Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria Informatica
Auditoria Informatica
de Sistemas Administrativos
1. Introduccin
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms
poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier
organizacin empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la empresa y por eso las normas y
estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la
misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha
denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma.
Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora
Informtica.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro
est, que para la realizacin de una Auditora informtica eficaz, se debe entender a la empresa
en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas
como una Sociedad Annima o Empresa Pblica. Todos utilizan la informtica para gestionar sus
negocios de forma rpida y eficiente con el fin de obtener beneficios econmicos y reduccin
de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de Resultados,
Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control correspondiente, o al
menos debera estarlo. La importancia de llevar un control de esta herramienta se puede deducir
de varios aspectos. He aqu algunos:
La Auditora informtica interna cuenta con algunas ventajas adicionales muy importantes
respecto de la Auditora externa, las cuales no son tan perceptibles como en las auditorias
convencionales. La Auditora interna tiene la ventaja de que puede actuar peridicamente
realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal.
Los auditados conocen estos planes y se habitan a las Auditorias, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las
posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informtica
trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita
controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos
Procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades
cristaliza en la figura del auditor interno informtico.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora
propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que
algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de
la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de
Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la
estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones
Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son
coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.
Una Empresa o Institucin que posee Auditora interna puede y debe en ocasiones contratar
servicios de Auditora externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los servicios
propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos
de emisin interna de graves recomendaciones que chocan con la opinin generalizada
de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas
decretadas por la misma empresa.
Aunque la Auditora interna sea independiente del Departamento de Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras
externas como para tener una visin desde afuera de la empresa.
La Auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier
contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La
funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte,
esto es, por encargo de la direccin o cliente.
3. Alcance de la Auditora Informtica
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin no tiene
integrado un registro comn, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la
aplicacin no funcionara como debera.
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello
se debe la existencia de la Auditora de Seguridad Informtica en general, o a la Auditora de
Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnicas de Sistemas.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una
Auditora parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de
Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de
ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de
ellas.
Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de
debilidad. Estos sntomas pueden agruparse en clases:
[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de
alguna rea o en la modificacin de alguna Norma importante]
Sntomas de mala imagen e insatisfaccin de los usuarios:
- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad
[Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de
personal son especialmente confidenciales]
- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera
prcticamente intil la Auditora. Esa es la razn por la cual, en este caso, el sntoma
debe ser sustituido por el mnimo indicio.
Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro
lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y
que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa
puede tener unas oficinas paralelas que posean servicios bsicos ( luz, telfono y agua )
distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono
Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de
Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas
paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la
empresa, y despus se van reciclando.
El control del funcionamiento del departamento de informtica con el exterior, con el usuario se
realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de
interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el apoyo
continuado de su Direccin frente al "exterior". Revisar estas interrelaciones constituye el objeto
de la Auditora Informtica de Direccin. Estas tres auditoras, mas la Auditora de Seguridad,
son las cuatro areas Generales de la Auditora Informtica ms importantes.
Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
Cada rea Especifica puede ser auditada desde los siguientes criterios generales:
Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama auditada.
Estas combinaciones pueden ser ampliadas y reducidas segn las caractersticas de la empresa
auditada.
Operatividad
La operatividad es una funcin de mnimos consistente en que la organizacin y las maquinas
funcionen, siquiera mnimamente. No es admisible detener la maquinaria informtica para
descubrir sus fallos y comenzar de nuevo. La Auditora debe iniciar su actividad cuando los
Sistemas estn operativos, es el principal objetivo el de mantener tal situacin. Tal objetivo debe
conseguirse tanto a nivel global como parcial.
Los Controles Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de
base con todos los subsistemas existentes, as como la compatibilidad del Hardware y
del Software instalados. Estos controles son importantes en las instalaciones que
cuentan con varios competidores, debido a que la profusin de entornos de trabajo muy
diferenciados obliga a la contratacin de diversos productos de Software bsico, con el
consiguiente riesgo de abonar ms de una vez el mismo producto o desaprovechar parte
del Software abonado. Puede ocurrir tambin con los productos de Software bsico
desarrollados por el personal de Sistemas Interno, sobre todo cuando los diversos
equipos estn ubicados en Centros de Proceso de Datos geogrficamente alejados. Lo
negativo de esta situacin es que puede producir la inoperatividad del conjunto. Cada
Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero
no ser posible la interconexin e intercomunicacin de todos los Centros de Proceso de
Datos si no existen productos comunes y compatibles.
Todas las Aplicaciones que se desarrollan son super -parametrizadas , es decir, que tienen un
montn de parmetros que permiten configurar cual va a ser el comportamiento del Sistema.
Una Aplicacin va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no
analiz cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone
un valor muy chico, puede ocurrir que un da la Aplicacin reviente, se caiga. Si esto sucede en
medio de la operatoria y la Aplicacin se cae, el volver a levantarla, con la nueva asignacin de
espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchsimo
tiempo, lo que significa un riesgo enorme.
1. Las Normas Generales de la Instalacin Informtica. Se realizar una revisin inicial sin
estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas que
carezcan de normativa, y sobre todo verificando que esta Normativa General Informtica
no est en contradiccin con alguna Norma General no informtica de la empresa.
Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. La
Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte
Tcnico, en la que cada cual tiene varios grupos.
Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin durante el da y
durante la noche se corre un proceso enorme que lo que hace es relacionar toda la informacin,
calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta informacin
durante el da, pero todava no procesa nada. Es solamente un tema de "Data Entry" que
recolecta informacin, corre el proceso Batch (por lotes), y calcula todo lo necesario para
arrancar al da siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la
informacin correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas
que tienen que responder en Tiempo Real.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del
disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la Auditora
deber comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados
por la maquina sean exactamente los previstos y no otros.
3. Copie los programas fuente que les sean solicitados para modificarlos, arreglarlos,
etc. en el lugar que se le indique. Cualquier cambio exigir pasar nuevamente por el
punto1.
Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante ardua y
compleja, hoy (algunas empresas lo usarn, otras no) se utiliza un sistema llamado U.A.T (User
Acceptance Test).Este consiste en que el futuro usuario de esta Aplicacin use la Aplicacin
como si la estuviera usando en Produccin para que detecte o se denoten por s solos los
errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida que se va
haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto
est bien"). Todo este testeo, Auditora lo tiene que controlar, tiene que evaluar que el testeo sea
correcto, que exista un plan de testeo, que est involucrado tanto el cliente como el desarrollador
y que estos defectos se corrijan. Auditora tiene que corroborar que el U.A.T. Prueba todo y que
el Sign Off del usuario sea un Sign Off por todo.
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las Telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada / salida, etc. Debe verificarse en primer lugar
que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las
causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos
permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico
adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los
parmetros Variables de las Libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido
facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de
comprobacin de que la computadora podra funcionar sin el producto adquirido por el cliente. En
cuanto al Software desarrollado por el personal informtico de la empresa, el auditor debe
verificar que ste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo
realizado en trminos de costes, por si hubiera alternativas ms econmicas.
Tunning:
Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema
De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus acciones
son repetitivas y estn planificados y organizados de antemano.
El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como sus
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza
de las observaciones.
Optimizacin:
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada cargado
adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin se va
poniendo cada vez ms lenta; porque todas las referencias a tablas es cada vez ms grande, la
informacin que est moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner
lenta. Lo que se tiene que hacer es un anlisis de performance, para luego optimizarla, mejorar
el rendimiento de dicha Aplicacin.
La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos debera
asegurarse que Explotacin conoce suficientemente las que son accedidas por los
Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que
competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los
datos, as como la ausencia de redundancias entre ellos.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus propios
efectivos estn desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso
interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo competencia a las
Compaas del ramo. La Auditora informtica deber cuidar de que la actividad de Investigacin
y Desarrollo no interfiera ni dificulte las tareas fundamentales internas.
Para el informtico y para el auditor informtico, el entramado conceptual que constituyen las
Redes Nodales, Lneas, Concentradores, Multiplexores, Redes locales, etc. no son sino el
soporte fsico-lgico del Tiempo Real. El auditor tropieza con la dificultad tcnica del entorno,
pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la participacin
del monopolio telefnico que presta el soporte. Como en otros casos, la Auditora de este sector
requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes
Locales (no hay que olvidarse que en entornos geogrficos reducidos, algunas empresas optan
por el uso interno de Redes Locales, diseadas y cableadas con recursos propios).
El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas
contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la
topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacin de esta
documentacin significara una grave debilidad. La inexistencia de datos sobre cuantas lneas
existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad
Informtica. Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las
disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de
los Puestos de Trabajo correspondientes (Pantallas, servidores de Redes locales, Computadoras
con tarjetas de comunicaciones, impresoras, etc.) Todas estas actividades deben estar muy
coordinadas y de ser posible, dependientes de una sola organizacin.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la
informacin.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unx, que lo que hace es
auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a
directorios, que usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall,
entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password
equivocada, cambios de password, etc. La Aplicacin lo puede graficar, tirar en nmeros, puede
hacer reportes, etc.
La seguridad informtica se la puede dividir como Area General y como Area Especifica
(seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar
auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- y
auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido
originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y
conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de
productos de Seguridad lgica y la utilizacin de sofisticados medios criptogrficos.
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto
redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.
Ejemplo:
Borrado de 3 1 1 -: Despreciable
Informacin
El cuadro muestra que si por error codificamos un parmetro que ordene el borrado de un
fichero, ste se borrar con certeza.
Cuestionarios:
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes
y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de
ambos tipos de informacin es una de las bases fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por
otro medios la informacin que aquellos preimpresos hubieran proporcionado.
Entrevistas:
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas:
La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste
recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente
tcnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se
interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso
sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta
y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de
preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella
debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso
particular
Checklist:
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto
no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una
correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas
muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists
deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra
forma.
No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar.
Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin
correspondientes en las preguntas a realizar.
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en
productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos
que siguen los datos a travs del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones
de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las
fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que
comprueban los Valores asignados por Tcnica de Sistemas a cada uno de los parmetros
variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar
dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios
especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn cuales
tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se
traspasan los lmites.
Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento
de errores de maquina central, perifricos, etc.
[La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son
programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].
Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las
transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de
datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va
haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el
log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo
a la base de datos. Si en el medio de la transaccin se cort por X razn, lo que se hace es
volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la
informacin que est en el Sistema o que existe dentro de la base de datos.
Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente
<paquetes de auditora>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin
parcial generada por la organizacin informtica de la Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por
este, que son tratados posteriormente en modo PC . El auditor se ve obligado (naturalmente,
dependiendo del alcance de la auditora) a recabar informacin de los mencionados usuarios
finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con
todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe
realizarse principalmente con los productos del cliente.
1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de
manifiesto tal circunstancia.
2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la
Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas
previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn
empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el
contrario, indican relaciones no estrictamente subordinables.
4) Flujos de Informacin:
Adems de las corrientes verticales intra departamentales, la estructura organizativa
cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extra
departamentales.
Los flujos de informacin entre los grupos de una organizacin son necesarios para su
eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio
organigrama.
En ocasiones, las organizaciones crean espontneamente canales alternativos de
informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales
alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el
organigrama que los representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades
personales o simple comodidad. Estos flujos de informacin son indeseables y producen
graves perturbaciones en la organizacin.
El equipo auditor comprobar que los nombres de los Puestos de Trabajo de la organizacin
corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica
la existencia de funciones operativas redundantes.
Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va
a desenvolverse.
Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno
de ellos, ya que los mismos deben constituir un Sistema compatible e intercomunicado.
La configuracin de los sistemas esta muy ligada a las Polticas de seguridad lgica de
las compaas.
El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y
lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control
local y remotas, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del Sistema, desde
el software bsico hasta los programas de utilidad adquiridos o desarrollados
internamente. Suele ser habitual clasificarlos en facturables y no facturables.
c. Documentacin
Los recursos hardware que el auditor necesita son proporcionados por el cliente.
Los procesos de control deben efectuarse necesariamente en las Computadoras
del auditado.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del
personal seleccionado depende de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del proyecto.
Actividades propiamente dichas de la Auditora
Auditora por temas generales o por reas especficas:
La auditora Informtica general se realiza por reas generales o por reas especficas. Si se
examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y
mayores recursos.
Cuando la Auditora se realiza por reas especficas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y
con menor calidad.
Tcnicas de Trabajo:
- Anlisis de la informacin recabada del auditado.
- Anlisis de la informacin propia.
- Cruzamiento de las informaciones anteriores.
- Entrevistas.
- Simulacin.
- Muestreos.
- Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.
- Estndares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditora (Generadores de Programas).
- Matrices de riesgo.
Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con
mayor frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades descritas,
hay que convenir en la mayor incidencia de fallos de gestin.
Areas de aplicacin:
Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las
condiciones de aplicacin sealadas en punto anterior:
Gestin de Datos.
Control de Operaciones.
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Objetivos:
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los
procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las
Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como
finalidad algunas de las que se relacionan:
Alcance
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo.
Se exhibe a continuacin una Checklist completa de los datos necesarios para confeccionar el
CRMR:
Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de
las Recomendaciones realizadas.
Caso Prctico de una Auditora de Seguridad Informtica <<Ciclo de Seguridad>>
A continuacin, un caso de auditora de rea general para proporcionar una visin ms
desarrollada y amplia de la funcin auditora.
Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la seguridad fsica
del Centro de Proceso de Datos en su sentido ms amplio, como la seguridad lgica de datos,
procesos y funciones informticas ms importantes de aqul.
Ciclo de Seguridad
El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la
misma en los rganos ms importantes de la estructura informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditora se realizara en 3 niveles.
Los segmentos a auditar, son:
13. Conclusin
Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la que hemos
podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de Informacin
medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y
eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada
en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen
correctamente. La empresa hoy, debe / precisa informatizarse. El xito de una empresa depende
de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de
primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no
hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo
de la Auditora en s, podemos remarcar que se precisa de gran conocimiento de Informtica,
seriedad, capacidad, minuciosidad y responsabilidad; la Auditora de Sistemas debe hacerse por
gente altamente capacitada, una Auditora mal hecha puede acarrear consecuencias drsticas
para la empresa auditada, principalmente econmicas.