AUDITORIA INFORMÁTICA I. Concepto y Contenidos. Administración, Planeamiento, Organización, Infraestructura Técnica y Prácticas Operativas.

33. AUDITORIA INFORMTICA I. Concepto y contenidos. Administracin, planneamiento, organizacin, infraestructura tcnica y prcticas operativas. 1.
ORGANIZACIN Y GESTIN DE LOS SISTEMAS DE INFORMACIN
033.
Auditora Informtica I: Concepto y contenidos. Administracin, planeamiento, organizacin, infraestructura tcnica y prcticas operativas.
Autora:
Carmen Cabanillas Serrano
033.01.
033.01.01 033.01.02 033.01.03 033.01.04 033.01.05
Conceptos y contenidos.
Introduccin a la auditora. Introduccin al concepto de control en las organizaciones. Definiciones y clases de auditora. Funcin de la auditora de sistemas de informacin (estrategia). Auditora de sistemas de informacin en la administracin.
033.02.
033.02.01 033.02.02 033.02.03 033.02.04
Administracin, planificacin,
Proceso de una auditora Estndares y normas tcnicas. Planificacin. Auditora asistida por ordenador y software de auditora informatizada.
033.03.
033.03.01 033.03.02
Organizacin, infraestructura tcnica

Esquema Organizativo de la Funcin de Auditora. Modelos Organizativos. El auditor informtico. Perfil tcnico. tica profesional.
033.04.
033.04.01 033.04.02 033.04.03
Prcticas operativas.
El proceso de la auditora de sistemas de informacin (planificacin de la actuacin, formalizacin del inicio, trabajos de campo, evaluacin de la informacin, comunicacin de los resultados, seguimiento). Guas de Auditora de los sistemas de informacin (guin, puntos de control). Informes de auditora.
033.05.
Bibliografa.
-1-
33. AUDITORIA INFORMTICA I. Concepto y contenidos. Administracin, planneamiento, organizacin, infraestructura tcnica y prcticas operativas. 1. ORGANIZACIN Y GESTIN DE LOS SISTEMAS DE INFORMACIN
033. Auditora Informtica I: Concepto y contenidos. Administracin, planificacin, organizacin, infraestructura tcnica y prcticas operativas
33.01. Conceptos y contenidos
La Auditora de los Sistemas de Informacin debe entenderse como una herramienta ms que ayudar a las organizaciones a supervisar su sistema de control, a gestionar sus riesgos; su objetivo es contribuir a establecer un clima de confianza en el uso de las tecnologas de la informacin y de las comunicaciones y a reforzar la gestin de su seguridad y calidad.
033.01.01 Introduccin a la auditora
Aunque la Auditora de los Sistemas de Informacin1 es una auditora parcial de la organizacin, la importancia estratgica y el carcter transversal de las TIC tecnologas de la informacin y las comunicaciones en el mundo moderno confieren a este tipo de auditora una relevancia creciente. Resumiendo brevemente las grandes revoluciones culturales que implican nuevos modelos de sociedad en la historia podemos citar las siguientes: . Revolucin neoltica, se produjo la transformacin de una Sociedad nmada a sedentaria, el objeto ms importante para esta transformacin fue el arado y la materia prima los alimentos. . Revolucin industrial, transformndose la Sociedad rural en urbana, el objeto ms representativo del cambio fue la mquina de vapor y la materia prima la energa. . Revolucin de la informacin, conlleva la transformacin de la sociedad industrial a la sociedad de la informacin, el objeto fundamental del cambio ha sido el ordenador y la materia informacin. Entre las caractersticas ms destacables de esta revolucin prima la informtica podemos citar algunas de carcter social (globalizaciones econmica y cultural, nuevas leyes proteccin datos, propiedad intelectual, reformas cdigo penal contemplando la informtica, firma digital..., y empresarial (dependencia de las TIC, automatizacin de funciones, reduccin de costes, nuevos modelos de negocio (ej. bancos...) La diferencia ms notable respecto a los otros histos histricos ha sido la alta velocidad de transicin. Ninguna revolucin fue tan vertiginosa en toda la Historia. En las organizaciones, la informacin y la tecnologa que la soporta representan los activos ms valiosos. La productividad de cualquier organizacin depende del funcionamiento ininterrumpido de sus sistemas de informacin, lo que conlleva la transformacin de todo el entorno en un proceso crtico adicional. Es necesario contar pues con una efectiva administracin de los riesgos asociados con las TIC. El anlisis de estos aspectos nos indica el rol bsico que debe desempear la funcin de la Auditora de los Sistemas de Informacin1 en una organizacin: supervisin de los controles implementados y determinacin de la eficiencia de los mismos. _____________________________________________________________________________
1.- La auditoria de sistemas de informacin, auditora informtica o auditora de sistemas son trminos sinnimos en este tema (se reflejaran nicamente en este momento las diferencias de matiz entre ellos); la auditora de sistemas de informacin incluye a la auditora informtica, y consiste en el examen de los sistemas de informacin de las organizaciones con el objetivo de facilitar la consecucin de los objetivos que persiguen cumplir. ISACA nos presenta una definicin ms amplia: la auditora de los sistemas de informacin es cualquier auditora que abarca la revisin y evaluacin de todos los aspectos de los sistemas automticos de procesamiento de la informacin (o una parte de ellos), incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. En la auditora por medio del ordenador, se emplea el ordenador como herramienta. Ej. Auditora contable. En la auditora Informtica, el objeto a auditar es un producto o proceso informtico y su gestin. La auditora informtica con el ordenador, es el uso del ordenador como herramienta del auditor informtico.
-2-
El problema real es identificar correctamente los objetivos2 que debe cumplir el rea de informtica, ya que suelen ser difciles de establecer, podemos resolverse parcialmente este problema basndonos en los objetivos que debe cumplir la organizacin en su conjunto (el rea de informtica dado su carcter transversal puede adoptarlos perfectamente) o haciendo que los objetivos asuman la forma de compromisos que deben ser satisfechos en unos plazos y con una calidad predeterminada. Repasamos la evolucin a lo largo del tiempo la relacin entre auditora y tecnologas de la informacin. En un primer momento la orientacin era la deteccin y prevencin del fraude y errores; despus se us para evaluar situacin financiera (la deteccin y prevencin del fraude y errores era un objetivo menor). Simultneamente se ha producido una evolucin metodologa: Hasta s. XIX se realiza un examen exhaustivo; Despus s. XIX: se emplean tcnicas de muestreo de datos, y revisin de los controles internos. La Aparicin del concepto tiene lugar en las sociedades antiguas (Egipto, Roma). Aparecen las figuras de terratenientes /aparceros. Se produca la Liquidacin verbal de cuentas con los auditores (los que oyen). Durante la edad media aparecen en Castilla los veedores de cuentas. En el s. XVIII, surge la Sociedad Annima en Holanda; aparece el concepto de separacin de la propiedad y una nueva profesin, la gerencia. Aparecen tambin los fraudes para aparentar buen funcionamiento, lo que hace necesario: 1) la creacin de un mtodo y de un sistema normalizado de contabilidad y 2) expertos independientes para controlar a los gestores y revisar las cuentas. En 1862, la Ley Britnica de Sociedades Annimas, reconoce la auditora como profesin. En 1880 se crea, en Inglaterra, la Primera Sociedad de Auditores. Hasta 1905 la auditora floreci como profesin en Inglaterra. En 1900 se introduce en EE.UU. En 1912 aparece en Espaa con el Colegio de Contadores Pblicos. En 1954 se crea el primer sistema de contabilidad informatizada. En esta poca, la Auditoria gira alrededor del ordenador (se comprobaban las salidas en funcin de las entradas). En los aos 60 la atencin se centra en el CPD (Centro de Proceso de Datos). Se produce una revolucin cuantitativa: muchas operaciones, gestin versus Propiedad; se presenta un nuevo enfoque: es imposible verificar TODA la informacin por lo que se analizan extractos. En los aos 70 el foco se dirige a los programas y su lgica interna. En 1977, se publica la Primera edicin de Control Objectives, antecesor de CobiT (Control objectives for Information and Related Technology). Tambin el perfil del auditor ha sufrido paralelamente una evolucin temporal: . Al principio el auditor, casi siempre un auditor de cuentas, se limitaba a revisar la informacin que obtena del ordenador con una metodologa semejante a la del resto de actuaciones que desarrollaba. . Posteriormente, el auditor comienza a emplear tcnicas especficas para analizar los sistemas de informacin, como las pistas o trazas de auditora3. . Paulatinamente, el auditor se apoya cada vez ms en el ordenador como instrumento de trabajo, se incorporan herramientas que facilitan su actividad profesional automatizando ciertas tareas; en una fase posterior estas herramientas permiten acceder directamente a los sistemas de informacin investigados y desarrollar en ellos, de forma completa o parcial, tareas de comprobacin. El auditor comienza a dominar lenguajes de programacin y consulta. . Finalmente el auditor aplica directamente tcnicas de auditora especficas a la verificacin del cumplimiento de objetivos de los servicios informticos, con objeto de determinar la eficacia y eficiencia de su funcionamiento. Se usan medios informatizados para los procedimientos de auditora (CAAT, Computed-Assisted Audit Techniques).
2.- objetivos: expresan los intereses comunes y guan las decisiones; deben ser alcanzables y susceptibles de cuantificacin o al menos de concrecin. .- metas: son los resultados esperados de un proceso. 3.- las pistas o trazas de auditora, consisten en registros que recoge el sistema informtico sobre las operaciones efectuadas, y que permiten contrastar los resultados procedentes de dicho sistema con los documentos originales a los que se refieren.
-3-
La auditora informtica debe cumplir cinco funciones que enumeramos a continuacin: 1. Velar por la eficacia y eficiencia del sistema informtico, de forma que se alcancen con el menor coste posible los objetivos que le han sido establecidos. 2. Verificar el cumplimiento de las normas y estndares vigentes en la organizacin. 3. Verificar la calidad de los sistemas de informacin y proponer mejoras en los mismos. La Administracin General del Estado ha fijado por Real Decreto 29/2005 un marco general para la mejora de la calidad compuesto por varios programas de calidad. 4. Supervisar los mecanismos de control interno establecidos en los centros de proceso de datos y en la organizacin en su conjunto para proteger los recursos informticos humanos y materiales y para mantener la integridad de los datos. 5. Comprobar e impulsar la seguridad de los sistemas de informacin (es decir, garantizar la disponibilidad de las infraestructuras de informacin, la integridad y la confidencialidad de los datos, su autenticidad y la identidad de las partes que los usan). Las Tres normas bsicas en la auditora de los sistemas de informacin son pues: Planificacin y supervisin Estudio y evaluacin del sistema de control interno Obtencin de evidencia suficiente y adecuada (justificacin del trabajo realizado y la opinin expresada)
33.01.02 Introduccin al concepto de control en las organizaciones
El auditor es responsable de informar a la Direccin de la organizacin sobre el diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada. El Control Interno es cualquier actividad manual o automtica empleada para prevenir y corregir errores que puedan afectar al funcionamiento de un sistema en relacin a la consecucin de sus objetivos El control consiste en un proceso4 de observacin y medida que compara sistemticamente los objetivos con los resultados y que tiene la capacidad necesaria para regular los sistemas con la intencin de que sean alcanzados los objetivos. Los controles deberan ser: . simples (no siempre es posible, en este caso, con la mnima complejidad necesaria) y fiables. Ej. copia de seguridad comprimida, verificar extraccin; . revisables (establecer procedimientos o fechas); . adecuados, ej. entrada al sistema con login / password y . rentables (el coste menor que el beneficio). Los controles pueden clasificarse atendiendo a diferentes caractersticas: . Por el momento en que actan: Preventivos: a priori, ej. impedir accesos no autorizados Reactivos: a posteriori Concurrente o concomitante (establecido durante la realizacin del proceso que se observa y mide). _____________________________________________________________________________
4.- proceso: conjunto de actividades que obtiene unos resultados outputs a partir de unos recursos inputs.
evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, cumple eficazmente los fines de la organizacin, y hace uso eficiente de los recursos.
La planificacin y el control se incluyen como funciones directivas desde las reflexiones de los primeros tericos de la organizacin como Fayol. El Control Interno Informtico controla que todas las actividades del SI (Sistema de Informacin) sean realizadas cumpliendo los procedimientos, estndares y normas de la direccin as como las normas legales. Encontramos pues otra definicin de Auditora Informtica: el Proceso de recoger, agrupar y
-4-
. Por su frecuencia: control continuo, peridico o espordico. . Por su naturaleza: - generales (organizativos y operativos, de desarrollo y mantenimiento de aplicaciones, de hardware, de software, de acceso, de procedimiento). - de aplicacin (controles de entrada, de proceso, de salida). Segn otra clasificacin el control pueden ser de desarrollo (comprueba que el resultado obtenido concuerda con las especificaciones iniciales), de proceso (asegura que la explotacin se realiza con las versiones adecuadas de los programas y de los datos) y de continuacin (determina que se evita la prdida o corrupcin de informacin, efectuando las salvaguardas y recuperaciones necesarias). Adems podemos hablar de controles Detectivos, ej. registro de intentos de acceso, anlisis de logs; o Correctivos: facilitar la vuelta a la normalidad (ej. documentar el proceso de recuperacin desde una copia de seguridad). Dada la inmediatez de los procesos informatizados es necesario implementar controles automticos incorporados en los propios procesos de los sistemas de informacin, son, alarmas que actan ante la aparicin de acontecimientos que pueden suponer un riesgo para la consecucin de los objetivos. El control aporta confianza al garantizar que la informacin que la organizacin hace pblica rene unas caractersticas determinadas de veracidad y fiabilidad, ofreciendo una imagen fiel de s misma. Como reaccin ante escndalos cuyos indicios no fueron debidamente detectados o evaluados, se publica en 1992 el informe COSO. Este informe define el control interno como un proceso
efectuado por el Consejo de Administracin, la direccin y el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras: - eficacia y eficiencia de las operaciones, - fiabilidad de las operaciones financieras, - cumplimiento de las leyes y normas que le sean aplicables.
El control interno en una organizacin se extiende, como ya hemos indicado, a todas las funciones informticas: entrada de datos, desarrollo y mantenimiento de aplicaciones, software de sistemas, administracin de base de datos, gestin de contenidos, explotacin o produccin, comunicaciones, administracin y gestin de redes, seguridad, instalacin de equipos y gestin del inventario, asistencia y soporte a usuarios, administracin, direccin En ocasiones puede ser necesario disponer de un control compensatorio, cuando no est previsto un control, cuando su coste lo haga inabordable, cuando no est efectivamente implantado o cuando falle su aplicacin. En el apartado 33.01.04 realizaremos una pequea revisin sobre el control en el mbito administrativo.
33.01.03 Definiciones y clases de auditora
Un proceso de auditora consiste en la realizacin de un examen metdico de la situacin de una organizacin en cooperacin con los interesados con el fin de verificar la concordancia de la realidad con lo preestablecido y la adecuacin de los resultados obtenidos por la organizacin a los objetivos perseguidos por la misma. Los objetivos de control y auditora estn directamente relacionados: los auditores supervisan el sistema de control interno de la organizacin, detectando las debilidades que presenten los controles establecidos y recomendando actuaciones necesarias para reforzarlos; durante el desarrollo de la auditora los auditores suelen reproducir los controles ordinarios establecidos por la organizacin para determinar su efectividad adems de realizar actividades de control adicionales.
-5-
Vamos a relacionar a continuacin las clases de auditora existentes en funcin de las clasificaciones ms utilizadas: . Segn el sujeto que la realiza: interna (realizada por personal de la propia entidad) o externa (la realizan profesionales ajenos a la entidad). . Segn su amplitud: total (afecta a toda la organizacin), parcial (se refiere slo a determinados departamentos o actividades de la organizacin, restringindose en funcin de su mbito territorial o funcional). . Segn su frecuencia: peridica, por ejemplo anual o bienal, u ocasional. . Segn su contenido y fines: - Auditoras de regularidad (auditorias de cumplimiento, orientadas a verificar el cumplimiento de la normativa aplicable; o auditoras financieras o contables, emiten un juicio sobre el estado financiero de la entidad). - Auditoras operativas o de gestin (evalan la eficacia en la consecucin de objetivos y la eficiencia en los recursos empleados para alcanzarlos). - Auditoras forenses (especializadas en descubrir fraudes y delitosl, en obtener evidencias vlidas para su uso por las autoridades competente, policiales o judiciales). - Auditoras de los sistemas de informacin (realizan el examen y verificacin del correcto funcionamiento y control del sistema informtico de la organizacin).
033.01.04 Funcin de la auditora de sistemas de informacin (estrategia)
Las organizaciones exitosas son aquellas que, adems de lo sealado anteriormente, comprenden y gestionan los riesgos asociados con la implementacin de las nuevas tecnologas. En ellas, el equipo directivo necesita poder apreciar y poseer un conocimiento bsico de los riesgos y los lmites de las TIC con objeto de proveer una direccin eficaz y los controles adecuados. Debe pronunciarse sobre cual es la inversin razonable en seguridad y control, y cmo balancear el riesgo y el control de las inversiones, es imprescindible que el rgano de direccin entienda la implicacin de una gestin de riesgos en general, y los relacionados con las TIC en particular, y aseguren el establecimiento de un sistema de control interno apropiado para la organizacin que dirige. Es un requisito previo para poder realizar cualquier tipo de auditora que la organizacin tenga definida, documentada, pblica para todo el personal y aplicada, una poltica de control. En el ciclo de gestin de control la auditora tiene la misin de analizar la implementacin de los controles y corregir la gestin con la propuesta de mejoras. En la siguiente figura se esquematiza el ciclo de gestin de control.
-6-
Repasamos someramente estos trminos: __ Polticas: Declaracin de intenciones de alto nivel, refleja los objetivos de la organizacin (qu y por qu), deben estar debidamente documentadas y establecer criterios de medicin de resultados. Deben ser aprobadas por la alta direccin de la organizacin, perdurables en el tiempo (mantenerse al margen de la tecnologa empleada) y conocidas por toda la organizacin. Como ejemplo de polticas TIC podemos considerar aquellas que definan aspectos de: Adquisiciones, Seguridad, Personal, etc. __ Normativas: Reglas generales que desarrollan las polticas de alto nivel, de obligada aplicacin para las personas de la organizacin. Sern definidas por el rgano de direccin responsable de su supervisin. Se ajustarn al despliegue tecnolgico, y sern conocidas por los usuarios de los sistemas. Por ejemplo, se podrn tener definidas o adoptadas normas sobre: control de presencia, control de acceso a los sistemas de informacin, estndares y normas tcnicas del mercado que sean de aplicacin, requerimientos legales, etc. __ Procedimientos: Sealan el marco de actuacin en los distintos campos de las TIC para resolver situaciones concretas. Deben ser desarrollados por la unidad responsable de su implementacin y estar ajustados a normas, estar documentados y tener unos contenidos mnimos ajustados a la materia, deben mantenerse actualizados y han de ser conocidos por los encargados de ejecutarlos y por los usuarios. Como ejemplo de procedimientos, se podrn tener sobre: gestin de usuarios, resolucin incidencias, copias de seguridad, pruebas a realizar en desarrollos, etc. __ Instrucciones: Detallan tcnicamente la forma precisa de actuar para implementar un procedimiento, sealando los pasos de obligado cumplimiento que deben seguirse. Deben estar documentadas y ser conocidas por los tcnicos responsables. Como ejemplo de instrucciones sealamos las relativas a: seguimiento actividad vrica, instalacin de actualizaciones, reestablecimiento de sistemas, backups, etc.
33.01.05 Auditora de sistemas de informacin en la administracin
La funcin de control de la Administracin Pblica espaola se desarrolla en tres mbitos: control poltico (ejercido por el Parlamento), - control judicial (ejercido por los Tribunales de Justicia) y control administrativo (ejercido por rganos administrativos). Centrndonos en el control administrativo nos encontramos los siguientes rganos especializados: . Tribunal de Cuentas (rgano supremo fiscalizador de las cuentas y de la gestin econmica del Estado y del sector pblico), controla la actividad econmica y presupuestaria. Es un rgano externo, de carcter administrativo que tambin tiene atribuidas funciones de alcance contable, y cuyo destinatario principal es el Parlamento. . Intervencin General de la Administracin del Estado (IGAE), es un rgano interno de la Administracin que examina la gestin del gasto pblico por parte de los
-7-
organismos gestores. La IGAE comenz examinando exclusivamente los aspectos legal y financiero del gasto pblico, pero desde 1984 debe elaborar anualmente un Plan de Auditoras. Sus actividades en este campo estn minuciosamente regladas. Las Normas Tcnicas de Auditora Pblica constituyen el ncleo de sus procedimientos de trabajo, clasifican sus actuaciones en dos grandes grupos: - auditoras de regularidad y auditoras operativas. La Ley General Presupuestaria de 47/2003, de 26 de noviembre, refrenda el papel de la IGAE en el control interno, delimitando sus funciones interventora, de control financiero permanente y de auditora pblica. . Inspecciones Generales de los Servicios, segn Real Decreto 799/2005, de 15 de julio, son los rganos de la Administracin General del Estado especializados en el control interno y en la evaluacin de los servicios de cada uno de los Ministerios y de sus organismos pblicos dependientes. Su funcin es supervisar el funcionamiento de los rganos administrativos, lo que incluye el seguimiento de objetivos y el anlisis de riesgos y debilidades. En el artculo 2 del RD se recogen entre sus funciones, la de realizar auditoras internas. En el Real Decreto 951/2005 de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administracin General del Estado, se les atribuyen competencias en la evaluacin de calidad de las organizaciones. La coordinacin de la actividad de las Inspecciones Generales de los distintos Ministerios se realiza por un rgano colegiado, la Comisin Coordinadora de Inspecciones Generales de Servicios. . Inspeccin General del Ministerio de Economa y Hacienda y Servicio de Auditora interna de la Agencia Tributaria, sus procedimientos de actuacin estn regulados por el Real Decreto 1733/1998. A la Inspeccin General le corresponde la evaluacin y el control del funcionamiento interno del Ministerio de Economa y Hacienda, la inspeccin del modo y eficacia con que se gestionan los tributos cedidos a las Comunidades Autnomas y la coordinacin de la alta inspeccin referente a la aplicacin de los sistemas fiscales concertados y convenidos. A la Agencia Estatal de Administracin Tributaria (AEAT) le corresponde facilitar a los contribuyentes el cumplimiento de sus obligaciones, recaudando los tributos exigibles y desarrollando los programas de control fiscal y prevencin del fraude y la elusin fiscal. La AEAT dispone desde su creacin (Ley 31/1990 de los Presupuesto Generales del Estado para 1991) de un Servicio de Auditoria Interna (SA), con rango de direccin adjunta, que desempea funciones de control interno, evaluacin de los sistemas de seguridad y de control interno de la AEAT, apoyo a los rganos rectores de la Agencia en el cumplimiento de los objetivos, y presupuestacin, anlisis y seguimiento de los ingresos tributarios. El Servicio de Auditora Interna tambin se ocupa de la prevencin y deteccin de las conductas irregulares de los empleados de la organizacin, adems de formar parte de la Unidad Operativa del Consejo de Defensa del Contribuyente, que atiende las quejas y sugerencias y hace efectivo el derecho de los ciudadano a expresar su disconformidad con el funcionamiento de los servicios pblicos. . Agencia Estatal de Evaluacin de Polticas Pblicas y de la Calidad de los Servicios, desarrolla una actividad institucional en la que se une la voluntad de mejorar la calidad de los servicios pblicos con la de racionalizar el uso de los recursos pblicos y rendir cuentas ante los ciudadanos. La Agencia es un organismo pblico regulados en la Ley 28/2006, de 18 de julio, de Agencias estatales para la mejora de los servicios pblicos. La Agencia tiene como propsito contribuir a: mejorar los servicios pblicos y el conocimiento de los efectos en la sociedad de las polticas y programas pblicos, promover una mayor racionalidad del gasto pblico y la optimizacin en el uso de los recursos, favorecer la productividad y competitividad de la economa espaola eliminando trabas burocrticas, aumentar la rendicin de cuentas respecto a los ciudadanos y la calidad democrtica, promoviendo la transparencia y la participacin. La evaluacin de polticas pblicas tiene antecedentes en numerosos pases y actividades, en este sentido en Espaa, se crea el Observatorio de la Calidad de los Servicios pblicos, regulado por el Real Decreto 951/2005, que debe informar peridicamente del nivel de calidad con que se prestan los servicios pblicos, presentando y difundiendo anualmente un informe de evaluacin global de los servicios analizados.
-8-
. Consejo Superior de Administracin Electrnica, creado por Real Decreto 589/2005 de 20 de mayo, es un rgano colegiado adscrito al Ministerio de Administraciones
conservacin de la aplicaciones cuyo resultado sea utilizado para el ejercicio de potestades, aprobados por Resolucin de 28 de mayo de 2003, MAGERIT versin 2, se trata
Pblicas y encargado de la preparacin, elaboracin, desarrollo y aplicacin de la poltica y estrategia del Gobierno en materia de tecnologas de la informacin, as como del impulso e implantacin de la Administracin electrnica en la Administracin General del Estado (AGE). Puede actuar en Pleno y en Comisin Permanente. El Pleno es presidido por el Ministro de Administraciones Pblicas y entre sus vocales se encuentran todos los Subsecretarios de los Ministerios. Entre sus funciones destaca: el desarrollo de polticas y estrategias en materia de tecnologas de la informacin, la planificacin y elaboracin de directrices generales que sirvan de base a los planes estratgicos departamentales en materia de tecnologas de la informacin, asesoramiento y consultora en materia presupuestaria, recursos humanos y organizacin de las tecnologas de la informacin, cooperacin con las comunidades autnomas y entidades locales en la puesta en marcha de servicios pblicos interadministrativos, as como con la Unin Europea y con organizaciones internacionales, funciones de seguridad en colaboracin con el Centro Criptolgico Nacional del Centro Nacional de Inteligencia, difundiendo medidas de seguridad de tecnologas de informacin, adquisicin de material de cifra y formando especialistas en seguridad de los sistemas, organizando conferencias y otras actividades para el intercambio de experiencias, anlisis y estudio de la situacin de la administracin electrnica, actuando como Observatorio de la Administracin Electrnica. Entre otras actividades de produccin y difusin de estndares y recomendaciones (METRICA versin 3, SICRES, Guas tcnicas aplicables a la contratacin de bienes y servicios de tecnologas de la informacin y las comunicaciones) cabe citar los relacionados con la seguridad de los sistemas de la informacin: los Criterios generales de seguridad, normalizacin y de una metodologa de Anlisis y Gestin de Riesgos de los sistemas de informacin, y su herramienta PILAR, procedimiento informtico-lgico para el anlisis y la gestin de los riesgos de un sistema de informacin; el consejo impulsa tambin el proyecto del Esquema Nacional de Evaluacin y Certificacin de la Seguridad de los Sistemas de Informacin a travs de un Grupo ad hoc del Comit Tcnico de Seguridad de los Sistemas de Informacin y Proteccin de datos (SSITAD). El Centro Criptolgico Nacional tiene un notable protagonismo en este proyecto como organismo de certificacin, segn lo dispuesto en la Ley 11/2002 de 6 de mayo, reguladora del Centro Nacional de Inteligencia y en el Real Decreto 421/2004 de 12 de mayo, por el que se regula el Centro Criptolgico Nacional. Para resumir podemos concluir que en la Administracin, se desarrollan funciones de auditora de sistemas de informacin, segn hemos analizado en este apartado, en dos modelos principales (si el departamento de auditora interna forma parte de los rganos de control o si forma parte de los propios centros informticos. Debe tenerse presente que segn el tamao de la organizacin, la funcin de auditora informtica no necesariamente recaer en una unidad especfica, sino que podr ser una especializacin dentro de una unidad con ms alcance, como pueden ser las Inspecciones de los Servicios en la Administracin General del Estado (AGE). En el caso concreto de la Administracin Pblica que presta servicios electrnicos a los ciudadanos, se requiere el establecimiento de medidas tanto tcnicas como organizativas, que aseguren el mantenimiento de las garantas en los procedimientos y fortalezcan la confianza de los usuarios y administrados. El auditor informtico debe colaborar, para ello debe comprender los procesos de los servicios pblicos, evaluar programas y polticas pblicas para la mejora de la calidad de los servicios (con referencia a los modelos EFQM y EVAM), evaluar cartas de servicos, analizar la demanda de los usuarios, evaluar la satisfaccin de los usuarios, etc. 33.02. Administracin, planificacin
Uno de los marcos de referencia ms utilizados en auditora informtica es COBIT (http://www.isaca.org/cobit.htm), se trata de una institucin americana, dependiente del IT
-9-
Governance Institute que naci en 1996. Su misin y objetivos es investigar, desarrollar y promocionar objetivos de control relacionados con las Tecnologas de la Informacin a nivel internacional. COBIT se caracteriza por su orientacin al negocio, recopila un juego internacional de objetivos de control actualizados que cuentan con amplia aceptacin para su uso diario por parte de los encargados del negocio y de los encargados de Tecnologas de la Informacin. Recoge indicadores clave de rendimiento asociados a la mejora de procesos. Est diseado para utilizarse adems como lista de verificacin (LV), o construir LV basadas en l; busca equilibro entre 1) riesgos de negocio, 2) necesidades de control y 3) aspectos tcnicos. Proporciona prcticas saludables a travs de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lgica. Otro referente claro es ITIL. Originalmente creado por el gobierno del Reino Unido, ITIL resume las mejores prcticas de implementacin en la gestin de los procesos de Tecnologas de la Informacin. Define los procesos para desplegar y mantener servicios de TI (asimilables normalmente a aplicaciones) centrando su foco en el negocio. La filosofa ITIL gira alrededor de la gestin de incidencias como plataforma de comunicacin y de una base de datos que centraliza la de gestin de la configuracin (CMDB). En un vistazo general parece que COBIT se solapa considerablemente con ITIL, sin embargo COBIT tiene una clara influencia por el rea de seguridad: fusiones y adquisiciones, subcontratacin, auditora, son captulos clave en el marco de referencia COBIT.
033.02.01 Proceso de una auditora
Corresponde a la alta direccin de la organizacin soportar el mantenimiento de la funcin de auditora de sistemas de informacin para el control de los recursos propios. Para ello, adems de la estructura organizativa, deben definirse previamente el marco de las actividades que se llevarn a cabo en las auditoras informticas, que deben materializarse en un escrito que se denomina mandato de la funcin de auditora interna. Interesa indicar tambin las excepciones, lo que NO se va a auditar.
Figura 3. Pliego de prescripciones tcnicas para servicio de auditora externa
- 10 -
Si se requiere contar con apoyo externo se realizar un contrato de servicios que materializar el mandato para la auditora externa, siempre ser ste la norma que regular el proceso de auditora.
33.02.02 Estndares y normas tcnicas
Los instrumentos de normalizacin y estndares son amplios y variados, en funcin del sector a auditar, citaremos algunos de ellos: . NORMAS DEL SECTOR PUBLICO __ Normas de Auditora del Sector Pblico de la IGAE, que aunque no son especficas para la auditora informtica establecen un marco organizativo (disponible en www.igae.pap.meh.es/Internet/Cln_Principal/ClnPublicaciones/ClnNormasAuditoria). __ Resolucin de 23 de junio de 2003, del Instituto de Contabilidad y Auditora de Cuentas, por la que se publica la norma tcnica de auditora sobre la auditora de cuentas en entornos informatizados. __ Serie del Centro Criptogrfico Nacional Seguridad de las Tecnologas de la Informacin (consultar CCN-STIC en https://www.ccn-cert.cni.es), entre las que destacan: Serie 000 Polticas: CCN-STIC-001 Seguridad de las TIC en la Administracin. Serie 100 Procedimientos: CCN-STIC-101 Procedimiento de Acreditacin Nacional. Serie 200 Normas: CCN-STIC-201 Estructura de Seguridad. Serie 300 Instrucciones Tcnicas: CCN-STIC-301 Requisitos STIC. Serie 400 Guas Generales: CCN-STIC-402 Organizacin y Gestin TIC, CCN-STIC-406 Seguridad Wireless, CCN-STIC-408 Seguridad Perimetral Cortafuegos, CCNSTIC-430 Herramientas de Seguridad. Serie 500 Guas para Entornos Windows: CCN-STIC-503 Seguridad en Windows 2003 Server, CCN-STIC-504 Seguridad en Internet Information Server. Serie 600: Guas para Otros Entornos: CCN-STIC-601 Seguridad HP-UX, CCNSTIC-611 Seguridad SUSE Linux, CCN-STIC-621 Seguridad Sun-Solaris. __ Information Technology Infrastructure Library (ITIL) desarrollada por Office of Government Commerce del H.M.Teasury de UK Government, constituye una gua de las mejores prcticas para la gestin de servicios de tecnologas de la informacin (disponible en www.ogc.gov.uk). __ Serie de Publicaciones Especiales del Instituto Nacional de Estndares y Tecnologa de EE.UU. (NIST Special Publications disponibles en http://csrc.nist.gov/publications/nistpubs/index.html), entre las que destacan: SP-800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems SP-800-18 Guide for Developing Security Plans for Information Technology SP-800-26 Security Self-Assessment Guide for Information Technology Systems SP-800-34 Contingency Planning for IT Systems SP-800-53 Recommended Security Controls for Federal Information Systems SP-800-55 Security Metrics Guide for Information Technology Systems SP-800-61 Computer Incident Handling Guide SP-800-64 Security Considerations in the Information System Development Life Cycle. . RECOMENDACIONES DE ORGANIZACIONES INTERNACIONALES __ Control Objectives for Information and Related Technologies (COBIT) de la Asociacin de Auditora y Control de Sistemas de Informacin (ISACA), establecen un marco para la auditora informtica y son un referente empleado por muchas organizaciones (disponible en http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDis play.cfm&TPLID=55&ContentID=7981).
- 11 -
__ IS Standards, Guidelines and Procedures for Auditing and Control Professionals de ISACA, define los procedimientos a realizar en determinadas actuaciones de auditora informtica e incluye su cdigo de tica profesional (disponible en www.isaca.org). __ Instituto SANS (SysAdmin, Audit, Network, Security), publica varios programas (disponibles en www.sans.org), entre los que destacan: SANS Security Policy Project: plantillas con distintas polticas de seguridad. SANS SCORE (Security Consensus Operational Readiness Evaluation): mejores prcticas y mnimos requerimientos de seguridad para diversos sistemas y software base. SANS/FBI Top20 Vulnerabilities List.
. NORMAS INTERNACIONALES __ Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, actual ISO/IEC 27002. __ Especificaciones para los sistemas de gestin de la seguridad de la informacin (SGSI) ISO/IEC 27001:2005. __ Criterios comunes de evaluacin de la seguridad de las tecnologas de la informacin ISO/IEC 15408:2005 (Common Criteria for Information Technology Security Evaluation Versin 2.3 Agosto 2005, disponible en http://www.oc.ccn.cni.es/ccv2.3_es.html), desarrollados por los organismos de normalizacin CSE - Canad, SCSI - Francia, BSI - Alemania, NLNCSA - Holanda, CESG - Reino Unido, NIST - EE.UU. y NSA - EE.UU.), y que comprende los siguientes documentos: ISO/IEC 15408-1:2005 Part 1 Intorduction and general model ISO/IEC 15408-2:2005 Part 2 Security fuctional requirements ISO/IEC 15408-3:2005 Part 3 Security assurance requirements. __ Gestin de la seguridad de las tecnologas de la informacin y las comunicaciones ISO/IEC 13335:2004, y que comprende los siguientes documentos: ISO/IEC 13335-1:2004 Part 1 Concepts and models for information and communications technology security management. ISO/IEC 13335-2 (en desarrollo) Part 2 Information security risk management o ISO/IEC 13335-3:1998 Part 3 Techniques fo the management of IT security ISO/IEC 13335-4:2000 Part 4 Selection of safeguards ISO/IEC 13335-5:2001 Part 5 Management guiadance on network security. __ Metodologa para la evaluacin de la seguridad de los sistemas de informacin ISO/IEC 18045:2005. . PROCEDIMIENTO ADMINISTRATIVO __ Real Decreto 263/1996, de 16 febrero 1996, que regula la utilizacin de tcnicas electrnicas, informticas y telemticas por la Administracin General del Estado (publicado en el BOE de 29/02/1996). __ Legislacin sobre registros telemticos: Real Decreto 72/1999 que regula la presentacin de solicitudes, escritos y comunicaciones ante la AGE, la expedicin de copias de documentos y devolucin de originales y el rgimen de registros (publicado en el BOE de 22/05/1999); Real Decreto 209/2003 que regula los registros y notificaciones telemticas, utilizacin de medios telemticos para la sustitucin de certificados (publicado en el BOE de 28/02/2003), y la Orden PRE/1551/2003 que desarrolla su disposicin final primera (publicada en el BOE de 13/06/2003). __ Resolucin de la Secretara de Estado de Administracin Pblica del 26 de mayo de 2003 que dispone la publicacin del acuerdo del Pleno de la Comisin Interministerial de Adquisicin de Bienes y Servicios Informticos que aprob los criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas por la AGE en el ejercicio de sus potestades (disponible en www.csi.map.es/csi/pg5c10.htm).
- 12 -
__ MAGERIT Versin 2, Metodologa de anlisis y gestin de riesgos de los sistemas de informacin (disponible en www.csi.map.es/csi/pg5m20.htm). . PROTECCION DE DATOS DE CARCTER PERSONAL __ Ley Orgnica 15/1999, de proteccin datos de carcter personal (publicada en el BOE de 14/12/1999). Disponible en https://www.agpd.es/index.php?idSeccion=77. __ Reglamento de medidas de seguridad de los ficheros automatizados que contienen datos de carcter personal (publicado en el BOE de 25/06/1999, y se espera su actualizacin en 2006).
33.02.03 Planificacin
La planificacin consiste en la fijacin de objetivos y metas, as como en la propuesta de estrategias, polticas y programas tendentes a alcanzarlos. Las actuaciones de Auditora Informtica requieren una planificacin en tres niveles. En el primero de ellos se define qu se debe auditar, estipulando las prioridades. Las acciones a emprender sern consecuencia de: __ Requerimientos legales (en este nivel de planificacin, los estndares y las normas tcnicas tambin se pueden emplear como referente del marco de control a supervisar). __ La sensibilidad de la organizacin a determinados riesgos o vulnerabilidades que puedan poner en peligro la confianza de los administrados (el resultado de un anlisis de riesgos). __ El resultado de auditoras anteriores. En el segundo nivel se decide cundo auditar, priorizando las actuaciones a realizar, y ajustando el alcance de las mismas a los recursos disponibles. Por ltimo, en el tercer nivel se estipula el detalle de cmo realizar las actuaciones previstas en ese plan, que se materializarn en actuaciones concretas. Como paso previo a cualquier actuacin de campo, el equipo de auditora designado deber definir los trabajos a realizar para poder establecer los objetivos perseguidos. Debe obtenerse toda la informacin preliminar sobre la actividad llevada a cabo por el rea sujeta a la actuacin de auditora, en especial el esquema organizativo de control interno, contra el cual se efectuar la evaluacin: polticas, normas, procedimientos e instrucciones tcnicas aplicables al alcance de la actuacin. De no existir un marco de control definido en la organizacin se podrn emplear como referencia estndares de organizaciones internacionales (ISO, Instituto Sans, etc.), o conjuntos de buenas prcticas de organismos de reconocido prestigio (COBIT, NIST, Serie CCN-STIC del CNI, etc.). Si el rea en cuestin ha sido auditada con anterioridad, debe revisarse la documentacin previa para familiarizarse con las operaciones llevadas a cabo, y debern identificarse y revisarse todos los cambios realizados desde entonces. Con toda la informacin el equipo auditor podr definir los objetivos detallados de la actuacin, realizar un calendario tentativo, identificar los interlocutores, establecer el tipo de informacin a recopilar y las verificaciones o pruebas de campo a efectuar durante la actuacin. En definitiva, estructurar los contenidos en un Guin de la Actuacin que se emplear para sistematizar las tareas. En el apartado 03.04.01 analizaremos en detalle el proceso de planificacin de la auditora, detenindonos en cada una de sus fases.
033.02.04 Auditora asistida por ordenador y software de auditora informatizada.
Existen herramientas, en general productos informticos, que facilitan la generacin de muestras, se emplean para interrogar a los sistemas de informacin o para extraer informacin que luego ser tratada por otra herramienta de anlisis. El empleo de herramientas asegura independencia en el proceso de recoleccin de los datos, y suelen tener las siguientes caractersticas: Acceso a distintas estructuras o formato de datos; reorganizacin de archivos, incluyendo indexacin, clasificacin fusin y cruce; sSeleccin de datos, filtrado y aplicacin de
- 13 -
criterios de bsqueda; funciones estadsticas (muestreo, estratificacin y frecuencias); funciones aritmticas. No siempre sern productos especficos, ya que las herramientas o utilidades de los sistemas operativos o de los sistemas gestores de bases de datos pueden emplearse para estos fines, dado que recogen datos de los controles efectivamente implementados en los registros de eventos (logs). Las ventajas del uso de herramientas de auditora informtica son: disminucin del riesgo propio del proceso de auditora en la recoleccin de datos; mayor independencia; mayor cobertura y ms consistentes al poder emplear un alto nmero de datos, analizando ms y mayores muestras; mayor disponibilidad; ahorro de costes con el tiempo. Existen productos de software, suelen denominarse CAATT (herramientas y tcnicas de auditora asistida por ordenador) que permiten realizar auditorias informatizadas en varias plataformas. Estos productos pueden realizar las siguientes funciones: - metodologas de anlisis de riesgos, permiten personalizar los criterios de riesgo para cada organizacin, - planificacin de auditoras, - generacin y gestin de los papeles de trabajo, - generacin de informes, - procedimientos de tramitacin de los informes, - obtencin de copias para archivo, - estadsticas de las actuaciones, - administracin y gestin de la seguridad del producto. Suelen incorporan adems las tcnicas ms sofisticadas de anlisis de ficheros y extraccin de datos, con objeto de detectar la manipulacin o fraude y permitir el seguimiento continuo de los procesos de las organizaciones. Cuentan con herramientas como: Cuestionario general inicial. Cuestionarios Checklist. Estndares. Monitores. Simuladores (Generadores de datos). Paquetes de auditora (Generadores de Programas). 033.03. Organizacin, infraestructura tcnica
En casi todas las grandes empresas y organizaciones, los auditores internos se organizan en un Departamento de Auditora Interna separado, dependiente de la alta direccin y que constituye un rgano especializado de control. El tamao de este departamento depende del tipo de participacin en el control interno que tenga atribuido el departamento dentro de la organizacin. En el caso de la Adminitracin Tributaria, por ejemplo, se sugiere en documentos internacionales que debera contar con un 0,5 a 1 % del personal de la organizacin. Las funciones desempeadas por este departamento suelen ser: establecer, mantener y mejorar controles efectivos (evaluando su eficacia y eficiencia), contribuir al establecimiento, mantenimiento y mejora del sistema de gestin de riesgos, velar por el mantenimiento de la seguridad en la organizacin (sugiriendo mejoras aplicables a la seguridad de los activos, y la seguridad fsica y lgica), pueden dedicarse tambin a cuestiones relativas a la regulacin de normas de conducta del personal (promocin de valores ticos, prevencin y deteccin de conductas irrregulares), y por ltimo pueden ejercer como rgano de asesora y consultora al servicio de la direccin de la organizacin.
033.03.01 Esquema Organizativo de la Funcin de Auditora. Modelos Organizativos.
. En un primer modelo, al igual que en los departamentos de auditora interna de las organizaciones privadas, los auditores de sistemas de informacin forman parte de los rganos de control, supervisin o auditora interna (intervenciones, inspecciones generales, servicios de auditora, etc). Actan: ejerciendo la supervisin del control interno y el anlisis y gestin de riesgos en relacin con los sistemas de informacin de la organizacin, realizando auditoras totales o parciales de los sistemas informticos de la organizacin en la que se encuadran; participando, en su mbito de especializacin, en consultoras o asesoramiento a la organizacin en la que desarrollan sus actividades.
- 14 -
Fig.4
Modelos organizativos para la auditora informtica
. El otro modelo incluye el trabajo de los auditores informticos en los propios centros informticos. En este caso, las actividades de auditora se suelen concebir como un instrumento utilizado por los responsables directivos del centro para garantizar la seguridad y la calidad de las operaciones e identificar y mitigar los riesgos. La primera opcin permite una mayor independencia del auditor al distanciarse en mayor medida del sujeto de su actuacin. La segunda opcin ofrece una implicacin ms directa en las tareas destinadas a mejorar la calidad y asegurar el funcionamiento de los sistemas de informacin, que se llevan a cabo en los propios Centros Informticos. En cualquier modelo organizativo elegido, han de cumplirse unos principios necesarios para que la funcin de auditora pueda desarrollarse con xito: __ Independencia: es esencial que no se asigne o encuadre dentro de un rgano que tenga asignadas funciones operativas. Asimismo, el personal designado para desempear las funciones de auditora no debera participar en la preparacin y desarrollo de procedimientos, o tomar decisiones ejecutivas que comprometieran su funcin en auditoras posteriores. __ Autoridad: los auditores deben tener acceso no restringido a la informacin, datos, informes, actividades y al personal de todas las unidades sujetas a auditar.
033.03.02 El auditor informtico. Perfil tcnico. tica profesional.
Perfil tcnico En el mbito del sector privado existen organizaciones profesionales que habilitan a un profesional como auditor informtico mediante la certificacin profesional que gestionan. Una certificacin profesional es un servicio de valor aadido cuya finalidad es generar confianza en la capacitacin personal para ejercer profesionalmente para aquellos profesionales que satisfacen y acreditan un determinado nivel tanto de conocimientos como de experiencia. En general, las reas de conocimiento requeridas para cubrir el perfil profesional de un auditor pueden ser: __ Tcnica o metodologa de auditora informtica. __ Gestin, planificacin y organizacin de las tecnologas de la informacin. __ Infraestructura tcnica, prcticas operativas y proteccin de activos informticos. __ Recuperacin de desastres y continuidad de la actividad soportada por los sistemas de informacin.
- 15 -
__ Desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin. __ Evaluacin de procesos de negocio y gestin de riesgos. La certificacin se obtiene despus de aprobar un examen sobre esas materias, acreditar una experiencia profesional adecuada en el campo de las TIC y aceptar un cdigo de tica profesional; y se mantiene acreditando una formacin continua. En la siguiente figura se esquematiza la certificacin profesional.
Figura 5. Esquema de Certificacin Profesional

Existen diversas certificaciones profesionales en el mbito de las tecnologas de la informacin, gestionadas en general por asociaciones profesionales, asociaciones industriales y por productores de hardware y software. Entre las ms conocidas relativas a la auditora de los sistemas de informacin, destacan las emitidas por la Asociacin de Auditora y Control de Sistemas de Informacin (Information Systems Audit and Control Association, ISACA): - CISA, Auditor Certificado de Sistemas de Informacin (Certified Information Systems Auditor). - CISM, Gestor Certificado de Seguridad de la Informacin (Certified Information Security Manager). tica profesional Adems de los conocimientos y de la experiencia, o incluso de una certificacin, es imprescindible el cumplimiento de un cdigo de conducta en el ejercicio de la profesin, para asegurar la credibilidad del profesional. Como ejemplo reproducimos el cdigo de tica profesional definido por ISACA, de obligado cumplimiento para sus miembros y para los poseedores de las certificaciones CISA y CISM:
- 16 -
Figura 6. Cdigo tico Profesional-ISACA

Para los profesionales de la Administracin Pblica no existe un cdigo de estas caractersticas, pero como funcionarios estn sujetos a mantener una conducta y diligencia profesional adecuada. A diferencia de un cdigo de conducta, el Real Decreto 33/1986, de 10 de enero, aprueba el Reglamento de Rgimen Disciplinario en la AGE en el que se estipulan las faltas, que cometidas por funcionarios en el ejercicio de sus cargos podran suponer la aplicacin de sanciones disciplinarias. Entre ellas se citan: __ Adopcin de acuerdos manifiestamente ilegales que causen perjuicio a la Administracin. __ No guardar el debido sigilo respeto a los asuntos que conozca por razn de su cargo. __ Descuido o negligencia en el ejercicio de sus funciones. __ Incumplimiento de sus deberes y obligaciones. Los Subsecretarios de los Departamentos ministeriales son los que ostentan la competencia para ordenar la incoacin del expediente disciplinario. Con la publicacin en la Ley del Estatuto Bsico del Empleado Pblico (7/2007 de 12 de abril) de los deberes bsicos de los empleados pblicos, fundados en principios ticos y reglas de comportamiento, se constituye un autntico cdigo de conducta con unos principios ticos a los que los empleados pblicos debern ajustar sus actuaciones.
- 17 -
33.03.
Prcticas operativas
Vamos a analizar ahora el desarrollo de una auditora especfica centrada en tecnologas de informacin. El proceso de trabajo se descompone en diferentes fases: Planificacin de la auditora. Desarrollo de la auditora propiamente dicha, se centra en el examen y evaluacin de la informacin obtenida en la fase previa. Comunicacin de los resultados. Seguimiento de las recomendaciones. Se analizan en el apartado siguiente estas cuatro fases.
033.04.01 El proceso de la auditora de sistemas de informacin ( planificacin de la actuacin, formalizacin del inicio, trabajos de campo, evaluacin de la informacin, comunicacin de los resultados, seguimiento).
PLANIFICACION DE UNA AUDITORIA Consiste en su preparacin, se materializa en la elaboracin de un guin de auditora o plan de trabajo (meno denso que el guin) en el que se recogen los objetivos y el alcance de la auditora, la metodologa a seguir, y las actividades a desarrollar. - Los objetivos de la auditora definen lo que se pretende conseguir con la misma. - El alcance define los lmites del trabajo, es decir su mbito de actuacin funcional y territorial. - Los procedimientos de auditora son los mtodos5 aplicados para conseguir los objetivos de la auditora y comprenden tanto los relativos al trabajo de recogida de informacin como los mtodos que se usan en su anlisis. Los auditores deben disear la metodologa de forma que se obtengan pruebas que sustenten evidencias o hallazgos suficientes, relevantes y competentes para cumplir con los objetivos de la auditora. La fase de planificacin se utiliza para obtener conocimientos generales y especficos sobre el rgano o actividad auditadas, que permitan entender los hechos y prcticas realizadas en relacin con los objetivos y alcance de la auditora. El trabajo de planificacin concluye con la confeccin de un plan de trabajo o guin de auditora. El guin incluye los siguientes apartados: identificacin de los aspectos tcnicos, riesgos, procesos y actuaciones que deben revisarse; naturaleza y extensin de las pruebas requeridas; definicin de los procedimientos de auditora que deben aplicarse para captar, analizar e interpretar la informacin; documentos e instrumentos que se van a utilizar en las actuaciones de auditora, en particular las muestras que deben tomarse y la forma de obtenerlas; cronograma detallado de las actividades a realizar junto con el personal del equipo de auditora asignado a cada tarea. FORMALIZACIN DEL INICIO DE LA ACTUACIN El inicio de la actuacin debe formalizarse mediante una notificacin del responsable de la unidad de auditora de la organizacin dirigido al responsable de la unidad auditada, en la que se identifice al equipo auditor y el objeto de la accin a llevar a cabo. En algunas ocasiones, pueden darse circunstancias que lleven a que no se enve notificacin previa.
______________________________________________________________________________________ 5.- Mtodo: Conjunto de reglas ciertas y fciles gracias a las cuales, quien la observe con exactitud, no tomar nunca lo falso por verdadero y llegar, sin realizar un esfuerzo intil de la mente, sino aumentando siempre la ciencia de modo gradual, al verdadero conocimiento de todo aquello que sea capaz,Regulaee ad Directionem Ingenii IV. Ren Descartes.
- 18 -
Los trabajos siempre comenzarn manteniendo una reunin entre el equipo auditor y el mximo responsable de la unidad auditada, para dejar establecido el alcance y la planificacin de los trabajos. Durante la entrevista, convenida de mutuo acuerdo y en la ubicacin fsica de la unidad auditada, el equipo auditor describir el proceso a llevar a cabo, el tipo de auditora a realizar, la informacin que necesitar recopilar durante la actuacin, las pruebas y verificaciones que se harn y la colaboracin requerida por parte del personal del rea para que haga accesible la informacin solicitada y permita la realizacin de las comprobaciones que determine el equipo auditor. Se designar el interlocutor del rea auditada para ayudar al equipo auditor, y se identificarn el resto de los interlocutores. Asimismo, si el rea auditada deseara que fuera revisado algn proceso inicialmente no previsto, deber sealarlo en esta fase de la actuacin. El equipo auditor debe tener presente que su trabajo debe minimizar las interferencias con el desarrollado en el rea auditada, evitando realizar la actuacin durante perodos de trabajo estacional; los auditados deben tener presente su deber de colaboracin con el equipo auditor. Durante la auditora se obtiene, analiza y documenta informacin de diversas fuentes, como registros informticos, informacin documental, informacin testimonial (entrevistas, cuestionarios, informes solicitados,..) que requieren un trabajo de campo. TRABAJOS DE CAMPO En esta fase del proceso de auditora, el equipo auditor recopilar informacin adicional con el fin de obtener evidencias e identificar hallazgos que reflejar como conclusiones de la actuacin. Si la unidad no ha sido previamente auditada, el esfuerzo para obtener evidencias puede ser importante ya que no se puede dar nada por conocido y todo debe ser recogido o contrastado con pruebas materiales. Si existiera una auditora previa, el esfuerzo se centrar en identificar los cambios operacionales o tcnicos desde la ltima actuacin. Evidencia En auditora se entiende por evidencia cualquier informacin empleada por el auditor para determinar si el proceso que se est auditando cumple con los criterios y objetivos de la auditora. En el Diccionario de la Real Academia Espaola se define evidencia como certeza clara y manifiesta de la que no se puede dudar, y en una acepcin ms jurdica como prueba determinante en un proceso. Las conclusiones que se reflejarn posteriormente en el informe de auditora, debern estar basadas en evidencia suficiente, relevante y competente: __ Suficiente: En la cantidad necesaria para que puedan soportar las conclusiones del auditor, es decir que sean suficientes para persuadir a una persona razonable de la validez del resultado. Se pueden emplear mtodos estadsticos para determinar el tamao de las muestras o la cantidad de pruebas a realizar. __ Relevante: Si tiene relacin lgica y ajustada al objeto de la actuacin. __ Competente: Que sea vlida, tenga calidad, y ser consistente con el hecho a demostrar. Los auditores pueden encontrar til obtener por escrito las opiniones dadas verbalmente por los responsables auditados, lo que confirmara la competencia de la evidencia obtenida, y reducira malas interpretaciones. La forma de determinar la suficiencia, relevancia y competencia de una evidencia depender del origen de la misma: __ Datos obtenidos por el equipo auditor: Segn el diseo y las tcnicas de recoleccin de evidencias ms adecuadas, y la habilidad del auditor para obtener los datos. __ Datos recogidos por los auditados: Podrn emplearse como evidencias determinando la validez y credibilidad de los mismos. El grado de fiabilidad de las evidencias que se obtengan depender de una serie de factores: __ Independencia del proveedor de la evidencia: Una fuente externa al rea auditada ser en un principio ms confiable. __ Calificacin del entrevistado: Debe determinarse su entendimiento tcnico del rea en revisin.
- 19 -
__ Objetividad: Se primarn las evidencias objetivas frente a aquellas que requieran opinin o interpretacin, ya que introducen subjetividad. __ Tiempo de disponibilidad: Considerar el tiempo durante el cual puede estar disponible la evidencia. Si es voltil, se debe emplear una tcnica que asegure contar con ella. Segn su naturaleza, las evidencias se pueden clasificar en: __ Fsicas: Obtenidas directamente por los auditores mediante inspeccin directa u observacin. Pueden documentarse en memoranda, fotografas, dibujos o esquemas, muestras fsicas. __ Documentales: Documentos existentes, como cartas, informes, contratos, procedimientos, etc. __ Testimoniales: Obtenidas del personal auditado como resultado de entrevistas, cuestionarios o listas de verificacin. __ Analticas: Elaboradas por el equipo auditor mediante comparaciones, separacin de informacin en componentes, clculos o empleo de argumentos razonados. Finalmente sealar que en todo caso, si se demuestra la existencia de errores en los datos que no podrn soportar la evidencia como vlida, ser necesario: __ Buscar otras fuentes de evidencia. __ Redefinir los objetivos de la auditora para eliminar la necesidad de contar con datos. __ Usar los datos, pero sealando en el informe las limitaciones de los mismos, evitando hacer conclusiones o recomendaciones sin garantas. Ejemplos de evidencias vlidas La obtenida de una tercera parte independiente es ms competente que la ofrecida por el rea auditada. La obtenida de un sistema con un control efectivo ms que la ofrecida por un sistema con un control dbil. La obtenida por el equipo auditor directamente en una inspeccin fsica frente a la obtenida indirectamente. Documentos originales frente a copias. Testimonios de personas que se expresen libremente frente al de personas coaccionadas. Evidencia frente a opinin de un experto. Tcnicas para la recoleccin de evidencias - Revisin de documentos Permitirn que el equipo auditor adquiera el entendimiento del entorno de los sistemas a auditar. Los documentos a estudiar en primer lugar sern aquellos solicitados en la entrevista que formaliz el inicio de la actuacin, o las que se mantengan con interlocutores de alto nivel. Se debe obtener informacin documental al menos sobre: __ Estructura organizativa: Organigramas, puestos de trabajo, definicin de competencias y distribucin de funciones, etc. Se buscar una adecuada separacin o segregacin de funciones, y el nivel de control que provee el modelo implementado. __ Polticas, normas y estndares: Se determinar su existencia y si son apropiados. __ Documentacin de los sistemas de informacin: Se determinar la existencia, y si son apropiados (estudios de viabilidad, requerimientos funcionales de usuario, planes de prueba, manual operaciones, registros de cambios, manuales de usuario), documento relacionados con la seguridad (evaluaciones de riesgos, planes contingencia, etc.) - Entrevistas Tienen como finalidad la obtencin de informacin y averiguar el grado de conocimiento de los entrevistados sobre el sistema de control que ser objeto de la auditora. Deben organizarse con antelacin suficiente, siguiendo un patrn, y documentarse preferentemente con notas escritas. Como material de apoyo se pueden emplear listas de verificacin o cuestionarios. Debe tenerse presente que el objeto de la entrevista es recoger evidencias por descubrimiento, y en ningn caso ser acusatorias. Segn el momento en que se realicen y el tipo de informacin recopilada, se pueden clasificar en:
- 20 -
__ Preeliminares: Se mantienen con interlocutores de nivel directivo alto/medio. Se debe aclarar el objeto o motivo de la actuacin, as como la colaboracin esperada. En esta fase se documentarn las entrevistas, se solicitarn organigramas, documentos de planificacin general, y documentacin sobre el sistema de control aplicado. __ De detalle: Se mantienen con los mandos con responsabilidad directa en la ejecucin de los controles y con responsables tcnicos. Se podr solicitar cumplimentar un cuestionario detallado o una encuesta, y podr requerirse documentacin detallada sobre el proceso evaluado. Estas entrevistas permitirn posteriormente evaluar el cumplimiento de las normas, procedimientos y estndares reconocidos. Si durante ese proceso el equipo auditor encontrase controles y procedimientos operativos adecuados, proceder con las siguientes actividades previstas para la actuacin. Si por el contrario, se detectasen deficiencias significativas, los hallazgos debern ser documentados e informados inmediatamente. __ De seguimiento: Durante todo el proceso de la auditora se podrn mantener reuniones breves con la direccin del rea auditada para informarle sobre los hechos observados en la actuacin, y aclarar dudas o corregir malos entendimientos e inexactitudes. Se proporciona as la oportunidad a la unidad auditada de tomar inmediatamente medidas correctivas si fuese posible. - Pruebas y verificaciones de campo __ Pruebas de cumplimiento: Orientadas a comprobar que se cumplen determinados procedimientos de control o procesos establecidos y que funcionan segn lo esperado. Las pruebas se pueden emplear no slo para probar la existencia de controles, sino para medir la efectividad del proceso de control. Ej: verificar que en las libreras de programas las versiones de los programas fuentes y objeto son las mismas; asegurar que se siguen pasos predefinidos para el paso a produccin; comprobar que ningn usuario sin permisos pueda acceder a aplicaciones o a datos. __ Pruebas sustantivas (o de validacin): Se aplican para detectar la presencia o ausencia de errores en los procesos o controles. Se pueden aplicar muestreos estadsticos o buscar especficamente las operaciones de mayor riesgo. En ocasiones se pueden combinar una prueba de cumplimiento y una sustantiva, ej. el uso de datos de prueba que por generen errores lgicos en un programa, asegurando la existencia de controles que los detecten, y por adems midan la exactitud de los clculos, validando los mismos. La observacin de la ejecucin de los procesos y la intervencin de las personas en ellos no debe obstruir en ningn momento el trabajo del rea auditada. Ej. de pruebas sustantivas: verificar que se registran adecuadamente en el inventario informtico la informacin requerida de los elementos; definir juegos de datos de prueba con los que se comprobar la integridad de clculo de las rutinas de un programa de aplicacin. - Hallazgos Slo se podrn considerar como hallazgos de la auditora a los criterios, condiciones y efectos que permitan documentar los problemas encontrados, que dependern del objeto de la auditora. Se entiende por criterio un estndar empleado para determinar si el objeto de la revisin cumple las expectativas para lo que fue pensado, por ejemplo, estndares o normas tcnicas. Por condicin se hace referencia a la situacin que existe y se ha determinado y documentado durante la entrevista, por ejemplo, la falta de elementos de extincin de incendios. Por efecto entendemos las consecuencias de una condicin, que pueden variar un criterio identificado en la auditora, y evidencian la necesidad de medidas correctivas, como por ejemplo, la falta de extintores aumenta el riesgo de no poder controlar un conato de incendio.
o haciendo los existentes ms estrictos.
Impacto de un hallazgo segn su materialidad Bajo => descripcin del hallazgo como vulnerabilidad a la que se expone el sistema. Medio => se refleja en el informe como posible debilidad del sistema de control. Alto => se identifica como una debilidad que debe compensarse o anularse con ms controles,
- 21 -
EVALUACIN DE LA INFORMACIN Al finalizar los trabajos de campo, el equipo de auditora deber revisar toda la informacin recopilada as como los hallazgos. En esta fase se valorar el cumplimiento de las normas, de los procedimientos y de los estndares reconocidos, y se determinar si los procedimientos tienen una estructura de control adecuada, que sea efectiva en trminos econmicos, y que provea una adecuada seguridad para que las tareas se realicen segn lo previsto, y que el objetivo o punto de control se cumple. Todo el anlisis debe estar justificado con evidencias recogidas en la actuacin. COMUNICACIN DE LOS RESULTADOS La comunicacin de los resultados obtenidos en la auditora se realiza mediante informes de auditora. Al final del proceso de la auditora se mantendr una reunin de cierre con el mximo responsable de la unidad auditada (quien haya participado en la reunin de lanzamiento), con objeto de comunicar los principales hallazgos de la actuacin. Tras la cual el equipo de auditora comienza a redactar el borrador del informe, que incluir todos los hechos, hallazgos, conclusiones y recomendaciones. La redaccin debe ser clara y concisa. Los informes de auditora deben someterse a un procedimiento de tramitacin, generalmente contradictorio. Esto significa que el rgano o entidad auditada tienen la posibilidad de plantear, en un plazo prefijado, observaciones o alegaciones al informe preliminar, que son evaluadas por los auditores al elevar el informe definitivo. SEGUIMIENTO CONTINUO En el informe se podr sealar que las recomendaciones que deben ser llevadas a cabo en un perodo de tiempo determinado a contar tras su recepcin, o ser la direccin de la organizacin quien decida cundo y cmo llevar a cabo las recomendaciones. En las recomendaciones el auditor propone soluciones a los problemas detectados basadas en su experiencia profesional y plantea mejoras con vistas a conseguir que la organizacin cumpla sus objetivos. No suelen ser directamente ejecutivas (de obligado cumplimiento por parte del auditado).
- 22 -
Figura 7. Etapas del proceso de auditora informtica

33.04.02 Guas de Auditora de los sistemas de informacin (guin, puntos de control)
Aunque cada auditora es nica, se pueden encontrar similitudes entre ellas para los mismos objetivos de control, y en especial si tienen un carcter peridico. El guin, los documentos preliminares empleados para su elaboracin, y los documentos en que se apoyarn las evidencias que se recogern durante los trabajos de campo, constituyen los conocidos como papeles de trabajo, que tienen los siguientes fines: __ Son el principal soporte para la elaboracin del informe de auditora. __ Ayudan al auditor a llevar a cabo la auditora. __ Permitiran a terceros evaluar la calidad de las acciones realizadas. En cualquier caso, debe tenerse presente que el guin elaborado en la fase inicial de la auditora es necesariamente un documento vivo, ya que al comenzar a desarrollar los trabajos puede ser necesario modificar las tareas previstas inicialmente, ya sea en su nmero como en su detalle, para ajustarlas a lo que se vaya percibiendo durante la actuacin. Por lo tanto, durante la actuacin el guin ir reflejando las actividades realmente desarrolladas en la actuacin, y la versin final deber incluir: __ Objetivos, alcance y metodologa empleada, sealando los criterios a utilizar para recoger las muestras a emplear en la realizacin de las pruebas. __ Documentar el trabajo realizado para soportar las conclusiones del informe. __ Evidencias para la revisin del trabajo realizado, sealando las referencias al resto de los papeles de trabajo. En la siguiente figura se resume el esquema para elaborar el guin de una actuacin.
- 23 -
Figura 8. Proceso de elaboracin del guin de actuacin

Punto de control Seala el objetivo de control a supervisar para ver en qu forma se tienen identificados y bajo control los riesgos asociados. En funcin del objetivo y alcance de la actuacin podrn definirse varios puntos de control, que sern las consideraciones genricas a tener presentes durante la actuacin. Directriz de auditora Para cada punto de control identifica qu tareas deben efectuarse con carcter previo o durante la actuacin, desde la obtencin de la comprensin del entorno a auditar (incluida la obtencin de evidencias), la evaluacin de los controles existentes, la valoracin de la suficiencia y adecuacin de los mismos, y la justificacin de los hallazgo. El nivel de detalle de las directrices depender de los puntos de control, determinar los medios y las tcnicas de auditora que deben emplearse, lo que condicionarn el calendario de la actuacin. __ Identificacin de medios: En funcin de las directrices se identificarn con qu medios humanos y tcnicos se llevar a cabo la actuacin. Si las habilidades o conocimientos del equipo propio no se ajustasen a lo requerido, o se vieran inhibidos por haber participado en el desarrollo de una actividad en el rea auditada, ser necesario llevar a cabo la contratacin de un servicio de apoyo externo. En cuanto a los medios tcnicos, una vez identificados podr ser necesario la adquisicin de alguna herramienta de auditora para facilitar la obtencin o anlisis de evidencias. En ambos casos, estos hechos debern tener reflejo en el calendario previsto. __ Tcnicas a emplear: Identifican cmo se desarrollarn las tareas durante la actuacin. Ya hemos comentado previamente este apartado, sintentizamos rpidamente: . Solicitud y revisin de documentaci. . Entrevistas: Requieren su preparacin previa realizando una relacin de los temas a tratar, que no ser cerrada para evitar excluir asuntos que pudieran ser de inters.
- 24 -
. Encuestas: el documento o cuestionario debe contemplar en cada pregunta un apartado para observaciones cuando se requieran aclaraciones, o cuando exsita la posibilidad de responder Otros. Las encuestas pueden ser remitidas a los encuestados para que sean completadas, y podra considerarse que fueran annimas. . Observacin del trabajo realizado: Consiste en comprobar como un usuario o profesional realiza su trabajo y que los resultados obtenidos se ajustan a lo esperado, es decir, que la eficiencia sea ptima. Para verificar los controles establecidos se podr solicitar la ejecucin de situaciones de riesgo o simular errores, evidenciar carencias o vicios adquiridos, etc. . Pruebas de cumplimiento: Comprobaciones para determinar qu procedimientos o controles especficos estn adecuadamente establecidos, recogiendo evidencias de registros, documentos, observacin del funcionamiento de pruebas especficas, . Pruebas sustantivas: Comprobacin de la existencia o ausencia de errores o irregularidades, en especial cuando hay evidencia de controles insuficientes, carencias o vicios adquiridos, etc. . Uso de herramientas informticas: pueden ser especficas para la generacin de muestras, o las de la organizacin para interrogar los sistemas de informacin o para extraer informacin que luego ser tratada por otra herramienta de anlisis. Si los sistemas evaluados incorporan pistas de auditora, stas sern una valiosa fuente de informacin. Calendario Es fundamental realizar una planificacin de las tareas identificadas sealando en qu momento de la actuacin se llevarn a cabo. En todo caso, se negociar con ellos las fechas de las actuaciones y se les notificar la planificacin resultante para las entrevistas y comprobaciones. Si la metodologa marco empleada como instrumento es COBIT, sta ya cuenta con una directriz genrica para elaborar el guin de una actuacin, segn la siguiente figura.
Figura 9. Directrices genricas para auditoras.
- 25 -
El Comit Directivo de COBIT y el IT Governance Institute han elaborado el documento Directrices de Auditora, que seala para cada uno de los 34 objetivos de control de alto nivel los pasos a seguir, indica las directrices de auditora detalladas a tener en cuenta y las herramientas de auditora a emplear en la actuacin. Aunque dado lo genrico del planteamiento de COBIT, el auditor debe adecuar lo sealado por la metodologa y hacerlo aplicable al entorno de la organizacin auditada.
Puntos de control
Si la metodologa empleada es COBIT los puntos de control se obtienen a partir de los 34 objetivos de control de alto nivel, los que a su vez se subdividen en otros con mayor detalle. En COBIT los objetivos de control se agrupan en cuatro dominios que se corresponden con un ciclo de control de cuatro etapas: planificacin, implementacin, revisin y mejora. Cabran consideraciones similares al emplear otras referencias metodolgicas que sealan las mejores prcticas, como ITIL para la gestin de servicios TIC, o ISO/IEC 17999 para los sistemas de gestin de la seguridad de la informacin. Considerando que las auditoras informticas suelen enfocarse en el anlisis de situaciones de riesgos informticos en reas de actividades concretas, por ejemplo la seguridad fsica de los locales del centro de tecnologas de la informacin o la seguridad lgica de los sistemas de informacin, en este apartado se sealarn los principales puntos de control a tener en cuenta segn la naturaleza de la auditora. Se enumeran, sin ninguna pretensin de exhaustidad, algunos de los puntos de control ms habituales segn tipos de auditora. Auditora de la direccin de tecnologas de la informacin Se dirige a evaluar las reas de riesgo relativas a cmo se planifican, organizan, coordinan y controlan las actividades propias del rgano con responsabilidad y competencias en TIC. Los controles a tener en cuenta sern: __ Planificacin: Comit para la planificacin y seguimiento de actividades TIC, existencia de un Plan Director o Estratgico de Sistemas de Informacin y Comunicaciones, otros planes relacionados. __ Organizacin y coordinacin: Ubicacin de la Unidad con competencias TIC dentro de la Organizacin, descripcin de funciones y responsabilidades de la Unidad TIC, marco metodolgico, recursos humanos, gestin econmica, gestin de proyectos. __ Proteccin contra delitos informticos: medidas preventivas y controles sobre los sistemas de informacin para evitar su uso no autorizado o el de los datos, ya sea por personal propio, personal de apoyo o terceros. __ Control interno: Definicin de polticas y su desarrollo normativo, seguimiento, directrices de auditora interna, ajuste a la normativa vigente. Auditora de la seguridad Estas actuaciones se dirigen a evaluar la funcin de seguridad en la Organizacin, y cmo se articulan las medidas para controlar las vulnerabilidades de los entornos fsicos y lgicos TIC. __ Prcticas Comunes de Seguridad: Aspectos organizativos, polticas de Seguridad aplicados a los sistemas TIC, planes para contingencias y desastres, programas de seguridad, aspectos de personal, seguridad en los accesos de terceras partes a los sistemas TIC, cesin de datos e intercambio de informacin con terceras partes, gestin de incidencias, documento de seguridad de los datos de carcter personal. __ Objetivos de la Seguridad Fsica: Entornos fsicos e inventario de activos a proteger, establecimiento de reas seguras, proteccin contra siniestralidad natural y delictiva, proteccin contra el fuego, suministro elctrico, permetro de seguridad fsica y su proteccin contra la intrusin, controles de accesos a las instalaciones, proteccin de medios empleados para el respaldo de la informacin, seguridad en la reutilizacin o eliminacin de equipos y soportes
- 26 -
magnticos, actuacin en caso de sustraccin de equipos, contratos de soporte, asistencia, servicios de seguridad y plizas de seguros, mecanismos para la resolucin de incidencias. __ Objetivos de la Seguridad Lgica: Inventario de activos a proteger, proceso de autorizaciones, restricciones de acceso lgico a los sistemas, gestin de cambios en el software, mecanismos para el respaldo del software y datos seguridad de los datos, monitoreo y deteccin de actividades ilcitas. Auditora del equipamiento informtico __ Planificacin de la infraestructura tecnolgica: Acciones para determinar el ajuste y la evolucin de la infraestructura a los cambios tecnolgicos y al soporte de la actividad de la organizacin, plataforma HW y plataforma SW. __ Inventario: Se detectar el ajuste de los medios empleados a la legalidad vigente, y su uso como herramienta para la planificacin de otras reas, registro de los componentes, requerimientos legales y contractuales, planificacin de recursos. __ Mantenimiento HW: Se pasar revista a los procedimientos seguidos para asegurar la correcta operatividad del equipamiento informtico, adecuacin del personal propio, garantas de los productos, gestin de los contratos de mantenimiento, gestin de incidencias. __ Puestos de trabajo: Las acciones se pueden orientar en el anlisis de la especializacin, la proteccin de los recursos, los estndares de hardware y software, la proteccin de programas de ordenador, el almacenamiento de informacin, la formacin, el soporte a usuarios, etc. __ Redes de rea local: La actuacin se orientar a la evaluacin de los controles establecidos para minimizar los riesgos asociados en las reas centradas en desarrollo, explotacin, seguridad y comunicaciones, arquitectura y organizacin, aplicaciones soportadas en red, gestin de la red, seguridad de la red. Auditora de los desarrollos y mantenimiento de los sistemas de informacin Las acciones de verificacin comprendern todo el ciclo de vida del desarrollo de un proyecto, es decir desde que se toma la decisin de realizar un desarrollo hasta la entrega del mismo. Estos pasos generalmente se traducen en las siguientes fases de la actuacin: __ Metodologas empleadas __ Sistema de direccin __ Inicio del proyecto Estudio de viabilidad __ Fase de diseo __ Fase de desarrollo __ Fase de produccin y mantenimiento. Auditora de la explotacin de los sistemas de informacin Estas acciones tienen por objeto asegurar la correcta y segura operacin de los recursos para el tratamiento de la informacin. __ Procedimientos y responsabilidades de operacin: Documentacin de los procedimientos operativos, control de cambios operacionales, procedimiento de gestin de incidencias. __ Planificacin de los trabajos. __ Segregacin de tareas dentro de la Unidad: Separacin de recursos, entorno de pruebas, gestin de recursos externos. __ Proteccin contra software malicioso en productos externos o en desarrollos propios. __ Utilizacin y seguridad en los soportes de informacin. __ Intercambio de informacin con el exterior. __ Proteccin contra fraudes informticos: medidas tcnicas y organizativas adoptadas para evitar el uso fraudulento de datos o aplicaciones, o para contrarrestar posibles ataques informticos (caballo de Troya, puertas falsas, ataques internos, ataques externos, sustitucin de la identidad, pinchado de lneas, etc.) Auditora de la contratacin de bienes y servicios TIC En estas acciones de auditora se verificarn las polticas y los procedimientos de adquisicin establecidos por la Organizacin. Dado que en la Administracin Pblica los organismos estn sujetos al marco que establece la Ley de Contratos, su reglamento, as como otras disposiciones normativas; la auditora se centrar en verificar el cumplimiento de los mismos.
- 27 -
Adems, debe asegurarse que la interpretacin del marco legal se ha implementado con procedimientos internos adecuados, y que los mismos aseguran los principios de transparencia e igualdad de oportunidades para que los posibles oferentes puedan realizar la oferta ms conveniente para la Organizacin. __ Organizacin de la contratacin: Se analizar la fluidez y operatividad de las relaciones con otras unidades de la Organizacin o externas que intervienen en el proceso de contratacin. __ Criterios seguidos en la planificacin de las contrataciones: rea responsable, ajuste a los planes estratgicos y partidas presupuestarias, mecanismos para hacer frente a las demandas extraordinarias, criterios usados para la determinacin de los techos presupuestarios. __ Polticas y criterios para la adquisicin de bienes y servicios informticos: Formacin en contratacin TIC del personal tcnico directivo, criterios de contratacin (tipos de contratos), objeto del contrato con adecuado nivel de detalle, requisitos mnimos detallados y cuantificados, criterios de adjudicacin objetivos, clausulado especial incluido en los pliegos de clusulas especficas, criterios seguidos para la adjudicacin de los contratos. Otros tipos de auditoras de sistemas de informacin __ Control de accesos __ Bases de datos __ Tcnica de sistemas __ Calidad de los productos desarrollados __ Seguridad en las comunicaciones __ Gestin de la continuidad del servicio informtico __ Acreditacin de servicio de confianza. Tambin se debe hacer mencin a las actuaciones de auditora de sistemas de informacin que cubran requerimientos dados por la normativa vigente en Espaa, tales como: __ Proteccin de datos: Se deber analizar el grado de cumplimiento a las directrices establecidas por la Ley Orgnica 15/1999, de proteccin datos de carcter personal (LOPD) y por su reglamento. __ Aprobacin de programas que ejercen potestades: Se deber comprobar que los programas se adecuan a los procedimientos, segn lo establecido en el Real Decreto 263/1996, por el que se regula la utilizacin de tcnicas electrnicas, informticas y telemticas por la Administracin General del Estado, y su adecuacin a los criterios de seguridad, normalizacin y conservacin sealados por la Resolucin de la Secretara de Estado de Administracin Pblica del 26 de mayo de 2003. __ Registros Telemticos: Se deber identificar su existencia y comprobar el cumplimento de la legislacin asociada.
33.04.03 Informes de auditora
El objetivo fundamental del Informe de Auditora es la comunicacin de los resultados de la actuacin a los usuarios u rganos directivos competentes de la organizacin. Su redaccin debe ser clara para evitar en lo posible que se preste a interpretaciones diferentes a las que el auditor hubiese concluido. El informe adems servir para facilitar el seguimiento y comprobar posteriormente que se han tomado las acciones correctivas adecuadas. . Asunciones Todo lo que se refleje en el informe de auditora debe ser consecuencia de asunciones explcitas, probadas y que puedan ser desafiadas. El auditor tendr presente que del informe podr derivarse la toma de decisiones por parte de la direccin de la organizacin, por lo que debe asegurarse un profundo entendimiento del contexto en el cual se trabaja, y considerar las opciones disponibles en trminos de prioridades y expectativas de la organizacin. El informe debe redactase con la habilidad suficiente para que la organizacin pueda ser capaz de ejecutar los resultados segn lo esperado. . Leguaje empleado
- 28 -
Se cuidar la consistencia gramatical (tiempos verbales, etc.), se evitar el empleo de frases ambiguas o no definitorias en las conclusiones (podra ser..., posiblemente..., etc.), se enfatizarn las propuestas en las recomendaciones (deber en lugar de debera, etc.). Se evitar el empleo de tecnicismos propios de las TIC, en especial cuando los destinatarios del informe no sean tcnicos en la materia. En todo caso, si fuese difcil evitar la referencia o el empleo de trminos tcnicos, se incluirn las definiciones o la explicacin del acrnimo empleado. . Versiones del informe La primera versin de la redaccin ser el borrador del informe, que debera ser cumplimentado lo antes posible, e incluir todos los hechos, conclusiones y recomendaciones. El borrador se remitir a la direccin del rea auditada, acompaado por un requerimiento para que en un plazo establecido se remitan por escrito los comentarios que se estimen convenientes, dejando constancia que el borrador es un documento de trabajo en elaboracin, por lo tanto sujeto a revisin, y su calidad de documento reservado. Al final del perodo de respuesta, y despus de revisar y en su caso tomar en consideracin las observaciones remitidas por el rea auditada sobre el borrador, se elaborar el informe final de la auditora. Si el equipo de auditora no coincidiese con alguno de los comentarios realizados sobre el borrador, debern ser explicadas las razones e incluidas en el informe final, que a su vez incluir la respuesta recibida. . Distribucin del informe El informe se distribuir a quienes, en funcin de la normativa interna establecida, sean competentes para conocerlo. Cuando los contenidos del informe sean considerados como sensibles para los intereses de la organizacin, se asegurar la restriccin de la circulacin del informe, que se reflejar en el propio informe para garantizar el grado de confidencialidad requerido. . Otros entregables Las recomendaciones incluidas en el informe podrn dar lugar a instrucciones en un documento independiente, que sern dirigidas a la direccin de la unidad auditada, sugiriendo acciones para resolver las incidencias detectas en el sistema de control. Si el informe es muy extenso o muy tcnico, sera conveniente la preparacin de un resumen ejecutivo para que pueda ser analizado con detenimiento por los rganos de direccin. CONTENIDO DEL INFORME Todos los informes contendrn unos apartados comunes, que constituirn la estructura del mismo, con unos contenidos mnimos. En la siguiente figura se muestra el esquema de un informe tipo.
- 29 -
Figura 10. Apartados del informe de auditora

Ttulo Debe servir para distinguirlo de cualquier otro de forma inequvoca, sealando sintticamente el mbito de la actuacin, el alcance y la Unidad auditada, y la fecha de ultimacin. Podr incluir un cdigo a fin de facilitar su identificacin, archivo y recuperacin posterior. ndice Recoger todos los apartados incluidos en el informe, con referencia a las pginas de su ubicacin, y se incluir la relacin de los anexos que el informe pudiera tener. Introduccin Se explicitarn las razones por las que se realiza la actuacin de auditora, haciendo constar sobre la base de qu mandato o en funcin de qu competencia se ha decretado la auditora. Adems, se indicar el calendario de los trabajos de campo y los componentes del equipo de auditora. Objetivo y alcance del trabajo desarrollado Se sealar claramente el objetivo perseguido y el tipo de auditora efectuada. El alcance de la actuacin deber estar en consonancia con los objetivos, sealando la profundidad del trabajo realizado, mencionando expresamente las tcnicas empleadas y el tipo de comprobaciones efectuadas para evaluar la informacin. Ser necesario establecer qu temas no han sido contemplados o se han excluido de la actuacin (las limitaciones del alcance del trabajo). Si no existiera ninguna restriccin significativa, se hara constar expresamente. Metodologa En este apartado se describirn sucintamente las tareas realizadas en el curso de la actuacin. Se pueden reflejar las pautas tenidas en cuenta para cada rea de riesgo o punto de control evaluado, describiendo las directrices de auditora contempladas en el guin empleado en la actuacin. Por ejemplo, si se han empleado tcnicas de muestreo distinguiendo si fue aleatorio o no, hacer constar las prcticas realizadas (reuniones, entrevistas, encuestas, verificaciones, etc.), identificar los interlocutores por su cargo o puesto (y no por su nombre), indicar los documentos solicitados al rgano auditado (se incluirn en los anexos si contribuyen a la motivacin de la exposicin). Resultados de la actuacin Este apartado describir y documentar las actuaciones realizadas y las evidencias obtenidas, que darn lugar a las conclusiones y propuestas del informe. Debern documentarse los resultados para cada punto de control incluido en el alcance. El texto, as como lo dicho para las
- 30 -
evidencias, ser el suficiente, competente y relevante, con la finalidad que lo expuesto pueda ser comprendido adecuadamente (evitar tecnicismos, o si no es posible incorporar un glosario de trminos en el anexo), los hechos deben presentarse de forma convincente e imparcial. En funcin del tipo de auditora se abrir un epgrafe para cada una de las reas objeto de control, aunque su estructura estar condicionada por la metodologa empleada durante la actuacin (entrevistas, requerimientos de informacin, obtencin de informacin propia, etc.). Para estructurar los resultados de una forma convincente se podr seguir el siguiente proceso en la exposicin de los elementos: __ Criterio: Descripcin de los estndares empleados para determinar si un programa de control alcanza los resultados esperados. Los auditores emplearn los fijados por el Plan de Actuacin o los que consideren razonables y relevantes en la materia auditada, como por ejemplo: fines sealados por la normativa vigente, normas tcnicas o estndares, opiniones de expertos, rendimientos en perodos anteriores, o en organismos pblicos similares o en el sector privado. __ Condicin: Situacin encontrada, que ha sido determinada y documentada durante la auditora. __ Efecto: Puede ser la medida de la consecuencia positiva o negativa de la variacin de la condicin respecto de los criterios determinados, o bien el impacto logrado por la aplicacin de un programa para cambiar ciertas condiciones. __ Causa: Motivo de la desviacin de los rendimientos fijados (auditoras operativas) o del cumplimiento de pautas preestablecidas (auditora de cumplimiento). La identificacin de la misma es esencial para que los auditores puedan proponer recomendaciones constructivas, que sern tanto o ms persuasivas en cuanto se pueda demostrar y explicar con evidencias y razonamientos la relacin de los problemas con los factores identificados como causa. En el caso de auditoras operativas las conclusiones deben ser claramente expresadas y no reducirse a meras sugerencias, y la fuerza de las mismas depender de la naturaleza persuasiva de la evidencia que soporte los resultados, y de lo convincente que sea la lgica empleada en su formalizacin. Si los hechos no son de fcil cuantificacin las conclusiones corren el riesgo de estar influidas por interpretaciones y motivos subjetivos, por ello deben ser lo ms objetivas posibles, evitando pronunciamientos globales y generales, salvo que stos se limiten a constatar la existencia o no de controles para evaluar el funcionamiento del rea auditada. En las auditoras de cumplimiento cuyo objeto sea la verificacin de los controles internos, las debilidades significativas detectadas y que merezcan ser comunicadas sern consideradas como deficiencias, y as debern incluirse en el informe. En caso que las hubiera, tambin se sealarn las fortalezas de los controles implementados. Se incluirn en el informe todos los incumplimientos y abusos significativos que hayan sido detectados durante o en conexin con la auditora. El trmino incumplimiento comprende actos ilegales e inobservancia de normas o controles internos. Por abuso se entender toda conducta que se desva de las expectativas de conducta deseable. Si el informe se realiza como consecuencia de una auditora anterior, cada epgrafe sealar las medidas que el gestor haya decidido adoptar como consecuencia de las conclusiones y recomendaciones contenidas en los anteriores informes. Conclusiones y recomendaciones Este apartado del informe constituye el cauce para la formulacin de las propuestas, siendo sin duda la parte ms relevante y probablemente la ms leda del informe. Las conclusiones deben redactarse de forma que se puedan comprender sin necesidad de acudir al resto del informe, o a sus anexos, y recogern todos los hechos significativos detectados en la actuacin. En caso que los auditores no hayan aplicado suficientes pruebas y procedimientos de auditora para alcanzar un dictamen profesional, tendrn que hacerlo constar en el informe, sealando los motivos. Con objeto de facilitar una actuacin de seguimiento de las recomendaciones de una auditora anterior, en el informe se deber manifestar la situacin en que se encuentran los defectos significativos puestos de manifiesto entonces y no corregidos, as como identificar las posibles consecuencias negativas que pudieran derivarse de no corregir las deficiencias sealadas en la ocasin anterior.
- 31 -
Caben distintas formas para redactar las conclusiones. Las ms frecuentes son: __ De forma descriptiva: Descripcin de los hechos ms significativos en cada uno de los mbitos o aspectos auditados, contemplando la situacin actual y considerando dentro de ella las evidencias testimoniales, las documentales y, eventualmente, las analticas. Se podrn orientar a evaluar la eficacia o eficiencia de los controles implementados. Este criterio es aplicable en auditoras operativas o de cumplimiento. __ Dictamen: Juicio crtico que determinar el grado de ajuste de los controles a lo esperado. Si el resultado es conforme, podrn emplearse trminos como Favorable o Cumple, en caso contrario Desfavorable o No cumple. No obstante, si el cumplimiento con el control evaluado admite una cuantificacin, se podr aplicar una valoracin del grado en que se alcanza el cumplimiento, como Cumple parcialmente. Este criterio es aplicable en auditoras de cumplimiento. __ Grado de madurez: Evaluacin de cuan bien se gestionan los controles de las reas auditadas. En este caso, para cada punto de control se aplicar una escala de medicin incremental sobre la forma en que se gestiona el riesgo. Este criterio es aplicable en auditoras operativas.
Figura 11. Escala de madurez

Las recomendaciones se efectuarn cuando supongan una potencial mejora en el funcionamiento, en especial cuando se detecten casos de incumplimiento significativos o se encuentren puntos dbiles en el sistema de control, y harn referencia a las conclusiones de las que se derivan. Deben tener un carcter ejecutivo, es decir, comprometern a la organizacin para su realizacin, ya que ponen en evidencia deficiencias del sistema de control. Las recomendaciones sern descripciones de las tareas ms importantes a realizar para asegurar los mejores controles posibles, y sern tanto ms tiles cuanto que se dirijan a resolver las causas de los problemas detectados, deben guardar una debida proporcin en materia costebeneficio con la escala de la organizacin. El informe no slo reflejar desviaciones negativas, sino que har constar los logros ms notables alcanzados por la unidad auditada, en particular cuando las mejoras de las prcticas puedan ser aplicables por otras reas de la organizacin. Si se sospecha que la inclusin en el informe de ciertas informaciones o conclusiones puede condicionar una futura investigacin, se se limitar a las materias que no comprometan tales investigaciones. En todo caso, deber ponerse en conocimiento de la alta direccin o del Servicio Jurdico las prcticas irregulares detectadas. Si durante el transcurso de la actuacin se descubrieran cuestiones importantes no relacionadas con el objeto de la auditora que se est realizando y que requieran un trabajo adicional, debern researse en el informe junto con las razones que justifiquen un trabajo suplementario posterior, de cara a que se tenga en cuenta en la planificacin de auditoras futuras. Anexos
- 32 -
La necesaria concisin de los informes de auditora recomienda la elaboracin de anexos que incluyan detalles e informaciones adicionales que contribuyan a una mejor comprensin de los aspectos ms importantes incluidos en el informe. Se podr incluir la descripcin del procedimiento auditado, los listados solicitados, informacin recopilada durante la actuacin (evidencias), o cualquier otra informacin que se considere relevante. OTRAS CONSIDERACIONES . Fecha de emisin y firma El informe deber estar fechado, con la fecha del momento final de su elaboracin, haciendo constar la fecha del ltimo da de trabajo de campo. El informe deber ir firmado y rubricado en todas sus pginas por el auditor encargado del trabajo, y podr contener las condiciones profesionales del equipo de trabajo. . Plazo de entrega Los informes debern presentarse en las fechas establecidas. Si los hechos identificados durante la actuacin fueran considerados de importancia, se podrn emitir informes previos parciales, ya que puede ser conveniente una actuacin correctiva inmediata. En los informes parciales debe dejarse claro su carcter provisional y que en ningn caso sern sustitutivos del informe final, ya que se recoger con detalle los aspectos incluidos en los informes previos parciales. Otra caracterstica de los informes parciales es que debern ser breves y expondrn en forma resumida los problemas, causas y medidas correctivas recomendadas. Aunque el informe se haya preparado con minuciosidad puede tener poco valor para quienes deban tomar decisiones si llega demasiado tarde. Es por ello que en la planificacin de las tareas debe contemplarse este hecho, y respetar la fecha establecida para su entrega. . Alegaciones de los auditados Un elemento sustancial para asegurar la calidad del informe y que ste sea completo y objetivo es conseguir que los responsables de la actividad realicen una revisin del borrador del informe y formulen las alegaciones y comentarios que consideren oportunos. Al incluir las alegaciones de los auditados se logra que los informes no slo indiquen lo que se descubre y la opinin de los auditores acerca de tales hechos, sino tambin lo que piensan sobre ello los responsables y qu es lo que se proponen hacer al respecto. Las alegaciones deben constar por escrito, sern evaluadas objetivamente e introducidas en el informe final. Cuando estos comentarios sean contrarios a los juicios y conclusiones que aparecen en el borrador del informe, al auditor debe considerar las siguientes alternativas: __ Si se consideran justificadas, se introducirn las oportunas modificaciones antes de elevar el informe definitivo, no sin antes obtener la suficiente evidencia que soporte el cambio de posicin. __ Si no se est conforme con los comentarios recibidos deber sealarse esa circunstancia en el informe, aadiendo las observaciones de por qu no se aceptan las alegaciones del rgano auditado. Una vez transcurrido el plazo concedido para que la Unidad auditada realice las alegaciones y no hubiere contestado, los auditores debern elevar el borrador del informe a informe definitivo, haciendo constar especialmente en l las razones por las que no se incluyen las alegaciones.
- 33 -
33.04.
Bibliografa
A continuacin se sealan las referencias bibliogrficas empleadas para la preparacin de este tema: Mdulo Auditora y Sistemas de Informacin, II Curso de Auditoras de Sistemas de Informacin (INAP), impartido por Vicente Peirats Cuesta en 2006. . Mdulo Mtodo y Prctica de la Auditora de Sistemas de Informacin, II Curso de Auditoras de Sistemas de Informacin (INAP), impartido por Fernando Rodrguez Rivadulla en 2006. . Mdulo Confianza en los sistemas de informacin y Criterios de Seguridad, Normalizacin y Conservacin de las aplicaciones usadas en el ejercicio de Potestades, II Curso de Auditoras de Sistemas de Informacin (INAP), impartido por Miguel Angel Amutio Gmez en 2006. Information Systems Audit and Control Foundation: COBIT 4th Edition. www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4 _Espanol.pdf Normas generales para la Auditora de Sistemas de Informacin de ISACA, Information System Audit and Control Association. www.isaca.com Pginas web de ASIA, Asociacin de Auditores y Auditora y Control de Sistemas y Tecnologas de la Informacin y Comunicaciones de Espaa, y Captulo Espaol de ISACA. www.auditoresdesistemas.com Institute of Internal Auditors: Model Curriculum for Information System Auditing, Agosto 1992. ISBN 0-89413-274-1 IGAE: Normas de Auditora del Sector Pblico. www.igae.minhac.es/Normas_Auditoria_Sector_Publico.htm Instituto de Contabilidad y Auditora de Cuentas: Norma Tcnica de Auditora sobre la auditora de cuentas en entornos informatizados. www.icac.mineco.es/consultas/ENTIN.HTM Auditora Informtica, Un Enfoque Prctico 2 Edicin, Mario G. Piattini y Emilio del Peso, Editorial RA-MA. ISBN 8478972935 Auditora de los Sistemas de Informacin, Rafael Bernal Montas y scar Coltell Simon, Editorial Universidad Politcnica de Valencia. ISBN 8477213933.
- 34 -
. Normas de Auditora del Sector Pblico. IGAE. www.igae.pap.meh.es/Internet/Cln_Principal/ClnPublicaciones/ClnNormasAuditoria . Instituto de Auditores Internos de Espaa, www.iai.es . Consejo Superior de Administracin Electrnica. MAP, www.csi.map.es (criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el ejercicio de potestades; magerit; normativa sobre uso de tcnicas electrnicas, informticas y telemticas en la Administracin General del Estado; normativa sobre proteccin de datos de carcter personal). . Instituto para el Gobierno de las Tecnologas de la Informacin. IT Governance Institute (ITGI), www.itgi.org . 01CC - Auditora y Calidad del Software Curso 06/07 Universidad de Murcia dis.um.es/~jsaez/acs/curso0607/ Sans Institute : www.sans.org
- 35 -

AUDITORIA INFORMÁTICA I. Concepto y Contenidos. Administración, Planeamiento, Organización, Infraestructura Técnica y Prácticas Operativas.

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

AUDITORIA INFORMÁTICA I. Concepto y Contenidos. Administración, Planeamiento, Organización, Infraestructura Técnica y Prácticas Operativas.

Cargado por

Copyright:

Formatos disponibles

33. AUDITORIA INFORMTICA I. Concepto y contenidos. Administracin, planneamiento, organizacin, infraestructura tcnica y prcticas operativas. 1.

ORGANIZACIN Y GESTIN DE LOS SISTEMAS DE INFORMACIN

Carmen Cabanillas Serrano

Organizacin, infraestructura tcnica

Figura 3. Pliego de prescripciones tcnicas para servicio de auditora externa

Modelos organizativos para la auditora informtica

Figura 5. Esquema de Certificacin Profesional

Figura 6. Cdigo tico Profesional-ISACA

o haciendo los existentes ms estrictos.

Figura 7. Etapas del proceso de auditora informtica

Figura 8. Proceso de elaboracin del guin de actuacin

Figura 9. Directrices genricas para auditoras.

Figura 10. Apartados del informe de auditora

Figura 11. Escala de madurez

También podría gustarte