Tipos y clases de auditoras informticas

Dentro de las reas generales, es posible establecer las siguientes divisiones: Auditora Informtica de Explotacin, Auditora Informtica de Sistemas, Auditora Informtica de Comunicaciones, Auditora Informtica de Desarrollo de Proyectos y Auditora Informtica de Seguridad, siendo esta ltima tambin un rea general. Nos faltaba definir y detallar la Auditora Informtica de Desarrolo de Proyectos y Auditora de Seguridad. AUDITORIA INFORMATICA DE DESARROLLO DE PROYECTOS Son estas ltimas, las cinco Areas Especficas de la Auditora Informtica ms importantes. Debe evaluarse la diferencia entre la generalidad y la especificacin que posee la Seguridad. Segn ella, realizarse una Auditora Informtica de la Seguridad del entorno global de la informtica, mientras en otros casos puede auditarse una aplicacin concreta, en donde ser necesario analizar la seguridad de la misma. Como consecuencia cada Area especfica puede ser auditada desde los siguientes criterios generales, que detallamos : a) Desde su propia funcionalidad interna. b) Con el apoyo que recibe de la Direccin, y en forma ascendente, del grado de cumplimiento de las directrices de que sta imparte. c) Desde la visin de los usuarios, destinatarios verdaderos de la informtica. d) Desde el punto de vista de la seguridad, que ofrece la Informtica en general o la rama auditada. Las combinaciones descriptas pueden ser ampliadas o reducidas, segn las caractersticas de la empresa auditada. Ponemos de manifiesto que las auditoras ms usuales son las referidas a las actividades especficas e internas de la propia actividad informtica.

AUDITORIA INFORMATICA DE EXPLOTACION:

El rea de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la auditora informtica. Indicando inmediatamente que la funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones, trmino presente en los ltimos aos. La funcin Desarrollo engloba a su vez muchas reas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicacin recorre las siguientes fases: a) Prerrequisitos del Usuario (nico o plural), y del entorno. b) Anlisis funcional. d) Anlisis orgnico. ( Preprogramacin y Programcin). e) Pruebas. f) Entrega a Explotacin y alta para el Proceso. De esta enumeracin se deduce fcilmente la importacia de la metodologa utilizada en el desarrollo de los Proyectos informticos. Esto metodologa debe ser semejante al menos en los Proyectos correspondientes a cada rea de negocio de la empresa, aunque preferiblemente debera extenderse a la empresa en su conjunto. Supuesta utilizada una metodologa comn o similar, el Desarrollo de una Aplicacin debe estar sometido a un exigente control interno de todas las fases antes nombradas. En caso contrario, adems del aumento significativo de los costos, podr producirse fcilmente la insatisfaccin del usuario, si ste no ha participado o no ha sido consultado peridicamente en las diversas fases del mismo, y no solamente en la fase de prerrequisitos. Finalmente, la auditora informtica deber comprobar la seguridad de los programas, en el sentido de garantizar que los ejecutados por la mquina son totalmente los previstos y no otros. Una razonable auditora informtica de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de estas tres consideraciones. a) Revisin de las metodologas utilizadas Se analizarn stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.

b) Control Interno de las Aplicaciones La auditora informtica de Desarrollo de Aplicaciones deber revisar las mismas fases que presuntamente ha debido seguir el rea correspondiente de Desarrollo. Las principales son: 1.- Estudio de Viabilidad de la Aplicacin. Es muy importante para los casos de Aplicaciones largas, complejas y de alto costo. 2.- Definicin Lgica de la Aplicacin. Se analizar que se han observado los postulados lgicos de actuacin, en funcin de la metodologa elegida y la finalidad que persigue el proyecto. 3.- Desarrollo Tcnico de la Aplicacin. Se verificar que ste es ordenado y correcto. Las herramientas tcnicas utilizadas en los diversos programas debern ser compatibles. 4.- Diseo de Programas. Debern poseer la mxima modularidad, sencillez y economa de recursos. 5.- Mtodos de Pruebas. Se realizarn de acuerdo a las Normas de la Instalacin. Se utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales. Cuando existan entornos diferenciados de Pruebas y Explotacin, se realizarn en el entorno de Pruebas; slo cuando stas hayan terminado con xito, se realizarn pruebas finales en Explotacin, al tiempo de la entrega de dicha Aplicacin en Explotacin para su ejecucin peridica. 6.- Documentacin. Cumplir la Normativa establecida en la Instalacin, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotacin. 7.- Equipo de Programacin. Deben fijarse las tareas de anlisis puro, de programacin, y las intermedias. En Aplicaciones complejas, se producirn variaciones en la composicin del grupo, pero stas debern estar previstas. La coordinacin de actividades corresponde al Jefe del Proyecto, el cual reporta al responsable del Area de Desarrollo. c) Satisfaccin de Usuarios Una Aplicacin tcnicamente eficiente y bien desarrollada teoricamente, deber considerarse un fracaso si no sirve a los intereses del usuario que la solicit. Surgen nuevamente las premisas fundamenales de la informtica eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante todas las etapas del Proyecto. La presencia del usuario

proporcionar adems grandes ventajas posteriores, ya reprogramaciones y disminuir el mantenimiento de la Aplicacin. d) Control de Procesos y Ejecuciones de Programas Crticos

que

evitar

El auditor no debe descartar la posibilidad de que se est ejecutando un mdulo lo que no se corresponde con el programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones. Se est diciendo que el auditor habr de comprobar fehaciente y personalmente la correspondencia biunvoca y exclusiva entre el programa codificado y el producto obtenido como resultado de su compilacin y su conversin en ejecutables mediante la linkeditacin ( Linkage Editor). Obsrvense las consecuencias de todo tipo que podran derivarse del hecho de que los programas fuente y los programas mdulos no coincidieran: desde errores de bultos que producirn graves retrasos y altos costos de mantenimiento, hasta fraudes de incalculables dimensiones, pasando por acciones de sabotaje, espionaje industrial-informtico, etc. Esta problemtica ha llevado a establecer una normativa muy rgida en todo lo referente al acceso a las Libreras de programas. Una Informtica medianamente desarrollada y eficiente dispone de un solo juego de Libreras de Programas de la Instalacin. En efecto, Explotacin debe recepcionar programas fuente, y solamente fuente. Cules? Aquellos que Desarrollo haya dado como buenos. Solamente entonces Explotacin, y slo Explotacin, asumir la responsabilidad de: 1.-Copiar el programa fuente que Desarrollo de Aplicaciones ha dado por bueno en la Librera de Fuentes de Explotacin, a la que nadie ms tiene acceso. 2.- Compilar y linkeditar ese programa, depositndolo en la Librera de Mdulos de Explotacin, a la que nadie ms tiene acceso. 3.- Copiar los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc, en el lugar que se le indique. Cualquier cambio exigir pasar nuevamente al punto 1. Ciertamente, hay que considerar las cotas de honestidad exigible a Explotacin. Adems de su presuncin, la informtica se ha dotado de herramientas de seguridad sofisticadas que permiten identificar la personalidad del que accede a las Libreras. No obstante, adems, el equipo auditor intervendr los programas crticos, compilando y linkeditando nuevamente los mismos para verificar su biunivocidad.

AUDITORIA INFORMATICA DE SISTEMAS

Se ocupa de analizar la actividad propia de lo que se conoce como "Tcnica de Sistemas" en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas". Vamos a revisar los grupos a revisar: a) Sistemas Operativos Se entienden por tales, los proporcionados por el fabricante junto con la mquina. Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si stas se han producido. El anlisis de las versiones de los SS.OO. permite descubrir las posibles incompatibilidades entre algunos otros productos de Software Bsico adquiridos por la instalacin y determinadas versiones de aqullos. Deben revisarse los parmetros variables de las Libreras ms importantes de los Sistemas, especialmente si difieren de los valores habituales aconsejados por el constructor. b) Software Bsico Lo constituye el conjunto de productos que, sin pertenecer al Sistema Operativo, configuran completamente los Sistemas Informticos, haciendo posible la reutilizacin de funciones bsicas no includas en aqul. Cmo distinguir ambos conceptos? Cules son las razones por las que se plantea la pregunta anterior? La respuesta a ambas tiene un definido carcter econmico. En efecto, el Software bsico, o una gran parte de l, es abonado por el cliente a la firma constructora, mientras el Sistema Operativo y algunos programas muy bsicos, se incorporan a la mquina sin cargo alguno al cliente. Ciertamente, es difcil decidir si una funcin concreta debe estar includa en el Sistema Operativo o puede ser omitida de l. A ttulo de ejemplo, una funcin tan repetitiva e importante como la clasificacin de registros, es un producto software o forma parte del Sistema? Iguales dudas podras establecerse respecto a una serie de utilidades (copias, exportaciones e importaciones de archivos, reasignacin dinmica de recursos internos, etc.).

Con independencia del inters terico que pueda tener la discusin de si una funcin concreta es o no integrante del Sistema Operativo, para el auditor es fundamental conocer los productos de software bsico que han sido facturado aparte del propio Ordenador. Ello, por razones econmicas y por razones de comprobacin de que el Ordenador "podra funcionar" sin el producto adquirido por el cliente. Resumiendo, los conceptos de Sistema Operativo y Software Bsico tienen fronteras comunes y que, con independencia de a qu entorno correspondan, la poltica comercial de cada Compaa constructora y sus relaciones con los clientes determinan finalmente el precio y los productos gratuitos y facturables. Otra parte importante del Software Bsico es el desarrollado e implementado en los Sistemas Informticos por el personal informtico de la empresa, por el propio personal de sistemas. Son desarrollos internos que permiten mejorar la instalacin. El auditor, en este punto, debe verificar que es software no agrede no condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en trminos de costos, por si hubiera alternativas ms econmicas. c) Software de Teleproceso Se ha agregado del apartado anterior de Software Bsico por su especialidad e importancia. Son vlidas las consideraciones anteriores, Ntese la especial dependencia que el Software del Tiempo Real tiene respecto a la arquitectura de los Sistemas. d) Tunning Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento de los subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferenciarse de los controles y medidas habituales que realiza el presonal de Tcnica de Sistemas. El Tunning posee una naturaleza ms revisora, establecindose previamente planes y programas de actuacin segn los sntomas observados. Los Tunning pueden realizarse: *.- Cuando existe la sospecha de deterioro del comportamiento parcial o general del Sistema. **.- De modo sitemtico y peridico, por ejemplo cada seis meses. En este ltimo caso, las acciones de Tunning son repetitivas y estn planificadas y organizadas de antemano.

El auditor informtico deber conocer el nmero de Tunning realizados en el ltimo ao, as como los resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza de las observaciones. d) Optimizacin de los Sistemas y Subsistemas Tcnica de Sistemas deber realizar acciones permanentes de optimizacin como consecuencia de la informacin diaria obtenida a travs de Log, Account-ing, etc. Acta igualmente como consecuencia de la realizacin de Tunnings preprogramados o especficos. El auditor verificar que las acciones de optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el "plan crtico de produccin diaria" de Explotacin. e) Administracin de Base de Datos Es un Area que ha adquirido una gran importancia a causa de la proliferacin de usuarios y de las descentralizaciones habidas en las informticas de las empresas. El diseo de las bases de datos, ya sean relacionales o jerrquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y los usuarios de la empresa. El conocimiento de diseo y arquitectura de dichas Bases de Datos por parte de los Sistemas, ha cristalizado en la administracin de las mismas les sea igualmente encomendada. Aunque esta adcripcin es la ms frecuente en la actualidad, los auditores informticos han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica general de los usuarios de las Bases de Datos. Comienzan a percibirse hechos tendentes a separar el diseo y la construccin de las Bases de Datos, de la administracin de las mismas, administracin sta que sera realizada por Explotacin. Sin embargo, esta tendencia es an poco significativa. El auditor informtico de Bases de Datos deber asegurarse que Explotacin conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizar los sistemas de salvaguarda existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los datos, as como la ausencia de redundancias entre ellos. f) Investigacin y Desarrollo

El campo informtico sigue evolucionando rapidamente. Multitud de Compaas, de Software mayoritariamente, aparecen en el mercado. Slo muy recientemente, las empresas que necesitan de informticas desarrolladas han comprendido que sus propios efectivos estn desarrollados Aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo la competencia a las Compaas del ramo. Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos informticos, estn potenciando la investigacin de sus equipos de Tcnica de Sistemas y Desarrollo, de forma que sus productos puedan convertirse en fuentes de ingresos adicionales. La auditora informtica deber cuidar de que la actividad de Investigacin mas la de desarrollo de las empresas no vendedoras, no interfiera ni dificulte las tareas fundamentales internas. En todo caso, el auditor advertir en su Informe de los riesgos que haya observado. No obstante, resultara muy provechoso comercializar alguna Aplicacin interna, una vez que est terminada y funcionando a satisfaccin. Los archivos "accounting", "syslog", "Contabilizadores de errores recuperados o permanentes del Sistema y de sus perifricos", etc., proporcionan al auditor avezado informacin valiossima e insustituible. La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas. La correcta elaboracin de esta informacin conlleva el buen conocimiento de la carga de la instalacin, as como la casi certeza de que existen Planes de Capacidad, etc.

AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES La creciente importancia de las Comunicaciones ha determinado que se estudien separadamente del mbito de Tcnica de Sistemas. Naturalmente, siguen siendo trminos difles en los conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informticos. Se ha producido un cambio conceptual muy profundo en el tratamiento de las comunicaciones informticas y en la construccin de los modernos Sistemas de Informacin, basados principalmente en Redes de Comunicaciones muy sofisticadas.

Para el informtico y para el Auditor Informtico, el entramado conceptual que constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: Las Comunicaciones son el Soporte Fsico-Lgico de la Informtica en Tiempo Real. El auditor informtico tropieza con la dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la participacin del monopolio telefnico que presta el soporte en algunos lugares. Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la auditora de este sector requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes Locales. No debe olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y cableadas con recursos propios. El entorno del Online tiene un especial relevancia en la Auditora Informtica debido al alto presupuesto anual que los alquileres de lneas significan. El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas contratadas, con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La desactualizacin de esta documentacin significara una grave debilidad. La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estn instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo, y como casi siempre, las debilidades ms frecuentes e importantes en la informtica de Comunicaciones se encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organizacin. AUDIORIA DE LA SEGURIDAD INFORMATICA La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La Seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente, a este mbito pertenece la poltica de Seguros.

La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. Se ha tratado con anterioridad la doble condicin de la Seguridad Informtica: Como Area General y como Area Especfica ( seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, podrn efectuarse auditoras de la seguridad global de una Instalacin Informtica- Seguridad General-, y auditoras de la Seguridad de un rea informtica de terminada- Seguridad Especfica-. Las agresiones a instalaciones informticas ocurridas en Europa y Amrica durante los ltimos aos, han originado acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticados medios criptogrficos. La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Tal estudio comporta con frecuencia la elaboracin de "Matrices de Riesgo" en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y de los "Impactos" que aquellas pueden causar cuando se presentan. Las matrices de riesgo se presentan en cuadros de doble entrada "Amenazas\Impacto", en donde se evalan las probabilidades de ocurrencia de los elementos de la matriz.