Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria Informatica
Auditoria Informatica
AUDITORA INFORMTICA EN LA
ADMINISTRACIN:
UN RETO PARA LOS PROFESIONALES TIC
Volver
043
Palabras clave
Auditora informtica
Auditora de sistemas de informacin
Calidad de los servicios pblicos
Construccin de confianza en los servicios pblicos
Control interno
Resumen de su Comunicacin
Las organizaciones exitosas son aquellas que, entre otras cosas, reconocen los beneficios que las
TIC les proporcionan para cumplir sus objetivos. Adems, comprenden la necesidad de administrar los
riesgos del empleo de las TIC, ya que la informacin es uno de sus activos ms importantes.
La funcin de la Auditora Informtica en dichas organizaciones, comienza con la implantacin de un
proceso para supervisar el control de las tecnologas y de los procesos asociados, y evoluciona hacia un
enfoque proactivo participando en otras fases del ciclo de control.
Los profesionales TIC, auditores informticos, pasan por ser los recursos cualificados para contribuir a la construccin de la confianza en la Administracin Electrnica, configurndose como los garantes
de la prestacin de servicios de calidad, y en la consecucin de las polticas pblicas relacionadas.
Tecnimap 2006
Volver
043
Introduccin
Las distintas reas operativas de las organizaciones se sostienen y apoyan cada vez ms en los servicios
de las tecnologas de la informacin y las comunicaciones (TIC), que han acompaado la automatizacin y el
crecimiento de todos los procesos productivos, y la prestacin de nuevos servicios.
Como consecuencia, son muchas las organizaciones en las que la informacin y la tecnologa que la soporta
representan los activos ms valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas
tecnologas les pueden proporcionar. La productividad de cualquier organizacin depende del funcionamiento
ininterrumpido de los sistemas TIC, transformando a todo el entorno como un proceso crtico adicional.
Por tanto, se requiere contar con una efectiva administracin de los riesgos asociados con las TIC, y que
viene dada por:
- La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente
dependencia de la informacin y de los sistemas que la proporcionan.
- El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a las que
estn expuestos.
- La importancia y magnitud de los costes y las inversiones TIC.
- La desconfianza que los procedimientos automatizados o los servicios electrnicos pudieran
provocar en el colectivo usuario y en los ciudadanos en general.
- El potencial de las nuevas tecnologas de la informacin es tal que pueden llegar a introducir
importantes cambios en la organizacin, y en las prcticas de su actividad, para crear nuevas
oportunidades y reducir costes.
Resulta de ello el rol bsico que debe desempear la funcin de Auditora Informtica, o Auditora de los
Sistemas de Informacin, en una organizacin: supervisin de los controles efectivamente implementados
y determinacin de la eficiencia de los mismos.
Dada la especializacin de los controles a supervisar, es indudable que en la Administracin Pblica el perfil
de los profesionales TIC es el idneo para asumir y realizar directamente esas funciones, ayudando a las
organizaciones a fortalecer la confianza en los servicios prestados, en especial los enmarcados dentro de
la Administracin Electrnica.
Es as que los profesionales TIC de la Administracin tienen ante si un reto en su carrera profesional:
realizar tareas propias de la funcin de auditora, para contribuir a la mejora de la calidad de los servicios
prestados a los ciudadanos.
2.
A continuacin, se relacionarn los factores crticos a tener en cuenta para poder desplegar con xito la
funcin de Auditora Informtica en una organizacin.
Tecnimap 2006
Volver
043
Tecnimap 2006
Volver
043
Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar con un
marco metodolgico para organizar las actividades de Auditora Informtica, y as definir las pautas y los
controles a considerar en las futuras actuaciones de auditora. Esto se sustenta en el hecho que el uso de
una metodologa contrastada contribuye a:
- Salvar las brechas existentes entre riesgos del proceso de gestin, necesidades de control y
aspectos tcnicos. Esto es debido a que los riesgos de un proceso de gestin no son los mismos
que los riesgos a que se expone el sistema de informacin que le da apoyo. La Auditora Informtica
debe intentar asegurar que ambos estn controlados, o sea, ajustados a las necesidades de control,
o a lo que se asuma controlar, y a los medios y recursos tcnicos disponibles.
- Determinar el alcance de la tarea de auditora e identificar los controles mnimos, que debe estar
dirigida no slo a auditores informticos, sino tambin a los gestores y a los usuarios.
- Observar e incorporar los estndares y regulaciones nacionales o internacionales.
Al contar con una metodologa se podrn tener predefinidos los procedimientos de actuacin, que aunque
slo lleguen a definir el qu y el cmo hacer las actuaciones, permitirn generar resultados homogneos
por los distintos miembros del equipo auditor. Asimismo, el marco metodolgico adoptado tendr que
definir las pautas y los controles a realizar con relacin a los sistemas de informacin, tecnologas de
hardware, seguridad, planificacin, desarrollo de sistemas, etc.
Las metodologas e instrumentos de normalizacin que pueden ser considerados por el auditor informtico
como referentes, y que debe conocer, y en su caso aplicar, son:
Instrumentos de normalizacin de las Administraciones Pblicas
- Normas de Auditora del Sector Pblico de la IGAE, aunque no son especficas de la Auditora
Informtica, establecen un marco organizativo (www.igae.minhac.es).
- Serie del Centro Criptogrfico Nacional sobre la Seguridad de las Tecnologas de la Informacin
(CNN-STIC), que incluye polticas, procedimientos, normas, instrucciones tcnicas y guas de
implantacin(www.oc.ccn.cni.es).
- Information Technology Infrastructure Library (ITIL) desarrollada por Office of Government
Commerce del H.M.Teasury de UK Government, constituye una gua de las mejores prcticas para
la gestin de servicios de tecnologas de la informacin (www.ogc.gov.uk).
- Serie de publicaciones especiales SP-800 del Instituto Nacional de Estndares y Tecnologa (NIST)
de EE.UU. (http://ers.nist.gov).
Prcticas y recomendaciones del mbito de asociaciones internacionales
- Control Objectives for Information and Related Technologies (COBIT) de la Asociacin de Auditora
y Control de Sistemas de Informacin (ISACA), establecen un marco para la Auditora Informtica
(www.cobit.com).
- IS Standards, Guidelines and Procedures for Auditing and Control Professionals de ISACA (www.
isaca.com).
- Common Criteria for Information Technology Evaluation Version 2.3 de CSE (Canad), SCI (Francia),
BSI (Alemania), NLNCSA (Holanda), GESG (Reino Unido), NIST (EE.UU.) y NSA (EE.UU.).
Tecnimap 2006
Volver
043
Normalizacin internacional
- Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, actual ISO/IEC
17799:2005, y futura ISO/IEC 27002 Controles de seguridad prevista para 2007.
- Especificaciones para los sistemas de gestin de la seguridad de la informacin ISO/IEC
27001:2005.
- Criterios comunes de evaluacin de la seguridad de las tecnologas de la informacin ISO/IEC
15408.
Procedimiento administrativo
- Real Decreto 263/1996 que regula la utilizacin de tcnicas electrnicas, informticas y
telemticas por la Administracin General del Estado BOE 29/02/1996.
- Legislacin sobre registros telemticos: Real Decreto 72/1999 que regula la presentacin
de solicitudes, escritos y comunicaciones ante la AGE, la expedicin de copias de documentos y
devolucin de originales y el rgimen de registros, BOE 22/05/1999; Real Decreto 209/2003
que regula los registros y notificaciones telemticas, utilizacin de medios telemticos para la
sustitucin de certificados, BOE 28/02/2003, y la Orden PRE/1551/2003 que desarrolla su
disposicin final primera, BOE 13/06/2003.
- Resolucin de la Secretara de Estado de Administracin Pblica de 26 de mayo de 2003 que
dispone la publicacin del acuerdo del Pleno de la Comisin Interministerial de Adquisicin de Bienes
y Servicios Informticos que aprob los criterios de seguridad, normalizacin y conservacin de las
aplicaciones utilizadas por la AGE en el ejercicio de sus potestades (www.csi.map.es/csi/pg5c10.
htm).
- MAGERIT versin 2, Metodologa de anlisis y gestin de riesgos de los sistemas de informacin
(http://www.csi.map.es/csi/pg5m20.htm).
Proteccin de datos de carcter personal
-
-
Reglamento de medidas de seguridad de los ficheros automatizados que contienen datos
de carcter personal, BOE 25/06/1999 (se espera su actualizacin en 2006).
Tecnimap 2006
Volver
043
Volver
043
- Uso de herramientas: Los entornos informticos plantean un desafo al auditor TIC para obtener
evidencias, ya que generalmente estn en medios y soportes electrnicos. Las herramientas
recolectan esa informacin, y dada su diversidad, en muchos casos sera imposible la recoleccin
y el anlisis posterior. Adems, facilitan la generacin de muestras, se emplean para interrogar los
sistemas de informacin, para extraer informacin, y para ordenarla segn criterios, asegurando
objetividad en el proceso de recoleccin de los datos.
Evaluacin de la informacin
En esta fase se valorar el cumplimiento de las normas, de los procedimientos o de los estndares
reconocidos, y se determinar si los sistemas tienen una estructura de control adecuada, efectiva en
trminos econmicos, que provea una adecuada seguridad que las tareas se realizan segn lo previsto, y
que el objetivo de control se cumple. Tambin se podrn identificar los procesos de control para compensar
las desviaciones sobre lo previsto, para as obtener una estructura de control completa. Todo el anlisis
debe estar justificado con evidencias recogidas en la actuacin.
Comunicacin de los resultados
Al final del proceso de la auditora se mantendr una reunin de cierre con el mximo responsable de la
unidad auditada, para informarle de los principales hallazgos de la actuacin. El auditado tiene la oportunidad
de influir en las recomendaciones que incluir el informe final, dado que es imprescindible contar con su
opinin para asegurar que los resultados y las recomendaciones sean razonables y posibles de llevarse a
cabo.
A continuacin, se redacta el borrador del informe, que incluir todos los hechos, hallazgos, conclusiones
y recomendaciones. En la redaccin del documento se empelar un lenguaje claro, exento de tecnicismos,
y el detalle tcnico de las pruebas y evidencias se acompaar en anexos. El borrador se remitir a la
direccin del rea auditada, para que remita los comentarios por escrito que estime convenientes.
Despus de revisar y en su caso tomar en consideracin las observaciones remitidas sobre el borrador,
se elaborar el informe final de la auditora. Si el equipo de auditora no coincidiese con alguno de los
comentarios realizados sobre el borrador, debern ser explicadas las razones e incluidas en el informe
final.
Las recomendaciones del informe podrn dar lugar a instrucciones dirigidas a la direccin de la unidad
auditada, sugiriendo acciones para resolver las incidencias sealadas.
Seguimiento
Las recomendaciones incluidas en las instrucciones tendrn que ser llevadas a cabo en un perodo de
tiempo determinado despus de la recepcin del informe. El trabajo de auditora no se podr dar por
finalizado hasta que no se compruebe la ejecucin de las recomendaciones, lo que dar lugar a un informe
de cumplimento. La oportunidad para realizar un seguimiento depender de la gravedad de los hallazgos, y
estar sujeta al criterio del auditor o de su direccin.
Volver
043
acreditar para ser reconocido como un auditor informtico, se basa en reas de conocimiento, las que
suelen ser:
- Tcnica o metodologa de Auditora Informtica.
- Gestin, planificacin y organizacin de las tecnologas de la informacin.
- Infraestructura tcnica, prcticas operativas y proteccin de activos informticos.
- Recuperacin de desastres y continuidad de la actividad soportada por los sistemas de
informacin.
- Desarrollo, adquisicin, implantacin y mantenimiento de sistemas de informacin.
- Evaluacin de procesos de negocio y gestin de riesgos.
La certificacin se obtiene despus de aprobar un examen sobre esas materias, acreditar una experiencia
profesional adecuada en el campo de las TIC y aceptar un cdigo de tica profesional; y se mantiene
acreditando una formacin continua en la materia.
En la AGE ya se estn dando los pasos hacia la preparacin de profesionales como auditores TIC, ya que los
planes de formacin del INAP incluyen cursos especficos sobre tcnicas de auditora y sobre tcnicas de
control de sistemas informticos. Se cubrira as que el auditor informtico, como un tcnico o especialista
informtico ms, recibiese una formacin constante para actualizar sus conocimientos, capacidades y
habilidades.
No obstante, caben sealar otras reas no relacionadas con las TIC o la auditora, que son igualmente
fundamentales para cubrir el perfil del profesional del auditor informtico, tales como la capacidad para
poder:
- Comprender los procesos de gestin de los servicios pblicos y la normativa legal en que se apoyan
los sistemas de informacin.
- Evaluar programas y polticas pblicas.
- Revisar y evaluar riesgos de reas gestionadas por las TIC.
- Identificar o diagnosticar problemas y plantear soluciones.
- Llenar el vaco de comunicacin entre usuarios y tcnicos.
- Saber comunicar los temas claves a la direccin.
- Saber negociar y resolver situaciones de conflicto.
- Saber cuando solicitar asistencia de profesionales especializados.
Finalmente sealar que los trabajos de auditora ms exitosos sern aquellos en los cuales el equipo auditor
y los auditados se consideren asimismo como consultores y clientes respectivamente. El entendimiento y
aplicacin de este concepto tiende a establecer una relacin de trabajo ms constructiva, y puede resultar
en la mejora de la operativa de la unidad bajo revisin.
Tecnimap 2006
Volver
043
3.
Teniendo presente que el principal objetivo de la funcin de Auditora Informtica debe ser asistir a los
miembros de la organizacin en el efectivo desempeo de sus responsabilidades, de forma que se garantice
la construccin de la confianza hacia la Administracin Electrnica, los auditores informticos deben
proveer anlisis, apreciaciones, recomendaciones, consejos e informacin concernientes a las actividades
revisadas.
Sobre este particular, debe tenerse presente el ciclo de gestin de control, en el cual la funcin de auditora
tendra la misin de analizar la implementacin de los controles y corregir la gestin proponiendo, en su
caso, mejoras, y que se resume en el siguiente esquema:
La funcin de Auditora Informtica que se establezca dentro de una organizacin para examinar y evaluar
sus actividades debe ser considerada como una apreciacin independiente al servicio de la misma para
supervisar el control establecido. Es un requisito previo para poder realizar Auditoras Informticas que
la organizacin tenga definida, documentada, conocida por todo el personal y aplicada, una poltica de
control.
Tecnimap 2006
10
Volver
043
Tecnimap 2006
11
Volver
043
4.
Conclusiones
Las organizaciones exitosas son aquellas que, entre otras cosas, reconocen los beneficios que las TIC les
proporcionan para cumplir sus objetivos. Adems, comprenden la necesidad de administrar los riesgos del
empleo de las TIC, ya que la informacin es uno de sus activos ms importantes.
La funcin de la Auditora Informtica en dichas organizaciones, comienza con la implantacin de un proceso
para supervisar el control de las tecnologas y de los procesos asociados, y evoluciona hacia un enfoque
proactivo participando en todas las fases del ciclo de gestin del control.
Los profesionales TIC, auditores informticos, pasan por ser los recursos cualificados para contribuir a
la construccin de la confianza en la Administracin Electrnica, configurndose como los garantes de la
prestacin de servicios de calidad, y en la consecucin de las polticas pblicas relacionadas.
Las organizaciones pblicas deben tomar conciencia de ello y potenciar los factores sealados para el
despliegue de la funcin de Auditora Informtica.
Tecnimap 2006
12
Volver