Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Curso 2014-2015
Autores:
El objetivo de este trabajo es dar una visión global del concepto de Auditoría informática y cómo se
lleva a cabo en las diferentes áreas en las que actúa.
En este contexto las empresas tienen la necesidad de contar con un sistema de información que
genere información exacta, completa, confidencial y disponible a partir de los datos obtenidos del exterior y
del interior de la organización, para la toma de decisiones estratégicas y en muchos casos que permitan una
reducción de costes y un incremento de beneficios mejorando la productividad de su actividad económica.
Esta necesidad ha provocado que las organizaciones se interesen por la gestión de la seguridad
(como por ejemplo la protección de los datos de carácter personal) y por la gestión total de la calidad (como
por ejemplo garantizar la satisfacción de los clientes).
Como hemos visto el entorno de la organización influye en las decisiones internas a la misma, en
concreto, el entorno económico-financiero determina la actividad económica de los mercados (tanto el de
productos/servicios como el de los factores de producción) a través de la ley de oferta y demanda y a través
de las fuentes externas de financiación de las empresas. Escándalos en este mercado son los responsables de
las prácticas y regulaciones actuales. Una de estas prácticas es la auditoría de cuentas.
El origen de la auditoría de cuentas tenemos que buscarlo en los escándalos contables surgidos a
finales del siglo XX y principios del siglo XXI. En esta situación de inestabilidad económica y financiera, las
organizaciones han tenido que hacer uso de la auditoría financiera para poner orden en sus estados contables
y balances. La auditoría informática ha surgido como apoyo a este control contable con el objetivo de
mejorar las actividades de las organizaciones y el control de las mismas.
Según la RAE, la auditoría contable es “Revisión de la contabilidad de una empresa, de una sociedad, etc.,
realizada por un auditor.”
Describir como se lleva el control interno en las diferentes áreas de un sistemas informático.
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado, que puede ser una persona, organización, sistema, proceso, proyecto o
producto.
Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la
«auditoría externa de estados financieros», que es una auditoría realizada por un profesional experto en
contabilidad, de los libros y registros contables de una entidad, para opinar sobre la razonabilidad de la
información contenida en ellos y sobre el cumplimiento de las normas contables.
Los estados financieros, también denominados estados contables, informes financieros o cuentas
anuales, son informes que utilizan las instituciones para dar a conocer la situación económica y financiera y
los cambios que experimenta la misma a una fecha o periodo determinado. Esta información resulta útiles
para la Administración, gestores, reguladores y otros tipos de interesados como los accionistas, acreedores o
propietarios.
El objetivo de los estados financieros, es proveer información sobre el patrimonio del emisor a una
fecha y su evolución económica y financiera en el período que abarcan, para facilitar la toma de decisiones
económicas. Se considera que la información a ser brindada en los estados financieros debe referirse a los
siguientes aspectos del ente emisor:
Otros hechos que ayuden a evaluar los montos, momentos e incertidumbres de los futuros flujos de
fondos de los inversores
Los Estados financieros obligatorios dependen de cada país, siendo los componentes más habituales los
siguientes:
Los Estados Financieros resultan útiles para los usuarios ya que contienen datos que
complementados con otras informaciones como por ejemplo; las condiciones del mercado en que se opera,
permiten diagnosticar las políticas a seguir considerando nuevas tendencias (limitaciones de los estados
financieros).así mismo se dice que para la presentación de los estados financieros se deberá considerar
información real para ser más exactos con los resultados.
• Comprensibilidad: la información debe ser de fácil comprensión para todos los usuarios, no obstante
también se deben agregar notas que permitan el entendimiento de temas complejos, para la toma de
decisiones.
• Confiabilidad: la información debe estar libre de errores materiales, debe ser neutral y prudente, para
que pueda ser útil y transmita la confianza necesaria a los usuarios.
• Comparabilidad: esta información se debe presentar siguiendo las normas y políticas contables, de
manera que permita la fácil comparación con periodos anteriores para conocer la tendencia, y
también permitirá la comparación con otras empresas.
Condición Profesional
Concepto de CONSULTORÍA
Condición Especializada.
Condición Profesional
Introducción
Los principales objetivos que constituyen a la auditoría Informática son el control de la función
informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del
cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los
recursos materiales y humanos informáticos.
Al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos,
etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La
importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:
Las computadoras y los Centros de Proceso de Datos se convirtieron en objetivos para el espionaje,
la delincuencia y el terrorismo. Por eso surge la Auditoría Informática de Seguridad.
Las computadoras creadas para procesar y difundir resultados o información elaborada pueden
producir resultados o información errónea si dichos datos son, a su vez, erróneos. Por eso surge la
Auditoría Informática de Datos.
La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus
conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos
de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.
La auditoría interna: es la realizada con recursos materiales y personas que pertenecen a la empresa
auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría
interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en
cualquier momento.
La auditoría externa: es realizada por personas afines a la empresa auditada; es siempre remunerada.
Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento
entre auditores y auditados.
En este punto se puede plantear la pregunta ¿es la auditoría informática un control interno? Por un
lado tienen puntos en común pero también diferencias.
El Control Interno Informático controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la Dirección de
la Organización y/o el Departamento de Informática, así como los requerimientos legales.
Controles generales organizativos: los objetivos son las políticas de Dirección, la planificación, los
estándares.
Controles en aplicaciones: los objetivos son las entradas de datos, los tratamientos de datos y las
salidas de datos.
Controles sobre los Sistemas de Gestión de Bases de Datos: los objetivos son el acceso, la
concurrencia, los errores, las transacciones, la integridad de datos.
Controles sobre los sistemas distribuidos y redes: los objetivos son la compatibilidad de datos,
seguridad en la conexión, inventario de elementos de red, cifrado de datos…
Controles sobre el hardware: los objetivos son las políticas de adquisición, mantenimiento, seguridad
física y lógica, inventario,…
Controles de calidad: los objetivos son la existencia de un Plan de Calidad basado en el Plan de la
Entidad a Largo Plazo y el Plan a Largo Plazo de Tecnología, el esquema de Garantía de la
Calidad,…
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se
refiere a todo aquel que tiene la virtud de oír.
El objetivo de la Auditoría Informática es, teniendo en cuenta unas normas, técnicas y buenas
prácticas:
• evaluar la eficiencia, eficacia y economía con que la administración de un ente están manejando
dicha INFORMACION y todos los recursos físicos y humanos asociados para su adquisición,
captura, procesamiento, transmisión, distribución, uso y almacenamiento.
Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de
auditoría de general aceptación y conocimiento técnico específico.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de
seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujos de
datos entre programas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los
datos.
La ubicación del departamento será en aquellas zonas geográficas importantes para el negocio.
Su tamaño dependerá de la organización.
Además del departamento será necesario un Estatuto de Auditoría que recoja las normas
internacionales al respecto, el propósito, autoridad y responsabilidad de la auditoría. Este estatuto
debe ser público y debe divulgarse entre los miembros de la organización.
las de control general que son llevadas a cabo por auditorías externas, normalmente homologadas a
nivel internacional.
El objetivo de las metodologías es detectar las vulnerabilidades del sistema a auditar y emitir un
informe final con los controles a realizar y las recomendaciones.
3. Identificar los objetivos y alcance de la auditoría y los usuarios específicos afectados por la misma.
4. Comprender el sistema de forma detallada, para ello se pueden usar cuestionarios y entrevistas con
los usuarios identificados en el paso anterior.
Los puntos de control críticos a los que nos hemos referido anteriormente son los siguientes:
1. Controles sobre las entradas, tratamientos y salidas de datos. El objetivo de este punto de control es
4. Controles sobre los propios programas de auditoría. El software específico de auditoría debe ser
utilizado por personal autorizado.
5. Control de la satisfacción del cliente respecto al acceso a la información, calidad de los resultados,
participación del cliente en el ciclo de vida del software, resolución de problemas, errores e
irregularidades.
El objetivo es asegurar la calidad del sistema a auditar.
El éxito de una auditoría depende de la existencia de un Plan de Auditoría con la siguiente información:
Calendario de auditoría.
Plan quincenal.
Plan anual.
Como resultado de la auditoría se obtiene un informe final dirigido a las partes interesadas en la
auditoría. En este informe se especifican cada uno de los descubrimientos realizados y se especifican las
observaciones relevantes según el auditor. Este informe recoge las recomendaciones y conclusiones a las que
ha llegado el auditor. Los puntos básicos que aborda el informe son: alcance, objetivo, período de cobertura,
naturaleza, metodología empleada, organización, partes interesadas, restricciones de aplicación. La estructura
Para auditar se pueden utilizar cualquiera de las siguientes herramientas de uso general en cualquier
observación de la realidad:
Observación
Realización de cuestionarios
Muestreo estadístico
Flujogramas
Listas de chequeo
Mapas conceptuales
2. GAT/CAAT: son herramientas verticales de auditoría. Sus referentes son IDEA y ACL.
4. Compliance son herramientas que permiten prevenir riesgos que puedan ocurrir en la organización.
Para la Auditoría de Sistemas de Información y TIC (ASITIC) tenemos una serie de herramientas
que se clasifican atendiendo a diversos criterios.
o De TCP/IP e internet para realizar el hacking ético: AD Mutate, Back Oriffice, Explore Zip,
HTT Port …
o De análisis.
o Para auditoría.
o Exentas, que interactúan con el resto del software. Las exentas pueden ser:
Rellena automáticamente todas las cédulas contables, sumarias y auxiliares al importar el Balance de
Comprobación del Cliente o el diario de contabilidad.
La cumplimentación de programas.
como arrendamiento de servicio que se desarrolla en un período de tiempo. En este caso el resultado
del servicio no se puede pactar y por lo tanto no queda recogido en el contrato.
Como arrendamiento de obra por lo que debe materializarse el contrato en el informe de auditoría.
Empresa auditada.
Proveedor de la Auditoría.
• Anexos que complementen las claúsulas anteriores con las penalizaciones, responsabilidades
penales,… que se puedan derivar del incumplimiento de las cláusulas.
DE UNA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y representación de
(…), en adelante, el “CLIENTE”, domiciliada en (…), calle (…) nº (…), C.P. (…) y C.I.F. (…).
DE OTRA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y representación de la
mercantil (…), en adelante, el “PROVEEDOR”, domiciliada en (…), calle (…) nº (…), C.P. (…) y C.I.F.
(…).
EXPONEN
El CLIENTE está interesado en contratar dichos servicios para conocer la situación y la operatividad de
sus sistemas informáticos, software y hardware. [indicar la necesidad del cliente]
TERCERO: Que las Partes están interesadas en celebrar un contrato de PRESTACIÓN DE SERVICIOS
INFORMÁTICOS en virtud del cual el PROVEEDOR preste al CLIENTE los servicios de:
a) Auditoria de los sistemas informáticos.
b) Realización de un informe detallado sobre la situación de los sistemas informáticos, con un plan que
garantice el óptimo nivel de los sistemas informáticos.
c) Otros servicios consistentes en (…) [citar todos y cada uno de los servicios adicionales en su caso]
Que las Partes reunidas en la sede social del CLIENTE, acuerdan celebrar el presente contrato de
CLÁUSULAS
PRIMERA.- OBJETO
En virtud del Contrato el PROVEEDOR se obliga a prestar al CLIENTE los servicios de auditoría de los
sistemas informáticos del CLIENTE y la realización posterior de un informe detallado para conocer la
situación y la operatividad de sus sistemas informáticos, software y hardware, con un plan que garantice el
óptimo nivel de los sistemas informáticos. [citar todos los servicios] en adelante, “los Servicios”, en los
términos y condiciones previstos en el Contrato y en todos sus Anexos.
El PROVEEDOR responderá, por tanto, de las infracciones en que pudiera incurrir en el caso de
que destine los datos personales a otra finalidad, los comunique a un tercero, o en general, los
utilice de forma irregular, así como cuando no adopte las medidas correspondientes para el
almacenamiento y custodia de los mismos. A tal efecto, se obliga a indemnizar al CLIENTE,
por cualesquiera daños y perjuicios que sufra directamente, o por toda reclamación, acción o
procedimiento, que traiga su causa de un incumplimiento o cumplimiento defectuoso por parte
del PROVEEDOR de lo dispuesto tanto en el Contrato como lo dispuesto en la normativa
reguladora de la protección de datos de carácter personal.
A los efectos del artículo 12 de la Ley 15/1999, el PROVEEDOR únicamente tratará los datos
de carácter personal a los que tenga acceso conforme a las instrucciones del CLIENTE y no los
aplicará o utilizará con un fin distinto al objeto del Contrato, ni los comunicará, ni siquiera para
SÉPTIMA.- MODIFICACIÓN
OCTAVA.- RESOLUCIÓN
NOVENA.- NOTIFICACIONES
Las notificaciones que se realicen las Partes deberán realizarse por correo con acuse de recibo [o cualquier
otro medio fehaciente que acuerden las Partes] a las siguientes direcciones:
CLIENTE (…)
PROVEEDOR: (…)
El presente contrato tiene carácter mercantil, no existiendo en ningún caso vínculo laboral alguno entre el
CLIENTE y el personal del PROVEEDOR que preste concretamente los Servicios.
Toda controversia derivada de este contrato o que guarde relación con él –incluida cualquier cuestión relativa
a su existencia, validez o terminación- será resuelta mediante arbitraje DE DERECHO, administrado por la
Asociación Europea de Arbitraje de Madrid (Aeade), de conformidad con su Reglamento de Arbitraje
vigente a la fecha de presentación de la solicitud de arbitraje. El Tribunal Arbitral que se designe a tal efecto
estará compuesto por un único árbitro experto y el idioma del arbitraje será el (elegir entre:
castellano/catalán/euskera/gallego). La sede del arbitraje será (elegir entre: Madrid/Barcelona).
Fdo.: Fdo.:
Y en prueba de cuanto antecede, las Partes suscriben el Contrato, en dos ejemplares y a un solo efecto, en el
lugar y fecha señalados en el encabezamiento
En virtud de la presente cláusula penal que tiene carácter cumulativo y no sustitutivo a los efectos de lo
dispuesto en el artículo 1152 del Código Civil, el CLIENTE podrá aplicar las siguientes penalizaciones por
incumplimiento del acuerdo de nivel de servicio.
A los efectos de lo previsto en el artículo 1.153 del Código Civil, el PROVEEDOR no podrá eximirse del
cumplimiento de sus obligaciones pagando la pena. Asimismo, el PROVEEDOR, además de satisfacer la
pena establecida, deberá cumplir las obligaciones cuyo incumplimiento se penaliza.
Las penalizaciones se detraerán del importe pendiente de pago al PROVEEDOR
Una vez vistos los conceptos básicos relacionados con la auditoría informática y con la metodología
de trabajo, conviene hacer una descripción del marco legislativo que afecta a la Auditoría Informática antes
de formular el contrato de la misma.
Como referencia se toma el marco jurídico de la Auditoría de Cuentas teniendo en cuenta que el
auditor informático tiene un perfil determinado diferente al auditor fiscal.
El marco jurídico viene determinado por los activos de la organización susceptibles de auditar. Para
el ámbito de la informática son:
Software utilizado.
TRPI, Real Decreto Legislativo 1/1996 de 12 de abril por el que se regula la Ley de propiedad
intelectual.
Las bases de datos se pueden considerar desde dos puntos de vista: como producto creativo por la
estructura (protegidas por derechos de autor) y como valor económico por la información que
contienen (protegidas por la Directiva Europea 96/9/CE de 11 de marzo de 1996).
Los contratos para el comercio electrónico. Existen tres tipos de comercio electrónico: B2C
(relaciones comerciales con los clientes), B2B (relaciones con los proveedores), B2A (relaciones
con las Administraciones), C2C (relaciones comerciales entre clientes).
La firma electrónica ha permitido autentificar a los participantes en el intercambio comercial.
Las habilidades y destrezas que pueda tener un auditor, harán que consiga desenvolverse con
naturalidad dentro de su trabajo y sepa enfrentar con mayor facilidad obstáculos que se encuentre a la hora
de desarrollar su trabajo. Entre esas habilidades que deben tener se pueden nombrar las siguientes:
Actitud positiva
Saber escuchar
Mente analítica
Capacidad de negociación
Iniciativa
….
La ejecución del trabajo en un auditor, puede estar destinado como auditor interno o externo. El
Responsabilidad respecto a los resultados y recomendaciones realizadas en base a los mismos. Deberá
huir de catastrofismos innecesarios y ayudar al auditado a resolver sus vulnerabilidades.
Secreto Profesional con respecto a la información que maneja. Información muy sensible para la
organización que no deberá hacerla pública a cualquier miembro de la organización. El auditor deberá
actuar con cautela respecto las relaciones con el personal de la organización.
Antes de explicar la auditoría de outsourcing tenemos que analizar el concepto de outsourcing ya que
es objeto de muchas confusiones. Outsourcing puede tener conceptos distintos según el punto de vista en
concreto en el ámbito del TI.
El concepto de outsourcing va más allá de una simple contratación de servicios externo. La empresa
externa también es la responsable tanto de éxitos como de los fracasos del proceso llegando a implicarse de
lleno en el proceso, por lo que no se toman tantos riesgos. Se pueden externalizar un proceso o partes del
mismo.
Dentro del outsourcing TI, podemos distinguir distintos servicios: gestión de aplicaciones, gestión y
operación de la infraestructura, servicio de Helpdesk, aseguramiento de la calidad, gestión de centros de
cómputo, servicios de seguridad e Investigación y desarrollo.
Actualmente es posible realizar un despliegue del outsourcing en la nube. La aparición IaaS, PaaS,
facilitan la gestión y operación de la infraestructura y gestión de centros de cómputos, actualmente la
tendencia es separar esto del proceso inicial, lo que permite que un agente externo se pueda encargar con
menos riesgo de estos partes del proceso.
Tipos de outsourcing, existen definidos distintos tipos de outsourcing de TI, la mayoría de estos tipos
tienen peculiaridades propias y se configuran como un servicio único. Debemos destacar que el outsourcing
es un proceso y que un servicio puede pasar por distintas modalidades en su ciclo de vida:
Como beneficio del outsourcing podemos destacar la disminución del servicio cuando éste es
subcontratado. Sin embargo podemos destacar las siguientes críticas:
Los trabajadores subcontratados no son empleados pagados de la empresa que de hecho presta el
servicio, por lo cual no tienen un incentivo de lealtad hacia ésta.
Normalmente se contrata a los trabajadores con contrato de obra, a pesar de que la tarea realizada
suele ser continua. Dada la precariedad total producida y el abuso que se suele dar de esta figura
contractual, a veces incluso para realizar despidos arbitrarios, es normal la "huida" de los
trabajadores si encuentran un empleo de mayor calidad, con lo cual la calidad del servicio se suele
resentir.
Un ejemplo de contrato de outsourcing lo podemos ver en los contratos SLA (Acuerdos a Nivel de
Servicio, Service Level Agreement) de las empresas que ofrecen servicios en la nube. En este contrato se
recogen no sólo las características del servicio, garantías del servicio y las penalizaciones en caso de
incumplimiento de las garantías.
1. Plan estratégico.
2. Contratación.
3. Transición.
4. Gestión y optimización.
5. Finalización y renegociación.
Como podemos observar en la siguiente imagen, el outsourcing sobre las aplicaciones basadas en
Acuerdos de Nivel de Servicios se divide en tres partes: modelo de gestión y seguimiento, prestación del
servicio, calidad obtenida de la prestación de ese servicio.
Uno de los principios de desarrollar una auditoria es conocer el entorno en el que se desarrolla el
proceso y los posibles agentes que participan en el mismo. El outsourcing tecnológico es un acuerdo entre
partes por el que se fija la presentación de un conjunto de servicios tecnológicos,. En este contrato existe un
cliente y un proveedor. Este contrato es igual que cualquier otro tipo de contrato, y es un muro proyectos ,
que protege todos los implicados en tal asunto.
Para terminar presentamos el esqueleto de lo que consideramos un contrato valido para realizar la
Impuestos aplicables.
Satisfacción de cliente.
Actividades detalladas.
Horario de prestación.
Esquema de penalizaciones .
Obtención de resultados.
Informes de Gestión.
Para ayudarnos a realizar esta auditoría, el auditor debe de poseer amplios conocimientos sobre los
estándares que se emplean para el tratamiento y conservación de la información. Estos estándares son
CMMI, ISO 27001/BS7799 e ITIL.
El desarrollo y mantenimiento del software es un proceso costoso que debe ser controlado de forma
adecuada. La auditoría se encarga de comprobar que existen procedimientos de control para detectar
deficiencias y riesgos.
El software es un producto difícil de validar. Se ha convertido en una pieza fundamental de las áreas
informatizadas por lo que el mantenimiento es la parte del ciclo de vida que ocupa más tiempo y consume
más recursos. Una gran parte de los proyectos generan un software de baja calidad al no alcanzar los
objetivos planteados, es frecuente las desviaciones presupuestarias y temporales.
Para llevar a cabo la auditoría con éxito, es necesario delimitar el área a auditar. Podemos destacar
las siguientes áreas:
Planificación.
Plan de formación.
En este trabajo se propone como metodología de auditoría a aplicar la de ISACA basada en COBIT sobre los
objetivos de control definidos en la metodología Métrica v3 de desarrollo de sistemas.
Tipos de auditoría:
o Plan estratégico TIC de área a corto, medio y largo plazo coherente con el plan director TIC
de la organización que sirva de referente para los nuevos proyectos.
o Gestión de la calidad a través del uso de registro de problemas surgidos en los proyectos de
software y accesible a todos los miembros del área, realizar modificaciones periódicas del
plan de área con el fin de introducir mejora continua.
o Gestión del alcance del proyecto, situación actual, objetivos, alternativas de solución,
documentación de requisitos.
o Definición de la arquitectura del sistema, de los elementos físicos, de las excepciones, de los
módulos y de las estructuras de datos de forma correcta.
o Definición de los recursos necesarios para la explotación del sistema respetando los
estándares del área.
o Gestión del cambio para mitigar el riesgo, registrar las peticiones de cambio. Todo cambio
supone un nuevo proyecto.
Todos los sistemas de cámaras de TV (CCTV) y Video Vigilancia según la nueva ley de mayo de
2014, están obligados a pasar inspecciones periódicas trimestrales en caso de no estar conectados a central de
alarmas y Auditorías anuales según lo estipula la LOPD (Ley Orgánica de Protección de Datos).
La Auditoría se centra en todos los componentes externos al sistema de grabación como pueden ser
las placas identificativas, los contratos que el propietario tiene que tener actualizados con el personal o
empresas que trabajan o acceden a las fincas, la ubicación de las cámaras y su posible manipulación, la
educación del personal que visualiza o manipula las imágenes para evitar cesiones de imágenes no
permitidas, etc., en conclusión todo aquello que rodea a una instalación de CCTV o Video Vigilancia
(recordemos que la llamemos como la llamemos está obligada a cumplir la Ley de Protección de Datos)
Algunos ejemplos:
Es habitual que con el paso del tiempo, los sistemas de video vigilancia se vean afectados por incidencias ya
no solo en su sistema de grabación sino en los elementos externos que les afectan, a continuación se detalla
un claro ejemplo de reubicación de cámaras:
Existe una finca con un muro de seto de unos tres metros de altura, este no permite ver a la vía
pública, se instala un sistema de cámaras para controlar el interior de la parcela que está rodeada por el
seto, mientras el seto exista la instalación cumple con la normativa, pero cuando el seto sea cortado y este
se sustituya por una alambrada, entonces la ubicación de las cámaras no es la correcta dado que se está
grabando la vía pública. Hay que proceder al traslado de las cámaras ya que incumplen la ley de Seguridad
Privada y la LOPD.
Por estas y otras razones las instalaciones de CCTV y Video Vigilancia precisan de una Inspección
trimestral (del equipo y sistemas de grabación) y de una Auditoría anual (de los elementos que componen y
rodean a la instalación).
Estas inspecciones deberán ser realizadas por personal especializado y cualificado, en su caso por
Empresas de Seguridad auditoras de dichos sistemas.
Hay que resaltar que existen muchos tipos de Empresas de Seguridad. Solo una empresa de
seguridad registrada como Instaladora y Mantenedora de sistemas de Video Vigilancia y además Consultora
y Auditora de Sistemas de Seguridad puede realizar estas inspecciones.
Es muy corriente que se de el caso de un centro comercial que tiene en propiedad una instalación de
Video Vigilancia y ha contratado a una empresa de seguridad que le alquila a personal de seguridad para
proceder al control de dicho centro.
En este caso la empresa de seguridad solo se limita a ceder personal y además abunda en que la
instalación no es propiedad de la empresa de seguridad sino de una entidad o persona física que no dispone
de las autorizaciones legales para la gestión y mantenimiento de dicha instalación, por lo que la empresa de
seguridad que le cede el personal al no ser Auditora de Sistemas de Video Vigilancia no puede prestar los
servicios de auditoría según el reglamento de Seguridad Privada y el propietario de dicha instalación está
obligado por ley a pasar las correspondientes inspecciones por empresa Auditora de Sistemas de Seguridad,
más aún cuando en el centro comercial está instalado un CENTRO DE CONTROL.
Obligatoriedad de inspección:
Cuando las instalaciones permitan la comprobación del estado y del funcionamiento de los elementos
del sistema desde la central de alarmas, las revisiones preventivas tendrán una periodicidad anual, no
pudiendo transcurrir más de 14 meses entre dos sucesivas.
En el año 2009 la Agencia Española de Protección de Datos, consciente del problema existente con
los sistemas de Video Vigilancia y las cámaras Web IP instaladas en la mayoría de comunidades de vecinos,
comercios, etc., publicó una Guía en la que profundizaba en la reglamentación de estos sistemas de
grabación para disipar dudas sobre su correcta instalación y utilización.
La videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen
menos impacto en la privacidad.
No se podrán obtener imágenes de espacios públicos, actividad que está reservada en exclusiva a las
Fuerzas y Cuerpos de Seguridad en el ejercicio de sus funciones, salvo imágenes parciales y
limitadas que resulten imprescindibles para la vigilancia o sea imposible evitarlas. Tampoco se
pueden captar imágenes en baños, vestuarios o lugares análogos, ni de espacios ajenos.
La inscripción deberá incluir, entre otros datos, quién es el responsable del fichero, que
normalmente será el titular del establecimiento o lugar donde se instala el sistema de
videovigilancia.
Deber de información.
El responsable deberá adoptar las medidas de seguridad que resulten adecuadas para evitar la
alteración, pérdida, tratamiento o acceso no autorizado a las imágenes que, con carácter general,
serán las correspondientes al nivel básico.
El responsable deberá informar a quién tenga acceso a las imágenes sobre sus obligaciones de
seguridad (reserva, confidencialidad y sigilo) y de su deber de guardar secreto.
Se deberán adoptar medidas que impidan el acceso a las imágenes por parte de personal no
autorizado.
Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.
Cuando se produjese la grabación de un delito o infracción administrativa que deba ser puesta en
conocimiento de una autoridad deberán conservarse las imágenes con el único fin de ponerlas a
disposición de la citada autoridad sin que puedan ser utilizadas para ningún otro propósito.
Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las
Fuerzas y Cuerpos de Seguridad en lugares públicos.
Mi vivienda es una utilización privada por lo que no está afectada por la LOPD.
Mi plaza de garaje si es un garaje compartido con otros propietarios, le afectará la LOPD respecto a
comunidades de propietarios.
Control empresarial.
o El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime
más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes
laborales, que deberán guardar la consideración debida a la dignidad humana y tener en
cuenta la capacidad real de los trabajadores con discapacidad.
o Los sistemas de videovigilancia para control empresarial sólo se adoptarán cuando exista
una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las
imágenes y no haya otra medida más idónea.
Modelos:
La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el
cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la
protección de datos personales.
• Derecho de rectificación. Este derecho se caracteriza porque permite corregir errores, modificar los
datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de
tratamiento.
• Derecho de cancelación. El derecho de cancelación permite que se supriman los datos que resulten
ser inadecuados o excesivos sin perjuicio del deber de bloqueo recogido en la LOPD.
• Derecho de oposición. El derecho de oposición es el derecho del afectado a que no se lleve a cabo el
tratamiento de sus datos de carácter personal o se cese en el mismo.
• Otros derechos
o Derecho de acceso al sistema Schengen (es un sistema de información común que permite a
las autoridades competentes de los Estados miembros disponer de información relativa a
algunas categorías de personas y objetos).
La normativa española a nivel estatal sobre la protección de datos a noviembre de 2014 es la siguiente:
Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de
Protección de Datos.
1.- Resoluciones:
Resolución de marzo de 2011, de la Agencia Española de Protección de Datos, por la que se crea el
sello electrónico para su utilización por la Agencia Española de protección de Datos.
Resolución de 30 de mayo de 2000, de la Agencia de Protección de Datos, por la que se aprueban los
modelos normalizados en soporte papel, magnético y telemático, a través de los que deberán
efectuarse las solicitudes de inscripción en el Registro General de Protección de Datos.
2.- Instrucciones:
A la hora de auditar los procesos tenemos que tener en cuenta los siguientes elementos que se
extraen de la definición anterior:
- Auditoría de las transformaciones, operaciones, transacciones llevadas a cabo dentro del proceso
sobre los datos de entrada.
- Auditoría de los datos de salida resultantes de la aplicación del proceso sobre los datos de entrada.
Cada proceso tiene su contador de programa, registros y variables, aislados de otros procesos, aun
siendo el mismo programa en ejecución 2 veces. Cuando este último caso sucede, el sistema operativo usa la
misma región de memoria de código, debido a que dicho código no cambiará, a menos que se ejecute una
versión distinta del programa.
Los procesos son gestionados por el sistema operativo y están formados por:
- Su estado de ejecución en un momento dado, esto es, los valores de los registros de la unidad central
de procesamiento para dicho programa.
- Su memoria de trabajo (memoria crítica), es decir, la memoria que ha reservado y sus contenidos.
Todo lo anterior será necesario tenerlo en cuenta si se quiere auditar el proceso desde el punto de
vista informático. Sin embargo existen muchos más procesos relacionados directa e indirectamente con los
sistemas de información y las tecnologías de la información y de la comunicación que deben ser tenidos en
cuenta a la hora de realizar una auditoría informática en una organización.
Una clasificación de procesos para llevar a cabo una Auditoría de PROCESOS es la siguiente:
- Procesos PRODUCTIVOS.
- Procesos de Calidad.
- Procesos de mantenimiento: gestionar el cambio surgido durante la producción del sistema software.
Como se puede observar, ambas metodologías comparten en esencia los mismos procesos, aunque agrupados
Por la tanto podemos decir que los procesos comunes al desarrollo de productos software son:
- Gestión de proyectos.
- Gestión de requisitos.
- Gestión de riesgos.
- Gestión de cambios.
- Gestión de defectos.
- Gestión de configuración.
- Aseguramiento de la calidad.
Teniendo en cuenta las metodologías de referencia para la gestión de proyectos CMMI, PRINCE2, PMBOK
se establecen los siguientes procesos comunes en la gestión de proyectos:
- Procesos de iniciación del proyecto: al comienzo de un proyecto se deben determinar los objetivos
del mismo, hacer una planificación global de los recursos necesarios, hacer un presupuesto
económico estimado del mismo.
- Dirección del proyecto: controlar la totalidad del proyecto, tomar decisiones claves.
- Inicio del proyecto: realizar la planificación del trabajo a realizar, se debe conocer muy bien lo que
hay que hacer.
- Control de una fase: asignar trabajos, monitorizar y controlar los trabajos a realizar, manejar los
problemas y defectos, informar de los progresos en el proyecto, tomar decisiones sobre las acciones
correctivas que permitan respetar las tolerancias definidas sobre el proyecto.
- Gestión de los Límites de Fase: revisar el éxito de la fase, aprobar el plan de la fase siguiente,
confirmar la justificación del negocio y la aceptabilidad del riesgo.
A continuación se muestran en una tabla los elementos a tener en cuenta para auditar los procesos de gestión
de proyectos basados en PRINCE2 o PMBOK.
Puesta en Descripción del - Plan de inicio - Definir y nombrar al Equipo de Gestión del
marcha del negocio. proyecto Proyecto.
proyecto.
- Expediente - Recopilar lecciones aprendidas de proyectos
proyecto. anteriores.
Necesidades del
negocio. - Equipo de gestión - Elaborar el Expediente del Proyecto.
de proyecto.
- Planificar la Fase de Inicio.
Inicio del - Plan de inicio - Registro de - Preparar la estrategia de Gestión del Riesgo.
proyecto proyecto riesgos.
- Preparar la estrategia de Gestión de la
- Expediente - Registro de Configuración.
proyecto. cuestiones.
- Preparar la Estrategia de Gestión de la
- Equipo de gestión - Registro de Calidad.
de proyecto. calidad.
- Preparar la Estrategia de Gestión de la
- Documentación de Comunicación.
Inicio del
- Configurar el Control del Proyecto.
Proyecto (PID).
- Crear el Plan de Proyecto.
- Plan de Revisión
de Beneficios. - Refinar el Business Case.
- Preparar la Documentación de Inicio del
Proyecto (PID).
Plan de fase
siguiente.
Expediente
proyecto.
Equipo de gestión
de proyecto.
Informes final de
fase, de Excepción,
de desarrollo.
Informe final del
proyecto.
Informe final el
proyecto.
Lecciones
aprendidas.
Plan de lecciones
Aprendidas.
Registro de riesgos,
de calidad.
Revisión de
beneficios.
Registro de riesgos,
de calidad.
Revisión de
beneficios.
La Metodología MAGERIT, es un método formal para investigar los riesgos que soportan los
Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar
estos riesgos. Fue desarrollado por el Ministerio de Hacienda y Administraciones Públicas del Gobierno de
España.
- Identificar riesgos, fuentes y categorías de riesgos que puedan afectar al proyecto, estableciendo los
planes y acciones necesarias para poner en marcha si un riesgo se materializa.
- Monitorizar los riesgos detectados, y si es posible, solucionarlos o mitigarlos, llevando a cabo las
acciones o planes previstos para mitigarlos, de forma que impacten lo menos posible en el proyecto
Es interesante tener datos relativos a los riesgos de un proyecto, para ello se proponen las siguientes
métricas como datos resultantes del proceso de gestión de riesgos:
Procesos Productivos.
Los objetivos de los procesos productivos están encaminados a la producción industrial de forma
masiva de un producto para satisfacer las necesidades de los consumidores. Los procesos productivos más
relevantes se muestran a continuación:
- Diseño e infraestructura
Algunos de los objetivos de la Auditoría de procesos productivos son los que se enumeran a continuación:
- Analizar las condiciones y factores administrativos y directivos que inciden sobre la gestión de
producción en la empresa.
- Proponer programas de mejoramiento y posibles herramientas de gestión para ayudar a corregir las
desviaciones y/o falencias detectadas.
Como resultado de la auditoría se esperan los siguientes resultados y beneficios que permitan mejorar los
procesos productivos:
- Identificar los factores y elementos de producción que afectan a la productividad y calidad de los
procesos.
- Identificar eficacia de los puntos y mecanismos de control existentes en los procesos productivos.
Los procesos administrativos tienen relación con la planificación, organización, dirección y control.
Los procesos administrativos están presentes en todas las áreas funcionales de las organizaciones y dependen
de cómo se realicen los procesos en las mismas.
Los sistemas de planificación de recursos empresariales (ERP, por sus siglas en inglés, enterprise
resource planning) son sistemas de información gerenciales que integran y manejan muchos de los negocios
asociados con las operaciones de producción y de los aspectos de distribución de una compañía en la
producción de bienes o servicios.
Los sistemas ERP típicamente manejan la producción, logística, distribución, inventario, envíos,
facturas y contabilidad de la compañía de forma modular. Sin embargo, la planificación de recursos
empresariales o el software ERP puede intervenir en el control de muchas actividades de negocios como
ventas, entregas, pagos, producción, administración de inventarios, calidad de administración y la
administración de recursos humanos.
- Procesos de Consultoría.
La calidad se define como “grado en que un conjunto de características inherentes cumple con unos
requisitos” [ISO 9000:2000]. El Aseguramiento de la Calidad pretende dar confianza en que el producto
reúne las características necesarias para satisfacer todos los requisitos del Sistema de Información.
Por tanto, para asegurar la calidad de los productos resultantes el equipo de calidad deberá realizar
un conjunto de actividades que servirán para:
- Reducir, eliminar y lo más importante, prevenir las deficiencias de calidad de los productos a
obtener.
- Alcanzar una razonable confianza en que las prestaciones y servicios esperados por el cliente o el
usuario queden satisfechas.
- Identificar las posibles desviaciones en los estándares aplicados, así como en los requisitos y
procedimientos especificados.
- Comprobar que se han llevado a cabo las medidas preventivas o correctoras necesarias.
Las revisiones son una de las actividades más importantes del aseguramiento de la calidad, debido a
que permiten eliminar defectos lo más pronto posible, cuando son menos costosos de corregir. Además
existen procedimientos extraordinarios, como las auditorías, aplicables en desarrollos singulares y en el
transcurso de las cuales se revisarán tanto las actividades de desarrollo como las propias de aseguramiento de
calidad. La detección anticipada de errores evita el que se propaguen a los restantes procesos de desarrollo,
reduciendo substancialmente el esfuerzo invertido en los mismos. En este sentido es importante destacar que
el establecimiento del plan de aseguramiento de calidad comienza en el Estudio de Viabilidad del Sistema y
1. Planificar la calidad.
Para realizar la auditoría de estos procesos será necesario analizar las entradas, salidas y tareas
realizadas. Las tareas dependerán del marco de referencia tomado para la gestión de los proyectos.
Con carácter general podemos enumerar las siguientes entradas y salidas para estos procesos.
CMMI e ISO 15504 (conocida también como SPICE, Software Process Improvement and Capability
Determination) están liderando la certificación de las normativas en organizaciones de tamaño medio-alto
que ofrecen servicios en software. ISO 15504 se está convirtiendo como el estándar escogido por las
empresas europeas para la evaluación de la capacidad de los procesos (nivel de madurez). Así lo indica el
detallado estudio realizado por INTECO en 2010. El alcance de la norma ISO 15504 es el de Ejecutar,
planificar, gestionar, controlar y mejorar los procesos de: adquisición, suministro, desarrollo, operación,
soporte, mantenimiento y organización. ISO 15504 es independiente del tipo de organización, modelo de
ciclo de vida, metodología de desarrollo y de la tecnología utilizada
ISO/IEC 15504 desarrolla un modelo 2-D de evaluación de la capacidad del proceso, donde se valora
la organización de desarrollo software en la dimensión del proceso contra los atributos del proceso en la
dimensión de capacidad. Desde 2003 se ha ido desarrollando la familia, estando éstas en continua evolución.
Los procesos a los que ISO 15504 hace mención están estandarizados en Software life cycle
processes. ISO/IEC 12207 IEEE Std 12207-2008.
Como resultado de la auditoría de calidad, se pueden proponer cambios, acciones correctivas, reparación
de defectos y acciones preventivas encaminadas todas ellas a la consecución de los objetivos enumerados
anteriormente.
Una organización es un claro reflejo de su dirección. Lo modos y maneras de actuar de aquella están
influenciados por la filosofía y la personalidad de esta. Los departamentos informáticos no son ninguna
excepción, debido a este motivo auditar la dirección informática, es la principal solución para resolver
futuros problemas, y evitar que estos aparezcan.
Vamos a separar esta funcionalidades en tres grupos, y vamos a comentar que líneas y que
soluciones se han propuesto para auditar la dirección del departamento informático.
Planificar
El plan nos demuestra que se ha reflexionado sobre el objeto del documento y, por tanto, por lo que
existe una actividad consciente de organización y análisis de las alternativas para emplear esto, y que se
evalúan posibles riesgos.
Además con el plan nos marca el camino, pone objetivos, adjudica responsabilidades y tareas, y
coloca los plazos para estas tareas. Estos son fundamentales para calcular el avance que toma el proyecto, y
conocer la fortaleza de la organización que los creo. Existen una gran variedad de planes.
En primer lugar hablaremos del plan estratégico de Sistema de Información, este es el marco básico
de actuación de los sistemas de información en la empresa, debe de asegurar el alineamiento de los mismos
con los objetivos del negocio. En algunas organizaciones, transformar los objetivos del negocio, en objetivos
del sistema de información, es muy complicado y para nada algo lineal.
La vigencia del plan estratégico es muy variable, ya que en un entorno informático, esto varía
continuamente, pudiendo llegar a durar un plan 3 o 4 años, o llegando a durar únicamente meses, la duración
de estos planes depende de muchas factores, entrando la cultura empresaria, el sector de la empresa, sector
financiero y otros tantos mas. El auditor deberá de ser el encargado de comprobar que estos plazos se
Por último el plan de recuperación ante desastres, lo que indicaran las medidas que se tomaran en
caso de desastres, en este plan el auditor lo que se centrara, en comprobar que las medidas que se tomarían
son correctas, y en qué medida se subsanaría los posibles desastres, y comprobar que se asignan suficientes
recursos a estas medidas.
Organizar y Coordinar
Estos procesos sirven para estructurar los recursos y los flujos de información y los controles que nos
permitirá alcanzar los objetivos marcados para la planificación.
Para esta labor es muy importante explicar el comité de Informática. uno de las problemas más
grande dentro de la informática, es la falta de comunicación y entendimientos entre el departamento de TI y
el resto de la empresa, este es el lugar donde se debaten los grandes asuntos de la informática que afectan a
toda la empresa y permite a los usuarios conocer las necesidades del conjunto de la organización y participar
en la fijación de prioridades.
No hay ninguna regla fija que establezca como se forma el comité, pero si es muy frecuente, que este
esté formado por pocas personas, y que este presidido por el director mas sénior dentro de la empresa, este
será el responsable final de las tecnologías de información. Este comité se podría asemejar a la junta de
proyecto que nos marca prince2.
Debido que este es el mayor órgano decisorio sobre el papel de las TI, ningún auditor debería de
sobrepasar el control y evaluación del comité. Para ello debe de evaluar las decisiones tomadas por el comité,
y ponerlas a evaluación. Para ello el auditor debe de realizar una lectura de la normativa interna y entrevistar
a los miembros del comité, para comprobar si estás de acuerdo con las decisiones que esta toma.
Después de recapitular toda la información relacionada con el comité, este debe de comprobar que
las funciones que este toma, son llevadas a cabo correctamente. Para ello es necesario tener las actas de las
Otras de las funcionalidades que debe de llevar a cabo el auditor es comprobar los siguientes puntos:
Posición del departamento de TI dentro de la empresa, para ello el auditor deberá de revisar el
emplazamiento organizativo del departamento TI, y evaluar su independencia frente a la empresa, para este
proceso lo mejor será realizar entrevistas.
También y menos común es que el auditor compruebe los recursos humanos, en esta parte lo que
debe de comprobar que el personal contratado, cumple con la formación y experiencia para poder llevar a
cabo las tareas que se le han sido asignadas.
Controlar
La dirección sin un control y un seguimiento, no se podría llevar a cabo. Por este motivo la dirección
debe de tener un control y efectuar un seguimiento permanente de la actividad en todo momento. Por lo que
hay que comprobar y vigilar que se lleva a cabo la elaboración del plan estratégico y operativo, la ejecución
d estos, y la evolución de los costes y los planes de evolución.
Para esta función es fundamental que existan estándares de rendimientos, para poder evaluar la
evolución de un proyecto. Para gobernar y controlar los acuerdos entre usuarios y departamento de TI, se
emplea los llamados acuerdos del nivel de Servicio ANS.
El ANS es un conjunto de documentos que reflejan acuerdos entre dos partes, permite medir como se
cumplen estos acuerdos, en medida de un estándar. Debido a lo subjetivos que puede ser tal tarea, esto nos
permite objetivar las relaciones.
Para ellos el auditor se debe de encargar de estudiar y analizar los procesos existentes para la
negociación de los ANS, el auditor no es el encargado de comprobar lo justo que es el acuerdo, sino mas
bien que existen y que cumplen sus funciones, y que pone de acuerdo a ambos interesados del acuerdo.
Conclusiones
Debido a la gran implantación de los sistemas de Gestión de Bases de Datos SGBD, junto a la
importancia que tienen los datos, llegando a ser en gran parte de las empresas los recursos fundamentales de
las empresas, hacen que los temas relacionados con el control interno y la auditoría cobren cada día más
interés. Las bases de datos son el centro de los sistemas de información de la organización, por lo que el
buen funcionamiento de estas, es una de las necesidades básicas para que una empresa funcione
correctamente.
Por último, el control interno y la auditoría de bases de datos, son muy beneficiosos para el control y
auditoría de las aplicaciones que acceden a las mismas, por lo que es un motivo primordial para poder
confiar en el correcto funcionamiento de todo sistema de información.
Para comenzar la auditoría fijará los objetivos de control que garantizan la confidencialidad,
integridad y calidad de los datos de la base de datos, se determinarán las técnicas de control a aplicar y se
diseñarán las pruebas a realizar.
El marco de referencia COBIT para la auditoría recomienda los siguientes objetivos de control:
Para cada uno de estos objetivos de control se definen diferentes subojetivos y métricas.
Antes de realizar cualquier auditoría es necesario llevar a cabo un estudio de viabilidad con un análisis de
coste-beneficio del proyecto de auditoría. Una vez aceptado el proyecto será necesario elaborar un Plan
Director que hay que seguir. En este plan deben fijarse los objetivos de control siguientes:
Auditoría del diseño y Verificar corrección diseño lógico + diseño físico (en especial
carga de la BD asociaciones de elementos, restricciones oportunas,
especificaciones almacenamiento y seguridad)
o Procedimientos de preparación
o Distribución de salidas
Revisión post- Aunque se hace en pocas entidades, se debería hacer una evaluación
implantación a posteriori de los beneficios conseguidos con la implantación de la
BD:
Componentes de la BD
Auditoría del
Kernel
SGBD
Catálogo
Auditoría del
Software de auditoría (extracción de datos-pistas, seguimiento
entorno
transacciones...)
SGBD
Monitorización y ajuste (estadísticas, tiempos, avisos degradación...)
Diccionario de datos (ahora lo llevan todos los SGBD, pero antes había
algunos que no. Que lo lleven no significa que se use..., ni que se use
bien...)
L4G externos (las aplicaciones generadas con L4G externos tienen que
Las técnicas no difieren mucho de las de cualquier otra área de la auditoría informática.
Es la técnica básica.
Matriz que por un lado lleva el elemento a controlar y, por la otra, los tipos de controles de seguridad
(preventivos, detectivos y correctivos) que se han diseñado para ellos. En su cruce llevará la
enumeración de dichos controles y la opinión del auditor sobre su funcionamiento. Si no hay, casilla
en blanco.
Se documentan todas las fases (flujo) por las que pasa un dato desde su introducción por un ente
(usuario / máquina) hasta que se almacena en la BD, identificando los componentes por los que pasa
y los controles asociados (definidos por la entidad)
Esto mismo se realiza con los datos que se obtienen del procesado de otros (por qué componentes
pasan -programas, cadenas, almacenamientos transitorios- y a qué controles es sometido.
Esta técnica permite detectar debilidades del sistema que pongan a los datos en riesgo a nivel de:
o Integridad
o Confidencialidad
o Seguridad
Hay que poner especial cuidado en el análisis de los interfaces entre componentes y los
almacenamientos transitorios (debilidades de seguridad).
Conclusiones
Como hemos podido comprobar el entorno que rodea al SGDB, se ha vuelto cada vez más grande y
complejo, por lo que el auditoría requiere de un controlo personal especializado, ya que el entorno no es
trivial, y en ningún caso es igual, por lo que realizar al pruebas requiere de un estudio más detallado de toda
la arquitectura que rodea al SGBD, como hemos visto el SGDB es el corazón de los sistemas de información,
y como sabemos este puede llegar a ser los recursos más importante de una organización..
La Auditoría de explotación es el control que se realiza sobre las funciones del Sistema de
Información para asegurar que las mismas se efectúen de forma regular, ordenada y que satisfagan los
requisitos empresariales.
El nivel de competencia que existe, hoy en día, entre las empresas les obliga a tomar decisiones
rápidas y acertadas. Es necesario, para ello el funcionamiento adecuado de los sistemas informáticos
(mediante la incorporación de las nuevas tecnologías) y su continua actualización.
Combinando los nuevos avances tecnológicos con una adecuada organización y una gestión
eficiente, las empresas podrán alcanzar sus objetivos de manera satisfactoria. La auditoría informática
periódica es uno de los instrumentos más eficaces con que cuentan las empresas para asegurar su existencia y
superar a sus competidores. La detección oportuna de las debilidades del sistema permite mejorarlo
racionalizando los recursos.
Componente Descripción
Carta de Encargo En este documento debe quedar reflejado de la forma más clara posible,
entre otros aspectos, cuál será el alcance del trabajo del auditor.
Para llevar a cabo esta tarea es necesario conocer entre otros aspectos los
siguientes:
Los controles necesarios en este tipo de sistema pueden dividirse en los de carácter general y en
relacionados con la aplicación. En la tabla siguiente se describen ambos tipos:
FUNCION DE PUESTO
PROCESAMIENTO
Análisis y Diseño de Sistemas Analista de Sistemas
Programación Programador
Una vez establecidos los controles, es necesario hacer el seguimiento y comprobar que el sistema de
información está actuando como es preceptivo, éste habrá de disponer de un control interno que prevenga los
eventos no deseados o en su defecto los detecte y los corrija.
Es función del auditor evaluar el nivel de control interno; también es de responsabilidad juzgar si los
procedimientos establecidos son los adecuados para salvaguardar el sistema de información.
b. Pruebas Sustantivas.
Este tipo de pruebas se realizan cuando no existen normas o manuales, por lo cual es necesario
realizar cálculos y utilizar técnicas para comprender y evaluar los riesgos.
El objetivo de las pruebas sustantivas consiste en realizar las pruebas necesarias sobre los datos para
que proporcionen la suficiente seguridad a la dirección sobre si se ha alcanzado su objetivo
empresarial.
La labor del auditor de sistemas de información es esencial para garantizar la adecuación de los
sistemas de información; para ello el auditor debe realizar su trabajo ateniéndose a las normas de Auditoría
de sistemas de información generalmente aceptadas, como requisito necesario de garantice la calidad del
trabajo realizado y que la evidencia de este trabajo quede documentada.
Todas estas amenazas y cualquier otra que pueda ser identificada contra el correcto
funcionamiento de las aplicaciones y la consecución de los objetivos han de ser objeto de un
análisis minucioso.
Evaluar la efectividad de los controles existentes y sugerir nuevos controles con el fin de
minimizar riesgos y fortalecer el control de dichas aplicaciones.
Controles en la salida : Los controles en la salida sirven para verificar la exactitud, funcionalidad,
además del adecuado uso y distribución de los reportes
Controles manuales : a realizar normalmente por parte del personal del área usuaria:
actuaciones previstas para asegurar que -en su caso- se preparan, autorizan y procesan todas las
operaciones, se subsanan adecuadamente todos los errores, son coherentes los resultados de salida
respectos a referencias disponibles sobre los datos de entrada, y las bases de datos que dan soporte a
la aplicación mantienen en los niveles debido diferentes indicadores de medición de su integridad y
totalidad (números de registros en ficheros y/o tablas, de relaciones o índices, totales de magnitudes
numéricas, conciliaciones, etc. )
Controles preventivos: Tratan de ayudar e evitar la producción de errores a base de exigir el ajuste
de los datos introducidos a patrones de formato y estructura (dato numérico, fecha válida, etc.),
pertenencia a una lista de valores válidos , rango entre límites determinados, incorporación de dígitos
de control en datos clave (códigos de identificación, referencias de documentos, nomenclaturas, etc.)
y , en general, cualquier criterio que ayude a asegurar la corrección formal de y verosimilitud de los
datos (la exactitud sólo puede garantizarla el usuario).
Etapas de la Descripción
Auditoría de una
Aplicación
Informática.
Programa de Revisión 1. Identificar el área a revisar (por ejemplo a partir del calendario de
revisiones) notificar al responsable del área y prepararse
utilizando papeles de trabajo de auditorías anteriores.
o Generación de datos.
o Entrada de datos.
o Procesamiento de datos.
o Distribución de datos.
o Validación de códigos.
o Rango.
Cotejo de registros.
Controles de Documentación
Comprobar que los jefes de ara se informen de faltas de documentación adecuada para sus empleados.
Que los usuarios no acepten una nueva aplicación sin su documentación correcta.
Resulta necesario estudiar medidas para salvar circunstancia de tipo accidental o intencional que
impida la continuidad de la operatoria.
Backup de equipos: se trata de abarcar todas las posibilidades que podrían presentarse en un
centro de cómputos. Las variantes frente a esta situación son:
o Tener equipo de repuesto: El equipo de repuesto puede ser total (lo que implica duplicar el
hardware) o limitarse a ciertas unidades en función de un análisis previo, elementos que
deberían situarse en un lugar no muy próximo al centro de procesamiento.
Backup de archivos maestros o base de datos: La necesidad de contar con elementos de respaldo
está motivada por cinco clases de circunstancias:
o Errores de procedimientos.
o Acontecimientos naturales.
Pautas para el establecimiento de un sistema de Backup: Todas las tareas referentes al estudio de
las medidas a adoptar para la estrategia de “backup” y recuperación, planeamiento y
documentación de todas las normas a emitirse y la revisión periódica son responsabilidad del
Administrador de la Base de Datos.
Un elemento importante es la realización de pruebas para verificar que las estrategias adoptadas
funcionan, técnica y administrativamente.
Para construir una norma para el resguardo de los archivos maestros se deben considerar los siguientes
puntos:
El auditor realizará una exhaustiva inspección del lugar de “backup” y determinará el nivel de protección
que proporciona contra robo, accesos no autorizados y destrucción de la totalidad de los elementos
almacenados (esta observación está ligada con la documentación del software y otros elementos que
también se guardan en el lugar del backup.)
Pruebas de aplicaciones criticas en el entorno de backup, con los materiales del plan de
contingencia (soporte magnético, documentación, personal, etc)
Grabación de todas las transacciones realizadas durante el día por teleproceso, para facilitar la
reconstrucción de ficheros actualizados durante el día en caso de fallo del sistema.
Consiste en determinar que metodología se utilizara para probar los datos o procesos del sistema,
generalmente se usa lo siguiente:
Con la ayuda de este software o técnica asistida por computador, se realizan pruebas de auditoría, estas
pruebas incluyen por ejemplo:
Pruebas de rangos, se usan para probar que los datos en prueba son válidos porque están en
un rango de valores adecuado.
Pruebas de excepciones, se usan para verificar que el procesamiento de las transacciones es correcto
que no existen excepciones en los datos con los que trabaja el sistema
Verificación que los programas de utilidad se utilizan correctamente (cuando no se puede utilizar
software de auditoría).
Comprensión por los usuarios de los informes e informaciones de salida de las aplicaciones.
Revisión de los controles de recepción, archivo, protección y acceso de datos guardados sobre todo
tipo de soporte.
Resolución fácil de problemas, errores, irregularidades y omisiones por buenos contacto=s entre
usuarios y el personal de Centro de Procesamiento de Datos.
Evaluación de la revisión y/o resultados de pruebas. En esta etapa se identifican y evalúan los puntos
fuertes y débiles de los procedimientos y prácticas de control interno con su adecuación, eficiencia y
efectividad. Cuando se identifique una debilidad de determinara su causa.
La finalidad principal de este tipo de auditoría es proporcionar datos del rendimiento, siendo la utilidad de la
misma la generación de recomendaciones en forma de informes que ayuden a determinar las mejoras que
precisa la red para garantizar las necesidades de los usuarios de los aplicativos, tanto en el presente como en
el futuro.
Se debe contar con un mapa de la topología de red, como punto de partida para la primera de las
fases de este tipo de auditoría, el análisis del rendimiento. Como resultado, se obtendrá principalmente una
solución ERP (Enterprise Resource Planning o Planificación de Recursos Empresariales). Un ERP es un
Uso comparativo.
Salud de la red en aspectos globales.
Análisis de errores.
Determinación de los diez principales emisores de tráfico en la red.
Determinación de los diez principales receptores de tráfico en la red.
Distribución y uso de los protocolos de comunicaciones.
Entrevistas
Cuestionarios
Encuestas
Levantamiento de inventario
Técnicas de observación
Técnicas de revisión documental
Matriz FODA
Listas de chequeo
Técnicas de muestreo
Trazas o Huellas
Log’s
Modelos de simulación
Las principales herramientas de software libre empleadas en las auditorías de redes son las
siguientes:
En la auditoría de seguridad física nos vamos a centrar en estudiar los riesgos y vulnerabilidades que
pueden afectar a la seguridad física en concreto, a si como a las medidas o pautas que se deben seguir para
proteger nuestros sistemas.
Para la evaluación del nivel de Seguridad Física que tienen los sistemas de información es necesario
analizar los riesgos y amenazas principales.
Por ejemplo, si un empleado de una gran entidad, que en principio puede parecer poco importante,
maneja información relevante o importante, como puede ser la gestión de nóminas, y la almacena en su PC,
realizando o no copias en el servidor de datos, estaríamos hablando de un problema de gestión o formación,
pero en cualquier caso perteneciente al ámbito de la seguridad lógica.
Hemos hablado ya del centro computacional o centro de cómputo, que es donde en una entidad se
disponen los elementos informáticos más críticos para ésta, como las consolas de administración, los
dispositivos de red, los servidores de datos y aplicaciones, etc. por tanto nuestros esfuerzos se centraran en
revisar la Seguridad Física de este lugar, haciendo una revisión general y más relajada del resto de equipos o
sistemas, llamados de usuario final, y que siguiendo una buena política de seguridad lógica, su pérdida no
deberá suponer para la entidad más que su valor económico.
Preparación
Como en toda auditoría informática, debe existir un trabajo previo, que debe de constar de los puntos
que hemos comentado en el capítulo anterior. Para el caso de la Auditoría Informática de la Seguridad Física
no se dan unos requisitos o características concretas de este trabajo, por lo este proceso seguirá ya expuesto
sobre el trabajo preparatorio, y contará, por tanto, con las siguientes fases.
Vamos a ver, de las distintas fuentes de las que podemos obtener información, como son la
documentación, el personal, las revisiones y pruebas y las fuentes externas a la entidad, las que más nos
La observación
Por ello, intentaremos recabar la máxima información realizando observaciones, que no constarán en
los planes de trabajo, pero que quedarán a juicio del auditor. De esta manera, simplemente deambulando por
las instalaciones de la entidad, podremos recabar la máxima información posible.
a) Acceso al edificio:
Se deberá intentar acceder a las instalaciones sin identificarnos como auditores, tanto por la entrada principal
como por otras que pudiéramos encontrar. Se deberán anotar todos los controles por los que pasamos, y si
finalmente conseguimos acceder. Es posible que en entidades grandes exista la posibilidad de que en la
entrada principal nos den el alto y podamos acceder como visitantes. No debemos revelar nuestra identidad
para así proseguir con nuestra investigación
Si hemos conseguido acceder al edificio, tanto si lo hemos hecho como intrusos como si lo hemos hecho
como visitantes, deberemos realizar algunas comprobaciones más en el interior de éste. Si por el contrario no
hemos podido tener acceso a las instalaciones, los puntos que detallamos a continuación los deberemos
comprobar, en la medida de lo posible, durante el proceso de auditoría.
Dispositivos eléctricos.
Dispositivos de red.
Limpieza.
Sistema antiincendio.
Es posible, y deseable, que el acceso al entorno más directo del hardware no nos haya sido permitido, no
Puertas abiertas.
Temperatura.
Comida y bebida.
Limpieza.
La documentación
La documentación que se debe solicitar a la entidad auditada dependerá en función de los objetivos,
ámbito y profundidad de la auditoría en concreto, pero a rasgos generales, se deben solicitar los siguientes
documentos para más adelante proceder a su análisis y revisión. Más adelante los principales aspectos que se
deben analizar de cada documento solicitado.
Como hemos comentado en el capítulo de Seguridad Física, el entorno de las instalaciones nos va a
determinar el nivel de riesgo que suponen las distintas amenazas. Por tanto, se deberá realizar un estudio del
entorno de las instalaciones para conocer ante qué amenazas debemos hacer un mayor esfuerzo en seguridad
y cuales nos van a afectar poco o muy poco, y por lo tanto podremos instalar sistemas de seguridad más
relajados. No obstante, al margen de este pequeño estudio, se podrá recabar más información al respecto
incluyendo preguntas relacionadas en cuestionarios y entrevistas.
Los mejores métodos para obtener información puedan ser a través de cuestionarios o entrevistas,
o revisiones o pruebas.
Por último tenemos que realizar un informe que ponga en común todo lo analizado y
encontrado.
Para realizar una auditoría se debe realizar una planificación de la misma; y un estudio preliminar de
la misma. También tenemos que tener en cuenta los estándares que existe sobre el tratamiento de los datos.
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos
previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus
sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde
el punto de vista de los dos objetivos:
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la
organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación
preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá
incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo
de la misma.
Investigación preliminar
Se deberá observar el estado general del área, su situación dentro de la organización, si existe la
información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las
áreas basándose en los siguientes puntos:
ADMINISTRACIÓN: Se recopila la información para obtener una visión general del departamento por medio
de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y
alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática
SISTEMAS: Descripción general de los sistemas instalados y de los que estén por instalarse que contengan
volúmenes de información, manual de formas, manual de procedimientos de los sistemas, descripción
genérica, diagramas de entrada, archivos, salida, salidas, fecha de instalación de los sistemas, proyecto de
instalación de nuevos sistemas.
No tiene y se necesita.
No se tiene y no se necesita.
No se usa.
Es incompleta.
No está actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está completa.
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
Personal participante
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que
intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de
recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y
capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que
hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la
auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas
requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un
grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi
imposible obtener información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento que se
solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen
aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo
el punto de vista de la dirección de informática, sino también el del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener
personas con las siguientes características:
Técnico en informática.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos de los sistemas más importantes.
Una vez que se ha hecho la planeación, se puede utilizar un formato en el que figura el organismo,
las fases y subfases que comprenden la descripción de la actividad, el número de personas participantes, las
fechas estimadas de inicio y terminación, el número de días hábiles y el número de días/hombre estimado. El
control del avance de la auditoría se puede llevar mediante un informe, el cual nos permite cumplir con los
procedimientos de control y asegurar que el trabajo se está llevando a cabo de acuerdo con el programa de
auditoría, con los recursos estimados y en el tiempo señalado en la planeación.
Pasos a seguir
Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos
globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de
auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna
evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que
prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la
gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el
trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por
la gerencia.
Informe
Después de realizar los pasos anteriores y de acuerdo a los resultados obtenidos, el auditor realizará
un informe resultante con observaciones y/o aclaraciones para llevar a cabo dentro de las áreas involucradas
para el mejor funcionamiento del sistema.
ISO/IEC 27000-series: La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la
Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar,
implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información
(SGSI).
COBIT: Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en inglés: Control
Objectives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de
Existen una gran confusión entre auditoría, consultoría y control interno. Una auditoría es un examen
crítico y sistemático de un sistema con el objetivo de localizar vulnerabilidades y riesgos e identificar los
cambios e impactos en el sistema. Como resultado de auditoría se obtiene una opinión profesional que
mejore la eficiencia y eficacia del sistema. Sin embargo la consultoría es un análisis de una actividad
encaminada a dar un consejo sobre la forma mejor de llevarla a cabo. Toda auditoría requiere de controles
internos que permitan identificar los cambios y corregir los errores e irregularidades. Por el contrario un
control interno no implica necesariamente una auditoría.
Como vemos la auditoría está muy relacionada con la gestión de riesgos de una organización y con la
gestión de la calidad total de la misma.
Existen varias razones por las que una organización decide someterse a una auditoría:
Fraude informático.
De acuerdo a estos objetivos, se establecen los siguientes objetivos generales para la auditoría
informática:
Como cualquier actividad profesional debe diseñarse una metodología para llevar a cabo la auditoría
informática. En este trabajo hemos echado en falta una metodología específica para la auditoría informática,
sin embargo, hay bastante literatura respecto a la financiera. Los organismos internacionales que se ocupan
del control y auditoría de sistemas de información son referentes para los estándares:
En todas las metodologías se aplican principalmente dos herramientas: las entrevistas cara a cara con
los diferentes responsables de la organización, las listas de comprobación de items y las matrices de
trazabilidad de objetos.
Otros de los puntos a destacar es el contrato de auditoría, ya sea como servicio o como obra.
Respecto a este contrato comentar los problemas jurídicos que tienen tanto cliente como proveedores para
reclamar en los juzgados las garantías de los mismos. Esto es debido a la naturaleza de los contratos de
auditoría informática. Como indicamos al principio, este tipo de auditoría tiene una naturaleza muy diferente
a la auditoría financiera por lo que se necesita una regulación jurídica específica. En este punto se abre un
nuevo campo profesional para los ingenieros informáticos además de ser auditor, consultor, analista o
programador, sería forense informático al que se le exigirían además de conocimientos técnicos,
conocimientos para el peritaje de auditorías.
Como podemos observar queda mucho por hacer en este campo desde proponer una metodología
estándar hasta un marco legal que regule la contratación, ejecución y finalización de la auditoría. Es
importante que se puedan garantizar en un estado de derecho responsabilidades y derechos de consumidores
y proveedores en el marco de un contrato comercial.
Respecto a las diferentes auditorías existentes, podemos distinguir que existen auditorias con
Algunas auditorias como la de Outsoucing TI, el auditor debe de tener una mentalidad mas jurídica,
y tener conocimientos más amplios sobre legislación, ya que lo que debe de auditar son unos contratos, y
comprobar que estos se cumplen, otras auditorias como la dirección informática, el auditor debe de tener una
mentalidad mas empresarial, ya que debe de evaluar si la dirección de la empresa se basa en unos estándares
o puntos de buenas prácticas. Aquí entraría el perfil de auditor de estándares como Prince2 o Pmbook. Donde
el auditor debe de comprobar si la empresa cumple los estándares correctamente.
Por otro lado, hay otras auditorias como la de seguridad lógica, redes o aplicación donde el auditor
debe de tener mayor experiencia como informático, y una especialidad mas remarcada, ya que debe de
conocer las distintas tecnologías que se aplican para desplegar una red en un ambiente empresarial, o el
software empleado para realizar un sistema de información, y los distintos SGBD.
Otras auditorias como es la seguridad física, necesita un perfil de auditor completamente especifico
para auditar la materia, ya que lo que consiste en evaluar los mecanismo de seguridad ante problemas de tipo
físico, por lo que requiere una formación más específica sobre prevención de riesgos.
También podemos comprobar que hay muchos puntos en común entre las distintas auditorias, como
puede ser el uso de los estándares para el tratamiento y almacenamiento de datos de índole personal, las
auditorias que comparten esto, son las de base de datos, explotación, seguridad lógica, y algunas auditorias
en menor medidas.
Un punto a destacar dentro de algunas auditorias, es que algunas necesitan de un tratamiento previo a
la auditoria, por ejemplo logs o diario de trabajo, ya que para auditar una dirección de informática, es muy
importante comprobar los planes de trabajos y como se han ido cumpliendo, así que si la empresa carece de
estos puntos es imposible hacer una auditoria de esta índole.
Todas las auditorias tienen una serie de prácticas propias para realizar la auditoria, pero casi ninguna
tiene un estándar a seguir, por lo que cada auditor actúa bajo su experiencia, o bajo los estándares
establecidos por la empresa. También podemos destacar que muchas empresas encargadas de desarrollar
SGBD como Oracle, ponen a la mano de los auditores directivas y algunas herramientas de como poder
realizar las auditorias. Pero fuera de estos puntos todas las auditorias el auditor no tiene un camino marcado
para actuar, solo una serie de puntos a seguir para realizar la auditoria.
Piattini M., del Peso E., del Peso M. Auditoría de Tecnologías y Sistemas de Información. Ra-
Ma 2008.
Piattini, M., E. Del Peso, Auditoría Informática: un enfoque práctico, Ra-Ma, 1997.
ERP: Guía práctica para la selección e implantación. Luis Muñiz. Editorial Gestión 2000. 2004
Dolado, J. J; Fernández, l. y otros. Medición para la gestión en la Ingeniería del Software. Ra-Ma, 2000
Piattini, Mario; García, Felix; García, Ignacio; Pino, Francisco. Calidad de los Sistemas de
Información. 2ª Edición Actualizada. Ra-Ma, 2011.
Grupos de Trabajo
- ISACA: www.isaca.org
Foros de interés
- Febrero 9 al 11 de 2015: 1st International Conference on Information Systems Security and Privacy
ICISSP 2015 (Angers - Francia): http://www.icissp.org/
Enlaces de interés
COBIT: http://www.itil.org/en/vomkennen/cobit/index.php
ISACA-COBIT: http://www.isaca.org/cobit/pages/default.aspx
ISO: www.iso.org
http://es.wikipedia.org/wiki/Auditoría
https://www.academia.edu/7185577/FACULTAD_DE_CIENCIAS_BASICAS_E_INGENIERIA_MOD
ULO_AUDITORIA_DE_SISTEMAS
http://www.ati.es/gt/seguridad/PtoEncuentroAreas/MTTAuditoria_2000-11-07.pdf
http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatic
a/auditoria_informatica.pdf
http://www.auditoria.com.mx/auditoria-de-sistemas-de-informacion
La verificación de requisitos propuesta en MADEJA incluye preguntas sobre las características de calidad
que son competencia del responsable de calidad durante el desarrollo de la actividad verificación de
requisitos. El resto de las características de calidad incluidas en el modelo de calidad de requisitos propuesto
en MADEJA serán comprobadas durante la validación de requisitos y el análisis de requisitos del sistema.
Uso en MADEJA
A continuación se enumeran las verificaciones que se tienen en cuenta durante la ejecución de los servicios
de Testing Temprano, Revisión de Requisitos y Revisión del Análisis, y que deben ser aplicadas sobre los
documentos de Especificación de Requisitos del Sistema y Análisis del Sistema, respectivamente.
Comprobar que todos los objetivos del negocio están cubiertos por
algún requisito general
Comprobar que todos los procesos del negocio están cubiertos por
algún requisito general
La siguiente checklist se podrá completar con cuestiones referentes a los lenguajes de programación
utilizados en la construcción del sistema.
Comprobar el formato del código con respecto al uso de las líneas en blanco
Comprobar el formato del código con respecto al uso del espacio en blanco
El código debe de tener dos espacios en blanco para la alineación, que no sean
tabulaciones
Los arrays están formateados con espacios separados para cada elemento y cada
operador de asignación. Si el bloque de un array tiene más de 80 caracteres, cada
elemento debe moverse a su propia línea
Comprobar que se incluye ';' al final de cada línea, incluso de los bloques de
código
Comprobar el uso de los métodos “get” y “set” para obtener o establecer los
atributos de la clase
Comprobar la alineación
Comprobar que los documentos son bien formados y en ocasiones son válidos
Comprobar que no se declaran las clases como finales, a no ser que sea por un
motivo excepciona
Comprobar que se usan las interfaces para describir la visión externa de los objetos
Comprobar que se construyen los métodos constructores de manera que sólo hagan
lo necesario y no se excedan en la funcionalidad
Comprobar que aquellas variables que no cambian de valor están definidas como
final
Cumple
Conceptos de Usabilidad
Sí No
Identidad Corporativa
¿El logotipo del Gobierno ha sido incluido en un lugar importante en la Portada y en las
3
páginas interiores del Sitio?
¿Todas las páginas cuentan con un título que indique el nombre de la institución e información
4
de contactos virtuales y físicos al pie de la página?
¿El Sitio ofrece información sobre las actividades y servicios más recientes e importantes que
1
está llevando a cabo la institución?
Navegación
4 ¿El Sitio cuenta con un mapa o buscador que facilite el acceso directo a los contenidos?
5 ¿El Sitio mantiene una navegación consistente y coherente en todas las pantallas?
1 ¿Se informa al usuario claramente el área del Sitio que está visitando?
2 ¿El Sitio Web diferencia entre enlaces visitados y enlaces por visitar?
En caso de servicios o trámites en línea, ¿ofrece información de cuántos pasos faltan para
3
terminar?
Atención de errores
2 ¿Usa elementos destacados para indicar los campos obligatorios dentro de un formulario?
¿Después de que ocurre un error, es fácil volver a la página donde se encontraba antes que se
3
produjese o entrega recomendaciones de los pasos a seguir?
Estética y diseño
1 ¿Usa jerarquías visuales para determinar lo importante con una sola mirada?
2 ¿Las imágenes tienen tamaños adecuados que no dificultan el acceso a las páginas?
3 ¿Las imágenes tienen etiqueta ALT en el código HTML para facilitar la navegación?
En caso de errores de consistencia dentro del sitio, ¿se ofrece un mensaje de personalizado
1
mediante una página explicativa?, (Por ejemplo: Error 404 para página inexistente)
Retroalimentación (Feedback)
¿Puede el usuario ponerse en contacto con el encargado del Sitio Web para hacer sugerencias
1
o comentarios?
2 ¿Funcionan correctamente los formularios de contacto?, ¿Ha probado cada uno de ellos?
[Prioridad 1]
Un desarrollador de contenidos de páginas Web tiene que satisfacer este punto de verificación. De
otra forma, uno o más grupos de usuarios encontrarán imposible acceder a la información del
documento. Satisfacer este punto de verificación es un requerimiento básico para que algunos grupos
puedan usar los documentos Web.
[Prioridad 2]
Un desarrollador de contenidos de páginas Web debe satisfacer este punto de verificación. De otra
forma, uno o más grupos encontrarán dificultades en el acceso a la información del documento.
Satisfacer este punto de verificación eliminará importantes barreras de acceso a los documentos
Web.
[Prioridad 3]
Un desarrollador de contenidos de páginas Web puede satisfacer este punto de verificación. De otra
forma, uno o más grupos de usuarios encontrarán alguna dificultad para acceder a la información del
documento. Satisfacer este punto de verificación mejorará la accesibilidad de los documentos Web.
Algunos puntos de verificación tienen especificado un nivel de prioridad que puede variar bajo ciertas
condiciones (que se indican).
1.1 Proporcione un texto equivalente para todo elemento no textual (Por ejemplo, a
través de "alt", "longdesc" o en el contenido del elemento). Esto incluye: imágenes,
representaciones gráficas del texto, mapas de imagen, animaciones (Por ejemplo, GIFs
animados), "applets" y objetos programados, "ascii art", marcos, scripts, imágenes
usadas como viñetas en las listas, espaciadores, botones gráficos, sonidos (ejecutados
con o sin interacción del usuario), archivos exclusivamente auditivos, banda sonora del
vídeo y vídeos.
2.1 Asegúrese de que toda la información transmitida a través de los colores también
esté disponible sin color, por ejemplo mediante el contexto o por marcadores.
4.1 Identifique claramente los cambios en el idioma del texto del documento y en
cualquier texto equivalente (por ejemplo, leyendas).
6.1 Organice el documento de forma que pueda ser leído sin hoja de estilo. Por
ejemplo, cuando un documento HTML es interpretado sin asociarlo a una hoja de
estilo, tiene que ser posible leerlo.
7.1 Hasta que las aplicaciones de usuario permitan controlarlo, evite provocar destellos
en la pantalla.
14.1 Utilice el lenguaje apropiado más claro y simple para el contenido de un sitio.
1.2 Proporcione vínculos redundantes en formato texto para cada zona activa de un
mapa de imagen del servidor.
9.1 Proporcione mapas de imagen controlados por el cliente en lugar de por el servidor,
excepto donde las zonas sensibles no puedan ser definidas con una forma geométrica.
5.2 Para las tablas de datos que tienen dos o más niveles lógicos de encabezamientos de
fila o columna, utilice marcadores para asociar las celdas de encabezamiento y las
celdas de datos.
6.3 Asegure que las páginas sigan siendo utilizables cuando se desconecten o no se
soporten los scripts, applets u otros objetos programados. Si esto no es posible,
proporcione información equivalente en una página alternativa accesible.
1.3 Hasta que las aplicaciones de usuario puedan leer en voz alta automáticamente el
texto equivalente de la banda visual, proporcione una descripción auditiva de la
información importante de la banda visual de una presentación multimedia.
11.4 Si, después de los mayores esfuerzos, no puede crear una página accesible,
proporcione un vínculo a una página alternativa que use tecnologías W3C, sea
accesible, tenga información (o funcionalidad) equivalente y sea actualizada tan a
menudo como la página (original) inaccesible.
2.2 Asegúrese de que las combinaciones de los colores de fondo y primer plano tengan
el suficiente contraste para que sean percibidas por personas con deficiencias de
percepción de color o en pantallas en blanco y negro [Prioridad 2 para las imágenes.
Prioridad 3 para los textos].
3.1 Cuando exista un marcador apropiado, use marcadores en vez de imágenes para
transmitir la información.
3.2 Cree documentos que estén validados por las gramáticas formales publicadas.
3.4 Utilice unidades relativas en lugar de absolutas al especificar los valores en los
atributos de los marcadores de lenguaje y en los valores de las propiedades de las hojas
de estilo.
3.7 Marque las citas. No utilice el marcador de citas para efectos de formato tales como
sangrías.
6.5 Asegúrese de que los contenidos dinámicos son accesibles o proporcione una
página o presentación alternativa.
7.4 Hasta que las aplicaciones de usuario proporcionen la posibilidad de detener las
actualizaciones, no cree páginas que se actualicen automáticamente de forma periódica.
10.1 Hasta que las aplicaciones de usuario permitan desconectar la apertura de nuevas
ventanas, no provoque apariciones repentinas de nuevas ventanas y no cambie la
ventana actual sin informar al usuario.
11.1 Utilice tecnologías W3C cuando estén disponibles y sean apropiadas para la tarea
y use las últimas versiones que sean soportadas.
12.3 Divida los bloques largos de información en grupos más manejables cuando sea
natural y apropiado.
13.2 Proporcione metadatos para añadir información semántica a las páginas y sitios.
5.3 No utilice tablas para maquetar, a menos que la tabla tenga sentido cuando se
alinee. Por otro lado, si la tabla no tiene sentido, proporcione una alternativa
equivalente (la cual debe ser una versión alineada).
5.4 Si se utiliza una tabla para maquetar, no utilice marcadores estructurales para
realizar un efecto visual de formato.
12.2 Describa el propósito de los marcos y cómo éstos se relacionan entre sí, si no
resulta obvio solamente con el título del marco.
10.2 Hasta que las aplicaciones de usuario soporten explícitamente la asociación entre
control de formulario y etiqueta, para todos los controles de formularios con etiquetas
asociadas implícitamente, asegúrese de que la etiqueta está colocada adecuadamente.
6.4 Para los scripts y applets, asegúrese de que los manejadores de eventos sean
independientes del dispositivo de entrada.
7.3 Hasta que las aplicaciones de usuario permitan congelar el movimiento de los
contenidos, evite los movimientos en las páginas.
8.1 Haga los elementos de programación, tales como scripts y applets, directamente
accesibles o compatibles con las ayudas técnicas [Prioridad 1 si la funcionalidad es
importante y no se presenta en otro lugar; de otra manera, Prioridad 2].
9.2 Asegúrese de que cualquier elemento que tiene su propia interfaz pueda manejarse
de forma independiente del dispositivo.
9.3 Para los "scripts", especifique manejadores de evento lógicos mejor que
manejadores de evento dependientes de dispositivos.