Anexos 314 315 Telefax 433-5568 INTERNET infoinei@inei.gob.pe Impreso en los talleres de la Oficina de Impresiones de la Oficina Tcnica de Difusin Estadstica y Tecnologa Informtica del Instituto Nacional de Estadstica e Informtica (INEI) Edicin : Direccin, Redaccin y Talleres: Av. General Garzn N 658 Jess Mara Orden :

PRESENTACIN El Instituto Nacional de Estadstica e Informtica (INEI), como ente rector del Sistema Nacional de Informtica, continuando con la publicacin de la Coleccin Cultura Informtica, pone a disposicin su Vigsimo Sexto Nmero titulado: Qu es la Auditora Informtica?. En esta oportunidad la publicacin que se presenta como Qu es la Auditora Informtica?, pretende despertar el inters, despejando asimismo dudas e inquietudes con respecto a ste tema. Por su contenido, esperamos que sea del agrado de nuestro distinguido pblico lector, ya que el tema es muy interesante, debido a que la auditora Informtica es una actividad de suma importancia para el desarrollo de las empresas por que la gran mayora tiene las bases de su desarrollo en esta actividad. Los temas que se tratan durante el desarrollo de esta publicacin son los que generalmente se dan en una Auditora Informtica, como por ejemplo, conceptos generales de Auditora, Auditora Interna y Externa, alcance de la Auditora Informtica, sus objetivos principales, Auditora Informtica de Explotacin, de Desarrollo de Proyectos, de Sistemas, de Comunicaciones y Redes, de Seguridad Informtica y otros temas que son importantes como: Metodologa de Trabajo, Determinacin de los recursos a utilizar, Actividades que realiza la Auditora Informtica, hasta el Informe final, para finalmente llegar a las conclusiones. El Instituto Nacional de Estadstica e Informtica, pone a disposicin de sus lectores, la presente publicacin, esperando sea de utilidad.

Econ. Flix Murillo Alfaro JEFE INSTITUTO NACIONAL DE ESTADTICA E INFORMTICA

CONTENIDO

Introduccin Auditora Auditora Interna y Auditora Externa Alcance de la Auditora Informtica Tipos y Clases de Auditora Cules son los objetivos principales? Auditora Informtica de Explotacin Auditora Informtica de Desarrollo de Proyectos Auditora Informtica de Sistemas Auditora Informtica de Comunicaciones y Redes Auditora de Seguridad Informtica Tcnicas y Herramientas usadas por la Auditora Informtica Metodologa de Trabajo Determinacin de Alcances y Objetivos Anlisis de Ambiente a Auditar y del entorno Auditable Determinacin de Recursos de la Auditora Informtica Elaboracin y Planteamiento del plan de trabajo y de los Programas Actividades a realiza en la Auditora Elaboracin del Informe Final Elaboracin de la Carta de Introduccin Correspondiente al Informe Final Conclusiones

7 10 11 13 16 17 20 23 25 30 30 33 39 39 40 42 43 44 45 48 49

Qu es la Auditora Informtica? INTRODUCCION: El desarrollo a pasos agigantados de los medios de comunicacin, nos lleva a concluir en que los Sistemas Informticos, con el paso de los aos se han constituido en herramientas muy poderosas para la organizacin en un nivel empresarial, materializando conceptos que son completamente vitales, los cuales conforman los Sistemas de Informacin de las empresas, convirtindose a finales del ltimo siglo en pilares fundamentales para el desarrollo empresarial en general. La gestin empresarial cumple un rol muy importante hoy en da, estando la informtica involucrada en todos los procesos que se requieren para una buena gestin, es por ello que los aspectos normativos y estndares informticos deben encontrarse en acorde a los establecidos. El management o gestin de la empresa se denomina as a la forma como las organizaciones estn afrontando el mercado. La informtica no es quien maneja las empresas, lo que sucede es que tiene un poder de decisin, pero no decide por s misma. Y de acuerdo a como se tome su importancia dentro del mbito empresarial, se da la existencia de la Auditora Informtica. Pero se ha podido advertir que el trmino de Auditora ha tenido un uso incorrecto frecuentemente, ya que se encasillado en el concepto de evaluacin el cual est equivocado, por que se considera que tiene un solo fin y es el de detectar errores y sealar las fallas. Con esto se determina que las causas de esto se deben a que se ha tomado la frase Tiene Auditora como si el significado de esta frase quisiera decir que en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas. Realmente Auditora tiene una concepcin mucho ms amplia, por que la auditora es un examen crtico que se lleva a cabo con la finalidad de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. Instituto Nacional de Estadstica e Informtica 7

Qu es la Auditora Informtica?

Si nos remontamos al campo de la etimologa veremos que auditora viene del latn auditorius, proviniendo de aqu la palabra auditor, la misma que significa o que se refiere a aquel que tiene la virtud de oir. La Auditora informtica puede ser definida de diversas formas, y una de las definiciones que tienen la da el diccionario Espaol Sopena, el cual define a la auditora como Revisor de Cuentas colegiado. Careciendo inicialmente de una definicin clara por que no se explica el objetivo fundamental, es decir no se especifica labor del auditor, la cual es evaluar la eficacia y eficiencia. Si hacemos una investigacin tratando de documentarnos con respecto al rol que cumple la auditora entonces llegaremos a concluir en que esta actividad no es slo una actividad mecnica, donde se apliquen conocimientos y procedimientos ya establecidos, sino que tambin es una actividad en la que el auditor realizar un a anlisis crtico, en el cual no implica que ya hayan existido fallas en la entidad auditada, y que la finalidad est en que se trata de evaluar y mejorar la eficiencia y eficacia de una entidad o en todo caso la seccin que se est evaluando.

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? El objetivo principal de la Auditora Informtica es llegar a tener un control en la actividad informtica, tambin se rige de la normatividad que rige los parmetros establecidos por la empresa y su cumplimiento, el anlisis de la eficiencia de los sistemas informticos, supervisin de la gestin de los recursos humanos informticos y materiales. Los sistemas de informacin son recursos de vital importancia para las empresas de hoy, es entonces que el auditor tiene la responsabilidad de hacer que el uso de los recursos de la empresa se lleven en buena forma y correctamente. Cabe destacar que una Auditora bien realizada es la que toma en cuenta a todas las instituciones de forma igual e importante, debido a que un ministerio, una universidad o una entidad pblica deben ser consideradas de la misma manera tomndolas en su ms amplio sentido. Y es que en todas estas entidades la informtica es importante pues la utilizan para realizar la gestin de negocios en forma ptima con la finalidad de obtener los beneficios econmicos y de costes deseados. De acuerdo a todo esto los sistemas de informacin estn sujetos a un control permanente y se toman en cuenta tanto como los otros rganos de la empresa o entidad a la que se est haciendo la auditora. El hecho de realizar una auditora informtica es importante debido a que las herramientas que se utilizan pueden definir o marcar la diferencia con respecto a la competencia o al momento en que se est viviendo. Algunos de los aspectos que deben ser considerados son:

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? El mal diseo de los sistemas puede ser muy perjudicial, por que puede traer consecuencias desastrosas para la organizacin debido a que las mquinas slo acatan rdenes recibidas de forma irrefutable, y el modelamiento de las organizaciones se encuentra supeditada al buen funcionamiento de estas mismas, las cuales materializan los sistemas de informacin, entonces la empresa no puede permitir que el software y el hardware presenten falta de eficiencia por que va en contra de sus propios intereses. La sofisticacin en los equipos informticos han dado pie para que los centros de control de procesos sean los puntos en el blanco para la delincuencia, el espionaje, o para manifestaciones terroristas. Para esto la seguridad en Auditora informtica es importante. Todos sabemos que hasta las computadoras pueden tener fallas en la informacin elaborada y arrojar resultados errneos, pero si es que dichos datos son igualmente errneos. Esto se da frecuentemente cuando las instituciones pierden de vista la naturaleza y calidad de la informacin que ingresan a sus sistemas de consulta, con el peligro de que otros sistemas que son independientes se vean afectados por este hecho, para este hecho la Auditora de datos es la ms recomendable.

10

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? La necesidad de realizar una auditora informtica es importante para las empresas, por que les permitir conocer la capacidad que tienen, a nivel informtico para poder afrontar sus necesidades ms importantes. AUDITORIA La Auditora cumple una funcin muy valiosa e independiente, no toma acciones pero da sugerencias, y sus conclusiones deben tomarse en cuenta en la toma de decisiones. La auditora se apoya de herramientas de anlisis, verificacin y exposicin conformando as elementos de juicio, los cuales permitirn determinar las debilidades y disfunciones. Es muy probable que se afecte la susceptibilidad del personal auditado, debido a que se interrumpe de alguna manera sus tareas, en el momento de realizar la auditora, adems esta actitud es comprensible. Pero los sistemas en ocasiones son muy sofisticados, lo cual hace que el auditor disponga de un nivel tcnico adecuado e insuficiente frente al tiempo que tiene para realizar su trabajo. Como parte de la auditora est la evaluacin del personal, para esto existe el Chek List, que es un cuestionario, el cual es archivado bajo estrictas medidas de seguridad por las empresas que se encargan de realizar este trabajo de Auditora, por considerarse informacin confidencial y activos muy importantes que respaldan su actividad. La evaluacin debe ceirse de acuerdo a las normas o reglas implantadas y se considera que debe aplicarse una metodologa que pueda resolver los problemas que puedan presentarse.

Instituto Nacional de Estadstica e Informtica

11

Qu es la Auditora Informtica?

Con todos los elementos de juicio recolectados el Auditor podr emitir un informe en el cual expresara el estado en el que ha encontrado los sistemas, expondr las fallas en cuento a hardware y software encontradas y tambin sobre la correcta utilizacin del recurso informtico.

AUDITORA INTERNA Y AUDITORA EXTERNA Existen dos tipos de auditora, como se ve en el titulo de este prrafo, y estas son dos La Auditora Interna y la Auditora Externa, de las cuales en el caso de la Auditora Interna es realizada con recursos humanos propios de la empresa, lo mismo sucede con los recursos materiales, pues todos estos pertenecen a la empresa auditada. Considerando que los empleado que realizan esta labor reciben una remuneracin econmica. La Auditora es una actividad que existe por decisin propia de la empresa, es decir, que la empresa puede decidir en el momento en que esta labor puede ser disuelta. En el caso de la Auditora Externa el personal que debe realizarla es un personal que debe guardar afinidad a la empresa que es auditada, este tipo de Auditora tiene ms consideracin debido a que tiene una mayor objetividad por existir un mayor distanciamiento entre el personal auditor y el personal auditado. El caso de la Auditora informtica es ventajoso en vista de que puede ser realizada peridicamente, la cual puede ser incluida en el plan anual de trabajo realizando una revisin completa de los sistemas y los equipos de cmputo, es por ello que guarda cierta ventaja con la auditora externa.

12

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? Esto permite tambin al personal auditado a poder adecuarse al plan de trabajo de la auditora, y mucho ms cuando las consecuencias de las recomendaciones crean beneficio laboral. Es tarea del personal de informtica de escuchar y orientar sobre las ventajas o desventajas tcnicas que puedan existir y sobre los costos que pueda demandar un sistema. Generalmente su opinin no tiene voto en las decisiones que se toman en la empresa pero si tiene voz para dar la opinin que sea ms adecuada y as poder satisfacer las necesidades ms apremiantes. Todas las empresas desean tener un control sobre sus sistemas informticos, necesitando tambin que su gestin est adecuada a los procedimientos, que todo esto implica. Es por ello que esta necesidad se ve reflejada en la imagen del auditor interno informtico. Slo las empresas grandes pueden contar con una oficina de auditora, debido a que es costoso contar con este servicio permanentemente, es as que las empresas pequeas acuden a la auditora externa. Pero cuando la empresa adopta por tener este servicio como auditora interna, parte del personal informtico pasa a formar parte de esta actividad. Se puede dar que una institucin que cuente con una oficina de auditora interna solicite los servicios de una auditora externa, debido a razones que pueden ser: La falta de capacidad tcnica, para realizar la auditora de materia especializada en gran cantidad. Cruzar las informaciones emitidas tanto de la auditora interna como de la auditora externa, sobre todo con la emisiones internas de graves recomendaciones las mismas Instituto Nacional de Estadstica e Informtica 13

Qu es la Auditora Informtica? que pueden discrepar con la opinin general de la empresa misma. Esto puede servir como mecanismo protector ante la posibilidad de auditoras informticas externas que hayan sido solicitadas por la empresa. La oficina de auditora interna forma parte de la misma empresa pero es independiente del Departamento de Sistemas es por ello que es recomendable solicitar los servicios de una auditora externa, lo cual permitir tener una visin externa de la empresa.

Tanto la auditora externa como interna, debern estar libres de toda influencia poltica, debido a que pueden afectar gravemente la estrategia y poltica general de la empresa. La oficina de auditora puede actuar por decisin propia ya que es un rgano independiente de la empresa an estando dentro de la misma, tambin acta a solicitud de la direccin o de parte del cliente. ALCANCE DE LA AUDITORA INFORMTICA: La auditora informtica actuar dentro de parmetros establecidos, es decir que se desarrollar en un entorno y lmites determinados, y es complementada con los objetivos. Estos lmites deben estar claramente estipulados en el informe final, para que quede claro hasta donde puede llegar la auditora y no solamente eso sino que hay materias fronterizas que pueden ser omitidas. Cuando estos puntos no son bien definidos, puede implicar el que esta no tenga xito.

14

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? Auditora Informtica y sus caractersticas: La informacin es netamente confidencial, es de la empresa y para la empresa, tendr una importancia especial, adems esta informacin es considerada como un activo real que al igual que sus stocks y materias primas, si es que las hay. Debido a esto es que se realizan inversiones de carcter informtico, y de esto se ocupa la Auditora de Inversin Informtica. La Auditora de Seguridad Informtica se encargar de la proteccin los sistemas informticos, o tambin pueden ocuparse de esto la auditora de seguridad de cada rea, si es que existe. La funcin de la informtica puede ser reorganizada, si es que se producen cambios estructurales, y esto es lo ve la Auditora de Organizacin Informtica. Es as que una auditora parcial esta conformada por estos tres tipos de actividades auditoras. De otra forma cuando se lleva a cabo una auditora informtica en un rea de desarrollo de Proyectos Informticos es por que existen ineficiencias, debilidades de organizacin, de inversiones, de seguridad, o alguna mezcla de ellas. Razones para determinar la necesidad de una Auditora Informtica: Cuando existen sntomas de debilidad en la empresa, stas acuden a las auditoras externas para poder determinar en donde estn las falencias. Estos sntomas se pueden agrupar clases: Cuando existe Desorganizacin y descoordinacin: - Los promedios conseguidos no se habitan a los estimados, por que los parmetros de productividad no son respetados y sufren un desvo. Instituto Nacional de Estadstica e Informtica 15

Qu es la Auditora Informtica? Los objetivos que la empresa persigue, no coinciden con los obtenidos. Esto puede darse debido a un cambio masivo de personal, o tambin por que un rea tuvo una mala reestructuracin, tambin puede deberse a una norma importante que haya sido modificada.

Cuando hay insatisfaccin del cliente y una mala imagen - Cuando no hay capacidad de satisfacer las necesidades del cliente. - Las fallas en hardware no son reparadas, ni se resuelven las incidencias en plazos establecidos y razonables, ocasionando un descontento en el usuario por sentirse abandonado. - Los resultados peridicos no son entregados en los plazos establecidos. Las pequeas imprecisiones pueden ocasionar que la informacin no refleje lo real y que la actividad que ejerce el usuario se vea afectada por este motivo. Debilidades Econmico-Financieras: - Elevacin de costos de forma repentina y desmesurada. - Cuando se da la necesidad de justificar las inversiones informticas. - Cuando se dan otras prioridades en el aspecto presupuestario. - Costos y plazos de nuevos proyectos. Cuando existe inseguridad: Se da una evaluacin de nivel de riesgos, la que contempla los puntos siguientes: Seguridad Lgica. Seguridad Fsica. Aspectos de confidencialidad. - La continuidad en el servicio es importante. En ocasiones se considera ms importante que los aspectos de seguridad. Instituto Nacional de Estadstica e Informtica

16

Qu es la Auditora Informtica? Si existen problemas en los que el centro de procesamiento de datos se encontrara fuera de control, una auditora no tendra sentido por considerarse intil, por eso deben tomarse en cuenta los ms mnimos indicios para su aplicacin.

Planes de Contingencia: Por lo general las empresas deben aplicar una poltica de Backups, lo la cual puedan resguardar la informacin en forma diaria, estos backups debern ser en forma doble asegurndose que uno de ellos se encuentre dentro de la empresa y otro fuera de ella. Estos backups pueden estar guardados el tiempo que la empresa lo determine, de acuerdo a la periodicidad con la que van renovando sus backups.

Instituto Nacional de Estadstica e Informtica

17

Qu es la Auditora Informtica? TIPOS Y CLASES DE AUDITORA El departamento de informtica a pesar de tener sus actividades dentro de la misma empresa, trabaja como si fuera una entidad independiente, debido a que su actividad est proyectada al exterior y a los usuarios, de aqu nace la Auditora Informtica de Usuario, la misma que se distingue de la informtica interna, ya que en esta ltima se realiza una actividad informtica cotidiana y real, es por ello que existe una Auditora Informtica de Actividades Internas. La direccin es quien realiza el control de las actividades del departamento de informtica con el exterior. La importancia de se control se debe a que es posible entender las necesidades que tiene la compaa. El apoyo de la direccin a la Informtica frente al exterior es muy importante para que esta sea eficiente y eficaz. Este tipo de relaciones forma lo que se conoce como Auditora Informtica de Direccin y su objetivo. Con estos tres tipos de Auditora, y sumado a esta la Auditora de Seguridad, se determina las cuatro grandes Areas Generales de la Auditora Informtica ms importantes. Dentro de estas Areas Generales existen otras divisiones en la que la Auditora Informtica se subdivide, estas son: Auditoras de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Conformando as las reas especficas de la Auditora Informtica ms importantes. Los criterios que se aplican para cada rea especfica en una auditora son: 18 Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? Se debe tomar desde el punto de vista de la seguridad que la informtica ofrece en general, o en la rama que se est auditando. Desde el funcionamiento interno. De acuerdo al apoyo que se recibe desde la direccin, realizndola en un sentido ascendente, del grado de cumplimiento de las directrices de sta. Considerando las necesidades de los usuarios juntamente con sus perspectivas.

Los criterios que se han mencionado pueden ser ampliados, y establecidos de acuerdo a la real necesidad de la empresa Auditada y a sus caractersticas.

Instituto Nacional de Estadstica e Informtica

19

Qu es la Auditora Informtica? CULES SON LOS OBJETIVOS PRINCIPALES? La auditora Informtica tiene muchos fines y entre los que son ms importantes tenemos: Operatividad: Esta funcin consiste en que la organizacin pueda funcionar con la cantidad mnima de recursos. No se puede permitir que la maquinaria detenga sus actividades para poder detectar los fallos, y as empezar de nuevo. Cabe destacar que la auditora debe llevarse a cabo estando los sistemas en marcha, y este es un proceso que debe realizarse tanto a nivel global, como parcial. El auditor tiene una principal preocupacin y esta es la de conseguir que los sistemas se encuentren en total operatividad, para lograr esto se deben realizar una serie de Controles Tcnicos Generales de Operatividad, y dentro de ellos unos Controles Tcnicos Especficos de Operatividad, los que deben estar desarrollados previamente Controles Tcnicos Generales: Estos son controles que verifican la compatibilidad que existe entre el Sistema Operativo y el Software de base con todos los subsistemas existentes, as como la compatibilidad entre el Hardware y el Software instalado. La importancia de estos controles en las instalaciones que cuentan con varios competidores se da debido a que como existen entornos de trabajo muy diferenciados se obliga a contratar diferentes productos de software bsico, existiendo el riesgo de que se pueda desaprovechar parte del software que a sido contratado. Esto se puede dar tambin con los productos de software bsico que han sido desarrollados por el propio personal de la empresa, en especial cuando la ubicacin de los equipos se encuentra Instituto Nacional de Estadstica e Informtica

20

Qu es la Auditora Informtica? geogrficamente distante. Tambin se puede ver que esto tiene un aspecto negativo, el cual se puede reflejar en la inoperatividad del grupo. La interconexin o intercomunicacin. Es posible que cada Centro de Proceso de Datos sea operativo trabajando slo e independiente, pero lo que no podr ser posible ser la interconexin e intercomunicacin de todos los centros de procesos de datos si es que no existen productos compatibles y comunes. Controles Tcnicos Especficos: Son igual de importantes como los Controles Tcnicos Generales para lograr la Operatividad de los Sistemas. Estos se encargan de verificar el funcionamiento correcto de partes especficas del sistema, como parmetros de asignacin automtica de espacio en el disco, los cuales pueden crear dificultad o impedir su uso posterior por una seccin diferente a la que lo genero. Tambin los periodos de retencin de los ficheros comunes a varias aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la perdida de informacin es un hecho que podr producirse con facilidad, quedando inoperativa la explotacin de alguna de las aplicaciones mencionadas. Qu son los parmetros de asignacin automtica de espacio en disco? Las aplicaciones a desarrollarse son superparametrizadas, lo que significa que existen muchos parmetros los cuales permiten la configuracin del sistema. Es decir que cada aplicacin necesitar un espacio de disco determinado. Si es que no se pudo analizar cual es el tiempo que se emplear en la asignacin del espacio durante la operacin, es muy Instituto Nacional de Estadstica e Informtica 21

Qu es la Auditora Informtica? probable que la aplicacin no funcione y se caiga. Sera muy arriesgado el volver a levantar la aplicacin haciendo una nueva asignacin de espacio y una reconversin ya que demandara demasiado tiempo. Verificacin de Controles de la Gestin Informtica: Cuando ya se ha conseguido que los sistemas se encuentren en total operatividad, se procede a cumplir el siguiente objetivo de la auditora, el cual es el cumplimiento exacto de las normas previamente establecidas en el departamento de informtica y que tengan coherencia con el resto de la empresa. Esto se realiza siguiendo un orden el cual es el siguiente: Las Normas Generales de la Instalacin Informtica. Se har una verificacin inicial no considerando a fondo las contraindicaciones que puedan existir, pero si anotando las zonas que se encuentren en carencia de aspectos normativos requeridos, y por sobre todo teniendo mucho cuidado en que esta normativa no se encuentre en contradiccin con las normas generales de la empresa. Los Procedimientos Generales Informticos. Se proceder a la comprobacin de su existencia, mnimo en los sectores ms importantes. Los Procedimientos Especficos Informticos: De igual forma se proceder a la verificacin de su existencia en las principales reas. Hay que asegurar que los Procedimientos Especficos no se opongan a los Procedimientos Generales. En los casos antes Instituto Nacional de Estadstica e Informtica

22

Qu es la Auditora Informtica?

mencionados sin excepcin se deber tener cuidado en no contradecir ninguna normativa y los Procedimientos Generales de la propia empresa. Los procedimientos que se dan a continuacin son los que se han estado mencionando.

AUDITORA INFORMTICA DE EXPLOTACIN En la Explotacin Informtica se producen los resultados informticos de 1. todo tipo, es as que arroja Planificacin resultados como: listados impresos, ficheros 2. 3.Soporte soportados magnticamente Produccin Tcnico para otros informticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. Esta es vista como la fabrica un centro de produccin que tiene caractersticas particulares, las cuales la hacen diferente a las reales. La materia prima es importante, los datos sern transformados en la informacin requerida esta informacin pasar por un control de integridad y calidad previamente. El proceso informtico es la va para esta transformacin el cual es gobernado por programas. Al final los resultados se someten a controles de calidad, para asegurar que la salida al mercado del producto final se haga en ptimas condiciones. Explotacin Informtica La Explotacin Informtica est dividida en tres grandes reas. Estas son: Planificacin, Produccin y Soporte Tcnico, y estas a su vez estn subdivididas en varios grupos.

Instituto Nacional de Estadstica e Informtica

23

Qu es la Auditora Informtica?

1 Control de Entrada de Datos La informacin obtenida ser analizada para su compatibilidad con los sistemas, se debe tomar en cuenta los plazos establecidos para la entrega de los datos y la correcta entrega de la informacin a los entornos diferentes. Tambin se tomar en cuenta que estos procedimientos se realicen de acuerdo a las normas vigentes. 2 Planificacin y Recepcin de Aplicaciones Las normas de entrega de Aplicaciones por parte de desarrollo sern auditadas, comprobando su cumplimiento y su calidad. Una forma de evaluar la informacin tambin es escogiendo una serie de muestras representativas de la documentacin de las aplicaciones en explotacin. Se har las investigaciones pertinentes a fin de determinar sobre la anticipacin de contactos con desarrollo para la planificacin a medio y largo plazo. 3 Centro de Control y Seguimiento de Trabajos: La produccin diaria es un procedimiento al que se realizar un anlisis exhaustivo. La explotacin informtica dar ejecucin bsicamente a procesos por cadenas o lotes sucesivos(Batch), o en tiempo real(Tiempo Real). Las aplicaciones de teleproceso se encuentran en permanente actividad limitando a las funciones de Explotacin a vigilar y recuperar incidencias, y mientras esto sucede el trabajo Batch absorbe una buena parte de los efectivos de Explotacin. Aqu se determina el xito de la explotacin, debido a que este se considera uno de los artfices en el mantenimiento de la produccin.

24

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica?

Batch y Tiempo Real Aplicaciones Batch, son un tipo de aplicacin que carga mucha informacin en el transcurso del da, durante la noche corre un proceso, el cual relaciona a la informacin en general, tambin lo que hace es calcular cosas y obtener como salida alguna accin. Entonces lo que hace es slo recaudar informacin sin que sea procesada, es decir que solamente se trata de un tema Data Entry, el cual recolecta la informacin y corre el proceso batch(por lotes), este realiza posteriormente clculos para comenzar a trabajar el da siguiente. En cambio lo que sucede con las aplicaciones que son Tiempo Real, es que estas procesan la informacin inmediatamente despus de ser ingresada devolviendo el resultado en el preciso instante. Operacin, Salas de ordenadores Las relaciones que unen a las personas y la conexin lgica que existe de cargos y salarios sern estudiadas, tambin se ver si es que la distribucin de turnos es equitativa. Cada turno de trabajo estar bajo el cargo de un responsable de sala. Los Manuales de Operacin son importantes, as como su utilizacin, tambin los comandos y su grado de automatizacin sern analizados con el fin de despejar dudas acerca de su buen funcionamiento. Los planes de formacin deben ser analizados, adems estos deben ser cumplidos tambin es importante que se cumpla el tiempo transcurrido para cada operador, desde le tiempo en que recibi el ltimo curso. Se verificarn los montajes diarios y por horas de cintas o cartuchos, luego el tiempo que transcurre a solicitud de montaje por parte del sistema hasta el montaje real. Sern verificadas las lneas de papel impresas da a da y en las horas de impresin, as tambin la manipulacin de papel que este implica.

Instituto Nacional de Estadstica e Informtica

25

Qu es la Auditora Informtica?

Control de Red y Control de Diagnosis Existe un centro de control de red, el cual se encuentra siempre ubicado dentro del rea de produccin Explotacin. Este centro dedica sus funciones exclusivamente al entorno de las comunicaciones, se relaciona mucho con el Software de Comunicaciones de Tcnicas de Sistemas. La fluidez en cuanto a la relacin y el grado de coordinacin entre ambos debe ser analizado. La existencia de un punto equidistante ser estudiada, desde donde sean perceptibles todas las lneas que se encuentren asociadas al sistema. En cuanto al Centro de Diagnosis, aqu se atienden llamadas de los usuarios clientes, quienes se ha averiado o han sufrido alguna incidencia, tanto en Software como en Hardware. Este centro es para informticos grandes con usuarios dispersos en un territorio amplio. El Centro de Diagnosis es uno de los que ms ayuda a disponer la configuracin de la imagen de la informtica de la empresa. La auditora debe tomar este punto de vista. Desde el punto de eficacia y eficiencia del usuario en cuanto al servicio que recibe. La verificacin de la eficiencia tcnica del centro no es suficiente, por que ser necesario un anlisis simultneo, en el entorno del usuario. AUDITORA INFORMTICA DE DESARROLLO DE PROYECTOS El Anlisis y, la Programacin de Sistemas y Aplicaciones es lo que ha dado lugar al nacimiento del llamado Desarrollo. Este ltimo abarca muchas reas, y son tantas como sectores informticos tiene la empresa. Sencillamente, una aplicacin tiene fases, las mismas que son:

26

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? Prerequisitos del usuario (nico o plural) y del entorno. Anlisis Funcional. Diseo. Anlisis orgnico (preorogramacin y programacin). Pruebas. Entrega a explotacin y alta para el proceso.

El control interno es una actividad a la cual estn sujetas estas fases, si se diera el caso contrario puede originarse un usuario insatisfecho, provocado tambin por un elevamiento de los costes. Al final debe comprobarse la total garanta en la seguridad de los programas, es decir que los resultados que se arrojen sean los deseados. Se deben considerar cuatro puntos que son importantes para la Auditora de Aplicaciones, quien obligadamente deber pasar por la observacin y el anlisis. 1. Una revisin obligada de las metodologas utilizadas, es decir estas sern analizadas, para as asegurar la modularidad de las nuevas ampliaciones de aplicacin, as como tambin su mantenimiento. Dentro del control interno se revisarn las mismas fases, las mismas que han debido continuar en el rea correspondiente de desarrollo: Cuando la aplicaciones son grandes, caras y complejas es importante un anlisis de su aplicacin. Las aplicaciones debern ser definidas de acuerdo a una lgica. Se observan los postulados, en funcin de la metodologa que se aplica y los objetivos que el proyecto persigue. El Desarrollo Tcnico de la Aplicacin. Es importante que este desarrollo tcnico sea ordenado y correcto. Debern ser compatibles las herramientas tcnicas que se usen ya que la diversidad de programas as lo requiere. Instituto Nacional de Estadstica e Informtica 27

2.

Qu es la Auditora Informtica? Diseo de Programas, deben ser muy sencillos, sern tambin econmicos y tendrn modularidad, es decir regulable. Debe haber un periodo de pruebas y para eso se debe utilizar un mtodo, el cual ser realizado de acuerdo a las normas de instalacin. Se harn pruebas de ensayo de datos, para mayor seguridad y los datos reales no sern permitidos. Documentacin. Toda actividad realizada ser documentada y deber cumplir la normativa establecida en la instalacin. Habr un equipo de programacin. Debido a que hay tareas que deben ser observadas, estas son tareas de anlisis puro, de programacin e intermedias.

3.

Los usuarios cumplen un rol importante debido a que las aplicaciones que se encuentren tcnicamente eficientes y bien desarrolladas, que no satisfagan los requerimientos de estos mismos, sern vistas como fracasadas, la aceptacin por parte del usuario otorga ventajas, debido a que se podrn evitar nuevas programaciones, ahorrando en mantenimiento de la aplicacin.

28

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? 4. Otro punto son los programas crticos a quienes hay que mantener un control de procesos y ejecuciones: entonces el Auditor debe tener la posibilidad de ejecutar un mdulo el cual no corresponde con el programa fuente que desarrollo, codific y prob en el rea de Desarrollo de Aplicaciones. La compilacin debe corresponder al programa codificado, de no ser as podran provocar graves daos y altos costes de mantenimiento, lo que tambin puede suceder es que se prestara para fraudes y sabotajes, etc. Cuando un programa se da por bueno entonces se sujeta a ciertas normas que determinan el ser entregados a explotacin con el fin de copiar el programa fuente en la librera de fuentes de explotacin, ha esta librera nadie ms tiene acceso. Despus la compilacin y el montaje del programa ponindolo en la librera de mdulos de explotacin, a esta tampoco nadie tiene acceso, y por ltimo hacer una copia de los programas fuente que se soliciten para modificarlos o en todo caso para ser arreglados una vez hecho esto es necesario volver a verificar todo.

Este sistema para auditar es bastante complejo y arduo, por eso se utiliza un sistema llamado U.A.T. (User Acceptance Test). Este sistema consiste en la medida en que el usuario de uso a una aplicacin los errores sean detectados. Estos errores que van encontrndose deben ser corregidos a medida que se va desarrollando el sistema U.A.T. cuando se consigue el U.A.T. el usuario debe dar el visto, es decir el Sing Off (esto esta bien). La Auditora debe controlar todo este testeo, adems deber analizar que este sea correcto, y que exista un planeamiento para esto, donde se encuentren involucrados el Instituto Nacional de Estadstica e Informtica 29

Qu es la Auditora Informtica? cliente y el desarrollador a fin de corregir estos errores. Este anlisis al final debe ser confirmado. AUDITORA INFORMTICA DE SISTEMAS La tcnica de Sistemas tiene varias facetas de las cuales sta rama de la auditora esta ocupndose y analizando. Con el avance de la tecnologa en cuanto a las telecomunicaciones se ha dado origen a que se den auditoras de las comunicaciones, redes y lneas de instalaciones informticas sean auditadas individualmente, as sean parte del entorno general de sistemas. Tenemos a los Sistemas Operativos: Los sistemas deben encontrarse actualizados y esto es tarea del sistema operativo, quien abarca los sub-sistemas de procesamiento de data, los dispositivos de Entrada/Salida, etc., la verificacin de esto debe hacerse con las ltimas versiones de la casa fabricante o proveedora, se debe hacer un seguimiento por posibles fallas u omisiones si es que las hubiera. Con esta labor se puede determinar la incompatibilidad que existe entre un software bsico que pueda haber sido adquirido, o quizs el posible conflicto que pueda estarse generando entre un software con otro. Los lmites variables de las libreras deben ser observados constantemente, sobre todo los ms importantes de los sistemas, debido a que hay que tener cuidad para que no cumplan otra funcin sino para la que ha sido creada por fabricante. 30 Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica?

Software Bsico: Los software bsicos son productos que muchas veces han sido adquiridos posteriormente a la adquisicin de los equipos de cmputo, y siendo as, el auditor debe tener pleno conocimiento de la facturacin de estos productos. Debido a intereses econmicos y a razn de que la computadora pueda funcionar sin el producto adquirido posteriormente por el cliente. Despus debe comprobarse que el software desarrollado por el propio personal de la empresa no cree conflicto con el Sistema. En el aspecto econmico, si se presentara el caso de encontrar alternativas que signifiquen una mejora en trminos de costes y esfuerzo, deber ser tomado en cuenta. Software de Teleproceso (Tiempo Real): Por la funcin especfica que cumple e importancia el Software Bsico no es incluido. Pero las consideraciones antes establecidas son vlidas para ste tambin. El Tunning: La conducta de los sub-sistemas es evaluada por un conjunto de tcnicas de observacin y de medida, as tambin el Sistema es evaluado en todo su conjunto. El tunning debe ser diferenciado de otros controles que el personal de sistemas realiza normalmente. De acuerdo a los indicios observados es que se establecen planes y programas de accin, estos planes pueden ser desarrollados cuando se determina que existe deterioro en cuanto a la actitud parcial o general del sistema. Y de forma peridica, aplicando alguna metodologa, por cada cierto tiempo las acciones que se toman tienen un planeamiento ya determinado. Instituto Nacional de Estadstica e Informtica 31

Qu es la Auditora Informtica?

El tunning es una actividad que debe ser realizada un determinado nmero de veces por ao, y esto debe ser de conocimiento pleno del auditor, as como tambin los resultados que arrojen estos. Las observaciones deben ser consideradas por ser de mucha importancia. Los Sistemas, Sub-Sistemas y su Optimizacin: A consecuencia de los tunnings que se han realizado, el personal de sistemas har una accin de optimizacin permanente. Las acciones de optimizacin estarn monitoreadas por el auditor quien se encargar de comprobar que estas son efectivas y que no perjudicarn el sistema mantenindolo operativo juntamente con el plan critico de produccin diaria. La optimizacin viene a ser nada ms que la mejora en el rendimiento del software, ya que estos a veces se ponen muy lentos por toda la informacin manejan y a medida que se van cargando ms, se van volviendo ms lentos. Y esto se logra con un anlisis de la performance de la aplicacin. Administracin de Base de Datos Una tarea bastante complicada se ha convertido la construccin de Bases de Datos, ya sean relaciones o jerrquicas, generalmente estas se desarrollan en un entorno de tcnica de sistemas, de acuerdo a las reas de desarrollo y usuarios de la empresa. La administracin de la arquitectura y diseo de programas esta a cargo de Sistemas. Se han observado algunas deficiencias por el mal funcionamiento, debido a la falta de experiencia que el personal de sistemas tiene sobre el problema general de usuarios de Bases de Datos.

32

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? Quien debera estar a cargo de la explotacin es la administracin. El auditor de bases de datos debera asegurarse que explotacin conoce suficientemente las que son accedidas por los procedimientos que ella ejecuta. Revisar los sistemas de seguridad que puedan existir, los que son de competencia de Explotacin. Por ltimo se verificar la integridad y consistencia de los datos, tambin se verificar la ausencia de repeticiones innecesarias entre ellos. Investigacin y Desarrollo Las empresas de hoy necesitan de informticas desarrolladas, y saben que su propio personal desarrolla aplicaciones y ganancias que, pensadas inicialmente para su utilizacin interna, pueden ser susceptibles de otras empresas, creando una competencia a las compaas del ramo. La auditora informtica debe tener cuidado que la Investigacin y el Desarrollo no sea una actividad que estorbe a otras actividades internas de la empresa.

AUDITORA INFORMTICA DE COMUNICACIONES Y REDES Tanto el informtico como el auditor, las Redes Nodales, Concentradores, Redes Locales, Lneas, Multiplexores conforman lo que ellos conocen como la estructura de lo que conocen como el soporte fsico-lgico del Tiempo Real. El auditor debe saber enfrentar las deficiencias tcnicas del entorno, debido a que debe realizar un estudio profundo de todas las actividades, siendo partcipe de situaciones y hechos alejados entre s, encontrndose parametrado a la participacin del monopolio telefnico que se presta por parte de soporte. Aqu la auditora necesita de especialistas expertos que presten servicio simultneo en Redes Locales y Comunicaciones. En las comunicaciones el auditor deber estudiar sobre el uso de las lneas contratadas con gran cantidad de informacin sobre tiempos de desuso. La topologa de red con la que Instituto Nacional de Estadstica e Informtica 33

Qu es la Auditora Informtica? trabaje deber ser la ms actualizada, de no ser as significara una debilidad grande. La carencia de informacin provocara la inoperatividad informtica. Pero el mal funcionamiento organizativo es en muchos casos el producto de las debilidades ms frecuentes. Los puestos de trabajo van de acuerdo a como estn dispuestas las contrataciones e instalaciones de lneas. Las actividades en su conjunto deben tener una buena coordinacin o en todo caso depender de una sola organizacin.

AUDITORA DE SEGURIDAD INFORMTICA Los equipos de cmputo son herramientas muy tiles, debido a que agilizan enormemente el procesamiento de informacin, esta informacin puede ser confidencial, para las personas, tambin para empresas o instituciones, la cual puede ser a su vez mal utilizada. La seguridad es importante en todo sentido debido a que puede prestarse para realizar robos, fraudes o sabotajes, lo que podran causar la destruccin de esta actividad en su totalidad o parcialmente, y junto con ello vendra un retraso no esperado. Los virus informticos tienen intenciones diversas, los hay para softwares que no tienen autorizacin generalmente y que han sido copiados, es decir los que son piratas, causando mucho dao a la informacin que Ud., pueda tener en su disco incluso podra llegar a borrarla. El auditor debe cuidar este aspecto debido a que al momento de conectarse con otros equipos en red, podra infectarse de 34 Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? virus. Esto comienza cuando la actividad que se le asigna al equipo de cmputo no es cumplida totalmente y se le da un uso ajeno a la organizacin, por lo general se da estos casos por tratarse de fines de comerciales en algunos casos fraudulentos. La seguridad fsica y lgica son dos conceptos que la seguridad informtica toma. La seguridad fsica se ocupa del Hardware y de los soportes de datos, tambin se ocupa de toda la estructura de la que forman parte es decir los ambientes e instalaciones que alberga al hardware, toma en cuenta situaciones de desastres como incendios, sabotajes, catstrofes naturales, robos, etc. Obviamente la seguridad lgica se refiere al cuidado del software y a la proteccin de los datos, programas y dems procesos, adems est incluido la forma de acceso a la informacin por parte de los usuarios. Cuando se puede tener el software dentro del control de acceso, se puede manejar mucho mejor el control de proteccin del sistema. Es decir que los accesos son controlados a usuarios no autorizados, ya que la informacin se considera como confidencial. En los ltimos aos se ha observado un incremento en cuanto a los delitos informticos y las agresiones a centros e instalaciones informticas, dando lugar a que se tomen las medidas pertinentes, con el fin de mejorar la seguridad informtica en un nivel fsico. Para esto se ha acelerado el desarrollo de productos de seguridad lgica y el uso de medios criptogrficos bastante desarrollados. Podemos dividir a la seguridad informtica en Area General y como Area especfica (seguridad de Explotacin, seguridad de Aplicaciones). Los sistemas integrales de seguridad deben considerar lo siguiente: Se debe definir una poltica de seguridad en la empresa. La seguridad fsica es importante y debe considerar catstrofes como incendios, terremotos, etc. Elementos administrativos. Instituto Nacional de Estadstica e Informtica 35

Qu es la Auditora Informtica?

Deben ser organizados y deben dar responsabilidades. Se deben ejecutar prcticas de seguridad del personal. Deben contemplar elementos tcnicos y procedimientos. Seguridad de los equipos, de los sistemas, de redes y de terminales y de todos los elementos en general. La aplicacin de sistemas de seguridad debe ser extensiva a datos y archivos. Por seguridad debe planearse programas de desastre y probarse constantemente. Debe definirse el rol que cumplirn los auditores internos como externos.

Los riesgos potenciales son uno de los factores a los que se debe la decisin de optar por una Auditora Informtica de Seguridad Global. Para esto se desarrollan matrices de riesgo, donde son consideradas las amenazas de una instalacin y como pueden verse afectadas stas debido a ello. Estas matrices pueden representarse con cuadros que disponen de una doble entrada en la que se enfrentan las Amenazas Vs. Impacto, aqu los elementos de la matriz son sometidos a un intenso anlisis. Impacto Destruccin De Hardware Borrado de Informacin Amenaza Error Incendio Sabotaje .. 1: No probable 2: Probable ----1 1 3: Certeza 4: Despreciable 3 1 1

36

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? TCNICAS Y HERRAMIENTAS AUDITORA INFORMTICA USADAS POR LA

Cuestionarios La informacin recopilada es muy importante, y esto se consigue con el levantamiento de informacin y documentacin de todo tipo. Los resultados que arroje una auditora se ven reflejados en los informes finales que estos emitan y su capacidad para el anlisis de situaciones de debilidades o de fortalezas que se dan en los diversos ambientes. El denominado trabajo de campo consiste en que el auditor busca por medio de cuestionarios recabar informacin necesaria para ser disernida y emitir finalmente un juicio global objetivo, los que deben ser sustentados por hechos demostrables, a quienes se les llama evidencias. Esto se puede conseguir, solicitando el cumplimiento del desarrollo de formularios o cuestionarios lo que son preimpresos, los cuales son dirigidas a las personas que el auditor considera ms indicadas, no existe la obligacin de que estas personas sean las responsables de dichas reas a auditar. Cada cuestionario es diferente y muy especfico para cada rea, adems deben ser elaborados con mucho cuidado tomando en cuenta el fondo y la forma. De la informacin que ha sido analizada cuidadosamente, se elaborar otra informacin la cual ser emitida por el propio Auditor. Estas informaciones sern cruzadas, lo que vine a sr uno de los pilares de la auditora. Muchas veces el auditor logra recopilar la informacin por otros medios, y que estos preimpresos podan haber proporcionado, cuando se da este caso, se puede omitir esta primera fase de la auditora. Instituto Nacional de Estadstica e Informtica 37

Qu es la Auditora Informtica? Entrevistas: Existen tres formas para que el auditor logre relacionarse con el personal auditado. 1. La solicitud de la informacin requerida, esta debe ser concreta y debe ser de la materia de responsabilidad del auditado. En la entrevista no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. La entrevista es un medio por el que el auditor usar metodologas las que han sido establecidas previamente con la finalidad de encontrar informacin concreta.

2. 3.

38

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? La importancia que la entrevista tiene en la auditora se debe a que, la informacin que recoge es mayor se encuentra mejor elaborada, y es ms concreta que las que pueden proporcionar los medios tcnicos, o los cuestionarios. La entrevista personal entre el auditor y el personal auditado, es basada en una serie de preguntas especficas en las que el auditado deber responder directamente. El sistema de interrogacin se establece previamente y el auditor tendr mucho cuidado, esta entrevista se debe dar de una forma muy cordial y bajo los parmetros de lo correcto, esto se hace con la finalidad de que sea lo menos tensa posible, y que el auditado conteste de la forma ms natural, con mucha sencillez. Slo que esta sencillez con la que se elaboran las preguntas debern tener un fondo muy profundo, el cual es distinto en cada caso. El auditor cuando es ducho en la materia y tiene mucha experiencia, realiza un trabajo de reelaboracin de sus cuestionarios de acuerdo a la situacin y al escenario auditado. Este es un personaje que sabe que es lo que busca, debido a que tiene bien en claro lo que necesita, y por que lo necesita. Su trabajo es el pilar fundamental para el anlisis, cruce y elaboracin posterior del informe final, pero esto no indica que el auditado tenga que ser sometido a un interrogatorio automatizado lo cual no ofrece ningn camino. Por el contrario el auditor realizara la entrevista de tal forma que el auditado pueda responder a las preguntas formuladas de manera normal, lo que servir para llegar ala cumplimiento de los cuestionarios de sus checklists. El uso del Checklist goza de opiniones compartidas, debido a que descalifica en cierta forma al auditor informtico, por que al hacer uso de este tipo de cuestionarios el auditor incurre en Instituto Nacional de Estadstica e Informtica 39

Qu es la Auditora Informtica? la falta de profesionalismo. Por eso es mejor que se de un procesamiento de la informacin a fin de llegar a respuestas que tengan coherencia y as poder definir correctamente los puntos ms dbiles y los ms fuertes. El profesionalismo del auditor se refleja en la elaboracin de preguntas muy bien analizadas, las mismas que se hacen de forma no muy rigurosa. Estos cuestionarios son denominados Checklist. Estos cuestionarios deben ser contestados oralmente, ya que superan en riqueza a cualquier otra forma de obtencin de informacin. De acuerdo a la claridad de y a la metodologa empleada por el auditor, es que el auditado podr responder, de diferentes puntos de vista. El personal auditado generalmente se encuentra familiarizado con el perfil tcnico y lo percibe fcilmente, as como los conocimientos del auditor. De acuerdo a esta percepcin denota el respeto y el prestigio que debe poseer el auditor. Por ello es muy importante tener elaboradas las listas de preguntas, pero an es mucho ms importante la forma y el orden en que estas se formulan, ya que no serviran de mucho si es que no se desarrollaran oportuna y adecuadamente. Algo que es muy importante tambin es el hecho de no olvidar que la actividad auditora se ejerce sobre bases de prestigio autoridad y tica. El Checklist debe ser aplicado de tal manera que el personal auditado pueda contestar sencillamente. Se deber interrumpir lo menos posible a ste, slo en los casos en que las respuestas se desven del objetivo principal. Incluso se puede presentar el caso en el que el auditado sea invitado a exponer un tema concreto, pero en cualquiera de las situaciones no se podr presionar absolutamente al mismo. Puede ser que alguna pregunta deba repetirse, pero en este caso deber ser formulada en forma diferente, o su equivalencia. Con la ayuda de este mtodo los puntos contradictorios sern notorios de forma ms rpida. Cuando se dan casos en los que existe contradiccin, entonces se har una reelaboracin de preguntas para complementar a las formuladas previamente y as poder 40 Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? conseguir consistencia. El auditor no debe representar demasiado formalismo ya que deber actuar naturalmente al momento de formular sus preguntas y de acuerdo al desarrollo de la entrevista tomar las notas que considere importantes en presencia del auditado, pero nunca marcar con aspas ni escribir cuestionarios en su presencia. Estos Checklist responden a dos tipos de razonamiento para su calificacin o evaluacin: 1. Checklist de rango: contendr preguntas que se harn dentro de los parmetros establecidos, por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y 5 la ms positiva. 2. Checklist Binario: preguntas que son formuladas con respuesta nica y excluyente, Si o No; verdadero o falso.

Instituto Nacional de Estadstica e Informtica

41

Qu es la Auditora Informtica? Trazas y/o Huellas Las funciones que deben realizar los programas, tanto de los sistemas como de los usuarios debern ser las previstas y esto debe ser verificado por el auditor informtico. Es entonces que utiliza herramientas de software potentes y modulares, los que sirven de rastreadores, para dar un seguimiento a los datos a travs de los programas. Las Trazas se utilizan para comprobar que las validaciones de datos previstas sean ejecutadas. El sistema no debe ser modificado absolutamente por causa de estas. Si por causa de las herramientas del auditor se da un aumento de carga se podr optar por darle uso en los momentos ms adecuados. La comprobacin de los valores asignados por tcnica de sistemas, se realizan por medio de productos usado por los auditores y esta comprobacin se da a cada uno de los parmetros variables de las libreras ms importantes del mismo, los parmetros variables deben estar sujetos a un intervalo delimitado por el fabricante. Las trazas son muy tiles, pero an as debe repetirse lo que ha sido dicho de la Auditora Informtica de Sistemas, que el auditor utiliza la informacin proporcionada por el sistema. De igual forma, el sistema ayudar a detectar automticamente sobre la deteccin de errores de mquina central, perifricos, etc. Las trazas son utilizadas con frecuencia por la auditora financiero-contable convencional. Estos se usan para verificar que los clculos se dan en forma correcta, con respecto a nminas, primas, etc. 42 Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? Software de Interrogacin Los paquetes de auditora son elementos que el auditor a utilizado hasta hace pocos aos, estos son paquetes de software, los cuales son capaces de generar programas para aquellos auditores que no carecen de cualidades, desde una visin informtica. Luego de un tiempo estos productos se desarrollaron, logrando realizar muestreos estadsticos, los que permitieron realizar proyecciones de acuerdo a consecuencias e hiptesis de situaciones reales de una instalacin. Los paquetes de software para Auditora Informtica de hoy estn orientados, a lenguajes de interrogacin de ficheros y bases de datos de la empresa auditada. Los auditores internos no disponen de este software, por que cuentan slo con software que la instalacin les proporciona. Las empresas desarrolladoras de software se han visto a fabricar interfaces de transporte de datos entre computadoras personales y Mainframe, esto debido a la expansin de las redes locales y de su filosofa ClienteServidor, as, el auditor rescata la informacin ms importante para su trabajo. Conectados al Host, los terminales almacenan datos que han sido proporcionados por el mismo, estos datos son tratados posteriormente de un modo PC. El auditor esta obligado a recopilar informacin de los usuarios finales, esto se puede hacer con mucha facilidad, de acuerdo a los productos descritos. El trabajo del auditor informtico en el campo se deber hacer con productos del cliente. Para la realizacin del trabajo de Auditora Informtica es importante una metodologa:

Instituto Nacional de Estadstica e Informtica

43

Qu es la Auditora Informtica? METODOLOGA DE TRABAJO El Auditor Informtico utiliza un mtodo de trabajo el cual se divide en fases o etapas: Determinar los Alcances y Objetivos. Anlisis del ambiente a Auditar y del entorno Auditable. Determinacin de recursos de la Auditora Informtica. Establecer cuales son los recursos mnimos a emplear en la Auditora. Elaboracin y planteamiento del plan de trabajo y de los programas. Actividades a realizar en la Auditora. Elaboracin del informe Final. Elaboracin de la Carta de Introduccin correspondiente al Informe final.

DETERMINACION DE ALCANCES Y OBJETIVOS. Debe delimitarse cual va a ser el alcance que tenga la auditora. Las funciones que se van a cumplir deben plantearse mediante un acuerdo muy preciso y este se dar entre auditores y clientes, igualmente sobre las materias y entidades a auditar. Esto es importante, pues implica un ahorro de tiempo y otorga beneficios a ambas partes, ya que de acuerdo a este punto se podrn determinar cuales son las materias, funciones o quizs organizaciones que sern auditadas. Estos alcances y limitaciones sern expresadas en el principio del informe final. Los objetivos que tiene la auditora deben ser conocidos hasta el ltimo detalle por las personas que harn la auditora, as como tambin, los objetivos a los que su tarea quiere llegar. 44 Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? La necesidad del cliente deber ser satisfecha con el cumplimiento de sus pretensiones, de la manera que las metas trazadas sean cubiertas. Los objetivos determinados debern aadirse a los Objetivos Generales de la Auditora Informtica, los que son: Los controles Generales de la Gestin Informtica y la Operatividad de los Sistemas.

ANALISIS DEL AMBIENTE A AUDITAR Y DEL ENTORNO AUDITABLE. Para llevar a cabo esta actividad debe realizarse un anlisis de exhaustivo de las funciones que cumple la informtica, tanto como sus actividades generales. Para llevar a esto a cabo el auditor debe tener pleno conocimiento de: Organizacin: Conocer a las personas responsables, quien es el que ordena, quien disea y quien ejecuta es importante para el auditor y todo su equipo. Deben tomarse en cuenta los siguiente puntos: Organigrama. Departamentos. Relaciones de jerarqua y funcionales organismos y la organizacin. Flujos de Informacin. Cantidad de Personal por puesto de trabajo. Nmero de puestos de trabajo

entre

Ambiente de trabajo Es de suma importancia que el equipo auditor conozca el ambiente sobre el cual va a trabajar y en el que se va a desenvolver.

Instituto Nacional de Estadstica e Informtica

45

Qu es la Auditora Informtica? Esto permitir que: - Haya un conocimiento pleno de la situacin geogrfica de los sistemas, ya que podr determinarse la ubicacin de los Centros de Procesamiento de Datos de la organizacin. - Se conocer la Arquitectura y Configuracin de hardware y Software. - Inventario de Hardware y Software, es importante saber donde figuran todos los elementos fsicos y lgicos de la instalacin. En este inventario deben estar todos los productos lgicos del sistema, desde el software bsico hasta programas de uso y adquiridos o desarrollados internamente. - Comunicacin y Redes de Comunicacin, las caractersticas de las lneas y de acceso a la red pblica de comunicaciones deben estar a disposicin del auditor. De igual forma podrn tener informacin de las redes locales de la empresa. Aplicaciones Bases de datos y ficheros Al final del estudio realizado por los auditores, este se cerrar y terminar con una idea global sobre los procesos informticos realizados en la empresa auditada. Previamente debern tener conocimiento de: 1. El volumen, antigedad y complejidad de las aplicaciones. - Metodologa del Diseo. - Documentacin. - Cantidad y complejidad de Bases de Datos y Ficheros. Instituto Nacional de Estadstica e Informtica

46

Qu es la Auditora Informtica?

DETERMINACION DE RECURSOS DE LA AUDITORA INFORMTICA Una vez concluido el estudio inicial se procede a determinar la cantidad de recursos humanos y materiales que se utilizarn durante el desarrollo de la auditora. Recursos materiales: Los recursos materiales son proporcionados por el cliente mayormente. El sistema auditado ser evaluado por las herramientas de software propias del equipo, por este motivo habr una coordinacin entre el equipo auditor y el cliente. Estos recursos pueden ser de dos tipos: Recursos de software: Los mismos que pueden estar comprendidos de programas que son herramientas de auditora, estos tienen gran potencia y flexibilidad. Luego estn los monitores: son usados de acuerdo al desarrollo obtenido por la tcnica del auditado, la calidad y la cantidad de los datos. Recursos de hardware: Estos recursos sern proporcionados por el cliente. Las computadoras del auditado sern evaluadas de forma obligatoria por el auditor. Para que esto se lleve a cabo, se deber coordinar con el cliente para evitar cualquier contratiempo. Se evaluar tiempo de mquina, espacio en disco, impresoras ocupadas, etc. Recursos Humanos La materia Auditable ser quien determine la cantidad de recursos, y tambin el personal que ser asignado para su desarrollo considerando el perfil personal y profesional de cada uno. Una auditora general se ejerce generalmente por profesionales universitarios, los cuales han Instituto Nacional de Estadstica e Informtica 47

Qu es la Auditora Informtica? obtenido en la universidad el criterio necesario para poder disernir cada situacin presentada en estos casos, o tambin por personal con experiencia multidisciplinaria comprobada.

ELABORACIN Y PLANTEAMIENTO DEL PLAN DE TRABAJO Y DE LOS PROGRAMAS El plan de trabajo es una actividad que se realiza cuando ya se tienen asignados los recursos, el responsable de la auditora y sus colaboradores son quienes tienen a cargo esta labor. Una vez terminado este comenzar a llevarse a cabo la programacin del mismo. Los criterios a tomarse en consideracin deben ser elaboracin con sumo cuidado, pudiendo ser los siguientes: 1. La elaboracin es ms compleja o ms costosa si se da el caso de que la revisin se realice por reas generales o especficas. 2. Si es que la auditora abarca toda el rea informtica o slo en forma parcial, el nmero de auditores necesarios es determinado por el volumen a auditar, determina tambin las especialidades necesarias del personal. 3. Deben ser especificadas la ayudas de parte del auditado que el auditor necesitar y recibir. 4. Las materias a auditar deben tener una escala de prioridad y esta estar dada en el plan, de acuerdo a las necesidades y prioridades del cliente. 5. Los calendarios no son de consideracin dentro del plan, debido a que solo son manejados recursos genricos y no especficos. 6. La disponibilidad de los recursos posteriormente, es establecida durante la revisin. 7. Los recursos y esfuerzos globales que sern necesarios se establecern en el plan.

48

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? Cada miembro del grupo recibir instrucciones y tareas a realizar, estas tareas son designadas de acuerdo al plan estructural. La programacin de actividades es lo que sigue a continuacin, el plan debe ser de fcil maniobrabilidad con la finalidad de aceptar modificaciones a lo largo del proyecto. 8.

ACTIVIDADES A REALIZAR EN LA AUDITORA Por temas generales o reas especficas La Auditora Informtica general es realizada por reas generales o por reas especficas. El empleo de mayores recursos y ms tiempo total se daran si es que se examina por grandes temas. Si una auditora es realizada por reas especficas, se acaparan las peculiaridades que afectan a al misma a la vez, de esta forma el resultado el resultado es obtenido de manera ms rpida pero con menor calidad. Tcnicas de Trabajo - Estudio exhaustivo de la informacin recopilada del personal auditado. - Anlisis de informacin propia. - Cruce de ambas informaciones. - Entrevistas. - Muestreos. - Simulacin. Herramientas a utilizar Cuestionario inicial general. Simuladores (Generadores de Datos). Cuestionario Checklist. Matrices de riesgo. Estndares. Paquetes de auditora (Generadores de Programas). Simuladores (Generadores de Datos). Monitores. Instituto Nacional de Estadstica e Informtica 49

Qu es la Auditora Informtica?

ELABORACIN DEL INFORME FINAL. El documento final, el cual refleja el trabajo realizado, los procedimientos llevados a cabo y las conclusiones finales y sus respectivas recomendaciones, se materializa en el informe final. De acuerdo a la elaboracin final del informe se determina la calidad del trabajo realizado. Antes de la elaboracin de este informe ya se han realizado varios borradores en los cuales las opiniones del auditor y del auditado son contrastadas, para as disipar cualquier duda que pueda existir o descubrir algn fallo de apreciacin por parte del auditor. El informe se realizar comenzando con la fecha de inicio de la auditora y la fecha de redaccin del mismo. Aqu son incluidos los nombres del personal perteneciente al equipo auditor, y los nombres de las personas auditadas, con indicacin de jefatura, responsabilidad y puesto de trabajo que ostente. Se determinan los objetivos y alcances de la auditora, enumerando los temas considerados. Y se enumeran de manera exhaustiva los temas objeto de la Auditora, antes de entrar profundamente en cada uno de ellos. Para la exposicin de los temas evaluados se seguir un orden, el cual es: - La situacin actual, esta actividad es realizada cuando se trata de una revisin peridica, aqu no solo se analiza el estado actual sino tambin el progreso que haya tenido en el tiempo. Se dar a conocer el estado actual y luego se expondr la situacin real. Instituto Nacional de Estadstica e Informtica 51

Qu es la Auditora Informtica? Las tendencias que existen, de acuerdo a los parmetros establecidos, se har una proyeccin de la evolucin futura. Se expondrn los puntos dbiles y las amenazas. Se darn las recomendaciones y los planes de accin, aqu se expondr el verdadero objetivo de la auditora informtica, junto con la exposicin de los puntos dbiles. Por ltimo se redactar la carta de presentacin o introduccin

Sobre la exposicin del informe final se puede decir que: El informe debe incluir hechos netamente importantes, ya que los hechos irrelevantes no hacen ms que distraer la atencin del lector. Los hechos que se describen en el informe deben ser sustentados por el mismo. Es decir que, estos hechos deben estar documentalmente probados y soportados mediante una verificacin objetiva. Y esta verificacin debe seguir criterios que sern: - Podrn ser sometidos a cambios. - El cambio otorgar ventajas que superarn los inconvenientes derivados de mantener la situacin. - No habr alternativas viables que superen al cambio propuesto. - Las recomendaciones del auditor sern utilizadas para mantener o mejorar las normas y estndares existentes en la instalacin.

Los hechos que aparecen en un informe de auditora significan que pueden ser una debilidad la cual debe ser corregida. 52 Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica? Flujo del hecho o debilidad: Cuando se da una ocurrencia la cual reporta un hecho o una debilidad, entonces se da un flujo que es como sigue:

Cuando se encuentra un hecho: - Todo hecho tiene importancia para el auditor y el cliente. - Tiene que tener un fundamento para ser convincente y debe ser exacto. - Los hechos no deben repetirse. Qu consecuencias puede traer este hecho: - Estas consecuencias deben ser redactadas, de tal forma que puedan deducirse del hecho. Consecuencias ocasionadas por el hecho: - Las consecuencias directas que el hecho pueda ocasionar sern redactadas, debido a que las influencias directas pueden darse sobre aspectos informticos u otros mbitos de la organizacin. - Las conclusiones se dan slo en el caso de que los casos expuestos sean de condicin extensa, o en todo caso si es que tienen un grado de complejidad grande. El Auditor Informtico y sus recomendaciones: Las recomendaciones debern ser simples y entendibles, con slo leerlas. Tendrn una sustentacin bien fundamentada. Deber ser claro y exacto en el tiempo, as, su implementacin podr ser verificada. Las recomendaciones sern expresadas en forma directa a personas que puedan hacer la implementacin respectiva.

Instituto Nacional de Estadstica e Informtica

53

Qu es la Auditora Informtica?

ELABORACIN DE LA CARTA DE INTRODUCCIN CORRESPONDIENTE AL INFORME FINAL Esta carta es muy importante debido a que es un resumen bastante compacto de la Auditora Realizada. Esta carta va dirigida a la persona que se encuentra como responsable de la empresa, o en todo caso a la persona que pidi la auditora. El informe final podr tener tantas copias como sea solicitado el cliente, pero slo se presentar una carta de introduccin o presentacin. La carta de introduccin constar de: - Deber expresar de manera explcita la cantidad de reas analizadas. - Se deben incluir fechas, objetivos, alcances y naturaleza. - Deber tener un mximo de 4 folios. - Dar a conocer una conclusin general, explicando cuales son las reas ms dbiles - Las Debilidades sern expuestas llevando un orden el cual se regir de acuerdo a la importancia o gravedad. - Nunca deben escribirse recomendaciones.

54

Instituto Nacional de Estadstica e Informtica

Qu es la Auditora Informtica?

CONCLUSIONES La Auditora Informtica es importante, en toda empresa ya sea pblica o privada y basta que posean Sistemas de Informacin que tengan un grado de complejidad considerable, deben ser sometidas a un riguroso control, y a una evaluacin constante de eficacia y eficiencia. Prcticamente un porcentaje considerable de las empresas de hoy tienen su informacin estructurada en Sistemas informticos, ese es el motivo para que estas entidades se preocupen por su correcto funcionamiento. La informatizacin de las empresas de hoy, es obligada, debido a que la eficiencia de estas depende de sus sistemas de Informacin. La vulnerabilidad de los sistemas har que las empresas nunca salgan adelante por ms que cuenten con un personal altamente calificado La Auditora deber realizarse con gente muy capaz, seria, con minuciosidad y responsabilidad. Ya que una Auditora mal hecha, puede traer consecuencias econmicas graves para la empresa que ha sido evaluada.

Instituto Nacional de Estadstica e Informtica

55