Está en la página 1de 82

UNIVERSIDAD PRIVADA ADA A.

BYRON
FACULTAD DE INGENIERA, CIENCIAS Y ADMINISTRACIN INGENIERA DE SISTEMAS X CICLO

Herramientas para la Auditora de los Sistemas de Informacin Auditora de Base de Datos Contratos de Auditora
INTEGRANTES:
1. 2. 3. 4.

Canelo Gonzales, Wilmer


Huaroto de la Cruz, Karen Salazar Magallanes, Omar Torres Cahuana, Marco

5.

Tasayco, Evelyn Ing. Armando Moreno Heredia, M. Sc. Chincha, 06 de Julio del 2012

Docente:

NDICE
Introduccin..Pg. 02 HERRAMIENTAS PARA LA AUDITORA DE S.I. 1. Herramientas, Maquinas y sistemas......Pg. 03 2. Importancia.................Pg. 03 3. Herramientas Especficas, Substitutivas y Multipropsito..................Pg. 03
.

4. Herramienta Perfecta...............Pg. 04 5. Herramientas de Auditora SITIC....Pg. 04 6. Tipos de Herramientas. Pg. 05


..

7. Tcnicas de Auditora asistida por computadoras..................................Pg.15 AUDITORA DE BASE DE DATOS 1. DefinicinPg. 17 2. Puntos en los que se enfoca el auditor....................................... Pg.17
...

3. Objetivos............Pg. 18 4. Planificacin.............. Pg. 18


..
..

5. Importancia................................................................Pg. 19 6. Auditora Oracle............Pg.20 7. Niveles de Auditora.. Pg. 20


..

8. Tipos de Auditora.............Pg. 23 9. Polticas de Auditora............Pg. 26 10. Implementacin de Auditora...............Pg. 28 SOFTWARE PARA AUDITORA..Pg. 38 CONTRATOS DE AUDITORA 1. Referencias.Pg. 45 2. PartesPg. 47 3. Objetivos......Pg. 53 4. Causa......Pg. 63 5. El informe de Auditora.....Pg. 63 6. Contratos de Auditora......Pg. 65 Conclusiones...................................... Pg.78
..

Bibliografa....Pg.81

NTRODUCCIN
La auditora y la auditoria informtica tienen una demanda creciente y crecientes exigencias de cobertura y granularidad. El auditor es un recurso limitado, escaso, relativamente caro.Hay gran variedad de herramientas de auditoria ms o menos elementales o sofisticadas, especializadas o multipropsito, aisladas o integradas; que el auditor puede utilizar para posibilitar / facilitar su tarea, mejorando su productividad, aumentando la cobertura de su estudio, reduciendo el riesgo, con mayores posibilidades de automatizacin e integracin. Esa gran variedad admite muchos modos de clasificacin. Entre los tipos principales cabe destacar las Herramientas embebidas (EAM), las Verticales de Gestin de la Auditoria, las GAT / CAAT compliance. Por otra parte con respecto a la Auditoria de Base de Datos, considerando la importancia del manejo y datos e informacin en la actualidad, se cuenta con eficientes recursos como los sistemas de gestin de base de Datos (SGBD). Una de las herramientas ms poderosas e integrales es Oracle en el mbito de las Bases de Datos relacionales, debido a que poseen una serie de caractersticas que las hacen slidas frente a gran volumen de datos e incluso diversificacin de los mismos. Justamente esta posibilidad de manejar de almacenamiento masivo de la informacin que nos brinda ORACLE, trae consigo la necesidad ineludible de establecer controles que permitan prevenir, detectar, corregir y hast0061 mitigar los riesgos asociados con acceso y uso de la base de datos a nivel de objetos (tablas, vistas usuarios), incluyendo creacin, modificacin y eliminacin, tambin lo que son tiempos de conexin, crecimiento controlado de la BD, privilegios de usuarios, roles y un sin fin de aspectos que puedan representar cambios en mayor o menor magnitud al repositorio de datos. Una de las funcionalidades que permite al administrador y a los usuarios autorizados abordar estos elementos de control es la herramienta de Auditora que posee ORACLE, permitiendo establecer un monitoreo y seguimiento del uso de la base de datos en conjunto con una gama de posibilidades y niveles para auditar las acciones, segn las necesidades de la empresa o usuarios de la BD. - cuyos referentes son IDEA y ACL-, las muchas de hacking tico y las de

AUDITORIA DE SISTEMAS DE INFORMACIN

Herramientas para la Auditora de los Sistemas de Informacin


1.
HERRAMIENTAS, MQUINAS, SISTEMAS, DEMONIOS Las herramientas por evolucin, innovacin, complejidad y especializacin se han transformado en los artefactos tecnolgicos de que nos servimos para hacer nuestro trabajo; por tanto herramientas maquinas sistemas demonios araas equipos son denominados genricamente Herramientas. Cuando se habla de herramientas se debe tener en cuenta en funcin de la disponibilidad de la misma, de la adecuacin de sta al objeto (objetivo y entorno) de la auditoria y del conocimiento (habilidad del auditor con ella). 2. IMPORTANCIA Las herramientas de Auditoria SITIC hacen viable y ms llevadera y econmica la auditoria de ciertos objetos o campos a auditar. En un mundo plagado de dudas, sospechas, quejas y escndalos sobre la auditoria, hacer posibles o simplificar ciertas comprobaciones es de una gran trascendencia. Es ah donde radica fundamentalmente la importancia de las herramientas de auditora SITIC 3. HERRAMIENTAS ESPECFICAS, SUBSTITUTIVAS Y MULTIPROPSITO Las herramientas suelen ser especficas, pueden ser substitutivas e incluso ser multiproceso.Sin embargo, generalmente el mejor coste-eficiencia se obtiene con

herramientas especficas, no multipropsito. Salvo, claro est, que los costes de formacin, su frecuencia e intensidad de uso y el propio coste directo de cada herramienta aconsejen una multipropsito. Los grandes maestros y los artesanos, tradicionalmente han dedicado la mayora de su tiempo con sus aprendices a: i. ii. Evitar que se daaran con las herramientas Evitar que daaran las obras con las herramientas

INGENIERIA DE SISTEMAS X CICLO

Pgina 3 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

En ambos casos, el objetivo era ensearles una tcnica; porque una herramienta sin tcnica es como un ordenador sin software. Ilustracin 1 : Principio temario de las Herramientas .

4.

LA HERRAMIENTA PERFECTA No existe la herramienta perfecta, ptima. Dependedel cristal con que se mire: depende de cada enfoque con el que se enfrente su uso.Toda herramienta tiene sus ventajas e inconvenientes, posibilidades y limitaciones, formas de uso normales y excepcionales.Los grandes artistas y cientficos, en ocasiones han usado las herramientas de modo anormal, con resultados revolucionarios.

5.

HERRAMIENTAS DE AUDITORIA (SOLAMENTE) SITIC La auditora SITIC tiene mucho en comn con otras auditorias de

(financiera,

operativa,

procesos, etc.); ms an con el inexorable informtica. No se puede ignorar la que parece irreversible tendencia a la integracin de la auditora. Ilustracin 2: Integracin de la Auditora tsunami de la

INGENIERIA DE SISTEMAS X CICLO

Pgina 4 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

6.

TIPOS Hay una gran variedad de Herramientas de Auditora SITIC. Segn los diversos criterios, que facilitan su compresin puede ser: 6.1. HERRAMIENTAS DE AUDITORIA SEGN SU PROCEDENCIA Un nmero importante aunque decreciente de ASITIC son profesionales de la informtica, por lo que sus opiniones de herramientas son normalmente las ms amplias. Segn sus diversos conocimientos y habilidades, Los ASITIC con habilidades informticas pueden recurrir a usar: Herramientas del entorno adquisicin-construccin.Con lenguajes de programacin, debuggers, analizadores de path se han construido todos los Sistemas de Informacin. Con las mismas herramientas se pueden auditar dichos sistemas. Herramientas de Prueba. Pueden considerarse a caballo de los entornos de adquisicin-construccin y explotacin-operacin (mantenimiento).Las herramientas de prueba pueden usarse y se usan ampliamente, como mecanismo de vigilancia y auditoria continuada. Herramientas del entorno Explotacin Operacin. Es donde estn los datos vivos la cual puede explotar el ASITIC que sea capaz de manejar JCL, SMF Logs, etc. Este tipo de acceso debe ser controlado y supervisado, pues el riesgo de impacto de un acceso intrusivo en un entorno de produccin es muy alto. Herramientas del Software de Sistema Aunque, todo est en el Sistema Operativo. Lo que el ASITIC capaz de lograr acceso privilegiado a SO, software de red, logs, etc. puede explotar es enorme. La complejidad del acceso es directamente proporcional a su criticidad, ya que las herramientas del sistema se ejecutan en modo privilegiado. Pgina 5 de 81

INGENIERIA DE SISTEMAS X CICLO

AUDITORIA DE SISTEMAS DE INFORMACIN

Por ello para evitar un descenso de la productividad de la auditoria, se pueden segregar dos enfoques: Intentos de Instruccin en modo privilegiado A partir de un usuario auditor con acceso privilegiado de lectura, se audita el software del sistema. Utilidades Son una potente herramienta- fundamentalmente de extraccin de datos para el ASITIC de formacin informtica, pero sobre todo son la bestia negra de cualquier ASITIC, quien debe comprobar que el acceso a utilidades por el personal auditado est restringido al mximo y totalmente trazado como se usan. Herramientas de TCP/IP e Internet. Las herramientas para el hacking blanco o tico, hoy da muchas herramientas empresas y servicios de hacking tico auditoria: proponen la parte como un todo. El hacking blanco o tico tiene a su disposicin las mismas herramientas y tcnicas que el hacking de sombreo negro (crackers): todo el catlogo de software y malware. Quiz la diferencia est en la autolimitacin, por el sombrero blanco, de la carga de pago: al investigador le interesa ms identificar las vulnerabilidades que explotarlas en los diversos modos posibles. 6.2. HERRAMIENTAS FUNCIN La auditora es una actividad profesional tan amplia y compleja, y en entornos y circunstancias tan diversas que los simplifica en los siguientes tipos: Captura de DatosEste primer tipo de herramienta recoge informacin, captura de datos, que sern usados (analizados, interpretados, utilizados)en una fase posterior o simultnea DE AUDITORIA SEGN SU PROCEDENCIA se denominan de

INGENIERIA DE SISTEMAS X CICLO

Pgina 6 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Muestras: El muestro de una poblacin de datos (transacciones, registros en un log, accesos) es una tcnica estadstica de la que se sabe mucho y por desgracia se abusa mucho. La nica exigencia de un procedimiento de muestreo, para que genere la mxima productividad, es que sea un muestreo estocstico aleatorio. Las buenas prcticas de muestreo han contribuido e enormes economas y aumentos de productividad en gestin de la produccin, control de la calidad, marketing y auditora. Las herramientas para obtener muestras pueden ser de procedencia, naturaleza, complejidad o ubicacin muy diversa. Puede tratarse de: Una rutina de diezmado de un log Un filtro que selecciona ciertas transacciones, segn reglas ms o menos complejas; Simplemente colocar una bandera (flag) en un campo de la Base de Datos para marcar ciertas entidades (clientes, productos, cuentas, etc.) Anlisis de DatosEl anlisis o interpretacin y evaluacin de la informacin recogida puede ser complementada con la recogida de la informacin (alertas y gestin de incidencias) o ser diferidas, incluso con horizontes muy amplios. Un ejemplo de escenario de anlisis diferido es el anlisis de ficheros con motivo de una auditoria anual o semestral. Un ejemplo de escenario de anlisis muy diferido puede ser el caso en que una auditora rutinaria detecte una debilidad importante en una prueba de cumplimiento y ello mueva al ASITIC a desencadenar una prueba sustantiva (total o por muestreo) sobre el histrico, desde hace tres ao, de un determinado grupo de fichero.

INGENIERIA DE SISTEMAS X CICLO

Pgina 7 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

6.3. HERRAMIENTAS DE AUDITORIA SEGN SU USO O PROPSITO Auditoria SITICEs la utilizacin normal Otras Auditorias, coordinadas o no con la SITIC Se dan frecuentes e importantes solapes entre auditoria interna y externa, Auditoria Operativa, Auditora de cuentas, Auditoria SITIC, Auditora ISO 9000, ISO 2000, ISO 27001, ISO 14000; aparte de las intervenciones de control de directivos y supervisores CSA y crculos de calidad Otros usos, legtimos o ilegtimos Legtimos.- ajenos a la auditoria: deteccin de fraudes, investigacin demoscpica, etc. Ilegtimos.- del lado claro, realizado por empresas aparentemente correctas, dedicadas a trfico de direcciones, perfilado de clientes, etc. Y del lado oscuro, donde las herramientas de auditoria pasan a ser un todo con el malware 6.4. HERRAMIENTAS DE AUDITORIA SEGN SU UBICACIN Se propone tratar las herramientas de auditora en funcin de su ubicacin o integracin mayor o menor en las aplicaciones o sistemas auditados.Se clasifica en dos grandes categoras: Embebidas, como mdulos de una aplicacin o sistema. Exentas, sincrnicamente elementos archivos de o datos) interactuando no, de con una (fundamentalmente

aplicacin o sistema.

Ilustracin 3: Naturaleza Cclica y administradora del ciclo de vida de la ASITIC


INGENIERIA DE SISTEMAS X CICLO

Pgina 8 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

La ilustracin 3, propone una triple reflexin: La de la naturaleza cclica de la auditora discreta. El muy importante peso relativo de las tareas administrativas en la totalidad de la carga de trabajo de la auditora Sealar el elevado acoplamiento que existe entre la fase 1 evaluacin de riesgos y la fase 3 Presupuesto. De la ilustracin 3 puede concluirse que se tender hacia un uso creciente de: Auditora integral, que minimice solapes y lagunas de unas y otras intervenciones. Auditoria continua, que acorte los ciclos deteccin correccin y con ello facilite reducir el riesgo. Paquetes integrales de auditora que integren las labores administrativas y las tcnicas.

Automatizada Embebida

Continua

mbito

Integrada

Ilustracin 4: Prospectiva Auditora SITIC 2007 - 2017 HERRAMIENTAS EMBEBIDAS Se trata de herramientas construidas/adquiridas al tiempo que la

aplicacin/sistema principal, normalmente por requerimiento de un ASITIC que ha participado en el proyecto o por el buen hacer de los desarrolladores.

INGENIERIA DE SISTEMAS X CICLO

Pgina 9 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Las herramientas embebidas representan probablemente la mejor apuesta por la sostenibilidad de la presin auditora.

Herramientas intrusivas y no intrusivas Intrusivas, en el sentido que insertan en el sistema algn servicio para generar logs. No intrusivas, se limitan a leer y reprocesar

Auditora continua / auditoria en lnea El objetivo simplemente, es asegurar que las transacciones en tiempo real se benefician de monitorizacin y controles tambin en tiempo real. La auditora continua exige servicios en lnea. Puede ser total o por muestreo. Puede abarcar el ciclo completo captura de informacin-emisin del informe o ser ms continua, en la captura y ms discreta en la periodificacin del informe que ser ms frecuente que trimestral, lo que podra demandar recursos y trabajo significativos. Las condiciones de xito para una auditora continua son estrictas: Alta automatizacin de la deteccin, con filtros sofisticados y alarmas en tiempo real Herramientas de auditora avanzadas y paramtricas Excelente y gil interfaz con los auditores altamente calificados Mnimo estorbo al auditado La mayor dificultad, naturalmente est en la redaccin de las reglas de los filtros automticos.Las tcnicas de auditora continua recorren: El registro de transacciones Las herramientas de consulta (query) Los SGBD (DBMS), los Datawarehouses y el Dataminig La Inteligencia Artificial y las redes Neuronales

INGENIERIA DE SISTEMAS X CICLO

Pgina 10 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Auditora diferida cooperativa La siguiente ilustracin representa un ejemplo de Auditora Cooperativa

AUDITOR

2 Universo de Transacciones

AUDITADO

Selecciona con CAAT y Criterio una muestra de transacciones

5 Muestra 3 4 Aplicacin Web remite la transaccin seleccionada al auditado e incorpora mscara (peticin y cuestionario)

Responde el cuestionario

Tabula respuestas 6 Todo este proceso puede desencadenarse en tiempo real o algo muy diferido

Emite informe

El ASITIC, empleando una CAAT, extrae (en tiempo real o diferido) del universo de transacciones una muestra de aquellas que segn un criterio son presuntamente anormales (por importe inusualmente alto o por sospecha de fragmentacin).

Una aplicacin Web enva al auditado la transaccin acompaada de una solicitud de explicacin y un formulario de respuesta. El Auditado cooperativamente retorna el formulario desarrollado al ASITIC, quien tabula las respuestas y las incorpora a su informe.

INGENIERIA DE SISTEMAS X CICLO

Pgina 11 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

HERRAMIENTAS EXENTAS Se propone plantear principalmente: El amplio uso por los ASITIC de herramientas ofimticas De Herramientas especficamente diseadas como de auditora

Las herramientas exentas constituyen en conjunto de herramientas ms usado por ahora por los ASITIC. Herramientas Horizontales (Ofimticas) Todas las herramientas ofimticas se usan ampliamente por los auditores. Groupwareson aplicaciones particularmente diseadas para el trabajo en equipo (basadas fundamentalmente, en un SGBD y una aplicacin de workflow), sobre las que pueden hacerse integraciones de productos comerciales especficos de auditora. El ejemplo ms conocido de groupware es Lotus Notes; hay en el mercado integraciones para auditora SITIC. GRC el software de Governance, Risk and Compliance (GRC) puede considerarse parcialmente incluido en esta categora ofimtica, si bien en general admite entradas propias de los sistemas de vigilancia. Herramientas Verticales de Gestin empresas por tipos: Audinfor, el decano producto espaol, actualmente Gesia 2001 BindViewsoftware de cumplimiento de seguridad, adquirida en el 2005 por Symantec Paisley, se define como una empresa de GRC, su producto AutoAudit es una conocida herramienta vertical de gestin. Protiviti Inc. Consultores de gestin de riesgos. Entre sustecnologas Internal Audit Workflow Technology RVR SystemsEmpresa de GRC. Se declaran especialistas en cumplimiento, gestin del riesgo, rendimiento operativo y gobernanza TIC. Su plataforma RVR admite cualquier coleccin de marcos estndares y normativas Algunas ejemplos de productos y

internas y soporta COSO y COBIT. Sistemas Expertos Demasiados numerosos y dispersos TeamMate Herramientas de gestin de papeles de trabajo de

PricewaterhouseCoopers. TripwireSe declaran lderes en auditora y control de configuracin. Pgina 12 de 81

INGENIERIA DE SISTEMAS X CICLO

AUDITORIA DE SISTEMAS DE INFORMACIN

Herramientas Verticales Tcnicas Las herramientas verticales tcnicas son las GAS y otras ms genricas, pero aplicables a Auditoras SITIC.

Las herramientas GAS(Generalized Audit Software) o CAAT (Computer Assisted Audit Tools) se aplicanparagestionarlas CAATT (Computer Assisted Audit Tools and Techniques). En la prctica los tres trminos se usan como sinnimos, siendo CAAT el ms usado.

Son herramientas especializadas (verticales, ocasionalmente integradas en suites). En general atacan a los archivos de datos y no a los programas de aplicacin, por lo que suelen ser invariantes de los programas y ms objetivas en cuantos a los datos (que es lo que importa en primer lugar). Las ms conocidas son ACL e IDEA ambas canadienses, buen ejemplo de un nicho de especializacin- IDEA y ACL se reparten el mercado profesional de los ASITIC. Ambas tienen funcionalidades similares, que pueden resumirse en capacidad de: Importacin de Datos, (no intrusiva) de archivos en una gran variedad de soportes y codificacin segn una gran variedad de estndares, opcin de que la extraccin sea completa o siga automticamente una de muy diversas pautas de muestreo. Clculo, creando campos lgicos, resultado de aplicar una frmula a los campos originalmente importados. IDEA parece ms moderno y productivo (menor carga de formacin para el usuario final, mas intuitivo y orientado a usuarios finales no tcnicos) que ACL, quien est ms basado en comandos y orientado a usuarios con mayor nivel de conocimientos tcnicos. La palabra clave, una vez ms es productividad.

Otras herramientas (no especficas de auditora, pero de slida tradicin) son SAS y SPSS. Se trata de software estadstico y estadstico- sociolgico, muy potente, con el que se pueden realizar parte de las tareas CAAT, con potencia y productividad no tan alejadas de las herramientas GAS; es cuestin de la capacitacin de los ASITIC.

INGENIERIA DE SISTEMAS X CICLO

Pgina 13 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

6.5. HERRAMIENTAS DE AUDITORIA SEGN SU PRODUCTIVIDAD La naturaleza recurrente, generalmente cclica de la auditora y el peso relativo de las labores administrativas y de gestin aconsejan cautela en la evaluacin de herramientas tcnicas no integradas o fcilmente integradas en paquetes de gestin.

El auditor ejecutivo de auditora debe asegurar que los recursos de auditora interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado.
Standardsfor IS Auditing (SISA)(Normas Generales para la Auditoria de los Sistemas de Informacin) CDIGO TTULO PUNTOS CONCRETOS

S6 S7 S8

Realizacin de Labores de Auditora Reporte Actividades de Seguimiento

04, 05, 07, 08, 09 y 10 03, 07 08, 09

IS Auditing Guidelines (ISAG)(Directrices de Auditora) CDIGO TTULO PUNTOS CONCRETOS

G3 G8 G10 G15

Uso de CAAT Documentacin de la Auditora Muestras de Auditora Actividades de Seguimiento

Todo Todo Todo 2.3.1, 2.3.2, 2.6 y 4.1.2

Fuente: elaboracin propia a partir de Normas y Directrices publicadas por ISACA en su portal, a 24/06/2007

La Information SystemAudit and Control Association ISACA ha generado normas y directrices de particular autoridad. 6.6. HERRAMIENTAS DE AUDITORIA SEGN SU COBERTURA Se refiere al mbito, alcance o cobertura de casos, archivos, registros.

Claramente es deseable una gran cobertura (incluso total) cobertura coste eficaz y a veces se considera necesaria. Conseguirla depende de una hbil combinacin de herramientas embebidas y GAS/ CAAT.

INGENIERIA DE SISTEMAS X CICLO

Pgina 14 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

7.

TCNICAS DE AUDITORIA ASISTIDA POR COMPUTADORAS Son de suma importancia para el auditor de TI cuando realiza una auditora. CAAT incluyen distintos tipos de herramientas, las que ms se utilizan son los software de auditora generalizado, software utilitario, los datos de prueba y sistemas expertos de auditora. Las CAAT se pueden utilizar para realizar varios procedimientos de auditora incluyendo: Prueba de los detalles de operaciones y saldos. Procedimientos de revisin analticos. Pruebas de cumplimiento de los controles generales de sistemas de informacin. Pruebas de cumplimiento de los controles de aplicacin. PLANIFICACIN DE CAAT En la planificacin de auditora, el auditor de sistemas de informacin debe considerar una combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes: 7.2. Conocimientos computacionales, pericia y experiencia del auditor de sistemas de informacin. Disponibilidad de los CAAT y de los sistemas de informacin. Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas manuales Restricciones de tiempo

7.1.

UTILIZAR CAAT El uso de los CAAT debe ser controlado por el auditor de sistemas de informacin para asegurar razonablemente que se cumple con los objetivos de la auditora y las especificaciones detalladas de los CAAT. El auditor debe: Realizar una conciliacin de los totales de control. Realizar una revisin independiente de la lgica de los CAAT

INGENIERIA DE SISTEMAS X CICLO

Pgina 15 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Realizar una revisin de los controles generales de los sistemas de informacin de la organizacin que puedan contribuir a la integridad de los CAAT.

Documentacin CAAT Una descripcin del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAAT deben estar registrados en los papeles de trabajo de la auditoria para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de informacin. Informe CAAT La seccin del informe donde se tratan los objetivos, la extensin y metodologa debe incluir una clara descripcin de los CAAT utilizados. Esta descripcin no debe ser muy detallada, pero debe proporcionar una buena visin general al lector. 7.3. TIPOS DE HERRAMIENTAS CAAT IDEALa herramienta IDEA, se puede disminuir costos de anlisis, realzar la calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos. REAS DE USO DE LAS HERRAMIENTAS Auditora externa de estados financieros. Auditoria Interna Deteccin de Fraude Informes y Anlisis de gestin Transferencias de Archivos Industria Organizaciones de ventas al por menor Entes gubernamentales Bancos e instituciones financieras Pgina 16 de 81

INGENIERIA DE SISTEMAS X CICLO

AUDITORIA DE SISTEMAS DE INFORMACIN

Auditora de Base de Datos


1. DEFINICIN
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos incluyendo la capacidad de determinar: Quin accede a los datos Cuando se accedi a los datos Desde que dispositivo / aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datos

La auditora de base de datos es uno de los procesos fundamentales para apoyar la responsabilidad delegada a la IT frente a las regulaciones y su entorno de negocios o actividad.

2. PUNTOS A LOS QUE SE ENFOCA EL AUDITOR

2.1.

Control y Seguridad de la Base de Datos Que se tenga siempre una lista de los usuarios as como tambin diferentes perfiles, tipos de usuarios, documentacin sobre cambios, accesos limitados, buscar e identificar que cada uno est en su puesto, que administradores tienen acceso, los programadores no deben tener acceso a la base real, que usuarios tienen acceso a toda la base de datos, en caso de que no tenga los perfiles el auditor debe de identificarlos e identificar que cada persona est en su puesto.

2.2.

Diseo Identificar que realmente se deje una trayectoria o documentacin sobre la base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos.

INGENIERIA DE SISTEMAS X CICLO

Pgina 17 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

2.3.

La investigacin de la arquitectura Se refiere al sistema operativo y el software para crear una base de datos, adems de que deban ser compatible, chequear estudios previos para escoger el software adecuado, verificar que los componentes que se compren sean los adecuados para la compatibilidad) el ciclo de vida de una base de datos (cunto tiempo durar el sistema o base de datos que se dise), estudio de la informacin este realmente de acuerdo con la empresa que est utilizando en este momento, si se cuenta con la documentacin de la reingeniera aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la modificacin con las autorizaciones necesarias, verificar que exista registro de todo.Dentro de la auditora de base de datos tenemos dos formas de auditora, stas son auditora del cliente y auditora en el motor de base de datos.

3. OBJETIVOS GENERALES DE AUDITORA DE BASE DE DATOS


Disponer de mecanismos que permitan tener trazas de auditoras completas y automticas relacionadas con el acceso a las bases de datos, incluyendo la capacidad de generar alertas con el objetivo de: Mitigar los riesgos asociados con el manejo inadecuado de los datos. Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores. Evitar las acciones criminales. Evitar las multas por incumplimiento. La importancia de la auditora del entorno de base de datos radica en que es el punto de partida para poder realizar la auditora de las aplicaciones que utiliza esta tecnologa.

4. PLANIFICACIN DE LA AUDITORA DE BASES DE DATOS


Cuando se habla de planificacin, generalmente no enfocamos a un plan, metdicamente organizado y frecuentemente de gran amplitud, para obtener un objetivo determinado. En este sentido, la planificacin de la auditora de base de datos, se va a referir a la serie de pasos que debemos cubrir para determinar los aspectos e identificar los recursos y as establecer el plan de trabajo, para lograr el alcance esperado.

INGENIERIA DE SISTEMAS X CICLO

Pgina 18 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Por lo tanto, el auditor de base de datos debe:


Identificar todas las bases de datos de la Organizacin. Clasificar los niveles de riesgos de los datos en las bases de datos. Analizar los permisos de acceso. Analizar los controles de acceso existentes a las bases de datos. Establecer los modelos de auditora de bases de datos a utilizar. Establecer las pruebas a realizar para cada base de datos, aplicacin y/o usuario.

5. IMPORTANCIA DE LA AUDITORA DE BASE DE DATOS Con la auditora de base de datos se busca monitorear y garantizar que la informacin est segura, adems de brindar ayuda a la organizacin para detectar posibles puntos dbiles y as tomar precauciones para resguardar an ms los datos.

La auditora de base de datos es importante porque: Toda la informacin financiera reside en base de datos y deben existir controles relacionados con el acceso a las mismas. Se debe poder mostrar la integridad de la informacin almacenada en las bases de datos. Las organizaciones deben mitigar los riesgos asociados a la prdida de datos y a la fuga de informacin. La informacin confidencial de los clientes, son responsabilidad de las organizaciones. Los datos convertidos en informacin a travs de bases de datos y procesos de negocio, representan el negocio. Las organizaciones deben tomar medidas mucho ms all de asegurar sus datos. Deben monitorearse perfectamente, a fin de conocer quin o qu les hizo exactamente qu, cundo y cmo.

INGENIERIA DE SISTEMAS X CICLO

Pgina 19 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

6. AUDITORA ORACLE
En el caso de Oracle Database, la auditora es un conjunto de caractersticas que permite al administrador de la base de datos y a los usuarios hacer un seguimiento del uso de la base de datos. El administrador de base de datos puede definir la actividad de auditora predeterminada, obteniendo el registro a detalle del usuario que ejecut la operacin la fecha y hora. La informacin de las auditoras se almacena en el diccionario de datos, en la tablaSYS.AUD$ o en la pista de auditora del sistema operativo llamado con una pista de auditora del sistema operativo. Se pueden auditar tres tipos de acciones: Intentos de inicio de sesin. Accesos a objetos Acciones de la base de datos

7. NIVELES DE AUDITORA
7.1. NIVEL BSICO Este nivel contempla o corresponde al nivel de seguridad ms bajo. Es por esto recomendable que cualquier base de datos tenga este nivel como mnimo, ya que as se cubren los aspectos de seguridad bsica. Es por esto recomendable que la organizacin tenga registrado en un documento de seguridad ya sea de tipo electrnico o papel, los elementos de la base de datos y las operaciones que se pueden ejecutar sobre dichos elementos, detalle de usuarios y sus roles segn como lo requiera la organizacin. Se requiere indudablemente definir la restriccin de acceso a los datos a los usuarios segn las operaciones que se realicen mediante diversos mecanismos y registrarlas en dicho documento de seguridad.

INGENIERIA DE SISTEMAS X CICLO

Pgina 20 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Debe existir un administrador de la gestin de seguridad que pueda controlar los aspectos de auditoria y acceso al sistemas por medio de auditoria genrica, auditando dicho acceso y controlando el nmero de intentos. Es la auditora mnima que se debera hacer para controlar el acceso del personal. Con esta informacin y los horarios de trabajo de los usuarios se pueden investigar las anomalas mediante alertas y procedimientos almacenados. Otro aspecto importante es contar con un repositorio activado donde que el registro de la auditoria y paralelamente establecer un tiempo prudencial que va a estar almacenados dichos datos en consenso con la gerencia de la organizacin. 7.2. NIVEL MEDIO Aqu se habla de un nivel de seguridad mayor si se quiere para empresas medianas grandes que se manejen datos de mucha importancia y requieren de herramientas de control a mayor escala. Es necesario que exista un responsable distinto del administrador que se encargue de evolucionar las polticas de auditoria y que aplique criterios de investigacin ante los hechos excepcionales y datos de auditoria, apoyados en las diversas herramientas que ofrezca el manejador en cual tengan su base de datos. Adicionalmente es preciso contar con un esquema de respaldo de la base de datos en donde se ejecuten las debidas copias de seguridad y limpieza de las tablas de auditora.Se debe auditar y vigilar los intentos de realizacin de operaciones, autorizadas o no, sobre objetos de la base de datos personales con el objetivo de limitar dichos intentos por parte de un usuario. Se debe auditar los intentos fallidos de conexin del usuario auditor, nico usuario que puede ver el contenido de las tablas de auditora, usando el envo de mensajes tanto al propio auditor como al administrador de la base de datos cada vez que esto ocurra. Separar el archivo de transacciones o de log en otro disco dentro del servidor de base de datos para obtener mayor eficiencia, en el caso de ser una base de datos muy concurrente.

INGENIERIA DE SISTEMAS X CICLO

Pgina 21 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

7.3.

NIVEL ALTO Este corresponde al mayor nivel de seguridad, especial para las grandes empresas que requieren resguardar su valor ms importante, incluyendo no solo datos de la organizacin sino datos personales, de mercado, tendencias econmicas, etc., por lo que se requiere una correcta categorizacin de los datos sensibles para la empresa. Se deben auditar los intentos de actualizacin y borrado de los datos sensibles para la organizacin por parte de los usuarios, ya sean autorizados o no autorizados. Cada vez que se actualicen dichos datos, sin frecuencia lmite, el auditor deber investigar este hecho sobre quin ha realizado las

modificaciones, desde qu mquina y cundo, por medio de procedimientos almacenados, con el objetivo de detectar irregularidades dentro de la plantilla de la organizacin. Manejar herramientas de auditoria como la de grano fino que recoge la informacin mediante trazas y que va a permitir vigilar los movimientos susceptibles de ser investigado y vigilados, utilidades que coloquen alertas con frecuencia de actualizacin de datos o deteccin de procedimientos

almacenados, con el objetivo de detectar irregularidades dentro de la plantilla de la organizacin.Se deben tener copias de seguridad en ubicaciones diferentes, repositorio de tablas de auditora en servidor externo al de la base de datos.
CUADRO COMPARATIVO ENTRE LOS NIVELES DE AUDITORA

NIVELES

VENTAJAS Se cuenta con documentacin que facilita deteccin de errores, permisos, cambios. La Gestin de Privilegios mediante roles para filtrar acceso a los objetos y estructuras de la BD. El control de acceso a la BD permite controlar las conexiones a la BD, para investigacin de errores o vulnerabilidad

DESVENTAJAS El control de acceso a la BD se puede descontrolar si sube el nivel de conexiones y desconexiones Los Logs y registros de auditoria deben ser constantemente revisados por si ocurren fallas de espacio.

BAJO

INGENIERIA DE SISTEMAS X CICLO

Pgina 22 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Control casi absoluto de las operaciones de los usuarios. Cada operacin que el auditor considera importante es auditada. MEDIO Permite detectar y configurar infracciones Mejora el rendimiento del servidor debido a que se separan los archivos de transacciones en discos diferentesRpida recuperacin de los datos en virtud del esquema de respaldo con el que se cuenta. Mejora del rendimiento de la BD por tener externos los logs de auditora Deteccin Rpida de operaciones que ALTO pueden hacer vulnerable el sistema son detectadas gracias a los elementos de auditora como polticas de auditora y procedimientos almacenados. Mejora de la seguridad debido al uso de mltiples alertas, que permiten la

Alto nivel de gasto econmico en personal e infraestructura de auditora, por esto debe la ser organizaciones

rentable con un nivel medio o alto del flujo de informacin.

El costo en mayor. Configuracin

infraestructura es de alertas de

forma manual, representa altos costos en tiempo y personal; y la creacin de alertas usando herramientas de auditora, con un coste econmico relativamente alto

deteccin inmediata en caso de ataques.

8. TIPOS DE AUDITORA
Dentro de la auditora de base de datos tenemos varias formas de ejecutar la auditora, entre estas tenemos:

8.1.

Auditora del Cliente La auditora de cliente es la que no pertenece al motor de la base de datos. Es aquella cuyo desarrollo es realizado por el programador de la aplicacin o de la base de datos, no por el administrador o auditor de la base de datos. Podemos distinguir dos subtipos de auditora de cliente: auditora de aplicativo y auditora de disparadores.

INGENIERIA DE SISTEMAS X CICLO

Pgina 23 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Auditora de aplicativo La auditora de aplicativo es el servicio que permite analizar las aplicaciones forma independiente a la base de datos, y su mbito estar delimitado al trabajo diario de la aplicacin y los procesos en los que participe. Ofrece la ventaja de la independencia, puesto que se puede desarrollar en el mbito de nuestra aplicacin informtica los controles necesarios y adecuados a nuestras necesidades de auditora sin necesidad de tener que acceder al motor de la base de datos; esta manera de auditar permite crear procesos de control ms concretos y por tanto ms eficaces. Si se hablan de desventajas se tendrn aplicaciones menos flexibles dado que el desarrollo de soluciones de control para la auditoria de bases de datos ser ms laborioso y tendremos ms problemas para el mantenimiento y actualizacin de la aplicacin. Auditora de Disparadores Los disparadores son rutinas o procedimientos que se activan cuando se producen un evento en la base de datos y que se usan para aadir lgica o restricciones a la misma. Pueden ser utilizados para establecer reglas de integridad como base de datos externas como por ejemplo (no grabar un pedido si el cliente no se encuentra registrado en la base de datos de pedido). Para el caso de auditora, va a ser de utilidad para la programacin de disparadores que nos permitan registrar en una tabla de auditora los cambios que ejecutan los usuarios como insercin, actualizacin o eliminacin de datos, la identidad de quien los llev a cabo y otros datos de inters: cmo?, cundo se realizaron?, desde dnde?, etc., para que posteriormente el auditor pueda analizar las operaciones Usar este recurso nos aporta grandes ventajas, ya que de una manera muy sencilla y directa va quedando un registro de estas operaciones tan frecuentes en una base de datos.

INGENIERIA DE SISTEMAS X CICLO

Pgina 24 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

8.2.

Auditora en el motor de la base de datos La auditora del entorno de base de datos corresponde al punto de partida de para realizar la auditoria de aplicaciones. Es por esto que muchos auditores dentro de las organizaciones estn tomando cada vez mayor inters con respeto a las operaciones que se ejecutan sobre los objetos de la base de datos. Es por esto que este tipo de auditora est basada en polticas diseadas de tal forma que sea posible auditar un objeto de la base de datos en unas determinadas circunstancias: bajo el uso de una o varias operaciones definidas por el auditor. De esta forma, se puede definir la poltica de auditora como la informacin que necesita el motor de la base de datos para auditar. Indica qu hay que auditar, cmo y cundo. De lo que se deriva el inexorable vnculo entre auditora y seguridad de la informacin ya que se crean controles de acceso a los sistemas que despus nos proveen de informacin auditable en trminos de seguridad. El proceso de auditora de bases de datos debe ser independiente de las

aplicaciones que hacen uso de la informacin contenida en ella, as que a la hora de evaluar los costos de la realizacin de la auditora slo tendremos que tener en cuenta el coste que se genera en el proceso de recogida de la informacin y el costo del procesamiento de la informacin que sirve de base para el anlisis y estudio del auditor. Existen niveles diferentes para este tipo de auditora dependiendo de la forma que se recopile los datos, distinguiendo de esta forma: Agregada:Estadsticas sobre el nmero de operaciones realizadas sobre un objeto de Base de Datos, por cada usuario. Como cualquier estadstica, su medida puede hacerse con tcnicas censales y muestrales. Censal El gestor toma datos de todas las operaciones que recibe, segn el gestor, esto se ejecutar en paralelo a las operaciones auditadas. Muestral Peridicamente se toman una muestra de datos.

INGENIERIA DE SISTEMAS X CICLO

Pgina 25 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Detallada:Incluye todas las operaciones realizadas sobre cada objeto. Cambios:El contenido de los datos. Debe contener la imagen de los datos anteriores y posteriores a la operacin del cambio. La estructura de los objetos que componen la aplicacin. Accesos:Limitada a las operaciones de acceso al contenido de los datos y tiene dos niveles de detalle: Operacin (sentencia SQL que se ejecut) y resultado (los datos que se vieron en la sentencia SQL ejecutada). Otros: Copias de seguridad y recuperaciones. Reconstruccin de un estado de los datos.

9. POLTICAS DE AUDITORA
Las polticas de auditora son el conjunto de normas, reglas, procedimientos y prcticas que van a regular la proteccin de la informacin de la base de datos, contra la perdida de confidencialidad, integridad o disponibilidad, tanto de forma intencional como accidental, por lo tanto corresponde a los mecanismos que permitan resguardar todos estos elementos, por lo cual se disearan los aplicativos necesarios, haciendo la salvedad que no corresponde de forma estricta a un conjunto de validaciones, sino que evoluciona segn los riesgos detectados por lo tanto tambin existe la posibilidad de ejecucin de actividades de auditora producto de la deteccin de actividades de origen sospechosos a travs de una auditora ms especfica con respecto a los eventos que se quieran controlar. Por lo tanto existen diversos elementos que pueden establecerse como polticas para la proteccin de la informacin como: Control de Acceso: Mediante estas polticas se establece el control sobre la autenticacin e identificacin los usuarios que conectan a la base de datos, con el fin de otorgar los accesos solos a los usuarios que estn autorizados, se registran los inicios de o cierres de sesin de un usuario desde otro equipo. Cuando se decide tener activa esta opcin se puede especificar si se quiere auditar:

INGENIERIA DE SISTEMAS X CICLO

Pgina 26 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Aciertos: Generan un entrada cuando el usuario intenta iniciar la sesin y tiene xito, lo que ofrece informacin til para establecer la responsabilidad y para la investigacin tras el incidente, de forma que se pueda determinar quin consigui iniciar sesin y en qu equipo Errores: Generan una entrada de auditora cuando en un intento de inicio de sesin de cuenta se produce un error, lo que resulta til para la deteccin de intrusos, intentos de violacin de seguridad, tambin se tiene la posibilidad de configurar una condicin de negacin de servicio que limite las veces de intento de conexin y las entradas de registro de sucesos de seguridad. Niveles de Acceso a la BD: Revisin del tipo de acceso a de los usuarios, si el acceso es temporal, si est permanentemente conectado en cualquier momento o rangos de horas en das autorizados. De acuerdo al espacio: desde cualquier mquina de la red, cualquier mquina registrada, mquinas explcitamente autorizadas, hora y usuario Uso de Privilegios Aqu se revisara y regulara el tipo de operaciones que se pueden ejecutar sobre la base de datos como (insertar, crear, modificar, actualizar, eliminar) sobre los datos o las estructuras de datos, de acuerdo al usuario que ejecuta la operacin. De esta forma se estaran bloqueando las funciones que no son inherentes al usuario con respecto a estructuras y datos de la BD Roles: Cuando se habla de roles se refiere a la configuracin del conjunto de privilegios para un usuario que son agrupadas mediante una sola funcin denominada rol con el fin de delimitar las acciones que el mismo puede ejecutar sobre la BD. Acceso a Objetos: Registro de las operaciones realizadas sobre objetos de las Base de Datos como tablas, vistas, procedimientos etc., con detalle de operaciones como borrado Aplicaciones de Usuario: Auditora sobre las medidas de seguridad o validaciones que se utilizan en las herramientas de interfaz grficas de usuario con el fin de proteger la carga de datos errnea provocada por los usuarios. Diccionario de Datos: Corresponde a los procesos de auditora que resguardan la integridad de los datos del repositorio.

INGENIERIA DE SISTEMAS X CICLO

Pgina 27 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Otros procedimientos que respaldaran y otorgaran consistencia a los procesos definidos como auditables son los siguientes: Ejecucin de Copias de Seguridad de las Estructuras de datos Procedimientos de recuperacin de datos que aseguren la disponibilidad Polticas de control de los accesos concurrentes segn el nmero de usuarios que tiene la BD Polticas de control de cambio para ejecutar actualizaciones, correccin de errores y diversos cambios a la BD con la aprobacin de su respectivo comit.

10. IMPLEMENTACIN DE AUDITORA


10.1. Definir que se quiere auditar En una base de datos hay distintas actividades que se pueden auditar segn las necesidades propias del negocio y el anlisis previo realizado. Justamente para la configuracin de los distintos tipos de auditora, es oportuno y correcto el uso del comando audit que permite configurar distintos tipos de Auditora. Este comando puede utilizarse aunque no est activada la auditora de base de datos, aunque para obtener los resultados de dicha auditora hay que definir correctamente el parmetro ya explicado de inicializacin audit_trail.

10.2. Pasos para habilitar la auditora: 1. Identificar los objetos u estructuras de datos que deben ser auditadas con el fin de satisfacer los requerimientos de informacin necesarios para su posterior anlisis. 2. Determinar qu elementos y acciones sobre dichos elementos se desea registrar. 3. Utilizar el mdulo de auditora para registrar la informacin definida en los puntos anteriores y de esta manera habilitar la auditora sobre dichos objetos 4. Verificar que las pistas de auditora definidas sirvan para el anlisis que se desea realizar mediante pruebas. 5. Repetir los pasos anteriores hasta lograr deseada en el repositorio de auditora. que se genere la informacin

INGENIERIA DE SISTEMAS X CICLO

Pgina 28 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

10.3. Administrar pista de auditoria La generacin de las pista de Auditora nos permite mantener el historial de los cambios que se realizan de los datos e identificar que se cambi, quin y cundo se ejecut el cambio. Este es el punto de partida para el anlisis de la informacin con respecto a cmo se obtuvo el valor actual de cualquier elemento. 10.4. Anlisis de la informacin Recolectada Consiste en cotejar y razonar la informacin obtenida mediante el acceso a al repositorio de la auditoria con herramientas de consulta como el Discoverer que viene a ser una herramienta que permite generar informacin propia a partir de los datos existentes o para solventar problemas especficos con un fin preciso (ad hoc), esto para el anlisis del negocio, crear escenarios, observar tendencias, etc. Es muy posible que la informacin que se requiera no se tenga en lnea o con la exactitud que se requiere ya que es necesario depurar la informacin almacenada en el repositorio por restricciones de espacio. Es por esto que cuando se requiere investigar algn elemento en especfico se puede solicitar al administrador o al operador la recuperacin de la informacin. 10.5. Monitorear el crecimiento de la pista de Auditora El uso del proceso auditora a la base datos se tiene falsamente percibido como complejo y lento y la razn de esto suele ser por desconocimiento, debido a que es lgico que si se tienen activadas mltiples opciones a auditar, la pista resultante de dicha auditora pueden ser grande y compleja para descifrar y administrar. Por otra parte, si se utiliza auditora en todas las tablas y vistas de la BD seguramente se va a ver afectado el rendimiento, ya que por cada operacin se escribe un registro en la tablas de auditora, lo que sigue contribuyendo a la ralentizacin de las operaciones que se ejecuten dentro de la BD.

Por lo tanto es vital que cuando se utilicen los recursos de la herramienta de auditora se planifique y ejecute de manera sencilla y prudencial, basados en el seguimiento de objetos y objetos crticos de la BD, por esto se requieren una anlisis previo de posibles abusos que se pueden realizar y de las acciones que se van a dictaminar, de forma tal que esto genere un informe que permita filtrar las pista de auditora para estas acciones.

INGENIERIA DE SISTEMAS X CICLO

Pgina 29 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

10.6. Proteger la pista de Accesos no autorizados Es necesaria la aplicacin de mecanismos adecuados para proteger datos sensitivos no solo en este caso de las pistas de auditora, sino de los datos e informacin almacenados y transmitidos a travs de las tecnologas de informacin, que estn sujetos a las amenazas provenientes de accesos, usos, apropiacin y alteracin no autorizados, transmisiones fraudulentas, cada o destruccin del servicio, y requieren de mecanismos adecuados para salvaguardarlos;

INGENIERIA DE SISTEMAS X CICLO

Pgina 30 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

CheckList e Informes de Auditoria


Empresa: __________________________________________________ Fecha: ____________________ Encargado de la Auditoria: __________________________________ 1) Existe una persona designada para la administracin de Base de Datos? Si ( ) No ( ) En caso de la respuesta ser negativa explique por qu? ______________________________________________________________________________ ________________________________________________________ Cules son sus funciones? ___________________________________________________________________ ______________________________________________________________________________ ________________________________________________________ 2) Cules personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de base de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 3) Existen restricciones para el ingreso o inclusin de los datos en las estructuras de Base de Datos? SI ( ) NO ( ) 4) Cules son las restricciones? ______________________________________________________________________________ ______________________________________________________________________________ _____________________________________________ 5) Cumplen con los lineamientos (documentacin, justificacin y autorizacin)? SI ( ) NO ( ) 6) Se cuenta con procedimientos escritos para la recuperacin de base y estructura de datos en caso de una destruccin total o parcial. Cules? SI ( ) NO ( )Detalle: ___________________________________________________________________________ ___________________________________________________________________________ 7) Se dispone de mecanismos de seguridad que garanticen la proteccin contra la destruccin accidental o deliberada? SI ( ) NO ( )Cules? ___________________________________________________________________________ ___________________________________________________________________________ 8) Se dispone de mecanismos de seguridad que garanticen la proteccin contra los accesos no autorizados? Cules? SI ( ) NO ( )Cules?

INGENIERIA DE SISTEMAS X CICLO

Pgina 31 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN


______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________________ 9) Estn estos mecanismos avalados por el personal de Auditora de Sistemas y Seguridad de Activos de Informacin? SI ( ) NO ( ) 10) Existen mecanismos de custodia? SI ( ) NO ( ) 11) Existe una persona designada para la administracin de Base de Datos? SI ( ) NO ( ) 12) Cules son sus funciones? ______________________________________________________________________________ ______________________________________________________________________________ _____________________________________________ 13) Cules personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de base de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 14) Existen restricciones para el ingreso o inclusin de los datos en las estructuras de Base de Datos? SI ( ) NO ( ) 15) Cules son las restricciones? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 16) Cumplen con los lineamientos (documentacin, justificacin y autorizacin)? SI ( ) NO ( ) 17) Se cuenta con procedimientos escritos para la recuperacin de base y estructura de datos en caso de una destruccin total o parcial? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 18) Se dispone de mecanismos de seguridad que garanticen la proteccin contra la destruccin accidental o deliberada? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

INGENIERIA DE SISTEMAS X CICLO

Pgina 32 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN


19) Se dispone de mecanismos de seguridad que garanticen la proteccin contra los accesos no autorizados? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 20) Estn estos mecanismos avalados por el personal de Auditora de Sistemas y Seguridad de Activos de Informacin? SI ( ) NO ( ) 21) Existen mecanismos de custodia? SI ( ) NO ( ) 22) Se aprueban los cambios, modificaciones de los programas e incorporacin de nuevas versiones mediante controles de cambio aprobado por los administradores y su respectivo comit de cambios? SI ( ) NO ( ) 23) Se cuenta con controles y procedimientos para prevenir el acceso a la base de datos? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 24) Se cuenta con controles y procedimientos para prevenir el acceso a la biblioteca de la base de datos? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 25) Se cuenta con controles y procedimientos para prevenir el acceso programas de la base de datos? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 26) Se cuenta con controles y procedimientos para prevenir el acceso a las aplicaciones de los usuarios de la base de datos? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 27) Se cuentan con normas para la definicin, control, actualizacin y monitoreo de las bases y estructuras de datos? SI ( ) NO ( )

INGENIERIA DE SISTEMAS X CICLO

Pgina 33 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN


28) Cules son los mecanismos que aseguran el cumplimiento de las normas de definicin, control, actualizacin y monitoreo de las bases estructuras de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 29) Cul es la frecuencia con las que se ejecutan las copias de seguridad de las estructuras y base de datos? Diarias: ___ Semanales: ___ Trimestrales: ___ Semestrales: ___ Anules: ___ 30) Existen procedimientos de recuperacin que aseguren la disponibilidad de la base de datos? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 31) Cules son los niveles de control de acceso a la informacin? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 32) Quines son las personas autorizadas de actualizar la base de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 33) Cules personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de base de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 34) Existen restricciones para el ingreso o inclusin de los datos en las estructuras de Base de Datos? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ 35) Se cumplen con los lineamientos (documentacin, justificacin y autorizacin)? SI ( ) NO ( ) 36) Se cuenta con procedimientos escritos para la recuperacin de base y estructura de datos en caso de una destruccin total o parcial? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________

INGENIERIA DE SISTEMAS X CICLO

Pgina 34 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN


37) Se dispone de mecanismos de seguridad que garanticen la proteccin contra la destruccin accidental o deliberada? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ 38) Se dispone de mecanismos de seguridad que garanticen la proteccin contra los accesos no autorizados? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ 39) Estn estos mecanismos avalados por el personal de Auditora de Sistemas y Seguridad de Activos de Informacin? SI ( ) NO ( ) 40) Existen mecanismos de custodia? SI ( ) NO ( ) 41) Se aprueban los cambios, modificaciones de los programas e incorporacin de nuevas versiones mediante controles de cambio aprobado por los administradores y su respectivo comit de cambios? SI ( ) NO ( ) 42) Se cuenta con controles y procedimientos para prevenir el acceso a la base de datos? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ 43) Se cuenta con controles y procedimientos para prevenir el acceso a la biblioteca de la base de datos? Cules? SI ( ) NO ( )Cules? __________________________ __________________________

______________________________ ______________________________

44) Se cuenta con controles y procedimientos para prevenir el acceso programas de la base de datos? Cules? SI ( ) NO ( )Cules? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ 45) Se cuenta con controles y procedimientos para prevenir el acceso a las aplicaciones de los usuarios de la base de datos? Cules? SI ( ) NO ( Cules? __________________________ ______________________________ __________________________ ______________________________

INGENIERIA DE SISTEMAS X CICLO

Pgina 35 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN


46) Se cuentan con normas para la definicin, control, actualizacin y monitoreo de las bases y estructuras de datos? SI ( ) NO ( ) 47) Cules son los mecanismos que aseguran el cumplimiento de las normas de definicin, control, actualizacin y monitoreo de las bases estructuras de datos? __________________________ ______________________________ __________________________ ______________________________ 48) Cul es la frecuencia con las que se ejecutan las copias de seguridad de las estructuras y base de datos? Diaria___ Semanal___ Mensual___ Trimestral___ Semestral___ Anual___ 49) Existen procedimientos de recuperacin que aseguren la disponibilidad de la base de datos? Cules? SI ( ) NO ( ) Cules? __________________________ ______________________________ __________________________ ______________________________ 50) Existen mecanismos que garanticen la correccin, integridad y consistencia de las relaciones en la base de datos? SI ( ) NO ( ) 51) Existe un checklist que ayude a la reactivacin del servicio luego de una falla mayor? SI ( ) NO ( ) 52) Se realiza mantenimiento a las bases de datos donde, se realicen organizacin de la estructura y as administrar mejor el espacio en disco y las relaciones de las relaciones de las tablas? SI ( ) NO ( ) 53) Existencia de un procedimiento que garantice el cumplimiento de los procedimientos definidos para los mantenimientos de las bases de datos? SI ( ) NO ( ) 54) Existe una herramienta de monitoreo que ayude al desempeo ptimo de la base de datos? SI ( ) NO ( ) 55) La herramienta de monitoreo se encarga de: o Manejos de accesos y estructura de la base de datos Si ___ No___ o Limitacin de acceso por usuario. Si ___ No___ o Limitacin de los cambios y actualizacin de archivos. Si ___ No___ o Registrar las transacciones de accesos y cambios para control, auditoria y recuperacin. Si ___ No___ o Limitacin de usuarios a las bases de datos de pruebas. Si ___ No___ 56) Se posee una bitcora de acciones en la base de datos y sus estructuras? SI ( ) NO ( )

INGENIERIA DE SISTEMAS X CICLO

Pgina 36 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN


57) La bitcora cuenta con registro de: o Todos los datos borrados de las bases de datos. Si ___ No___ o Origen (interno o externo) de todas las transacciones. Si ___ No___ o Utilizacin de la base de datos por personas distintas a los usuarios que tienen accesos autorizados a la aplicacin. Si ___ No___ o Violaciones de seguridad con respecto a las bases de datos. Si ___ No___ o Reorganizaciones o sintonizaciones de las bases de datos. Si ___ No___ o Uso de las utileras de las bases de datos. Si ___ No___ o Estado del sistema que pueda ser requerido para reinicio o cambio de datos errneos. Si ___ No___ 58) Existen manuales de procedimientos para todas las aplicaciones del manejo de los programas que acceden a las estructuras y bases de datos.? SI ( ) NO ( ) 59) Se encuentran estandarizados toda la documentacin de todos los programas y aplicaciones desarrolladas internas como externas, antes de que las mismas entren en produccin? SI ( ) NO ( ) 60) Existe documentacin de los estndares de prueba de programas que especifiquen los criterios para generar, revisar y resguardar datos de pruebas? SI ( ) NO ( ) 61) Se utiliza el diccionario de datos para mantener el rastreo de los datos a travs de las aplicaciones que lo emplean? SI ( ) NO ( ) 62) Existe control de acceso al lugar en el cual se encuentran almacenados los archivos de las bases de datos.? SI ( ) NO ( ) 63) Las personas autorizadas, tienen dicha autorizacin por escrito, manual de descripcin de cargos y funciones, otro documento? SI ( ) NO ( ) 64) Mostrar la documentacin que certifique los procedimientos de respaldo y recuperacin que se utilizaran en caso de falla en las bases de datos, o de destruccin parcial o total. SI ( ) NO ( ) 65) Solicitar documentacin donde se verifique que los procesos de respaldo, recuperacin y restauracin de la informacin de las bases de datos fueron probadas incluso antes de entrar en produccin? SI ( ) NO ( )

INGENIERIA DE SISTEMAS X CICLO

Pgina 37 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN


SOFTWARE PARA AUDITORA INTERNA, AUDITORA DE SISTEMASY CALIDAD DE DATOS

1. ACL: est orientado a soportar integralmente las funciones del auditor interno, del auditor de sistemas y del investigador de fraudes. ACL es el producto lder en CAATT (ComputerAssistedAudit Tools and Techniques) con el ms alto desempeo y flexibilidad. Puede barrer, filtrar, seleccionar y combinar grandes volmenes de informacin de grandes bases de datos residentes en Mainframes, UNIX, AS/400 y PC a la ms alta velocidad. 2. Trillium Software: permite la administracin continua de la calidad de datos garantizando su consistencia y estandarizacin.

3. AudtoAudit: es un sistema completo para la automatizacin de la funcin de Auditora, soportando todo el proceso y flujo de trabajo, desde la fase de planificacin, pasando por el trabajo de campo, hasta la preparacin del informe final. Adems del manejo de documentos y papeles de trabajo en forma electrnica, AutoAudit permite seguir la metodologa de evaluacin de riesgos a nivel de entidad o de proceso, la planificacin de auditoras y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un mdulo de reportes "ad hoc". Todos estos mdulos estn completamente integrados y los datos fluyen de uno a otro automticamente. 4. Pro AuditAdvisor: Es una herramienta de papeles de trabajo electrnicos (digitales). Con esta herramienta se puede: Definir el modelo del negocio en mltiples niveles; Determinar evaluacin de procesos, riesgos y control; Identificar y definir riesgos as como el mantenimiento de los controles; Detallar los programas de trabajo en procedimientos individuales y desarrollar los papeles de trabajo apropiados; Analizar los resultados y generar reportes digitales sofisticados en formatos Word o HTML.

5. AuditBuilder: permite crear, estructurar y modificar las auditoras. A fin de reflejar un cambio en las regulaciones o de poltica de empresa si lo desea, puede alterar las preguntas, decenas o del contenido de las secciones de una auditora en particular. Usted puede incluso desean eliminar preguntas o secciones que ya no son pertinentes.

INGENIERIA DE SISTEMAS X CICLO

Pgina 38 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

A menudo una organizacin contar con una biblioteca de preguntas que pueden ser utilizados para construir nuevas auditoras. AuditBuilder le permite hacer todo esto con un simple "arrastrar y soltar" interface. 6. Entegra de Lumigent: se utiliza para las actividades de auditora de la base de datos de la empresa. Es un software capaz de registrar toda la interaccin ejecutada por los diversos usuarios y aplicaciones de la organizacin contra el sistema manejador de bases de datos, ofreciendo la posibilidad de enviar notificaciones / alarmas va correo electrnico. 7. Log Explorer de Lumigent: Log Explorer se utiliza para el anlisis de transacciones, auditora y recuperacin de los datos. Es un software que identifica la fuente de cualquier cambio en los datos, los esquemas o permisos. Usa poderosos filtros para localizar y resolver rpidamente los errores de usuario y de aplicacin. Audita sin la necesidad de gastos en desencadenadores (triggers). 8. IDEA: es un Software lder en el mundo que permite tomar datos de cualquier aplicacin o base de datos y auditar, analizar o automatizar auditoras a partir de una serie de funciones automatizadas.Sumarizacin de transacciones, comparacin de saldos, comparacin de clientes, antiguedad de deuda, anlisis multidimensionales de informacin, busqueda de faltantes y duplicados, analisis de variaciones de precios, tasas, analisis de cierres de caja, bsqueda de operaciones en dias invlidos y miles de funciones ms. El Auditor podr aplicar cualquier anlisisi sobre sus propios datos sobre cientos o millones de transacciones con una performance inigualable. 9. Zifra: desarrollado por y para auditores, est pensado desde su inicio para cumplir con los ms altos requisitos de seguridad y confidencialidad. Las caractersticas fundamentales que hacen del software para auditores Zifra una herramienta perfecta para cumplir con: Base de datos cerrada: Nuestra base de datos, con todos los documentos de trabajo del auditor y la informacin de clientes y trabajos de auditora, queda inaccesible desde el exterior si el usuario no cuenta con el usuario y contrasea correspondientes.

INGENIERIA DE SISTEMAS X CICLO

Pgina 39 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Control por usuario: Cada usuario del software de auditora Zifra dispone de su propio acceso al sistema, lo que proporciona la seguridad necesaria para evitar accesos indeseados. Cuando un usuario accede, nicamente puede ver aquellos mens de la aplicacin y contenidos para los que ha sido especficamente autorizado, y slo accede a los documentos de las auditoras de las que forma parte del equipo de trabajo.

Compatibilidad Office: La compatibilidad con los productos habituales de Microsoft Office, Excel y Word, en versiones hasta la 2010, permite a los usuarios trabajar dentro del software Zifra con sus herramientas habituales de trabajo, pero con la seguridad y confidencialidad que otorgan los dos puntos anteriores: la base de datos cerrada e inaccesible desde el exterior, y el control de acceso por usuario, contrasea y proyecto a los papeles electrnicos de trabajo.

10. CobiTAdvisor: Es un programa que automatiza el marco de referencia CobiT. Permite la definicin del personal de trabajo en una auditoria, as como elegir el Dominio en el cual se trabajar es decir Planificacin y Organizacin, Adquisicin y Mantenimiento, Desarrollo y Soporte y Monitoreo, as como los subdominios o procesos por cada dominio. Tambin se pueden definir los criterios y recursos de informacin que se evaluarn. Por cada proceso evaluado se tienen los objetivos de control y las guias de auditora, as como su respectiva evaluacin. Tiene la opcin para adjuntar archivos como papeles de trabajo, muestra las evaluaciones en formato grfico y permite generar reportes exportables a Word. 11. PlanningAdvisor: procesodeplaneacindelaauditoria.Utilizandoeste clasificarlasareasdemayorexposicinmediantecriteriosde riesgos.Estaherramientasepuedeutilizarencombinacinconel herramienta de ejecucin de la planeacin. El Pro Esteprogramaayudaaautomatizarel programasepuedeidentificary evaluacinbasadosen audit. Advisorcomo de toda la

progreso

planificacindeauditoriapuedesermonitorizadaenformacentralizadaporPlanningAdvisor. 12. ERALite (EnterpriseRiskAssessor):

Esunaherramientaparalagestinycontroldelriesgo,proporciona:

INGENIERIA DE SISTEMAS X CICLO

Pgina 40 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Unsistemaconsistentede gestinderiesgos;Identificacinespecficaderiesgosparalaestrategiay contexto

organizacional;Gestinparalosplanesdeaccin, y monitoreomedianteunabasededatos; Evaluacinderiesgos,controlesy individualesdelosnegocios. 13. RAP (RiskAssesmentProgram):esunprogramadeanlisisderiesgosycontramedidasbasndos eenlatcnicadeTablas sedeterminalaprobabilidad,impactoyenfuncinaestosdos NiveldeRiesgoAsociado. enlaqueseidentificanriesgosy ltimossecalculael amenazassemi-cuantitativas,atravsdeanlisisde losrequerimientos

consecuencias;Grficosdeanlisis;Reportesdealtacalidadalineadosa

Lascontramedidasseasignandeacuerdoal

mayorNiveldeRiesgoquepresentenlosActivosdeInformacindelaorganizacin. 14. AudiControl:Sonmetodologasasistidasporcomputadorparaevaluarriesgosy establecer

controlesen sistemasdeinformacinautomatizadosy tecnologarelacionada.Constadedos mdulos: APL: diseodecontrolesparasistemasdeinformacincomputarizados. FTI:diseodecontrolesparalafuncindetecnologadeinformacin.

15. SQL

Secure:es

un

conjunto

de

cuatro

herramientasdesoftwarequeadministrantodoslosaspectosdeseguridadyauditoradela basededatosen ambientescliente/servidor.Estcompuestodecuatromdulos: PasswordManager:permitedefinirlosestndaresparalaasignacindepasswords. AuditManager: paralaadministracincompletadepistasyrastrosdeauditoraaudittrail). PolicyManager: permite evaluar frecuentemente las reglas predefinidas para identificar debilidadesdecontrol,y DatabaseSecurityManager:permitelaadministracindelaseguridaddelabasededatos.

16. GestorF1Audisisconcentrafuncionalidadestantodegestindeauditoracomodeanlisis automatizadodedatos,engeneralsepuederealizarlosiguiente: AnlisisdeBasedeDatos Controldeasignaciones GestindeRiesgos

INGENIERIA DE SISTEMAS X CICLO

Pgina 41 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

ConexionesODBC Mdulodeseguridaddeaccesosy privilegiosparausuarios PistasdeAuditoria FuncionamientodelaherramientatantoenIntranetcomoInternet

17. Auditor 2000es una solucin de metodologas asistidas por computador para auditar sistemasdeinformacinautomatizadosytecnologarelacionada.Constadetresmdulos: Audap:auditoraasistemasdeinformacincomputarizados Audides:auditoraaldesarrollodesistemas Audifti:auditoraalafuncindetecnologadeinformacin

Son metodologas maduras y robustas que se apoyan con una herramienta de software amigable ybasesdedatosconconocimientos sobreriesgos, causasdelriesgo,controles,

objetivosdecontrolytcnicasdeauditorarecomendadasporlosestndaresCobity Cosoy las mejores prcticas universalmente aceptadas paraelejercicio profesional delaauditora de sistemas.Auditor2000identificayevala riesgoscrticos.Seidentificany servicios quesesoportan que evalanlosriesgoscrticosinherentesalosnegociosy entecnologa deinformacin.

Evalaycalificaelniveldeproteccin

ofrecenloscontrolesestablecidosenlosprocesosmanualesy automatizados,relacinconlas causasdelosriesgoscrticosasociadosconel reaobjetodelaauditora.

18. AuditSystem2:

estaherramientaesfundamentalenla se

realizacindeauditoradeempresasdondeelcontrolyelregistrodelastransacciones efectaatravsdeunprocesamiento electrnico

dedatos.Desdeelpuntodevistadela

eficienciadela auditora,el AuditSystem 2 esesencialparaaquellasorganizacionesque procesanungranconjuntodetransaccionessimilares. 19. TeamMate:esunfacilitadordeldesarrollosecuencialde laauditora.Esteasuvezfacilitalalabordedocumentacindetodaslastareasefectuadasen elprocesodeauditora. Portanto,TeamMateesunsistemadearchivoelectrnico,una la

herramientafundamentalparadocumentarauditorasdediferentesalcances,ayudandoa aplicacindeestndarestantoenladocumentacincomoenlarevisin.

INGENIERIA DE SISTEMAS X CICLO

Pgina 42 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

El Contrato de Auditoria
INTRODUCCIN

Es importante antes de entrar de lleno hablar lo que es el contrato de auditora explicar algunos conceptos que son claves para poder entender mejor el concepto de Auditoria Informtica. Despus de haber visto en forma detallada la actuacin de la auditoria informtica, entraremos a plantear un poco sobre la naturaleza jurdica del contrato de auditora y terminaremos estudiando el marco legal en que se desarrolla esta actividad ya que es el objetivo principal de este trabajo. Acuerdo de voluntades hay que delinear en todo caso tres elementos esenciales: consentimiento, objeto y causa establecida en el artculo 126 del cdigo civil, este estudio seguir esta estructura determinada legalmente. Luego se presentara el perfil del auditor informtico, a su responsabilidad y a su pertenencia o no a la organizacin auditada. Y tambin veremos las diferentes reas que estn sujetas a la revisin y juicio de la auditoria y finalizando se estudiara las causas de la contratacin de la auditoria y porque es obligatorio realizarla. ISACA (Organizacin lder en Auditoria de Sistemas y Seguridad de los Activos de Informacin) define a la auditoria de los sistemas de informacin como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos o alguna seccin/ rea de los sistemas automatizados de procesamiento de informacin, incluyendo procedimientos relacionados no automticos, y las interrelaciones entre ellos. Sus objetivos deben ser brindar a la Direccin una seguridad razonable de que los controles se cumplen, fundamentar los riesgos resultantes donde existan debilidades significativas. Ya que no se tiene una definicin legal de la auditoria Informtica, se recurre a la auditora de cuentas y se mostrara una semejanza entre sus elementos. La auditora de cuentas es en Espaa, como en otros pases, es obligatoria para determinados niveles de empresa, legalmente regulados desde hace poco ms de una dcada. Pero la auditora de cuentas ya viene de muy atrs.

INGENIERIA DE SISTEMAS X CICLO

Pgina 43 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Si bien sus orgenes y mayor desarrollo suelen asociarse ms al mundo anglosajn, la Europa latina tiene ya una larga trayectoria en esta materia La Ley 19/1988, de 22 de julio la define como "la actividad consistente en la revisin y verificacin de documentos contables, siempre que aquella tenga por objeto la emisin de un informe que pueda tener efectos frente a terceros". Segn esto podemos definir las siguientes caractersticas de la auditoria: Ser un trabajo de revisin, anlisis, verificacin y examen de documentacin de naturaleza contable. Emisin de un Informe con efectos frente a terceros Esto convierte a un auditor en una especie de "fedatario pblico" de que las Cuentas Anuales estn "bien". Y esto qu significa? Pues que cuando el auditor emite un informe denominado "limpio" est indicando que "en su opinin profesional" dichas cuentas "presentan razonablemente la imagen fiel..." El auditor, por tanto, no "certifica" nada.

En el siguiente cuadro se expone la comparacin entre Auditoria Informtica: Auditora de Cuentas Auditor Funcin

Auditora de Cuentas y la

Auditoria Informtica

Cualificada = Auditor de No existe titulacin oficial ni Cuentas Independiente registro independiente Analizar: Analizar: Informacin econmico Informacin entornos financiera deducida de informticos deducida revisin documentos contables y control de los mismos Emitir informe manifestando su opinin responsable sobre la fiabilidad de la informacin para que se conozca y valore por terceros. Emitir informe manifestando su opinin responsable sobre la fiabilidad de la informacin para que se conozca y valore por terceros

Informe

Reglamentacin

Sujeto a requisitos Sujeto a requisitos formalidades de la ley formalidades normas de la reglamento NTA profesin cdigos de conducta de la profesin.

En donde existen las principales divergencias entre las dos definiciones es, de un lado, en la inexistencia de una titulacin oficial de la profesin de Auditoria Informtica y, de otro lado, en la inexistencia de la reglamentacin especfica de esta actividad.
INGENIERIA DE SISTEMAS X CICLO

Pgina 44 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Una forma prctica de establecer una clasificacin de los sistemas expertos en auditora es utilizando las fases del proceso de auditora y se descompone el proceso de decisin en auditora en las siguientes fases: a) Orientacin - El auditor obtiene conocimientos sobre las operaciones del cliente y su entorno y hace una valoracin preliminar del riesgo y de la materialidad. b) Evaluacin preliminar de los controles internos. c) Planificacin tctica de la auditora. d) Eleccin de un plan para la auditora. e) Pruebas de cumplimiento de los controles. f) Evaluacin de los controles internos, basada en los resultados de las pruebas de cumplimiento. g) Revisin del plan de auditora preliminar. h) Eleccin de un plan revisado para la auditora. i) j) Realizacin de pruebas sustantivas. Evaluacin y agregacin de los resultados.

k) Evaluacin de la evidencia - Podra dar lugar a unas pruebas ms exhaustivas o formar la base de la eleccin de la opinin por el auditor. l) Eleccin de una opinin que clasifique los estados financieros del cliente.

m) Informe de auditora.

Para terminar se har una breve mencin de las controversia

que existe entre

auditora interna y externa, con relacin a la problemtica de la independencia, el mejor conocimiento de la organizacin en su conjunto y el necesario y constante mantenimiento y supervisin en razn del peculiar objeto de la auditoria informtica.

1. UNA

BREVE

REFERENCIA

LA

NATURALEZA

JURDICA

DEL

CONTRATO DE AUDITORIA Conviene empezar por asentar la casi total aceptacin por parte de la doctrina del carcter contractual del vnculo que se establece entre la sociedad y el auditor, frente a las escasas discrepancias que abogan por una tesis organicista. La calificacin de contractual se apoya fundamentalmente en tres razones.

INGENIERIA DE SISTEMAS X CICLO

Pgina 45 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

En primer lugar los establecido expresamente por el artculo 14.2 de la ley de auditora de cuentas que se refiere al contrato de auditora. En segundo lugar, la ley de Sociedades Annimas que deliberadamente excluye esta materia del captulo de rganos sociales. Y Finalmente, porque su clasificacin como rganos seria insertar al auditor dentro de la estructura de la sociedad y considerarlo como parte integrante de la persona jurdica, lo que resulta contrario al espritu de la ley que lo configura como una instancia externa e independiente de control. Adems de la dificultad aadida que supone la inexistencia legal de la figura de la auditoria informtica, tampoco en la tradicional comparacin analgica con la auditora de cuentas existe unanimidad doctrinal en lo que a su naturaleza jurdica se refiere. Sin pretender realizar una investigacin exhaustiva de los posibles encuadres conceptuales de la figura, mencionaremos nicamente la divergencia doctrinal existente en cuanto a su concepcin como un arrendamiento de servicios, aludiendo a ineludible necesidad de la materializacin de contrato en el informe de auditora que constituye el resultado que caracteriza al contrato como un arrendamiento de estas caractersticas. Nuestra opinin se decanta por la figura de un contrato de arrendamiento de servicios, servicios que se desarrollan a lo largo de un periodo temporal determinado, y que, si bien se concretan en la emisin de un informe de auditora, la libertad del auditor y la falta de capacidad de decisin del auditado sobre los contenidos de dicho informe le privan de la caracterizacin del resultado esperado a dicho contrato y le confieren una naturaleza de prestacin de servicios cuyo resultado no puede, por lo menos en gran medida, prever, o mejor dicho, cuyo resultado, en cuanto a inclusin de contenidos, no se puede pactar. Estas caractersticas se pueden contrastar en varios lugares. De un lado, si el resultado del contrato estuviera perfectamente delimitado, no habra lugar a la aparicin del tan nombrado gap de expectativas o diferencias de expectativas entre lo que los usuarios esperan obtener del informe de auditora y lo que se obtiene realmente. De otro lado, no existiran tan diversas clases de informes de opinin, parte integrante de todo informe de auditora que resume y concluye el juicio del auditor sobre las situaciones analizadas y los riesgos evaluados.

INGENIERIA DE SISTEMAS X CICLO

Pgina 46 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

La jurisprudencia, entendida en sentido amplio como todo pronunciamiento de tribunal en el ejercicio de sus competencias y no como la derivada de Tribunal Supremo que adems cumple los requisitos de repeticin e identidad, por su parte, ha definido lo siguiente: la auditora de cuentas es por lo tanto un servicio que se presta a la empresa revisada. 2. PARTES EN UN CONTRATO DE AUDITORIA. El Perfil del Auditor Informtico

2.1.

La entidad auditada La empresa o entidad que solicita una Auditoria Informtica, veremos constataba informacin. Por lo tanto, la empresa que necesitaba de este tipo de servicios en realidad lo que estaba demandando era una solucin a sus problemas en trminos de eficiencia de sus sistemas, ms que una verificacin o una revisin del cumplimiento de los controles establecidos. Es decir, se pretenda un asesoramiento especializado en la gestin de dichos sistemas, funcin ms cercana, como vemos, a la consultora. Sin embargo, cada vez ms las empresas son conscientes de la relevancia del sometimiento del elemento si no imprescindible si completamente esencial, constituido por los sistemas de tratamiento de la informacin, a una serie de licencias sobre el software que utiliza para el desarrollo de su actividad o el de la proteccin de datos de carcter personal por su preponderancia en virtud de su obligatoriedad legal. Hoy es indispensable disponer en todo momento y de una forma rpida de informacin suficiente, actualizada y oportuna. Y esto slo se puede garantizar manteniendo los sistemas de tratamiento de dicha informacin en perfecto estado que slo se certifica mediante la correspondiente realizacin de la pertinente auditoria de dichos sistemas de informacin. hasta la actual lo de normativa haca que

ms una

adelante, serie

porque y/o

debilidades

amenazas provenientes de sus sistemas de

INGENIERIA DE SISTEMAS X CICLO

Pgina 47 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Por ltimo, es necesario hacer una referencia a la auditoria informtica en el seno de las Administraciones Pblicas puesto que stas tambin hacen uso de sistemas de informacin para el desarrollo de su actividad y, al mismo tiempo, estn tambin sometidas a la ley que se aplica a las empresas. En el caso de las Administraciones Pblicas la realizacin de auditoras

informticas encuentra su justificacin tanto en la normativa aplicable como en diversos documentos como por ejemplo los Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el ejercicio de potestades. 2.2. El auditor informtico Las Tecnologas de la Informacin y las Comunicaciones (TIC) estn creando nuevos canales y herramientas para la gestin de negocios. El auditor tradicional, esto es, el auditor de cuentas, no se encuentra capacitado en

trminos de formacin para afrontar los nuevos riesgos derivados de la utilizacin de las tecnologas. De ah que se haga imprescindible la existencia de la Auditoria de Sistemas de Informacin.Entre independencia. Podemos definir la independencia del auditor como la ausencia de inters o influencias que permite al auditor actuar con libertad respecto a su juicio profesional, para lo cual debe estar libre de cualquier predisposicin que impida su imparcialidad en la consideracin objetiva de los hechos. Los problemas pueden clasificarse en tres grupos principalmente: la compatibilidad de la prctica de la auditoria con las asesoras legales, el interlocutor del auditor dentro de la empresa auditada y la rotacin del auditor. las caractersticas del auditor, y como ya hemos sealado en la comparativa expuesta al inicio del trabajo, destaca la

INGENIERIA DE SISTEMAS X CICLO

Pgina 48 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

En cuanto a la sujecin legal del auditor todos los profesionales que desarrollan su labor en el campo de la auditora de cuentas estn sometidos a una serie de normas que tipifican su capacidad profesional, la conducta para llevar a cabo su cometido y la forma de emitir el informe. Los auditores informticos no son una excepcin, aunque adems deben cumplir una serie de requisitos y directrices que les son inherentes. Las diferencias no solo afectan a las normas, puesto que su cometido tambin difiere y consiste en la revisin de la funcin informtica o parte de ella, sus areas de revisin son as mismo originales (organizacional del departamento de SI, de seguridad de accesos lgicos, fsicos y controles medioambientales, de actuacin frente a desastres con los planes de recuperacin, del software de sistema en cuanto a las polticas sobre su desarrollo, adquisicin y mantenimiento, de software de aplicaciones y de control de aplicaciones, as como las especficas de telecomunicaciones y de control de usuarios) y, finalmente, tambin pueden ser diferentes sus tcnicas utilizadas. En este punto tambin es ms que resaltable la existencia de unos condicionantes ticos imperantes en el ejercicio de esta profesin que por su especial autonoma precisan una especial atencin. Pues si es verdad que existen todos estos referentes que delimitan profesionalmente la definicin de la auditoria de sistemas de informacin, no es menos cierto que el asentamiento de la profesin requiere tambin de la creacin y seguimiento de cdigos deontolgicos que apoyen los mnimos necesarios constituidos por los estndares normativos. Con relacin a las funciones del auditor informtico, su actividad puede abarcar desde aspectos funcionales, como la educacin de los sistemas de informacin a las necesidades reales, hasta la revisin de los tiempos de respuesta, pasando por la fiabilidad de los sistemas. Por supuesto, los aspectos tcnicos son los que ofrecen un mayor campo de actuacin: desde el comienzo con el ordenador y sus perifricos, los convenios utilizados para la codificacin de datos, los procedimientos de captura de estos, la explotacin, la programacin, las comunicaciones, o, como no, toda la gran rea de seguridad, fsica y lgica, y de la calidad.

INGENIERIA DE SISTEMAS X CICLO

Pgina 49 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

El auditor, en el desarrollo de su trabajo, ha de obtener evidencias de los hechos, criterios y elementos que est evaluando, con la finalidad de formarse una opinin. Dicha evidencia deber ser suficiente y adecuada. Suficiente en cuanto a la cantidad de evidencia a obtener y adecuada con relacin a la calidad de la misma, es decir, a su carcter concluyente. Pero para obtener la evidencia adecuada el auditor deber guiarse por los criterios de importancia relativa, de otro lado, es un trmino de los encuadrables en la denominacin jurdica de concepto jurdico indeterminado, pues la mayora de los pronunciamientos profesionales dejan en manos del buen juicio y experiencia del auditor, aunque existen una serie de consideraciones generales que sirve de gua para fijarla, dependiendo su aplicacin al caso concreto del contexto. El auditor de Sistemas de Informacin debe tener la capacidad y los

conocimientos tcnicos para revisar y evaluar el control interno del entorno en que se desarrollan y procesan los sistemas de informacin, capacidad para revisar riesgos y controles, evaluar y recomendar los controles necesarios de los sistemas de informacin, y capacidad para disear procedimientos y tcnicas de auditora especficas para este tipo de actividad. El auditor de sistemas de informacin empieza a ser un generalista, porque tiene que ser consciente de que los sistemas de informacin son un punto clave en una organizacin. Otra cuestin tratada en la doctrina es la del desistimiento del auditor. Entre las causas que pueden considerarse suficientes destacan la imposibilidad fsica del cumplimiento del contrato, la necesidad de atender a otros deberes, las causas de incompatibilidad, la perturbacin de las relaciones de confianza entre el auditor y los administradores de la sociedad. En cada uno de los casos habr que dilucidar su procedencia o improcedencia a afectos de delimitar, entre otras cosas, las consecuencias jurdicas de dicha terminacin unilateral del contrato. Para terminar, queremos hacer referencia a una figura que est ganando una gran aceptacin en la doctrina, en las organizaciones especializadas y, en definitiva, a la mejora de la gestin corporativa y garantizar la asuncin de responsabilidades oportunas sobre el control interno.

INGENIERIA DE SISTEMAS X CICLO

Pgina 50 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

2.3.

Terceras personas La informacin financiera ha ampliado su campo de comunicacin en el sentido de que ya no interesa solo a los accionistas o propietarios de la empresa, sino tambin, en la medida en que ha atendido a las implicaciones de la responsabilidad social, ha ampliado la audiencia a la que va dirigida dicha informacin. As pues, el actual concepto de usuario ya no se refiere solo a propietario, sino que se extiende a todos los interesados en la actividad empresarial entre los que se encuentra la colectividad en general. As seala en la Sentencia del Tribunal Superior de Justicia de Madrid n 415 de 4 de mayo de 1994 ya citada: la auditora de cuentas es un servicio que se presta a la empresa revisada y que afecta e interesa no solo a la propia empresa, sino tambin a terceros que mantengan relaciones con la misma, habida cuenta que todos aquellos, empresa y terceros, pueden conocer la calidad de la informacin econmico contable sobre la cual versa la opinin emitida por el auditor de cuentas. En las declaratorias A Statement of Basic AccountingTheory en 1996 de la American AccountingAssociation, en que por primera vez se hace una referencia expresa a la funcin social de la contabilidad, se establecen los objetivos de la informacin contable, uno de los cuales es facilitar las funciones y controles sociales, y as comienza la contabilidad a ser considerada como un medio a travs del cual la sociedad puede ejercer su funcin social el carcter de bien pblico de la informacin contable emitida por un auditor independiente, entonces aparece la asuncin de una responsabilidad social por parte del auditor como garante de la fiabilidad de dicha informacin. La diferencia de expectativas alude al desacuerdo entre lo que esperan los usuarios de la auditoria y lo que ofrecen los auditores, teniendo en cuenta, adems, que el tipo de auditora que necesita la sociedad depende, en cada momento, del tiempo y del entorno concreto. En la literatura anglosajona se ha denominado diferencias en las expectativas de la auditoria (auditexpectation gap), o lo que es lo mismo, las diferencias existentes entre lo que los usuarios esperan de la auditoria y lo que lo auditores consideran que es su trabajo.

INGENIERIA DE SISTEMAS X CICLO

Pgina 51 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Aunque el fenmeno del gap de expectativas tiene un alcance mundial, es en Europa donde ha alcanzado su mayor virulencia. Como prueba de la inquietud despertada, la Comisin de las Comunidades Europeas promovi un estudio sobre la funcin, posicin y responsabilidad civil del auditor legal, que fue llevado a cabo por el MaastrichAccounting and AuditingResearch Center (MARC), para como era tratada la auditoria legal en la legislacin de los estados miembros, publicado en 1996. La federacin de Expertos Contables Europeos por su parte pblico en enero de 1996 un resumen de recomendaciones desarrolladas por ella como resultado de la investigacin llevada a cabo acerca tambin de la funcin, posicin y responsabilidad civil del auditor legal en la Unin Europea. Posteriormente, en octubre de 1996, la Comisin de las Comunidades Europeas pblico su libro verde sobre los mismos aspectos que los tratados en el informe MARC y en el estudio de la FEE y organizo una conferencia en Bruselas en diciembre de 1996 para debatir sobre los mismos. Para terminar este apartado, quisiramos sealar que esta no es una tendencia exclusiva de esta actividad. En la literatura empresarial ms reciente se ha acuado el trmino de stakelholder, o interesados, ms concretamente apostantes. Se apunta con esta denominacin, que recuerda sin duda a los tradicionales primeros interesados o accionistas (shareholders o stockholders), que existe un modelo de base ampliada en el que es

necesario que toda organizacin vea los nuevos miembros, que en la literatura gerencial norteamericana se asimila a todos los ciudadanos porque se considera que el negocio de su pas es la empresa. Al menos es posible identificar cinco grupos de interesados o depositarlos de dichas apuestas : los accionistas, los empleados, los clientes, las comunidades locales y la sociedad en general. Podramos incluso detallar an ms e incluir a los mediadores y distribuidores, a los proveedores, a los competidores, a las instituciones financieras o los medios de comunicacin.

INGENIERIA DE SISTEMAS X CICLO

Pgina 52 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

3. OBJETIVO DEL CONTRATO DE AUDITORIA INFORMTICA Entendemos por objeto del contrato de auditora, tras la explicacin previa sobre la naturaleza jurdica del mismo, la definicin y clasificacin que hemos presentado como tales en la introduccin del captulo, y no la pura y simple emisin del informe de auditora que constituye en esencia la fase final de dicho contrato y no el resultado del encargo que lo caracterizara, de ser as como dijimos, como contrato de arrendamiento de obra. A pesar de su inexistencia en la regulacin nacional actual, sobre todo en comparacin a la existente en la auditora de cuentas, el objeto de un contrato de auditora informtica est ampliamente diversificado y se encuentra en un periodo de auge inusitado que requiere de esfuerzos dogmticos importantes para su estructuracin. Esta inexistencia legal, pues las referencias normativas que se quieren encontrar, si bien conceptualmente encuentran su calificativo idneo en el trmino informtico, especifica en todo momento la realizacin de una auditoria, a secas sin calificativos, choca de una manera frontal con la espectacular amplitud de reas de conocimiento y de gestin empresarial que cada vez ms se ve abocada a controlar y con la acuciante demanda de profesionales en el mercado. Todo esto, obviamente, pasando por alto las voces discrepantes de algunos profesionales de la auditora de cuentas que reclaman la denominacin de auditora en exclusiva relegando a las dems especialidades a adoptar la expresin de revisin o similares. Aunque nos encontramos en un rea que por sus propias caractersticas impide el listado de un numerus clausus de actividades susceptibles de ser sometidas a este tipo de auditora, que, consecuentemente, en nuestra opinin, dan lugar a otros tantos subtipos de contratos especficos de auditora de entornos informticos, pasaremos a realizar una enumeracin de las principales reas en las que se desarrolla la inexistente auditoria informtica actualmente. En concreto, podemos distinguir los siguientes mbitos principalmente en la realizacin de una auditoria informtica de las que hemos catalogado como perteneciente a la auditoria jurdica de los entornos informticos:

INGENIERIA DE SISTEMAS X CICLO

Pgina 53 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Proteccin de datos de carcter personal Proteccin jurdica del software Proteccin jurdica de las bases de datos Contratacin electrnica Contratacin informtica Transferencia electrnica de fondos Outsourcing Delitos informticos

Todas estas reas deben ser objeto de un anlisis de la entrada, tratamiento y salida de la informacin en los sistemas de informacin de la empresa desde un punto de vista jurdico. Pasaremos a realizar unas breves observaciones al respecto remitindonos al captulo en concreto de este libro en donde ya se tratan extensa y precisamente cada una de ellas. 3.1. PROTECCIN DE DATOS DE CARCTER PERSONAL Es quiz este el aspecto que ms importancia tiene en relacin con la materia tratada, la Auditoria informtica, pues ha tenido que esperarse hasta la plasmacin por escrito y todo el posterior desarrollo legal del derecho fundamental prescrito, entre otros, por el artculo 18.4 de nuestra Constitucin para contar con una referencia legal, como hemos dicho cuasi-explicita, de la existencia de la auditoria de los sistemas de informacin. Pues bien, dicho desarrollo reglamentario se plasm en la prctica en el Real Decreto 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de Medidas de Seguridad para los ficheros que contuvieran datos de carcter personal. La LOPD mantiene vigente este Reglamento, tal y como prescribe en su Disposicin Transitoria Tercera. No obstante, debemos resear que al cierre de esta edicin se ha presentado ya un Proyecto de Real Decreto por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, que derogara al vigente Reglamento de medidas de seguridad.

INGENIERIA DE SISTEMAS X CICLO

Pgina 54 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

El Reglamento, aplicable por lo tanto, clasifica en tres los niveles de seguridad (bsico, medio y alto) a los que hay que someter a los ficheros dependiendo del grado de sensibilidad de los datos de carcter personal almacenados. Como novedad, el Proyecto de Reglamento de desarrollo de la LOPS prev que los sistemas de informacin en los que se realicen modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad tendrn que someterse a dicha auditoria, inicindose el cmputo del plazo de dos aos en dicho momento. En concreto, se exige una auditoria al menos bienal para todos los niveles excepto para el bsico. Entre todas las medidas cuyo cumplimiento se exige que se controle, destaca el procedimiento de respuesta y registro de las incidencias, el control de accesos, la constitucin de un responsable de seguridad, etc. De esta auditora, que puede ser tanto interna como externa, se obtendr necesariamente un informe del cual el responsable de seguridad elevara las conclusiones al responsable del fichero, encontrndose a disposicin de la Agencia Espaola de Proteccin de Datos (AEPD) en todo caso. El hecho de que el informe de auditora quede a disposicin de la AEPD no significa, en modo alguno, una aprobacin por parte de esta. Al respecto, la Agencia ha indicado en un informe jurdico de 1999 lo siguiente: () una vez elaborado el informe de auditora, debern comunicarse sus resultados, adoptndose las medidas pertinentes, sin que ello exija una aprobacin formal y externa de su contenido, que no habr de ser remitido a la Agencia Espaola de Proteccin de Datos, sino puesto a su disposicin Un aspecto importante en relacin con las conclusiones que se contienen en el informe de auditora es a quien corresponde la responsabilidad por la implantacin o no, de las medidas de seguridad indicadas en dicho informe. En este sentido, el informe jurdico de la Agencia indica que:() ser el responsable del tratamiento, siguiendo las recomendaciones del responsable de seguridad quien habr de implantar las medidas precisas, derivadas del informe, de forma que, en caso de no implantarse y no cumplirse los requisitos de seguridad establecidos en el Reglamento, incurrir en responsabilidad, constituida de infraccin grave segn el artculo 44.3 h) de la LOPD

INGENIERIA DE SISTEMAS X CICLO

Pgina 55 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

3.2. LA PROTECCIN JURDICA DEL SOFTWARE La calificacin jurdica del software ha sido objeto de discusin doctrinal, porque integra distintos elemento que puedan encuadrarse bajo diferentes rdenes de proteccin jurdica, unos amparables bajo la legislacin de la propiedad industrial y otros bajo la de la propiedad intelectual. La inclusin bajo esta ltima, y en concreto bajo la figura de los derechos de autor, hace asimilemos los programas de ordenador a las obras literarias, cientficas o artsticas. Como bienes objeto de esta proteccin, la auditoria a la que se tienen que someter debe verificar el cumplimiento de la misma, y, por lo tanto, investigar la legalidad del software utilizado en dichos sistemas, evaluando el riesgo que se corre por permitir la ilegalidad, el pirateo, y cuantificando, monetariamente hablando, el diferencial existente entre dicho riesgo y el coste de implantacin y control de todos y cada uno de los programas utilizados en la entidad. Los auditores informticos tienen que eliminar los riesgos en esta rea proporcionando de este modo un valor aadido a una buena gestin informtica, siguiendo los criterios expuestos, entre otros, por la ISACA en su concepto de ValueforAuditing Money para una mejor gestin y control de las licencias de software. En particular, se pueden concretar los riesgos que conlleva la realizacin de copias de software original como las sanciones y multas, los problemas tcnicos, la inexistencia de asistencia tcnica, la obsolescencia tecnolgica, el impacto negativo en la calidad del software, el deterioro de la imagen empresarial y los ataques intencionales. Tambin, por ejemplo, la Business Software Alliance (BSA) ha elaborado una Gua para la gestin del software legal en la que incluye un modelo de inventario de software que permite llevar a cabo un adecuado seguimiento y control del software original, un cuestionario bsico para hacer un auto-auditoria y un modelo de informe de auditora. De esta manera se trata de concienciar a las empresas del riesgo legal que implica la utilizacin de software no legal y de proporcionales herramientas que les permitan minimizar dichos riesgos y facilitar la gestin de activo de software.

INGENIERIA DE SISTEMAS X CICLO

Pgina 56 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

3.3. LA PROTECCIN JURDICA DE LAS BASES DE DATOS Una base de datos es un depsito comn de documentacin, til para diferentes usuarios y distintas aplicaciones, que permite la recuperacin de la informacin adecuada, para la resolucin de un problema planteado en una consulta. Es decir, contiene datos, pero proporciona informacin. De nuevo nos encontramos con la figura jurdica de los derechos de autor como la adecuada para su posicionamiento, por la carga de creatividad que conlleva. Pero, adems, surge la denominacin proteccin mediante un derecho,sui generis de las bases de datos, pues se pretende garantizar la proteccin de la inversin en la obtencin, verificacin o presentacin del contenido de una base de datos determinada sometidos a unos criterios distintos de almacenamiento, indizacin, referencias y mtodos de recuperacin constituya una nueva base de datos que quede as mismo amparada bajo la figura de los derechos de autor.Se establecen as mismo como requisitos necesarias para que la base de datos sea susceptible de dichas protecciones la existencia de un autor o autores identificables y relacionados con la obra realizada y el trabajo original que ha dado lugar a dicha base de datos En el planteamiento de los bienes y derechos objeto de proteccin, habr que atender, de un lado, a los derechos de los titulares de los documentos almacenados, de otro lado, a los derechos de los productores de la base pues su creacin tiene tambin una carga de intelectualidad, y, por ltimo, al derecho del titular de la base a impedir la extraccin o reutilizacin total o parcial.Pues bien, la auditoria en este caso tendr del mismo modo que atender a los tres casos expuestos, analizando el cumplimiento para todos aquellos de los controles establecidos, evitando por lo tanto copias o extracciones o autorizadas, y verificando la gestin y actualizacin por las personas competentes y autorizadas para ello.El auditor debe en primer lugar analizar la metodologa de diseo para determinar su aceptabilidad y luego comprobar su correcta utilizacin, despus tendr que examinar si los diseos se han realizado correctamente, una vez puesto en explotacin deber comprobar los procedimientos de explotacin y mantenimiento y finalmente deber establecer un plan para despus de la implantacin.

INGENIERIA DE SISTEMAS X CICLO

Pgina 57 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

3.4. CONTRATACIN ELECTRNICA Entendemos por contratacin electrnica toda aquella que se realiza por algn medio electrnico. Con la generalizacin del uso de internet el auge de este tipo de contratacin empieza a ser constatable. Pero no solo esta red mundial acapara el perfeccionamiento de contratos electrnicos, aunque es cierto que ha sido su implantacin la que ha relegado al anterior sistema EDI (Electronic Data Interchange) utilizado principalmente para transacciones intraempresariales. Hoy en da en el comercio electrnico concretamente, y entendido en su ms amplio sentido como cualquier forma de transaccin o intercambio de informacin comercial basada en la transmisin de datos sobre redes de comunicacin como Internet, se habla de la segmentacin en la utilizacin de estos medios electrnicos en tres sentidos: en la direccin empresaconsumidor final (businesstoconsummer, B2C), en la direccin empresaempresa (businesstobusiness B2B), y finalmente, en la direccin empresaadministraciones pblicas (businesstoadministrations, B2A). Adems podramos separar al consumidor final o usuario como artfice activo de dicha contratacin y aadir la contratacin entre consumidores

(consummertoconsummer, C2C) y la gestin de las relaciones administrativas de los administradores electrnicamente.Podramos tambin diferenciar entre comercio electrnico directo como aquel que consiste en la obtencin del bien o servicio ntegramente por el medio electrnico, por ejemplo, la compra de un libro en formato electrnico, o el comercio electrnico indirecto en el que alguna de las actividades que perfeccionan la adquisicin del bien o servicio no se realiza por medios electrnicos, ya sea el transporte, el pago o cualquier otra.En la contratacin electrnica hay que atender a tres aspectos fundamentales: en primer lugar a la inmediatez de las relaciones, cuestin que se solventara en caso de relacin mercantil por el momento en que llega a conocimiento del oferente, en segundo lugar a la calidad del dialogo, y excluyendo el telfono o la videoconferencia habr que asemejar la aceptacin a la hecha por correspondencia escrita en soporte papel, y, en tercer lugar, desde el punto de vista de la seguridad.

INGENIERIA DE SISTEMAS X CICLO

Pgina 58 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

En lo que a seguridad se refiere, en las transmisiones electrnicas de datos se busca garantizar la autenticidad, la integridad y el no repudio (en origen y en destino) de las mismas. Actualmente existe un mecanismo que puede garantizar estos extremos: la firma electrnica. Espaa fue una vez ms

pionera es estos temas regulatorios de los aspectos jurdicos de la denominada Sociedad de la Informacin. En efecto, antes de que aprobara la Directiva europea sobre firma electrnica, se aprob el Real Decreto-Ley 14/1999, del 17 de septiembre, sobre firma electrnica y la orden de 21 de febrero de 2000 aprob en su Anexo el Reglamento de acreditacin de prestadores de servicios de certificacin y de certificacin de determinados productos de firma electrnica en nuestro pas, no obstante, fue derogada por la vigente Ley 59/2003, del 19 de diciembre, de firma electrnica (LFE). Aunque no es objeto de este trabajo su anlisis exhaustivo no queremos dejar de mencionar las caractersticas ms importantes de esta novedosa normativa. La LFE distingue entre tres clases de firma electrnica, la simple, la avanzada y la reconocida. La firma electrnica tiene que cumplir una serie de requisitos, entre otros el ser emitida por un prestador de servicios, que solo tendr que estar acreditado si se trata de emitir una firma electrnica reconocida, y su eficacia jurdica es idntica a la de la firma manuscrita (equivalencia funcional). El prestador de servicios en terminologa comunitaria ahora adoptada por la legislacin nacional que ha preferido no utilizar la calificacin de autoridad de certificacin y despojarle as de ninguna pretendida competencia pblica, se constituye en una tercera parte de confianza, crendose el fedatario electrnico, que puede identificar y autenticar las partes intervinientes, por medio de tcnicas de cifrado de claves con la arquitecturas de clave pblica o Public Key Infraestructure (PKI) que se basan en la utilizacin de algoritmos de clave asimtrica, garantizar la integridad de los mensajes transmitidos, y asegurar el no repudio de las comunicaciones, en origen que quien hizo la oferta lo niegue, y en destino, que quien la acepto lo haga.Adems se puede aadir la funcin de sellado temporal en la que se certifique fecha y hora del perfeccionamiento de dicho acuerdo.

INGENIERIA DE SISTEMAS X CICLO

Pgina 59 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Desde el punto de vista de los controles a los que se puede someter este tipo de contratacin se requiere un asesoramiento tcnico para que la redaccin jurdica se adecue a la ingente potencialidad de la herramienta utilizada que hace que la mera traslacin de las categoras conceptuales tradicionales al medio virtual no sea posible sin el previo sometimiento a unas especificaciones y aclaraciones de todo punto imprescindible en virtud del modo de perfeccionarse estos contratos contractuales, se hace necesario por las consecuencias jurdicas que se puede derivar de su inobservancia. Es decir, la aparicin de estas nuevas formas de contratacin traspasa fronteras de la mera forma para constituirse en elementos definitorios de cuestin tan relevantes en la prctica contractual como la delimitacin de cuestin exoneracin de responsabilidades, la prestacin de garanta o la divisin de obligaciones entre las partes que no pueden sin ms asemejarse a las categoras convencionales, entre otras cosa por la globalizacin y por tanto interseccin de legislaciones nacionales. Ni siquiera los trminos

tradicionalmente constituidos usos de los comercios, que segn nuestra legislacin mercantil tiene carcter de fuente de Derecho son absolutamente trasladables a este entorno, y ejemplo de ello es el intento de definicin de unos e-terms en una clara regulacin paralela a los utilizados y reconocidos incoterms en el trfico mercantil internacional. 3.5. LA CONTRATACIN INFORMTICA Definindola como la contratacin de bienes o servicios informticos. Bienes informticos son todos aquellos elementos que forman el sistema en cuanto al hardware, ya sea la unidad central del proceso o sus perifricos, as como todos los equipos que tienen una relacin directa de uso con respecto a ellos y que, en conjunto, conforman el soporte fsico del elemento informtico. As mismo, se consideran bienes informticos los bienes inmateriales que proporcionan las rdenes, datos, procedimientos e instrucciones en el tratamiento automtico de la informacin y que, en su conjunto, conforman el soporte lgico del elemento informtica. Los servicios informticos son todos aquellos servicios que sirven de apoyo y complemento a la actividad informtica en una relacin de afinidad directa con ella.

INGENIERIA DE SISTEMAS X CICLO

Pgina 60 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Podemos dividir en dos grandes grupos diferenciados: respecto al objeto, debido a las caractersticas especiales de los distintos objetos sobre los que pueden versar estos contratos y respecto al negocio jurdico, debido a que los contratos informticos ms comnmente realizados se han llevado a cabo bajo una figura jurdica determinada (compraventa, arrendamiento financiero, mantenimiento, prstamo) en la que han encontrado acomodo pero que en casi todos los casos ha sido necesario adecuar. La contratacin de bienes y la prestacin de servicios informticos no tienen una calificacin uniforme para situarla en un modelo o tipo de contrato. Los contratos informticos estn formados por elementos tan dispares que exigen la mezcla o unin de dos o ms tipos de contratos. As mismo, el desconocimiento por el usuario, en trminos generales, de las posibilidades y lmites de la autonoma de la voluntad de las partes. En muchas ocasiones son contratos de adhesin, en los que una de las partes fija las clusulas del contrato y la otra se adhiere a las mismas, sin tener posibilidad de modificar ninguna de ellas.La contratacin informtica resulta

extremadamente complicada en la redaccin de los contratos y en la fijacin de los derechos y obligaciones de las partes. A ello hay que aadir la inexistencia de una normativa adecuada a los mismos y la dificultad en la fijacin del objeto cuando son contratos complejos. Se debe redactar teniendo en cuenta un equilibrio de prestaciones y evitar en lo posible la inexistencia de clusulas oscuras. Y es aqu, de nuevo, donde la figura del auditor informtico cobra toda su importancia asesorando e implantando en dicho acuerdo los requisitos tcnicos y los trminos especficos que delimitan y concretan los aspectos imprescindibles cuyo cumplimiento sebe ser objeto de los controles a los que se somete este tipo de contratacin cuyas particularidades requieren un asesoramiento especializado y experto. 3.6. TRANSFERENCIA ELECTRNICA DE FONDOS Este es un tema comn a la contratacin electrnica, a la proteccin de datos de carcter personal y al pago electrnico. En concreto este ltimo adquiere una relevancia en la prctica inusitada y en constante crecimiento.

INGENIERIA DE SISTEMAS X CICLO

Pgina 61 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Esta relevancia y sus particularidades justifican su tratamiento independiente. Nos referimos en concreto a los medios de pago electrnico ya conocidos, esto es, las tarjetas de crdito y a dbito, o el caso particular de las asociadas a un determinado establecimiento mercantil para la realizacin de compras en el mismo, y solo mencionados aqu el naciente fenmeno de los micro pagos y del dinero electrnico propiamente dicho y de las consecuentes entidades emisoras del dinero electrnico. No obstante y dado que una vez ms tenemos que recordar el objeto de este captulo, no es este el lugar donde analizar las fases de la transferencia

electrnica de fondos, ni los derechos y obligaciones de las distintas partes implicadas, el emisor del instrumento de pago y el usuario, ni la nueva situacin de desequilibrio derivada de la utilizacin de nuevo de los contratos de adhesin, ni la confidencialidad ni seguridad de los datos de carcter personal involucrados, ni la delimitacin de las responsabilidades y riesgos existentes en el uso de este medio de pago.La tarea especfica de este mbito para el auditor, aparte de la posible y probable interseccin de alguno de los otros mbitos especficos, reside en la comprobacin de la interoperabilidad entre los sistemas de lectura de las tarjetas y las redes de comunicaciones. 3.7. EL OUTSOURCING El desarrollo de las Tecnologas de la Informacin y las Comunicaciones y sobre todo las estrategias empresariales que pueden plantearse en un determinado momento llevan a muchas empresas a recurrir al Outsourcing informtico. Se trata por tanto de externalizar, por razones tcnicas, econmicas o de otra naturaleza, la gestin de los sistemas de informacin total o parcialmente.El Outsourcing informtico puede ser definido como la cesin de la gestin de los sistemas de informacin de una entidad a un tercero que, especializado en esta rea, se integra en la toma de decisiones y desarrollo de las aplicaciones y actividades propias de la referida gestin, con la finalidad de la optimizacin de los resultados de la misma al tiempo que permite a la entidad el acceso a nuevas tecnologas y la utilizacin de recursos especializados de los que no dispone

INGENIERIA DE SISTEMAS X CICLO

Pgina 62 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

La externalizaran que se produce no supone, en modo alguno, que el empresario pierda el control sobre la gestin y administracin del sistema de informacin, sino simplemente que encarga a un tercero especializado en la materia que realice dicha gestin con el fin de ahorrar costes y centrarse en el desarrollo de su actividad. El Outsourcing se convierte en una forma de externalizar los costes de manteamiento y gestin del sistema de informacin lo cual va a suponer que la entidad pueda optimizar sus recursos. El hecho de que el Outsourcing de los sistemas de informacin sea un aspecto crtico para las empresas determina que sea un rea propicia para el desarrollo de la auditoria informtica. 4. CAUSA La causa que puede tener un contrato de Auditoria de Informacin, dentro de su licitud, tiene dos orgenes: 1. Partiendo de la Autonoma de la Voluntad, principio rector en materia de Derecho Contractual Prescrito en el Artculo 1255 del Actual Cdigo Civil, puede ser solicitada a simple voluntad de la Empresa Auditada. 2. Como cumplimiento de la exigencia legal prevista en la normativa de proteccin de datos de carcter personal y en concreto en el Artculo 17 del Reglamento de Medidas de Seguridad.

5. EL INFORME DE AUDITORIA Es el reporte que el auditor provee a las partes interesadas una vez finalizada la auditora. Establece el alcance, objetivos, perodo de cobertura, y la naturaleza y extensin del trabajo de auditora realizado. Identifica la organizacin, las partes interesadas y cualquier restriccin acerca de su distribucin. Incluye resultados, conclusiones, recomendaciones y cualquier reserva o calificacin que el auditor tenga respecto de la auditora. Es el medio formal para comunicar los objetivos de la auditora, las normas de auditora utilizadas, el alcance y resultados, conclusiones y recomendaciones de la auditora. El reporte debe ser objetivo, claro, conciso, constructivo y oportuno. Pgina 63 de 81

INGENIERIA DE SISTEMAS X CICLO

AUDITORIA DE SISTEMAS DE INFORMACIN

Existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido Es la base razonable de la opinin del Auditor Informtico Debe ser: Relevante, Fiable,Suficiente, Adecuada

El Informe de Auditora 1. Identificacin del Informe 2. Identificacin del cliente 3. Identificacin de la entidad auditada 4. Objetivos de la auditora informtica Declaracin de los objetivos para identificar propsito. Sialgn objetivo no fue satisfecho, ste hecho debe notificarse en el reporte. 5. Normativa aplicada y excepciones Identificacin de normas legales utilizadas, excepciones de uso y el posible impacto de los resultados de la auditora 6. Alcance de la Auditora Naturaleza y extensin del trabajo realizado Identificacin del rea de auditora y el perodo cubierto Sistemas de informacin, aplicaciones o ambiente revisado Limitaciones al alcance Restricciones del auditado 7. Conclusiones Es la evaluacin del rea auditada Debe contener uno de los siguientes tipos de opinin: favorable, con salvedades, desfavorable, denegada Se deben expresar recomendaciones para acciones correctivas. El informe debe identificar al auditado e indicar la fecha de emisin de ste. Especificar cules reportes son slo para informacin, cules destinados a un grupo como los auditores, panel de directores, gerencia y cules son destinados a personas fuera de la institucin (ejemplo, agencias de gobierno). El reporte debe tambin declarar cualquier restriccin que haya para su distribucin

INGENIERIA DE SISTEMAS X CICLO

Pgina 64 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

CONTRATO DE AUDITORA EN INFORMTICA


Contrato de presentacin de servicios profesionales en informtica que celebran por una parte _________________ ____representado por _______________________en su

carcter de ________________ y que en lo sucesivo se denomina al cliente, por otra parte __________ representada por _______________________ a quien se denominara el auditor, de conformidad con las declaraciones y clusulas siguientes: DECLARACIONES 1.-El cliente declara: a) Que es una __________________ b) Que est representado para este acto por ________________ y tiene como su domicilio ________________________________________________ c) Que requiere obtener servicios de auditoria en informtica, por lo que ha decidido contratar los servicios del auditor 2.-Declara el auditor: a) Que es una sociedad annima, constituida y existente de acuerdo con las leyes y que dentro de sus objetivos primordiales est el de prestar auditoria en informtica ___________________________________________________________________ b) Que est constituida legalmente segn escritura numero ________de fecha ________ ante el notario pblico n _______ del ______________ Lic. _____________________ c) Que seala como su domicilio ____________________________________________ 3.-Declaran ambas partes: a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el presente contrato que se contiene en las siguientes:

INGENIERIA DE SISTEMAS X CICLO

Pgina 65 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

CLAUSULAS
Primera. Objetivo El auditor se obliga a prestar al cliente los servicios de auditoria en informtica para llevarla a cabo la evaluacin de la direccin de informtica del cliente, que se detalla en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato. Segunda. Alcance del trabajo El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato son: a) evaluaciones de la direccin de informtica en lo que corresponde a: -su organizacin -estructura -Recursos humanos -Normas y polticas b) Evaluacin de los sistemas -evaluacin de los diferentes sistemas en operacin, (flujo de informacin, procedimientos, documentacin, redundancia, organizacin de archivos, estndares de programacin, controles, utilizacin de los sistemas). -opinin de los usuarios de los diferentes sistemas -evaluacin de avance de los sistemas en desarrollo y congruencia con el diseo general -evaluacin de prioridades y recursos asignados (humanos y equipo de cmputo). -seguridad fsica y lgica de los sistemas, su confidencialidad y respaldos. c) Evaluacin de equipos -Capacidades -Utilizacin -Nuevos proyectos -seguridad fsica y lgica -respaldos de equipo -seguros -contratos -proyecciones -capacitacin -planes de trabajo -controles -estndares

d) Elaboraciones de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos sealados en los incisos a, b y c de esta clusula.

INGENIERIA DE SISTEMAS X CICLO

Pgina 66 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Tercera. Programa de trabajo El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisin las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realizacin. Cuarta. Supervisin El cliente o quien designe tendr derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estimen convenientes. Quinta. Coordinacin de los trabajos El cliente designara por parte de la organizacin a un coordinador del proyecto quien ser el responsable de coordinar la recopilacin de la informacin que solicite el auditor y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. Sexta. Horario de trabajo El personal del auditor declara el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebracin de este contrato, de acuerdo al programa de trabajo convenido por ambas partes y gozaran de libertad fuera del tiempo destinado al cumplimiento de las actividades. Sptima. Personal asignado El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del despacho quienes, cuando consideren necesario incorporar personal tcnico capacitado de que dispone la firma, en el nmero que se requieran de acuerdo a los trabajos a realizar. Octava. Relacin laboral El personal del auditor no tendr ninguna relacin laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atencin a que el auditor en ningn momento se considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de la relaciones entre l y su personal, y exime al cliente de cualquier responsabilidad que a este respecto existir.

INGENIERIA DE SISTEMAS X CICLO

Pgina 67 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Novena. Plazo de trabajo El auditor se obliga a terminar los trabajos sealados en la clusula segunda de este contrato en ___ das hbiles despus de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminacin de los trabajos esta en relacin a la oportunidad en que el cliente entregue los documentos requeridos por el auditor y por el cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas repercutir en el plazo estipulado, el cual deber incrementarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno para el auditor. Dcima. Honorarios El cliente pagara al auditor por los trabajos objetos del presente contrato, honorarios por la cantidad de _________ ms el impuesto al valor agregado correspondiente. La forma de pago ser la siguiente: a) _____% a la firma del contrato b) _____% a los 3 das hbiles despus de iniciados los trabajos c) _____% a la terminacin de los trabajos y presentacin del informe final. Dcimaprimera. Alcance de los Honorarios El importe sealado en la clusula dcima compensar al auditor por sueldos, honorarios, organizacin y direccin tcnica propia de los servicios de auditara, prestaciones sociales y laborales de su personal. Dcimasegunda. Incremento de Honorarios En caso de que se tenga un retraso debido a la falta d entrega de informacin, demora o cancelacin de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementar en forma proporcional al retraso y se sealar el incremento como un acuerdo. Dcimotercera. Trabajos adicionales De ser necesaria alguna adicin a los alcances o productos del presente contrato, las partes celebraran por separado un convenio que formara parte integrante de este instrumento y en forma conjunta se acordara el nuevo costo.

INGENIERIA DE SISTEMAS X CICLO

Pgina 68 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Dcimomocuarta. Viaticos Y Pasajes El importe de los viticos y pasajes en que incurra el auditor en el traslado, hospedaje y alimentacin que requieren durante su permanencia en la ciudad de________________________________________________ ________________.Como consecuencia de los trabajos objeto de este contrato, ser por cuenta del cliente. Dcimoquinta.Gastos Generales Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato corrern por cuenta del cliente. Dcimosexta. Causas de Rescisin Sern causas de rescisin del presente contrato la violacin o incumplimiento de cualquiera de las clusulas de este contrato. Dcimosptima. Jurisdiccin Todo lo no previsto en este contrato se regir por las disposiciones relativas, contenidas en el cdigo civil del ________________ y, en caso de controversia para su interpretacin y cumplimiento, las partes se someten a la jurisdiccin de los tribunales federales, renunciando al fuero que les pueda corresponder en razn de su domicilio presente o futuro. Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad en original y tres copias, en la ciudad de_______________________, el da ___________________________.

_______________________ EL CLIENTE

______________________

EL AUDITOR

INGENIERIA DE SISTEMAS X CICLO

Pgina 69 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

MODELO DE AUDITORIA INFORMTICA En (), a () de () de ()

REUNIDOS DE UNA PARTE, () mayor de edad, con D.N.I. nmero () y en nombre y representacin de (), en adelante, el CLIENTE, domiciliada en (), calle () n (), C.P. () y C.I.F. (). DE OTRA PARTE, () mayor de edad, con D.N.I. nmero () y en nombre y representacin de la mercantil (), en adelante, el PROVEEDOR, domiciliada en (), calle () n (), C.P. () y C.I.F. (). El CLIENTE y el PROVEEDOR, en adelante, podrn ser denominadas, individualmente, la Parte y, conjuntamente, las Partes, reconocindose mutuamente capacidad jurdica y de obrar suficiente para la celebracin del presente Contrato

EXPONEN PRIMERO: Que el CLIENTE est interesado en la contratacin de los servicios de: a) Auditoria de los sistemas informticos. b) Realizacin de un informe detallado sobre la situacin de los sistemas informticos, con un plan que garantice el ptimo nivel de los sistemas informticos. c) Otros servicios consistentes en () [citar todos y cada uno de los servicios adicionales en su caso] El CLIENTE est interesado en contratar dichos servicios para conocer la situacin y la operatividad de sus sistemas informticos, software y hardware. [indicar la necesidad del cliente]

SEGUNDO: Que el PROVEEDOR es una empresa especializada en la prestacin de servicios de Auditoria, seguimiento, conservacin de sistemas informticos y formacin. TERCERO: Que las Partes estn interesadas en celebrar un contrato de PRESTACIN DE SERVICIOS INFORMTICOS en virtud del cual el PROVEEDOR preste al CLIENTE los servicios de: a) Auditoria de los sistemas informticos.

INGENIERIA DE SISTEMAS X CICLO

Pgina 70 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

b) Realizacin de un informe detallado sobre la situacin de los sistemas informticos, con un plan que garantice el ptimo nivel de los sistemas informticos. c) Otros servicios consistentes en () [citar todos y cada uno de los servicios adicionales en su caso]

Que las Partes reunidas en la sede social del CLIENTE, acuerdan celebrar el presente contrato de PRESTACIN DE SERVICIOS INFORMTICOS, en adelante, el Contrato, de acuerdo con las siguientes

CLUSULAS PRIMERA.- OBJETO En virtud del Contrato el PROVEEDOR se obliga a prestar al CLIENTE los servicios de auditora de los sistemas informticos del CLIENTE y la realizacin posterior de un informe detallado para conocer la situacin y la operatividad de sus sistemas informticos, software y hardware, con un plan que garantice el ptimo nivel de los sistemas informticos. [citar todos los servicios] en adelante, los Servicios, en los trminos y condiciones previstos en el Contrato y en todos sus Anexos.

SEGUNDA.-

TRMINOS

CONDICIONES

GENERALES

ESPECFICOS

DE

PRESTACIN DE LOS SERVICIOS

2.1. Los Servicios se prestarn en los siguientes trminos y condiciones generales:

2.1.1. El PROVEEDOR responder de la calidad del trabajo desarrollado con la diligencia exigible a una empresa experta en la realizacin de los trabajos objeto del Contrato. 2.1.2. El PROVEEDOR se obliga a gestionar y obtener, a su cargo, todas las licencias, permisos y autorizaciones administrativas que pudieren ser necesarias para la realizacin de los Servicios. 2.1.3. El PROVEEDOR se har cargo de la totalidad de los tributos, cualquiera que sea su naturaleza y carcter, que se devenguen como consecuencia del Contrato, as como cualesquiera operaciones fsicas y jurdicas que conlleve, salvo el Impuesto sobre el Valor Aadido (IVA) o su equivalente, que el PROVEEDOR repercutir al CLIENTE.

INGENIERIA DE SISTEMAS X CICLO

Pgina 71 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

2.1.4. El PROVEEDOR guardar confidencialidad sobre la informacin que le facilite el CLIENTE en o para la ejecucin del Contrato o que por su propia naturaleza deba ser tratada como tal. Se excluye de la categora de informacin confidencial toda aquella informacin que sea divulgada por el CLIENTE, aquella que haya de ser revelada de acuerdo con las leyes o con una resolucin judicial o acto de autoridad competente. Este deber se mantendr durante un plazo de tres aos a contar desde la finalizacin del servicio. 2.1.5. En el caso de que la prestacin de los Servicios suponga la necesidad de acceder a datos de carcter personal, el PROVEEDOR, como encargado del tratamiento, queda obligado al cumplimiento de la Ley 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999 y dems normativa aplicable. El PROVEEDOR responder, por tanto, de las infracciones en que pudiera incurrir en el caso de que destine los datos personales a otra finalidad, los comunique a un tercero, o en general, los utilice de forma irregular, as como cuando no adopte las medidas correspondientes para el almacenamiento y custodia de los mismos. A tal efecto, se obliga a indemnizar al CLIENTE, por cualesquiera daos y perjuicios que sufra directamente, o por toda reclamacin, accin o procedimiento, que traiga su causa de un

incumplimiento o cumplimiento defectuoso por parte del PROVEEDOR de lo dispuesto tanto en el Contrato como lo dispuesto en la normativa reguladora de la proteccin de datos de carcter personal. A los efectos del artculo 12 de la Ley 15/1999, el PROVEEDOR nicamente tratar los datos de carcter personal a los que tenga acceso conforme a las instrucciones del CLIENTE y no los aplicar o utilizar con un fin distinto al objeto del Contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas. En el caso de que el PROVEEDOR destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del Contrato, ser considerado tambin responsable del tratamiento,

respondiendo de las infracciones en que hubiera incurrido personalmente.

INGENIERIA DE SISTEMAS X CICLO

Pgina 72 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

El PROVEEDOR deber adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural. A estos efectos el PROVEEDOR deber aplicar los niveles de seguridad que se establecen en el Real Decreto 1720/2007 de acuerdo a la naturaleza de los datos que trate. 2.1.6. El PROVEEDOR responder de la correccin y precisin de los documentos que aporte al CLIENTE en ejecucin del Contrato y avisar sin dilacin al CLIENTE cuando detecte un error para que pueda adoptar las medidas y acciones correctoras que estime oportunas. 2.1.7. El PROVEEDOR responder de los daos y perjuicios que se deriven para el CLIENTE y de las reclamaciones que pueda realizar un tercero, y que tengan su causa directa en errores del PROVEEDOR, o de su personal, en la ejecucin del Contrato o que deriven de la falta de diligencia referida anteriormente. 2.1.8. Las obligaciones establecidas para el PROVEEDOR por la presente clusula sern tambin de obligado cumplimiento para sus posibles empleados, colaboradores, tanto externos como internos, y subcontratistas, por lo que el PROVEEDOR responder frente al CLIENTE si tales obligaciones son incumplidas por tales empleados.

2.2. El PROVEEDOR prestar los Servicios en los siguientes trminos y condiciones especficos: 2.2.1. El PROVEEDOR realizar una auditoria de los sistemas informticos del CLIENTE para conocer la situacin exacta en que se encuentran los sistemas informticos del CLIENTE, software y hardware. 2.2.2. Una vez realizada la auditoria, los tcnicos encargados de la misma realizarn un informe detallado de la situacin, con un plan que garantice el ptimo nivel de los sistemas informticos en el da a da y que planifique las necesidades que van surgiendo en el CLIENTE, atendiendo a las nuevas tecnologas y su constante evolucin. Dicho plan podr llevar a la contratacin de otros servicios prestados por el PROVEEDOR.

INGENIERIA DE SISTEMAS X CICLO

Pgina 73 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

2.2.3. Para la realizacin de la auditoria se desplazarn a la sede del CLIENTE dos tcnicos del PROVEEDOR, uno como analista de sistemas y otro como asesor informtico. 2.2.4. Los tcnicos del PROVEEDOR realizarn su trabajo durante el horario comercial del CLIENTE [indicar horario e incluir cuando proceda fines de semana y festivos]. 2.2.5. El CLIENTE con la asistencia del PROVEEDOR realizar las copias necesarias de la programacin, informacin, etc., para evitar su desaparicin en el transcurso de la auditoria. 2.2.6. El PROVEEDOR realizar controles remotos, para elaborar un diagnstico a travs de soporte con P.C. o por telfono, de los sistemas informticos del CLIENTE. 2.2.7. El encargado de los sistemas informticos del CLIENTE estar en todo momento a disposicin de los tcnicos del PROVEEDOR para la realizacin de la auditoria y facilitar las claves y passwords necesarios para comprobar todos los sistemas y la descripcin de los mismos. 2.2.8. Realizada la auditoria y antes de finalizar el informe completo, sin el plan para garantizar el ptimo nivel, se entregar al CLIENTE una copia del informe, en su estado, para su estudio. 2.2.9. Una vez estudiado por el CLIENTE el informe y antes de elaborar el plan que garantice el ptimo nivel de los sistemas, el encargado de los sistemas informticos del CLIENTE tendr las reuniones necesarias con los tcnicos del PROVEEDOR para concretar las necesidades del CLIENTE. Cada parte llevar a las reuniones una propuesta. Una vez concretadas las necesidades, los tcnicos del PROVEEDOR realizarn el plan. 2.2.10. Los plazos de entrega del informe y del plan se entregarn conforme la clusula 5 de este contrato. Una vez entregado el informe incluyendo el plan, el contrato estar cumplido 2.2.11. El contrato podr ser ampliado para realizar los servicios necesarios para llevar el plan a buen trmino. Dicha ampliacin ser por acuerdo escrito entre las partes y el documento se unir al presente contrato.

INGENIERIA DE SISTEMAS X CICLO

Pgina 74 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

2.2.12. El PROVEEDOR ejecutar el Contrato realizando de manera competente y profesional los Servicios, cumpliendo los niveles de calidad exigidos y cuidando diligentemente los materiales del CLIENTE que tuviera que utilizar como consecuencia del Contrato. TERCERA.- POLTICA DE USO 1.1. El CLIENTE es el nico responsable de determinar si los servicios que constituyen el objeto de este Contrato se ajustan a sus necesidades, por lo que el PROVEEDOR no garantiza que los servicios contratados se ajuste a las necesidades especficas del CLIENTE. CUARTA.- PRECIO Y FACTURACIN.2.1. El precio del Contrato es de () [indicar el precio de cada servicio] IVA excluido. 2.2. El pago de las facturas se realizar, tras la aceptacin de los trabajos por el CLIENTE, mediante transferencia bancaria a los 30 das de la fecha de recepcin de la factura a la siguiente cuenta corriente titularidad del PROVEEDOR: () [indicar n de cuenta]. QUINTA.- DURACIN DEL CONTRATO 3.1. El plazo de realizacin de la auditoria es de () 3.2. El plazo de entrega del informe para su estudio es de () 3.3. El plazo de entrega del informe definitivo es de () a partir de la fecha referida en el encabezamiento del Contrato. SEXTA.- ACUERDO DE NIVEL DE SERVICIO 4.1. Todos los Servicios prestados por el PROVEEDOR se realizarn por personal especializado en cada materia. El personal del PROVEEDOR acudir previsto de todo el material necesario, adecuado y actualizado, para prestar los Servicios. 4.2. El PROVEEDOR deber cumplir los plazos de entrega que se acuerden con el CLIENTE. Se considerar un incumplimiento de los plazos cuando se supere [indicar el plazo mximo que se puede superar] y en ese caso el CLIENTE podr exigir al PROVEEDOR el pago de los daos y perjuicios que corresponda.

INGENIERIA DE SISTEMAS X CICLO

Pgina 75 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

SPTIMA.- MODIFICACIN Las Partes podrn modificar el contrato de mutuo acuerdo y por escrito. OCTAVA.- RESOLUCIN Las Partes podrn resolver el Contrato, con derecho a la indemnizacin de daos y perjuicios causados, en caso de incumplimiento de las obligaciones establecidas en el mismo. NOVENA.- NOTIFICACIONES Las notificaciones que se realicen las Partes debern realizarse por correo con acuse de recibo [o cualquier otro medio fehaciente que acuerden las Partes] a las siguientes direcciones: CLIENTE () PROVEEDOR: ()

DCIMA.- REGIMEN JURDICO El presente contrato tiene carcter mercantil, no existiendo en ningn caso vnculo laboral alguno entre el CLIENTE concretamente los Servicios. y el personal del PROVEEDOR que preste

Las partes para cualquiera controversia, discrepancia, aplicacin o interpretacin del presente contrato, se someten expresamente, con renuncia a cualquier otro fuero que pudiera corresponderles, a la decisin del asunto o litigio planteado, mediante el arbitraje institucional del Tribunal Arbitral del Colegio Oficial de Ingeniera en Informtica de Catalua, en adelante TA-COEIC, al cual encomiendan la administracin del arbitraje y la designacin de los rbitros. El arbitraje ser de equidad y se realizar de acuerdo con el procedimiento establecido en el Reglamento del TA-COEIC y, en aquello que no est previsto, segn la Ley 60/2003, de 23 de diciembre, de Arbitraje. Ambas partes se obligan a aceptar y cumplir la decisin contenida en el laudo arbitral, dictado segn lo que se establece en el mencionado reglamento del TACOEIC. En caso de que el arbitraje no llegara a realizarse por mutuo acuerdo o fuera declarado nulo, ambas partes se someten a los juzgados y tribunales de la ciudad de () [domicilio del cliente], con renuncia a cualquier otro fuero que pudiera corresponderles.

INGENIERIA DE SISTEMAS X CICLO

Pgina 76 de 81

AUDITORIA DE SISTEMAS DE INFORMACIN

Y en prueba de cuanto antecede, las Partes suscriben el Contrato, en dos ejemplares y a un solo efecto, en el lugar y fecha sealados en el encabezamiento.

POR EL CLIENTE

POR EL PROVEEDOR

Fdo.:

Fdo.:

ANEXO

CLUSULA PENAL, CONVENIENTE EN CASO DE PODER SER NEGOCIADA

En virtud de la presente clusula penal que tiene carcter cumulativo y no sustitutivo a los efectos de lo dispuesto en el artculo 1152 del Cdigo Civil, el CLIENTE podr aplicar las siguientes penalizaciones por incumplimiento del acuerdo de nivel de servicio. A los efectos de lo previsto en el artculo 1.153 del Cdigo Civil, el PROVEEDOR no podr eximirse del cumplimiento de sus obligaciones pagando la pena. Asimismo, el PROVEEDOR, adems de satisfacer la pena establecida, deber cumplir las obligaciones cuyo incumplimiento se penaliza. Las penalizaciones se detraern del importe pendiente de pago al PROVEEDOR

INGENIERIA DE SISTEMAS X CICLO

Pgina 77 de 81

CONCLUSIONES
La auditora SITIC est, como es lgico, en evolucin constante. Esa evolucin depende fundamentalmente de: Las nuevas demandas y objetivos de cumplimiento La disponibilidad de herramientas y tcnicas que permitan hacer ciertas pruebas con mayor cobertura y con menor riesgo y errores logrando una mayor productividad. Contemplar las herramientas y tcnicas, sin hacerlo desde la perspectiva de su productividad, puede ser propio de tecnolgicos o de historiadores; pero sera un error en empresarios, gestores, economistas, gestores, economistas, responsable de auditora y auditores. Los auditores son un recurso escaso, relativamente caro, con plazos de capacitacin significativos. Todo ello se amplifica, si cabe para los ASITIC. Aumentar su disponibilidad y productividad es un reto importante. Las CAAT pueden hacer viable y rentable el acceso a universos, en lugar de solo muestras. Tambin pueden permitir la automatizacin de muchas tareas rutinarias, con el consiguiente aumento de la productividad del ASITIC. Los factores crticos son unos pocos, y caben diversas estrategias, algunas muy dependientes de las herramientas disponibles. Por sealar algunos aspectos y tendencias importantes mostramos la tabla siguiente:
Aspecto Dimensin Formacin Problema Lenta, deficitaria (cuantitativa y cualitativamente), sesgada muchas veces. Tecnologa Tcnica EAO: Enseanza ordenador. asistida por

Mayor participacin de profesionales con experiencias. Compensar los aplicaciones de IA. dficits con

Disponibilidad

Escasa en trminos absolutos (n| de ASITIC) y relativos: tiempo, lugar, habilidades

Ms auditora automtico. Mas tele-auditora Mas groupware

embebida

Discreto Continuo

En enfoque discreto (puntual o periodificado) es un atavismo que arrastramos por falta de recursos, experiencia y sobre todo por falta de cultura y reflexin. Cuando antes se detecte un problema, menores sern sus costes. Hay frecuentes e importantes solapes entre auditora interna y externa, Auditora Operativa, Auditora de cuentas, Auditora SITIC, Auditora ISO 9001:2000, ISO 27001, ISO 14000; aparte de las intervenciones de control de directivos y supervisores, CSA y crculos de calidad, sin mencionar a las agencias reguladoras El problema de escasez de ASITIC cualificados, se ven forzados a dedicar la mayora de su tiempo til a trabajos administrativos(planificacin tctica, concertar entrevistas, archivar papeles de trabajo, hacer antesalas, gestionar viajes) Hay un clamor creciente, en demanda de pruebas sustantivas, no limitadas a muestras sino extendidas al universo. Las pruebas en muchos casos deben tener cobertura y granularidad

Menos viajes Ms auditora embebida, automtica, continua, en tiempo real.

Lagunas y Solapes

Aqu antes que aplicar las tcnicas habra que aplicar el sentido comn. Se debe partir del riesgo apreciado y la cobertura deseada, desestructurar todas las capas bebidas a intereses, ignorancia e incultura e instalar sistemas de Auditora integrada.

Trabajo Administrativo

Uso ms eficaz de las herramientas horizontales. Mejores, ms baratas herramientas especializadas en gestin. Equipos armnicos habilidades requeridas. con las

Pruebas sustantivas

Cobertura - Granularidad

Mayor y ms eficaz uso de las herramientas disponibles, y ms concretamente de la auditora embebida, automtica, continua, en tiempo real y de las CAATT. Mayor y ms eficaz uso de las herramientas disponibles, y ms concretamente de la auditora embebida, automtica, continua, en tiempo real y de las CAATT.

En las bases de datos tambin es vital el establecimiento de controles efectivos, debido a que es ah donde reposa toda la informacin sensible de la organizacin e incluso de entes externos a la organizacin como es el caso de los clientes. La importancia de las bases de datos fueron mostradas a travs de todo el informe y lo sensible de esta herramienta tecnolgica nos obliga a no descuidarlas. Las Bases de Datos Oracle, mostraron lo robustas que son para el manejo de pequeas empresas como para grandes corporaciones, y la gama de productos en el mbito de seguridad que mantienen totalmente actualizados para mitigar los riesgos que las bases de datos puedan estar expuestas. Las herramientas, como utilizarlas, en que rea especfica utilizarlas fue mostrado y explicado, dejando al lector con buena informacin y motivndolo a investigar ms sobre cualquier punto que desee desarrollar. El contrato de auditora informtica, como todo lo que afecta a la regulacin jurdica de las Tecnologas de la Informacin y las Comunicaciones, no es algo que se encuentre delimitado. La inseguridad jurdica es palpable. El objetivo propio de esta contratacin, adems de su multiplicidad, se caracteriza por la dificultad de su configuracin jurdica. La profesin de auditor informtico, aparte de su falta de regulacin, sufre, entre otras cosas, de intrusismo profesional y de extralimitacin de sus funciones. La empresa que solicita una auditoria informtica suele tener dudas en cuanto a su objeto y a su resultado. La diferencia de expectativas es aqu mayor porque ni siquiera se tiene claro lo que se espera, pues se espera todo, se espera una solucin, no una deteccin de los problemas. En cuanto a los terceros, menos claro tienen an la existencia y delimitacin de la figura del contrato. Por otra parte, la causa, como hemos visto, es escasamente legal en cuanto a periodicidad en la obligacin. Aprovechemos pues las similitudes existentes y la indefinicin legal que sufre en muchos puntos la auditora de cuentas para comenzar un proceso normativo propio que delimite la figura de la auditoria de sistemas de informacin en todos sus aspectos desde los subjetivos, definiendo el perfil del auditor informtico, hasta los objetivos, en cuanto a la regulacin legal principalmente, y los instrumentales u organizativos. Es preciso lograr una regulacin, del tipo que sea, propia y delimitadora, declarativa que no constitutiva, de lo que es una realidad creciente en nmero e importancia: la profesin de auditora informtica.

BIBLIOGRAFIA
Normas Generales para la Auditora de los Sistemas de Informacin ISACA Auditoria de Tecnologas y Sistemas de Informacin Piattini, M., Marcos, E., Calero, C. y Vela, B. (2006).Tecnologa y Diseo de Base de Datos. Madrid, Ra- Ma

LINKOGRAFIA
http:// es.wikipedia.org/wiki/c%c3%b3rvido http:// es.wikipedia.org/wiki/Enhydra_lutris http:// es.wikipedia.org/wiki/Tool http:// es.wikipedia.org/wiki/Generalized_Audit_Software http:// es.wikipedia.org/wiki/Computer_Assisted_Auditing_Techniques http://www.isaca.org Base de Datos Cobit, Disponible http://www.bluecoreresearch.com/papers/cobit.pdf Introduccin a la Auditora Simple, Dsiponible http://www.petefinnigan.com/papers/audit.sql Gestin de Seguridad de Base de Datos http://www.desarrolloweb.com/articulos/gestion-seguridad-oracle-I.html Access Control on Tables, Views, Synonyms, or Rows http://download.oracle.com/docs/cd/B19306_01/network.102/b14266/accessre.htm#CHDDG EJG