Documentos de Académico
Documentos de Profesional
Documentos de Cultura
me
AUDITORIA
INFORMTICA
(Jn enfoque prctico
2 EDICIN A M P L I A D A Y R EVI SADA
A li'a o m e g a ^ ^ R a - M a
www.FreeLibros.me
Coordinadores
Mario Gerardo Piattini Velthuis
Universidad de Casilla-La Mancha
ISBN: 970-15-07)1.!
IV rw Iw retcrvado.
t>u iN j o piopxdjd imelivluildciu auloi >lo dcrelande fuN* a io en lenirua
opjV'Ij h.m tido legalmente tramferidot al edito* PioftiNda tu teptodactKta pii
ivil o (ot*l pea cualfaaer m nk in permito poi eterno dei profittino de lo derc-
<ho del eopyitfht
NOTA IMPORTANTE
L (ormaeKjn contcnxla en etla obr a tiene a Iin etclutivameMe didfcllco y. poi lo
unto, no e-vU pievi no tu afrovethamicMo j mvel pnrfettoaal indatirul liv .*-
iAHmci tcvnii.it y piorijnu laeluidot. lua udo elafaradi eon (un euidado p *
el juioi > reproducidoi bojo etinciat norma de eonirol AI.I AOMWiA CRI PO
EDITOR. S A. ile C.V. ieri juriduaineaee repoowblc poi ctrotet u orninone;
daftot y ivi)kk<>|ue e pudician allibali al n o de Li infomacidn comprendida en
ette libro, ni p U uiliracita imkbidi <uc pu*ei j dirtele
Imprrxi:
Geme Suoi EdUoriiI
Bojcci. D C . Coloratola
www.FreeLibros.me
PR E F A C IO
Dtele los inicio de la humanidad las distintas cultura), han dado una importancia
enorme a los lemas de contabilidad, y por u n to tambin han necestalo d e medios que
permitieran verificar vas registros, es decir, de la auditora. De hect se piensa que la
a vencin de la escritura surgi com o respuesta a la necesidad d t auditar. Flesher
<1993): por lo que la d e auditor seria una de las profesiones ms antigua*.
Los objetivos que nos hemos propuesto en esta obra son los siguientes:
En esta segunda edicin del libro se han actualizado y corregido vahos captulos,
incorporando otros nuevos, con el fin de ofrecer una panormica actual y completa de
este campo.
CONTENIDO
La obra est dividida en tres partes claram ente diferenciadas:
Parte I: Introduccin
En esta primera parte, que con va d e siete captulos, se exxm en diversos
ooceptos fundamentales de la auditoria informtica. En el primer cap iu lo se describe
la utilizacin de la informtica com o herramienta del auditor financelo. mientras que
ca el segundo captulo ya empieza la auditoria informtica propiamente dicha,
analizndose su relacin con el control interno, dedicndose el c ap iu lo siguiente a
exponer las principales metodologas de control interno, seguridad y auditoria
formca.
Esta porte finaliza con dos captulos que se dedican a explorar sendos aspectos a
los que no se les suele dedicar la extensin necesaria en los libros exigentes: el marco
jurdico y la deontologa del auditor informtico, pero que nosotros estimamos
imprescindibles en la formacin de cualquier profesional que trabaje e i esta rea.
El libro finaliza con una amplia bibliografa que ha servido d e referencia y que.
en parte, tambin se ofrece como lecturas recomendadas en cada uno de lo* captulos.
Tambin hemos incluido en cada captulo unas preguntas de repaso que pueden
indicar al lector el grado de asimilacin que ha alcanzado sobre la materia.
ORIENTACIN A LO S LEC TO R ES
Aunque un conocimiento en profundidad de l u tcnica* y hcTamiemas de la
auditoria informtica puede estar reservado a lo profesionales de la materia, nuestro
propsito al editar esta obra ha sido dirigirnos a una audiencia muchc m is amplia que
comprende:
Cada porte y cada captulo pueden consultarse de manera autnma sin tener que
Kguir el orden que se ha establecido.
AGRADECIMIENTOS
Querramos expresar nuestro agradecimiento, en primer lugar, a los autores que
colaboran en esta obra y que son sus verdaderos artfices. Si* conocimientos,
experiencias y autoridad en el cam po d e la auditora informtica constituyen, sin lugar
a dudas, una garanta de la calidad d e su contenido.
OAI. ha sido durante varios aflos una fuente constante de aprendizaje y de intercambio
de nicas, manteniendo encendida la llama de la auditora informtica en nuestro pas.
Por ltimo, nos resta dar las gracias a Ana M. Reyes por sus valiosas sugerencias
que. com o en otras muchas ocasiones, han contribuido a mejorar considerablemente
este libro, as como a la empresa Albadalejo. S .L , que se encarg de la composicin
del mismo, y a la editorial Ra-Ma. especialmente a los Luis Ramrez, por su apoyo y
confianza.
M ario Piainni
Emilio d e l Peto
MaJri. OttefcrtXDO
www.FreeLibros.me
P R L O G O A LA PR IM E R A KDICIN
Estamos inmersos en un profundo cam bio de todo tipo que nos l evar al prximo
agio XXI. La empresa y organizaciones dependen de los rdenes econmicos,
industriales, y sociales en los que se encuentran inmersas por lo que. si las tendencias
tecnolgicas y los entornos econmicos e industrales cambian. Jeben ad ap ta rse
rpidam ente a las nuevas circunstancias para sobrevivir. Una de lis tendencia
actuales ms significativas es la que se dirige desde una Sociedad lid u s tria l hacia la
llamada Sociedad de Inform acin.
Sin embargo, en trminos generales, podemos decir que a pesar de los grandes
adelantos tecnolgicos, la situacin actual d e los Sistemas de Informacin en las
Empresas y Organizaciones espaolas se caracteriza frecuentemente por una falla de
asim ilacin de las nuevas tecnologas, por una mfrautilizacin de los equipos
informticos, por un descontento generalizado de los usuarios, por una obsolescencia
de las aplicaciones informticas actuales, por una falta de planificacin de los
Sistemas de Informacin, y por soluciones planteadas parcialmente que. al no estar
integradas, producen islotes de mecanizacin y d e procesos manuales difciles de
controlar y caros de mantener. En definitiva, por una falta de estndares y
metodologas, y por una falta d e formacin y cultura generalizada, sobre todo en los
aspectos de control y de segundad informtica.
Por diversas razones y por el mayor im pacto que estn adquiriendo las
Tecnologas de Informacin en la empresa, esta disciplina est siendo cada vez ms
importante y su aplicacin puede llevarse a cabo tambin en la PYME. La Auditora
Informtica plantea unos mtodos y procedimientos de control d e los Sistemas de
Informacin que son vlidos para cualquier tamaAo d e empresa.
Aqu e s donde creo que este libro de Auditoria Informtica: Un enfoque prctico
es de una gran utilidad al presentar un compendio exhaustivo d e los temas d e ms
actualidad por los autores ms cualificado del sector.
Puede servir de base, por un lado, para llevar a cabo la cultura y formacin sobre
Auditora Informtica, a la que me refera anteriormente, desde un punto de vista
tcnico: por otro lado, toca otros temas de inters actual y prctico, desde el punto de
vista del negocio y de la empresa, relativos a la organizacin, a la deontologa. al
marco jurdico, a la responsabilidad del empresario, y a la aplicacin prctica de la
Auditora Informtica en diversos sectores empresariales.
www.FreeLibros.me
pkOmxvo a i a pwvij (a uxciQs xxxi
En este marco, de cam bio acelerado, si los responsables van a estar a la altura de
las circunstancias, es necesario que se pongan al da en cuanto a tecnologa y entorno
de la Auditora Informtica. Este libro, compilado por Emilio d tl Peso y Mario
Piattini. puede ser fundamental para ello.
PR L O G O A LA SEG UN D A LU IC I N
Al releer este libro. A uditoria Inform tica: u n enfo q u e prctico, entend que
ihi a re stillar una labor m u) ardua poder aiVadir algn concepto de in t e r i a los
Kledot ya en las pginas siguientes Por esta ra/n. me be permitido un primer
atrevimiento: esbozar algunas reflexiones propias sobre la Auditora de Sistemas de
Informacin. asi como com ntanos obre el K 'ntcnido de esta obra.
mirada nueva y actualizada, icncr en cuerna los fundamentos h<*cos para el desarrollo
de la profesin, establecer un lenguaje comn de comunicacin e integrad* de todas
las disciplinas o actividades que estn relacionadas, y al mismo tiempo, investigar en
nuevas direcciones. lista, es tal vez la ra/ n m is importante que me ha hecho
permanecer en esta profesin.
Los profesionales que han hecho posible este libro, esti haciendo un aporte
cualitativo a este "cam ino que se hace al andar", contribuyendo i que la Auditora de
Sistemas de Informacin se entienda en cuantos a sus objetivos, y que al mismo
tiempo cum pla con u funcin ocia! de dar confianza en los sistemas de informacin
a sus responsables y a la sociedad en general que recibe sus servicio.
Quiero personalm ente agradecer a M ario Piattini y Emilio del Peso, por
haberme honrado con la peticin de hacer esta presentacin. C o n o parte del colectivo
www.FreeLibros.me
i_____________________________________ HHfrjUOO A l-A SKA'KDAMUCKVM XXXVII
Marina T o u rito
Ccrtified Information Systems Auditor
Presidenta de la Organizacin de Auditoria Informtica
www.FreeLibros.me
CO N T EN ID O
A u l o m ___________________________________________________________ XXI
Prlogo a la p rim e ra e dicin....... ..... .................................................................................... - ..
Prlogo a la se cunda edicin........................... .....................................- .............. X X X III
P r c fa d o ......... - ........................................................................................ .................. XX XIX
CA PTU LO 5. O R G A N IZ A C I N DF.I. D E PA R T A M E N T O DE
AUDITO RA IN F O R M T IC A (Rafael Ruano D iez)-------------------------- 107
C A P T U L O 3. M E T O D O L O G A S DE C O N T R O L INTER NO .
SEG U R ID AD Y A U DITO RA INFO R M TIC A
(J os M ara Gonzlez Zubieta)......... .................................................................................. ................
P A R T E n . P R I N C I P A L E S R E A S D E I .A A U D I T O R A
I N F O R M T I C A ................. .................................................................... ..............1 7 9
C A P T U L O 9. A U D IT O RA DE LA O FIM T IC A
(Manuel G m ez V az)............................. ......... ..... ........... 197
CA PTU LO 10. A U D IT O RA D E LA D IR E C C I N
(Juan M iguel Ramos Escobosa>............................................ ......... ............... 211
C A P T U L O 13. A U D IT O R A D E L M A N T EN IM IEN T O
(Juan Carlos Granja Alvarez)................ ........... .................. ...... ............ ..........
13.8 Cuestiones de re
www.FreeLibros.me
C A PT U L O 15. A U D IT O RA DE T C N IC A DE SIS TE M A S
(Julio A. Novoa B erm ejo)------------------------......------------............................ 335
CA PTU LO 19. A U D IT O RA D E A PL IC A C IO N E S
(Jos M ario M adurga O u ty t) ------ ------------ ...-------- -------- -------------- - . 445
C A P T U L O 20. A U D IT O R A IN FO RM A T IC A D E EIS/D SS
Y A P L IC A C IO N E S D E SIM U L A C I N (M anuel Palao Garca-Suelto) 467
C A P T U L O 21. A U D IT O R A JU R D IC A DE E N T O R N O S
IN F O R M T IC O S U osep Jtn-er i Podr)------------------------- ---------------- - 483
C A PIT U L O 25. A U D IT O RA IN FO R M T IC A E N L A S PY M F S
(Carlos M. Fernndez Snchez).......................... - ....... ................ .................. . 567
CA P T U L O 27. E L CO N T R A T O D E A U DITO RA
(Isabel fat-ara Fernndez d e M arcos).............................................................. 6 15
A C R N L M O S_____________________________________________________ 643
B IB L IO G R A F A ___________________________________________________ 649
C A P T U L O 1
LA IN FO R M T IC A
C O M O H E R R A M IE N T A
D EL A U D ITO R FIN A N C IE R O
Pero como ya pretende cxplicitar el ttulo del captulo, vamos a tratar de auditora
financiera, Parece indicarse que en cierta medida nos desgajamos del contenido
general del libro y nos desviamos hacia las auditoras financieras.
1.2. AUDITORA. C O N CE P TO
1.3. C LA S ES DE AUDITORA
Com o es natural, cada una de las clases o tipos d e auditoria pcuee sus propios
procedimientos para alcanzar el fin previsto aun cuando puedan <n muchos casos
coincidir. El alcance de la auditoria, concepto d e vital importancia, nos viene dado por
k>s procedimientos, l a amplitud y profundidad de los procedimiento* que se apliquen
nos definen su alcance.
Estas tres normas se deducen claram ente de la situacin real actual de los riesgos
que ha de afrontar el auditor.
Sin embargo, cuanto lleg U llamada revolucin cuantitativa, que (rajo conujs
la creacin de sociedades con importantes medios, que las operaciones tt
nuliiplscaran enormemente y que la gestin y propiedad se diferenciaran cada v a tak
claramente, el mtodo tradicional resoll laborioso, tedioso, largo, ineficaz y
ecoomic menle inviaMe.
Tam bin, como no manifiesta Dale S. Plesher. a partir de los primeros artos dd
siglo XX. la banca se convirti en el principal usuario d e las auditoras de cara 4
seguimiento de sus crditos, y no estaba interesada en la exactitud administrativa de
las cuentas sino "en la calidad y representad v nlad d e los balances".
R (c )* R (d -S (e ).
1.5. VARIACIN D EL O B JE TO
d lo .
La situacin se hace ms dram tica por el hecho cada vez m i extendido de que
d soporte documental de lo apuntes electrnicos n o exista en absolito. FJ rastro de
auditoria tradicional ha desaparecido com o, por ejemplo, en el F.DI o H-T.
1.6. C ON SULTORA . C O N C E P TO
E s una funcin a priori con el fin de determinar cmo llevar i cabo una funcin o
actividad de forma que obtenga los resultados pretendidos. I j auditora verifica a
p ouenori si estas condiciones, una v e / realizada esta funcin o actividad, ve cumplen
y lo* re litados pretendidos se obtienen realmente.
- Anlisis de riesgos.
- Planes de contingencia.
- Desarrollo de aplicaciones.
En cuanto al objeto puede considerarse desde el uso de un sim ple PC con un par
de aplicaciones bsicas como pueden ser la contabilidad y un procesador de texto, a
un sistema complejo, distribuido, utilizando base d e datos en cliente servidor,
integrado y comunicado con otros sistemas con los que interacta directamente como
en el EDI. Rmccc evidente que las tres Normas para la ejecucin d e la auditoria
adquieren una complejidad y amplitud diferente*. M ientras ms desarrollado es el
sistema, ms problem tico resulta su enfoque por parte del auditor. Si bien lo riesgos
de un pcqueAo PC pueden ser sustantivos, la complejidad de los mismos en un gran
siuem a e s decisiva.
N o resulta difcil justificar que las posibilidades del auditor utilizando medios
electrnicos se am plia enormemente con respecto a trabajos manuales sobre listados
en papel. El incremento en velocidad, eficiencia y seguridad e s evidente.
Para todo ello el auditor puede valerse sustancialm ente de las d ise as
herramientas informticas que tiene a su disposicin y que podramos catalogar de la
siguiente forma:
www.FreeLibros.me
CAPtll I.U I IA rSUMIMMK'A COMOHmKAVmVTA IW1 Al IMIHI UNASX'IUtO l>
IV forma somera podram os reseftar los objetivo que se cubren con la utilizacin
de las diversas herramientas enumeradas:
- A ccf.w directo: todas fas aplicaciones a que nos hemos referido hasta el
momento y las posteriores se refieren a dato* o "archivos" especficos de las
misma* que el auditor ha tecleado en las aplicaciones o ha copiado de otras ya
existentes. La gran sentaja del acceso directo e s que adopta como arch ito a
leer o analizar los de la firma auditada, generalmente los que contienen la
contabilidad de la misma. Sea cual sea la aplicacin d e contabilidad que luya
utilizado la firma auditada, las aplicaciones de acceso directo, como su
nombre indica, adoptan com o archivos propios los realizados por esas
aplicaciones. De esta forma se materializa directamente la aseveracin de que
los libros del auditor son los archivos informticos del auditado.
Tomando como hilo conductor la estructura de ACL (vase figura I . I ). una de las
aplicaciones ms destacadas de este estilo y posiblemente la ms extendida
mundialmente. tomaremos como esquema bsico, que vemos en la pgina siguiente.
Lo* archivos de datos son exactamente los existentes en el auditado, es decir tos
archivos fsicos de la firma auditada, d e la forma y con la codificacin con que hayan
sido grabados. Estos datos no cambian. ACL crea para su tratamiento el "documento
que contiene la informacin necesaria en cuanto a definiciones del formato del archivo
de datos, botches. ndices, vistas y espacio de trabajo.
La definicin del form ato contiene ta estructura y contenido del archivo de datos.
Incluye informacin com o nombre de los campos, codificacin de los datos, mrgenes
donde comienzan y donde term inan. Con esta informacin ACI. e s capaz, de leer e
interpretar el archivo de datos original a auditar.
www.FreeLibros.me
CAPTULO 1.I-A INFORMATICA COMO HmKA.MH.VTA I
- Ordenar - Contar
- Crondogizar - Agregar
- Kxiraer segn condiciones - Totalizar
- Estadsticas - Estratificar
- Muestras - Comparar
- Clasificar
Slo existen dos limitaciones a los anlisis, clculos, verificaciones, etc. que
puede hacer ACL:
- La imaginacin del auditor, que combina los diferentes mandatos para obtener
la informacin final que desea. Creando incluso nuevos cam pos computados,
producto del tratamiento de uno o varios d e los ya exis(enes.
www.FreeLibros.me
It AtHMTORU CsKmMTKA 1~XENKXJtt. Plmeo
Si aAadimos que la respuesta a cualquier solicitud, sea curf sea el tamao del
archivo de dalos, se realiza en segundos y en cualquier caso c pocos minutos, la >
importancia d e esta aplicacin queda perfectamente clara.
E jem plo I: C O M P R O B A C I N D E BA LA N CE
E jem plo 2: C O N C IL IA C I N E N T R E CO M P R A S V PR O V E E D O RE S
Revisin a n a llk a
Norm alm ente se utiliza la hoja d e clculo para obtener, d e los d a que
habitualmente se le introducen (Balance. Cuentas de Prdidas y Ganancias, etc.), los
io s. proporciones o funciones que proporcionan una nueva visin comparativa de mi
contenido.
Sistemas expertos
liste sistema ya se ha utilizado en diversos cam pos, por ejemplo la medicina, pora
dir diagnstico* o tratamientos en hase a los datos del paciente que se introducen en la
aplicacin.
de la base <le conocimiento con los nuevos sistemas analizados y el soporte legal que
implica en caso de litigio.
K 5 )
Q Ls s s l K ^
TcM C heck
F.sta prctica, cada vez en menor uso. consiste en introducir en la aplicacin que
el auditado utilice un conjunto de valores cuyo resultado se conoce. Estos valores se
comparan con los que eventualmente proporcione la aplicacin.
Es decir, aquellas aplicaciones que interrelacionan todas las dem s para crear un
enlom o nico que utiliza la totalidad de la informacin obtenida a travs de tas
diferentes herram ientas creando un "sistema de auditora".
1.7.3. Evolucin
Hiptesis de oollicin
Nivel 5 5 B5 1 5
Nuevos conceptos y Kl valor aadido se La auditoria adopta La auditora se
paradigmas basados convierte en el I "el carcter d e un j c o n v ie n e n una
en la TI | objetivo de toda servicio de h e o ^ ^ n a para la
I auditora consultora y js ^ ^ H i n d e
anlisis continuado' J M s polticas
____________________________
Nivel 4 A4 w
Gestin estratgica l.os auditores 84 A
La integracin fM cjor comprensin
basada en la TI adoptan un nuevo tas h e rr a m ie n u ^ V 1de todas las partes
concepto de su I auditoria p o j^ K T la implicadas de los
propia actividad c liiic riw 'ia ^ H r | beneficios de una
Nivel 3
l ______
[ 3
_ Iaudito
B3 M r
j auditora
C3
Nuevos producto* I j s herramientas >D c i ^ H l o de una Se acaba el
dependientes de la del auditor se ^ f lo g n in a d c cxpcctation gap
| equiparan en Vgp-'-- '
sofisticacin al Jlr rramisnta
sistem a de los i Tudkoffe
Nivel 2
| d ientes c o m o l f
EFT J____
82 |C 2
A umento de la A m p li3 j4 H e la I Aumento Menos argumentos
calidad ." i o t v | cuantitativo y en cuanto al papel
cualitativo de los del auditor
j f S F I *U-.cubrmiciUt
Nivel I Bl ci
Reduccin de ' Reduccin de horas Incremento en la Reduccin de
costos de auditora | recuperacin de trabajo
I Icostos administrativo
Costo econmico
Parece innegable que los costos tanto del hardware com o del software han
disminuido extraordinariamente en los ltimos artos y que la eventual inversin en un
sistema para inormatizacin de la auditora no es en absoluto significativo. Cualquier
somero estudio demuestra que su rentabilidad porcentual es siempre sumamente
elevada.
Cierto temor reverencial a una nueva tcnica que mirada desde el exterior parece
sumamente compleja y algo mgico que de por s ahuyenta. Esta idea puede traer
como corolarios otras consideraciones negativas como que se cree que:
10. Cules son las razones de la baja utilizacin de las TI como herramienta de
la auditora financiera?
www.FreeLibros.me
C A P T U L O 2
C O N T R O L IN T ER N O
Y A U D ITO R A IN FO R M TICA
2.1. INTRODUCCIN
El mundo en general est cambiando cada vez m is rpidarw nte, sometiendo a las
empresas a la accin de muchas fuerzas extem as tales como la creciente necesidad de
acceder a los mercados mundiales, la consolidacin industrial. U intensificacin d e la
competencia, y las nuevas tecnologas.
Las tendencias externas que influyen sobre las empresas son. entre otras, las
siguientes:
La glohalizacir).
La diversiftcacin de actividades.
l- i eliminacin de ramas de negocio no rentables o antiguis.
La introduccin de nuevos productos com o respuesta a la competencia.
L as fusiones y la formacin de alianzas estratgicas.
Ante la rapidez de los cambios, los directivos toman conciencia d e que para evitar
fallos de control significativos deben reevaluar y recstnictuiar sus sistemas de
controles internos. Deben actuar d e manera proactiva antes d e que surjan los
problemas, tomando medidas audaces para su propia tranquilidad, as como para
garantizar a los consejos de administracin, accionistas, comits y pblico que los
controles internos de La empresa estn adecuadamente disertados para hacer frente a
lo* retos del futuro y asegurar la integridad en el momento actual.
Un centro de informtica de una empresa del sector terciario suele tener una
importancia crucial por soportar los sistemas d e informacin Jel negocio, por el
volumen de recursos y presupuestos que maneja, etc. Por lo tanto, aumenta la
complejidad de las necesidades de control y auditora, surgiendo en las
organizaciones, com o medidas organizativas, las figuras de control interno y auditoria
informticos.
La misin del Control Interno Informtico e s asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean correctas y
vlidas.
Controlar que todas las actividades se realizan cumpliendo los procedim ientos
y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.
Por ejemplo, en los actuales sistemas informticos puede resultar difcil ver la
diferencia entre seguridad de los programas, d e los datos y objetives de control del
software del sistema. porque el mismo grupo d e mtodo* de control satisface casi
H u lm w u lo* tres objetivo de control.
La relacin que existe entre los mtodos de control y los objetivos de control
puede demostrarse mediante el siguiente ejemplo, en el que un miimo conjunto de
mtodo* de control se utiliza para satisfacer objetivos de control tanto de
mantenimiento como de seguridad de los programas:
DtRWXTN POLTICAS
V
DIRECTRICES [ fo i/n cA \
<______>
i
ESTNOARKS
1-ROC.TXHMIE.VTOi
I NORMAS Y
METOOOIXXSS
coMnconACts
Y SEGUIMKNTO
* Dft CONTROLES
1 | CVLTVtU ]
IMPLANTAR
r NtOCCZMMIECTOS
De CONTROL.
A continuacin se indican algunos controles internos (no lodos los que deberan
definirse) para sistemas de informacin, agrupados por secciones funcionales, y que
serian los que Control Interno Informtico y Auditora Informtica deberan verificar
para determinar su cumplimiento y validez:
Planificacin:
Asegurar que la Direccin revisa lodos los informes de control y resuelve las
excepciones que ocurran.
Para que permitan alca ruar la eficacia del sistema, economa y eficiencia,
integridad de los dalos, proteccin d e los recursos y cumplimiento con las leyes y
regulaciones.
4. C ontroles en aplicaciones
Racionalizacin de costos.
Mejora de la capacidad de tom a de decisiones, haciendo stas ms rpidas y
de menor riesgo, al contar, de manera casi inmediata, con la informacin
precita. Mejora de la calidad d e los servicios debido al incremento de la
capacidad pora adaptarse dinmicamente al mercado.
Nacimiento de servicios a d ie n tes basado e n la nueva tecnologa sin cuyo uto
seran imposibles d e ofrecer.
ht/g e rald . Jerry. Controles internos para sistem as de computacin. Ed. Limusa
Wiley.
CA PITULO 3
M E T O D O L O G A S
DE C O N T R O L IN TER N O ,
SEGURIDAD Y A U D ITO R A IN FO R M TIC A
Resumiendo, la informtica crea unos riesgos informticos de los que hay que
proteger y preservar a la entidad con un entramado d e contramcdidas, y la calidad y la
eficacia de las mismas es el objetivo a evaluar para poder identificar asi sus puntos
dbiles y mejorarlos. sta es una de las funciones de los aud iu res informticos. Por
tanto, debemos profundizar ms en esc entramado de contrunedidas para ver qu
popel tienen las metodologas y los auditores en el mismo. Para explicar este aspecto
direm os que cualquier contramedida nace de la composicin de varios factores
expresados en el grfico valnr" A r U figura 3.1.
l-A N O RM A TIV A debe definir de form a clara y precita lodo lo que debe
existir y ser cumplido, lano desde el punto de vista conceptual, como
prctico, desde lo general a lo particular. Debe inspirarse en estndares,
polticas, marco jurdico, polticas y normas de empresa, experiencia y
prctica profesional. D esarrollando la normativa, debe alcanzarse el resto del
grfico sa lo r. Se puede dar el caso en que una normativa y su carcter
disciplinario sea el nico control de un riesgo, pero no es frecuente.
Todos estos factores estn relacionados entre sf. as com o la calidad de cada uno
con la de lo* dems. C uando se evala el nivel de Seguridad d e Sistem as e n un
institucin, se estn evaluando lodos estos factores (p irm id e) y se plantea un P lan de
S eguridad nuevo que mejoee todo* los factores, aunque conforme vayamos realizando
los distinto* proyectos del plan, no irn mejorando todos por igual. Al finalizar el pUa
se lu b r conseguido una situacin nueva en la que el nivel d e control sea superior a)
anterior.
Queda, pues, por decir que ambas funciones deben ser independientes d e la
informtica. dado que por la disciplina laboral la labor de la dos funciones quedara
mediatizada y comprometida. F.to e s lo que se llama "segregacin de funciones"
c ttrt stas y la informtica.
Disertadas para producir una lista de riesgos que pueden compararte entre si con
facilidad por tener asignado uno valores numrico. Esto valores en el caso de
metodologa de anlisis de riesgos o de planes de contingencia1- to n dato de
probabilidad de ocurrencia (riesgo) d e un evento que se debe extraer de un registro de
incidencias donde el nm ero de incidencia tienda al infinito o sea suficientemente
grande. Esto no pasa en la prctica, y te aproxim a ese valor d e 'orma subjetiva
retundo as rigor cientfico al clculo. Pero dado que el clculo te hace para ayudar a
elegir el mtodo entre varias contram edidat podram os aceptarlo.
Por lano, vemos con claridad dos grandes inconveniertes que presentan eus
metodologas: por una pane la debilidad de los dalos de la probabilidad de ocurre*
por los pocos registros > la poca significacin de los mismos a nivel mundial, y por
otra la imposibilidad o dificultad d e evaluar econmicamente lodos los impactos que
pueden acaecer frente a la ventaja d e poder usar un modrlo matemtico p a n d
anlisis.
Despus de e*tas metodologas han nacido mucha* otras como, por ejemplo, U
MACERfT. desarrollada por b administracin espartla. Citarem os algunas a modo
de ejemplo:
M A RIO N
El anlisis de riesgos k> hace obre diez irea s problemtica con otros
cuestionario. Estas reas son riesgos materiales, sabotajes fsicos, averas,
comunicaciones, errores de desarrollo, errores d e explotacin, fraude, robo de
informacin, robo de software, problem as de personal. Sirve para evaluar el impacto
figura 3.8).
R1SCKPAC
CRAMM
Se desarroll entre 1985 y 1987 por BIS y CCTA (C E N T tA L COM PUTER &
TELECOMUNICATION AGENCY RISK A NALISIS & MANAGEMENT
METMOD. Inglaterra). Implantado e n ms de 750 o rganiracbnes en Europa, sobre
todo de la administracin pblica. Es una metodologa cualitativa y permite hacer
anlisis Qu pasa si...?".
PR IM A (PR E V E N C IO N DE R IE SG O S IN F O R M T IC O S CON
MKTOIKM-OGA A BIE RT A )
- Cubrir las necesidades de los profesionales que desarrollan cada uno de los
proyectos necesarios de un plan de segundad.
- Fcilmente adaptable a cualquier tipo de herramienta.
- Posee cuestionarios de preguntas para la identificacin de debilidades o faltas
de controles.
www.FreeLibros.me
CArtnu-Q i Mirmixxnctvs i* twfntot inttkno . u o :hipad y audctohia
Con la misma filosofa abierta existen del mismo autor, en b actualidad, las
siguientes metodologas:
- Anlisis de riesgos.
- Plan de contingencias informtica y d e recuperacin del negocio.
- P b n de restauracin interno informtico.
- Clasificacin de b informacin.
- Definicin y desarrollo de procedim ientos de control informticos.
- P b n de cifrado.
- Auditora informtica.
- Definicin y desarrollo d e control de acceso lgico. Entornos distribuidos y
single sig-on.
www.FreeLibros.me
3 .2 J .2 . P lan de contingencias
Las de Risk Anlisis se basan en el estudio de los posibles riesgos desde el punto
de sista de probabilidad de que los mismos sucedan. Aunque los registros de
acidentes. al igual que ocurra en las metodologas de anlisis d e riesgos, son escasos
y poco fiables, aun as es m is fcil encontrar este tipo de metodologas que las
segundas.
Las tareas de esta fase e n las metodologas de Risk Anlisis son las siguientes:
1. Identificacin d e amenazas.
2. Anlisis de la probabilidad de materializacin de la amenaza.
3. Seleccin de amenazas.
4. Identificacin de entornos amenazados.
5. Identificacin de servicios afectados.
6. Estimacin del im pacto econmico por paralizacin de cada servicio.
7. ScIcccMta de Io scrvicio a cubrir.
8. Seleccin final del mbito del Plan.
9. Identificacin de alternativas para lo* entornos.
10. Seleccin de alternativas.
11. DiscAo de estrategias de respaldo.
12. Seleccin de las estrategias de respaldo.
www.FreeLibros.me
t a u x to k U intohm tw a un exkm x'e wtcnco
FASE II: DESARROLLO DEL PLAN. Esta fase y la tercera son similares es
todas las metodologas. En ella se desarrolla la estrategia seleccionada implantndose
hasta el final todas las acciones previstas. Se definen las distintas organizaciones de
emergencia y se desarrollan los procedim ientos de actuacin generando as li
documentacin del plan.
dturrollar m is larde la hcnam icnta que *c necesite. fcJ esquema de una herramienta
dete tener al menos los uguicntes puntos:
Es importante para terminar este punto decir que una prctica hatitual e s realizar
la fase I y contratar un servicio de back-up sin desarrollar las fases II y III. Esto no
M o constituye un error conceptual, sino que en realidad slo se tiene un estudio y un
contrato de servicios pero no un PLAN DE CONTINGENCIAS.
Tienen apaados para definir pruebas" y anotar sus resultados. sta es una
caracterstica clara de la diferencia con las metodologas de evaluacin d e la
consultara como la* de anlisis de riesgos que n o tim e n estos apenados, aunque
urribin tratan de identificar vulnerabilidades o falta d e controle; Esto es. la
ratizaon de pruebas e* consustancial a la auditora, dado que tarto el trabajo de
conlitara como el anlisis de riesgos espera siempre la colaboracin del analizado, y
www.FreeLibros.me
W M W IW lA INHM*TlfA IX tMOQCt *CnC O ____________________________ a i
FJ auditor interno debe crear vuv metodologas necesarias ara auditar los
taiinto* aspectos o reas que defna en el plan auditor que veremos en el siguiente
puno.
Es decir, que no es lo mismo ser una informtica de los auditores que ser auditor
informtico. La auditora financiera e s un dictam en ta b re fo t atado* de cuentas. Y
la auditora informtica e s una auditora en si misma, y si el auditer informtico no
certifica la integridad de los datos informticos que usan los auditores financieros,
stos no deben usar los sistemas d e informacin para sus dictmenes. Tal es la
iaporuncia de la existencia de los auditores informticos, que ton b s garantes d e la
veracidad de los informes de los auditores financieros que trabajan con los datos d e los
sistemas de informacin.
FJ esquema metodolgico del auditor est definido por el plan auditor que vemos
a continuacin.
Las partes de un plan auditor informtico deben ser al menos las siguientes:
- Procedim ientos pora las distintas tareas d e las auditoras. Entre ellos estn el
procedim iento de apertura, el de entrega y discusin de debilidades. entrega de
informe preliminar, cierre de auditora, redaccin de informe final, etc.
www.FreeLibros.me
IA AVPfTORlAINro*MTCA INtNroOlTiHtAcnOO
CICLO DE AUDITORIAS___________
rebajar el nivel de un rea auditada porque est muy bien y n o merece la pena
revivarla tan a menudo.
- li s t a de distribucin de informe*.
- Seguim iento de b u accione c o rre d o ra s .
- l i a n qu in q u e n al. Todas la reas a auditar deben corresponderse con
cuestionarios metodolgico* y deben repartiese en cuatro o cinco aAos de
trabajo. Ksta planificacin, adem s de las repeticiones y aadido de las
auditoras no programadas que se estimen oportunas, deber componer
anualm ente el plan de trabajo anual.
- l i a n de tra b a jo an u al. Deben estimarse tiem pos de manera racional y
componer un calendario que una v e / term inado nos d< un resultado de horas
de trabajo previstas y. por tanto, de lo* recu n o s que se necesitarn.
Debemos hacer notar que e s interesante tener una herramienta programada con
metodologa abierta que permita confeccionar los cuestin ario* de las distintas
auditorias y cubrir fcilmente los hitos y fases de los programas de trabajo una vez
definida la metodologa completa. B a o te poede hacer sin dificultad con cualquier
herramienta potente de las que existen en la actualidad.
Aunque hay una cierta polmica profesional con esta funcin y no cxitfe una
aceptacin tan clara com o la funcin de auditora informtica, parece razonable y sin
tencin de crear doctrina definirla como existe en general en muchas mutina-
ckrules.
www.FreeLibros.me
ai o i iohia informtica un i j toq iir okh
Por tanto, podram os decir que existen claras diferencias entre las funciones de
conirol informtico y las de auditora informtica.
- O peran segn proced miemos de control en lo* que se ven involucrados y que
luego se desarrollarn.
- Al igual que en la auditora y d e forma opcional pueden ser el soporte
informtico de control interno no informtico.
Todas estas funciones son un poco ambiciosas para d esan c larla s desde el
instante inicial de la implantacin d e esta figura, pero no debemos perder el objetivo
de que el control informtico es el componente de la actuacin segura" entre los
wuiros, la nfonntica y control interno, todos ellos auditado? por auditora
nformtica-
www.FreeLibros.me
70 AUIim Ul>IK IUTIC*:W tW O0ltW (TK O
Por ejemplo, si en vez de cifrar la red d e comunicaciones por igual tomo* capaces
de diferenciar por qu linea* va U informacin que clasificam os com o Restringida a
lo propietario* de la misma. podremos cifrar solamente estas lneas pora protegerla
un necesidad d e hacerlo para todas, y de esa manera dism inuiremos el costo de b
ccotramcdida "cifrado".
Metodologa
Una vez definidos los controles, las herramientas d e control y los recurra
humanos necesarios, no resta m is que implantarlos e n form a de acciones especficas.
Ya hemos hablado de (oda* las capas de la figura 3.1. excepto d:l ltimo subs-
(rato de U pirm ide, esto es. las herramientas d e control. En la tecnologa d e la seguri
dad informtica que se ve envuelta en los controles, existe tecnologa hardware (como
los cifradores) y software. Las herramientas d e control son elemento* software que
por sus caractersticas funcionales permiten vertebrar un control de una manera ms
actual y ms automatizada. Pero no olvdenlos que la herram ienta en < misma no es
tuda. Ya hemos visto en el punto anterior que el control se define en todo un proceso
metodolgico, y en un punto del mismo se analiza si existe una herramienta que
automatice o mejore el control para ms tarde definir todo el control con la
herramienta incluida, y al final documentar los procedim ientos de las distintas reas
involucradas para que stas: los cumplan y sean auditados. O sea. comprar una
herramienta sin ms y ver qu podemos hacer con ella es. un error profesional grave,
que no conduce a nada, comparable a trabajar sin mtodo c improvisando en cualquier
disciplina informtica.
El sistema debe rechazar a los usuarios que no usan la clave o los derechos de
uso correctamente, inhabilitando y avisando a control, que tomara las medidas
oportunas.
El sistema debe obligar al usuario a cambiar la con ir aserta, de forma que slo
la conozca l. que es la nica garanta de autenticidad de sus actos.
www.FreeLibros.me
CAPtTULO y MtTOOOUWM DECOSTKOCI upricmU r>
Muchos de estos objetivos se pueden sacar de los propios estndares (ISO. Libro
Naranja. ITSEC. etc.).
Este ejemplo nos puede servir para introducir otra metodologa del compendio
PRIMA, utilizada p a n la implantacin del control sobre los "Entornos distribuidos'',
verdadero reto de nuestros das.
Todo estaba controlado en los grandes sistemas en su nivel C2/E2 (no es mucho,
pero suficiente para el nivel comercial, segn los fabricantes). Y llega la proliferacin
de los entornos distribuidos... el caos. Est controlada la seguridad lgica en la
actualidad? Cada responsable de seguridad debe planterselo! Se cum ple el marco
jurdico sin seguridad lgica?
Se podra implantar el control de acceso lgico, sistema a sistema con los propios
software de seguridad de cada uno de ellos, con un enorme esfuerzo de recursos
humano* y complicada operativa. Podemos resolver mejor el problema adquiriendo c
instalando un softw are de control d e entornos distribuidos. Pero qu hacer... cmo
ibordar el problem a? Ver mucho* productos y escoger uno? Ser lo mejor para el
fatsro? Cmo k> estn haciendo los dems?
Este punto es importante para ver xi con cl nuevo esquema de control al q<x
vamos perdemos objetivos de control o nos salen acciones nuevas para cl catlogo de
R .P .I.S .
T odo este inventario nos servir para haccr un anlisis de mejora* y prdidas o
lim itaciones en los nuevos escenarios con lo* software d e control de los entornos
distribuido*, segn convenga para elegir el mejor en costo/beneficio.
Hay que recapitular todos los objetivos d e control que se estn Jemandando al
conjunto de entornos, en lo referente a la administracin d e la seguridid. y saber con
precisin cul de las soluciones a analizar cumple mejor los requerimientos.
Son muchos otros los aspectos que deben exigirse, como son que se pueda
soportar ms de un perfil en un usuario, o que se puedan definir perfiles d e todo un
departamento o puesto de trabajo, asignaciones temporales de los Aackup d e cada
empleado para perodos de ausencia del titular, que el perfil d e un ingeniero no pueda
acceder a una aplicacin crtica, que se sincronicen passv-nrd en todos los entornos,
etc. En resumen, tantos cuantos objetivos de control se le exijan.
informacin y mis recursos, de lodos los sistemas com o si <Jc un solo enlomo k
iraiara". Evidentemente a este concepto habra que aadir todos los conceptos w
vinos en un control de acceso lgico (time-oul. salvapanialU t. log. d e .).
En cualquier caso todo registro debe tener garantizada su integridad incluso p>n
los administradores, no pudiendo desactivarse a voluntad, dado que quien quiera haca
algo no permitido", lo primero que har es asegurarse de que no quede constancia dd
hecho.
Hemos de hacer notar que las limitaciones que vayamos encontrando para lodo*
tos producto*, tendremos que resolverlas con exclusiones o procedim ientos que
estarn en el catlogo de R .P .I.'s, verdadero artfice d e la metodologa que nos
eNigar a resolver la* acciones antes de implantar el producto, y que ser un control
del proyecto durante su desarrollo.
A D QU ISICI N, IN ST A LA C I N E IM PL A N T A C I N . FO R M A C I N .
MANUALES DE PR O C E D IM IE N T O S D E C O N T R O L . T ras los pasos anteriores.
DO queda ms que comprar el producto e instalarlo, as c o n implantar el nuevo
esquema de seguridad lgica. Y tras eslo. dar la form acin apropiada a los implicados
jr desarrollar los procedim ientos d e control, que generarn procedimientos operativos
p n Ion usuarios de aplicaciones, los usuarios informativos, y lo* administradores de
seguridad lgica.
Todo este com plejo proceso e s vital hacerlo de modo ordenado y usando un
mtodo que permita en lodo momento saber qu se quiere y qu se "puede
conseguir con los producto* existentes de control de enlomo*, tratando de suplir con
procedimientos de control los huecos que no podamos cubrir con tecnologa. Aun as.
el reto que tenemos por delante e s importante, porque las soluciones que ofrecen los
(abocantes van muy detrs frente a la proliferacin de entornos y aplicaciones nuevos.
y M o una uclitud rcr.poivuible do cMandxriziurin r n u n solucione* propietarias de
segaidad. har que lo* fabricantes d e soluciones para entornos distribuido* tengan
producios de seguridad cada vez mejores, y que en vez de "adaptar el nivel de
seguridad lgica a los productos, sean los productos los que resuelvan las situaciones
suevas de seguridad lgica .
www.FreeLibros.me
C AUDITORA INFORMATICA tN liMOqt'fc PRACTICO
3.6. CONCLUSION ES
Metodologa de trabajo
Objetivo
Programa de la revisin
Revisar que se d la formacin del "uso del term inal" necesaria a kx usuarios.
Cuando sea necesario, verificar que todos los datos de entrada en un visten
pasan por validacin y registro ante de su tratamiento.
Comparar, validar, apuntar y rccatcular cam pos o elementos de d ito s crtico* por
nttodos manuales o automticos.
Comprobar que los usuarios revisan regularmente lis tablas internas del sistema
pa validar sus contenidos.
Identificar con los usuarios cualquier cdigo de errores crticos que deberan
parecer en momentos especficos pero que nunca surgen. Se han desactivado los
cdigos o mensajes de error?
Verificar que exiu en to ta l d e control para confirmar la buena interfaz entre jeto
O programas.
Com probar que existen v alid aci n entre totales d e control, m a nual j
automtico, e n punios de ta interfaz entre procesos manuales y automatizados.
Determinar si los usuarios comparan te*ales de control de los datos de entrada cco
totales de control de dalos d e salida.
Verificar que se hace una identificacin adecuada sobre los informes, pee
ejemplo, nombre y nmero de informe, fecha de salida, nombre d e rea/departamento,
etc.
Com parar la lista de distribucin de informes con tos usuarios que los reciben et
realidad. Hay personas que reciben el informe y que no deberan recibirlo?
Revisar la justificacin de informes, que existe una peticin escrita para cada un
y que se utilizan realmente, asf como que est autorizada la peticin.
Controles de documentacin
Que no se acepten nuevas aplicaciones por los usuarios sin una documentacin
completa.
Grabacin de todas las transacciones ejecutadas por tcicproceso. cada da; pan
facilitar la reconstruccin de archivos actualizados durante el da en caso del fallo dd
sistema.
Existencia de procesos manuales pora sistemas crticos en el caso del fallo de-
contingencia.
U fm e previo
Para mantener una relacin buena con el rea revisada, se emite un informe
previo de los puntos principales de la revisin. Esto da a los responsables del rea
revisada la posibilidad de contribuir a la elaboracin del informe final y permitir una
ttejor aceptacin por parte de ellos.
www.FreeLibros.me
I AUDITORA INFORMATICA: t'N EXTOQCh *.'llCO
Se emite el informe final despus de una reunin con los responsables del ira
implicados en la revisin. El contenido del informe debera describir lo puntos *
control interno de la manera siguiente:
Despus de la revisin del informe final con los responsables del rea revisada k
distribuir a las otras personas autorizadas.
2. Cules son los componentes de una contra medida o control ipirim ide de la
seguridad)? Qu papel desempean las herramientas de control? Cules
son las herramientas de control m is frecuentes?
CAPTULO 4
E L IN F O R M E DE A U D ITO RA
J o s <le la P ea S nc h ez
11. INTRODUCCIN
El tema de cmc captulo es el In fo rm e d e A u d ito ria In fo rm tic a, que a su vez
a ti objetivo de la Auditora Informtica
Para comprender sta, en (uncin del Informe que realiza un. digamos, experto o
pcrr.o -al que llamaremos Auditor Informtico-, conviene explicar sonoram ente el
otexto en el que se desenvuelve hoy su prctica.
Sea com o fuere, una <Je las consecuencia Je lo dicho consiste en la d if ia ilu li:
asim ilacin rpida y equilibrada en la empresa de lo enlomo tecnolgico y
organizacin (referido el primero a la Tecnologa. de Informacin y Comunicaciones
y el segundo a lo mercantil).
Hoy por hoy. la normativa espaola oficial que afecta, en mayor o nervor medida,
i b Auditora Informtica, es la siguiente:
1.a tensin entre estos dos modelos, esto es. entre el intervencionismo m u
latino y el mnimo intervencionismo anglosajn, es ya insostenible. Uno de los da
deber prevalecer, si es que realm ente nos encaminamos a la sociedad global.
Justo es reconocer que los parmetros del cambio tecnolgico parecen hacer rct
prctico el modelo anglosajn: no en vano, en Estados Unidos, tanto la Auditoei
como la Informtica (y I Comunicaciones), tienen un desarrollo muy experimental)
y. sobre todo, a dapta tivo. l.os parmetros de velocidad y tiem po hacen aconsejable
un esfuerzo por conseguir la disponibilidad armonizada de normas legales y normas de
origen profesional.
4.3. LA EVIDENCIA
La certeza absoluta no siempre existe, segn el punto de vista de los auditores; los
smrios piensan lo contrario. N o obstante lo dicho, el desarrollo del control interno,
incteso del especficamente informtico, est en efervescencia, gracias al em puje de
b Informes USA/Treadway (1987). UK/Cadbury (1992) y Francia/Yienot (1995). y
ca lugar destacado el USA/COSO (1992). traducido al espa/iol fo r Coopers &
Lybrand y el Instituto de Auditores Internos de Esparta.
- La evidencia relevante, que tiene una relacin lgica con los objetivos de la
auditoria.
El Informe d e Auditora, si se precisa que sea profesional, tee que estar basado
ea la docum entacin o papeles d e tra b a jo , como utilidad inmediata, previa
Wper*win.
Por otra pane, no debemos omitir la caracterstica registra! del Informe, tanto en
m pane cronolgica como e n la organizativa, con procedimientos d e archivo,
bsqueda. custodia y conservacin de su documentacin, cumpliendo toda la
oorBativa vigente, legal y profesional, com o mnimo exigible.
Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o
experto* independenle*, as com o de los auditores internos, se reseOen o no en el
kforme de Auditora Informtica, formarn pane de la documentacin.
Adems, se incluirn:
4.6. EL INFORME
Se ha realizado una visin rpoda de los aspectos previos para tenerlos muy
presenles al redactar el Informe de Auditora Informtica, esto ex. la comunicacin del
Aadnor Informtico al cliente, formal y . quiz, solemne, tanto del alcance de la
sdcra: (objetivos, perodo d e cobertura, naturaleza y extensin del trabajo
Balizado) corno de los resultados y conclusiones.
www.FreeLibros.me
/. Identificacin de l Informe
2. Identificacin de l Clleme
6. Alcance de la Auditora
El Informe debe contener uno d e los siguientes tipos de opinin: favorable o sin
faltedades, con sa h ed a d e* . desfav o rab le o ad v ersa, y d enegada.
Identificacin de irregularidades
Incumplimiento d e la normativa legal y profesional, que afecten
significativamente a los objetivos de auditoria informtica estipulados,
incluso con ncenidum brts; todo ello en la evaluacin de conjunto y
reseflando detalladamente las razones correspondientes.
7.5. R esum en. El siempre difcil tema de la opinin, estrella del Informe de
Auditoria Informtica, joven como informtica y ms todava com o audkorfi
informtica: por tanto, puede decirse que m is que cambiante, muame.
Debido a ello, y adem s con la normativa legal y proesionjl
descom pasadas, la tica se conviene casi en la nica fuente de orientacko
para reducir el desfase entre las expectativas del usuario en general y d
informe de los auditores.
Parece ser que. de acuerdo con la teora de ciclos, el informe largo va a colocar i
informe corto en su debido sitio, o sea. com o resumen del informe largo (quiz
www.FreeLibros.me
CAHniLO IJ.IKKXMEDf.AUPmiftU 101
obsoleto?). Los usuarios, no hay duda, desean saber m is y desean transparencia corno
1 aadido.
El secreto de la empresa.
El secreto profesional.
Los aspectos relevantes de la auditoria.
9. Informes previos
E tte avpecto formal del informe e s esencial tamo si ex individual como ti fontu
parte de una sociedad de auditoria, que deber corresponder a un socio o s e o
legalm ente asi considerado.
Resulta bsico, antes de redactar el informe de auditora, que el asunto est muy
claro, no slo por las expectativas ya citadas, sino porque cada trmino tiene un
contenido usual muy concreto: la etiqueta auditora es. en esencia, un juicio d e valor u
opinin con justificacin.
Por tanto, habida cuenta que tiene base objetiva -so b re todo con independencia
en sentido am plio-, e s eminentemente una opinin profesional subjetiva.
En fin. que como indicio del estado del a n e. este prrafo resulta bastante
aleccionador.
Emilio del Peso N avarro. Miguel Angel Ramos Gonzlez. Carlos Manuel Fernndez
Snchez y Mara los Ignoto Azausue. M anual <fe <fcftmie y peritajes
m fom dtxis. E JtcM act f h t t J e Sanios, S .A . M x A f.
C A PTU LO 5
O R G A N IZ A C I N D EL D EP A R T A M E N T O
D E A U D ITO R A IN FO R M TIC A
R a fa e l R u a n o D iez
5.1. A N TE CE D EN TES
F.I concepto de auditara informtica ha estado siempre ligado al d e auditora en
{corral y al de auditora interna en particular, y itc ha estado unido desde tiempo
histricos al de contabilidad, control, veracidad de operaciones, ele. En tiempo de los
egipcio ya se hablaba de contabilidad y de control de los registro* y de las
aeraciones. Aun algunos historiadores fijan el nacimiento de la escritura como
consecuencia de la necesidad de registrar y controlar operaciones (Dale l-lesher. SO
Yeart o f P ro g re m Hago esta referencia histrica a fin de explicar la evolucin de la
corta pero intensa historia de la auditora informtica, y para que posteriormente nos
tin a de referencia al objeto de entender las diferentes tendencias que existen en la
actualidad.
Empezaremos diciendo que tanto dentro del contexto estratgico como del
operativo de las organizaciones actuales, los sistemas de informacin y la arquitectura
i?ue los soporta desempean un importante papel como uno de los soportes bsicos
pea la gestin y el control del negocio, siendo as uno de los requerimientos bsicos
de cualquier organizacin. E sto da lugar a los sistemas de informacin de una
aganizacin.
Es evidente que pora que dichos sistemas cumplan sus objetivos debe existir una
tuicin de gestin de dichos sistemas, de los recursos que los manejan y d e las
www.FreeLibros.me
B AUMIORM IMIWM.MK .S > N I NKXX I' IH< K1>
A nte esta situacin djenme expresar cul es mi visin sobre lo que es y debe ler
la funcin de auditora informtica.
5.3.1. Definicin
Posee las caractersticas necesarias para actuar como contultor con su auditado,
dndole ideas de cm o enfocar la construccin d e k * cirrenlos de control y de
gestin que le sean propios.
En ambos casos, los xitos y los fracasos se acumulaban por igual. Qu hacer en
estos casos? Cul debe ser el perfil co rred o d e un auditor informtico? lista e s mi
visin y opinin del perfil del futuro auditor informtico y consecuentemente d e las
funciones que la funcin de auditora informtica debe tener.
A tenor de lo que hemos dicho hasta ahora, se ve claram ente que el auditor
informtico debe ser una persona con un alto grado d e calificacin tcnica y al mismo
tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy
n (a. De esta forma, dentro de la funcin d e auditora informtica, se deben
contemplar las siguientes caractersticas para mantener un perfil profesional adecuado
y actualizado:
Ofimtica.
Com ercio electrnico.
Kncripljcin de datos.
Esto nos indica que solamente con un ejemplo sim ple vemos que la Auditora
Informtica abarca cam pos de revisin ms all de los que tradicin al mente se han
mantenido: esto es. la revisin del control interno informtico d e los servicios
cntralo y de las aplicaciones.
Aun a riesgo de ser criticado por muchos d e m is compaeros, creo que el papel
del auditor informtico tiene que dejar de ser el d e un profesional cuya nica meta
empresarial sea analizar el grado d e implantacin y cumplimiento del control interno
Las organizaciones estn inviniendo mucho dinero en sistemas de informacin, cada
vez son ms dependientes de ellos y no pueden permitirse el lujo de tener buenos
profesionales, que estaban mediatizados por esquemas que eran vlidos hace unos
artos pero que en estos momentos no lo son a tenor de las necesidades empresariales.
El concepto de control interno e s importantsimo, pero adems d e verificar dicho
control, el auditor interno tiene la obligacin de convenirse un poco en consultor y en
ayuda del auditado, dndole ideas de cmo establecer procedim ientos de seguridad,
control interno, efectividad y eficacia y medicin del riesgo empresarial.
www.FreeLibros.me
CAPTULO5: ORGANIZACION DftL DBPAHTAMF.VTOPC Al'DITORlA INFORMATICA 11S
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologa informtica
Continuidad de operaciones
Gestin de riesgo
l-i dependencia, en todo caso, debe ser del mximo responsable operativo de U
organizacin, nunca del departam ento de organizacin o del de sistemas (abundan b t
casos en que esta dependencia existe), ni del departam ento financiero yA>
administrativo.
Los recursos humanos con los que debe contar el departam ento deben contemplar
una m e/cla equilibrada entre personas con formacin en auditora y organizacin y
personas con perfil informtico. N o obstante, este perfil genrico debe ser tratado con
un amplio programa de formacin en donde se especifiquen no slo lo* objetivos de b
funcin, sino tambin de la persona.
8. Cules son las tareas del Jefe del Departamento de Auditora Informtica?
10. Defina un plan de form acin para que un informtico pueda desempear sin
problemas la funcin de auditor.
www.FreeLibros.me
CA PTU LO 6
E L M A R C O J U R D IC O D E LA
A U D ITO R A IN FO R M TIC A
6.1. INTRODUCCIN
' Pan a fc fmmaciAn EMILIO DEL PESO NAVARRO y MIGUEL NGEL RAMOS
GONZAt.KZ y ruruurf 4* U mformacin la LIMITAD i >u implmtcmtft u
n w irtW i D lu de Swmov M*d> d 1994. [>** !0 / 11
www.FreeLibros.me
**H_______________ CAPfTlK) (x Fl- MARCO)llnto~0 PC U\ AUDtTOftlA INK?RMATK~A 121
Si examinamos dichas norma* claram ente veremos que todas e l l a versan sobre
indeterminado bien jurdico: la informacin.
Con independencia de que muchos autores hasta ahora no hacan distincin cent
I intimidad y el anglicismo privacidad se empieza a hacer corresponder aqulla eco k
derechos defendidos en los tres primeros puntos del articulo 18 de la Constitucin, y U
prim eidad. entendida como el derecho a la autodeterminacin informativa, con t
punto 4.
P rincipio de p ertinen cia (a r t. 4.1). Los datos deben ser pertinentes, es do*
estar relacionados con el fin perseguido al crearse el archivo.
' t)UM de caricwr pcrvxuJ wn cualquier inforatKin coKnucnie a penoou ftwcu. tretutam
o ideniiticabiet tan ) i LOPD y RctoInciAn Agtncu Prctttofe de Diiw)
(-.1 artlcato 1.4 el Rcfluncntu urffct 041 defin ifccmdo que o "Toda Mfontar*
niwniu. uOaWfnv. trafica. otennffica. acstica o Je cuat'^uier upo smscepttbh Je recofuia. re%un
rsaraiwriuo o tr&wmu/m concernientea unapertonafinca identificada o identificte*
www.FreeLibros.me
CAPtTVLOft H. MARCOlURlIMCOMI I.A At'DITtmU tSHWMAWC'A l}<
Potestad reguladora. Segn el artculo 5 del Estatuto colabora con los rganos
competentes en el desarrollo normativo as como en la aplicacin de la Ley.
Como fcilmente se desprende las cuatro primeras tienen una eficacia limitada,
aeodo ms amplia la ltima, por lo que es ste el sistema elegido p o ' considerarlo, a
pesar de las dificultades que presenta, el m s idneo. No obstante, li proteccin que
ti derecho otorga a los programas de computador es compatible con U proteccin que
se le pudiera otorgar por otra va.
El autor por el voto hecho de crear una obra tiene una serie de derechos que k
dividen en: morales y patrimoniales o d e explotacin.
El artculo 100 fija unos lm ites a los derechos de explotacin en funcin de las
peculiaridades propias de los programas de computador principalm ente referidos a U
copia de seguridad y la ntcroperabilidad.
Las infracciones del derecho de autor pueden ser perseguidas por la va civil y la
va penal.
En la va penal las infracciones del derecho estn tipificada* en los artculos 2T4
271 y 272 del Cdigo Penal* podiendo llegar las penas d e prisin a cuatro aftas y bt
multa a veinticuatro meses p a n lo casos ms grave.
Pero oon independencia de esto, que es importante > que habr de tenerse en
ctenu a la hora de crear una base de dalos, lo que aqui tratamos d e buscar e s la
proteccin jurdica de esa estructura para la que ha sid o necesaria una obra de
creatividad al seleccionar, clasificar y ordenar sus respectivos contenidos. En
definitiva %e trata de una obra de creatividad intelectual y. por tanto, objeto de
proteccin Hay veces, sin embargo, que no se trata de una creatividad intelectual, y
so obstante su valor econmico es grande.
Las primeras bases estn protegidas por el derecho de autor y las segundas por un
dered su gen tris al que se refiere la Directiva de la Unin Europea 96/9/C E del
Parlamento Europeo y del Consejo d e 11 d e marzo d e 1996.
Creador o promotor es toda aquella persona fsica o jurdica que partiendo de una
idea selecciona, clasifica y ordena un determinado tipo de informacin creando una
ta e de dalos, la mantiene y la actualiza.
Por ltimo, usuario es toda persona fsica o jurdica que utiliza y consulta la base.
Pan urvfar d Kmi \ t r IORGF. PEZ MAN Hau, r Dato, JurU k* Cm ix CSIC.
www.FreeLibros.me
IX ALDrTORAINFORMATICA UNISTOOUBmACTlCO___________________________ t u
La proteccin jurdica en nuestro ordcoim iento jurdico viene dada por el viyen*
Texto Refundido de la l-cv d e la Propiedad Intelectual de 12 de abril de 1996 y por U
Directiva de la Unin Europea, incorporad al ordenamiento jurdico espato) por b
Ley 5/1998 de 6 de marzo.
C) Publicidad.
0 Simuladores.
En gran nmero de casos una obra multimedia ser una obra derivada, pues se
trabajar sobre una obra ya existente de la que se debern tener los derechos
cecrtjpondicntcs salvo que se trate de obras d e dominio pblico.
Muchos estudiosos del Derecho Penal han intentado form ular una nocin de
ehio que sirviese para lodos los tiempos y en todos los pases. Hslo no ha sido
posible dada la ntima conexin que existe entre la vida social y la jurdica de cada
pseblo y cada siglo, aqulla condiciona a sta.
Segn el ilustre penalista CUELLO CALN los den tem o s integrantes del delito
Por tanto, un delito es: una accin antijurdica realizada por un ser hunum,
tipificado, culpable y sancionado con una pena.
El Cdigo Penal vigente, al que nos referiremos a partir de ahora, fue aprobado
por la Ley Orgnica KVI995 de 23 de noviembre.
En los puntos siguientes del artculo las penas se agravan si los datos se difunden,
revean o ceden. Asimismo se sanciona a quien conociendo su origen ilcito y sin
hsfcer tomado parte en el descubrimiento los difunda, revele o ceda.
Hasta la entrada en vigor del nuevo Cdigo Penal ha sido difcil recondurir
determinados fraudes informticos hacia la figura de la estafa debido a la inexistcnc
del elemento de engaito a una persona.
E l punto 2 del artculo 248 dice: Tambin se consideran reos d e estafa los tfiu.
con nim o de tuero, y valindose d e alguna manipulacin informtica o artificio
semejante consigan la transferencia n o consentida d e cualquier activo patrimonial rn
perjuicio d e tercero."
D efraudaciones (a r t. 256)
Segn el articulo 264.2 se sanciona "al que p o r cualquier medio destruya, atiere.
' utilice o de cualquier otro m odo daAe los datos, program as o documentos
dKtrfaicos ajenos contenidos en redes, sopones o sistemas informticos".
"Articulo 270. Ser castigado con la pena de prisin de seis meses a dos aos o
i t mvka de seis a veinticuatro meses quien, con nim o d e lucro y en perjuicio de
uretra reproduzca, plagie, distribuya o comunique pblicamente, en todo o en parte,
wa obra literaria, artstica o cientfica, o su transformacin, interpretacin o
ejecucin artstica fijada en cualquier tipo d e soporte o comunicada a travs de
cualquier medio, sin la autorizacin de los titulares de los correspondientes derechos
epropiedad intelectual o de sus cesionarios.
Estos artculo* son. en sede penal, la respuesta a esa lacra de nuestro tiempo que
es b piratera informtica.
www.FreeLibros.me
I AtDfTOKlA IMOftUnCA: U \ fc.NFOQlt PHACTK~Q___________________________ t u
Esta resulta muy daAina para el desarrollo informtico, pero entendemos que tk
con la am ena/a de una sancin penal n o se soluciona el problema. Es necesaria m
labor educativa, pues hasta que no hayamos convencido al infractor de que cumio
est copiando ilcgalmcnte un programa de computador ex com o si estuviese rotado
la cartera a otra persona, difcilmente se hallar solucin. Insistimos: resulta vital ea
labor educativa.
D elitos de falsedades
Hnvu el presente, el tercer grupo dedicado a los servicios venia siendo una
opcoe de cajn de sastre donde iban a parar todo* los contratos que no se referan
etpeoficamente al hardware o al software. Asf contemplbamos en ese grupo la
cocKrcialiiKtn de los datos y una serie de contratos de cierta complejidad que
comprendan en s mismos aspectos de hardware. de software y de servicios.
a) Compraventa
b) Arrendamiento.
c) Arrendamiento financiero (leasing)
d) Mantenimiento.
Desarrollo de software
Se trata del caso en que una persona fsica, un colectivo o una empresa crean un
teft**re especfico, a medida para otro. E l tipo de contrato puede ser: arrendamiento
de servicio o de obra, mercantil o laboral.
Ucencia de uso
M antenimiento
Es aquel que tiene por objeto garantizar al usuario el acceso a un programa foeMt
en el caso de que desaparezca la empresa titular d e los derechos de propoeda]
intelectual. Consiste e n el depsito del programa fuente en un fedatario pblico, qx
k> custodia, por si en el futuro es preciso acceder al mismo.
C o ntratacin de datos
El valor de la informacin en esa sociedad del saber a la que nos referamos aetej
aumenta cada da. La comercializacin de las bases de dalos e s ya muy importante, y
la apertura de esav autopistas d e la informacin, d e las que tanto se escribe, har erees
cxponencialm ente esc mercado.
Distribucin de la informacin
' JORGE PEZ MA$. BasesdedatefurUiem. Cmdoc CSIC. MiilnJ. 1994. pig. ISfe
www.FreeLibros.me
CAPtTtLO fcL StAKCORHItHCO D IA AI;HT<ilA INIOKMT1CA IW
Suministro de informacin
Mediante este contrato el usuario puede acceder, siempre que k> precise, a Us
toses de datos del distribuidor.
Compra
Es un contrato por el que el titular propietario de una base d e datos vende a otro
ni copia de sta con b posibilidad de que el adquirentc. a su vez. pueda no slo
siria uno mezclarla con otras propias para despus comerciar con ellas. Todo ello,
por wpuesto, respetando lo dispuesto en la Ley 5/1992.
Cesin
Es un caso parecido al a m enor salvo que slo se permite el uso por el cesionario
de la base sin que se le permita la transmisin posterior.
Conpra de etiquetas
Contratacin de servicios
- Consultara informtica.
- Auditoria informtica.
- Formacin.
- Seguridad informtica.
- Contratacin de personal informtica.
- Instalacin.
- Comunicaciones.
- Seguros.
- Responsabilidad civil.
www.FreeLibros.me
C ontrato* complejo*
Lo* contratos complejos son aquello* que contemplan lo* m'tem as inforraidet
como un todo incorporando al objeto del mismo, tanto el hardware como el to/ruarj
alguno* servicios determinados. Lo* m i* usuales son lo* siguiente*: i)
Com o se tala GETE-ALONSO y CALERA* es: aquel mediante el que una pont
- e l sum inistrador- poseedor d e una unidad central q u e permanece en sus lcala
pone a disposicin d e l usuario la misma, lo que le permite e l acceso a lo t 'softxare',
a cambio de un precio ".
Significa, y esto e s lo que nos interesa, el reemplazo del papel como elemento
nnuncial de la vinculacin y comunicacin ncgocial por un soporte informtico.
Las razones que se pueden esgrimir para la im plantacin del EDI son:
- Precisin.
- Velocidad.
- Ahorro.
- Beneficios tangibles.
- Satisfaccin del diente.
www.FreeLibros.me
u : iM'WTOKlA INFORMATICA: UN F.VFOQtlEF*CTKt>
La aceptacin legal del EDI es un tema de suma importm eia, sin dixla detris de
la organizacin del mismo subyace un entendim iento entre la* partes que in te rn e n
que estn dispuestas a aceptar una serie de obligaciones y de renunciar a cim a
derechos a efectos del buen funcionamiento del sistema.
Las tarjetas de plstico o tarjetas com o medio d e pago, por ahora fas
denominaremos as. con su continuo y ascendente desarrollo, se estn conviniendo en
un medio de pago cada vez ms im portante en el trfico mercaitil sustituyendo poco
poco al dinero papel y el cheque.
Tarjetas de dbito
Estos dos tipos de tarjetas nos permiten utilizar los cajeros automticos y los
terminales puntos de venta.
Sin embargo, en todos ellos no se pactan las clusulas del contrato en el milite
momento del intercambio electrnico. As vemos en los epgrafes anteriores que un
el intercambio electrnico de datos (EDI) como la transferencia electrnica de forado*
(TEF) son el resultado de un macrocontrato anterior realizado por el siuesu
tradicional en el que las partes han fijado los trm inos del mismo y e n el que m urta
veces lo que hacen es renunciar a una serie de posibles derechos.
M. SCHAUS" dice que en la form acin del contrato estas nuevas tecnologa
influyen desde tres pticas diferentes:
Por su pane en el artculo 54 del Cdigo de Com ercio selala: "L01 contratos que
u ctlrbren por correspondencia quedarn perfeccionados cuando Us contratantes
hieren aceptado su propuesta. "
Desde la seguridad
Vemos que del grado del cumplimiento de estos tres aspectos, admitiendo que se
d n en la contratacin electrnica, depende en gran pone su inclusin como una nueva
forma de contratacin, con sus peculiaridades, pero dentro de u iu ortodoxia
costra: tual.
Sin desear ser exhaustivos consideramos que se pueden presentar los siguientes
casos:
E< com ente identificar documento con soporte papel y escritura, pero esto no
skmffc es as,
Por tanto, el documento no ha d e ser siempre papel, sino que puede ser otro
objeto o materia y la representacin de las palabras o las ideas puede hacerse por otros
signos distintos de las letras.
Dichos signos pueden ser la codificacin binaria y la superficie distinta del papel
puede ser un soporte informtico.
Esto significa que sirve para identificar quin e s el autor fcl documento, declare
que el autor de la firma asume el contenido del m ism o y permitir verificar si el ana
de la firma e s efectivamente aquel que ha sido identificado c u n o tal en el cato de h
propia firma.
Una firma digital o electrnica es una seal digital representada por una cabra
de bits. Este tipo de firma ha de ser secreta, fcil d e producir y de reconocer y difcil
de falsificar.
Das ara Rodrguez, Miguel ngel. D erecho Informtico. A ramadi. Pamplona. 1993.
Ptso Navarro, Emilio <lel: Ramos Gonzlez, Miguel ngel; Fernndez Snchez.
Carlos Manuel e Ignoto Azaustre, Mara Jos. M anual d e Dictmenes y peritajes
informticos D a /d e Sanios Madrid. 1995.
4. Qu es U multimedia?
7. Qu e l EDI?
CA PTU LO 7
D E O N T O L O G A D E L A U D ITO R
________ IN F O R M T IC O Y C D IG O S T IC O S
Jorge Pez Mu
7.1. INTRODUCCIN
Una vez realizada dicha prospeccin interna se estar en condicione* de. dada la
sriiueca naturaleza social del hombre, poder ati*bar en el mundo extem o, donde ste
realiza *u convivencia, observando lo* valores morales imperantes, representativo* del
p ulo de evolucin social de la comunidad que lo* ha asumido como propias.
Conviene, en este punto d e la reflexin, resaltar el hecha de que los pri napas
morales, en contraposicin con los preceptos normativos materiales, deben so
asumidos individual y colectivamente com o propios en feema voluntaria y coi
independencia de que se haya, o no. establecido expresamente la obligacin nuterul
de cumplirlos, ayudando a configurar una concepcin tica interna de lo que est bie
y lo que est mal que constituye la porte fundamental del patrimonio espiritual de ht
personas y grupos integrantes de la sociedad que los aceptan c a n o suyos.
Junto a estas normas ticas inmateriales, coexisten otras positivas que regulan, es
forma coactiva, los deberes y derechos de los ciudadanos integrado* en cadi
colectividad. Esta* normas positivas, elaboradas en virtud d d "contrato social" que
los ciudadanos implcitamente suscriben con sus gobernantes, se establecen cono
reguladores de aquellos aspectos que se considera deben esta- clara y expresa torra:
estipulados, a fin de determinar los prin d p io s legales que. de Migado cumpl mica,
regulan los deberes y derechos que rigen en la sociedad y que. por ende, pueden ser
imperativamente exigible* a cada uno de sus miembros.
www.FreeLibros.me
ca <t i ,u ) t dkin -to mx J a o i auixtow intohm Au c o y ccxgos Eticos t
El hecho de que los cdigos deontolgicos deban ser elaborados por los propios
profesionales en el marco de los colegios, asociaciones o agrupaciones que los
representen, y asumidos en forma generalizada como form a de autorregulacin tica
de va actividad, permite que stos incidan en algunos aspectos -inaplicables al resto de
odadaaos. ya que fuera de su especfico campo d e aplicacin seran ineficaces e
imperantes . sobre los que. en beneficio de la propia comunidad, establecen unas
dettiminadas pautas 1c conduca, a ftn Ve evitar concuWai. por simple
desconocimiento o apata tico intelectual, derechos de terceras personas.
A este respecto los auditores han de ser conscientes, dada su alta especializacin
ea un campo habitualmente desconocido por amplios sectores sociales, de la
ctobpcfi que moral mente deben asumir respecto a advertir a la sociedad sobre los
n o jos y dependencias que la informtica puede provocar y sobre las medidas que
deben adoptarse para prevenirlos, debiendo servir los cdigos deontolgicos de
www.FreeLibros.me
m auditoria in kwmuca : un kwwh^ ie K cn co
Debe tenerse muy presente que si bien los sistemas informticos, sometidas a
auditoras, son un mero instrumento al servicio d e la poltica empresarial, el estudio de
su estructura, y an ms el acceso a la informacin alm acenada en su seno, perra* i
l< auditores obtener una visin y conocimiento tanto de la situacin global como de
determinadas facetas de la empresa o sus empleados, e n ciertos casos superior a las de
los propios auditados, razn por la cual el sometimiento d e los primeros a unos, a
apariencia innecesariamente rgidos y detallados principios dcontolgicos propios de
su oficio, resulta de obligada instauracin en favor de los segundos, aun cuando estos
ltimos desconozcan tan siquiera la existencia de los mismos y se sorprendan de
determinadas actitudes de los auditores acordes con ellos.
Los cdigos dcontolgicos toman asimismo, de las normas materiales, las faceos
reguladores de determinados comportamientos interpersonales com o salvaguardia de
derechos individuales y colectivos susceptibles de proteccin institucional, sirviendo
de cauce para coartar, en los m bitos profesionales correspondientes, aquellas
conducta contrarias a lo regulado en sus preceptos mediante la imposicin de
sanciones, contempladas stas desde una perspectiva disciplinaria merameme
profesional.
F.n ningn caso est justificado que realice su trabajo el prisma del fnopc
beneficio, sino que por el contrario su actividad debe estar en todo momento orientadi
a lograr el mximo provecho de su cliente.
La adaptacin del auditor al sistema del auditado debe implicar una cicru
sim biosis con el mismo, a fin d e adquirir un conocim iento pormenorizado de %m
caractersticas intrnsecas.
www.FreeLibros.me
c * r fn :io r i)i :on' h >ixx;U m i . auditor informtico y cotcos ftnros i >t
H1 auditor deber prestar sus serv icios a tenor de las posibilidades de la ciencia y
medios a mi alcance con absoluta libertad respecto a la utilizacin d e dichos meoi
y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de .su labee.
Hay que tener muy presente que el auditor, al igual cue otros determinado
profesionales (mdicos, abogados, educadores, etc.), puede incidir en la toma de
decisiones de la mayora de sus d ie n tes con un elevado grade de autonoma, dada la
dificultad prctica d e los mismos de contrastar su capacidad profesional y d
desequilibrio de conocimientos tcnicos existentes entre el auditor y los auditados.
Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de
su capacidad y aptitud para desarrollar la auditoria evitando que una sobrecstimaco
personal pudiera provocar el incumplimiento parcial o total d : la misma, aun en los
casos en que dicho incumplimiento no pueda ser d eted ad o ;o r las personas que le
contraten dadas sus carencias cognitivas tcnicas al respecto.
Esta certificacin que deber tener un plazo de validez acorde con la evolucin de
lu nuevas tecnologas de la informacin, debera estar avalada y garantizada por la
metodologa empleada para acreditar dicha espccializacin. la independencia de las
entidades certificadoras, y la solvencia profesional, objetivamente contrastada, de los
frjanos. necesariamente colegiados, que en las mismas se creen con la finalidad de
(preciar la form acin y molificacin profesional de los solicitantes de la misma.
Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas
tecnologas de la informacin c informar al auditado de su previsible evolucin, no es
menos cierto que debe evitar la tentacin d e creer que. gracias a xas conocimientos,
piede aventurar, con un casi absoluto grado de certeza, los futuros avances
tccaoSgicos y transmitir, como medio d e demostrar su cualificada espccializacin.
dias previsiones como hechos incontestables incitando al auditado a iniciar ilusorios
cbsuficicncementc garantizados proyectos d e futuro.
Debe, por tamo, el auditor actuar con un cien o grado de humildad, evitando dar la
infresin de estar al corriente de una informacin privilegiada sobre el estado real de
t> evolucin de los proyectos sobre nuevas tecnologas y ponderar las dudas que le
j i n en el transcurso de la auditoria a fin de poner d e manifiesto tas diferentes
www.FreeLibros.me
[MI AUDITORIAISK>RMTKA:IINIl.NIoqi'fc PRACTICO
H1 auditor, tanto en sus relaciones con el auditado com o con terceras pervx*
deber, en todo momento, actuar conforme a las normas, implcitas o explcitas, de
dignidad de la profesin y de correccin en el trato personal.
Igualm ente debe evitar realizar actos que sim ulen aplicaciones de tratamiento
ficticios, encubran comportamientos no profesionales o den publicidad a metodoJojs
propias o ajenas insuficientemente contrastadas y garantizadas.
Ee principio requiere asimismo, por paite del auditor, el mantener una confianza
ea las indicaciones del auditado aceptndolas sin reservas como vlid as a no ser que
observe datos que la* contradigan y previa confirmacin personal de la inequvoca
veracidad de lo* mismos.
Para fortalecer esa confianza mutua se requiere por ambas partes una disposicin
de diilojo sm ambigedades que permita aclarar las dudas que. a '.o largo d e la
auditora, pedieran surgir sobre cualesquiera aspecto* que pudieran resultar
eoflictivo*. todo ello con la garanta del secreto profesional que debe regir en su
www.FreeLibros.me
IfcJ M DHOKlA inh w m Ai k a un e\to q c e PRCIKO
Lo defensa a ultranza del propio criterio no es bice para respetar las critica
adversas de terceros, aunque el auditor debe evitar que. si una vez. analizadas concinta
discrepando de tas mismas, stas puedan seguir influyendo en su trabajo, ya que li
libertad de criterio impone al auditor la obligacin tica de actuar en todo momento es
la forma que l considere personalm ente ms beneficiosa para e l auditado, aun cuan)
terceras personas le inciten a desarrollar lineas diferentes de actuacin.
El auditor deber rechazar las ampliaciones del trabajo en m archa aun a peticin
del editado, sobre asuntos no directamente relacionados con la auditora, dejando que
de ellos se encarguen los profesionales a d hoc. y evitar entrar :n discusiones,
comentarios, visitas de cortesas, etc. que no estn justificadas con la ejecucin de la
Esta independencia implica asimism o el rechazo de criterios con los que no est
ptaamerte de acuerdo, debiendo reflejar en su informe final tan slo aquellos que
CMMdcre pertinentes, evitando incluir en el mismo aquellos otros con los que disienta
oque sea impelido a ello.
Este principio de prim ordial nteres para el auditado. obliga al auditor a ser
plenamente consciente de mi obligacin d e aportar, en form a pormenori/julamente
clara, precisa e inteligible pora el auditado, informacin tanto sobre todos y cada uno
de los puntos relacionados con la auditora que puedan tener algn inters para L
como sobre las conclusione* a las que ha llegado, c igualmente informarle sobre b
actividad desarrollada durante la misma que ha servido de base para llegar a d ic ta
conclusiones.
Dicha informacin deber estar constituida por aquella que el auditor considere
conveniente o beneficiosa para los intereses o seguridad de su d ie n te y estar ei
consonancia con la utilidad que pueda tener, e n el presente o en el futuro, para d
mismo. Junio a dicha informacin deber asimism o facilitar cualquier otra que le s a
requerida por el auditado, aunque la considere intranscendente o poco significatisi
siempre y cuando sta tenga una relacin directa y no meramente circunstancial con d
objeto de la auditora y no afecte a datos nominativos cuyo deber de secreto le se
exigibte.
Ciertam ente el auditor debe ser consciente de que la exp]citacin de sus dula
afectar a la confianza del auditado, pero en cualquier caso es preferible transmitir o a
informacin veraz, entendida sta como la que e s exigiblc a lodo huen profesional a
el ejercicio de su actividad a tenor de sus conocimientos, que trasmitir, como opiiuii
experta, una informacin de la que no pueda garantizar personalm ente su exactitud
1
www.FreeLibros.me
Ui_______ CArtIVIXH:DC<A'TOtOOUDfXAt'DaOIWXMTICX)YCOKOSfeTKX>S l7
fcs impon ante asim ismo que la informacin trasmitida al aud iu d o ponga de
manifiesto una pnidcncia y senado de la responsabilidad, caractersticas estas que
tuca deben esta reidas con los principios de suficiencia informativa y d e veracidad,
vitando recrear los aspectos negativos o los errores humanos detectados que deben
quedar reflejados con un cieno tacto profesional.
I-a Ubor informativa del auditor deber, por tanto, estar basada en la suficiencia,
coom fa y mximo aprovechamiento de la misma por pone de su cliente, debiendo
io&ar junto a sus juicios d e valor, la metodologa que le ha llevado i establecerlos
pan. de esta form a, facilitar el que. e n futuras auditorias, puedan apovccharsc los
cooodmkntos extrados de la as realizada, eludiendo m onopolio Tcticos y
dependencias generadas por oscurantism o en la trasmisin de la informacin.
Su actuacin deber asim ismo mantener una igualdad de rato profesional eco li
totalidad de personas con las que en virtud de su trabajo tenga que relacionarse evo
independencia de categora, esu tu s empresarial o profesional, etc.
I
www.FreeLibros.me
IX)7: OtONTOLOOtA DCL AlDtTOR INFORMATICOYCOPOOS ICTICOS tW
Ex exigible asimism o del auditor que indique com o evaluado nicamente aquello
qoe directamente, o por medio de sus colaboradores, haya comprobado u observado de
i fenna exhaustiva, eludiendo indicar como propias y contrastadas las observaciones
! parciales o incompletas o las recabadas de terceras personas.
U etica profesional la difusin de publicidad falsa o engaosa que tenga como objcvo
confundir a los potenciales usuarios d e dichos servicios.
Si se produjese una dejacin, por parte de las personas que dependen del auditor.
U obligacin de mantener vecreto vobre los datos obtenidos d e la auditoria, recaer
tf r e ellos la correspondiente obligacin de resarcimiento por los dallos materiales o
erales causados com o consecuencia de la misma, obligacin que compartirn
nUiriamente con el auditor en virtud de la responsabilidad in eligendo o in vigilando
p e ta c asume por los actos de sus colaboradores.
En los casos en que el auditor acte por cuenta ajena en el marco contractual
oblecido con la empresa por m edio d e la cual presta sus servicios al auditado, la
tacwusn de la informacin recogida durante la auditora a su empresa deber
www.FreeLibros.me
i n Atron! jxyoRMncA: f x lixrogw practico
F.I auditor deber asim ismo tener presente la ponderacin entre sus criterios nea
personales y los criterios ticos subyacentes en la sociedad en la que presta
servicios, debiendo poner de manifiesto sus opciones personales cuando entren a
contradiccin con la tica social que el auditado pueda presumir que mi
implcitamente aceptada por el auditor.
en relacin con los hechos, pero no respecto d e las opiniones que los acoinpafett
valoraciones que de los mismos se hagan, puesto que U* opiniones, cro en
personales o juicios de salo r no son susceptibles de verificacin, y ello determina qoe
el mbito de proteccin del derecho d e informacin quede delimitado, respecto de cw
elementos salorativos, por la ausencia de expresiones injuriosas que rcvdua
innecesarias para el juicio critico" (ST C 172/1990 de 12 de noviembre; y que Ti
regla constitucional de la veracidad de la informacin no >a dirigida tanto a h
exigencia de la total exactitud en la informacin cuanto i negar la garanta
proteccin constitucional a quienes, defraudando el derecho de todos a m ito
informacin veraz, actan co n menosprecio d e la veracidad o falsedad de I
comunicado, comportndose d e manera negligente o irresponsible (STC 4(VI992de
30 de marzo.
eflas debiendo tener siempre presente, que si bien la aplicacin de mi* conocim ientos
tcnicos ayuda al desarrollo tecnolgico d e la sociedad, la aplicacin de su
faldamentos humansticos ayuda a la configuracin de la conciencia moral d e la
ni uni. sirviendo com o elemento de form acin d e los usos y costumbres que
cwuituyen una de las fuentes del derecho regulador de la convivencia entre las
peruxu* que la integran.
The Bntish Com puter Society por su pane establece un Cdigo de Condu
cuyos principios se esquematizan a continuacin.
Ptso Navarro. Emilio del. Deoruologfa y seguridad en e l m undo informtico. Res isla
Base informtica, n * 15. junio. 1991.
2. Principio de calidad.
7. Qu es el prncipto de legalidad?
CA PTULO 8
LA A U D ITO R A FSIC A
8.1. INTRODUCCIN
Lo fsico en Informtica. hasta ahora, ha tenido una im portancia relativa: n o en
loo Je ha visto siempre como algo que soporta lo que. en realidad, es la Informtica,
y que ocupa un lugar en la mesa.
No eu n muy claras las fronteras que delimitan, si es que lo hacen, los domina
y responsabilidades de los tres tipos de seguridad que a los usuarios de la Informa
deben interesar: seguridad lgica, seguridad fsica y seguridad de las ComunicacKoa.
Quiz fuera m is prctico aunarlas y obtener una seguridad integral, aunque hay qte
reconocer las diferencias que, evidentemente, existen entre sofi. hard. hard-sofi, her
que soporta al sofi y so fi que mueve al hard.
8.2.1. Antes
12-2. Durante
Determinar las Prioridades de Proceso, por das del arto, que indiquen cules
son las Aplicaciones y Sistemas Crticos en el momento de ocurrir el devastre
y el orden de proceso correcto.
8.2.3. Despus
Los segundos pueden localizarse tanto en el Nivel adecuado (el ante) como
e n el Plan (el d u ran te ).
Las reas en las que el Auditor ha d e interesarse personalmente, una vez que la
pine del edificio ha sido encargada al juicio del Perito, tendrn relacin directa con el
hecho informtico, siempre considerando el aspecto fsico d e la seguridad, y que sern
Ufes como:
Organigrama de la em presa
A uditora in te rn a
N orm as. Procedim ientos y Planes que. desde su propia responsabilidad hqa
emitido, distribuido y controlado el departamento.
Las instalaciones son elem entos accesorios que deben ayudar a la realizante fc
la mencionada funcin informtica y. a la sez. proporcionar seguridad a las per*,
al soft y a los materiales.
Almacenes.
Sala de aporamenta elctrica.
Sala de Aire Acondicionado.
rea de descanso y servicios...
Equipos y comunicaciones
Computadores personales
Especialmente cuando estin en red. son elementos muy potentes e indiscretos que
peeden acceder a prcticamente cualquier lugar donde se encuentren los Datos (prim er
objetivo de toda seguridad). por lo que merecern especial atencin tanto desde el
p ulo de vista de acceso a los mismos com o a la adquisicin de copias (hard .v so fu no
aitoruadas. Es especialmente delicada su conexin a los medios de telecomu
nicaciones.
La Auditora Fsica, interna o externa, no e s sino una auditora parcial, por lo que
difiere de la auditora general m is que en el Alcance d e la misma.
www.FreeLibros.me
IM AliPnOUlA IMOWMTKA UN NFOQtt PVAC~TK~Q
Sin otro nimo ms que el mero orden basado en una lgica "de fie ra adentro".
?Kdn indicados estos Objetivos como sigue:
Edificio.
Instalaciones.
Equipamiento y telecomunicaciones.
Datos.
Personas.
Tcnicas:
H erram ien ta s:
Su uso debe ser discreto y siempre con el consentimiento del personal si ste m
quedar identificado en cualquiera de las mquinas.
Informe
Anexo al Informe
Carpeta de Evidencias
Prtteccin Je Dalos
Se han creado los back-up de los archivos crticos segn una base m tttial
Contiene el Plan procedim ientos que fijen los daos en las etapas iniciales*
las Operaciones de Recuperacin?
Contiene el Plan lisiados del Inventario del proceso de datos y hard de coa
nicaciones, software, formularios preimpresos y stock de popel y accesorios?
CA PTULO 9
9.1. INTRODUCCIN
El trmino ofimtica, comnmente utilizado en diferente* mbitos profesionales,
so apvecc definido, sin embargo, en el diccionario de la Real Academia Espartla de
b Lengua. Aunque el objetivo de este captulo no consiste en determinar el concepto
de ofimtica ni en profundizar sobre el mismo, resulta imprescindible disponer de una
deakin que sirv a de punto de partida para el desarrollo del tema que nos ocupa. A
Jo efectos, partiremos de la definicin realizada por Schill. entendiendo ofimtica
am o el sistema informatizado que genera, procesa, almacena, recupera, com unica y
presenta dos relacionados con el funcionamiento de la oficina.
9.2. C O N TR O L ES D E AUDITORA
D eterm inar si el inve n tario ofim tico refleja con ex actitu d lo equipos y
aplicaciones existentes en la organizacin.
Finalm ente, identificar las diferencias reales entre la rebein elaborada por d
equipo auditor y el inventaro oficial para proceder a la subsanacin d e tas errores
detectados.
Por lo que respecta a productos cuya garanta haya caducado, determinar cules
disponen de contratos de mantenimiento vigentes con empresas e x tenu s y cules son
aquellos en los que la responsabilidad del mantenimiento recae en la propia
organizacin. En las contrataciones de mantenimiento con empresas externas,
verificar si se han incluido e n el contrato aspectos com o el tieirpo mximo de
respuesta, recambios y mano de obra, mantenimiento preventivo, etc. Tambin
comprobar que el personal, tanto interno com o externo, asignado en tareas de
mantenimiento tiene suficientes conocimientos de las plataformas que debe mantener,
y que recibe la form acin adecuada sobre los nuevos productos instalados en la
organizacin.
La utilizacin de herram ientas clim ticas por los usuarios finales aa propiciado el
desarrollo de aplicaciones, en muchos casos sin las debidas garantas de fiabilidad,
covo real funcionamiento puede repercutir significativamente en la actividad de la
organizacin cuando se trate de aplicaciones que gestionen procesos ctico s. Por otra
pane, tambin es comn que los desarrollos en estos entornos n o luyan seguido los
controles de calidad y seguridad suficientes, posibilitando que algn programador
haya introducido "puertas traseras", bombas lgicas o cualquier otro mecanismo que
putera perturbar el buen funcionamiento de la aplicacin desarrollada
www.FreeLibros.me
XC AtPnOItlN IMORMA1KA: L~NKNKXJCE PBAtHOO
Igualmente, comprobar que los empleados utilizan las posibilidaJes que ofrece
el producto y no sim ulan procedim ientos utilizados en versiones previas o en
afcacioncs utilizadas con anterioridad. Asimismo, evaluar los mecanismos y
rcalos establecidos para solucionar las dudas y problem as planteados determinando
a la responsabilidad de solucionarlos corresponde a un equipo de soxirte com n a
toda la organizacin, o bien, recae sobre el propio departamento.
9.2.2. Seguridad
D eterm inar d existen K iian liiH su firicn trs p a ra p ro teg e r lov acceso no
autorizados a la inform acin reserv ad a d e la e m p resa y la in tegridad de b
misma.
A simismo, debe ocuparse de sim ilar una cada de tensin, verificar si los equpa
de alimentacin ininterrumpida entran en funcionamiento y comprobar si el tiempo de
actividad proporcionado por el sistema d e alimentacin ininterrum pida e s sufwieaie.
para la finalizacin de los procesos crticos y la desconexin del sistema.
En caso de que detectara algn virus en alguno de los equipos, el equipo auditor
itfc*mar inmediatamente al responsable autorizado sugiriendo las medidas que
estime pertinentes pora evitar la propagacin del mismo.
Adems, aquellos afectados que sufran daAo o lesin en sus bienes o derechos
coco consecuencia del incumplimiento de k> dispuesto en la LOPD. purden reclamar
h correspondiente indemnizacin ante los T ribunales d e Justicia.
Los controles para verificar que los archivos existentes cumplen los preceptos
otibiecidos en la LOPD no pueden excluirse de los procedim ientos generales para
lodi la organizacin, excediendo, por consiguiente, del alcance del presente capitulo.
www.FreeLibros.me
y * AtlMTOKtAINIOHMTK'A UN fc-OQt-'E HtACTKO___________________________ CU*
9.3. CONCLUSION ES
tremer, K. L.. King. J. L. Compute r-B ased systems fo r Cooperalive Work and
H Groap Dectsions M oking. ACM Comp. Survcys, so l. 20. n.* 2. junio 1988. pp.
; 115-146.
CAPTULO 10
A U D ITO R A DK LA D IR E C C I N
Juan M iguel Ramos Eseobout
10.1. INTRODUCCIN
S*mpre se ha dicho que una organizacin e s un reflejo de las caractersticas de
direccin. Los modo* y maneras de actuar de aqulla c u n influenciados por la
fibwfa y la personalidad de la segunda.
Obviamente, los departamentos informticos no son una excepcin. Aunque
fuede argumentarse con razn, que. a su vez. estos departamentos estn integrados en
crpeuacioncs mayores y que. por tanto, son destinatarios de un sinfn de estmulos
de las mismas, qu duda cabe de que. dado el mbitq tecnolgico tan particular de la
Somtica, la principal influencia que dichos departam entos reciben viene inducida
desde la propia direccin de informtica. F.n cualquier caso, e s e n lo que se centra este
aplalo: en la auditora de la Direccin entendida como gestin (en el resio del
ciftaiSo se intercambiarn los dos trm inos) de la Informtica.
Las enormes sumas que las empresas dedican a las tecnologas de la informacin
cu un crecimiento del que no se vislumbra el final y la absoluta dependencia de las
sumas al uso correcto de dicha tecnologa lu cen muy necesaria una evaluacin
independiente de la funcin que la gestiona. Rilo constituye, de hecho, la razn
piKipal de este libro. La direccin de informtica no debe quedar fuera: e s una pieza
cinc del engranaje.
Sin entrar en discusiones profundas sobre el alcance y significado detrs del
voto dirigir (no es el objetivo de este libro y existen multitud d e plumas ms
preparadas que la ma para disertar adecuadamente sobre este apartado), de una
www.FreeLibros.me "1
211 AUDITORA INFORMTICA- UN KSKIQt'E WtCnCO vm
manera general, se podra decir que algunas de las actividades hisicas Je todo pw a
de direccin son:
Planificar
Organizar
Coordinar
Controlar
10.2. PLANIFICAR
C w de auditora
Aunque no existe regla fija, e l Comit debera estar formado por pocas personas y
fMidido por el director ms snior, dentro de la empresa, responsable en ltimo
iriao de las tecnologas de la informacin. El D irector de informtica debera
k o m como secretario del Comit y las grandes reas usuarias deberan estar
ftptxttadas al nivel de sus directores ms snior. Asimismo, el director de
Aitoria lr:cm a debera ser miembro del Com it. O tras personas de la organizacin
www.FreeLibros.me
G ua de a u d ito ra
Una vez establecida la existencia del Comit de Informtica, habr que evahur U
adecuacin de las funciones que realiza. Para ello, el auditor, mediante un conjunto de
entrevistas, lecturas de documentacin interna del Comit, etc., deber establecer a
juicio sobre la validez, adecuacin, etc. de las actuaciones del Comit. Uno de kt
www.FreeLibros.me
Lectura de las actas del Com it y entrevistas a los miembros del mismo, con
especial incidencia en los representantes d e los usuarios para comprobar que:
G ua de a u d ito ra ^
Por otro lado, e s de todo punto ciencia! para tener un entorno controlado qae
exisla una divisin de funciones y responsabilidades. La filosofa bsica que d*
orientar e*ta separacin de papeles es impedir que un so lo individuo pueda traslow
un proceso crtico. Adems, se debera asegurar que el personal de Informtica act
nicamente dentro de la descripcin de las funciones existente pora su puesto de
trabajo concreto.
Cu de auditora
Aseguramiento de la C alidad
Por otro lado, deben existir documentadas descripciones d e los puestos de trabajo
dentro de Informtica delimitando claramente la autoridad y responsabilidad en cada
www.FreeLibros.me
CAiiwt.u :o M ixnmlA m-1 a ntuFcrirtN ::i
caso. Las descripciones deberan incluir los conocimiento tcnicos y/o experiencia
secciono* para cada puesto de trabajo.
Geia de a uditoria
Existen controles que tienden a asegurar que el cam bio de puesto de trabajo y
la finalizacin de los contratos laborales no afectan a los controles internos y 1
la seguridad informtica.
Adems, el auditor deber evaluar que todos los aspectos anteriores estn en lnea
las polticas y procedimientos de la empresa.
W.3.6. C om unicacin
Ca de auditora
113.7.1. P m u p u estac i n
sus propias necesidades: cam bio o ampliacin del computador o d e los dita*,
instalacin de un robot manejador d e cartuchos, de una unidad de comunicaciones, etc.
que te debern integrar e n el presupuesto. L o ms lgico e s elaborar al mismo tiesyo
el presupuesto econmico y el Plan operativo anual.
C u ta d e a u d ito ra
G ua d e audito ra
Anlisis de los componentes y criterios con los que est calculado el precio de
transferencia para esaluar su ecuanimidad y consistencia, y acudir al mercado
externo y a o fe ru s de centros de proceso d e datos independientes para
compararlas con dichos costes internos.
10.3.8. Seguros
La Direccin de Informtica debe tomar las medidas necesarias con el fin de tener
sufickete cobertura de seguro* para los sistemas informticos. Aqu se incluyen no
(k> las coberturas ms tradicionales com o la de lo* equipos (el hardware) o la de
ii& elidid de los empleados, sino tambin otro tipo de coberturas normalmente ms
itccitdis a la repentina interrupcin del serv icio informtico por causa de algn
desutrc Estas coberturas amparan riesgos tales como la posible prdida de negocio
denv*t de dicha interrupcin, los costes asociados al hecho d e tener que ofrecer
tenido informtico desde un lugar alternativo por no estar disponible el sitio primario
www.FreeLibros.me
:6 AtlOtTOttlA INFORMTICA UNI .S I W I . 1HACUCO
G ua de a u d ito ra
10.4. C O N TR O LAR
1.a tarca de dirigir no puede considerarse completa sin esia faceta que forma pwc
indisoluble de tal responsabilidad.
En esta labor, e s muy conveniente que existan csindare? d e rendim iento con k*
que comparar las diversas tareas. Son aplicables a las div e rs facetas de la actividad
del Departamento: consum o de recursos del equipo, desarrollo operaciones, etc.
G ua de a u d ito ra
(ka de auditora
10.5. RESUMEN
CAPTULO 11
A U D IT O R A D E LA EX PLO TA C I N
11.1. INTRODUCCIN
El nivel de competencia que existe, hoy en da. entre la* empresas les obliga a
tomar decisiones rpidas y acertadas. Es necesario, para ello, el funcionamiento
adecuado de los sistemas informticos (mediante la incorporacin d e las n u e \w
lecnoiotas) y su continua actualizacin. De esta forma, es decir, combinando esas
tealogiav con una adecuada organizacin y una gestin eficieni:. las empresas
podrn alcanzar sus objetivos de manera satisfactoria.
11.3. C A R TA DE EN CARG O
11.4. PLANIFICACIN
*Auditar": Al <onoc uagdn Misino c<*i <1 que relenn* al wjeto de la auditoria fn
tiempo vtftoal. e <Ww. la pen<a fuoa o f iiU n t*tl c) miemi de u<mvKVo ha
a) asditado. ve etfi auditando o a a auditarse. I auk feupeoe. u h o eje* parescr. H ifrm.ro
'fJAirio" <omo susceptible de ta uuli/ado en ual^iieu de e tl Maaoonn
www.FreeLibros.me
M AUDtTOKlA INFORMTICA US PtKXHIh HCMUCU
E l documento publicado por el REA dice: "los Controles Generales son una forte
del entorno general de control y son aquellos que afectan, en un centro de procew
electrnico de datos, a toda la informacin por igual y a la continuidad de este servicie
en la entidad. La debilidad o ausencia de calos con troles picdcn tener un mptKtt
significativo en la integridad y exactitud d e los datos. Tambin se con sideral
controles generales aquellos relacionados con la proteccin de los activos: U
informacin resultante, los elementos ffsicos del hardware y el softw are (programas j
sistemas operativos).
a l C ontroles generales
4. Controles de acceso:
Los controles de las aplicaciones estn relacionados con las propias aplicaciones
fotmacizadas. Ix*s controles bsicos de las aplicaciones son tres: captura, proceso y
lula
Procesos
Los procesos se definen com o una serie d e actividades o tareas unidas por
interrupciones naturales.
Dominios
1. Planificacin y organizacin
I. I. Definir e l plan estratgico de las Tecnologas d e Informacin (TTIf.
1.2. Definir la arquitectura de la informacin.
1.3. Determ inar la direccin tecnolgica.
1.4. D efinir la organizacin y las relaciones.
1.5. Gestin de las inversiones.
1.6. Comunicar las tendencias a la direccin.
1.7. Gestin de recursos humanos.
1.8. Asegurarse del cumplimiento d e los requisitos externos.
1.9. Evaluacin de l riesgo.
1.10. Gestin de proyectos.
1.11. Gestin de la calidad.
4. Monitorizacin
4.1. M onitorizar e l proceso.
4.2. Independencia.
www.FreeLibros.me
MO Al DfTOHlMNKMtVUnCA ir\ RXPOQtT. mACTICO
Referencia: 3.13/CCI/1
Por Fha
r a ti : Nombre de U empresa
Ftdta de auditora : 31/12/952
Dominio : Suministro y mantenimiento
Pro : Gestita de la explotacin
Titula : Cuestionario de Control Interno
bajo?
9. e rotan la asignaciones de tritajo de lo
Cuadroll.l(Contina)
www.FreeLibros.me
U IXTORlA INTOKMATI
Referencia: 3.13/CCI/2
Pe Reta
BB
Cuadroll.l (continuacin)
www.FreeLibros.me
Referencia: 3.13/CCI/3
: Nombre de la empresa
Ffctia dr auditoria
Cuadroll.l(continuacinI
www.FreeLibros.me
144 AliWR)lUA INFORMATICA UN bNIQQtlt ntACHOO
Si la respuesta fuera negativa, se podra concluir que existe un riesgo por el htd
de que cada empleado podra hacer los trasvase* sin lomar las medidas d e scgur>ld
necesarias y porque el proceso de trasvase no ha dejado pistas de auditora para poda
rehacer los pasos que se han dado y poder comprobar que el trabajo se ha realizado de
manera correcta. Por el solo hecho de n o existir normas escritas no quiere decir que
los trasvases se realicen mal. No obstante es una posibilidad de riesgo por lo qw
debemos convertir este riesgo potencial e n objetivo de auditora.
Com probar que la empresa tiene normas escritas d e cmo deben hacerse bu
traspasos de programas en desarrollo a program as en explotacin.
Para alcanzar ese objetivo habr que disertar una serie d e pruebas de
cumplimiento y sustantivan Cada una de esas pruebas es un procedimiento.
b) Pruebas sustantivas
Revisar las aplicaciones - s i son pocas a p tica cim es se revisan todas; si son
muchas se elige una m uestra representativa- que se han pasado d e desarrollo a
explotacin y. revisar q ue antes de pasarlas han sido sometidas a un tote d e pruebas y
iat han i upe rodo utlisfitctortmente. Q ue esas pruebas cumplen los requisitos y
estndares d e l sector. Q ue e l traspaso h a sido autorizado p o r una persona con la
ufitienie autoridad.
Siempre que sea posible <y la naturaleza d e los datos lo permita) es conveniente
otiluar tcnicas de examen analtico (Norma Tcnica nmero 5 de ISACA sobre la
| mfaacMn del trabajo: "The Use o Risk Assesment in Auditing Ptarming").
www.FreeLibros.me
AlOTTORlA INFORMATICA UN XTOQUISPRACTICO_______________
El programa de auditora debe set flexible y abierto, de tal forma que se pucdM u
introduciendo cambios a medida que se vaya conociendo mejor el sistema. 0
programa y el resto de los papeles de trabajo son propiedad del auditor. ste no tiene
la obligacin de mostrrselos a la empresa que se audita auditario). debiendo
custodiarlos durante el plazo que marque la ley.
www.FreeLibros.me
11
CAyfrvijO . AtronoftlA o c l a explotacin
11.5.1.Objetivo general
11.5.2.Objetivos especficos
Referencia: 3.13/1
Por M
Preparado I ~|
Auditarlo : Noentwc de U empfcv R e id o | II |
Fcdui d< auditora . JI/I2/XXXX
Dominio : Sum:antro y nuMMiimten
Prorao : OcMitfc. de la explotacin
Titulo : Programa de trabajo
Referencia: 3.13/2
Por Fetha
Preparado I l I j
Auditarlo : Nombre de U eiaptu Rentado |
Fecha de auditoria JI/I2/XXXX
Dominio : Sumaruuro y naanieniraaenio
Pncrvi : Getiidn de la explotacin
Titulo : Programa de trabajo _________________________________________
Cuadro1.2(continuacin)
www.FreeLibros.me
Cuadro11.2{continuacin)
www.FreeLibros.me
Referencia: 3.13/4
Comprender las tareas, las actividades del proceso que se est auditando
-1
S i fuera necesario ampliaramos la t entrevistas tftte hemos realizado en b
fase de planificacin estratgica.
F.l auditor debera haber realizado las suficientes pruebas sobre los resultados de
las distintas tareas y actividades <fc* la r*ptni.-u-in del *itema de informacin c o so
para, poder concluir si los objetivos d e control se han alcanzado o no. Con c u
informacin debe elaborar un informe y si procede hacer las recomendaciones
oportunas.
www.FreeLibros.me
APtTVLOII AUPHORtADfcLAUftXlIAHV y
11.6. INFORMES
Un* vez realizada toda esta fases, el auditor e*t en condiciones de em itir un
informe en el que exprese u opinin. Los tipos de opiniones bsicas generalm ente
Keftadas en auditora, son cuatro: I. Si c concluye que el sitfem a es satisfactorio, el
sa&tor dara una opinin favorable. 2. Si el auditor considera que d sistema e s un
desastre, su opinin sera desfm vrable. 3. El sistema es vlido pero tiene algunos
fallos que no lo invalidan, opinin con sah-edades. 4 . Tam bin podra ocurrir que el
ao&tor no tenga suficientes elem entos d e juicio para poder opinar; en ese caso no
chinara: denegacin de opinin. A continuacin se muestra cm o podra redactarse
el prrafo de opinin en cada uno de los casos que hemos comentado jara el objetivo
{eneraI que se ha propuesto.
I. Favorable
1 Desfavorable
3. Con salvedades
En nuestra opinin, excepto por los efectos de las salvedades que se comentan en
I punto X de este informe... (en una parte del informe se indicarn cules son las
salvedades y en este mismo documento o en documento aparte se harn las
recomendaciones oportunas para mejorar el sistema, para que en una siguiente
anditora no existan las salvedades comentadas) el servicio de cxlotacin y las
tacione que sirven de apoyo a las Tecnologa* de la Informacin se realizan con
regularidad, de forma ordenada y satisfacen los requisitos empresariales
www.FreeLibros.me
4 . 1VncgiK n de opinin
En el caso de que las salvedades im pidan hacemos una opinin del senicio de
explotacin, ya sea por falla de informacin o por no haber tenido acceso a ella porta
motivos que fueren, pero siempre ajenas a nuestra voluntad, y no obstante, hita
intentado hacer pruebas alternativas, el auditor denegar su opinin.
11.6.2.Recomendaciones
Describir la debilidad.
Indicar el criterio o instrumento de medida que se ha utilizado.
Indicar los efectos que puede tener en el sistema de informacin.
Describir la recomendacin con la que esa debilidad se podra eliminar.
El informe se debe em itir en el momento ms adecuado para que permita que las
acooes que tenga que poner en prctica el auditano". tengan los mayores efectos
positivos posibles. Con anterioridad al informe, el auditor puede em itir, si lo
enmadera oportuno, recomendaciones destinadas a personas corcretas. Estas
recomendaciones no deberan alterar el contenido del informe.
Para concluir la importancia que tienen los papeles de trabajo, digamos que tea
vez que el auditor ha finalizado su trabajo, los papeles d e trakajo son la nica pneta
que tiene el auditor de haber llevado a cabo un examen adecaado. Siempre exioe h
posibilidad de que el auditor tenga que demostrar la calidat de su anlisis ante ta
tribunal.
11.7.2. Archivos
Los documentos que se suelen archivar aqu son aquellos que no tienen cabida
especifica en alguna de las reas/procesos en que hemos dividido el trabajo de
M ora u le s como:
11.7.2.2.2. A re h iw p or reas/procesos
Se debe preparar un archivo para cada una de las reas o prtcesos en que
tajamos dividido el trabajo e incluir en cada archivo todos los doaim cntos que
tajamos necesitado para realizar el trabajo de esa rea/proceso concreto. Al menos
debern incluirse los siguientes documentos:
11.8. C ONCLUSIONES
Podemos concluir diciendo que la labor del auditor informtico e esencial para
pnntizar la adecuacin de los sistemas informticos; pora ello el auditor debe realizar
a tratajo atenindose a las Normas d e Auditoria de Sistemas de Informacin
Generalmente A ceptadas y Aplicables com o requisito necesario que garantice la
ctidad del trabajo realizado y que la evidencia d e este trabajo quede documentada.
E* funcin de que la sociedad se va informatizando cada ve* ms. <s necesario ir
cbborando normas para que la audiencia de la auditoria -q u e es toda la sociedad-
t t p la seguridad de que. los si<temas funcionan, sus datos se mantienen con la
detala confidencialidad y los informes de los distintos auditores se pued.-n comparar.
www.FreeLibros.me
F.DP Audit W oripapen. EDPAE Audii guide. EDP A uditori Foundation. Inc. Cari
Strcam. Illinois. EE.U U.. 1981.
Computer Audit. Control, a n d Securih. Roben R. Moeller. John W iley & Sons, b t
Nueva York. 1989.
C APTULO 12
A U D ITO R A D EL D ESA R R O LL O
J o U Antonio Rodero Rodero
12.1. INTRODUCCIN
La necesidad de que una organizacin cuente con procedim ieitos d e control
temo es aceptada ampliamente como garanta de una gestin eficaz orientada a la
cocnecucin de lo* objetivo* marcados. La funcin auditora e s precisamente la
m argada de comprobar la existencia de estos procedimiento* d e control y de verificar
so correcta definicin y aplicacin, determinando las deficiencias que existan al
respecto y lo* riesgo asociado* a estas carencias d e control.
Si entiende por ingeniera del softw are "el establecimiento y u*o de principio*
de ingeniera robustos, orientados a obtener softw are econmico que sea fiable,
cumpla los requisitos prcv lamente establecidos y funcione de manera eficiente sobre
www.FreeLibros.me
MO Ai:DITtHtM INKXtMTK~A: tfN t-NSOQUF. HUCTtCt)
El gasto destinado a softw are es cada vez superior al que se dedica a hard*art
i
www.FreeLibros.me
I:
CaHTU-O i AfPTTOHU Pfjl. OtSARHOlLO
Para tratar la auditora del rea de desarrollo es necesario, en primer lugar, acotar
las funciones o tareas que son responsabilidad del rea. Teniendo en cuenta que puede
tuba variaciones de una organizacin a otra, las funciones que tradicionalmente se
asignan al rea de desarrollo son:
Una vez conocidas las tareas que se realizan en el rea de desarrollo, se abordar
b auditora de la misma desglosndola en d o s grandes apaados, que ms u rd e se
nbdividirn con ms dculle:
O B JE T IV O D E C O N T R O L X:
C-X -l: Tcnica de control i del objetivo de control x ...
Pruebas de cumplimiento d e C-X*l
Una vez fijados los objetivos d e control, ser funcin del auditor determinar d
grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarn todos
los controles asociados al mismo, usando para e llo las pruebas de cumplimiento
propuestas Con cada prueha de cumplimiento se obtendr algina evidencia, bien sea
directa o indirecta, sobre la correccin d e los controles. Si una sim ple comprobacin
no ofrece ninguna evidencia, ser necesaria la realizacin de exmenes ms profundos.
En los controles en los que sea impracticable una revirin exhaustiva de los
>lrnu-nl<K rlr verificacin, bien porque lo recorto de auditora a n limitado', o
porque el nmero de elementos a inspeccionar sea muy clcvido. se examinar un
muestra representativa que permita inferir el estado de todo el ccnjunto.
consecuencias se pueden derivar de esa situacin. Estas conclusiones. jum o con las
recomendaciones formuladas, sern las que se plasmen en el informe de auditoria.
Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta
autonoma. para poderse llevar a efecto necesita apoyarse en el personal del rea y en
k procedimientos establecidos. La importancia de estos aspectos ha motivado que se
dedique un apartado exclusivo a la organizacin y gestin del rea de desarrollo. Se
consideran ocho objetivos de control (serie A):
Existe el documento que contiene las funciones que son competencia del rea
de desarrollo, que est aprobado por la direccin d e informtica y que se
www.FreeLibros.me
W AUWTMIl IWOHMTICA- US IMOQtli HUCTICO
C -A I-J: El rea debe tener y difundir su propio plan a corto, medio y largo plazo,
que ser coherente con el plan d e sistemas, si ste existe. Se debe comprobar que:
1.a* recurso* actuales, m* los que est planificado que se incorporen al rtt,
son suficientes para su cumplimiento.
Se difunde a todos los empleados para que se sientan partcipes del mismo, al
resto del departam ento y a los departam entos a hxs que Ies atae.
Las pervo n seleccionadas cumplen los requisito del puesto al que acceden.
C-A2-2: Debe existir un plan de formacin que est e n consonancia con los o b
jetivos tecnolgicos que se tengan en el rea. Se debe comprobar que:
Se tiene aprobado un plan de form acin a cono, medio y largo plazo que sea
coherente con la poltica tecnolgica.
Incluye toda la informacin relevante para cada actividad form ativa: fechas,
horarios, lugar, ponentes, asistentes, m aterial, medios necesarios, etc.
El plan de trabajo del rea tiene en cuenta los tiempos de form acin.
C-A2-4: Debe existir una biblioteca y una hemeroteca accesibles por el personal
del rea. Se debe comprobar que:
Existe algn mecanismo que permita a los empleados hacer sugerencias sobre
mejoras en la organizacin del rea.
www.FreeLibros.me
.'M AUUnURlA M C K H A Tm UN NIOQIH: PKACTKO
C-A 3-2: El plan de sistemas debe actualizarse con la informacin que se geneni
lo largo de un proceso de desarrollo. Se debe comprobar que:
Se tiene en cuenta a todas las personas disponible cuyo perfil tea adecuado a
los riesgos de cada proyecto y que tengan disponibilidad para participar.
Hay un estndar para la realizacin del anlisis y diserto, c incluye las tcskat
y herramientas a usar. etc.
Los estndares son conocidos por las personas que deben usarlos y se
respetan. Cuando se produce una modificacin, sta se difunde dentro del
rea.
Existe un catlogo con todos los productos softw are susceptibles de ser
utilizados: libreras de funciones, clases si se utiliza programacin orientada
a objetos, programas tipo, componentes software, etc.
* El catlogo e s conocido y accesible por todos los miembros del rea, est
actualizado y tiene uno o varios ndices que faciliten la bsqueda.
www.FreeLibros.me
At'IHTOtMA IMCKUTICA: tS ESTOQUE mACUCO
C -A 6-5: Debe existir un mtodo que permita catalogar y estimar los ticrcj o de
cada una de las fases de los proyectos. Se debe comprobar que:
C-A6-: Debe existir un registro de problemas que se producen en los proyedM "
del rea, incluyendo los fracasos de proyectos completos. Se debe comprobar que:
El c atilogo es accesible para todos los miembros del rea. est actualizado y
tiene uno o varios ndices que faciliten la bsqueda.
C-A 7-1: Deben mantenerse contactos con proveedores para recibir informacii
suficiente sobre productos que puedan ser de inters. Se debe comprobar que:
El personal externo que intervendr en los proyectos cum plir, al menos, los
misinos requisitos que se exigen a lo* empleados del rea.
Una persona del rea supervisa el trabajo realizado, certificndolo antes del
pago.
Adems de estas fases, se ha aftadido una subdivisin que rontiene los objetivo*}
tcnicas de control concernientes a la aprobacin, planificacin y gestin del proyecta
La aprobacin del proyecto es un hecho previo al com ienzo d :l mismo, mientras qet
la gestin se aplica a lo largo de su desarrollo. La planificacin se realiza anta de
iniciarse, pero sufrir cambios a medida que el proyecto avanza en el tiempo.
C -B l-1 : Debe existir una orden d e aprobacin del proyecto que defin
claram ente los objetivos, restricciones y las unidades afectad. Se debe comprotor
que.
P-BI-4: Una vez determinado el ciclo d e vida a seguir, se debe elegir el equipo
to n co que realizar el proyecto y se determinar el plan del proyecto. Se debe
can probar que:
C -B2-1: Ixis responsables de las unidades o reas afectadas por el proyecto deba
participar en la gestin del proyecto. Se debe comprobar que:
Las reuniones se hacen con u n orden del da previo y las decisiones tonuda
quedan documentadas en las actas d e dicho comit.
Existen hojas de registro de problemas y que hay alguna pervona del proyecto
encargada de su recepcin, as com o un procedimiento conocido de
tramitacin.
Hay un mtodo para catalogar y dur prioridad a los problemas, as como pin
trasladarlos a la persona que los debe resolver, informando si e s necesario i
director del proyecto y al com it de direccin.
Se notifica el cam bio a todas las persona que de una u otra forma participen
en el proyecto y se vean afectados.
C-B2-5: Debe hacerse un seguimiento de los tiem pos empleados mo por tarca
caro a lo largo del proyecto. Se debe comprobar que:
C-B2-6: Se debe controlar que se siguen las etapa del ciclo de vida adoptado
(ara el proyecto y que se generan todo lo documentos asociados a a metodologa
x k Se debe comprobar que:
www.FreeLibros.me
!7i AIWTORIa INFORMATICA: UN ENFOQUE PRCTICO________________________
F.l com it de direccin y el director del proyecto hacen balance del proyecta,
estudiando los posible problem as y sus causas, los cam bios d e plan, etc
Toda esta informacin se registra en los archivos histricos sobre estimadora
y problemas.
A p in ir del conocimiento del sistema actual y sus problemas asociados, junto con
lot requisitos que se exigirn al nuevo sistema, se determinarn las posibles
rio;iones, alternativas que satisfagan esos requisitos y de entre ellas se elegir la ms
tdecvula. Se consideran dos objetivos de control (serie C):
C-CI-1: En el proyecto deben participar usuarios de todas las unidades a las que
tftete cl nuevo sistema. Esta participacin, que se har normalmente a travs de
revisus. tendr especial importancia en la definicin d e requisitos del sistema. Se
debe comprobar que:
Existe un plan consensuado con el comit d e direccin que detalla para cada
entrevista la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por
escrito, etc.) y un guin de lo* aspectos que en ella se tratarn.
Se remite el guin a los entrevistados con tiempo suficiente para que stos
puedan preparar la entrevista y la documentacin que deseen aportar a la
misma.
C-C2-I: Dados los requisitos del nuevo sistema se deben definir las diferentes
iterativas de construccin con sus ventajas e inconvenientes. Se evaluarn las
ttenativa* y se seleccionar la ms adecuada. Se debe comprobar que:
Hay ms de una alternativa, y en caso contrario, que no existe realm ente otra
posible.
Cada alternativa est descrita desde un punto de vista lgico (al menos modelo
lgico de procesos) y es coherente con los requisitos establecidos.
Una vez conocido el sistema actual, los requisitos del nuevo sistema y la
iheraativa de desarrollo ms favorable, se elaborar una especificacin funcional
detallada del sistema que sea coherente con lo que se espera d e l.
ix atributo y claves, a
Se han descrito con suficiente detalle las pantallas a travs de las cuales el
usuario navegar por la aplicacin, incluyendo todos los campos
significativos, teclas de funcin disponible*, men*. botones, etc. Si hay
normas de diserto o estilo de pantallas en el rea, se verificar que se respetan.
Se han descrito con suficiente detalle los informes que se obtendrn del
sistema y los form ularios asociados, si stos existen. Si hay normas de diseo
o estilo de informes y formularios en el rea, se verificar que se respetan.
C-DI-5: Se deben especificar las pruebas que el nuevo sistema debe superar para
Kr aceptado. Se debe comprobar que:
Estn perfectamente definidos lodos los den tem o s que configuran el entono
tecnolgico para el proyecto (servidores, computadores p ero r la,
perifrico, sistemas operativos, conexiones de red. protocolos de
comunicacin, sistemas gestores de bases de datos, compiladora,
herram ientas C A S E mttkU tware en caso de programacin cliente/servidor,
libreras, ele.).
C-Kl-2: Se deben identificar todas las actividades fsicas a realizar por el stemi
y descomponer las mismas de forma modular. Se debe comprobar que:
Se han documentado todas las actividades fsicas que debe realizar el sistema.
Se han identificado las actividades que son comunes, as como las que ya
existan en las libreras generales del rea.
Los mdulos se disean para poder ser usados por otras aplicaciones si fuera
necesario.
Los componentes o programas del nuevo sistem a se han definido con detalle a
partir del diserto modular, la definicin e s correcta y sigue los estndares del
rea. La descripcin de los componentes es suficiente para permitir su
programacin por porte de un programador sin conocimiento previo del
sistema. Se deben especificar los requisitos d e operacin de los componentes.
Las personas que realizarn las pruebas de verificacin son distintas a las que
han desarrollado el sistema.
Estn disponibles los puestos de trabajo y el acceso a los equipos, redes, etc.
C-Kl-3: Deben realizarse las pruebas de integracin pora asegurar que las
iwrfaces. entre los componentes o mdulos funcionan correctamente. Se debe
aprobar que:
Ea este mdulo se definen los procedim ientos y formacin necesarios pora que
b t arios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se
tnta de la instalacin, la conversin de datos y la operacin/explotacin. Se considera
n nico objetivo de control (serie O *
En esta fase se realizar la aceptacin del sistema por pane d e los usuarios,
temis de las actividades necesarias para la puesta en marcha. Hay un nico mdulo:
Se han evaluado los resultados de las pruebas y se han tom ado las acciones
correctoras necesarias para solventar las incidencias encontradas,
actualizndose el proyecto en consecuencia.
Especifica los recursos necesarios para cada actividad, as como que el crin
m arcado para las actividades es compatible.
( ' I I 1-3: El sistema debe ser aceptado por los usuarios antes de ponme a
I explotacin. Se debe comprobar que:
C-H2-4: Se debe superv isar el trabajo de los usuarios con el nuevo sistema en las
piacras semanas para evitar situaciones d e abandono de uso del sistema. Se Jebe
aprobar que:
Tiene en cuenta los tiempos de respuesta mxim os que se pueden permitir ante
situaciones de no funcionamiento.
www.FreeLibros.me
X AUCtTORtA INIORMATICA UN 1-SatHK.ih HtCIKTI___________________________MU
Por otra parle, no parece lgico que los procesos involucrados en el desarrollo de
software se estandaricen a lo largo d e un proyecto concreto. Es imprescindible que los
proyectos de desarrollo se lleven a cabo en el seno de una organizacin consolidad!
Por ello, la organizacin se convierte en otro elemento crtico a tener en cuenta por d
auditor.
Computer Audit. Control an d Security. Moeller. R. John W iley & Sons. I989.
C A P T U L O 13
Tras aplicar la versin inicial del modelo a una amplia variedad de cntonws x
comprob que no bastaba con un nico m odo de desarrollo. p>r lo que se plantean
tres modos (orgnico. semidelached y rm b td d ed ) en funcin d ; varas caracterstica:
tamao, necesidades de comunicacin, experiencia en proyecto similares, etc.
Por otro lado, se ofrecen tres versiones del modelo: bsico, intermedio j
detallado. 1:1 bsico es adecuado para estimaciones rpidas, aunque sin una gro
precisin. El intermedio considera IS atribuios del proyectc (Habilidad rtqucm k
tamao de la hase de dalos, restricciones de memoria, tiempo Je respuesta requerid},
etc. cuya valoracin acta com o factor multiplicador en I modelo. La versita
detallada considera las estimaciones en cada una d e las etapa* del ciclo de vid dd
proyecto.
La versin bsica del modelo ofrece las siguientes fm u las de clculo del
esfuerzo de desarro llo (medido en MM=month-man u hombre mes):
MM uant = TCA M M n t
La mantenibilidad es. sin duda, el factor de calidad d d softw are con mayor
influencia en la etapa de mantenimiento y. po tanto, elemento decisivo de referencia
en los estudios de Auditora Informtica del Mantenimiento. Un estudio realizado por
W , Itzfcld en Alemania, recogido por W allmtlller en (WALL91J presenta un ranking
www.FreeLibros.me
M M mani - T C A MM ms Imn i
Ivavt f (X i. X :....... X.
Dos son. pues, los pasos a seguir para la normalizacin del modelo:
Previamente a abordar estos dos puntos y teniendo en cuenta las tres actividades
qjc conforman una accin de mantenimiento, el ndice de mantenibilidad se va a
descomponer a su vez en tres ndices: ndice de com prensibilkad. ndice de
na&ficabilidad e ndice de testeabilidad.
www.FreeLibros.me
?0U AUDITORIA IXtOKMAnCA: UN ENKXjt'fc PRACTICO
I Son tres tarcas claram ente diferenciadas que se realizan una tras otra, por lo <pc
el esfuerzo de mantenimiento se puede considerar com o suma de los tres esfuenot
comprensin, modificacin y prueba.
MM ma.ni - MM< MM m M M ,
As pues, vamos a tener tres ndices de mantenibilidad. I<-. Iu e l< que relacin
los parmetros del proyecto. TCA y MMDES con los tres componentes del esfuerzo
de mantenimiento: MM-. MMU y MMr
MM, * TCA M M , If
MM m = TCA M M i 1
M M , - T C A M M o u lr
1
Iu v st Ic ly t Imamt =ndice d e mantenibilidad
l< ndice d e comprensibilidad
Iu - ndice d e modificabilidad
I: ndice de testcabilidad
Las tres caractersticas se han elegido d e manera que resulten fcilmente mediMes
> que tengan una gran influencia sobre la mantenibilidad. N o obstante, el modelo
puede aplicarse cualquiera que sea el conjunto d e mtricas escogido, siempre que
quede demostrada la dependencia entre dichas mtricas y el componente de
narxenibilidad correspondiente.
I< - F r ( X c )
I - F m (X m)
Ir - F ( X ,)
X ,: Mtrica de comprensibilidad
X: Mtrica de modificabilidid
XT : Mtrica de tesieabilidad
Tom ando la subtabla formada por las columnas X<- e 1* tenemos una nube de
puntos representable en un plano de dos dimensiones { (X o L i) I i- l. . n ) . Haciendo w
sencillo anlisis de regresin sobre este conjunto de puntos se puede obtener la cwv
que mejor se ajusta, as como el coeficiente d e determinacin o grado en que dada
funcin es representativa de dicho conjunto de puntos. A s obtendramos la funcifa
Informacin histrica
T Matriz de n d elem entos que indica el trfico d e cam bio anual de cada proyecto
de la TH
C Matriz de Ixm elementos que indica las cualidades del proyecto en curso. La
extraccin de esta informacin requiere la intervencin de personal experto. Es en este
momento cuando se va a revisar el conjunto de cualidades. La modificacin de este
conjunto requiere la actualizacin de la tabla histrica revisando las cualidades de
todos los proyectos que la componen.
www.FreeLibros.me
CaHTVI.O IX AfMTORlA 1)11. UAVB.MWFXTO 305
B - A CT
litado
le =F r(X c)
Im - F ^ X h)
l t - F H X t)
13.5. C A SO DE ESTUD IO
Se han estudiado tres proyectos con el fin de aplicar el modelo recin expuesto
Se trata de un proyecto para el desarrollo d e un paquete de gestin contable (P,) y des
d e gestin comercial (P ; y P<). El estudio se ha sim plificado considerando solamente
uno de los componentes de la mantenibilidad. a saber, la comprensibilidad. El estudio
de la modificabilidad y de la tcstcabilidad se hara de manera idntica.
1 MMf
f " T C A M M pes
m im m ir (l (i - ( + *>Xt l ))
Lnl( l - L n a * b X Cj
Por tanto, volvemos a tener una funcin lineal donde la variable independiente e
X< y la variable dependiente e s Ln I,. Haciendo el cam bio de variable l* Ict
as como a * Ln a obtenernos el siguiente sistema a resolver:
l Cl - a N + b X Cl
a - 1.86
b = -0.08
B B 2
M M r - TCA MMW3 L
13.6. CONCLUSION ES
10. Compare otros modelos de estimacin que conozca con el propuesto en etc
captulo.
www.FreeLibros.me
CA PTU LO 14
14.1. INTRODUCCIN
SEM S4
Existe una metodologa de diserto d e BD?
Este tipo de metodologa, conocida tambin por ritk orienied approach. es laqte
propone la ISACA. y empieza fijando los objetivos d e control que m in iriu n la
riesgos potenciales a los que c a sometido el enlom o. En T ourio y Fernndez 11991)
se seAalan los riesgos ms importantes que lleva consigo la utilizacin de una base &
datos y que se recogen en la figura 14.1.
Objetivo de Control:
T cnica de C ontrol:
P ru e b a s tu t a n li n :
Una v e / valorados los resultados de las pruebas se obtienen unas conclm axa
que sern comentadas y discutidas con los responsables directos de las reas afectada
con el fin de corroborar los resultados. Por ltimo, el auditor deber emitir una serele
comentarios donde se describa la situacin, el riesgo existente y la deficiencia i :
solucionar, y. en su caso, sugerir la posible solucin.
Esta ser la tcnica a utilizar para auditar el entorno general d e un sicnu de.
bases de datos, tanto en su desarrollo como durante la explotacin.
El auditor debe comprobar tambin que la aJU direccin revisa los informes de
tas estudios d e viabilidad y que es la que decide seguir adelante o no con el proyecto.
Bao es fundamental porque los tcnicos han d e tener en cuenta que si no existe una
dccidida voluntad d e la organizacin en su conjunto, impulsada por Ick directivos,
aumenta considerablemente el riesgo de fracasar en la implantacin del sistema.
lin esta fase se empieza a disertar la hase de da(os. por lo que deben utilizarse ln
modelos y las tcnicas definidos en la metodologa d e desarrollo de sistemas de U
empresa, vase Captulo 12.
F.l auditor debe, por tanto, en primer lugar, analizar la metodologa de diserto cea
el fin de determinar si e s o no aceptable, y luego comprobar su correcta utilizackn.
C om o mnimo una metodologa de diserto de BD debera contemplar dos fases de
diserto: lgico y fsico, aunque la mayora de las empleadas en la actualidad contempla
tres fases, adems de las dos anteriores, una fase previa d e diserto conceptual que seria
abordada en este momento del ciclo de vida d e la base d e datos; vase, por cjempV.
De M iguel. Piattini y Marcos (1999).
por un lado. la* neceudades de la empresa (debidamente ponderadas) y. por otro, las
prestaciones que ofrecen lo distintos SG B D candidatos (puntuados de manera
oportuna), fin ISACF (1996) se destaca tambin que en este procedimiento se debe
tener en cuenta el im pacto que el nuevo softw are tiene en el sistema y en su seguridad.
En esta fase se llevarn a cabo los diseos lgico y fsico d e la base de datos, por
lo que el auditor tendr que examinar si estos disenos se han realizado correctamente:
determinando si la definicin de los datos contempla adems de su estructura, las
asociaciones y las restricciones oportunas, as com o las especificaciones de
afaiKcnamiento de datos y las cuestiones relativas a la segundad. El auditor tendr
que tomar una muestra de ciertos elementos (tabla*, vistas. ndices) y comprobar que
su definicin es completa, que ha sido aprobada por el usuario y que el administrador
de b base de datos particip en su establecimiento.
Por lo que retpec I entrad manual d e dato, hay que etlablecer un conjunto
de controles que aseguren la integridad de los mismos. A este respecto, cabe destacar
<fx las declaraciones escritas de procedimientos de la organizacin referentes a la
ccaega de dalos a ser procesados deben asegurar que los dalos se autorizan, recopilan,
preparan, transmiten, y se comprueba su integridad de forma apropiada.
Una vez realizadas las pruebas de aceptacin, con la partic pacin de los usuarios,
el sistema se pondr (mediante las correspondientes autorizaciones y siguiendo los
procedim ientos establecidos para ello) en explotacin.
En los nuevos COBFT se dedica un apartado com pleto a detallar los objetivos de
control para la gestin de datos, clasificndolos en un conjunto de apartados que se
muestran en la figura 14.5.
Seria conveniente tambin que el auditor pudiera llevai a cabo una auditoria
sobre el rendim iento del sistema de BD. comprobando si se lleva a cabo un proceso de
ajuste (tuning) y optimizacin adecuados que no slo consiste en el redisefto fsico o
lgico Je la BD . sino jue tambin abarca ciertos parmetros del SO c incluso la forma
en que acceden las transacciones a la BD. Recordemos que la funcin t
administracin de la ba te de datos debe se r la responsable d e monitorizar el
rendimiento v la integridad d e los sistemas de BD ", Moeller (1989).
www.FreeLibros.me
da praporodn da dalos
da cxortrocin da documanlos fuanfa
acogida da dato da documantos fuanla
Moralo da aora* da documanlos fuanla
Raiancln da documanlo fuanla
da outorteocln da datos
VarMcocln d a axoctitud, complacln y aulortzocto
Mana>o da aoras da antroda da datos
Irtagrtdod dal procasamtanlo da dato
Edicin y vaildocln dal pcocasomiaclo da datos
Manajo da aoras da procasomianto da dato
Ratancln y monago da sondas
Distribucin da salidos
y batoncao da salidas
Manajo da aoras y ravtsin da scftdas
Maddos da saguridod para Informas da salidas
Protaccin da Informocln sanstbia
Profaccin da Informocln sansibla dapuasla
Gasiln da ofmocaoom Onlo
Parfodos da ratancln y trmino da otmocanamlanto
Stttamo da gastln da Wbtlotaco da madios
da gasftn da la bWlotaco da madios
Coplas da raspaldo y racuparoctn
Irabojo* da coplas da raspaldo
AJrrvocanamiano da raspaldo
Figura 14.5. Clasificacin de los objetivos de control para la gestin dr datos. ISACA
<1996)
Esta form acin no se puede basar sim plemente en c u n o s sobre el producto qtx !
est instalando, sino que suele ser precisa una formacin d e ha ve que resefea
im prescindible cuando; *e posa de trabajar en un entorno de archivos orientad d
proceso a un entorno de bases d e datos, por lo que supooc de "cam bio filosfico: lo
mismo puede decirse si se cambia de tipo de SGBD (por ejemplo, d e relaciona! a
orientado a objetos.
Hay que tener en cuenta que usuarios poco formados constituyen uno de ka
peligro ms im portantes de un sistema. Esta formacin no debera lim itarse al irea
de las bases de datos, sino que tendra que ser complementada con form acin rebosa
a los conceptos de control y seguridad.
Entre lo* componentes del SGBD podemos destacar el nticlro (kem el). el
catlogo (componente fundamental para asegurar la seguridad de la baie de datos), las
blidadex para el administrado de la bo.se de datos (entre las que se suelen encontrar
algn* para crear usuarios, conceder privilegios y resolver otras cuestiones relativas a
la confidencialidad): las que ve encargan de la recuperacin de la ED: rearranque,
ccpias de respaldo, archives diarios ilog). etc. y algunas funciones de auditora, as
amo los lenguajes de cuarta generacin (L4G) que incorpora el proptoSGBD.
Son paquetes que pueden emplearse para facilitar la U bordel auditor, en cuarto i
la extraccin de dato de la b ise , el seguimiento de la transacciones, dato de procU.
etc. Hay tambin productos muy interesantes que permiten cutdrar datos de difettala
entornos permitiendo realizar una verdadera "auditora del dato.
Algunos autores lo incluyen dentro del propio SG BD. pero actualmente, puede
considerarse un elemento ms del enlom o con responsabilidades d e confidencialidad y
rendim iento.
www.FreeLibros.me
3. Deben existir pistas de auditoria para todas las actividades realizadas por las
aplicaciones contra sus propias bases de datos y otras compartidas.
Respecto a este ltimo punto, e s importante destacar cmo, por ejemplo, muy
pocas empresas han considerado rentable im plemcntar bases de datos realmente"
distribuidas: siendo bastante ms econmico y usual actualizar bases de datos
distribuidas mediante transferencia de archivos y procesos por lotes (batch), que
hacerlo en linea.
Desde la dcada pasada venimos asistiendo a una gran difusin de este tipo de
herramientas como soporte al diseo y concepcin de sistemas de informacin, vaie
Piattini y Daryanani (1995). Suelen llevar incorporado un diccionario de chJos
(enciclopedia o repositorios ms amplio que los mencionados anteriormente en los que
se almacenan adems de informacin sobre datos, programas, usuarios, etc., kx
diagramas, n utrices y grafos de ayuda al diseo. Constituyen una herramienta dase
para que el auditor pueda revisar el diseo d e la base de datos, comprobar si se ha
empleado correctamente la metodologia y asegurar un nivel mnimo d e calidad.
Adems de las herram ientas que ofrezca el propio SGBD. el auditor se puede
encontrar con una amplia gama d e generadores d e aplicaciones, d e form as, de
www.FreeLibros.me
CArtTU-O 14 ACOtTOSU I. IIA a Pfc PATOS :?
informe*. tic . que actan sobre la base de dalos y que. por lano. tirnbin son un
demento importante a considerar en el entorno del SGBD.
En Moeller (1991) se ofrecen sa n o s objetivo* de control para los L4G. entre los
que destacan los siguientes:
Otros problemas asociados a los I.4G y con los que noj encontramos
frecuentemente, pueden ser su incficiencia y elevado consumo de recursos, las
tentaciones que. en ocasiones, imponen al programador, los cambios que pueden
suponer en la metodologa de desarrollo, etc. Respecto a este ltimo punto, muchos
U G utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios
la exposicin de sus necesidades. M oeller (1989). se fala que e l p n to tip o d e una
eptkactn desarrollado con IA G debe proporcionar suficiente detalle para
"emplazar los documentos escritos asociados a los procedim ientos convencionales
de la metodologa de desarrollo de sistemas".
herramientas y bajo qu condiciones han sido instaladas; tas herramienta* de ctte upo
d e b ern proteger al usuario de sus propios errores".
Fn este apartado podemos incluir tambin las diferentes facilidades que ofrecen
algunos SGBD que pemiten su conexin con paquetes ofimticos (por ejemplo, hojas
de clculo), que pueden acceder a la base de datos c incluso actualizarla. En este caso
el auditor debe prestar especial atencin a los procedimientos de carga y descarga
(upotiding/d&nnloadingi de datos de la base a/desde k paquetes ofimticoa;
comprobando, por ejemplo, si se puede actualizar la base de dalos desde cualquiera dt
stos o si la descarga se realiza con datos correctamente actualizados (descarga de k*
datos correctos e n el momento correcto").
14.4.13. Aplicaciones
Como hemos visto en el epgrafe anterior, existen muchos elementos del entorno
W SGBI) que influyen en la seguridad e integridad de los datos, en los que cada uno
se apoya en la operacin correcta y predecible de otros.. Com o se destaca en CLARK
et al. (1991). el efecto de todo esto e s debilitar la seguridad global del sistema.
rtxiendo la fia b ilidad e introduciendo un conjunto d e controles detcoordinados y
solapados, difciles de g e s t i o n a r esta situacin se acenta an m is si los diferentes
componentes provienen de distintos fabricantes que se adaptan a estndares muchas
teces contrapuestos.
Estas matrices, como la que aparece en la figura 14.7. sirven para identificar los
conjuntos de datocs del SI junto con kw controles de seguridad o integridad
impkmentados sobre los mismos.
Con este marco, el auditor puede identificar las debitididev que expongan los
datos a riesgos de integridad, confidencialidad y segundad, las distintas interfaces
entre componentes y la complecin de los controles.
14.6. CONCLUSION ES
El gran nmero de componentes que forman dicho entorno y sus interfaces hacen
necesario que. antes de empezar una revisin d e control interno, el auditor deba
examinar el enlom o en el que opera el SGBD; que est compuesto, como hemos visto.
por d personal de la empresa (direccin, informticos y usuarios finales), hardware,
software, etc.
Por lo que respecta al futuro d e esta rea, con la aparicin de nuevos tipos de
bises de datos, como las activas, orientadas a objetos, temporales, multimedia,
ntkidiinensionalcs. etc., vase Piaitini y D i (2000). y la creciente distribucin de
bs datos (bases de datos federadas, multibases de datos. W eb. bases de dalos mviles,
etc.), aparecen nuevos riesgos de inters para el auditor com o, por ejemplo, en el rea
de seguridad, vase Castao e t al. (1995). o en las metodologas de desarrollo. No
olvidemos precisamente que uno de los objetivos de control que sertala la ISACF
(1996) es que la metodologa de desarrollo debe actualizarse, y en estos momentos
aslen pocas propuestas que abarquen las nuevas tecnologas de bases de datos.
Por lmo. queremos destacar la importancia cada dia mayor de una discif*M
m is amplia que la de hases de dato: la de G euio de Recursos d e Informacin (o e*
win siglas inglesas. IRM . Information R e to u r e t M anagement), que nace precisan*
con la vocacin alegradora necesaria pora lograr convertir los datos en el activo mis
importante de las empresas: lo que lleva consigo que las medidas de control y
auditora pasen a un primer plano dentro de las actividades de las empresas.
Clark. R. e t al. (ed.) ( 1991 ). The Security. A udit a n d Control o f Databases. Avebuty
Technical. Aldershot. Gran Bretaa.
10. Analice el opone que ofrecen las herram ien'as d e minera d e datos al auditor
informtico.
www.FreeLibros.me
C APTULO 15
A U D ITO R A DE
T C N IC A DF. SISTEM A S
Para ilustrar el prim er supuesto valga com o ejemplo la titulacin que la primera
escuela especializada (INSTITUTO DE INFORMTICA. 1970) empez a otorgar a
quienes acababan los estudios u a s s u p o el quinto arto. TCN ICO !>!'. SISTEMAS.
Segn aquel plan de estudios. 1 TS abarcaba todo el mbito de la informtica,
existiendo adems tres especialidades que. si no me fallan los datos de que dispongo,
eran:
SISTEMAS FSICOS
INFORMTICA FUNDAMENTAL
INFORMTICA DE GESTIN
F.l despegue de la M kroinform tica y las Redes generan unos nuevos entornos de
trabajo, en algunos casos nicos (empresas ms pequeas) y en otros mezclados cea
los convencionales, pero que requieren una preparacin y dedicacin especficas. Ea
este sentido omos hablar cada da (incluso en anuncios d e prensa) de TS dt
M kroinform tka o TS de Redes.
Parece pues que no es fcil determinar el mbito de la tarea de TS. pero nuestro
comprom iso con lo que queremos escribir nos obliga a acotar con claridad la materia
en cuestin para poder establecer despus las correspondientes actividades de control.
nsuUtciones
Este apartado incluira salas de proceso, con sus sistemas de segundad y control,
as como elementos de cooexin y cableado, es decir los elementos base pan
acondicionar los componentes del apaado siguiente.
Equipos d t proceso
Aqu estaran los computadores (main. mini y micro), as com o sus perifricos
(pantallas, impresoras, unidades d e cinta...) y los dispositivos de conmutacin y
comunicaciones (routers. mdems, frads...)
www.FreeLibros.me
CAPIVLO 15. AUmOttlAPti'nSCWCAl); SISTEMAS 1
Software d e Bat*
Siguiendo este esquema y buscando un enunciado sim ple podemos decir que
Tcnica dc Sistemas consiste en la actividad a desempear para instalar y mantener en
adecuado orden dc utilizacin la infraestructura informtica.
Entendemos por nivel de servicio una serie de parmetros cuya medicin es capiz
de determinar objetivamente el mayor o menor grado de eficacia del servicio prestada
No cabe duda de que la obtencin de dicho nivel se ve afectada por cuanto
incidencias, de cualquier tipo, im pacten en el normal desenvolvimiento de la actividad
del SI. As. paradas por instalacin de nuevos dispositivos, cambios d e versiones del
sistema operativo, puesta en servicio d e nuevas herram ientas, averas de mquin.
fallos de com ente o elementos d e acondicionamiento, arranque o modificacin de
enlaces de comunicaciones, inclusin de nuevos usuarios o cualquier tipo de probtana
con el hardware o el softw are puede degradar el servicio, con el consiguiente perjuicio
para la organizacin, que n o podr desarrollar sus funciones adecuadamente o en d
tiempo preciso, con el correspondiente im pacto econmico que esto supone y que.
generalm ente, resultar difcil de calcular, pero, en cualquier coso, importante.
Procedim iento para registrar, analizar, diagnosticar, calificar y seguir las inciden
cias que se produzcan en relacin con el elemento en cuestin con el objetivo de su
resolucin.
Por poner ejemplos, direm os que el personal de desarrollo no debe tener acceso a
modificar parmetros del sistem a operativo y . de igual form a, los TS no deben poder
modificar programas.
Es imprtame que existan una see de normativas para realizar las funciones
aormfeicas. aunque es igual d e importante que Ules normas se cumplan.
Es uno dc los elementos bsicos del nis! dc servicio siempre que se objetiven
Trmetros para su seguim iento, e s decir, que seamos capaces de medir
coeportamientas del sistema que estn directamente ligados con la calidad del
vicio.
La informacin debe servir para gestionar y. por tanto, debe ser resumida y
exfresiva en cuanto a la reprcscnucin de la realidad, permitiendo profundizar si se
aquiete un anlisis ms fino de algn parmetro en aras d e localizar la causa d e un
m in ad o comportamiento o magnitud.
Conmutacin
Se mantienen adecuadamente
Dan el ancho de banda y respuesta
1. Eficacia
2. Eficiencia
3. Confidencialidad
4. Integridad
5. Disponibilidad
6. legalidad
7. Fiabilidad.
www.FreeLibros.me
A rtn .io i At mnmlA t* tecnica i sistemas us
La definicin del factor Tecnologia puede idem ifi carie eoo el mbito que estamos
aplicando a Tcnica de Sistemas, puesto que comprende:
Hardware.
Sistemas Operativos.
Gestore de Bases de Dalos.
Redes.
Multimedia.
G estin de inversiones
A preciacin d e riesgos
G estin de proyectos
Este proceso provee las plataformas adecuadas para soportar las aplicaciones del
Kgocio. Permite definir consideraciones especficas de requerimientos funcionales y
petamos y una implantacin por fases con hitos claros.
Gestin de cambios
Aseguran que los roles y responsabilidades de terceras partes estn definidos coa
claridad, son conformes con los requerimientos y continan satisfacindolo. Facilillo
www.FreeLibros.me
CArtTVLO IS AUPUOWUIH- TfCNW'A I; SISTEMAS VI
Tiene que ver con los acuerdos de nivel de servicio. con los acuerdos de
discrecin. las polticas de la comparta, las leyes y regulaciones y los contratos de
e m o m in g .
G estin de la configuracin
Seguridad Independiente
Como en el caso anterior, intervienen los siete criterios, pero aqu, con prioridad
los dc eficacia y eficiencia.
Se trata pues dc aplicar las ideas anteriores, al segmento de actividad al que nos
estamos refiriendo: Tcnica de Sistemas.
1. Que existen.
2. Que son consistente con lo objetivo d e control.
3. Que se ejecutan.
-tambin usualmente con equipos en sus ceiros perifricos que integran tas
instalaciones con los correspondientes enlaces le comunicaciones > la electrnica
inherente.
La funcin, e n estos casos, debe ser auditada desde dos perspectivas diferentes y
con equipos d e personas distintas:
debilidades que el auditor debe determinar para que mediante otro* medios pool*
compensarse dichas debilidades. bien a travs de oros controles ylo medidas (segure,
por ejemplo).
Puesto que en la presme obra se tratan especficamente aspectos que tienen qoe
ver con TS. vamos a profundizar un poco en el rea especfica del sistema operativo y
herramientas complciixmarias.
Los datos reales no deben ser accesibles ni utilizados para pruebas: slo en casos
especiales pora pruebas de volumen podran lomarse como punto de partida,
desvirtundose en su contenido para el traspaso al entorno correspondiente.
Un control especial debe aplicarse con las utilidades d e uso restringido qee
permiten accesos directos a) ncleo del sistema operativo o a los datos. S e trata de
elementos sensibles cuyo uso debe estar especificado, toda vez. que -e n determinados
www.FreeLibros.me
CArtn tt) iv AfiMTimtA pe tt-cxKA de sistem as j
casos- n<> dejan pid a de las modificaciones realizadas. Existen opiniones a favor de
deponer de estas funciones fuera del sistema, cargndolas nicamente cuando sean
recesaras y borrndolas despus, para evita que -p o r una debilidad d e segundad
alguien pudiera acceder a ellas. C on esto se trata de eliminar la omnipotencia de los
Tcnicos de Sistemas, que deben estar, tambin, sujetos a una normativa rigurosa.
Para soslayar estas dificultades, los sistemas distribuidos han urdido otras
estrategias, basadas e n replicadores de transacciones y permitiendo registros
pendientes de aciualizar que se ponen al da al levantarse la linea de comunicaciones
cada. Lo que sucede es que. para que este esquema d e replicacin (sin cornil de doNc
fase) funcione, obliga a mantener la actualizacin en un nico nodo, lo que supone b
nica opcin para mantener la consistencia de los dalos.
www.FreeLibros.me
m w CAytTVLO 15: AUOTOlA I, TCNICA DtjSKTtMAS 7
lo s usuarios sufrirn tambin cam bios radicales, puesto que los dos aspectos
anteriores son la bave para poder trabajar desde cualquier punco (a travs de las redes
Rbales mencionadas), tanto en oficinas como en centros de servicio o domicilios
particulares servirn de base para lodo trabajo que ve pueda realizar a travs d e un
computador, e s decir, aquel en el que nicamente se maneje informacin, y no
podemos olvidar que el sector de servicios (creciente en economas desarrolladas)
tiene un componente importantsimo de trabajo cuyo fundamento es la informacin.
HotJhoot o f E D P AitdHtntt.
C A PTU LO 16
AUDITORA DE LA CALIDAD
Jos Luis Lucero Mantesa
16.1. PREMBULO
La calidad t u dejado de ser un tpico, y fo m u parte, es necesario que forme
pww. de los productos o servicios que comercializamos para nuestros clientes Esti
incorporada en nuestra form a de se r la vida. Cada vez exigimos m is que los
productos o servicios que no* suministran nuestros proveedores tengan el mayor grado
d calidad dentro de un precio razonable. El aforismo de El precio se olvida y la
calidad perdura" se hace cada vez ms patente.
Vamos a citar algunas definiciones de varios autores que nos ayudarn a centnr
lo que se entiende por calidad:
I
J AI JURAN: Adecuacin al uso.
P.B. CROSBY: Cum plimiento de unas especificaciones.
W.E. DEA1ING: Un grado predecible de uniformidad y fiabilidad a bajo me
y adecuado, a las necesidades del mercado.
G.T AG U CIII: Prdida mnimas para la sociedad en la vida del producto.
FEIGENBAUM: Conjunto d e caractersticas del producto de marketing,
ingeniera, fabricacin y mantenimiento a travs del cual el prcxhicto en cao
satisface las expectativas del d ien te.
P. DRUCKER: Calidad es lo que el cliente est dispuesto a pagar en funcin
de lo q u e obtiene y valora.
AEC (Asociacin Espaola para la Calidad: Conjunto de propiedades y
caractersticas de un producto o servicio que le confiere su aptitud pan
satisfacer necesidades establecidas o implcitas.
16.3. INTRODUCCIN
Dentro de este captulo, como no podra ser menos, nos vamos a referir a una
Ke de norma que afectan a su contenido, y en algunos casos incorporaremos
ripeo de sus prrafos o apartados completos.
16.3.1. R evisin
Hs una evaluacin del elem ento o elementos software o estado del proyecto que
investiga las discrepancias con los resultados planificados y las mecm
recomendadas. Esta evaluacin sigue un proceso formal (por ejemplo, proceso de
revisin de gestin, proceso de revisin tcnica, proceso de inspeccin de softw ,o
proceso de walkthrough).
1G.3. 3. A u d ito r ia
Es una evaluacin independiente de los procesos, los productos software, d
progreso del proyecto o el cmo se realii el trabajo, que investiga la coincidencia coa
los estndares, lineas gua, especificaciones y procedimientos basados en criteri
objetivos que incluyen k documentos que especifican:
Debe reconocer que slo una muestra de la informacin disponible puede ser
examinada Que es importante que el tamafto d e la muestra de la auditora aporte la
confunda suficiente en las recomendaciones finales.
16.4.1. Caractersticas
Segn la citada norma ISO 9126. define las caractersticas de calidad como "Un
ccajunto de atribuios del producto software a travs de los cuales la calidad es descrita
y evaluada. Las caractersticas de calidad del software pueden ser pcecxadas a travs
de sshiplcs niveles de subcaractersticas.
El prefijo sub nos hacc destacar un importante aspecto del modelo ISO 9126: U
calidad e s modelizada en form a jerrquica. En la figura adjunta se incluye un
representacin de este modelo jerrquico.
www.FreeLibros.me
La valoracin de esta caractersticas es til para que el usuario pueda definir los
requerimientos del producto utilizando solamente las caractersticas que emplee en la
prctica
Para algunos tipos de productos, hay determ inadas caractersticas que no son
tignificativas. y las restantes no garantizan que con ellas comprendan lodos los
requerimientos de los productos, por lo que en cada caso habr que completarlas con
otras definiciones ms especficas para esos productos o situaciones.
N o obstante el modelo nene el nivel de abstraccin suficiente com o para que sea
adaptable en la mayora de las situaciones, siendo, adems, independiente d e la
enologa.
Los indicadores que v : describen en d modelo ISO Extendido. sirven como puno
de partida, no queriendo decir que esa lista sea completa. En ella se pretendes
presentar ideas para poder definir las especificaciones de calidad, siendo mey
importante seleccionar los indicadores que mejor se ajusten a la situacin de nuestro
proyecto o producto.
Ejemplo':
El protocolo sera:
Peor: El peor lmite aceptable d e la escala, tal como un fallo total del sistema.
I"T. GtfelAddivoe-Wnky
www.FreeLibros.me
*> At IHTOtUA INTOKMTKA l'N tMOQUi PRACTICO
Com o experiencia prctica del uso del modelo ISO Extendido tenemos b
realizada por las compaas participante* en el proyecto QUINT (Quality in
Information Technology)* cuyo primer proyecto empez en 1991. siendo su objetivo
el desarrollar un modelo y una gua para las especificaciones de calidad del software,
participando todas las panes involucradas en la negociacin sobre los requerimientos.
Cuando se identifiquen los puntos dbiles, los auditores debern tomar una
actitud positiva y utilizar sus conocimientos y experiencia para hacer recomendaciones
constructivas. En realidad, una funcin del auditor e s pactar la idoneidad de cualquier
accin correctiva propuesta. Este papel, si e s usado adecuadamente, es uno de los
vnculos ms valorados entre las pones.
Para satisfacer los requisitos de calidad es necesario conocer las Necesidades del
Chente. stas vienen dadas por estos tres parmetros:
Una vez alcanzada esta repetitividad de los procesos y teniendo ekm entos para
ncds los atributos de los producios obtenidos, trataremos d e ir refinando el modelo
del proceso para reducir los defectos entregado (definiendo defecto ccmo cualquier
variacin de una caracterstica estableada que origina el incum plinicnto de las
xcesidadcs del cliente con la consiguiente insatisfaccin del mismo).
Segn el estndar IEEE 1028. incluimos una tabla en la que se seiValan los
prcipales Procesos para conseguir Objetivos d e Calidad.
www.FreeLibros.me
XJl AMMTORU INFORMATICA UNKXKXXJHfHACIKX)_______________________
Inspecciones. Waltilirougli
Auditora
V y
AM BOS
Cualquier proceso estndar licne uims condiciones como prerrequisiias: %tas son
*cccsjn*s. aunque no .son suficientes en si mismas para que el proceso quede
completado. Para las revisiones las auditoras las condiciones son:
5. Criterio de comienzo. La necesidad para que una auditora se inicie debe ser
por uno de tos siguientes sucesos:
www.FreeLibros.me
CAPTULO 16 AliDTTORtA PC LACAUDA WT
6. P roctdim itnM s:
6.3. P rep arac i n . Los siguiente puntos son requeridos pura la preparacin dd
equipo de auditora:
Adicional mente el lder del equipo d e auditora deber hacer los preparamos
necesarios para:
www.FreeLibros.me
ca OTv l u i auihtoh U w . i a CALIDAD 1>V
6.4. E xam en. Los elem entos que han sido seleccionados para auditarse debern
valorados en relacin con el objetivo y criterios d e la auditora. Las evidencias
debern ser examinadas con la profundidad necesaria para determinar si esos
elementos cumplen con los criterios especificados.
6.5. Inform es. A continuacin del examen d e auditora, el equipo auditor deber
cutir un borrador del informe de auditora a la organizacin auditada pora su revisin
y comentarios.
6.6. C rite rio d e term in aci n . Una auditora debe -ser considerada temutali
cuando:
6.7. Salidas. Com o un marco estndar para los informes, el informe borrador de
auditora y el informe final d e auditora, debern contener como mnimo, lo siguiente:
1. Todos los programas de trabajo. listas d e comprobacin, ele. con todos mis
comentarios.
2. El equipo de tcnicos.
3. Com entnos de las entrevistas as como d e las observaciones.
4. Evidencias de prueba* de conformidad.
5 Copias de los elem entos examinados con sus comntanos.
6. Informes borradores con las respuestas d e la organizacin auditada.
7. Memorndum del seguimiento si es necesario.
De ella vamos a describir dos de los procesos ms relacionado* con nuestro tema,
como son el Proceso de Aseguramiento d e la Calidad y el Proceso de Auditora, que
consideramos que contribuyen a completar una perspectiva ms amplia del tema que
nos ocupa.
Los procesos de aseguram iento d e la calidad deben ser coordinados con los
procesos indicados tic Verificacin. Validacin. Revisin Conjunta y
Auditoria.
Deber asegurar los procesos del ciclo de vida del softw are (suministro,
desarrollo, operacin, mantenimientos y opone, incluyendo el aseguramiento
de la calidad) em pleados para que el proyecto est de acuerdo con el contrato
y se ajuste a los planes.
Deber asegurar que las prcticas intentas d e ingeniera de softw are, entorno
de desarrollo y libreras estn d e acuerdo con el contrato.
Deber asegurar que los requerimientos aplicables del contrato principal sen
pasados al subcontratista. y que los productos softw are del subcontratisu
satisfacen los requerimientos del contrato principal.
D eber asegurar que los productos software y los procesos medidos estn de
acuerdo con los estndares y procedim ientos establecidos.
www.FreeLibros.me
CaHTMjO 16: AUDITORIA Dt LACAUDA!) M
Todos los recursos requeridos para llevar la auditora deben ser pactados por
las partes, stos incluyen personal d e soporte, locales, hardware, software,
herramientas y elementos complementarios.
16.10.2. Auditora
a) l.o \ productos softw are codificados ( u l como un elem erto softw are) reflejara
lo disertado en la documentacin.
d> Los productos softw are fueron sucesivamente probados y alcanzaron sta
especificaciones.
0 l-a documentacin del usuario cumple con los estndares tal como se tu
especificado.
esto convide ramo* que nos puede permitir tener una visin inv amplia a travs le los
distintos enfoque* que ilan d ic h normas sobre las Auditoras de Calidad.
Aunque somos conscientes de que el abordar una auditora slo con este bagaje
no es suficiente. Un buen auditor en Tecnologas de la Informacin necesita tener una
pila experiencia en las distintas funcione de dicha actividad, estar muy al da en las
distintas metodologas, procesos y herramientas que se emplean, d e forma que le sea
fcil detectar los defectos en los planes, en los productos y en los procesos, as como
esur capacitado para poder proponer recomendaciones.
Reconocemos que no e s una tarea fcil, pero precisamente por e llo es altamente
gratificante el alcanzar un xito que satisfaga los intereses, en muchas ocasiones
contrapuesto*, de las partes involucradas, consiguiendo de la entidad auditada el
reconocimiento de la profesionalidad del auditor al conseguir detectar los problemas
existentes y proponer soluciones, y de la p an e que promovi la auditora el conseguir
que se pueda conocer e n dnde residan los problemas que no permitan alcanzar los
objetivos deseables.
Pero debemos recordar que esta actividad n o e s un arte, vino una tcnica, y como
tal debe seguirse un orden y un mtodo en el que nada se da por supuesto si n o existe
una evidencia objetiva que lo acredita. En ese conjunto de evidencias se apoyaran
nuestras conclusiones, y de nuestra experiencia y b u n v h m - saldrn las
recomendaciones a proponer.
CAPTULO 17
AUDITORA DE LA SEGURIDAD
M iguel ngel Hamos Gonzlez
17.1. INTRODUCCIN
Para muchos la segundad sigue siendo el rea principal a auditar, hasta el pumo
de que en algunas entidades se cre nicialm entc la funcin d e auditoria informtica
p in revisar la segundad, aunque devpos se hayan ido ampliando los objetivos.
Ya sabemos que puede haber seguridad sin auditoria, puede existir auditoria de
ras reas, y queda un espacio de encuentro: la auditoria de la seguridad (figura I7 J).
y cuya rea puede ser mayor o menor segn la entidad y el momento.
Figura17.2.Auditoracom
ocontroldelcontrol
La expresin seguridad informtica, que e s la ms usada, puede llegar a
relacionarse, slo con 1 equipos y los entornos tcnicos, como si la informacin en
rm soporte* y ambientes no requiriera proteccin, cuando so* las propias
operaciones de la entidad, el negocio en entidades con nim o d e lucro, b que requiere
proteccin.
F.n cuanto a Ij Justificacin d e la a u d ito ra, que no parece necesaia en una obra
de este tipo, slo decir que tanto la normativa com o la auditora son tecesanas: una
Minora no basada en polticas de la entidad auditada (adems de Us normas pora
alizar la auditora) sera subjetiva y hasta peligrosa (aunque en sistemas de
formacin es una situacin habitual, que no normal); y la existencia de normativa sin
auditora podra equivaler a la no-existencia de la Guardia Civil de Trfico, lo que
bcrcmcntara los accidentes e ira conviniendo la circulacin en catica y peligrosa.
www.FreeLibros.me
w; AMXfOXIA ISKMtMATIC'A liX KVKXH l; WtM-TKO
Volviendo al c ontro l, los grandes grupos de controles son los siguientes, adeab
de poderlos dividir en manuales y automticos, o en generales y d e aplicacin:
Controles directiv o s, que son los que establecen las bases, com o las poltica
o la creacin de comits relacionados o de funcione: d e administracin de
seguridad o auditora de sistemas de informacin interna.
Finalmente, querem os indicar que por la lgica lim itacin de espacio no ha sido
ponble detallar ins los puntos, ni incluir listas, que en todo cato sin evtar referidas a
u g n entorno y sector concreto y. por tanto, sin tener pesos, pueden dar resultados
dudosos si quien las usa no sabe adaptarlas e interpretar sus resultados.
Se incluyen las que con carcter general pueden formar parte de Im objetivos de
uta revisin de la seguridad, si bien sta puede abarcar slo parte de e la s si as se ha
determinado de antemano.
En una auditora de otros aspectos - y . por tanto, en otros captulos de evta misma
otra- pueden tambin surgir revisiones solapadas con la seguridad: a*i. a la hora de
retur los desarrollos, normalmente se ver si se realizan en un enlomo seguro y
protegido, y lo mismo a la hora d e revisar la explotacin, o el rea de tcnica de
miemas. las redes. la informtica de usuario final, las bases de datos., y en general
cualquier rea, salvo que expresam ente se quiera pasar por alto ti seguridad y
www.FreeLibros.me
U CXTOSIA IMmtMVnCA: UX m ACUCO
Para evaluar riesgos hay que considerar, entre otros factores, el tipo de
informacin alm acenada, procesada y transmitida, la criticidad d e las aplicaciones, la
tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y
el momento
Para ello los auditores disponemos de listas, que normalmente inclum os en hojas
c clculo, o bien usamos paquetes, y tal vez en el futuro sistemas exentos. El
problema sigue siendo la adaptacin d e los puntos a cada caso, y asignar el p eso que
puede tener cada uno de los puntos.
Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cafaa
d e proteccin se podr romper coo mayor probabilidad por les eslabones ms dta.
que sern k que preferentemente intentarn usar quienes quieran acceder de forma
autorizada.
En todo caso debemos transm itir a los auditados que. acems. la segundad ueot
un im pacto favorable en la imagen de las entidades (aunque esto *k> no web
justificar las inversiones), y tanto para clientes y posibles como para los emplala.
U nos y otros pueden sentirte ms protegidos, asi como sus activos.
Una vez identificados y medidos los riesgos, lo mejor sera poder eliminarlos,
pero ya hemos indicado que normalmente lo ms que conseguim os rs disminuir la
probabilidad de que algo se produzca o bien su impacto: con sistemas de deteccin, de
tincin, mediante revisiones peridicas, copiando archivos crticos exigiendo una
contrasea u otros controles segn los caso.
Algunos manuales hablan de tra n s fe rir los riesgos, por ejemplo contratando un
seguro pero debemos recordar que si se pterden los datos la entidid aseguradora
taara el importe estipulado - s i no puede acogerse a alguna cliusula e n letra
pequea- pero la entidad seguir sin recuperar los datos.
Algunos de los riesgos se han podido asum ir de forma temporil, por estar en
proceso "de cambio las plataformas, las aplicaciones o las instalaciones, o por no
existir presupuesto ante las grandes inversiones necesarias: en todos los casos debe
constar por escrito que se asumen y quin lo hace, y ha de ser alguien con potestad
para hacerlo, ya que a m enudo son tcnicos intermedios quienes asumen la
responsabilidad sin poder hacerlo, o bien los directivo* sealan a los tcnicos cuando
comtc algo *in jsicrcr oMimir ninguna rcpoiv*ubli<JuU.
por reas como por centros, departa memos, redes o aplicaciones, m como previ* a
proyecto, com o puede ser una aplicacin a iniciar.
Algunas de estas acciones se podran lardar en detectar, y tal vez las diferentes
copias de seguridad hechas a lo largo del tiempo estaran viciadas" (corruptas
decimos a veces), lo que hara difcil la reconstruccin.
Debe existir adems auten ticid a d : que los dalos o informacin sran autnticos,
ntroductdos o comunicados por usuarios autnticos y con las autorizaciones
cetarias.
Informe definitivo.
Riesgos a los que estn expuestos, tin to por agentes externos, casuales o no.
como por accesos fsicos no controlados.
Todos los puntos anteriores pueden, adems, estar cubiertos por seguros.
www.FreeLibros.me
17.6. A U D IT O R IA D E L A S E G U R ID A D L G IC A
Es necesario verificar que cada usuario slo pueda acceder a los recurso* a lo
que le autorice el propietario, aunque sea de forma genrica, segn su funcin, y coa
las posibilidades que el propietario haya fijado: lectura, modificacin, borrajo,
ejecucin... trasladando a los sistemas lo que representaramos en una m a tr 61
accesos en la que figuraran los sujeto: grupos d e usuarios o sistemas. Irn objeto* qct
puedan ser accedidos con mayor o menor granularidad: un ditca. una aplicacin, uta
base de datos, una librera de programas, un tipo de transaccin, un programa, un (90
de campo... y para completar la tripleta, las posibilidades que se le otorgan: lerttn.
modificacin, borrado, ejecucin...
Proteccin o cam bio de las contraseas iniciales que llegan en los sistemas, y
que a menudo aparecen en los propios manuales.
www.FreeLibros.me
CAPtnii.o i AUlHKHlUnEI-AtfcGtRIPAP W
La gestin de problem as y cam bios y la calidad son aspectos que tambin benea
que ver con la seguridad.
www.FreeLibros.me
17.9. A U D IT O R A D E L A S E G U R ID A D D E L O S D A T O S
Aunque los libros no suelen citarlo as. nos gusta hablar d e controles en k
diferentes puntos del ciclo de vida d e los d a to s, que e s lo que ha d e revisarse en la
auditoria:
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede
incluir preparacin, autorizacin, incorporacin al sistema: por el cliente, por
empleados, o bien ser captado de otra form a, y debe revisarse cmo se
verifican los errores.
En una ocasin hemos recomendado en una auditora que lis copias que
recibieran distintos directivos no fueran idnticas - s in afectar a su contenido
sustancial- a fin de poder detectar el origen de fugas o copias, que al parecer se
sospechaba que se venan produciendo.
Ea las polticas de la entidad debe reconocerse que los sistemas, roles y mensajes
tacsrutxlos y procesados son propiedad de la entidad y no deben usctsc pora otros
aes no autorizados, por seguridad y por productividad, tal vez salvo emergencias
oorcretas vi as se ha especificado, y ms bien para comunicaciones por voz.
Cada usuario slo debe recibir en el men lo que pueda seleccionar realmente.
Tipos de transacciones.
El c o rreo electrnico, tanto por privacidad (PGP. Prety G ood Privacy te coi
u o m lo mucho) y paro evitar viru com o paro que el uso del correo se*
adecuado y referido a la propia funcin, y no utilizado para fines particular,
com o se ha intentado hacer en muchas entidades y no siempre con xito, coa
otros recursos anteriores com o telfono, fax. fotocopiadoras. o el uso de lo
propios computadores.
Es uno de los puntos que nunca se deberan pasar por alto e n tn a auditora de
seguridad, por las consecuencias que puede tener el n o haberlo rev sad o o haberlo
hecho n la suficiente profundidad: no basta con ver un manual cuy ttulo sea Plan
de Contingencia o denominacin sim ilar, sino que es im prescindble conocer si
funcionara con los garantas necesarias y cubrira los requerimientos en un tiempo
inferior al fijado y. con una duracin suficiente.
Otros aspectos que hemos encontrado cotivo d e b ilid ad es a veces son: que e<ta
copia del propio plan fuera de las instalaciones primarias, que est previsto ejecutar
determinado softw are en un equipo alternativo, con identificacin especfica diferett*
de la del equipo primario que e s el inkialm ente autorizado; y que se tenga copa
accesible del contrato, tanto para demostrar algo al proveedor como para verificar leu
trm inos pactados.
Las fuentes estarn relacionadas con los objetivos, y entre ellas pueden estar.
A menudo los clientes nos ofrecen a los auditores externos tos interines de los
otemos o de otros externos anteriores, si bien nosotros en concreto preferim os
Miliarios cuando ya est en vas el borrador de nuestro informe para no vemos
fluidos.
Ser competentes en la materia (eguridad) Asumir encargos para lo* que no estn
En cada proceso de auditora se fijan los objetivo*, m bito > profundidad, lo que
sn e para La planificacin y para la consideracin de las fuentes, segn lo s objetivos.
m con de las tcnicas, mtodos y herramientas ms adecuados. El factor sorpresa
pede llegar a ser necesario en las revisiones, segn lo que se quiera verificar.
En I se harn constar los antecedentes y los objetivos, para que quienes lew d
informe puedan verificar que ha habido una comunicacin adecuada, as como qt
metodologa de evaluacin de riesgos y estndares se ha utilizado, y una breve
descripcin de los entornos revisados para que se pueda verificar que se han revisado
todas las plataformas y sistemas objeto d e la auditora.
Dependiendo de los casos ser preferible agrupar aspectos sim ilares: seguridad
fsica, seguridad lgica... o bien clasificar los puntos por centros o redes, espccsalmertt
en entidades grande* u existen responsables diferentes: en caso de duda ser un pumo
a com entar previamente con quienes van a recibir el informe, ya que con frecuencia
prefieren entregar, a cada uno la parte que ms le afecta, as como planificar y
controlar rea por rea o por departam entos la implantacin de medidas.
Alguno* de los pu ntos im p o rta n te s que pueslen llegar a estar en los informes
twpccto a seguridad, y sin que. se pueda generalizar porque depender de la entidad.
KCtor y circunstancias, pueden ser la ausencia de:
----------------------------------
www.FreeLibros.me
41 AUDITORIA IMOKMTtCA: UN ENFOQUE PRACTICO________________________
Para elk> ex til mostrar en algin informe -principalmente los auditores irwroos-,
algunos cuadros que muestren la evolucin, que en algunos casos ha sido til pan
demostrar la rentabilidad de una funcin com o administracin d e la seguridad o
auditora interna o para evaluar la utilidad de un plan de seguridad.
N o es tan comn pedir referencias de otros trabajos sim ilares com o en el cuo
de consultara pero se puede hacer, aunque para ello los auditores debieran
pedir permiso previo a sus dientes.
www.FreeLibros.me
CAPfRIO IT AUWTOKU P t LAStGUHIHAO 417
Finalm ente, a ttulo de curiosidad, en una ocasin se nos pidi que no figurara
la palabra auditora cn el informe final, porque haba aversin por el trm ino,
por asociarse en la entidad a los auditores con los verdugos: n o es un caso
aislado y e s im propio.
Recordemos que puede ser necesario dar o mostrar a los audiurcs todo lo que
necesiten para realizar su trabajo, pero nada ms, e ineluse lo que se les
muestre o a lo que se les permita acceder puede ser coa restricciones: slo
parte de una base de datos, epgrafes de algunas actas, o sim plemente
mostrarles documentacin, que no pueden copiar o no pueden sacar de las
instalaciones del die n te: se puede exigir una clusula d e confidencialidad, y
raramente se les deben mostrar dalos reales confidencial d e clientes,
proveedores, empleados u otros, aunque se haga en la prctica to n frecuencia.
Por otra porte, si la persona que oficialm ente administra la seguridad nicamente
incorpora usuarios y asigna contrasellas iniciales en uno de los sistemas, generalm ente
el ms importante, se trata de una labor necesaria pero en absoluto la nica, dndose a
veces una carencia de objetivos de seguridad, de modelos, d e planes de seguridad. as
como de seguimiento de transgresiones.
17.18. CONCLUSION ES
significativos. y cabe esperar que siga e*ia tendencia y las en tid ad vayan enien-
diendo cada vez ms la utilidad de la proteccin de la informacin y de la auditora.
Tam bin es cierto que han surgido bastantes entidades suministradoras que lu
incluido la seguridad y la auditora entre sus posibles servicios, o simplemente h a
aceptado trabajos, en ambos casos sin disponer de expertos, lo que con frecuencia ta
supuesto un desencanto en la entidad auditada, y a veces resultados penosos, que so
benefician ni a la profesin ni a la auditora misma.
Por otra parte, y as lo hemos indicado en el captulo, los auditados finales, y mis
los responsables de las reas que sus colaboradores, siguen en muchos caso to
entender la esencia y utilidad de la auditora, y su obsesin e s evitarla y. cuando y
inevitable, a veces eludirla o al menos no resultar entrevistados: como que el proceso
no fuera con ellos (es del responsable hacia abajo, pero exclusiva, como nos dijo ui
Director de Sistemas de Informacin en una ocasin), o tal vez para poder alegar <pe
ellos no han facilitado la informacin que figura en el informe final.
Por otra parte, hemos podido verificar que la auditora, su filosofa, as como s
tcnicas y mtodos, interesan cada vez ms a los responsables de Sistemas de
Informacin, a veces para conocer cmo pueden evaluar los auditores sus reas, pero i
menudo saber cules pueden ser los riesgos y q u controles implantar.
1.0 que ellos mismos pueden realizar no se puede considerar una auditora, mb
por falta de independencia que por desconocimiento de las tcnicas, pero si pueden
constituir unos autodtagnsticos muy tiles, especialmente cuando se realizan coa
ayuda de listas o herramientas adaptadas o adaptables al entorno.
En cuanto a nuevas reas, surge el auge del com ercio electrnico, el control de
pginas W EB : la revisin de quien autori/a. vara y controla los contenidos: en las
calidades por seguridad y productividad, y en tos hogares, aunque esto se sale d e la
aiditcra y queda en el control para evitar que los menores accedan a contenidos con
iolcacia o pornografa.
C A PTU LO 18
AUDITORA DE REDES
Jo s Ignacio Boixo Prcz-Holanda
La potencia del modelo OSI prov iene de que cada capa no tiene que preocupo
de qu e s lo que hagan I capas superiores ni las inferiores: cada capa se comuna
con su igual en el interlocutor, con un protocolo de comunicaciones especfico. Eatrc
cada por de capa N y capa N -l c s ti perfectamente definido el paso de la informacita.
que se produce dentro de la misma mquina, con m todos clsicos de programan!
en kxal.
IX* esta manera, se aslan los protocolos que se utilizan en unas capas con k
protocolos que se utilizan e n otras. Por ejemplo, e s posible innsm itir trfico TCPrtP
(capas superiores), a travs de Ethernet o Token-Ring indistintamente (captt
inferiores), gracias a esta independencia entre capas.
Com o regla mnemnica para recordar fcilmente el orden de las siete capas OSI.
suele utilizarse la frase "Formemos Esta Red y Todos Seremos Pronto Amigof*
(Fsico. Enlace, Red. Transporte. Sesin. Presentacin y Aplicacin).
En los niveles inferiores, habitualmente hasta el nivel tres, rs donde se definen las
redes LAN (Local A rca Xetwork). MAN (Metropolitan Area Network) y WAN fWide
Arca Network). Las funcionalidades d e estos tres tipos de redes son similares,
variando fundamentalmente la distancia que son capaces de salvar entre el emisor y d
receptor (LAN: dentro de un edificio. MAN: dentro de >in cim pus o zona urbana.
WAN: cualquier distancia), siendo la velocidad inversamente proporcional a la
distancia.
I-a red LAN ms extendida. Ethernet, est basada en q ic cada emisor enva,
cuando desea, una trama al medio fsico, sabiendo que todos los destinatarios estn
permanentemente en escucha. Justo antes de enviar, el em isor c pone a la escucha, y
si no hay trfico, procede directamente al envo. Si al escichar detecta que cero
emisor est enviando, espera un tiempo aleatorio antes d e volverse a poner a la
escucha. Segn crece el trfico, se incremento la probabilidad de que dos emisores
hayan escuchado que el medio est libre y se pongan a transmitir simultneamente.
En ese caso, se habr producidos una colisin y las tram as :nviadas se destruirn
mutuamente, crendose una alteracin que es percibido fin can en le com o colisin de
tramas. Cada em isor procede entonces a dar la tram a como no enviada y a esperar n
www.FreeLibros.me
C A rtu ro I AtUXTTft A OfcmOJCS *2i
tiempo aleatorio ante* de ponerte de nuevo a escuchar, exactamente igual que cuando
el nvedio estaba ocupado. I-s tecnologa de Ethernet (10 Mcgabits por segundo
Mbps). Fai Ethernet (100 Mbps) y G iga Ethernet ( 1.000 M bps) v batan cn el mismo
principio, incrementando sucesivamente la velocidad de transmisin La Ethernet fue
normalizada por el norteamericano Instilte o f Electric and Electronic Engincers con
el nombre IEEE 802.3.
o p ecialm ente diseftados, con lgica prcticamente cubicada, a muy alta velocidad,
desde los cien .Mbps.
I* Alteracin de bits. Por error en los medios de transmisin, una trama puede
sufrir variacin en pane de su contenido. I-a form a ms habitual de detectar,
y corregir en su caso, este tipo de incidencias, e s su fijar la trama coa ai
Cdigo de Redundancia Cclico (CRC) que detecte cualquier error y permita
corregir errores que afecten hasta unos pocos bits en el mejor d e los casos.
Dentro Je las reJe* locales, el mayor peligro es que alguien instale una "escucha"
no auton/ada. A l viajar en claro la informacin dentro de la red local, es
imprescindible tener una organizacin que controle estrictamente I equipos de
acocha, bien sean stos fsicos (sn if f c O o lgicos ("traceadorts"). Ambos
ocuchadores. fsicos y lgicos, son de uso habitual dentro de cualquier instalacin de
cierto tamao. Por tanto, e s furxlamcnial que esc uso legtim o est o>ntrota<k> y no
devenga en actividad espuria.
Hay un punto especialmente critico en los canales de com unicacioies que son las
contraseas Je usuario. Mientras que en el sistema de almacenamiento las contraseas
cien guardarse cifradas, es inhabitual que los terminales u computadores personales
se capaces de cifrar la contraserta cuando se enva al computador central o al
servidor.
www.FreeLibros.me
18.3. P R O TO C O LO S DE A L T O NIVEL
Com o protocolos <Ic alto nivel, los ms importante* por orden de aparicin en h
industria so: SNA. OSI. Netbios. IPX y TCP/1P.
System N tlw ork Architecture. Fue disertado por IBM a partir de los artos
al principio con una red estrictamente jerarquizado, y luego pasando a una trucan
m is distribuida, fundamentalmente con el tipo de sesin denominado LU 6.2.
asi
Fue disertado por el antiguo Comit Consultivo Internacional de Telooo*>
Telgrafos -C C T IT -. actualmente Unin Internacional de Telecomunicaciones -flU
bsicamente compuesto por las compartas telefnicas nacionales (llamadas KIT). 8
disertaron todas las capas, desde los medios fsicos hasta las aplicaciones
trasferencia de archivos o terminal virtual. Donde ha tenido xito es en el pro
de Ked X.25 y en el correo elecudnisv X.400.
N etbios
IPX
Una solucin que est teniendo xito es "encapsulax" un protocolo sobre otro.
Arf. el Netbios puede ser transportaste sobre TCP/IP: la capa inferior. Netbcui. puede
ser sustituida por TCP/IP. quedando el Netbios "cncaptulado" sobre TCP/IP. Sin
embargo, han de tenerse muy en cuenta las vulnerabilidades q je se crean al
capsular. En el caso de Netbios sobre T CP/IP son vulnerabilidaJes serias, pues
facilitan el tomar control rem oto de recursos que se pens que slo <e accederan en
fecal. confiando, al menos en porte, en la proteccin fsica.
Una vez ms. el protocolo TCP/1P demuestra en este caso su utilidad. Al haba
sido este protocolo disertado pora encontrar rulas remanentes, inclusive ame carta
masivas, est especialmente bien orientado para facilitar la reestructuracin de uru red
ante fallos de parte de sus componentes, sean stos lneas, n o Jos o cualquier otro tijo
de equipamiento. Cada vez m is se est orientando los e qiipos de red a manQ*
prioritariamente trfico TCP/IP y aadir facilidades de gestrin de sobrecargas, rx*
alternativas, tratamientos de contingencias y todo tipo de situiciones que aconteces a
una red en funcionamiento.
Ame el auge que est tomando el protocolo TCP/IP. como una primen .
clasificacin de redes, se est adoptando la siguiente nomenclatura para las role
b a sa d en este protocolo:
1
www.FreeLibros.me
CArtnitO I AUDITORIA PC RUX 4)1
Internet: Es la red de redes, "m etared" a donde se conecta cualquier red que se
desee abrir al exterior, pblica c insegura, de alcance mundial, donde puede
comunicar cualquier pareja o conjunto d e interlocutores, dotada adem s de
todo tipo de servicios de valor aadido. Infovfa es la Internet que sopona
Telefnica, con peculiaridades fundamentalm ente comerciales.
INTERNET
EXTRANET
Para proteger la red interna "Intranet Sel exterior vuele utilizarse el esquena
expuesto en la figura 18 .1. o bien variaciones del mismo. Se pane de la base de qse U
informacin que viaja entre la Intranet y e l exterior ha d e atravesar la "zocu
desmilitarizada" (DM Z de sus siglas inglesas), pasando por dos cncaminadores. Uo
encaminadr protege las accesos desde el exterior hacia la zona desmilitarizad!
(cncaminador externo) y otro protege los accesos desde la zona desmilitarizada hacii
la Intranet (cncaminador interno). En la zona desmilitarizada se instalan aquclka
servicios a los que haya que acceder desde el exterior y desde el interior, en m i
mquina especialmente segura, denominada bastin, que debe ser dedicad!
exclusivamente a este fin.
Para comprobar los controles de acceso desde el exterior, asi corno las
vulnerabilidades en la red interna, cortafuegos, servidores, etc. existen programas
especfico* ya comercializados, como por ejemplo SAFEsuite. Satn. Cops... que
facilitan esta tarca, comprobando la* vulnerabilidades ya cooocidai. Las nuevas
versiones de estos programas, que aparecen regularmente, incluyen comprobaciones
de las nuevas debilidades detectada*. Com o en el caso de los anti-vini*. *e deben
tener estos programa* actualizados a fecha reciente.
lista de control
Comprobar que:
En una primera divisin, se establecen distintos riesgos para >xs datos que
ceculan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
diurse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han
Joestudiadas los vulnerabilidades existentes.
Eb general, muchas veces se parte del supuesto de que si no existe acceso fsico
desde el extenor a la red interna de una empresa las comunicaciones inte t u s quedan a
alvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del
alee* han sido debidamente registrados, para c si lar estos accesos. Debe tambin
reprobarse que desde el interior del edificio no se intercepta fsicamente el cableado
ClMKteuo").
www.FreeLibros.me
m_AVDIJOKl\ INKWMAIK A I N I.MOQt'l IHAITX l
I.ista de control
* F.S. En las zonas adyacentes a las salas de comunicaciones, tudas las lneas
de comunicaciones fuera de la vista.
* F .I4. Las lneas telefnicas usadas para datos, cuyos nmeros no debee ter
pblicos, tienen dispositivos/procedim ientos d e seguridad tales ccoo
retrol lanuda, cdigos de conexin o interruptores para impedir accesx
no autorizados al sistema informtico.
Cada vez m is se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato comn que le* ute.
Ledo a la inversa, la red hace que un equipo pueda acceder legtim amente a cualquitt
otro, incluyendo al trfico que circule hacia cualquier equipo d e la red. Y todo cll
por mtodos exclusivamente lgicos, sin necesidad de instalar fsicamente runpit
dispositivo. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y. por
tanto, al resto de los e quipos d e la instalacin.
Contraseas y otros procedim ientos para lim itar y detectar cualquier inientodt
acceso no autorizado a la red de comunicaciones.
Luta de control
Comprobar que:
L.9. Existen contretes para que los dalos sensibles slo puedan set impresa
en las im presoras designadas y vistos desde los term inales autorizado.
I - 12. Existen anlisis d e riesgos pora las aplicaciones de proceso de dito >
fin de identificar aquellas en las que el cifrado resulte apropiado.
L .I7. Si en una red local existen computadores con ntdems. ve han rev iu d o
los controles de seguridad asociados para im pedir el acceso de equipos
forneos a la red local.
8. Qu es un "cortafuegos"?
9. Qu es un "gusano"?
CAPTULO 19
AUDITORA DE APLICACIONES
J o tf M ara M adurga Oteiza
19.1. INTRODUCCIN
Qu duda cabe que una meticulosa y exhaustiva auditora de una aplicacin
informtica de relevancia e n una empresa o entidad podra dar pie para poner en
funcionamiento la prctica totalidad de la extensa gama de tcnica y rica metodologa
de la auditora informtica.
Debo, por lano, aclarar de pan ida el alcance de este trabajo dentro del contexto
de la obra en que se integra: al contar con capitulo* especfico* dedicados a numerosos
pecio tcnicos y al resto de etapas de la vida de un sistema, incluso a su explotacin
j euntcninucnto. mi exposicin se iw a centrar en la fa se fin a l d e la vida d e la
aplicacin informtica, la de su funcionam iento ordinario, una vez superada la crtica
tupa de su implantacin, que habr cerrado el ciclo precedido por las de concepcin y
desarrollo.
grado de cumplimiento de lo s objetivos para los que Uts mismas fueron creadas: n |
carcter general. stos estarn en U lnea de servir d e eficaces herramientas operativa
y de gestin que potencien la ms eficiente contribucin, por pane de la I
organizaciones usuarias de las aplicaciones, a la consecucin de los objetivos I
generales de la empresa, grupo o entidad a la que pertenecen.
Este lu d io debi ser propuesto por los responsables del rea informtica
-contando siempre e n el diseo con la participacin de representantes d e la
organizacin usuaria-, m is a d o p o r personal d e auditora ruerna, y aprobado en
ltima instancia por la direccin de la organizacin usuaria, mxima responsable de la
aplicacin.
Quede bien entendido que. por muy completa que resulte la revisin que hagamos
de una aplicacin informtica y de los controles que incorpora, no e s suficiente para
garantizar la seguridad de la misma: sta se consolida con la realizacin d e una
evaluacin de los controles generales y una revisin de los controle de la funcin
informtica, que estarn recogidos en el Plan de trabajos de auditora informtica.
www.FreeLibros.me
19.3.1. Entrevistas
La entrevista debe ser preparada con rigor d e cara a sacar el mximo parti)
d c e lb .
19.3.2. E n c u e s ta s
En este caso, in embargo, s que hay que preparar un cuestin an o que pueda
ser contestado con la mayor rapidez a base de m arcar las respuestas entre las
posibles.
Aunque por otros medios puede llegarse a comprobar que la aplicacin functotu
con garantas de exactitud y fiabilidad, e s conteniente observar cmo algn usuario
hace uso de aquellas transacciones ms significativas por su volumen o riesgo: pjee
ayudar a detectar que. aunque el resultado final sea bueno y . por tanto, los controle
establecidos sean efectivos, la eficiencia no est en el nivel ptim o: no ex infrecuerfie
que un auditor experimentado identifique mejoras en este tipo de observaciones: desde
carencias del usuario o vicios adquiridos que pueden denotar falta de form acia, hasta
mejoras d e diseo que puedan aumentar la agilidad y productividad en el uso de U
aplicacin: recomendaciones d e opciones o valores propuestos por defcctti
sim plificacin de pasos, etc.
19.3.4. P ru e b a s d e co n fo rm id ad
19.3.6. U:io d el c o m p u ta d o r
Sin restar n i valor a estos productos, y desde la ptica del auditor interno, se
pueden obtener resultados similares haciendo uso de herramientas disponibles
en la organizacin y no necesariamente disertadas pora funciones de auditora.
Contando con una herramienta de interrogacin, un lenguaje SQL IStruciured
Q u tiy l/xnguagf). se puede acceder a la informacin y seleccionar la que
interese: su proceso posterior a travs de un gestor de base de datos, tipo
ACCESS o sim ilar, ofrece un potencial d e tratamiento prcticamente
ilimitado.
El primer reto con el que nos encontramos es el d e identificar las personas mis
adecuadas, en cada uno de los mbitos d e organizacin, p a n poder transmitir al
responsable de la auditoria el conocimiento ms amplio posible de la aplicacin, ves
fortalezas, posibles debilidades, riesgos c inquietudes suscitadas en tom o a ella.
Para cubrir esta etapa del trabajo de auditoria resulta til ccnfeccionar unas guias
que nos permitan seguir una determinada pauta en las primeras entrevistas y
contengan la relacin de documentos a solicitar lodos aquellos que ayuden a:
Hemos citado explcitamente slo unos cuantos docum eilos. por probenus de
espacio, relacionando los lugares comunes que deben a b rir . Adiciooilmeme
cualquier informe, comunicacin o acta de grupos de trabajo que pucdjn cstir
implicados en tareas de ingeniera d e procesos, crculos de calidad, raejea
permanente o cualquier otra iniciativa innovadora en e l rea de negocio a la que sirve
la aplicacin, sern de gran utilidad para el auditor en su cometido. Proceder en ate*
casos contactar con los responsables de tales proyectos, para potenciar las sinergia
que surgirn, enriqueciendo los resultados de todos.
i
www.FreeLibros.me
> CArtTl'LOt AUDITORA Pti AHJCAOOM3 4
l.a s h e rram ien ta s y m todos, entrevistas con los usuarios y lo* informticos,
servicios que se van a au d iu r. documentos que hay que obtener, etc.
A modo de ejemplo, sealaremos las lneas maestras (no serviran com o objetivos
mes por incumplimiento de los requisitos enunciados) de algunos objetivos que
fucilen establecerse en este tipo de auditoras de aplicaciones informticas:
1.1.Cum plimiento de los plazos previstos en cada una de las fases del
Proyecto: Estudio previo. Diserto. Programacin. Pruebas. Conversin
en su caso. Plan de formacin e Implantacin.
www.FreeLibros.me
4<0 Al'DtKXtlA INKHtStTlCA fX ENHXy^ PUACTIOO
La auditora de una aplicacin informtica, como toda auditora, debe ser objeto
de una planificacin cuidadosa. En este caso e s de crucial importancia acertar con el
comento ms adecuado para su realizacin:
Para la seleccin de ese lim itado nmero de centros en los que llevar a cabo d
trabajo de campo, conviene solicitar a la organizacin usuaria que lot
proponga, en base a razones por las que estime puedan aportar mayor valor rf
trabajo: vu participacin como pilotos en el desarrollo del sistema o en
proyectos de innovacin y mejora relacionados con el proceso, haber
experimentado recientes cambios organizativos o en su personal directivo que
puedan implicar riesgos adicionales, la existencia de indicadores de actividad
que se desvien significativamente de la media general, etc.
n ls refere ocia a ellas que algn comentario que la experiencia nos sugiere d e validez
p*r* cualquier auditoria.
19.5. CONCLUSION ES
Systems auditability & control, compilado por: T he Institutc o f Intemal Auditor*. lie.
Researcbed by: Stanford Research Institute.
10. Cree conveniente que el auditor tenga autorizacin para actualizar datos de
las aplicaciones que e sti auditando?
www.FreeLibros.me
C A PT U LO 20
A U D ITO R A IN FO R M T IC A D E EIS/D SS
Y A P L IC A C IO N E S D E SIM U LA C I N
-Ov tres conceptos introducidos al principio del capitulo exigen ciertas prccisknc*
para poner en perspectiva el planteamiento de este capitulo.
Los S ID [/5] y los SADfOSS) han sido, casi desde que se acuaron los trminos,
ccopafteros de viaje, aunque su tecnologa, grado de evolucin y nivel 4c uso no sean
prejos.
En los ltimos sitos, los SID (/S] parecen haberse estabilizado en su enfoque y
funcionalidades, como esquematiza el cuadro siguiente, y que se resume en: pie
accesibilidad y fcil uso.
Ttertaz Grfica | Iconos. irtuitiso. (tfctil. men dinmicos con cambio *ta-
activos, hipcrlcxlo. kipemiedio.
personal i/abte.
"Qery" sencillo. "tala drivea
Por jerarquas anidadas. ' drill-dohw*.
Los sistemas le ayuda a la decisin son tan antiguos com o la Him anidadv: los
racionales y eficientes, bastante m is modernos <y an poco aplicados) ,
En todo caso, los ejecutivos toman decisiones continuam ente" de forma poco
estructurada. A m me parecen particularmente interesantes dos aspectos: la baja
n u b ilid a d (a los datos, modelos, n u o o es y documentos), y la baja/nula
potabilidad (exigencia de responsabilidad por la decisin concreta) d re c u .
20-2-2.6.1.os actuales S A I * . )
Herramientas C alculadora
Estadstica descriptiva grfica t riattiva
en un intervalo).
I .'lujlmettt. una "opcin" de un S1DIEISI1
Cnectividad Soporte ofimtico C'dccisiooe* inmediatas!
Hay una gran variedad de tcnicas de sim ulacin combinables con la variedad de
lenguajes en que se pueden im pkm entar.
Entre los paquetes, aparte de una plyade de paquetes para fires especficos
-desde gestin de tesorera a distribucin en planta de grandes superficies, pasando,
por ejemplo, por optim izadores del proceso de produccin de cerveza-, hay tambin
tea gran variedad de paquetes de propsito general (horizontales, no especficos de
a funcin o sector): entre stos, por citar d o s1* tipos importantes, c stin los de
anulacin esttica y los de simulacin dinmica: y los deterministas y los
cstocscos. La tendencia (no justificable en este espacio) es hacia los dinmicos,
estocsticos c interactivos, y con una excelente interfaz grfica (GUI). Entre stos se
pueden citar: Arena. T aylor II, y W ITNESS1'. Todos ellos se caracterizan (en mayor o
menor grado) por una orientacin a objetos, una fcil programacin grfica, por
men*. y por cdigo de alto nivel (generado automticamente). Su potencia,
fletiblidad y facilidad <tr uso varan al igual que sus facilidades de "nrumentacin
Mema".
Los SID y los SAE se presentan frecuentemente juntos, como se ha dicho, por
tazones funcionales y comerciales, aunque estrictam ente- pueden tratarse de modo
independiente. En la figura de la pgina siguiente, se muestran conjuntamente.
www.FreeLibros.me
*U AUXtOKlA INfOHMTICA UN t.NtOQt'F PKACHC1)
Las "vistas (3) son la frontera entre los SID y los SA E: dependen del upo de
herramientas que se les apliquen: si no hay ninguna o son sencillas, nos qudame co
el SIO. si son ms complejas, posamos al SA D (4). Si se aplican paquetes de
sim ulacin [S] que rebasan las herramientas propias del SAD, estamos en una
situacin de SAD. pero usando otras herramientas y -cventualm ente- otras fuentes de
dalos [6].
Por lo que respecta a la A l de los S ID | /5 |. las tablas 20.3 y 20.4 resumen los
principales riesgos de control general y de aplicacin'*.
Entrad
- T : v.... ' -
Dependeocia 1c fuente muy dnpersav
M
Carencia Je controle normalizado obre fuente? externas.
Dificultad de controlar dato cualitativo.
Presin para introduccin de dato urgente, ante de >u rcvuio.
Accco no autorizado gracia a la interfaz fcil de usar.
Gestin de accesos compleja.
PTOCCSOS Rutinas de proceso complejas.
En el caso de herramientas estadsticas y de simulacin, el algoritmo, m
limitaciones, su aplicabilidad y u documentacai pueden ser uudecaaJa
o insuficiente*
l-a modificacin continua del logical puede inhibir controle *
mantenimiento y gestin de la configuracin
Carencia de procesos estructurados de desarrollo.
Sallis Se pueden enviar salid va e mail a destinatario! no autorizados.
La exactitud de las salida grfica es m difcil e serificar.
Trlecotnuni- El entorno puede ser internacional. con d ise ra i redes LAN. WAN. Ultra e
Objetis-o de Control
"La calidad de la evaluacin de ries
9.2 go* debe asegurarse coa un mttodo Arduo
jro
estructurado y con asesore* obre problema
nesgo que eln cualificado "
El enfoque de la evaluacin de
riesgo* debe asegurar la aceptacin
formal del riesgo residual, segn la
Evaluar Riesgo identificacin y medida del nesgo. la
poMtica organizativa, la mcertidum-
9.6 bre incorporada al peopto enfoque de
evaluacin del nesgo. y el ccme-
eftcacia de implantar salvaguardas y
control El nesgo residual debe com
pensarse con una adecuada oibenura
Augurar que
ododocu-
1 IM Pista o T n / de Auditoria memo impreso
o exportado
lese idcntii-
0SI1 Gestin de Dato
autor, vista".
*e*in. senan.
Keviu6n de Salid y Geuin de y -por defecto
i 11.15
indicacin de
-Bom SoT
lo de atemore
sersionesdckn
Control Otyn
litro) la visin
de oalooro
ceiMicante de
Obtencin de
m: (oranti
www.FreeLibros.me
Las condiciones en que se desarrollan los grandes modelos" (los que susientin
las grandes decisiones), son. con frecuencia, el contrapunto d e lo deseable desde
punto de vista de A I: encargados por altos directivos que se enfrentan a unas
disyuntivas, que suponen un caso singular y puntual, bajo presin poltica o
econmica, con premura y escasez d e tiempo, con datos a m enudo escasos y p x
validados, con una comprensin lim itada de los puntos fuertes y dbiles y de ka
condicionan les d e la modelizacin. aceptando la modelizacin como solucin, pero t
podiendo conceder tiempo o prestar atencin a anlisis de sensibilidad y i
"replicacionex .
51Que. en oxot ciun, no o occnulmnue im dtfwtito. uno uiu p tncai o o equipo e w (atuxc
10. Elabore listas de control para auditar algn sistema que conozca para d
desarrollo de aplicaciones de simulacin.
www.FreeLibros.me
C APTULO 21
A U D ITO R A JU R D IC A
I)E EN T O R N O S IN FO R M T IC O S
J o itp J o v tr i Padr
21.1. INTRODUCCIN
*
<fje
Euo es ata mis neecsano en aquella empeas que manipulan archivos ton tato* perweales y
so mpoovable e t persona) Je la prepaa m p e u . o bkn n i aquellas poicen dato* de sxoudai
Sfs k n i M' Grevile/ /birta cabe pooer en Ada que v a l lotoc* interno quien haga la aeditoeia (a
a cau. ya que puede vene coaKOoaado e* tu independencia profesional sujeta en elle cato * la
fachina Lahceal. al icr la propia empieva el mpomahle del arrimo, y fclrmii al no cumplirse uno de
k>principios fundamntalo de la prictKa profei>c*l de laauditnfa cual e la segregacita de funciones
pn (araKiiar 1* indcprndencu y objetividad del dictamen E p x eBo c u n o que las aiadiiotvn
niiras sean realiralu poe un jarou espeno, esiem.. a la orfaauaote a auditar y como coanecueocsa
teOo, imladerameate independeme
www.FreeLibros.me
La segunda patte est dedicada a los elementos del SOFTW ARE c incluye, entre
otros, el control de las licencia* de uno personalizadas, licencias de uso no
personalizada*. licencia de uso de cdigo fuente, desarrollo d e software y
mantenimiento d e los programas.
' Directiva del Cornejo <9l/2XVCt) de 14 de fruyo de 1991. relativa a la proteccin Jurifcca de
fesFh'fnmax dr Computador, DOCE. nm L I22M2. 17de mayo de 1991
* Ccnvemo de Berna, de 9 de acpucatac de 19*6. fwa la protecctta de 0*t Lucrara* y
Atacas. ifcnte ra Espilla ea la redacota del Acta de Partsde 24 dejato de 1971. ratificada medanle
aauner&> de 2dejulio de I97J. BOE. nfam 81 y 260. de 4 de abnl de 1974 y JOde octubre de 1974.
1 Ln eue KKidx MASSAGUER. J . "la adaptacin de la Ley de FY<5cdad Intelectual a la
todita CEF. relama a la proteecW*yartdtcade los programas de compuutloc'. m Jtrmw *11Dfmtm
HtKMtil. n* 199-200
" Onuco Pardo. G "lafcemtca y propiedad meledual". AcUahdoJ h^anaMKit Aran/nii. n* 19.
Unldf 1996
" Ea este sentido. MASSAGUER. i <y> cu
www.FreeLibros.me
4B AUtMTORlA IMORMATKW ENFOQUE PRCTICO___________________________ t l i B I
Por lo tanto, slo deberan acceder a los dalos "sensibles aquellas personas que
lean autorizadas, actuando la figura del responsable del archivo com o garante d e la
proteccin de los mismos. Frente a terceros, o incluso en el ejercicio del derecho de
acceso por parte de los afectados, el Responsable del Archivo e s quien, en algunos
icpjcstos. tambin lim ita temporal y parcialmente la obtencin de inform acin". Con
ello se evita el acceso indiscrim inado a los datos de la propia organizacin.
'* Asi. U LOPD estableceque el derecho de acceso v6k>podr ser ejercite en sunalos svfcnores
i doce mese. salvo que el afectado amdik un M r t i legitimo, ca cayo w podr ejercitarse a * i
(Aa 15de laLOCO) aru. 12 y 13del RD 1332/94)
' A ese sentido tamban cabe reccedar el articulo 20 I y 2 o 1 articulo 21 del Estatuto de los
TrabojaJoret "Articulo 20 Direccria y control de la actividad laboral I . El trabajador estad cMsgado a
untiai el trabajo CMieeat) bajo b deevcsn del cayresaro o persona ca quien ewe delegue 2 Ea
corrimiento de la cfehgKin de trabajar asumida en el contrato, el trabajadx debe al empresario la
dfigearu y lacolaboracin en el trabajo qat marquen lasdisposiciones legales, lo convenioscolectnos
j las(edenes o mstrucciones adcpalas pw aqul en el ejercacioregiabe de ua faoakades de dveccitfa j.
sudefecto, por losaso y costumbre En cualquier caso, el trabajador y el empresario sesometerin tn
**prestaciones reciproca a la engracias de b bseaa fe(...) Articulo 21 Pactode no ccacarreociay de
permanencia ea la empresa 1. No pxlrl efectuarse la penuci laboral de un trabajador piara diversos
aprsanos cnanto seestimecoanrreiKta desleal (...K
www.FreeLibros.me
i
</Q AWXTOHU IMOItUTKA: l?< ENFOQUEPlU tH W ___________________________ iim i
Los artculos 198 y 199 del mismo cuerpo legal inciden de nuevo en dicha
materia, pero esta vez de modo ms especficamente relacionado con el tema que nos
ocupa. El primero se refiere a la autoridad o funcionario pblico que. fuera de ka
casos permitidos por la Ley. sin mediar causa legal por delito, y prevalindose de se
cargo, realizare cualquiera d e las conductas descritas en el artculo 197"' (revelacin
'* Articulo 197. I. El que. para tktctfcnr kn victos o vulnerar U Kiiindad de otro, sin s*
creteeameiMo. e apofctr de wjs papeles, canas, mentaos de cont ctectrinKo o cualesquiera re*
documento* o efecto pcrveale* o intcrcepee > tetccommcaoceet o iltce artificio* temeo de
escucha. trammwte. pttsKion o rcfcodccin del sonido o de la invaden, o de cuaiquer a sckal de
coffMMcacldn. r castifadocon la pena de potito de uno acutero arto y mulla de doce a seinticuro
2. 1j r nM n pena* w uxipondrin al que. ua estar Maindu. se ipalm. vblic* o nnUifK. ea
pequera de tercero. dalo reseado de carfcter personal o familiar de tu que halle refnzradca n
archivos o soporte M m tfeot. electrnico o telemibco*. o ccualquier cero tipode archivoo rcpuie
pifebeoo ps-ado Ipulft pena e impondrn aqoacn. xaesur autorizado. acceda por raakfaacr medua
los imtsus y a quien kw alete o utilice en perjuiciodel iiCtar de k> dato*o de un tercero
. Se impondr b pena de (eltln de do a ooco artos M e difunden, revelan o ceden a terceros k
dalo o bechos dcubflot o la imljene captad**aque se refiere '> nmero aeeenorc*.
Sed castigado coa las persa de pnsWa de uno a tres aAo iratu de doce a vnrocualro mcies. el
que. con conocimiento de su ongea ilcito y sin haher tostado puw en se deiotirimicnio. realizara b
conducta detenta ea el pirrafoaMenc*
4. Si lo* hevtso descrito en tot apartados I y 2 de este articulo te realizan por la pttKoas
cncarjadat o rcpoasaNes de lo* n t n w , opotte infcemiuco*. eleetrCexo o telemkKos. archivos o
registro, se impor^ri la pena de pr5n de ero a coco arto*, y si se<Munden. ccdca o revelan lo*dan
reservado*, se impoadri lapenaen sa catad superior
www.FreeLibros.me
CApm io ! m i>iti ml \ n KUx< A i tvKmv<i\roKMTiaw w
fistos delitos los pueden cometer todos aquellos que revelen informacin o datos
de carcter personal contenidos en los bancos de memoria de la organizacin a la que
rven o en archivos de tratamiento automatizado a lo s cuales tengan acceso o
ctaocimicnto por razo de su relacin funcionarial. laboral o de sim ple arrendamiento
de servicios.
La pena para las conductas tipificadas en el artculo 198 del Cdigo Penal e s la
pteviita en el artculo 197 (oscilan entre penas de I a 3 aos d e prisin y 12 a 24
neses de multa y cuatro a siete aos d e prisin ms la misma multa, segn las divenas
conductas tipificadas en el articulo 197). ms la inhabilitacin absoluta por tiem po de
mis a doce aAos por tratarse de un delito especial, esto es, aquel que slo puede ser
candido por determinados sujetos, en este caso autoridad o funcionario pblico.
Es por todo lo anterior que en el contrato laboral que une a la organizacin con
a trabajadores ha de expresarse la garanta d e la confidencialidad d e las informa-
oooes propias de la misma. Especialmente debe precederse a exigir la confidencia-
Uad en el cano de manipulacin de datos de carcter personal. P.sa confidencialidad
es realidad necesaria tanto en el caso de gestin com o en el de mero acceso a Las
triquinas. A fecta a todos los empleados que puedan tener algn tipo de contacto con
hs mquinas, programas, instrucciones...
Una vez visto el material y las personas que lo usan debemos se r el objeto lgico
a auditar: la informacin. El auditor debe comprobar que. en relacin con la misma, se
cumplen los requisitos bsicos del derecho en general y d e los propios especficos ea
particular.
17 Rio deriva del articulo 7.1 del Cdigo Cml l l o i derretios drberil ejercitarte conforme a lat
cufcrKiM de la bucal fe) qe intptra noelio ordenanuecto ) que tamban n*.\tramo* i lo largode b
omoiiva mercantil pe rcmiua y especulmeme reforzadaen tu amculato x* el agravante deeu p t b
difagrtKa de n ordenadocomerciante.
" A petar de que hay que tener ea cuesta U eutfencu de pnncipiot olormadorct de legniacita
ligada, como, por ejcnffc. la Ley de Procecote del derecho al honcr. ala intmidad prnonai > familiar y
a lapropia mugen.
www.FreeLibros.me
r\rtnix > : Atinrronu ivridica t ixtornos i\iom\Tx~<>N .
Se debe almacenar de form a tal que permita de una manera fcil el ejercicio del
derecho de acceso de los afectados a la misma, com probando tambin el auditor que
su no se haya recogido por medios fraudulentos, desleales o ilcitos.
21.5.1.N iveles d e p ro te c c i n d e lo s a rc h iv o s
Estn incluidos en la ley todos los archivos que contengan infom acin o datos
personales salvo los que estn expresam ente excluidos, sea efectuada d e h a exclusin
por la propia ley. sea efectuada por remisin de la misma a regulacin especfica del
tipo de archivo de que se trate.
La figura del responsable del archivo ex creada por la LORTAD. que la define en
n artculo 3 como la persona fsica, jurdica de naturaleza pblica o privada u rgano
adanistrativo que decida sobre la finalidad, contenido y uso del tratamiento citado.
b) La obligacin de confidencialidad.
www.FreeLibros.me
Mfc MIXTOKiA INFORMTICA UN HMOQCF. CnCO___________________________ c*m
" Sejn <1 artculo 3 c) de la LORTAD el iectado e tepetuxu tuct tiluter de o dalo <^c mn
ckjru ic Intinuento i que te refere el ipart*&> el del m u ro minio fcl apartido <) define el
naeo de daos cot lat operaron > procedimiento* Mtnicm. de aric ta aiKmciMdo o no. <jur
fmtffl U recopdi. grahiofe. comersaclo. elaboracin. modifkxin. bloqueo ; canctU;in. atl
taro Ut cetina de dilo que resulten de conweicaocoet. cootulus. iWeror**KM i uantfereaciiv
www.FreeLibros.me
** AIDITORMINFORMATKA UK BKHXW PUACnCO
" la LOftTA eaaWece cotKrelamer* cundo utu ley dnpone otra cusa. cuando te recocen ea
fuentes accesible* al rsNuw tempe* qoe lo* ibk provengan de archivo* de titularidad potada qar k
revejan futa el ejercicio de la fuockmc propia de las AJauiiilncM et Pbbcav que w refiera a
personas vinculada por una relacin refcviaJ. laboral. kjmanistratita o un cnenlo > *ean t u r
pora el manieaMHoeeo de la rel*:iones o para el cumplimiento del ecoUtfo. que la cesafe que deba
efectuarse leagapoe dotiiutar el Detente* del PueNo. el Ministerio Fiscal o tos Jueces o TntwiaJeve*
el ejetCK de las foacioon que ttenca imbuidas. cuando b cesin K pmJuzca entre Ui
Adnrruuncimo RiMioi ea Sen opuestos peeviOos ea el Mtlolo 19 de la LORTAD. cuando la ceufr
de diiut de carcter penonai relatissn a la talud tea necesaria para otnomar una rpencia ge reinen
acceder a m archivo autumalilado. o para reak/ar los cOaVx cprdrmwlpcoi en lo tlrawaoi
etublecidm en el articulo Xde la Ley 1 I9M. de 25 de aboL General de Sanidad.
www.FreeLibros.me
( AFfTVIO : i : A lD m x U JlUtlMCA l: KNTOKNOSINFCBMAUCO*
Debe e vitan mi e llo que se siga con la negativa prctica habitual en la que no
se pide el consentimiento ni para el uso. ni pora la cesin, o no se clarifica suficiente ni
uro ni otro en la toma de datos (no se cum ple con el derecho a la infirm acin en la
recogida de datos). Tambin es frecuente encontrarse que en el derecho d e acceso,
(edificacin y cancelacin se est negando parte de la informacin que se tiene de un
afectado, de manera sistemtica y consciente, debido al origen irregula- por cesiones
citas que comportaran borrarlas para regularizar aadindose a los costes de
recogida y de regularizacin". Pero dichos costes son mnimo* si se comparan con Us
sancione* e indemnizaciones que hemos mencionado en la introdtKcin de este
trabajo.
factfcfta b Agencia es U dirocoto de laoficial o dependencia del responsable del arthito ame la <pr >
ejercen los denebn de acceso, rtctificanto y cancelacin Ea el responsable del archivo d <ftedpcae
de kn -latos y el que puile rec&ficarVMo caxetarto, o bsea dar acceso al afectado sobre tus dalos. La
lunato de la Agracia es informar al afccta&>pira que pueda ejercer lo derecho que la Le) Orginica k
reconoce. Parael casode<foe el responsable del arvhitu desatiendala solitud del afectadoesll presoli.,
comoberro cveaetacadoanteriormente. el ProcedimientodeTcela de Derecho.
www.FreeLibros.me
<~Artm .o:i AiPfroMA h u im ca oe tu re u M inkkmtwxw vi i
La informacin que recibe el afectado comprender los datos de base del mismo y
bi resultantes de cualquier elaboracin o proceso informtico, as c o n el origen dc
bt datos, los cesionarios dc los mismo* y la especificacin de lo* coacretos usos y
faalidadcs pora los que se almacenaron los datos, facilitndose la irformacin de
odo perfectamente comprensible.
21-6. CONCLUSIONES
a t-i> unciooe* owilan eme Lu 100.000pevlxv mnimo previno pxirj lu nfracciocKt kv. y t
OOCO Je pCNfli. oituT previno para U mj) grave Como <,'mp'o de 1 prirneu veAiU-n
Mu proceder a la rectificacin o cancctactfa t etrore o iscuebeedc o no cvmptir lat innnxviooc
iMCkntwr 6c ti Agracia Je Prrteccite de Dalos ni facilitar informacin. De I wguitlu. res'ordamot
U la rccog^i de Jaso* Je forma esgaAoui y fraudulenta o la centa de dao* fuera de lo
www.FreeLibros.me
50* AUDITORIAPKMUHAtlCA: UN ENFOQUEPRCTICO___________________________ t u
que es quien, en ltimo trm ino, decide si desea aplicar Ion medida* de adaptacita a la
legalidad que indicar el auditor.
Cada da son ms los que han entendido esta funcin del auditor jurdico y
someten su estructura informtica a examen con la intencin dc adaptar el mbito
informtico a los mrgenes de la legalidad. Y ello no tan slo como medida preventivi
dc costes econmicos sino tambin c o n fruto dc una incipiente concienciacin social
que propugna el respeto de los Derechos Humanos d e Tercera Generacin.
10. Qu legislacin conoce sobre derechos de autor que afecte al softw are?
www.FreeLibros.me
CA PTULO 22
A U D ITO R A IN FO R M TIC A
EN E L S E C T O R BA N C A R IO
Y no slo sos pueden ser los efectos d e una mala definicin o implantacin
las especificaciones de diseo. Aun cuando es general el concepto d e que k bancos
contribuyen a la actividad econmica de un pas como empresas d e servicios e d
mercado financiero, no e s tan com n considerarlos como entkdes suministrador de
servicios de informacin, si bien una im portante cantidad de sus recursos c mversjooes
a esta actividad. L os sistemas de informacin de bancos y entidades financieras
tienen, entre sus caractersticas particulares, la de constituir fuente de datos pira
mltiples agentes extemos. El negocio bancario se caracteriza porque sus procesos,
aun cuando no son excesivam ente complejos si se co m p ra n con lo de otra
actividades empresariales, estn lodos ellos muy interrelacionaSos. tanto dentro de b
propia organizacin financiera com o a nivel extem o. Com o ccrttecuencia. los efectos
de los posibles errores pueden tener repercusiones directas o indirectas en mltipla
niveles, en un abanico de posibilidades que van desde el mbito interno en exclusiva
hasta, en el peor de los casos, afectar a la informacin proporcionada a terceras,
principalmente, organismos pblicos y. sobre todo, clientes.
Uno de los valores que de forma colateral, y debido al m bito en el que acta,
ele aportar U auditora informtica en las entidad?) financiera ev la deteccin de
procesos obsoletos, ineficaces o redundante*, que no ato d en valor a h actividad de
Kgocio y. sin embargo. s suponen un coste. En el transcurso de su trabajo, el auditor
formfcico tiene la oportunidad de analizar los circuitos de informacin, los procesos
opencivos relacionados con los productos y tratamientos informticos, la bondad y/o
(ecuacin de los m ismos en relacin con el objetivo tericamente perseguido, y en
definitiva, proponer acciones de mejora que. sin menoscabo d e la calkiad real d e los
procesos, redunden en un mejor aprovechamiento de los recursos.
- Son reas en las que los aspectos de control tienen gran relevancia,
principalm ente en materia de prevencin de fraudes, as como en d
cumplimiento de diversas norm as emitidas por el Banco de EspaAa.
Destacan porque:
- I.ax salidas de informacin hacia clientes son escasas (sobre todo si se las
compara con las habidas en U s aplicaciones d e productos h n c an o s tpicos) o
www.FreeLibros.me
cA lta vo z: a ud uo e Ia istokm Atica en a . sector bancario >i >
- Los objetivos que te persigan con el trabajo y las razones que hayan motivad
mi realizacin. Probablemente, el contenido del plan de trabajo difiera en uta
auditora de revisin general d e un sistema d e aquella otra en la que e
pretende determinar el origen e aplicaciones de algunas incidencias delectada
e n una actividad concreta.
- Lo recursos de que se disponga para abordar la auditora.
- El nivel de documentacin del sistema a auditar, puesto que su inexistencia o
insuficiencia puede conducir en la prctica a que aqul no sea auditable.
En ciertas reas especificas. existen otras fuentes d e informacin que pueden ser
tambin de inters para el auditor, entre las que citam os a ttulo d e ejemplo:
- Antigedad de la aplicacin, aun cuando este dato tiene una doble valoracin,
ya que cuanto ms antigua sea m ayores problem as de obsolescencia,
presentar probablemente con procesos poco eficientes o redundantes,
especificaciones funcionales no cubiertas, etc.: pero al mismo tiempo, ser
presumiblemente ms fiable, en cuanto a la calidad de la informacin
procesada y generada, puesto que el sistema informtico estar tambin mis
probado.
Para finalizar este apartado, queremos hacer hincapi en dos aspectos que nos
parecen, relevantes. De cara a abordar la planificacin de trabajos, e s particularm ente
importante que el auditor sea receptivo a las propuestas recibidas de cualquier
estamento de la organizacin, puesto que son los propios usuarios d e los servicios
informticos los que mejor suelen conocer - y en ocasione padecer- los sistemas de
informacin que utilizan.
Junto con ello, otro de los factores que consideramos crtico es la sensibilidad del
auditor hacia el error, esto es. hacia aplicaciones, procesos y datos que estn dando
maestras dc errores, quiz no muy numerosos, ni muy importantes si se consideran de
forma aislada, incluso pueden ser de tipologa diversa y aparentemente no
relacionados, pero con la caracterstica comn en todos los casos de que se producen
de manera continua en el tiempo. Situaciones com o la descrita suelen terminar
poniendo de manifiesto tras la realizacin de la auditora debilidades importantes en la
aplicacin, en una o m s reas: especificaciones funcionales poco definidas o mal
implantadas, debilidades de control en los procesos, diseo defectuoso d e la
aplicacin, mantenimiento deficiente dc los programas informticos, insuficiente
documentacin y conocimiento de la aplicacin por parte del personal informtico
encargado del mantenimiento, etc.
instancia del objetivo que pretenda cubrir el trabajo y d e U s razones que hayu
aconsejado su realizacin.
As, si la auditora pretende obtener una visin d e conjunto acerca del estado de
una aplicacin, al objeto d e determinar si existen razonable* garantas de que los
tratamientos informticos son correctos y la informacin generada tiene la calidad
suficiente, e l programa de trabajo probablemente se limitar al estudio de leu procesos
m is relevantes de la aplicacin. Podemos decir que. en la mayora de U s aplicacin
que soportan directamente productos bancarios. entre las actividades que casi sietnpee
sern objeto de revisin se encuentran los procesos de liquidacin, contabilizacin y
periodificacin contable.
Una vez seleccionados los procesos en los que se centrar la auditora, y siempre
y cuando los recursos disponibles as lo permitan, e s aconsejable revisar dichos
procesos desde un punto de vista integral, contemplando todas las facetas desde la
generacin del dato hasta la obtencin de las diferentes salidas de informacin, puesto
que e llo le permitir al auditor detectar debilidades que. d e otra forma, posarn
inadvertidas.
Comprende la revisin de las funcione que realizan los programas por medio del
estudio del cuaderno de carga y cualquier otra documentacin que d e ellos exista.
Incluye tambin el anlisis del propio cdigo fuente de los programas, la realizacin
de pruebas sobre ellos y la verificacin d e que cumplen con las especificaciones
funcionales definidas.
www.FreeLibros.me
5 AUDfTCmlA KVH)RMATK'A: UN ENFOQUE PBACTKT>
Dado que la revisin d e programas es una tarca que consume muchos recursos, ti
auditor deber seleccionar cu idadom ente los programas y ratinas objeto d e revixife
centrndose exclusivamente en aquellos que sean crticos. Sin embargo, este
procedim iento presenta la ventaja d e que si el auditor e s hbil y experimentado, le
permite detectar la presencia de caballos de T roya y errores en la intcrpretacifo
prctica de ciertas especificaciones funcionales.
Son quiz la mejor herramienta de trabajo del auditor, puesto que le facilita
descubrir de una manera muy eficiente ciertas anomalas en el funcionamiento de la
aplicacin. Se distinguen las siguientes variantes:
- Realizar un seguimiento peridico del nivel d e cum plim erio del plan de
trabajo y evaluarlo a la luz de los hechos que se vayan poniendo de manifiesto
en el transcurso de la auditora. En ocasiones, puede ser interesante introducir
modificaciones en el plan inicial y el auditor debera utilizar su lgica para
decidir al respecto cuando:
- Cuando los usuarios de la aplicacin hayan dejando sentir sus dudas acerca de
un adecuado funcionamiento de la aplicacin en algn aspecto concreto, d
auditor debera obtener una relacin documentada de las distintas incidencias
existentes, para, a continuacin, proceder a averiguar sus causas.
Com o una consecuencia lgica de las funciones que realiza, una entidad
financiera dispone de diversa informacin acerca d e la situacin patrimonial y
personal de cada uno de su* clientes.
Los principales riesgos a los que hace frente la gestin de la infonracin son los
ptales:
1.a combinacin formada por el valor de la informacin y los riesgos a que ctti
expuesta, han propiciado la apancin de d ise n a s regulaciones para protegerla cwyo
cumplimiento forma parte del mbito de revisin de la auditora informtica.
Existen dos factores que. d e manera especial, creemos deben ser tenidos en
cuenta al abordar cualquier trabajo de auditora relativo a la calidad (entendida sta en
su ms amplio concepto) de la informacin En primer lugar, est el hecho dc que
cada vez en mayor medida existe dentro de las organizaciones una elevada difusiva
interna dc los datos que puede llegar a motivar que una misma informacin resida a
ms dc una ubicacin con medidas dc seguridad que deberan ser homogneas. Ka
segundo lugar, el auditor debe ser consciente dc la riqueza que presenta la informante
a medida que sta va siendo agregada, comparada con otras fuentes de datos y
estudiada evolutivamente.
El artculo 9.1 de la LORTAD establece que ~el responsable de los dalos deben!
adoptar las medidas de ndole tcnica y organizativa necesarias que garanticen la
seguridad de los dalos de carcter personal y eviten su alteracin, prdida,
tratamiento o acceso no autorizado, habida cuenta d e l estado d e la tecnologa. la
naturaleza de los datos almacenados y las riesgos a que estn expuestos, ya
prevengan de la accin hum ana o d e l m edio fsico o natural
Controles de respaldo:
Las entidades de crdito solam ente podrn tratar aquellos datos personales. no
especialmente protegidos, q u e sean estrictamente necesarios para relacionar ri
contrato de prstam o con e l contrato de seguro d e vida celebraan como consecuencia
de aqul o que estn justificados p o r la intervencin d e la emulad d e crdito como
agente o tom ador d e l controlo de seguro. "
* El comprom iso del banco de que los datos que proporcione el cliente sern
exclusivamente cedidos a la entidad aseguradora.
CA PTU LO 23
A U D ITO R A
IN FO R M T IC A EN E L S E C T O R A R E O
23.1. INTRODUCCIN
Por hacer un poco de historia podram os decir que e n el mundo informtico del
itttor areo los aspectos jurdico no han tenido un gran im pacto en el desarrollo dado
qae apenas existan y este sector estaba monopolizado por las empresas fabricantes dc
hardware y los productos y aplicaciones softw are en las que se basaba el tratamiento
de los datos y en las facilidades que ofreca el sistema operativo d e sus mquinas.
Los aspectos sobre los que se realizaban trabajos dc auditora eran los clsicos de
materia econmica y financiera sobre los exudes, aparte del modo operativo, haba que
cumplir requisitos obligados que estaban reglamentados por los organismos oficiales
del pas. N o obstante, dentro del sector haba que cumplir la legislacin internacional
correspondiente.
Cuando el mundo de la auditora se dio cuenta dc que los datos eran manejados
por sistemas informticos, naci la auditora informtica, la cual iba ms dirigida a la
organizacin del centro proceso dc dalos y a la custodia de los datos en dispositivo*
magnticos cumpliendo con la legislacin de guardar la informacin al menos cinco
1.a* lneas areas europeas no podan quedarse atrs ante el empuje americano y
se constituy como sociedad annim a AMADEUS GLOBAL TRAVEL
DISTRIBUTION. viendo los socios actuales Air France. Iberia. Lufthansa y
Continental Airlines.
Al sistema se pueden adherir tambin los proveedores de los servicios con el fin
de que se puedan hacer reservas por medios informticos para: compartas de lneas
areas, servicios hoteleros, compaas de alquiler de coches, mayoristas de viajes,
floristas, y un largo etctera. Estos proveedores pueden estar directamente conectados
o no. pero su informacin s debe estar en la base de datos de AMADEUS.
La suma total de los im pones de cada uno de los tram os los abona negramente a
fik n emiti el billete, en este caso con el logo de IBERIA y a trav d e la red de
SAVIA, con la r e se n a en cada una d e las compartas areas que efectuarn el
correspondiente traje lo contratado.
www.FreeLibros.me
S AlDTTORlA INFORMATICA UN LNTOQ tl. mACTKO
Lgicamente cada una de Mas deber recibir e l importe del trayecto en el cual ha
sido transportado el pasajero que pag el importe por su reserva y em isin del billete.
Para evitar el fraude. IATA facilita un control numrico del stock de billetes que
se adjudica a cada compaAta area y Agencia de Viajes y que slo son vlidos pan
aquellos miembros asociados a la citada organizacin, siendo esta numeracifa
incorporada a los datos del pasajero para saber el billete que te le entrega con los
trayectos que solicit y la o las tarifas que abon.
Esta informacin con la que incorpora los datos de la reserva efectuada figura en
la base de datos.
6) Es necesario proteger los datos y su difusin tanto los privados del pasajero
com o datos comerciales sobre las compartas areas participantes. Con
respecto a dicha difusin se establece en concreto que:
Al poseer los datos de k billetes de todas lis compartas que se emiten por el
orienta informtico de IBERIA, aunque no se participe en el itinerario del mismo, hay
q x presentar toda la informacin necesaria que demuestre que n o se hace uso
comercial de dichos datos ni se deriven prcticas que alteren la libre competencia.
Las aplicaciones informticas a las que se les practica la auditora son dos.
procesndose en plataformas informticas diferentes.
Proceso BSP. Desarrollado para grandes sistemas IBM. Los dato* econmico*
del billete dc vuelo son tratado* en procesos de facturacin y administracin contable
y dc preparacin para ser remitidos al Centro d c compensacin para la facturacin
entre compaas areav
Existe una empresa nacional de BSP que rene los datos correspondientes de
IBERIA mediante proceso de captacin d e la informacin por medio dc transmisin
de archivos y tambin de las otras compartas areas nacionales y agencias de viaje
pira ser transferidos al centro de compemacin en Ginebra.
control del billete, control de stock del billete d e informacin para el BSP.
T odo ello pora la em isin del billete d e vuelo.
A) Datos personales
B) D atos BSP
DiDocumentacin
Por su pane los auditores instalan procedim ientos y medida* administrativas con
d fie de asegurarte la seguridad en los dalos del billete, cubriendo la separacin de
evos s e n icios y principalm ente de cualquier funcin d e in*ntario. entendiendo que
AMADF.US facilita los mismos conceptos a todas las compartas aire as conforme se
detalla a continuacin:
Procedimientos de auditoria
Seguridad Fsica.
Sistema* de seguridad e integridad.
Medidas de seguridad en la* Aplicacioncs y su* dalos.
Seguridad en el desarrollo de la Aplicacin.
Seguridad Fsica
Solamente los term inales instalados en H elp Desk estn permitidos para
usar estas facilidades, esto se asegura utilizando las tablas de identificacin
de los term inales vfa la definicin de tablas de configuracii en e l software
de comunicaciones.
23.7. CONCLUSIONES
Problema t
Dejar bien claro en los aspectos contractuales con las Agencias de Viaje y
Com paas areas que se incorporen o la base de datos d e IBERIA I
obligaciones y responsabilidades de cada pane segn la legislacin naciocul e
internacional.
Soluciones
2. Qu e s AM ADEUS?
CA PTULO 24
A U D ITO R A
IN FO R M T IC A F.N LA A D M IN IST R A C I N
24.1. INTRODUCCIN
Constituye un juicio de valor generalm ente aceptado decir que las Tecnologas de
U Informacin y de las Comunicaciones (TIC) se han venido u.ilizando en la
Administracin espartla, desde los inicios del proceso de "mecamacin" en los aos
sesenta hasta entrada la dcada d e los noventa, para mejorar su funcionamiento
utiemo. dejando de lado (salvo en excepciones que confirman la regla) su aplicacin a
lis relaciones de I# Administracin con ciudadanos y empresas.
Los dos preceptos esenciales pora comprender e l papel asignado a las TIC en 1
procedim iento administrativo por la Ley 30/1992 son el artculo 45 (Incorporacinde
medios tcnicos) y el 38 (Registros). Existen otros en los que se contienen mandilo*
que afectan a la utilizacin de las tcnicas E IT por porte de las Administracin
Pblicas. Se trata, principalmente, d e' los que se refieren al acceso a los registros y
archivos, a las comunicaciones y notificaciones, al derecho a n o presentar documentos
que ya se encuentran en poder de la Administracin actuante, a la validez y eficacia de
documentos y copias o a la Informatizacin de registros.
- Cuando ello sea compatible con los medios tcnicos d e que dispongan las
Administraciones Pblicas. N os encontram os aqu, por tanto, ante un
problema de normalizacin.
- El apartado 4. que se aplica slo a los programas y aplicaciones EIT que vayan
a ser utilizados por las Administraciones Pblicas pora el ejercicio de sus
potestades, exige que estas aplicaciones sean previamente aprobadas por el
rgano competente, el cual debe difundir pblicamente sus caractersticas.
lista instalacin e n soporte informtico es una condicin necesaria para que los
registros puedan llevar a cabo lo que podemos denominar funciones regstrales
modernas, que vienen a aftadirsc a las bsicas del sistema administrativo registra!
cspaAol. constituidas por:
Ms adelante trata una. serie de supuestos concretos en los que se exige un grado
6t proteccin ms elevado (Arts. 5 a 8) y que se refieren a:
24.5.1. G a ra n ta s d e s e g u r id a d d e s o p o rte s , m e d io s y
a p lic a c io n e s
Art.4
Requisito:
A rt6 .l
Requisitos:
De autenticidad de la voluntad
A rt. 6.2:
Requisito:
A rt. 7.1
Requisito*:
Alt. 7.2
Art. 7.3
Requisito:
Art. 7.4
Las fechas de transmisin y recepcin acreditadas en las comunicaciones
reseadas en los apartados anteriores sern \dlidas a efectos d e cmputo de plazos y
trminos, a cuyos efectos se anotarn en los registros generales o auxiliares a que
hace referencia e l artculo 3 8 d e la Ijey 30/1992. de Rgimen Jurdico de las
Administraciones Pblicas y del Procedim iento A d m inistratno Comn.
Requisitos:
A r1 .8 J
Requisitos:
Art.lU
E l acceso a los documentos almacenados por medios o en soportes electrnicos,
informticos o telemticos se regir p o r lo dispuesto en e l artculo 3 7 d e la Ley
W I9 9 2 . de Rgimen Jurdico de las Administraciones Pblicas y del Procedim iento
Administrativo Comn, y. en su caso, p o r la Ley Orgnica 5/1992, de Regulacin del
tratamiento autom atizado de los datos d e carcter personal, a s como en sus
correspondientes normas de desarrollo.
Requisitos:
Art. 8.4
Requisito*:
24.7. C U E S T IO N E S D E R E P A S O
CA PTU LO 25
A U D ITO R A
IN FO R M T IC A EN LA S PYV1ES
25.1. PREMBULO
F.I presente capitulo pretende ser una contribucin que se sume al esfuerzo por
seguir una mayor rentabilidad de lo* sistema* de Informacin en las em presas y
os concretan tente en las denominada* PYMES (Pequeas y Mediana* Empresa*).
La importancia de las PYMES viene dada ante todo por su nmero - m is de dos
mitones de empresa* que conforman el tejido em presarial- a s como por su
paeacialidad. ya que constituyen la base del desarrollo em presarial, siendo una fuente
4e generacin del 170% del empleo total en Espaa. Si analizam os la situacin
(apretara) e n los pases iberoamericano* integrados en la OCDE comprobamos que
b situacin relevante de las PYMES es muy parecida a la espartla, con una
aportacin al PIB del 40% al 50%. A la vista d e estos datos, ex un hecho por fin
uimdo por todos los estam entos pblicos y privados de la sociedad actual la
necesidad de reformar la c o m p etiv id ad y rentabilidad de la* PYMES favoreciendo su
labilidad y la que stas aportan a la economa. Para contribuir a ello, el primer paso
abordar su problemtica interna: su propio funcionamiento: y dentro del mismo, los
edemas de informacin que han d e permitir la gestin y seguimiento de las
principales variables del negocio, facilitando la correcta toma d e decisiones,
otamizarxlo riesgos, y consiguiendo de este m odo ampliar su competitividad en un
aereado cada vez ms abierto y liberalizado.
www.FreeLibros.me
V* M tHTOftlA IVKKMATH A IV tNHXJlli PRACTICO
25.2. INTRODUCCIN
suficientemenie aproximada del estado de mis sistem a', podiendo abordar, en caso
necesario, un esiudio m is intenso o especializado de los mismo. Resulta, pues, un
enfoque de Auditoria Interna tomando como base que la informacin es un activo ms
de la empresa y como Auditoria Informtica:
Tal y como el ttulo indica, esta gua est orientada a las Pequeas y Medianas
empresas, y dentro de las mismas, a los responsables de los sistemas d e informacin,
gerentes, directivo o auditores.
Consideram os que esta gua puede ser d e gran utilidad a la hora de examinar y
potenciar los sistemas de informacin y. en consecuencia, para mejorar
substancial mente la gextin y control de la propia empresa
25.2.3.Conocimientos necesarios
Segn algunos ouiorc-, no rCMilta necesario tener conocimicnto informtico
para realizar una auditoria informtica mediante la tcnica utilizada en esta guia
(CHECKLIST). N o obstante, creemos necesario un mnimo de form acin especfica
pira, al menos, saber qu e s lo que se quiere analizar as com o algunos conceptos no
o resulten excesivamente extraos. Fundamentalmente esos conocimientos sern de
la ndole de:
- Minicomputador.
- Red Local.
- PC.
www.FreeLibros.me
ito AHOfTWlA INTOKMnCA: UN EMOQt^ PRACTICO
- Perifricos.
- Software de Base.
- Eficacia de un servicio informtica.
Seguridad Lgica.
- Seguridad Fsica.
- Ele.
Dicho enfoque es, a nuestro entender, el ms lgico, puesto que son los citad
entornos los que se utilizan (quiz en casos determinados con alguna caracterstica
especial) en los crculos de la pequea y mediana empresa.
I-Os riesgos en cuanto a seguridad fsica comprendern lotks aquello que acten
sobre el deterioro o apropiacin de elementos de informacin d e una forma meramente
fsica.
por lo que cualquier anlisis debera ser comenzado con las misnas.
www.FreeLibros.me
C A rtm u m auditor !* p>KMAncA es las i -vm i .n st
25.3.2. V a lo r a c i n d e r e s u l t a d o s
1
CONTROLES S NO N/A
CONTROLES .SI NO _ N /A
la pregunta del ejemplo, medame el nm ero de horas extras del personal, hora de
trabajo dc los equipos, o simplemente mediarne observacin personal en los casos qa
fuera posible. Una v e / finalizado el cuestionario se sumarn los valores dc la cavilla
S y se restarn los del NO . lo que iwvs dar un valor que podremos comparar con lo
estndares del cuestionario (que el usuario habr valorado en un principio).
Por ltim o existirn algunas cuestiones que no tengan valoracin, sino que ira
acompaadas dc un asterisco. Estos controles son considerados de alto riesgo, y por
tanto indispensables. La idea es que un sistema sin estos controles podra abocar al
desastre informtico y en algunos casos al desastre de la empresa. En ocasiones no st
da la debida importancia a los mismos y solamente se ponderan en lo que valen al
ocurrir el problema. Por tanto insistimos: estos controles debern tenerse taoy en
cuenta a la hora dc realizar la evaluacin y. e n caso dc inexistencia, dar primada a ni
implantacin.
CONTROLES Si NO N/A
Existen planes a largo plazo para el departamento de informtica.
Valore la conexin de esos planes con los planes generales de la
empresa.
Cubren los piares del D.l. los objetivo a largo plazo dc la empresa,
valrelo.
Existen planes a largo pia/o pira el departamento de informtica.
Valore la conexin de esos planes con los planes generales de la
CONTROLES S NO N/A
Valore U celeridad en U implantacin de las recomendaciones del
comit informtico
Qa importancia le asigna La direccin de la empresa al comit/
direccin de informtica
Valore la coagrucrxia entre lo* plan a largo y corto plazo del 0 1.
Sea adecuados los recxirsos asignado* al D.I. para cumplir con los
cbptivos a corto plazo
Exisie una adecuada tia de comunicacin y control de cumplimiento
dc objetivo a corto y largo plazo por parte de la direoesft.
-
Valore L> precisin en el cumplimiento de los planes a corto plazo del
D.L
Exilien poltica* para la planificacin. control y evaluacin del D I.
Evatte la integracin de las directivas de poltica de alia direccin en
HD.I.
Existen estndares que regulen la explotacin de recursos del D.l.
F.iaJe la calidad y vigencia de lo> lindares de expiotaon de
lecursot del DJ.
Liale el cumpl menlo de los enlodares de explotacin de recursos
del D I
Eusten procedimientos sobre las responsabilidades, peticiones de
servicio y relaciones entre los diferentes departamentos y el D.L
Dichos procedimientos estn adecuadamente distribuidos en los
Aferentes departamentos.
Evale 1 cumplimiento de dichos procedimientos por pirte de los
COVTROI.F.S Si NO N/A
Existe una descripcin po escrito (manual de operaciones y
procedumcMos) de cada puesto de trabajo cu lat difcrenics unidades
de D I?
La desenpesn del poesto de trabajo incluye definiciones de
coaoaintcMo y pericia tcnicos''
Los manuales de operaciones y procedimiento pasan una revisin
mnima anual?
lixivie un mtodo de evaluacin para cubrir las vacanie del D.l?
Evale la adecuacin del mtodo y polticas de leccin para cubrir
las antedichas vacantes.
Evale la conformidad del personal del D.l. con lat polticas y el
ustema de veleccin
.Existe na poltica definida por la direccin del D.l. para promocin
del personal?
Evale la conformidad del personal del D I. con las polticas y el
sistema de promocin.
Existe un programa de orieMacia formacin y reciclaje de personal
de plantilla
Tiene una revisin al menos anual dicho programa de reciclaje?
Supone el programa de reciclaje al menos el 10 del presupuesto del
D.l?
Valore la formacin mioma recibida en el programa de reciclaje.
Culi es la valoracin que da el personal al programi de formacin y
CONTROLES sf NO N/A
.lia establecido el 0.1. prioridades de tratamiento de los diferentes
trabajos^
Evale la ew fa de traban del D.l. en poca bija de proceso (ponga el
resultado en ao).
Evale la caifa de trabajo del D.l. en poca alta de proceso (ponga el
resultado en sf).
Evale la capacidad de los equipos disponibles pura satisfacer la
demanda en la poca alia de proceso (resultado en s)
Evale el exceso de capacidad de los equipos disponibles pira
satisfacer la demanda en la poca baja de proceso tresultado en no)
Oi valoracin le dan los trabajadores del irca de explotacin a la
disponibilidad de equipos en poca alta de trabajo (resultado positivo
en s y resultado negativo en no)?
Evale la capacidad de los recursos humanos para salsfacer la
demanda en la poca alta de proceso (resultado en s)
Evale el exceso de cjpKtdad de los recursos humanos disponibles
para satisfacer la demiada ea la poca baja de proceso (resultado en
o).
Qu valoracin le dan los trabajadores del irea de explotacin a la
disponibilidad de recursos humanos en pocas altas de trabajo
(resultado positivo en s y resultado negativo en ao)?
Existe un calendario de nuntemrmenio preventivo de material o
topea!.
Se verifica que dicho calendario ao inclusa revisioo en perodos de
carga alta de trabajo?
cEs el calendario de explotacin lo suficientemente flexible como pira
xomodar tiempos de no funcionamiento a fia de reati/ar revisiones?
^Realiza la direccin del D.l. un control y segu m eato del flujo de
trabajo y de las variaciones del calendario de explotacin?
Se registran las variaciones del calendario de explotacin?
Existe nuterial de recambio para el tratamiento de programas que
exijan alto nisel de disponibilidad
Existe un procedimiento pira evaluar tas causas de los problemas de
CONTROI.ES Si NO .VA
..Huiste una preasignacin para 1* sotonn de problemas especficos de
tratamiento Je ducn?
Se ha determinado una prioridad en la resolucin de problemas de
tratamiento de datos?
Existe un inventario de contenido de la biblioteca de soportes?
Existe un procedimiento pora inventariar los contenidos de la
biblioteca de soporte?
Existe algn responsable de mantenimiento de la biblioteca de
soportes?
Evale la exactitud del inventario de la biblioteca de soporte
Identifican las etiquetas de los soportes: nombre de archivo, fecha de
creacin, programa que lo cre y periodo de retencin de soporte?
Existe algn sistema de control de entrada y salida de la biblioteca de
soporte?
Existe un procedimiento de seleccin de logical acorde con los planes
a corto y largo pta/o de la empresa?
Se lleva a cabo dicho procedimiento a la hora de analuar necesidades
Existe algn registro sobre los cambios realizados sobre el logical del
sistema?
Existe algn procedimiento de reviun de cambio del logic-al de
sistemas antes de pasarlos a explotacin?
Existe algn registro de problemas de logical de sistemas?
Se identifican y registran exhaustivamente la gravedad de los
problemas de logical de sistema, la cansa y tu resolucin?
Se corresponde la implantacin del sistema de inormitica distribuida
o red coa las especificaciones de los pitaes a corto y largo pla/o de la
CONTROLES S NO VA
,H i do desarrollado dicho plan conjuntamente por el departamento
de informtica y la direccin de los departamentos unim os afectados
.Contempla dicho plan la aceptacin de estndares de implantacin,
conversin y pruebas en redes informticas distribuidas'1
,H i sido desarrollado el lgica! del mturna de acuerdo con la
metodologa del ciclo de desarrollo de stsienus de la organizacin o
medanle una metodologa cimentada y reconocida?
.I k Il w el plan de implantacin o conversin de la red de informtica
Atribuida a kxlos los usuarios productores de datos imprescindibles *
Se ha contemplado en el plan cualquier riesgo especial asociado a las
rede* distribuidas *
b u tu n procedimientos de control generales de la red de informtica
atribuida?
t Se realizarn dichos procedimientos de control con una periodicidad
CONTROI.KS Si NO VA
F.xitte un tulema eficaz para evitar que lo utuario camb la
definicin dc dalo* cwmune* dc 1 ba*e*?
, l-.vistc una conwnic*:i6n regular obre cambio* efectuado* ea la.
bate dc dato* comune
Rutte algtln titicma de coatrol que ategure la compatibilidad de lo.
contenido de la bate* de dato de la red?
Iwiten controle etiahlecido por el departamento de informlKi
Mibrc utilizacin de contenido dc la ta** de dato* de la red?
,E u tle algn procedimiento de control vibre k cambio de contenid*
y procedimiento de dicho cambio ea la* bate* de dito de la red?
t Kxivie algila control que augure que lo cambio introducido en lo.
contenido de la bate d dito mantienen la compatibilidad de dicha,
bate?
Exittc algn procedimiento ettablm do que asegure en todo* k>.
punto* de la red que lot cambio crtico en lo comer ido de la bte
te lleven a cabo con puntualidad'
Se ha ettablecido una poltica para identificacin y clasificacin dr
dato* temible* dc la red?
Exilien mccamtmo* de tcguridad que impidan introduccionc*
modaficacione* emJoea de dalo temibles?
Kxi*le algn mecanismo de control que ategure una adecuada cargi
de la red etpeculmente en lot periodo de trabajo critico?
Se kan establecido y comunicado a lo inuario procedimiento,
efectivo pira coordinar la operacin de lo programa* de aplicacin >
la utilizacin de lo* contenido* de la* B.D?
Potccn todo lot utuario de la red etpecificacione .obrr
disponibilidades. horario, tiempo dc rctpuctta. almacenamiento
respaldo y control operativo.
Se realizan rcumonc* peridica* entre k n usuario* pora coordina-
calendario* de explotacin. epecificacione* de tratamiento ;
procedimiento operativo
.Establecen toda la itutalaciooc dc departamento utuaho* dc la red
pre luone* obre nece*Hlade* de material fungible?
.Existe siempre un remanente de material tangible que ategure la
continuacin de k>* proccto. en lo departamento utuario?
Exitten procedimiento ctaMecido por el departamento d<
informtica para la getiin y control del logical dc cotMMcacionct?
www.FreeLibros.me
AU>(IOUIM<>MAIK A NI-ASI">StKS 5!
CONTROLES Si NO VA
l-.stn inetoden en dicho procedimiento estndares sobre la
utilizacin de dicho logical?
Se han remitido descripciones e v n in obre los citados
procedimientos a lodos h departamentos usuarios
Se han establecido prioridades de transmisin asignadas a los
mensajes enviados por la red?
Evale la satisfaccin de los usuarios sobre las transmisiones a irasxS
dla red. sobre todo cn perodos crtico.
Existen piones de formacin para usuarios de la red?
Existen responsables que evalen el correcto oso de la red por parte
de los usuarios?
Estn perfectamente identificados todos los elemenlc fsicos de la
red (unidades de control, mdems cables etc. medanle etiquetas
esternas adecuadas?
Est asegurando en un tiempo prudencial la reparacin o cambio de
elementos fsicos de la red?
Se realiza por porte de personal especializado una revisin peridica
de todos los elementos de la red?
Existe algn sistema para controlar y medir el funcionamiento del
sistema de informtica distribuida de la red?
Existe una estructura que asegure que la explotacin de mxima
prioridad te Ilesa a cabo y se transmite cn primer lugar?
Se han desarrollado o adquirido procedimientos automticos para
resolser o esitar cierres del sistema (abra/os modales)?
Existe una mima que asegure que ningn proceso o dalo de baja
prioridad va a estar sin procesar indefinidamente en la red?
Existen mecanismos que controlen los tiempos de respuesta de la red
y la duracin de los fallos de operacin de la misma?
Se controlan regularmente todo los procesadores de la red?
Dado que cn los restan le-* captulos Jo este libro se aborda lano la auditora de
otro entornos (minicomputadores. Redes d e reas local y PCs) c o n o sus ire-i' de
riesgo. en el prsenle captulo nos hemos lim itado nicamente a arulizar la auditora
de los nunicompuiadorcs con respecto a los riesgos en la cficaria del servicio
www.FreeLibros.me
S AllDUDRIA INFORMATICA tT itN lo m u HtAOKX)
Hn cualquier cavo, siempre que te lleve a cabo una auditoria d e empresa habrln
de tcncrve en cuenta, com o mnimo, los siguientes controles generales:
Stanley & Coopers & Lybrand. Handbook O f ED P Auditing. 1985. Editorial W arm .
G orham Rlainont. INC.
CA PT U LO 26
P E R IT A R VE RSU S A U D ITA R
Jess R ivera la g u n a
28.1. INTRODUCCIN
Aplaudo, pues. evie boen criterio d e los Coordinadores, en pro d e una plena
exhaitstividad de su contenido inicial, confiando slo en que su decisin tambin haya
sido pertinente al proponerme la redaccin de los apartados que siguen, donde he
tratado de condensar pone d e mi "capital intelectual" en esta e a de conocimiento,
atesorado inequvocamente en el Ejercicio Libre de la Profesin (ELI1) en el Colegio
Oficial de Ingeniero de Telecomunicacin, com o tal Ingeniero de Telecomunicacin,
especializado en el mbito judicial y cxtrajudicial d e las Peritaciones en Tecnologas
de la Informacin, o de las ingenieras informtica y de telecomunicacin, no carente
de posteriores iniciativa form ativa de postgrado y profesionales en cte contexto, en
diversos mbitos de actuacin, privada e institucional. adems de asociativa.
elescnlomtrmJo
' Hernn). C.jrcij. Alomo (AitAkv t ttifomfua 1907. Cap I. fktg. I0> 'EpeoalmrMe el
dittinfue claranentr b auditoria de b conuihoeb. DepenJiendo de que u> contenido
xa o>mi obre no rewkadcn II dar netomroeMo o cornejo e relacin con un ctivid! i
drwrolUr. < tratar! de aodtfcefe o conultorfa"
www.FreeLibros.me
MO AUDITORIALVKHtMATK'A US ENKXJtt PRACTICO
* Koi auat defuncin -Ua u f k - . de ~utbjo. tludo o infierne que tuce el perito tebn m
dcrnrmli nvMcna" %t KiKMn en muchoi ro diccionanot jenefile
- Gran DiccionarioJe ta Im^ua E-tpaoia
- Ihtcionario Uanaal * Mamado dt ls*fm i Eipiola
- fhcckmano General VOX. de h //irtii Espa/Ma e lloarado
- Diccionario Encidop/dico ESPASA
- Diccionario Enciclopdico HA7A <1JASfS
- IX-(MU(M ARISTOS
La mple acepcin * mencHMU > comenu afuiudo O de U fpta ufuienle acerca del omepo
de Perno e comn * Kutimn tvenie*. inckno bien diviiix ce u onenuocoev
- Diccionario General VOX. de la lengma Espaola e Ilustrado
- Diccionario Enciclopdico EDAE
- Oran Enciclopedia lAKOt'SSt
- Enciclopedia dri Sifio XX
tMulopedia m*bmedia PIANO AGOSTIW
Enciclopedia unneruil M tw n n i CAJA MAtNtlD
- Okcwmano Enciclopdico ALEA. de SALVAT
- Enciclopedia tNCAKTA. de SiK KOSOf T
- FaKkfmiu a i n u l menctiva. deCtXXJEK. ele.
www.FreeLibros.me
CAPTULO 5> mtfTAK WJBH AUDITAR V>\
b) persona que. poseyendo especiales conocimientos terico o prctico,
informa, bajo juram ento, al juzgador, sobre puntos litigiosos en cuanto se
relacionan con su especial saber o experiencia"; y,
c) persona que en alguna materia tiene ttulo de tal. conferido por el lisiado".
A los efectos que nos ocupan en esta obra apartaremos la acepcin c). por su
componente acadmica, vinculada a una titulacin -universitaria, en general-, sin que
ello quiera decir que no sea condicin sine </ua non xu posesin en determinadas
circunstancias.
Un trm ino alternativo acuado para los "expertos, aunque menos utilizado con
carcter genrico, e s el de los Peritos forenses, muchas veces asociado al mbito
judicial y en reas de conocimiento muy concretos como la medicina (caso dc los
mdicos forenses"). Dc hecho, existen categoras y reas de peritaje forense privado
que se utilizan habitualmente, tales como:
'' fle*o NavutOu Emilio del: ,Kwwi rfe DicMnmn > Ptrlu)r> infomMcox. Ediiocul DIAZ
Mi SANTOS Majnd. 199) I y u.)
" Titulacin unlifririaria oficial, de primer ckto.
'* Titulacin uMitnuana cfictaL de fiado ticte-
www.FreeLibros.me
CAjfn.i o y>m ttA R " a u w a u x ta b w
Con inusual rudeza y absoluta claridad, la Com isin G estora de la AIPT puso de
manifiesto que ~no basta con se r especialista para poder re a livir buenos peritajes: o
ya se ha adquirido una form acin especifica como Perito, ejerciendo esta actn'idad
desde hace aos, o se deber adquirir". Asimismo, "recuerda a los interesados en
pertenecer a la Agrupacin de Ingenieros-Perito qu e e s necesario tener en cuenta
las obligaciones de carcter fisca l y laboral que conlleva la realizacin de trabajos en
ejercicio libre
inequvocamente la AIPT: "se enrienden como lates, a aquellos compaeros que toa
expertos en una determinada materia, pero q u e carecen d e plena disponibilidad de
tiempo y desplainm itm o en su trabajo principal tn o como ~libre-ejerciente~i o no
estn interesados en asum ir e l riesgo de unos costos fijo s anuales ocasionados por el
alta en e l IAE -Im puesto d e Actividades Econmicas y e l pago mensual como
autnomo de la Seguridad Social
En concreto, los requisitos exigidos pora ser admitido en SESPES. como tal
"Perito IT profesional", son:
?1 *AU de InixmilKj LegjT. ganiiada p<* IEE > GRANADA Binase CoMinMy:
tV u w w i > f't n u y i hfom iiutn: Madnl atol. I.
'*Fu ambo*o m . I uto <JI ta w fcw de kx Pro)ti fontulivin ha wdo cedido a lar<ad*:iM
fot I propiciar cukutt u de loto u derechos intelectuales y de explotacin (Ri.no Laguna. JeUn
hmrcto forma/mi Je Infirme>. OKimntti y FtrtueuMti. v Kura/ndKtaUt. MINISTERK)
DEEDUCACIN Y CULTURA Registro O n n l de b Piuptolad Intelectual. N* 77 211) Un alum**-
piraos que Mfcna rl periodo de focnuoSn. tasado ahv-iacjmenl n <nm reales, reciben un T M i
(XWul de la Pwlacin DlfTEL*. avalado poe un repMado Cianuro de Proesore. lodos
FMeuonalet de mvooodo prestigio. acreditada nprntncu como IVMx en Tecnologas de U
UmacMi.
* Au loestablece espcclfKaance el articulo 57 apattato 3*. en la Seccia Quinu de la vtfctte
Ley de EajaKiaaeolo Civil de IRSI. y. el articulo 299 asaltado 4*. en el Capitulo VI de la Ley de
Enpucumienio Ovil 1/2000. que cacar en sigoe ai aio de se publicacin (en el y a ia ti 7 de n lr
ptate ic ijitcuiirin estai cuestiones en profundsladl
www.FreeLibros.me
V MCCTBKlA INWKMUCA UNK K IQ tt HtCnCO
- etc.
26.4.3. Conclusin
- Gran Enciclopedia IARO U SSE: "exposicin oral o escrita del estado de una
cuestin
Tambin los hay que matizan definiciones2' en el im b ito del Derecho, asociando
el trm ino "Informe" a las "exposiciones orales que hace el fiscal o el letrado ante el
tribunal que ha de fallar el proceso". En particular, algunos otros-' ' asocian el trmino
"informe" en el m b ito procesal, al contexto de pericial tcnica: "diligencia acordada
por el juez cuando, para conocer o apreciar algn hecho importante en el juicio, fuese
necesaria la intervencin de un especialista con conocimientos cientficos o
profesionales".
a) que quien expresa la opinin sobre dicha cosa, es "alguiea con autoridad en la
materia":
b) que se traa de una "opinin escrita y motivada, suscrita por uno o varios
facultativos, sobre un asunto determinado de una especialidad":
Las anteriores sim ilitudes term inolgicas entre informe, dictanen y pericial
quedan absolutamente deslindadas en los documentos oficiales del COIT. Colegio
Oficial de Ingenieros de Telecomunicacin, y ms eoncrciamcnte en su A N EXO II de
f rm u la s pora Informes. Dicimcncs y Peritajes".
H B * 0 0 3 x V xC
siendo :
pero teniendo en cuenta que. para los "Dictmenes" y "Peritaciones", los honorarios
(II) se duplicarn:
H - 2 x H
E sta filosofa de duplicacin del valor ( II ') d e los honorarios resultantes de aplicar
la frmula de los "Informes", se mantiene en cualquier otra situacin en que no sea
vlida la frm ula general antes indicada. En concreto, e l valor antes indicado de H . te
calculara:
H * - 0 * 5 x B + 0*l x P
siendo P, los honorarios del Proyecto:
i r - 0 'S x B * 0 * l x O
siendo O . los honorarios del Proyecto d e las O bras informadas:
H * 0 '5 x B O 'l x l
siendo I. los honorarios del Proyecto d e las Instalaciones informadas:
- en el caso de "Informes ame Tribunales (en situaciones especiales para las que
no existe la tarifa correspondiente), mediante:
H ' b 0 5 x B + 0 0S x F x ( l* 0 'lx N )
siendo F el importe de la Fianza sealada por la autoridad judicial o el impode
de la responsabilidad civil subsidiaria que sea objeto de la intervencin
judicial, y N la suma del nmero de escritos y comparecencias del ingeniero;
As. de las 268 Tarifas que integran la Parte III del A n ex o '' al Decreto, dedicada a
'T rabajos Especiales", se establece concretamente una d a te denominada "Informes,
dictmenes y peritaciones" (Tarifas 156 a 168. ambas inclusive), correspondiendo:
H ' - 5 x B 0 05 x V
De los dos tipos bsico de arbitraje que existen -le equidad y de derecho-, slo
en el d e equidad cabe pensar en principio que un tcnico acte como rbitro . ya que
en este caso puede serlo cualquier persona natural que se elija para decidir sobre la
cuestin litigiosa, segn su leal saber y entender y sin sujecin a trmites, debiendo
tan slo dar la oportunidad a las partes para ser odas y presentar las pruebas que
estimen convenientes. Ello no impide que. en cualquiera d e los casos, se requiera un
informe. Jictamen o pericial extrajudicial por las panes, a quienes asimismo
corresponde la eleccin del tipo de arbitraje que desean17.
En particular, y totalm ente en la lnea que nos ocupa, cabe destacar com o una
notable ventaja el hecho de que las panes pueden escoger como rbitros ("de
equidad") a personas que sean especialistas en la materia. ya sea por su profesin,
cargo o actividad: no se olvide que sern estas personas, al actuar como rbitros,
quienes lomarn la decisin que estimen ms justa en conciencia, y que una vez sea
firme el laudo arbitral dictado ste podr ser objeto d e ejecucin forzosa, al igual que
una 'sentencia judicial firme.
1. Confesin de juicio
2. Documentos pblicos y solemnes
3. Documentos posad o s y correspondencia
4. Los libros de los comerciantes que se lleven con las formalidades prevenidas
en la Seccin Segunda. Ttulo II. Libro I
5. D ictam en d e Perito s
6. Reconocimiento judicial
7. Testigos."
Debe hacerse notar que el artculo siguiente de la vigente LEC (el 579). no hace
referencia alguna a las 'Pruebas ', entrando de lleno en la descripcin d e la "ConfesSo
Judicial". No ocurre as. en la LEC - Ley 1/2000. de 7 d e enero, de Enjuiciamiento
Civil (todava no vigente):
- se dedican dos artculos a los "M edios de Prueba" (Captulo VI. D e los medios
de prueba y las presunciones), en el T tulo I (D e las disposiciones comunes a
los procesos declarativos) del Libro II (D e los procesos dcctaraihos):
41 ARvMR. CMnbemdi i fmjle <3f 1996. tu deurrotUA.' timo un reglamento <Jciftottajr como un
prortdimietto de w^ukVi. paradtsvtvJlv tu iratajo
www.FreeLibros.me
CMTTU.O rtKtrAK YOtSVSAITICTAK 07
1. D ictam en de Peritos
5. Reconocim iento judicial
6. Interrogatorio d e testigos
- se precisa e l orden de prctica de los medios de prucha (Art. 300). "salvo que
el tribunal, de oficio o a instancia de parte, acuerde otro distinto":
Ahora bien, no todos los "hechos" son objeto de prueba pericial. Tal seria el caso
de aquellos que no necesitan ser probados por considerarse notorios, o porque sean
admitidos al no resultar controvertidos, adems de determinadas presunciones.
Por otra parte, y aunque lo habitual es que sean la* partes (actora y demandada)
quienes propongan la prueba, bien puede ocurrir que sea el propio Juez o la Sala que
conoce del litigio quien decida la necesidad de una prueba pericial, antes de dictar
La vigente LEC de 1881. dedica a e n e asunto los artculo 610 a 632. ambos
inclusive.
Los peritos, en nmero de uno o tres (A n . 6 1 1 >. "debern tener ttulo de tales
en la ciencia o .irte a que pertenezca el punto sobre el que han de dar su
dictam en, si su profesin est reglamentada por las leyes o por el Gobierno"
(A n . 613).
* E por clk> qt>e. en hse a n cipmmtu profesional, esle aulor ha prepuestoen mkipln Ion
que el lettajo cemeteam(equipo) con ef perno c'experto' en la matena. con til Mcnicoen lamuitai:
- XIII Encuentro de "Infoemttca y DfwKV tUniversidad Pontificia Comillas / Imtitmo de
Informilica Jurdica) Madrid. 7 y Xabril I W
- Retina Je IfetemAlMpw Juristas de bdilooal AKAV/AIM N* Jl. abol de 1999.
www.FreeLibros.me
I-a LEC de 7 de enero de 2000. d edica a este u u n io los artculos 335 a 352, ambos
inclusive, constitutivo* de la Seccin 5* del Captulo VI del T tulo I del Libro II de la
Ley. La redaccin del articulado presenta en s misma apreciables diferencia*.
Con respecto al "objeto y finalidad del dictamen de peritos" (Art. 335) la nueva
Ley coincide en lo sustancial con la vigente. Se insiste explcitamente, adems, en que
al emitir el dictam en, todo perito:
a) deber manifestar, bajo juram ento o promesa de decir verdad, que ha actuado
y. e n su caso, actuar con la mayor objetividad posible:
**Cunado *e trac de nucerut qae no esla cnsprendidu en titulo profeionil okuk*. los
* ti:
pititn hbfin de r AOffltvadMentre perweat cmmkIkIi* en ayielltv nulrnx\ CArt J40. />.
TimSn podra esa dKlaexn obre coc<*K*et (ifedlicu lu penonu jurdica kgilmcnic
habiliudis pjri t!V IAn .1*0.21.
www.FreeLibros.me
Mil M IH!lI.MSnmVM:< M M MOJI i 1H MIMO
1. Los litigante podrn apon a i los dictmenes que dispongan (elaborados por
peritos por ellos designados). y que estimen necesarios o convenientes para U
defensa d e sus derechos (A lt. 336).
2. Podrn aportarse dictm enes elaborados por peritos designados por las partes,
con posterioridad a la demanda o contestacin, anunciittdo oportunamente
que lo harn en cuanto dispongan de e llo s" , para su troludo a la otra paite
(A n. 337).
Desde luego, y pese a lo dispuesto en e l artculo 337, las pu les podrn apodar
aquellos "dictmenes cuya necesidad o utilidad venga suscitada por la contestacin
la demanda o por lo alegado y pretendido en la audiencia previa il juicio" (Art. 338).
Es decir, se contempla tambin la posibilidad de aportacin de d rtm enes en funcin
de actuaciones procesales posteriores a la demanda.
Lo* dwlitnean te formularan por sonto. acompaAados. <* su caso. dt los dera** devumento*.
innnmetto* o malcrales adornado* fura opeare el pato: del pens ubre lo toe haya u 4 j objeto de la
p e riM rt 36.2)
** fea lodo caso, antes de uncan la audiencia prest al meto crdmanoo aran de <nu ea I
serbal lAn. U 7 .ll
www.FreeLibros.me
CAF1T1IIX) Ttt P1RHAK YlXStS Al IXIAJC 611
- el perito deber dar aviso directamente a las partes, del da. hora y lugar en
que llevarn a cabo sus operaciones periciales, siempre que el tribunal haya
aceptado la solicitud de aqullas para estar presente (Art. 345.2).
U s peritaciones no son slo judiciales, sino que tambin puteen tener un carcter
extrajudicial. L os arbitrajes, e incluso las mediaciones", cobran Ij c i /j cada da ms.
existiendo instituciones pblicas y privadas que se ocupan de favorecer este tipo de
salidas para la resolucin d e litigios entre las partes en d e sacierto . La firma del
"perito profesional" se ubica con determinacin en este nuevo contexto jurfdico-sociaL
Ptfso Navarro. F..; e l til.. M anual de Dictmenes y Peritajes Informticos. Ed. Daz de
Santos. Madrid. 1995.
Roca Aymar. J. I..: 7 arbitraje t n ta contratacin internacional; Ed. ESIC & ICEX.
Madrid. 1994.
5. Cite aquellas reas de form acin especfica que debiera troer un perito
profesional", frente a las actuaciones puntuales de un m ero tcnico
compctent o " p p N il itu " , n I mbito del jtrcicio profesional como la).
8. D efina lo dos ipos bsicos de arbitraje entre los que pueden optar las (unes
para dirim ir cuestiones litigiosas que les afectan.
CA PTULO 27
E L C O N T R A T O DK A UDITORA
27.1. INTRODUCCIN
Emitir informe
* ' Manifestando w pinina manifestando tu opndn
retpoauMe
4 4 | V*TC u t ild a d de lainf<maci<i *>re lafuNtbd de la informante
u W fTrrji.tL J I " * <"oa y 'alore poe paraque vecoootca >valore por
Mfetoa
I p
(omlididn
r>xmat de laprofesa*
cdigo de condixiate laproferta |
fin donde existen las principales divergencias entre la dos dcfim .ioncs es. de un
lado. en la inexistencia de una titulacin oficial d e la profesin d e Auditoria
Informtica y. de otro lado, en la inexistencia de reglamentacin especfica de esta
actividad.
D e acuerdo con la reconocida doctrina que opta por seguir ur concepto amplio de
la Auditora Informtica para evitar que se reduzca a un control de kw aspectos
informticos de los sistemas de informacin, los objetivos de la misma puedes
clasificarse en tres grandes gnipos:
Para terminar con este apartado, una breve referencia a la debatida opcin entre
auditora interna y externa, con relacin a la problemtica de la independencia, el
mejor conocimiento de la organizacin e n su conjunto y el necesario y constante
mantenimiento y supervisin en razn del peculiar objeto de la auditora informtica.
Sirvehe/ TomK Amonio. Siner-a. oprrtot en udilorii. en TV... CentaUr. sotanea 45.1993.
S29ys*.
www.FreeLibros.me
O AUXTOMA INFORMATICA: UN ENHOQUE WCI1CO
E n todo caso, se opte por la alternativa que se opte, antes de encargar al exterior
un trabajo de esta naturaleza se ha debido realizar un esfuerzo interno considerable, y
se deben tener censadas las discrepancias, asi como las diferentes alternativas en caso
de litigio*.
Conviene empezar por asentar la casi total aceptacin por p an e de la doctrina del
carcter contractual del vinculo que se establece entre la sociedad y el auditor, frente a
las escasas discrepancias que abogan por una tesis "organicista". La calificacin de
contractual se apoya fundamental mente en tres razones. En primer lugar lo establecido
expresamente por el articulo 14.2 d e la Ley de Auditora de Cuentas que se refiere al
contrato de auditora". En segundo lugar, la Ley d e Sociedades Annim as que
deliberadamente excluye esta materia del capitulo de rganos sociales. Y. finalmente,
porque i calificacin com o rgano sera insertar al auditor dentro de la estructura de
la sociedad y considerarlo como parte integrante de la persona jurdica, lo que resulta
contrario al espritu de la ley que lo configura como una "instancia extem a e
irsdepct*licnlc de control"*.
1.a empresa que solicitaba una Auditora Informtica, hasta la actual normativa
que veremos ms adelante, lo haca porque constataba una serie de debilidades y/o
amenazas provenientes de sus sistemas d e informacin.
Sin embargo, cada vez ms las empresas son conscientes de la relevancia del
sometimiento del elemento si n o imprescindible sf completamente esencial, cons
tituido por los sistemas de tratamiento de la informacin, a una serie d e revisiones y
controles entre los que destacan el de seguridad, el de calidad o el d e la proteccin de
dalos de carcter personal por su preponderancia en virtud d e su obligatoriedad legal.
Hoy e s indispensable disponer en todo momento y d e una forma rptda de
informacin suficiente, actualizada y oportuna. Y esto slo se puede garantizar
manteniendo tos sistemas de tratamiento de dicha informacin en perfecto estado que
slo se certifica mediante la correspondiente realizacin d e la pertinente auditoria de
dichos sistemas de informacin.
" Mur Botngav Allomo, loi irniri de amdttoeii interna de lueww de tmfarmatMn. Seminario
Auditoria de los Sisieen de tncmuon y Control laeemu(AL'DtSt '2000). organiujo pe*taformineo
Kun?eoi Esperte. Madnd. itbrrro 2000
11 Lon Lara. B y Serrino. K. "La auditoria a debale: peseme y foeuro~. c* Ponida laMe. *t.
ano 1996. pdpaat SS y .
www.FreeLibros.me
oama__________________________________ CAPfTVLOJ1t.CONTHATODBAtUtTORlA 6H
En cuanto a la sujecin legal del auditor, todas los profesionales que desarrollan
su labor en el cam po de la auditoria de cuentas estin sometidos a una serie de normas
que tipifican su capacidad profesional, la conducta para llevar a cabo su cometido y la
forma de emitir el informe. I-os auditores informticos no son una excepcin, aunque
adems deben cum plir una serie de requisitos y directrices que les son inherentes. Las
diferencias no slo afectan a las normas, puesto que su cometido tambin difiere y
consiste e n la revisin de la funcin informtica o paite de ella, sus reas d e revisin
son asimism o originales (organi/acional del departam ento d e SI. d e seguridad de
accesos lgicos. f(sc<xs y controles medioambientales, de actuaciones frente a
desastres con los (dans d e recuperacin, del softw are de sistema en cuanto a las
polticas sobre su desarrollo, adquisicin y mantenimiento, d e softw are de
aplicaciones y de control d e aplicaciones, as como las especificas de
telecomunicaciones, bases de datos y usuarios) y . finalmente, tambin pueden ser
diferentes sus tcnicas utilizadas . En este punto tambin e s ms que resaltable la
existencia de unos condicionantes ticos imperantes en el ejercicio d e esta profesin
que por su especial autonoma precisan una especial atencin. Pues si e s verdad que
existen lodos estos referentes que delimitan profesionalm ente la definicin de la
auditora de sistemas de informacin, no es menos cierto que el asentamiento de la
profesin requiere tambin de la creacin y seguimiento d e cdigos deontolgicos que
apoyen los mnimos necesarios constituidos por los estndares norm ativos .
son meras lincas generales de actuacin, por lo que la alegacin ante los tribunales de
su falla de publicacin en el Boletn Oficial del Estado e s una insistencia sin
fundamento, pues csic requisito es cxigiblc nicamente para las leyes, segiln el
articulo 2.2 del Cdigo Civil.
Akmto Riwv G . A*dttarM laformnca. Ediciones Dlu de Sanios. S. A.. Madnd. I9KK. ptfgirm
tyu.
Almeta Uiez. B . "La importancia rean** en auduota". en Partida IXMt. n*7J. diciembre 19%.
Otra cuestin (rauda e n la doctrina e s la del desistim iew o del audtor. Entre las
cautas que pueden considerarse suficientes destacan la im poubilidid fsica de
cumplimiento del contrato, la necesidad de atender a otro* deberes, las causas de
incompatibilidad, la perturbacin de las relaciones de confianza entre el auditor y los
administradores de la sociedad auditada o los incumplimientos d e les deberes de
cooperacin por parte de la sociedad. En cada uno de los casos habr q u : dilucidar su
procedencia o improcedencia a efectos de delimitar, entre otra, cosas, las
comecuencias jurdicas de dicha terminacin unilateral del contrato1''.
Para terminar, queremos hacer referencia a una figura que e s ti gam ndo una gran
aceptacin en la doctrina, en las organizaciones especializadas y. en definitiva, en la
profesin: los Com its de Auditora. El objetivo del com it e s contribeir a la mejora
" lglru brida. J L . "La renooda al carjo del *u&x de cocal: nm m iaK m JaoiAcMivas y
cnuecuencw jurid* de la renuncia", en Keviua Crinen de t>rreeho IxmMuxrto. n*622. aa>juo
I9M. nipitu 1501 y o .
Almcla Kc/, B. *Novtd*]esen Audrtcriaen PartidaDMe.n* 107.enero2 0 pigma 76y .
www.FreeLibros.me
a: Ai'prTtmlAiNKmMncA un enfoque wtAcnco
Para terminar este apartado, quisiramos sealar que sta no e s una tendencia
exclusiva de esta actividad. En la literatura empresarial m is reciente se ha acuado el
'' Piada l-urcn/o, I. M . l a inpmiih h liJ en lak a ii", en Tftnnt nmtiMr. tomo 4ft. 19*4.
pginas 225 )
11 Careta Bromi. M A. y Vivo Manine/. A . \( fu t e<ra la tocicdad de ta aaSiixi*". re
T/fnu n ronfoMe, rT eitrauciurw. IWS. pignat 17 y xx
* Lpe* Cccaham. J. 1-. "ftefleoac* obre algu pumo relacionados ce la auditor". e
ta m *! DoNf. S5. enero 1998. pgina 24 y **.
www.FreeLibros.me
bit AlPfTORlAIXHMUHTICA t'NHSOQt)KPRCTKTI cau
27.4. O B J E T O D EL C O N TR A TO DE AUDITORIA
INFORM TICA
Entendemos por objeto del contrato le auditora, tras la explicacin previa sobre
la naturaleza jurdica del mismo, la definicin y clasificacin que hemos presentado
com o tales en la introduccin le capitulo, y n o la pura y sim ple emisin del informe
de auditora que constituye en esencia la fase final de dicho contrato y n o el resultado
del encargo que lo caracterizara, de ser asi. como dijimos, com o contrato de arren
damiento de obra.
Esta inexistencia legal, pues las referencias normativas que se quieren encontrar,
si bien conceptualm entc encuentran su calificativo idneo en el trm ino informtico,
especifican en todo momento la realizacin de una auditora, a secas, sin calificativos,
choca de una manera frontal con la espectacular amplitud de reas de conocim iento y
de gestin empresarial que cada vez ms se ve abocada a controlar y con la acuciante
demanda de profesionales en el mercado. T odo esto, obviamente, pasando por alto las
voces discrepantes de algunos profesionales de la auditora de cuentas que reclaman la
denominacin Se auditora en exclusiva relegando a las dems especialidades a
adoptar la expresin le revisin o similares ^
'' fm Xniei Itntiixkz. I. L . fjMa pura rmpmarioi y w iiin . Ed. F-SIC. 2*rdacxVn. Madrid.
199b. pgina* 179 y a
' Lara Lara. L , *U*i mcvj lc> de Au*vU. de balm y fon todo", oj. cu.. plgin* 46.
www.FreeLibros.me
o * w _________________________________ CA ftnnxn? a.cofciKATOD:Ai'puoU fc
Aunque nos encontram os en un rea que por sus propias caractersticas impide el
listado de un numerus elam iti de actividades susceptible*, de ser sometidas a este tipo
de auditora, que. consecuentemente, en nuestra opinin, dan lugar a otros tantos
subtipos de contratos especficos de auditora d e entornos informticos, pasarem os a
realizar una enumeracin de las principales reas en las que se desarrolla la
"inexistente" auditora informtica actualmente.
Si bien es cierto que esta auditora no lleva calificativo legal alguno, no es menos
cierto que encuentra en la Auditora de Sistemas de Informacin su acomodo perfecto,
en la conjuncin de la auditora de seguridad de los sistemas que tratan los datos y la
calificacin jurdica de los datos involucrados.
La calificacin jurdica del softw are ha sid o objeto de discusin doctrinal, porque
integra distintos elementos que pueden encuadrarse bajo diferentes rdenes de
proteccin jurdica, unos im parables hajo la legislacin de la propiedad industrial y
otros bajo la de la propiedad intelectual. La inclusin bajo esta ltima, y en concreto
bajo la figura de los derechos d e autor, hace que asimilemos los programas de
computador a las obras literarias, cientficas o artsticas.
0(1 Fracs F.. y Ramos. M. A.. LORTAD KrgtantMO Je Secundad. Edtfione IX/ de Santos.
S A . Madnd. 1999. (Apa* 163 y s
11Datara Rotfgocz. M. A . Uanital * Dtrt<ho tnfonmitko. op. d i . plfinxs 103 y si
www.FreeLibros.me
CAHnXOt7: EL CWlKATOOe AUDITORIA 631
legalidad del software utilizado en dichos sistemas. evaluando el riesgo que se corre
por permitir la ilegalidad, el "pirateo**, y cuantificando monetariamente hablando el
diferencial existente entre dicho riesgo y el coste de implantacin y control de todos y
cada uno de los programas utilizados en la entidad.
Los auditores informticos tienen que eliminar los riesgos en esta rea
proporcionando de este modo un valor aadido a una buena gestin informtica,
siguiendo los criterios expuestos, entre otros, por la ISACA en su concepto de Valu
for Auditing Money para una mejor gestin y control de las licencias de softw are. En
particular, se pueden concretar los riesgos que conlleva la realizacin de copias no
autorizadas de softw are original como son las sanciones y multas, los problemas
tcnicos, la inexistencia de asistencia tcnica, la obsolescencia tecnolgica, el impacto
negativo en la calidad del software, el deterioro de la imagen empresarial y los ataques
intencionales14.
Se establecen asim ismo como requisitos necesarios para que la base d e datos sea
susceptible de dichas proteccin la existencia de un autor o autores id en tific ares y
relacionados con la obra realizada y el trabajo original que ha dado lugar a dicha base
de datos.
M(M i dt Auduort* dt Sofaturr Original, RuncM Sotove Altante. Mjtlnd. 2000. pfn 2 y
Pues bien, la auditora en este c a to tendr del mismo m odo que atender a los tres
casos expuestos, analizando el cumplimiento para todos ello* de los controles
establecidos, evitando por lo tanto copias o extracciones no autorizadas, y verificando
la gestin y actualizacin por las personas competentes y autorizadas para ello.
Entendemos por contratacin electrnica toda aquella que s: realiza por algn
medio electrnico. C on la generalizacin del uso de Internet el ajge d e este tipo de
contratacin empieza a ser consultable. Pero no slo esta red mundial acapara el
perfeccionamiento de contratos electrnico*, aunque e s cieno que ha sido su
implantacin la que ha relegado al anterior sistema EDI (Electron; Data Intcrthange)
utilizado principalmente para transacciones intracmpresariales ".
Podramos tambin diferenciar entre com ercio electrnico directo como aquel que
consiste en la obtencin del bien o servicio ntegramente por el medio electrnico, por
Desde el pumo de vista de Ion controles a los que se puede someter este tipo de
contratacin se requiere un axesoramiento tcnico para que la redaccin jurdica se
adece a la ingente potencialidad de la herram ienta utilizada que hace que la mera
traslacin de las categoras conceptuales tradicionales al medio virtual no sea posible
sin el previo sometimiento a unas especificaciones y aclaracin d e todo punto
imprescindibles en virtud del modo de perfeccionarse e u o s contraros que. sin ser un
elemento esencial com o hemos mencionado para los restantes tipos contractuales, se
hace necesario por las consecuencias jurdicas q u e se pueden derivar de su inobser
vancia.
Podemos dividir en dos grandes grupos diferenciados: res pee al objeto, debido
a las caractersticas especiales d e lo s distintos objetos sobre los que pueden versar
extos contratos, y respecto al negocio jurdico, debido a que los cottratos informticos
ms comnmente realizados se han llevado a cabo bajo in a figura jurdica
determinada (compraventa, arrendamiento financiero, mantenimiento, prstamo...) en
U que han encontrado acomodo pero que en casi lodos los casos ha sido necesario
adecuar.
N o obstante, y dado que una ve* ms tenemos que recordar el objeto de este
captulo, no es ste el lugar donde analizar las fases de la transferencia electrnica de
fondos, ni los derechos y obligaciones de las distintas panes implicadas, el emisor del
instrumento de pago y el usuario, ni la nueva situacin de desequilibrio derivada de la
" IXnu i R<iripuc/. M A . Manual <UDrmho tnformAtKO, ap. rrt. pigmjn 237 y u.
www.FreeLibros.me
Mt AUDfTORlA INFORMATICA UN fcNK)QC.'li HtACtlCO
27.5. C A USA
Por lo tanto, e s posible, en nuestra opinin, concluir que la causa puede tener en
este contrato, dentro de su licitud, sus dos orgenes: de un lado, partiendo de la
autonoma de la voluntad, principio rector en materia de Derecho contactual prescrito
en el artculo I2SS del actual Cdigo Civil, puede ser solicitada a simple voluntad de
la empresa auditada, y. de otro lado, com o cumplimiento de la exigencia legal prevista
en la normativa de proteccin de datos de carcter personal y en concreto en el artculo
17 del Reglamento de Seguridad.
"Aprovechemos", pues, las sim ilitudes existentes y la indefinicin legal que sufre
en muchos puntos la auditora de cuentas para comenzar un proceso normativo propio
que delimite la figura de la auditora de sistemas de informacin en todos sus aspectos:
desde los subjetivos, definiendo el perfil del auditor informtico, h a su los objetivos.
Libro Ver*. /mcMi. pourin y mpomtaMida <rl del oydOoe te**) en h <M*| Ovnpea
(96021/01)
* C teM Cifu. A.. "Miimo in iitiu n o de la U y de Auditora de Coceen". cu t'arrtJa OobU.
oilmen) W. novvcmtre 199ti. pipan 4 ) u.
www.FreeLibros.me
*__________________________________ CAFfTtlO?7:ELCONTKATOPCAUPnOWlA 641