TIPOS Y CLASES DE AUDITORIAS INFORMTICAS

Dentro de las reas generales, es posible establecer las siguientes divisiones:

a)
b)
c)
d)
e)

Auditoria Informtica de Explotacin

Auditoria Informtica de Sistemas
Auditoria Informtica de Comunicaciones
Auditoria Informtica de Desarrollo de Proyectos
Auditoria Informtica de Seguridad

Debe evaluarse la diferencia entre la generalidad y la especificacin que posee

la Seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridad
del entorno global de la informtica, mientras en otros casos puede auditarse
una aplicacin concreta, en donde ser necesario analizar la seguridad de la
misma.
Cada rea especfica puede ser auditada con los criterios que detallamos:
Desde su propia funcionalidad interna.
Con el apoyo que recibe de la Direccin, y en forma ascendente, del
grado de cumplimiento de las directrices de que sta imparte.
Desde la visin de los usuarios, destinatarios verdaderos de la
informtica.
Desde el punto de vista de la seguridad, que ofrece la Informtica en
general o la rama auditada.
Las combinaciones descritas pueden ser ampliadas o reducidas, segn las
caractersticas de la empresa auditada. Las Auditorias ms usuales son las
referidas a las actividades especficas e internas de la propia actividad
informtica.
a) AUDITORIA INFORMATICA DE EXPLOTACION
La Explotacin Informtica se ocupa de producir
resultados informticas de todo tipo: listados
impresos, archivos magnticos para otros
informticos, rdenes automatizadas para
lanzar o modificar procesos industriales, etc.
Para realizar la Explotacin informtica se
dispone de materia prima los Datos, que es
necesario transformar, y que se someten
previamente a controles de integridad y calidad.
La transformacin se realiza por medio del Proceso Informtico, el cual est
dirigido por programas. Obtenido el producto final, los resultados son sometidos
a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En
ocasiones, el propio cliente realiza funciones de reelaboracin del producto
terminado.

Para mantener el criterio finalista y utilitario, el concepto de centro productivo

ayuda a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin
consiste en auditar las secciones que la componen y sus interrelaciones.
Las Bsicas son la planificacin de la produccin y la produccin misma de
resultados informticos. El auditor debe tener en cuenta que la organizacin
informtica est supeditada a la obtencin de resultados en plazo y calidad,
siendo subsidiario a corto plazo cualquier otro objetivo.
Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que
el plan crtico diario de produccin que debe ser protegido a toda costa.
Control de entrada de datos
Se analiza la captura de informacin, plazos y agenda de tratamiento y entrega
de datos, correccin en la transmisin de datos entre plataformas, verificacin
de controles de integridad y calidad de datos se realizan de acuerdo a Norma.
Planificacin y Recepcin de Aplicaciones
Se auditarn las normas de entrega de Aplicaciones, verificando cumplimiento
y calidad de interlocutor nico. Debern realizarse muestras selectas de la
documentacin de las Aplicaciones explotadas. Se analizarn las Libreras que
los contienen en cuanto a su organizacin y en lo relacionado con la existencia
de Planificadores automticos o semiautomticos.
Centro de Control y Seguimiento de Trabajos
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria de los
procesos Batch, o en tiempo real (Teleproceso).
Las Aplicaciones de Teleproceso estn activas y la funcin de Explotacin se
limita a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte de
los efectivos de Explotacin. Este grupo determina el xito de la explotacin, ya
que es el factor ms importante en el mantenimiento de la produccin.
Operadores de Centros de Cmputos
Es la nica profesin informtica con trabajo de noche. Destaca el factor de
responsabilidad ante incidencias y desperfectos. Se analiza las relaciones
personales, coherencia de cargos y salarios, la equidad de turnos de trabajos.
Se verificar la existencia de un responsable del Centro de Cmputos el grado
de automatizacin de comandos, existencia y grado de uso de Manuales de
Operacin, existencia de planes de formacin, cumplimiento de los mismos y el
tiempo transcurrido para cada operador desde el ltimo Curso recibido.
Se analizar cantidad de montajes diarios y por horas de cintas o cartuchos,
as como los tiempos transcurridos entre la peticin de montaje por parte del
Sistema hasta el montaje real.

Centro de Control de Red y Centro de Diagnosis

El Centro de Control de Red suele ubicarse en el rea de Explotacin. Sus
funciones se refieren al mbito de Comunicaciones, estando relacionado con la
organizacin de Comunicaciones Software de Tcnica de Sistemas.
Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre
ambos, se verificar la existencia de un punto focal nico, desde el cual sean
perceptibles todas las lneas asociadas a los Sistemas.
El Centro de Diagnosis (Help-desk) es el ente en donde se atienden las
llamadas de los usuarios-clientes que han sufrido averas o incidencias, tanto
de software como de hardware. En funcin del cometido descrito, y en cuanto a
software, est relacionado con el Centro de Control de Red.
El Centro de Diagnosis indicado para empresas grandes y usuarios dispersos
en un amplio territorio, es un elemento que contribuye a configurar la imagen
de la Informtica de la Empresa. Debe ser auditado desde esta perspectiva,
desde la sensibilidad del usuario sobre el servicio que se le dispensa.
b) AUDITORIA INFORMATICA DE SISTEMAS
Se ocupa de analizar la actividad propia de lo
que se conoce como "Tcnica de Sistemas"
en todas sus facetas. En la actualidad, la
importancia
creciente
de
las
telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las
instalaciones informticas, se auditen por
separado, aunque formen parte del entorno
general de "Sistemas".
Vamos a detallar los grupos a revisar:
a) Sistemas Operativos
Proporcionados por el fabricante junto al equipo. Engloba los Subsistemas de
Teleproceso, Entrada/Salida, etc. Los Sistemas deben estar actualizados con
las ltimas versiones del fabricante, indagando las causas de las omisiones si
stas se han producido. El anlisis de las versiones de los S.O. permite
descubrir posibles incompatibilidades entre algunos productos de Software
adquiridos por la instalacin y determinadas versiones.
Deben revisarse los parmetros de las Libreras importantes de los Sistemas,
especialmente si difieren de los valores aconsejados por el constructor.
b) Software Bsico
Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran
completamente los Sistemas Informticos, haciendo posible la reutilizacin de

funciones bsicas no incluidas en aqul. Cmo distinguir ambos conceptos?

La respuesta tiene un carcter econmico.
El Software bsico, o parte de l es abonado por el cliente a la firma
constructora, mientras el Sistema Operativo y algunos programas muy bsicos,
se incorporan a la mquina sin cargo al cliente.
Es difcil decidir si una funcin debe ser incluida en el SO o puede ser omitida.
Con independencia del inters terico que pueda tener la discusin de si una
funcin es o no integrante del SO, para el auditor es fundamental conocer los
productos de software bsico que han sido facturados aparte.
Los conceptos de Sistema Operativo y Software Bsico tienen fronteras
comunes, la poltica comercial de cada Compaa y sus relaciones con los
clientes determinan el precio y los productos gratuitos y facturables.
Otra parte importante del Software Bsico es el desarrollado e implementado
en los Sistemas Informticos por el personal informtico de la empresa que
permiten mejorar la instalacin. El auditor debe verificar que el software no
agrede, no condiciona al Sistema, debe considerar el esfuerzo realizado en
trminos de costos, por si hubiera alternativas ms econmicas.
c) Software de Teleproceso
Se ha agregado del apartado anterior de Software Bsico por su especialidad e
importancia. Son vlidas las consideraciones anteriores, Ntese la especial
dependencia que el Software del Tiempo Real tiene respecto a la arquitectura
de los Sistemas.
d) Tunning
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la
evaluacin del comportamiento de los subsistemas y del Sistema en su
conjunto. Las acciones de Tunning deben diferenciarse de los controles y
medidas habituales que realiza el personal de Tcnica de Sistemas.
El Tunning posee una naturaleza ms revisora, establecindose previamente
planes y programas de actuacin segn los sntomas observados.
Los Tunning pueden realizarse:
Cuando existe la sospecha de deterioro del comportamiento parcial o
general del Sistema.
De modo sistemtico y peridico, por ejemplo cada seis meses. En este
ltimo caso, las acciones de Tunning son repetitivas y estn planificadas
y organizadas de antemano.
El auditor informtico deber conocer el nmero de Tunning realizados el
ltimo ao, sus resultados, analizara los modelos de carga utilizados y los
niveles e ndices de confianza de las observaciones.

e) Optimizacin de los Sistemas y Subsistemas

Tcnica de Sistemas deber realizar acciones permanentes de optimizacin
como consecuencia de la informacin diaria obtenida a travs de Log, Accounting, etc. Acta igualmente como consecuencia de la realizacin de Tunnings
pre programado o especfico.
El auditor verificar que las acciones de optimizacin fueron efectivas y no
comprometieron la Operatividad de los Sistemas ni el "plan crtico de
produccin diaria" de Explotacin.
f) Administracin de Base de Datos
Es un rea que ha adquirido una gran importancia a causa de la proliferacin
de usuarios y de las descentralizaciones habidas en las informticas de las
empresas, el diseo de las bases de datos, ya sean relacionales o jerrquicas,
se ha convertido en una actividad muy compleja y sofisticada, por lo general
desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas
de Desarrollo y los usuarios de la empresa.
El conocimiento de diseo y arquitectura de dichas Bases de Datos por parte
de los Sistemas, ha cristalizado en la administracin de las mismas les sea
igualmente encomendada. Aunque esta descripcin es la ms frecuente en la
actualidad, los auditores informticos han observado algunas disfunciones
derivadas de la relativamente escasa experiencia que Tcnica de Sistemas
tiene sobre la problemtica general de los usuarios de las Bases de Datos.
Comienzan a percibirse hechos tendentes a separar el diseo y la construccin
de las Bases de Datos, de la administracin de las mismas, administracin sta
que sera realizada por Explotacin. Sin embargo, esta tendencia es an poco
significativa.
El auditor informtico de Bases de Datos deber asegurarse que Explotacin
conoce suficientemente las que son accedidas por los Procedimientos que ella
ejecuta. Analizar los sistemas de salvaguarda existentes, que competen
igualmente a Explotacin. Revisar finalmente la integridad y consistencia de
los datos, as como la ausencia de redundancias entre ellos.
g) Investigacin y Desarrollo
El campo informtico sigue evolucionando rpidamente. Multitud
Compaas, de Software mayoritariamente, aparecen en el mercado.

de

Como consecuencia, algunas empresas no dedicadas en principio a la venta de

productos informticos, estn potenciando la investigacin de sus equipos de
Tcnica de Sistemas y Desarrollo, de forma que sus productos puedan
convertirse en fuentes de ingresos adicionales.

La Auditoria informtica deber cuidar de que la actividad de Investigacin mas

la de desarrollo de las empresas no vendedoras, no interfiera ni dificulte las
tareas fundamentales internas.
En todo caso, el auditor advertir en su Informe de los riesgos que haya
observado. No obstante, resultara muy provechoso comercializar alguna
Aplicacin interna, una vez que est terminada y funcionando a satisfaccin.
La propia existencia de aplicativos para la obtencin de estadsticas
desarrollados por los tcnicos de Sistemas de la empresa auditada, y su
calidad, proporcionan al auditor experto una visin bastante exacta de la
eficiencia y estado de desarrollo de los Sistemas. La correcta elaboracin de
esta informacin conlleva el buen conocimiento de la carga de la instalacin,
as como la casi certeza de que existen Planes de Capacidad, etc.
c) AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES
La creciente importancia de las Comunicaciones
ha determinado que se estudien separadamente
del mbito de Tcnica de Sistemas. Naturalmente,
siguen siendo trminos difciles en los conceptos
generales de Sistemas y de Arquitecturas de los
Sistemas Informticos.
Se ha producido un cambio conceptual muy
profundo en el tratamiento de las comunicaciones
informticas y en la construccin de los modernos
Sistemas de Informacin, basados en Redes de
Comunicaciones muy sofisticadas.
Para el Auditor Informtico, el entramado conceptual que constituyen las Redes
Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son
sino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre
este avanzado concepto, que repetimos: Las Comunicaciones son el Soporte
Fsico-Lgico de la Informtica en Tiempo Real.
El auditor informtico tropieza con la dificultad tcnica del entorno, pues ha de
analizar situaciones y hechos alejados entre s, y est condicionado a la
participacin del monopolio telefnico que presta el soporte en algunos lugares.
Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros
casos, la Auditoria de este sector requiere un equipo de especialistas, expertos
simultneamente en Comunicaciones y en Redes Locales. No debe olvidarse
que en entornos geogrficos reducidos, algunas empresas optan por el uso
interno de Redes Locales, diseadas y cableadas con recursos propios.
El entorno del Online tiene una especial relevancia en la Auditoria Informtica
debido al alto presupuesto anual que los alquileres de lneas significan. El
auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de
las lneas contratadas, con informacin abundante sobre tiempos de desuso.

Deber proveerse de la topologa de la Red de Comunicaciones, actualizada.

La des actualizacin de esta documentacin significara una grave debilidad.
La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estn
instaladas, supondra que se bordea la Inoperatividad Informtica.
Sin embargo, y como casi siempre, las debilidades ms frecuentes e
importantes en la informtica de Comunicaciones se encuentran en las
disfunciones organizativas. La contratacin e instalacin de lneas va asociada
a la instalacin de los Puestos de Trabajo correspondientes (Monitores,
Servidores de Redes Locales, Ordenadores Personales con tarjetas de
Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy
coordinadas y a ser posible, dependientes de una sola organizacin.
d) AUDITORIA INFORMATICA DE DESARROLLO DE PROYECTOS
El rea de Desarrollo de Proyectos o de
Aplicaciones es objeto frecuente de la
Auditoria informtica.
Indicando inmediatamente que la funcin de
Desarrollo es una evolucin del llamado
Anlisis y Programacin de Sistemas y
Aplicaciones, trmino presente en los
ltimos aos. La funcin Desarrollo engloba
a su vez muchas reas, tantas como
sectores informatizables tiene la empresa.
Muy escuetamente, una Aplicacin recorre las siguientes fases:
a)
b)
c)
d)
e)

Prerrequisitos del Usuario (nico o plural), y del entorno.

Anlisis funcional.
Anlisis orgnico. (Pre programacin y Programacin).
Pruebas.
Entrega a Explotacin y alta para el Proceso.

Se deduce fcilmente la importancia de la metodologa utilizada en el desarrollo

de los Proyectos informticos. Esta metodologa debe ser semejante al menos
en los Proyectos correspondientes a cada rea de negocio de la empresa,
aunque preferiblemente debera extenderse a la empresa en su conjunto.
En caso contrario, adems del aumento significativo de los costos, podr
producirse fcilmente la insatisfaccin del usuario, si ste no ha participado o
no ha sido consultado peridicamente en las diversas fases del mismo, y no
solamente en la fase de prerrequisitos.
Finalmente, la Auditoria informtica deber comprobar la seguridad de los
programas, en el sentido de garantizar que los ejecutados por la mquina son
totalmente los previstos y no otros.

Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente

por la observacin y el anlisis de estas consideraciones.
a) Revisin de las metodologas utilizadas
Se analizarn stas, de modo que se asegure la modularidad de las posibles
futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.
b) Control Interno de las Aplicaciones
La Auditoria informtica de Desarrollo de Aplicaciones deber revisar las
mismas fases que presuntamente ha debido seguir el rea correspondiente de
Desarrollo. Las principales son:
1.
2.
3.
4.
5.
6.
7.

Estudio de Viabilidad de la Aplicacin.

Definicin Lgica de la Aplicacin.
Desarrollo Tcnico de la Aplicacin.
Diseo de Programas.
Mtodos de Pruebas.
Documentacin.
Equipo de Programacin.

c) Satisfaccin de Usuarios
Una Aplicacin eficiente y bien desarrollada tericamente, deber considerarse
un fracaso si no sirve a los intereses del usuario que la solicit. Surgen
nuevamente las premisas fundamentales de la informtica eficaz: fines y
utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus
puntos de vista durante todas las etapas del Proyecto. La presencia del usuario
proporcionar adems grandes ventajas posteriores, evitar reprogramaciones
y disminuir el mantenimiento de la Aplicacin.
d) Control de Procesos y Ejecuciones de Programas Crticos
El auditor no debe descartar la posibilidad de que se est ejecutando un
mdulo lo que no se corresponde con el programa fuente que desarroll,
codific y prob el rea de Desarrollo de Aplicaciones.
Se est diciendo que el auditor habr de comprobar fehaciente y
personalmente la correspondencia biunvoca y exclusiva entre el programa
codificado y el producto obtenido como resultado de su compilacin y su
conversin en ejecutables mediante la linkeditacin (Linkage Editor).
Obsrvense las consecuencias de todo tipo que podran derivarse del hecho de
que los programas fuente y los programas mdulos no coincidieran provocando
graves retrasos y altos costos de mantenimiento, hasta fraudes, pasando por
acciones de sabotaje, espionaje industrial-informtico, etc.
Esta problemtica ha llevado a establecer una normativa muy rgida en todo lo
referente al acceso a las Libreras de programas.

Una Informtica medianamente desarrollada y eficiente dispone de un solo

juego de Libreras de Programas de la Instalacin. En efecto, Explotacin debe
recepcionar programas fuente, y solamente fuente. Cules? Aquellos que
Desarrollo haya dado como buenos.
La asumir la responsabilidad de:
1. Copiar el programa fuente que Desarrollo de Aplicaciones ha dado por
bueno en la Librera de Fuentes de Explotacin, a la que nadie ms
tiene acceso.
2. Compilar y linkeditar ese programa, depositndolo en la Librera de
Mdulos de Explotacin, a la que nadie ms tiene acceso.
3. Copiar los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc., en el lugar que se le indique. Cualquier cambio exigir
pasar nuevamente al punto 1.
Ciertamente, hay que considerar las cotas de honestidad exigible a
Explotacin. Adems de su presuncin, la informtica se ha dotado de
herramientas de seguridad sofisticadas que permiten identificar la personalidad
del que accede a las Libreras. No obstante, adems, el equipo auditor
intervendr los programas crticos, compilando y linkeditando nuevamente los
mismos para verificar su biunivocidad.
e) AUDITORIA DE LA SEGURIDAD INFORMATICA
La seguridad en la informtica abarca los conceptos
de seguridad fsica y seguridad lgica.
La Seguridad fsica se refiere a la proteccin del
Hardware y de los soportes de datos, as como los
edificios e instalaciones que los albergan.
Contempla las situaciones de incendios, sabotajes,
robos, catstrofes naturales, etc. Igualmente, a este
mbito pertenece la poltica de Seguros.
La seguridad lgica se refiere a la seguridad de uso
del software, a la proteccin de los datos, procesos y programas, as como la
del ordenado y autorizado acceso de los usuarios a la informacin.
Se ha tratado con anterioridad la doble condicin de la Seguridad Informtica:
Como rea General y como rea Especfica (seguridad de Explotacin,
seguridad de las Aplicaciones, etc.).
As, podrn efectuarse Auditorias de la seguridad global de una Instalacin
Informtica- Seguridad General-, y Auditorias de la Seguridad de un rea
informtica de terminada- Seguridad Especfica-.
Las agresiones a instalaciones informticas ocurridas en Europa y Amrica
durante los ltimos aos, han originado acciones para mejorar la Seguridad
Informtica a nivel fsico. Los accesos y conexiones indebidos a travs de las

Redes de Comunicaciones, han acelerado el desarrollo de productos de

Seguridad lgica y la utilizacin de sofisticados medios criptogrficos.
La decisin de abordar una Auditoria Informtica de Seguridad Global en una
empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a
los que est sometida.
Tal estudio comporta con frecuencia la elaboracin de "Matrices de Riesgo" en
donde se consideran los factores de las "Amenazas" a las que est sometida
una instalacin y de los "Impactos" que aquellas pueden causar cuando se
presentan.
Las matrices de riesgo se presentan en cuadros de doble entrada
"Amenazas\Impacto", en donde se evalan las probabilidades de ocurrencia de
los elementos de la matriz.