Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Aud Sis 1
Aud Sis 1
1.- INTRODUCCIN.- A finales del siglo XX, los Sistemas Informticos se han
constituido en las herramientas ms poderosas para materializar, uno de los conceptos ms
vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin
de la empresa.
La informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las
normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los
generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo
que se ha denominado el management o gestin de la empresa. Cabe aclarar que la
informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no
decide por si misma. Por ende, debido a su importancia en el funcionamiento de una
empresa existe la Auditoria Informtica.
El concepto de auditoria mucho ms que esto.. Es un examen critico que se realiza con el
fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc.
La palabra auditoria proviene del latn auditorius, y de esta proviene la palabra auditor, que
se refiere a todo aquel que tiene la virtud de or.
Por otra parte, el diccionario Espaol Sopena lo define como :Revisor de Cuentas
colegiado. En un principio esta definicin carece de la explicacin del objetivo fundamental
que persigue todo auditor evaluar la eficiencia y eficacia.
De todo esto sacamos como deduccin que la auditoria es un examen crtico pero no
mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el
fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin.
1
Claro est, que para la realizacin de una auditoria informtica eficaz, se debe entender a la
empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital
son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la
informtica para gestionar sus negocios de forma rpida y eficiente con el fin de obtener
beneficios econmicos y de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de Resultados,
Tarifas, Sueldos, etc). Los Sistemas Informticos estn sometidos al control
correspondiente, o al menos debera estarlo. La importancia de llevar un control de esta
herramienta se puede deducir de varios aspectos. He aqu algunos:
Estos son solo algunos de los varios inconvenientes que pueden presentar un Sistema
Informtico , por eso, la necesidad de la Auditoria de Sistemas.
Auditoria:
2
Las funciones de anlisis y revisin que el auditor informtico realiza, puede chocar con la
psicologa del auditado, ya que es un informtico y tiene la necesidad de realizar sus tareas
con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones,
fundada . El nivel tcnico de auditor es a veces insuficiente, dada la gran complejidad de
los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar
su tarea.
Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por
las empresas auditoras , ya que son activos importantes de su actividad. Las Check List
tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y
mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa
auditora. La Check List puede llegar a explicar cmo ocurren los hechos pero no por qu
ocurren. El cuestionario debe estar subordinado a la regla , realizan actividades
tericamente inadecuadas o se omiten otras correctas.
El auditor slo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situacin analizada por l mismo.
Por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada, es
siempre remunerada. Se presupone una mayor objetividad que en la Auditoria Interna,
debido al mayor distanciamiento entre auditores y auditados.
La auditoria informtica interna cuenta con algunas ventajas adicionales muy importantes
respecto de la auditoria externa, las cuales no son tan perceptibles, como en las auditorias
convencionales. La auditoria interna tiene la ventaja de que puede actuar peridicamente
realizando . Revisiones globales, como parte de su Plan Anual y de su actividad normal.
Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando
las consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de informtica escuchan, orientan e informan sobre las
posibilidades tcnicas y los costes de tal Sistema . Con voz, pero a menudo sin voto,
Informtica trata de satisfacer los ms adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informtica y sta necesita que su propia gestin est
sometida a los mismos Procedimientos y estndares que el resto de aquella. La conjuncin
de ambas necesidades cristaliza en la figura del auditor interno informtico.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditoria
propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que
algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditoria
3
Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su
propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se
ubicase dentro de la estructura informtica ya no sera independiente. Hoy ya existen varias
organizaciones informticas dentro de la misma empresa, y con diverso grado de
autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de
las Empresas.
Una Empresa o Institucin que posee auditoria interna puede y debe en ocasiones contratar
servicios de auditoria externa. Las razones para hacerlo suelen ser:
- Necesidad de auditar una materia de gran especializacin, para la cual los servicios
propios no estn suficientemente capacitados.
- Contrastar algn Informe interno con el que resulte del externo, en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con la opinin
generalizada de la propia empresa.
- Servir como mecanismo protector de posibles auditorias informticas externas
decretadas por la misma empresa.
- Aunque la auditoria interna sea independiente del Departamento de Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias
externas como para tener una visin desde afuera de la empresa.
La auditoria informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz poltico ajeno a la propia estrategia y poltica general de la
empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a
instancias de parte, esto es, por encargo de la direccin o cliente.
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin no
tiene integrado un registro comn, cuando lo necesite utilizar no lo va encontrar y, por lo
tanto, la aplicacin no funcionaria como debera.
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente .
4
Caractersticas de la Auditoria Informtica:
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular:
a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la
auditoria de Seguridad de alguna de sus reas, como pudiera ser Desarrollo o Tcnica de
Sistemas.
Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una
auditoria parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de
Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de
ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna
,mezcla de ellas.
La palabra auditoria viene del latn auditorius y de esta proviene auditor, que tiene la
virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es
el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del
sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir
errores, en caso de que existan, o bien mejorar la forma de actuacin.
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la
revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un
objetivo especfico en el ambiente computacional y los sistemas.
5
- El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema
automatizado:
Daos
Destruccin
Salvaguarda activos
Uso no autorizado
Robo
Informacin Precisa
Completa
Mantiene integridad de los datos
Oportuna
Confiable
6
Segn Lzaro Blanco La Auditoria informativa es de rama de la ciencia econmica
que tiene por objeto la revisin, comprobacin, examen, estudio y anlisis de las
informaciones procesadas por las computadoras , empleando tcnicos, mtodos y artes
apropiadas, con la finalidad de exponer los hechos y situaciones econmicas
financieras y de evaluacin el Estado General de la gestin de dichas entidades.
La Auditoria de Sistemas no solo busca detectar errores o problemas en las
informaciones procesadas en los sistemas informticas , sino adems, mejorar el diseo
de dichas aplicaciones, aumentar la eficiencia de la direccin que utiliza las
mencionadas informaciones, y garantizar la seguridad y proteccin de los datos
almacenados y de todos los recursos informativos.
Ello implica que el auditor debe unir a los conocimientos tradicionales sobre las
actividades contables, un conjunto de conocimientos y habilidades mucho mas amplio
sobre tcnicas de computacin, anlisis y diseo de sistemas y gestin.
4.- TIPOS DE AUDITORIA.- Existen algunos tipos de auditoria entre las que la Auditoria
de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la
funcin informtica.
7
Proceso de una empresa
Administrativa Analiza:
Logros de los objetivos de Administracin
Desempeo de funciones administrativas
Calidad Evala:
Mtodos
Mediciones
Controles de los bienes y servicios
Social Revisa la contribucin a la sociedad as como la
Participacin en actividades socialmente orientadas
8
OBJETIVOS GENERALES DE UNA AUDITORIA DE SISTEMAS
Las empresas acuden a las Auditoras externas cuando existen sntomas bien perceptibles de
debilidad. Estos sntomas pueden agruparse en clases:
9
- No se reparan las averas de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados peridicos.
Pequeas desviaciones pueden causar importantes desajustes en la actividad del
usuario, en especial en los resultados de Aplicaciones crticas y sensibles.
- Seguridad Lgica
- Seguridad fsica
- Confidencialidad
( Los datos son propiedad inicialmente de la organizacin que los genera. Los datos
de personal son especialmente confidenciales).
- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad.
Establece las estrategias de continuidad entre fallos mediante PLANES DE
CONTINGENCIA* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse,
sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el
sntoma debe ser sustituido por el mnimo indicio.
*PLANES DE CONTINGENCIA
Por ejemplo, la empresa sufre un corte total de energa o explota. Cmo sigo operando en
otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin
diariamente y que aparte, sea doble, para tener un Backup en la empresa y otra afuera de
sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz,
telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le
provea telfono Telecom., a las oficinas paralelas. Telefnica. En este caso, si se produce la
inoperancia de Sistemas en las empresa principal, se utilizara el Backup para seguir
operando en las oficinas paralelas. Los Backups, se pueden acumular durante dos meses, o
el tiempo que estipule la empresa, y despus se van reciclando.
10
Desconocimiento en el nivel directivo de la situacin informtica de la empresa.
Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del
personal, equipos e informacin.
Descubrimiento de fraudes efectuados en el computador.
Falta de una planificacin informtica.
Organizacin que no funciona correctamente, falta de polticas, objetivos, normas,
metodologa, asignacin de tareas y adecuada administracin del Recurso Humano,
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de
los resultados.
Falta de documentacin o documentacin incompleta de sistemas que revela la
dificultad de efectuar el mantenimiento de los sistemas en produccin.
- Con muchos sistemas PAD, los cambios en los rastreos de auditora son
importantes. Los recientes adelantos logrados en materia de equipo recopilador de
datos, en instalaciones y dispositivo de comunicacin y en las memorias con acceso
aleatorio, han permitido a las empresas eliminar documentos, fuentes
habitualmente utilizadas en los sistemas manuales o mecanizados.
11
- Otra innovacin es la eliminacin de ciertos registros histricos. En los sistemas que
no son PAD, el auditor se acostumbra a registros del libro Mayor con datos
histricos acumulados en diarios detallados; en esos sistemas tales registros y
diarios son importantes para las operaciones.
En un sistema PED, existen diversas variaciones significativas de los registros
tradicionales normalmente accesibles al auditor.
v.g. inventarios
informacin de inventario
12
En los sistemas manuales el procesamiento de los pedidos sigue una serie de etapas
distintas y separados, cada una ejecutado por diferentes individuos, a menudo localizados
en distintos departamentos .
Como parte de la documentacin que debe existir de los sistemas, es posible que se
encuentre Diagramas de recorrido son un medio de presentar la informacin y las
operaciones de tal manera que resultan fciles de visualizar y de seguir.
Muestran la corriente de los datos, la trayectoria que estas siguen a la larga de un sistema de
proceso de informacin, las operaciones desempeadas en el sistema y la secuencia u orden
en que se ejecutan. Existen 2 tipos de diagramas de recorrido.
13
Para lograr los objetivos de esas funciones se necesita.
b.-
- Evaluacin del anlisis de los sistemas y sus diferentes etapas.
- Evaluacin del diseo lgico del sistema
- Evaluacin del desarrollo fsico del sistema
- Control de Proyectos
- Control de Sistemas y programacin
- Instructivos y documentacin
- Formas de implantacin.
- Seguridad fsica y lgica de los sistemas
- Controles de mantenimiento y formas de respaldo de los sistemas.
- Utilizacin de los sistemas.
c.-
- Controles de los datos fuente y manejo de cifras de control
- Control de operacin
- Control de salida.
- Control de asignacin de trabajo.
- Control de medios de almacenamiento masivos
- Control de otros elementos de computo.
- Orden en el centro de computo
- Seguridad fsica y lgica
- Confidencialidad
- Respaldos.
d.-
- Estudio de factibilidad Tcnico econmico.
- Concepcin preliminar del nuevo sistema
- Diseo del nuevo sistema
- Desarrollo del sistema
- Implantacin
- Mantenimiento
14
El departamento de Informtica posee una actividad proyectada al exterior, al usuario,
aunque el exterior siga siendo la misma empresa. He aqu, La Auditoria Informtica de
Usuario. Se hace esta distincin para contraponerla a la informtica interna, en donde se
hace la informtica cotidiana y real. En consecuencia existe una Auditoria Informtica de
Actividades Internas.
Cada Area Especifica puede ser auditada desde los siguientes criterios generales.
15
actividad cuando los Sistemas estn operativos, es el principal objetivo el de mantener tal
situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial.
Los Controles Tcnicos Generales son los que realizan para verificar la
compatibilidad de funcionamiento simultneo del Sistema Operativo y el Software
de base con todos los subsistemas existentes, as como la compatibilidad del
Hardware y del Software instalados. Estos controles son importantes en las
instalaciones que cuentan con varios competidores, debido a que la profusin de
entornos de trabajo muy diferenciados obliga a la contratacin de diversos
productos de Software bsico, con el consiguiente riesgo de abonar ms de una vez
el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir
tambin con los productos de Software bsico desarrollados por el personal de
Sistema Interno, sobre todo cuando los diversos equipos estn ubicados en Centros
de Proceso de Datos geogrficamente alejados. Lo negativo de esta situacin es que
puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal
vez sea operativo trabajando independientemente, pero no ser posible la
interconexin e intercomunicacin de todos los Centros de Proceso de Datos si no
existen productos comunes y compatibles.
Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente
necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se
puede encontrar mal son PARMETROS DE ASIGNACIN AUTOMATICA DE
ESPACIO EN DISCO * que dificulten o impidan su utilizacin posterior por una
Seccin distinta de la que lo gener. Tambin, los perodos de retencin de ficheros
comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada
una de ellas., de modo que la prdida de informacin es un hecho que podr
producirse con facilidad quedando inoperativa la explotacin de alguna de las
Aplicaciones mencionadas.
16
la verificacin de la observancia de las normas tericamente existentes en el departamento
de Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de
revisarse sucesivamente y en este orden:
17
Centro de Control y Seguimiento de Trabajos
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la
explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en
tiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso estn
permanentemente activas y la funcin de Explotacin se limita a vigilar y recuperar
incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotacin. En
muchos Centros de Proceso de Datos, ste rgano recibe el nombre de Centro de Control de
Batch. Este grupo determina el xito de la explotacin, en cuanto que es uno de los
factores ms importantes en el mantenimiento de la produccin.
18
No basta con comprobar la eficiencia tcnica del Centro, es necesario analizarlo
simultneamente en el mbito de Usuario.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del
disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la
auditora deber comprobar la seguridad de los programas en el sentido de garantizar que
los ejecutados por la maquina sean exactamente los previstos y no otros.
Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de
cuatro consideraciones:
1. Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se asegure la
modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil
mantenimiento de las mismas.
2. Control Interno de las Aplicaciones: se debern revisar las mismas fases que
presuntamente han debido seguir el rea correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicacin. [importante para Aplicaciones largas, complejas y
caras]
Definicin Lgica de la Aplicacin. [se analizar que se han observado los postulados
lgicos de actuacin, en funcin de la metodologa elegida y la finalidad que persigue el
proyecto]
Desarrollo Tcnico de la Aplicacin. [Se verificar que ste es ordenado y correcto. Las
herramientas tcnicas utilizadas en los diversos programas debern ser compatibles]
Diseo de Programas. [debern poseer la mxima sencillez, modularidad y economa de
recursos]
Mtodos de Pruebas. [ Se realizarn de acuerdo a las Normas de la Instalacin. Se
utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales]
Documentacin. [cumplir la Normativa establecida en la Instalacin, tanto la de
Desarrollo como la de entrega de Aplicaciones a Explotacin]
Equipo de Programacin. [Deben fijarse las tareas de anlisis puro, de programacin y
las intermedias. En Aplicaciones complejas se produciran variaciones en la
composicin del grupo, pero estos debern estar previstos]
19
3. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada,
deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La
aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitar
reprogramaciones y disminuir el mantenimiento de la Aplicacin.
4. Control de Procesos y Ejecuciones de Programas Crticos: El auditor no debe descartar
la posibilidad de que se est ejecutando un mdulo que no se corresponde con el
programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones.
Se ha de comprobar la correspondencia biunvoca y exclusiva entre el programa
codificado y su compilacin. Si los programas fuente y los programa mdulo no
coincidieran podrase provocar, desde errores de bulto que produciran graves y altos
costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje
industrial-informativo, etc. Por ende, hay normas muy rgidas en cuanto a las Libreras
de programas; aquellos programas fuente que hayan sido dados por bueno por
Desarrollo, son entregados a Explotacin con el fin de que ste:
1. Copie el programa fuente en la Librera de Fuentes de Explotacin, a la
que nadie ms tiene acceso
2. Compile y monte ese programa, depositndolo en la Librera de Mdulos
de Explotacin, a la que nadie ms tiene acceso.
3. Copie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigir
pasar nuevamente por el punto 1.
Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante ardua y
compleja, hoy (algunas empresas lo usarn, otras no) se utiliza un sistema llamado U.A.T
(User Acceptance Test). Este consiste en que el futuro usuario de esta Aplicacin use la
Aplicacin como si la estuviera usando en Produccin para que detecte o se denoten por s
solos los errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida
que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el
Sign Off (Esto est bien). Todo este testeo, auditora lo tiene que controlar, tiene que
evaluar que el testeo sea correcto, que exista un plan de testeo, que est involucrado tanto el
cliente como el desarrollador y que estos defectos se corrijan. Auditora tiene que
corroborar que el U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off por
todo.
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en primer
lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante,
indagando las causas de las omisiones si las hubiera. El anlisis de las versiones de los
Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros
productos de Software Bsico adquiridos por la instalacin y determinadas versiones de
20
aquellas. Deben revisarse los parmetros variables de las Libreras ms importantes de los
Sistemas, por si difieren de los valores habituales aconsejados por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido
facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de
comprobacin de que la computadora podra funcionar sin el producto adquirido por el
cliente. En cuanto al Software desarrollado por el personal informtico de la empresa, el
auditor debe verificar que ste no agreda ni condiciona al Sistema. Igualmente, debe
considerar el esfuerzo realizado en trminos de costes, por si hubiera alternativas ms
econmicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones
anteriores son vlidas para ste tambin.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del
comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning
deben diferenciarse de los controles habituales que realiza el personal de Tcnica de
Sistemas. El tunning posee una naturaleza ms revisora, establecindose previamente
planes y programas de actuacin segn los sntomas observados. Se pueden realizar:
Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema
De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus acciones
son repetitivas y estn planificados y organizados de antemano.
El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como sus
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de
confianza de las observaciones.
Optimizacin de los Sistemas y Subsistemas:
Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como
consecuencia de la realizacin de tunnings preprogramados o especficos. El auditor
verificar que las acciones de optimizacin* fueron efectivas y no comprometieron la
Operatividad de los Sistemas ni el plan crtico de produccin diaria de Explotacin.
*Optimizacin:
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada
cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin
se va poniendo cada vez ms lenta; porque todas las referencias a tablas es cada vez ms
grande, la informacin que est moviendo es cada vez mayor, entonces la Aplicacin se
tiende a poner lenta. Lo que se tiene que hacer es un anlisis de performance, para luego
optimizarla, mejorar el rendimiento de dicha Aplicacin.
21
el diseo y arquitectura de stas por parte de Sistemas, se les encomienda tambin su
administracin. Los auditores de Sistemas han observado algunas disfunciones derivadas de
la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica
general de los usuarios de Bases de Datos.
La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos
debera asegurarse que Explotacin conoce suficientemente las que son accedidas por los
Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que
competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los
datos, as como la ausencia de redundancias entre ellos.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus
propios efectivos estn desarrollando Aplicaciones y utilidades que, concebidas
inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otras empresas,
haciendo competencia a las Compaas del ramo. La auditora informtica deber cuidar de
que la actividad de Investigacin y Desarrollo no interfiera ni dificulte las tareas
fundamentales internas.
<La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los
tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto
una visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas>
22
o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o
sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta
informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor
que hay que considerar: el llamado virus de las computadoras, el cual, aunque tiene
diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin
autorizacin (piratas) y borra toda la informacin que se tiene en un disco. Al auditar los
sistemas se debe tener cuidado que no se tengan copias piratas o bien que, al conectarnos
en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso
inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para
usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin
reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de
modificar la informacin con propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de
datos, as como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los
datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios
a la informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a
informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en
el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin
de clientes algunos de estos paquetes.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que
hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a
archivos, accesos a directorios, que usuario lo hizo, si tena o no tena permiso, si no tena
permiso porque fall, entrada de usuarios a cada uno de los servidores, fecha y hora,
accesos con password equivocada, cambios de password, etc. La Aplicacin lo puede
graficar, tirar en nmeros, puede hacer reportes, etc.
La seguridad informtica se la puede dividir como Area General y como Area Especifica
(seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar
auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- y
auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han
ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y
conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo
de productos de Seguridad lgica y la utilizacin de sofisticados medios criptogrficos.
23
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes(incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto
redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.
Ejemplo:
Impacto Amenaza
1: Improbable
Error Incendio Sabotaje ..
2: Probable
Destruccin - 1 1
3: Certeza
de Hardware
-: Despreciable
Borrado de 3 1 1
Informacin
El cuadro muestra que si por error codificamos un parmetro que ordene el borrado de un
fichero, ste se borrar con certeza.
Como Ejemplo:
24
25