Introduccin:

A finales del siglo XX, los Sistemas Informticos se han constituido en las
herramientas ms poderosas para materializar uno de los conceptos ms
vitales y necesarios para cualquier organizacin empresarial, los Sistemas
de Informacin de la empresa.
a Informtica hoy, est su!sumida en la gestin integral de la empresa, y
por eso las normas y estndares propiamente informticos de!en estar, por
lo tanto, sometidos a los generales de la misma. "n consecuencia, las
organizaciones informticas forman parte de lo que se ha denominado el
#management# o gestin de la empresa. $a!e aclarar que la Informtica no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no
decide por s% misma. &or ende, de!ido a su importancia en el
funcionamiento de una empresa, e'iste la Auditor%a Informtica.
"l t(rmino de Auditor%a se ha empleado incorrectamente con frecuencia ya
que se ha considerado como una evaluacin cuyo )nico fin es detectar
errores y se*alar fallas. A causa de esto, se ha tomado la frase #+iene
Auditor%a# como sinnimo de que, en dicha entidad, antes de realizarse la
auditor%a, ya se ha!%an detectado fallas.
"l concepto de auditor%a es mucho ms que esto. "s un e'amen cr%tico que
se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un
organismo, una entidad, etc.
a pala!ra auditor%a proviene del lat%n auditorius, y de esta proviene la
pala!ra auditor, que se refiere a todo aquel que tiene la virtud de o%r.
&or otra parte, el diccionario "spa*ol Sopena lo define como: ,evisor de
$uentas colegiado. "n un principio esta definicin carece de la e'plicacin
del o!-etivo fundamental que persigue todo auditor: evaluar la eficiencia y
eficacia.
Si consultamos el .olet%n de /ormas de auditor%a del Instituto me'icano de
contadores nos dice: # a auditor%a no es una actividad meramente
mecnica que implique la aplicacin de ciertos procedimientos cuyos
resultados, una vez llevado a ca!o son de carcter induda!le.#
0e todo esto sacamos como deduccin que la auditor%a es un e'amen cr%tico
pero no mecnico, que no implica la pree'istencia de fallas en la entidad
auditada y que persigue el fin de evaluar y me-orar la eficacia y eficiencia
de una seccin o de un organismo.
os principales o!-etivos que constituyen a la auditor%a Informtica son el
control de la funcin informtica, el anlisis de la eficiencia de los Sistemas
Informticos que comporta, la verificacin del cumplimiento de la /ormativa
general de la empresa en este m!ito y la revisin de la eficaz gestin de
los recursos materiales y humanos informticos.
"l auditor informtico ha de velar por la correcta utilizacin de los amplios
recursos que la empresa pone en -uego para disponer de un eficiente y
eficaz Sistema de Informacin. $laro est, que para la realizacin de una
auditor%a informtica eficaz, se de!e entender a la empresa en su ms
amplio sentido, ya que una 1niversidad, un 2inisterio o un 3ospital son tan
empresas como una Sociedad Annima o empresa &)!lica. +odos utilizan la
informtica para gestionar sus #negocios# de forma rpida y eficiente con el
fin de o!tener !eneficios econmicos y de costes.
&or eso, al igual que los dems rganos de la empresa 4.alances y $uentas
de ,esultados, +arifas, Sueldos, etc.5, los Sistemas Informticos estn
sometidos al control correspondiente, o al menos de!er%a estarlo. a
importancia de llevar un control de esta herramienta se puede deducir de
varios aspectos. 3e aqu% algunos:
as computadoras y los $entros de &roceso de 0atos se convirtieron en
!lancos apeteci!les no solo para el espiona-e, sino para la delincuencia y el
terrorismo. "n este caso interviene la Auditor%a Informtica de Seguridad.
as computadoras creadas para procesar y difundir resultados o informacin
ela!orada pueden producir resultados o informacin errnea si dichos datos
son, a su vez, errneos. "ste concepto o!vio es a veces olvidado por las
mismas empresas que terminan perdiendo de vista la naturaleza y calidad
de los datos de entrada a sus Sistemas Informticos, con la posi!ilidad de
que se provoque un efecto cascada y afecte a Aplicaciones independientes.
"n este caso interviene la Auditor%a Informtica de 0atos.
1n Sistema Informtico mal dise*ado puede convertirse en una herramienta
harto peligrosa para la empresa: como las maquinas o!edecen ciegamente
a las rdenes reci!idas y la modelizacin de la empresa est determinada
por las computadoras que materializan los Sistemas de Informacin, la
gestin y la organizacin de la empresa no puede depender de un Soft6are
y 3ard6are mal dise*ados.
"stos son solo algunos de los varios inconvenientes que puede presentar un
Sistema Informtico, por eso, la necesidad de la Auditor%a de Sistemas.
Auditor%a:
a auditor%a nace como un rgano de control de algunas instituciones
estatales y privadas. Su funcin inicial es estrictamente econmico7
financiero, y los casos inmediatos se encuentran en las peritaciones
-udiciales y las contrataciones de conta!les e'pertos por parte de .ancos
8ficiales.
a funcin auditora de!e ser a!solutamente independiente9 no tiene
carcter e-ecutivo, ni son vinculantes sus conclusiones. :ueda a cargo de la
empresa tomar las decisiones pertinentes. a auditor%a contiene elementos
de anlisis, de verificacin y de e'posicin de de!ilidades y disfunciones.
Aunque pueden aparecer sugerencias y planes de accin para eliminar las
disfunciones y de!ilidades antedichas9 estas sugerencias plasmadas en el
Informe final reci!en el nom!re de ,ecomendaciones.
as funciones de anlisis y revisin que el auditor informtico realiza, puede
chocar con la psicolog%a del auditado, ya que es un informtico y tiene la
necesidad de realizar sus tareas con racionalidad y eficiencia. a reticencia
del auditado es comprensi!le y, en ocasiones, fundada. "l nivel t(cnico del
auditor es a veces insuficiente, dada la gran comple-idad de los Sistemas,
unidos a los plazos demasiado !reves de los que suelen disponer para
realizar su tarea.
Adems del chequeo de los Sistemas, el auditor somete al auditado a una
serie de cuestionario. 0ichos cuestionarios, llamados $hec; ist, son
guardados celosamente por las empresas auditoras, ya que son activos
importantes de su actividad. as $hec; ist tienen que ser comprendidas
por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas
se pueden llegar a o!tener resultados distintos a los esperados por la
empresa auditora. a $hec; ist puede llegar a e'plicar cmo ocurren los
hechos pero no por qu( ocurren. "l cuestionario de!e estar su!ordinado a la
regla, a la norma, al m(todo. Slo una metodolog%a precisa puede
desentra*ar las causas por las cuales se realizan actividades tericamente
inadecuadas o se omiten otras correctas.
"l auditor slo puede emitir un -uicio glo!al o parcial !asado en hechos y
situaciones incontroverti!les, careciendo de poder para modificar la
situacin analizada por (l mismo.
Auditor%a Interna y Auditor%a "'terna:
a auditor%a interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. os empleados que realizan esta tarea
son remunerados econmicamente. a auditor%a interna e'iste por e'presa
decisin de la "mpresa, o sea, que puede optar por su disolucin en
cualquier momento.
&or otro lado, la auditor%a e'terna es realizada por personas afines a la
empresa auditada9 es siempre remunerada. Se presupone una mayor
o!-etividad que en la Auditor%a Interna, de!ido al mayor distanciamiento
entre auditores y auditados.
a auditor%a informtica interna cuenta con algunas venta-as adicionales
muy importantes respecto de la auditor%a e'terna, las cuales no son tan
percepti!les como en las auditor%as convencionales. a auditor%a interna
tiene la venta-a de que puede actuar peridicamente realizando ,evisiones
glo!ales, como parte de su &lan Anual y de su actividad normal. os
auditados conocen estos planes y se ha!it)an a las Auditor%as,
especialmente cuando las consecuencias de las ,ecomendaciones ha!idas
!enefician su tra!a-o.
"n una empresa, los responsa!les de Informtica escuchan, orientan e
informan so!re las posi!ilidades t(cnicas y los costes de tal Sistema. $on
voz, pero a menudo sin voto, Informtica trata de satisfacer lo ms
adecuadamente posi!le aquellas necesidades. a empresa necesita
controlar su Informtica y (sta necesita que su propia gestin est( sometida
a los mismos &rocedimientos y estndares que el resto de aquella. a
con-uncin de am!as necesidades cristaliza en la figura del auditor interno
informtico.
"n cuanto a empresas se refiere, solamente las ms grandes pueden poseer
una Auditor%a propia y permanente, mientras que el resto acuden a las
auditor%as e'ternas. &uede ser que alg)n profesional informtico sea
trasladado desde su puesto de tra!a-o a la Auditor%a Interna de la empresa
cuando (sta e'iste. <inalmente, la propia Informtica requiere de su propio
grupo de $ontrol Interno, con implantacin f%sica en su estructura, puesto
que si se u!icase dentro de la estructura Informtica ya no ser%a
independiente. 3oy, ya e'isten varias organizaciones Informticas dentro de
la misma empresa, y con diverso grado de autonom%a, que son coordinadas
por rganos corporativos de Sistemas de Informacin de las "mpresas.
1na "mpresa o Institucin que posee auditor%a interna puede y de!e en
ocasiones contratar servicios de auditor%a e'terna. as razones para hacerlo
suelen ser:
/ecesidad de auditar una materia de gran especializacin, para la cual los
servicios propios no estn suficientemente capacitados.
$ontrastar alg)n Informe interno con el que resulte del e'terno, en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con
la opinin generalizada de la propia empresa.
Servir como mecanismo protector de posi!les auditor%as informticas
e'ternas decretadas por la misma empresa.
Aunque la auditor%a interna sea independiente del 0epartamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se
le realicen auditor%as e'ternas como para tener una visin desde afuera de
la empresa.
a auditor%a informtica, tanto e'terna como interna, de!e ser una actividad
e'enta de cualquier contenido o matiz #pol%tico# a-eno a la propia estrategia
y pol%tica general de la empresa. a funcin auditora puede actuar de oficio,
por iniciativa del propio rgano, o a instancias de parte, esto es, por
encargo de la direccin o cliente.
Alcance de la Auditor%a Informtica:
"l alcance ha de definir con precisin el entorno y los l%mites en que va a
desarrollarse la auditor%a informtica, se complementa con los o!-etivos de
(sta. "l alcance ha de figurar e'presamente en el Informe <inal, de modo
que quede perfectamente determinado no solamente hasta que puntos se
ha llegado, sino cuales materias fronterizas han sido omitidas. "-emplo: =Se
sometern los registros gra!ados a un control de integridad e'haustivo>?
=Se compro!ar que los controles de validacin de errores son adecuados y
suficientes>? a indefinicin de los alcances de la auditor%a compromete el
('ito de la misma.
>$ontrol de integridad de registros:
3ay Aplicaciones que comparten registros, son registros comunes. Si una
Aplicacin no tiene integrado un registro com)n, cuando lo necesite utilizar
no lo va encontrar y, por lo tanto, la aplicacin no funcionar%a como de!er%a.
>$ontrol de validacin de errores:
Se corro!ora que el sistema que se aplica para detectar y corregir errores
sea eficiente.
$aracter%sticas de la Auditor%a Informtica:
a informacin de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo ,eal de la misma, como sus Stoc;s o materias
primas si las hay. &or ende, han de realizarse inversiones informticas,
materia de la que se ocupa la Auditor%a de Inversin Informtica.
0el mismo modo, los Sistemas Informticos han de protegerse de modo
glo!al y particular: a ello se de!e la e'istencia de la Auditor%a de Seguridad
Informtica en general, o a la auditor%a de Seguridad de alguna de sus
reas, como pudieran ser 0esarrollo o +(cnica de Sistemas.
$uando se producen cam!ios estructurales en la Informtica, se reorganiza
de alguna forma su funcin: se est en el campo de la Auditor%a de
8rganizacin Informtica.
"stos tres tipos de auditor%as englo!an a las actividades auditoras que se
realizan en una auditor%a parcial. 0e otra manera: cuando se realiza una
auditoria del rea de 0esarrollo de &royectos de la Informtica de una
empresa, es porque en ese 0esarrollo e'isten, adems de ineficiencias,
de!ilidades de organizacin, o de inversiones, o de seguridad, o alguna
mezcla de ellas.
S%ntomas de /ecesidad de una Auditor%a Informtica:
as empresas acuden a las auditor%as e'ternas cuando e'isten s%ntomas
!ien percepti!les de de!ilidad. "stos s%ntomas pueden agruparse en clases:
S%ntomas de descoordinacion y desorganizacin:
7 /o coinciden los o!-etivos de la Informtica de la $ompa*%a y de la propia
$ompa*%a.
7 os estndares de productividad se desv%an sensi!lemente de los
promedios conseguidos ha!itualmente.
@&uede ocurrir con alg)n cam!io masivo de personal, o en una
reestructuracin fallida de alguna rea o en la modificacin de alguna
/orma importanteA
S%ntomas de mala imagen e insatisfaccin de los usuarios:
7 /o se atienden las peticiones de cam!ios de los usuarios. "-emplos:
cam!ios de Soft6are en los terminales de usuario, resfrecamiento de
paneles, variacin de los ficheros que de!en ponerse diariamente a su
disposicin, etc.
7 /o se reparan las aver%as de 3ard6are ni se resuelven incidencias en
plazos razona!les. "l usuario perci!e que est a!andonado y desatendido
permanentemente.
7 /o se cumplen en todos los casos los plazos de entrega de resultados
peridicos. &eque*as desviaciones pueden causar importantes desa-ustes
en la actividad del usuario, en especial en los resultados de Aplicaciones
cr%ticas y sensi!les.
S%ntomas de de!ilidades econmico7financiero:
7 Incremento desmesurado de costes.
7 /ecesidad de -ustificacin de Inversiones Informticas 4la empresa no est
a!solutamente convencida de tal necesidad y decide contrastar opiniones5.
7 0esviaciones &resupuestarias significativas.
7 $ostes y plazos de nuevos proyectos 4de!en auditarse simultneamente a
0esarrollo de &royectos y al rgano que realiz la peticin5.
S%ntomas de Inseguridad: "valuacin de nivel de riesgos
7 Seguridad gica
7 Seguridad <%sica
7 $onfidencialidad
@os datos son propiedad inicialmente de la organizacin que los genera.
os datos de personal son especialmente confidencialesA
7 $ontinuidad del Servicio. "s un concepto a)n ms importante que la
Seguridad. "sta!lece las estrategias de continuidad entre fallos mediante
&lanes de $ontingencia> +otales y ocales.
7 $entro de &roceso de 0atos fuera de control. Si tal situacin llegara a
perci!irse, ser%a prcticamente in)til la auditor%a. "sa es la razn por la cual,
en este caso, el s%ntoma de!e ser sustituido por el m%nimo indicio.
>&lanes de $ontingencia:
&or e-emplo, la empresa sufre un corte total de energ%a o e'plota, =$mo
sigo operando en otro lugar? o que generalmente se pide es que se hagan
.ac;ups de la informacin diariamente y que aparte, sea do!le, para tener
un .ac;up en la empresa y otro afuera de (sta. 1na empresa puede tener
unas oficinas paralelas que posean servicios !sicos 4luz, tel(fono, agua5
distintos de los de la empresa principal, es decir, si a la empresa principal le
prove%a tel(fono +elecom, a las oficinas paralelas, +elefnica. "n este caso,
si se produce la inoperancia de Sistemas en la empresa principal, se
utilizar%a el .ac;up para seguir operando en las oficinas paralelas. os
.ac;ups se pueden acumular durante dos meses, o el tiempo que estipule
la empresa, y despu(s se van reciclando.
+ipos y clases de Auditor%as:
"l departamento de Informtica posee una actividad proyectada al e'terior,
al usuario, aunque el #e'terior# siga siendo la misma empresa. 3e aqu%, la
Auditor%a Informtica de 1suario. Se hace esta distincin para contraponerla
a la informtica interna, en donde se hace la informtica cotidiana y real. "n
consecuencia, e'iste una Auditor%a Informtica de Actividades Internas.
"l control del funcionamiento del departamento de informtica con el
e'terior, con el usuario se realiza por medio de la 0ireccin. Su figura es
importante, en tanto en cuanto es capaz de interpretar las necesidades de
la $ompa*%a. 1na informtica eficiente y eficaz requiere el apoyo
continuado de su 0ireccin frente al #e'terior#. ,evisar estas interrelaciones
constituye el o!-eto de la Auditor%a Informtica de 0ireccin. "stas tres
auditor%as, mas la auditor%a de Seguridad, son las cuatro Areas Benerales de
la Auditor%a Informtica ms importantes.
0entro de las reas generales, se esta!lecen las siguientes divisiones de
Auditor%a Informtica: de "'plotacin, de Sistemas, de $omunicaciones y de
0esarrollo de &royectos. "stas son las Areas "specificas de la Auditor%a
Informtica ms importantes.
Areas
"spec%ficas
Areas Benerales
Interna 0irecci
n
1suario Segurida
d
"'plotacin
0esarrollo
Sistemas
$omunicacio
nes
Seguridad
$ada Area "specifica puede ser auditada desde los siguientes criterios
generales:
0esde su propio funcionamiento interno.
0esde el apoyo que reci!e de la 0ireccin y, en sentido ascendente, del
grado de cumplimiento de las directrices de (sta.
0esde la perspectiva de los usuarios, destinatarios reales de la informtica.
0esde el punto de vista de la seguridad que ofrece la Informtica en general
o la rama auditada.
"stas com!inaciones pueden ser ampliadas y reducidas seg)n las
caracter%sticas de la empresa auditada.
8!-etivo fundamental de la auditor%a informtica: 8peratividad
a operatividad es una funcin de m%nimos consistente en que la
organizacin y las maquinas funcionen, siquiera m%nimamente. /o es
admisi!le detener la maquinaria informtica para descu!rir sus fallos y
comenzar de nuevo. a auditor%a de!e iniciar su actividad cuando los
Sistemas estn operativos, es el principal o!-etivo el de mantener tal
situacin. +al o!-etivo de!e conseguirse tanto a nivel glo!al como parcial.
a operatividad de los Sistemas ha de constituir entonces la principal
preocupacin del auditor informtico. &ara conseguirla hay que acudir a la
realizacin de $ontroles +(cnicos Benerales de 8peratividad y $ontroles
+(cnicos "spec%ficos de 8peratividad, previos a cualquier actividad de
aquel.
os $ontroles +(cnicos Benerales son los que se realizan para verificar la
compati!ilidad de funcionamiento simultaneo del Sistema 8perativo y el
Soft6are de !ase con todos los su!sistemas e'istentes, as% como la
compati!ilidad del 3ard6are y del Soft6are instalados. "stos controles son
importantes en las instalaciones que cuentan con varios competidores,
de!ido a que la profusin de entornos de tra!a-o muy diferenciados o!liga a
la contratacin de diversos productos de Soft6are !sico, con el
consiguiente riesgo de a!onar ms de una vez el mismo producto o
desaprovechar parte del Soft6are a!onado. &uede ocurrir tam!i(n con los
productos de Soft6are !sico desarrolla7dos por el personal de Sistemas
Interno, so!re todo cuando los diversos equipos estn u!icados en $entros
de &roceso de 0atos geogrficamente ale-ados. o negativo de esta
situacin es que puede producir la inoperatividad del con-unto. $ada $entro
de &roceso de 0atos tal vez sea operativo tra!a-ando independientemente,
pero no ser posi!le la intercone'in e intercomunicacin de todos los
$entros de &roceso de 0atos si no e'isten productos comunes y
compati!les.
os $ontroles +(cnicos "spec%ficos, de modo menos acusado, son
igualmente necesarios para lograr la 8peratividad de los Sistemas. 1n
e-emplo de lo que se puede encontrar mal son parmetros de asignacin
automtica de espacio en disco> que dificulten o impidan su utilizacin
posterior por una Seccin distinta de la que lo gener. +am!i(n, los periodos
de retencin de ficheros comunes a varias Aplicaciones pueden estar
definidos con distintos plazos en cada una de ellas, de modo que la p(rdida
de informacin es un hecho que podr producirse con facilidad, quedando
inoperativa la e'plotacin de alguna de las Aplicaciones mencionadas.
>&armetros de asignacin automtica de espacio en disco:
+odas las Aplicaciones que se desarrollan son super7parametrizadas , es
decir, que tienen un montn de parmetros que permiten configurar cual va
a ser el comportamiento del Sistema. 1na Aplicacin va a usar para tal y tal
cosa cierta cantidad de espacio en disco. Si uno no analiz cual es la
operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se
pone un valor muy chico, puede ocurrir que un d%a la Aplicacin reviente, se
caiga. Si esto sucede en medio de la operatoria y la Aplicacin se cae, el
volver a levantarla, con la nueva asignacin de espacio, si hay que hacer
reconversiones o lo que sea, puede llegar a demandar much%simo tiempo, lo
que significa un riesgo enorme.
,evisin de $ontroles de la Bestin Informtica:
1na vez conseguida la 8peratividad de los Sistemas, el segundo o!-etivo de
la auditor%a es la verificacin de la o!servancia de las normas tericamente
e'istentes en el departamento de Informtica y su coherencia con las del
resto de la empresa. &ara ello, ha!rn de revisarse sucesivamente y en este
orden:
as /ormas Benerales de la Instalacin Informtica. Se realizar una
revisin inicial sin estudiar a fondo las contradicciones que pudieran e'istir,
pero registrando las reas que carezcan de normativa, y so!re todo
verificando que esta /ormativa Beneral Informtica no est en
contradiccin con alguna /orma Beneral no informtica de la empresa.
os &rocedimientos Benerales Informticos. Se verificar su e'istencia, al
menos en los sectores ms importantes. &or e-emplo, la recepcin definitiva
de las mquinas de!er%a estar firmada por los responsa!les de "'plotacin.
+ampoco el alta de una nueva Aplicacin podr%a producirse si no e'istieran
los &rocedimientos de .ac;up y ,ecuperacin correspondientes.
os &rocedimientos "spec%ficos Informticos. Igualmente, se revisara su
e'istencia en las reas fundamentales. As%, "'plotacin no de!er%a e'plotar
una Aplicacin sin ha!er e'igido a 0esarrollo la pertinente documentacin.
0el mismo modo, de!er compro!arse que los &rocedimientos "spec%ficos
no se opongan a los &rocedimientos Benerales. "n todos los casos
anteriores, a su vez, de!er verificarse que no e'iste contradiccin alguna
con la /ormativa y los &rocedimientos Benerales de la propia empresa, a los
que la Informtica de!e estar sometida.
Auditor%a Informtica de "'plotacin:
a "'plotacin Informtica se ocupa de producir resultados informticos de
todo tipo: listados impresos, ficheros soportados magn(ticamente para
otros informticos, ordenes automatizadas para lanzar o modificar procesos
industriales, etc. a e'plotacin informtica se puede considerar como una
fa!rica con ciertas peculiaridades que la distinguen de las reales. &ara
realizar la "'plotacin Informtica se dispone de una materia prima, los
0atos, que es necesario transformar, y que se someten previamente a
controles de integridad y calidad. a transformacin se realiza por medio del
&roceso informtico, el cual est go!ernado por programas. 8!tenido el
producto final, los resultados son sometidos a varios controles de calidad y,
finalmente, son distri!uidos al cliente, al usuario.
Auditar "'plotacin consiste en auditar las secciones que la componen y sus
interrelaciones. a "'plotacin Informtica se divide en tres grandes reas:
&lanificacin, &roduccin y Soporte +(cnico, en la que cada cual tiene varios
grupos.
$ontrol de "ntrada de 0atos:
Se analizar la captura de la informacin en soporte compati!le con los
Sistemas, el cumplimiento de plazos y calendarios de tratamientos y
entrega de datos9 la correcta transmisin de datos entre entornos
diferentes. Se verificar que los controles de integridad y calidad de datos
se realizan de acuerdo a /orma.
&lanificacin y ,ecepcin de Aplicaciones:
Se auditarn las normas de entrega de Aplicaciones por parte de 0esarrollo,
verificando su cumplimiento y su calidad de interlocutor )nico. 0e!ern
realizarse muestreos selectivos de la 0ocumentacin de las Aplicaciones
e'plotadas. Se inquirir so!re la anticipacin de contactos con 0esarrollo
para la planificacin a medio y largo plazo.
$entro de $ontrol y Seguimiento de +ra!a-os:
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria.
.sicamente, la e'plotacin Informtica e-ecuta procesos por cadenas o
lotes sucesivos 4.atch>5, o en tiempo real 4+iempo ,eal>5. 2ientras que las
Aplicaciones de +eleproceso estn permanentemente activas y la funcin de
"'plotacin se limita a vigilar y recuperar incidencias, el tra!a-o .atch
a!sor!e una !uena parte de los efectivos de "'plotacin. "n muchos
$entros de &roceso de 0atos, (ste rgano reci!e el nom!re de $entro de
$ontrol de .atch. "ste grupo determina el ('ito de la e'plotacin, en cuanto
que es uno de los factores ms importantes en el mantenimiento de la
produccin.
>.atch y +iempo ,eal:
as Aplicaciones que son .atch son Aplicaciones que cargan mucha
informacin durante el d%a y durante la noche se corre un proceso enorme
que lo que hace es relacionar toda la informacin, calcular cosas y o!tener
como salida, por e-emplo, reportes. 8 sea, recolecta informacin durante el
d%a, pero todav%a no procesa nada. "s solamente un tema de #0ata "ntry#
que recolecta informacin, corre el proceso .atch 4por lotes5, y calcula todo
lo necesario para arrancar al d%a siguiente.
as Aplicaciones que son +iempo ,eal u 8nline, son las que, luego de ha!er
ingresado la informacin correspondiente, inmediatamente procesan y
devuelven un resultado. Son Sistemas que tienen que responder en +iempo
,eal.
8peracin. Salas de 8rdenadores:
Se intentarn analizar las relaciones personales y la coherencia de cargos y
salarios, as% como la equidad en la asignacin de turnos de tra!a-o. Se
verificar la e'istencia de un responsa!le de Sala en cada turno de tra!a-o.
Se analizar el grado de automatizacin de comandos, se verificara la
e'istencia y grado de uso de los 2anuales de 8peracin. Se analizar no
solo la e'istencia de planes de formacin, sino el cumplimiento de los
mismos y el tiempo transcurrido para cada 8perador desde el )ltimo $urso
reci!ido. Se estudiarn los monta-es diarios y por horas de cintas o
cartuchos, as% como los tiempos transcurridos entre la peticin de monta-e
por parte del Sistema hasta el monta-e real. Se verificarn las l%neas de
papel impresas diarias y por horas, as% como la manipulacin de papel que
comportan.
$entro de $ontrol de ,ed y $entro de 0iagnosis:
"l $entro de $ontrol de ,ed suele u!icarse en el rea de produccin de
"'plotacin. Sus funciones se refieren e'clusivamente al m!ito de las
$omunicaciones, estando muy relacionado con la organizacin de Soft6are
de $omunicaciones de +(cnicas de Sistemas. 0e!e analizarse la fluidez de
esa relacin y el grado de coordinacin entre am!os. Se verificar la
e'istencia de un punto focal )nico, desde el cual sean percepti!les todos las
l%neas asociadas al Sistema. "l $entro de 0iagnosis es el ente en donde se
atienden las llamadas de los usuarios7clientes que han sufrido aver%as o
incidencias, tanto de Soft6are como de 3ard6are. "l $entro de 0iagnosis
est especialmente indicado para informticos grandes y con usuarios
dispersos en un amplio territorio. "s uno de los elementos que ms
contri!uyen a configurar la imagen de la Informtica de la empresa. 0e!e
ser auditada desde esta perspectiva, desde la sensi!ilidad del usuario so!re
el servicio que se le dispone. /o !asta con compro!ar la eficiencia t(cnica
del $entro, es necesario analizarlo simultneamente en el m!ito de
1suario.
Auditor%a Informtica de 0esarrollo de &royectos o Aplicaciones:
a funcin de 0esarrollo es una evolucin del llamado Anlisis y
&rogramacin de Sistemas y Aplicaciones. A su vez, englo!a muchas reas,
tantas como sectores informatiza!les tiene la empresa. 2uy escuetamente,
una Aplicacin recorre las siguientes fases:
&rerequisitos del 1suario 4)nico o plural5 y del entorno
Anlisis funcional
0ise*o
Anlisis orgnico 4&reprogramacion y &rogramacin5
&rue!as
"ntrega a "'plotacin y alta para el &roceso.
"stas fases de!en estar sometidas a un e'igente control interno, caso
contrario, adems del disparo de los costes, podr producirse la
insatisfaccin del usuario. <inalmente, la auditor%a de!er compro!ar la
seguridad de los programas en el sentido de garantizar que los e-ecutados
por la maquina sean e'actamente los previstos y no otros.
1na auditor%a de Aplicaciones pasa indefecti!lemente por la o!servacin y
el anlisis de cuatro consideraciones:
,evisin de las metodolog%as utilizadas: Se analizaran (stas, de modo que
se asegure la modularidad de las posi!les futuras ampliaciones de la
Aplicacin y el fcil mantenimiento de las mismas.
$ontrol Interno de las Aplicaciones: se de!ern revisar las mismas fases que
presuntamente han de!ido seguir el rea correspondiente de 0esarrollo:
"studio de Cialidad de la Aplicacin. @importante para Aplicaciones largas,
comple-as y carasA
0efinicin gica de la Aplicacin. @se analizar que se han o!servado los
postulados lgicos de actuacin, en funcin de la metodolog%a elegida y la
finalidad que persigue el proyectoA
0esarrollo +(cnico de la Aplicacin. @Se verificar que (ste es ordenado y
correcto. as herramientas t(cnicas utilizadas en los diversos programas
de!ern ser compati!lesA
0ise*o de &rogramas. @de!ern poseer la m'ima sencillez, modularidad y
econom%a de recursosA
2(todos de &rue!as. @ Se realizarn de acuerdo a las /ormas de la
Instalacin. Se utilizarn -uegos de ensayo de datos, sin que sea permisi!le
el uso de datos realesA
0ocumentacin. @cumplir la /ormativa esta!lecida en la Instalacin, tanto
la de 0esarrollo como la de entrega de Aplicaciones a "'plotacinA
"quipo de &rogramacin. @0e!en fi-arse las tareas de anlisis puro, de
programacin y las intermedias. "n Aplicaciones comple-as se producir%an
variaciones en la composicin del grupo, pero estos de!ern estar
previstosA
Satisfaccin de usuarios: 1na Aplicacin t(cnicamente eficiente y !ien
desarrollada, de!er considerarse fracasada si no sirve a los intereses del
usuario que la solicit. a aquiescencia del usuario proporciona grandes
venta-as posteriores, ya que evitar reprogramaciones y disminuir el
mantenimiento de la Aplicacin.
$ontrol de &rocesos y "-ecuciones de &rogramas $r%ticos: "l auditor no de!e
descartar la posi!ili7dad de que se est( e-ecutando un mdulo que no se
corresponde con el programa fuente que desarroll, codific y pro! el rea
de 0esarrollo de Aplicaciones. Se ha de compro!ar la correspondencia
!iun%voca y e'clusiva entre el programa codificado y su compilacin. Si los
programas fuente y los programa mdulo no coincidieran podr%ase provocar,
desde errores de !ulto que producir%an graves y altos costes de
mantenimiento, hasta fraudes, pasando por acciones de sa!ota-e, espiona-e
industrial7informativo, etc. &or ende, hay normas muy r%gidas en cuanto a
las i!rer%as de programas9 aquellos programas fuente que hayan sido
dados por !ueno por 0esarrollo, son entregados a "'plotacin con el fin de
que (ste:
$opie el programa fuente en la i!rer%a de <uentes de "'plotacin, a la que
nadie ms tiene acceso
$ompile y monte ese programa, depositndolo en la i!rer%a de 2dulos de
"'plo7tacin, a la que nadie ms tiene acceso.
$opie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. $ualquier cam!io e'igir
pasar nuevamente por el punto D.
$omo este sistema para auditar y dar el alta a una nueva Aplicacin es
!astante ardua y comple-a, hoy 4algunas empresas lo usarn, otras no5 se
utiliza un sistema llamado 1.A.+ 41ser Acceptance +est5. "ste consiste en
que el futuro usuario de esta Aplicacin use la Aplicacin como si la
estuviera usando en &roduccin para que detecte o se denoten por s% solos
los errores de la misma. "stos defectos que se encuentran se van
corrigiendo a medida que se va haciendo el 1.A.+. 1na vez que se consigue
el 1.A.+., el usuario tiene que dar el Sign 8ff 4#"sto est !ien#5. +odo este
testeo, auditor%a lo tiene que controlar, tiene que evaluar que el testeo sea
correcto, que e'ista un plan de testeo, que est( involucrado tanto el cliente
como el desarrollador y que estos defectos se corri-an. Auditor%a tiene que
corro!orar que el 1.A.+. prue!a todo y que el Sign 8ff del usuario sea un
Sign 8ff por todo.
Auditor%a Informtica de Sistemas:
Se ocupa de analizar la actividad que se conoce como +(cnica de Sistemas
en todas sus facetas. 3oy, la importancia creciente de las
telecomunicaciones ha propiciado que las $omunicaciones, %neas y ,edes
de las instalaciones informticas, se auditen por separado, aunque formen
parte del entorno general de Sistemas.
Sistemas 8perativos:
"nglo!a los Su!sistemas de +eleproceso, "ntradaESal%da, etc. 0e!e
verificarse en primer lugar que los Sistemas estn actualizados con las
)ltimas versiones del fa!ricante, indagando las causas de las omisiones si
las hu!iera. "l anlisis de las versiones de los Sistemas 8perativos permite
descu!rir las posi!les incompati!ilidades entre otros productos de Soft6are
.sico adquiridos por la instalacin y determinadas versiones de aquellas.
0e!en revisarse los parmetros varia!les de las i!rer%as ms importantes
de los Sistemas, por si difieren de los valores ha!ituales aconse-ados por el
constructor.
Soft6are .sico:
"s fundamental para el auditor conocer los productos de soft6are !sico
que han sido facturados aparte de la propia computadora. "sto, por razones
econmicas y por razones de compro!acin de que la computadora podr%a
funcionar sin el producto adquirido por el cliente. "n cuanto al Soft6are
desarrollado por el personal informtico de la empresa, el auditor de!e
verificar que (ste no agreda ni condiciona al Sistema. Igualmente, de!e
considerar el esfuerzo realizado en t(rminos de costes, por si hu!iera
alternativas ms econmicas.
Soft6are de +eleproceso 4+iempo ,eal5:
/o se incluye en Soft6are .sico por su especialidad e importancia. as
consideraciones anteriores son vlidas para (ste tam!i(n.
+unning:
"s el con-unto de t(cnicas de o!servacin y de medidas encaminadas a la
evaluacin del comportamiento de los Su!sistemas y del Sistema en su
con-unto. as acciones de tunning de!en diferenciarse de los controles
ha!ituales que realiza el personal de +(cnica de Sistemas. "l tunning posee
una naturaleza ms revisora, esta!leci(ndose previamente planes y
programas de actuacin seg)n los s%ntomas o!servados. Se pueden realizar:
$uando e'iste sospecha de deterioro del comportamiento parcial o general
del Sistema
0e modo sistemtico y peridico, por e-emplo cada F meses. "n este caso
sus acciones son repetitivas y estn planificados y organizados de
antemano.
"l auditor de!er conocer el n)mero de +unning realizados en el )ltimo a*o,
as% como sus resultados. 0e!er analizar los modelos de carga utilizados y
los niveles e %ndices de confianza de las o!servacio7nes.
8ptimizacin de los Sistemas y Su!sistemas:
+(cnica de Sistemas de!e realizar acciones permanentes de optimizacin
como consecuencia de la realizacin de tunnings preprogramados o
espec%ficos. "l auditor verificar que las acciones de optimizacin> fueron
efectivas y no comprometieron la 8peratividad de los Sistemas ni el plan
cr%tico de produccin diaria de "'plotacin.
>8ptimizacin:
&or e-emplo: cuando se instala una Aplicacin, normalmente est vac%a, no
tiene nada cargado adentro. o que puede suceder es que, a medida que se
va cargando, la Aplicacin se va poniendo cada vez ms lenta9 porque todas
las referencias a ta!las es cada vez ms grande, la informacin que est
moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner
lenta. o que se tiene que hacer es un anlisis de performance, para luego
optimizarla, me-orar el rendimiento de dicha Aplicacin.
Administracin de .ase de 0atos:
"l dise*o de las .ases de 0atos, sean relaciones o -errquicas, se ha
convertido en una actividad muy comple-a y sofisticada, por lo general
desarrollada en el m!ito de +(cnica de Sistemas, y de acuerdo con las
reas de 0esarrollo y usuarios de la empresa. Al conocer el dise*o y
arquitectura de (stas por parte de Sistemas, se les encomienda tam!i(n su
administracin. os auditores de Sistemas han o!servado algunas
disfunciones derivadas de la relativamente escasa e'periencia que +(cnica
de Sistemas tiene so!re la pro!lemtica general de los usuarios de .ases de
0atos.
a administracin tendr%a que estar a cargo de "'plotacin. "l auditor de
.ase de 0atos de!er%a asegurarse que "'plotacin conoce suficientemente
las que son accedidas por los &rocedimientos que ella e-ecuta. Analizar los
Sistemas de salvaguarda e'istentes, que competen igualmente a
"'plotacin. ,evisar finalmente la integridad y consistencia de los datos,
as% como la ausencia de redundancias entre ellos.
Investigacin y 0esarrollo:
$omo empresas que utilizan y necesitan de informticas desarrolladas,
sa!en que sus propios efectivos estn desarrollando Aplicaciones y
utilidades que, conce!idas inicialmente para su uso interno, pueden ser
suscepti!les de adquisicin por otras empresas, haciendo competencia a las
$ompa*%as del ramo. a auditor%a informtica de!er cuidar de que la
actividad de Investigacin y 0esarrollo no interfiera ni dificulte las tareas
fundamentales internas.
Ga propia e'istencia de aplicativos para la o!tencin de estad%sticas
desarrollados por los t(cnicos de Sistemas de la empresa auditada, y su
calidad, proporcionan al auditor e'perto una visin !astante e'acta de la
eficiencia y estado de desarrollo de los SistemasH
Auditor%a Informtica de $omunicaciones y ,edes:
&ara el informtico y para el auditor informtico, el entramado conceptual
que constituyen las ,edes /odales, %neas, $oncentradores, 2ultiple'ores,
,edes ocales, etc. no son sino el soporte f%sico7lgico del +iempo ,eal. "l
auditor tropieza con la dificultad t(cnica del entorno, pues ha de analizar
situaciones y hechos ale-ados entre s%, y est condicionado a la participacin
del monopolio telefnico que presta el soporte. $omo en otros casos, la
auditor%a de este sector requiere un equipo de especialis7tas, e'pertos
simultneamente en $omunicaciones y en ,edes ocales 4no hay que
olvidarse que en entornos geogrficos reducidos, algunas empresas optan
por el uso interno de ,edes ocales, dise*adas y ca!leadas con recursos
propios5.
"l auditor de $omunicaciones de!er inquirir so!re los %ndices de utilizacin
de las l%neas contratadas con informacin a!undante so!re tiempos de
desuso. 0e!er proveerse de la topolog%a de la ,ed de $omunicaciones,
actualizada, ya que la desactualizacion de esta documentacin significar%a
una grave de!ilidad. a ine'istencia de datos so!re la cuantas l%neas
e'isten, cmo son y donde estn instaladas, supondr%a que se !ordea la
Inoperatividad Informtica. Sin em!argo, las de!ilidades ms frecuentes o
importantes se encuentran en las disfunciones organizativas. a
contratacin e instalacin de l%neas va asociada a la instalacin de los
&uestos de +ra!a-o correspondientes 4&antallas, Servidores de ,edes
ocales, $omputadoras con tar-etas de $omunicaciones, impresoras, etc.5.
+odas estas actividades de!en estar muy coordinadas y a ser posi!le,
dependientes de una sola organizacin.
Auditor%a de la Seguridad informtica:
a computadora es un instrumento que estructura gran cantidad de
informacin, la cual puede ser confidencial para individuos, empresas o
instituciones, y puede ser mal utilizada o divulgada a personas que hagan
mal uso de esta. +am!i(n puede ocurrir ro!os, fraudes o sa!ota-es que
provoquen la destruccin total o parcial de la actividad computacional. "sta
informacin puede ser de suma importancia, y el no tenerla en el momento
preciso puede provocar retrasos sumamente costosos.
"n la actualidad y principalmente en las computadoras personales, se ha
dado otro factor que hay que considerar: el llamado #virus# de las
computadoras, el cual, aunque tiene diferentes intenciones, se encuentra
principalmente para paquetes que son copiados sin autorizacin 4#piratas#5
y !orra toda la informacin que se tiene en un disco. Al auditar los sistemas
se de!e tener cuidado que no se tengan copias #piratas# o !ien que, al
conectarnos en red con otras computadoras, no e'ista la posi!ilidad de
transmisin del virus. "l uso inadecuado de la computadora comienza desde
la utilizacin de tiempo de mquina para usos a-enos de la organizacin, la
copia de programas para fines de comercializacin sin reportar los derechos
de autor hasta el acceso por v%a telefnica a !ases de datos a fin de
modificar la informacin con propsitos fraudulentos.
a seguridad en la informtica a!arca los conceptos de seguridad f%sica y
seguridad lgica. a seguridad f%sica se refiere a la proteccin del 3ard6are
y de los soportes de datos, as% como a la de los edificios e instalaciones que
los al!ergan. $ontempla las situaciones de incendios, sa!ota-es, ro!os,
catstrofes naturales, etc.
a seguridad lgica se refiere a la seguridad de uso del soft6are, a la
proteccin de los datos, procesos y programas, as% como la del ordenado y
autorizado acceso de los usuarios a la informacin.
1n m(todo eficaz para proteger sistemas de computacin es el soft6are de
control de acceso. 0icho simplemente, los paquetes de control de acceso
protegen contra el acceso no autorizado, pues piden del usuario una
contrase*a antes de permitirle el acceso a informacin confidencial. 0ichos
paquetes han sido populares desde hace muchos a*os en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin
de clientes algunos de estos paquetes.
"-emplo: "'iste una Aplicacin de Seguridad que se llama S"8S, para 1ni',
que lo que hace es auditar el nivel de Seguridad en todos los servidores,
como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si
ten%a o no ten%a permiso, si no ten%a permiso porque fall, entrada de
usuarios a cada uno de los servidores, fecha y hora, accesos con pass6ord
equivocada, cam!ios de pass6ord, etc. a Aplicacin lo puede graficar, tirar
en n)meros, puede hacer reportes, etc.
a seguridad informtica se la puede dividir como Area Beneral y como Area
"specifica 4seguridad de "'plotacin, seguridad de las Aplicaciones, etc.5.
As%, se podrn efectuar auditor%as de la Seguridad Blo!al de una Instalacin
Informtica ISeguridad Beneral7 y auditor%as de la Seguridad de un rea
informtica determinada I Seguridad "specifica 7.
$on el incremento de agresiones a instalaciones informticas en los )ltimos
a*os, se han ido originando acciones para me-orar la Seguridad Informtica
a nivel f%sico. os accesos y cone'iones inde!idos a trav(s de las ,edes de
$omunicaciones, han acelerado el desarrollo de productos de Seguridad
lgica y la utilizacin de sofisticados medios criptograficos.
"l sistema integral de seguridad de!e comprender:
"lementos administrativos
0efinicin de una pol%tica de seguridad
8rganizacin y divisin de responsa!ilidades
Seguridad f%sica y contra catstrofes4incendio, terremotos, etc.5
&rcticas de seguridad del personal
"lementos t(cnicos y procedimientos
Sistemas de seguridad 4de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
"l papel de los auditores, tanto internos como e'ternos
&laneacin de programas de desastre y su prue!a.
a decisin de a!ordar una Auditor%a Informtica de Seguridad Blo!al en
una empresa, se fundamenta en el estudio cuidadoso de los riesgos
potenciales a los que est sometida. Se ela!oran #matrices de riesgo#, en
donde se consideran los factores de las #Amenazas# a las que est sometida
una instalacin y los #Impactos# que aquellas puedan causar cuando se
presentan. as matrices de riesgo se representan en cuadros de do!le
entrada GGAmenaza7ImpactoHH, en donde se eval)an las pro!a!ilidades
de ocurrencia de los elementos de la matriz.
"-emplo:
Impacto Amenaza D:
Impro!a!le
J: &ro!a!le
K: $erteza
7:
0esprecia!l
e
"rror Incendi
o
Sa!ota-e LL..
0estruccin
de
3ard6are
7 D D
.orrado de
Informacin
K D D
"l cuadro muestra que si por error codificamos un parmetro que ordene el
!orrado de un fichero, (ste se !orrar con certeza.
"l caso de los .ancos en la ,ep)!lica Argentina:
"n la Argentina, el .anco $entral 4.$,A5 les realiza una Auditor%a de
Seguridad de Sistemas a todos los .ancos, minoritarios y mayoristas. "l
.anco que es auditado le prepara a los auditores del .$,A un #demo# para
que estos vean cual es el flu-o de informacin dentro del .anco y que
Aplicaciones estn involucradas con (sta. Si los auditores detectan alg)n
pro!lema o alguna cosa que seg)n sus normas no est !ien, y en !ase a
eso, emiten un informe que va, tanto a la empresa, como al mercado. "ste,
principalmente, es uno de los puntos !sicos donde se analiza el riesgo de
un !anco, ms all de cmo se mane-a. $ada .anco tiene cierto riesgo
dentro del mercado9 por un lado, est dado por como se mueve (ste dentro
del mercado 4inversiones, r(ditos, etc.5 y por otro lado, el como funcionan
sus Sistemas. &or esto, todos los .ancos tienen auditor%a interna y auditor%a
e'terna9 y se los audita muy frecuentemente.
4Cer Ane'o de las normas del .anco $entral so!re la Seguridad de los
Sistemas de Informacin5
3erramientas y +(cnicas para la Auditor%a Informtica:
$uestionarios:
as auditor%as informticas se materializan reca!ando informacin y
documentacin de todo tipo. os informes finales de los auditores dependen
de sus capacidades para analizar las situaciones de de!ilidad o fortaleza de
los diferentes entornos. "l tra!a-o de campo del auditor consiste en lograr
toda la informacin necesaria para la emisin de un -uicio glo!al o!-etivo,
siempre amparado en hechos demostra!les, llamados tam!i(n evidencias.
&ara esto, suele ser lo ha!itual comenzar solicitando la cumplimentacin de
cuestionarios preimpresos que se env%an a las personas concretas que el
auditor cree adecuadas, sin que sea o!ligatorio que dichas personas sean
las responsa!les oficiales de las diversas reas a auditar.
"stos cuestionarios no pueden ni de!en ser repetidos para instalaciones
distintas, sino diferentes y muy espec%ficos para cada situacin, y muy
cuidados en su fondo y su forma.
So!re esta !ase, se estudia y analiza la documentacin reci!ida, de modo
que tal anlisis determine a su vez la informacin que de!er ela!orar el
propio auditor. "l cruzamiento de am!os tipos de informacin es una de las
!ases fundamentales de la auditor%a.
$a!e aclarar, que esta primera fase puede omitirse cuando los auditores
hayan adquirido por otro medios la informacin que aquellos preimpresos
hu!ieran proporcionado.
"ntrevistas:
"l auditor comienza a continuacin las relaciones personales con el
auditado. o hace de tres formas:
2ediante la peticin de documentacin concreta so!re alguna materia de su
responsa!ilidad.
2ediante #entrevistas# en las que no se sigue un plan predeterminado ni un
m(todo estricto de sometimiento a un cuestionario.
&or medio de entrevistas en las que el auditor sigue un m(todo
preesta!lecido de antemano y !usca unas finalidades concretas.
a entrevista es una de las actividades personales ms importante del
auditor9 en ellas, (ste recoge ms informacin, y me-or matizada, que la
proporcionada por medios propios puramente t(cnicos o por las respuestas
escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre
auditor y auditado se !asa fundamentalmente en el concepto de
interrogatorio9 es lo que hace un auditor, interroga y se interroga a s%
mismo. "l auditor informtico e'perto entrevista al auditado siguiendo un
cuidadoso sistema previamente esta!lecido, consistente en que !a-o la
forma de una conversacin correcta y lo menos tensa posi!le, el auditado
conteste sencillamente y con pulcritud a una serie de preguntas variadas,
tam!i(n sencillas. Sin em!argo, esta sencillez es solo aparente. +ras ella
de!e e'istir una preparacin muy ela!orada y sistematizada, y que es
diferente para cada caso particular.
$hec;list:
"l auditor profesional y e'perto es aqu(l que reela!ora muchas veces sus
cuestionarios en funcin de los escenarios auditados. +iene claro lo que
necesita sa!er, y por qu(. Sus cuestionarios son vitales para el tra!a-o de
anlisis, cruzamiento y s%ntesis posterior, lo cual no quiere decir que haya
de someter al auditado a unas preguntas estereotipadas que no conducen a
nada. 2uy por el contrario, el auditor conversar y har preguntas
#normales#, que en realidad servirn para la cumplimentacin sistemtica
de sus $uestionarios, de sus $hec;lists.
3ay opiniones que descalifican el uso de las $hec;lists, ya que consideran
que leerle una pila de preguntas recitadas de memoria o le%das en voz alta
descalifica al auditor informtico. &ero esto no es usar $hec;lists, es una
evidente falta de profesionalismo. "l profesionalismo pasa por un
procesamiento interno de informacin a fin de o!tener respuestas
coherentes que permitan una correcta descripcin de puntos d(!iles y
fuertes. "l profesionalismo pasa por poseer preguntas muy estudiadas que
han de formularse fle'i!lemente.
"l con-unto de estas preguntas reci!e el nom!re de $hec;list. Salvo
e'cepciones, las $hec;lists de!en ser contestadas oralmente, ya que
superan en riqueza y generalizacin a cualquier otra forma.
Seg)n la claridad de las preguntas y el talante del auditor, el auditado
responder desde posiciones muy distintas y con disposicin muy varia!le.
"l auditado, ha!itualmente informtico de profesin, perci!e con cierta
facilidad el perfil t(cnico y los conocimientos del auditor, precisamente a
trav(s de las preguntas que (ste le formula. "sta percepcin configura el
principio de autoridad y prestigio que el auditor de!e poseer.
&or ello, aun siendo importante tener ela!oradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todav%a lo es ms el
modo y el orden de su formulacin. as empresas e'ternas de Auditor%a
Informtica guardan sus $hec;lists, pero de poco sirven si el auditor no las
utiliza adecuada y oportunamente. /o de!e olvidarse que la funcin
auditora se e-erce so!re !ases de autoridad, prestigio y (tica.
"l auditor de!er aplicar la $hec;list de modo que el auditado responda
clara y escuetamente. Se de!er interrumpir lo menos posi!le a (ste, y
solamente en los casos en que las respuestas se aparten sustancialmente
de la pregunta. "n algunas ocasiones, se har necesario invitar a aqu(l a
que e'ponga con mayor amplitud un tema concreto, y en cualquier caso, se
de!er evitar a!solutamente la presin so!re el mismo.
Algunas de las preguntas de las $hec;lists utilizadas para cada sector,
de!en ser repetidas. "n efecto, !a-o apariencia distinta, el auditor formular
preguntas equivalentes a las mismas o a distintas personas, en las mismas
fechas, o en fechas diferentes. 0e este modo, se podrn descu!rir con
mayor facilidad los puntos contradictorios9 el auditor de!er analizar los
matices de las respuestas y reela!orar preguntas complementarias cuando
hayan e'istido contradicciones, hasta conseguir la homogeneidad. "l
entrevistado no de!e perci!ir un e'cesivo formalismo en las preguntas. "l
auditor, por su parte, tomar las notas imprescindi!les en presencia del
auditado, y nunca escri!ir cruces ni marcar cuestionarios en su presencia.
os cuestionarios o $hec;lists responden fundamentalmente a dos tipos de
#filosof%a# de calificacin o evaluacin:
$ontiene preguntas que el auditor de!e puntuar dentro de un rango
preesta!lecido 4por e-emplo, de D a M, siendo D la respuesta ms negativa y
el M el valor ms positivo5
"-emplo de $hec;list de rango:
Se supone que se est realizando una auditor%a so!re la seguridad f%sica de
una instalacin y, dentro de ella, se analiza el control de los accesos de
personas y cosas al $entro de $lculo. &odr%an formularse las preguntas que
figuran a continuacin, en donde las respuestas tiene los siguientes
significados:
D : 2uy deficiente.
J : 0eficiente.
K : 2e-ora!le.
N : Acepta!le.
M : $orrecto.
Se figuran posi!les respuestas de los auditados. as preguntas de!en
sucederse sin que parezcan encorsetadas ni clasificadas previamente. .asta
con que el auditor lleve un peque*o guin. a cumplimentacin de la
$hec;list no de!e realizarse en presencia del auditado.
7="'iste personal espec%fico de vigilancia e'terna al edificio?
7/o, solamente un guarda por la noche que atiende adems otra instalacin
adyacente.
G&untuacin: DH
7&ara la vigilancia interna del edificio, =3ay al menos un vigilante por turno
en los aleda*os del $entro de $lculo?
7Si, pero su!e a las otras N plantas cuando se le necesita.
G&untuacin: JH
7=3ay salida de emergencia adems de la ha!ilitada para la entrada y salida
de mquinas?
7Si, pero e'isten ca-as apiladas en dicha puerta. Algunas veces las quitan.
G&untuacin: JH
7"l personal de $omunicaciones, =&uede entrar directamente en la Sala de
$omputadoras?
7/o, solo tiene tar-eta el Oefe de $omunicaciones. /o se la da a su gente mas
que por causa muy -ustificada, y avisando casi siempre al Oefe de
"'plotacin.
G&untuacin: NH
"l resultado ser%a el promedio de las puntuaciones: 4D P J P J P N5 EN Q
J,JM 0eficiente.
$hec;list de rango
$hec;list .inaria
"s la constituida por preguntas con respuesta )nica y e'cluyente: Si o /o.
Aritmeticamente, equivalen a D4uno5 o R4cero5, respectivamente.
"-emplo de $hec;list .inaria:
Se supone que se est realizando una ,evisin de los m(todos de prue!as
de programas en el m!ito de 0esarrollo de &royectos.
7="'iste /ormativa de que el usuario final comprue!e los resultados finales
de los programas?
G&untuacin: DH
7=$onoce el personal de 0esarrollo la e'istencia de la anterior normativa?
G&untuacin: DH
7=Se aplica dicha norma en todos los casos?
G&untuacin: RH
7="'iste una norma por la cual las prue!as han de realizarse con -uegos de
ensayo o copia de .ases de 0atos reales?
G&untuacion: RH
8!s(rvese como en este caso estn contestadas las siguientes preguntas:
7=Se conoce la norma anterior?
G&untuacin: RH
7=Se aplica en todos los casos?
G&untuacin: RH
as $hec;lists de rango son adecuadas si el equipo auditor no es muy
grande y mantiene criterios uniformes y equivalentes en las valoraciones.
&ermiten una mayor precisin en la evaluacin que en la chec;list !inaria.
Sin em!argo, la !ondad del m(todo depende e'cesivamente de la
formacin y competencia del equipo auditor.
as $hec;lists .inarias siguen una ela!oracin inicial mucho ms ardua y
comple-a. 0e!en ser de gran precisin, como corresponde a la suma
precisin de la respuesta. 1na vez construidas, tienen la venta-a de e'igir
menos uniformidad del equipo auditor y el inconveniente gen(rico del Gsi o
noH frente a la mayor riqueza del intervalo.
/o e'isten $hec;lists estndar para todas y cada una de las instalaciones
informticas a auditar. $ada una de ellas posee peculiaridades que hacen
necesarios los retoques de adaptacin correspondientes en las preguntas a
realizar.
+razas yEo 3uellas:
$on frecuencia, el auditor informtico de!e verificar que los programas,
tanto de los Sistemas como de usuario, realizan e'actamente las funciones
previstas, y no otras. &ara ello se apoya en productos Soft6are muy
potentes y modulares que, entre otras funciones, rastrean los caminos que
siguen los datos a trav(s del programa.
2uy especialmente, estas #+razas# se utilizan para compro!ar la e-ecucin
de las validaciones de datos previstas. as mencionadas trazas no de!en
modificar en a!soluto el Sistema. Si la herramienta auditora produce
incrementos aprecia!les de carga, se convendr de antemano las fechas y
horas ms adecuadas para su empleo.
&or lo que se refiere al anlisis del Sistema, los auditores informticos
emplean productos que comprue!an los valores asignados por +(cnica de
Sistemas a cada uno de los parmetros varia!les de las i!rer%as ms
importantes del mismo. "stos parmetros varia!les de!en estar dentro de
un intervalo marcado por el fa!ricante. A modo de e-emplo, algunas
instalaciones descompensan el n)mero de iniciadores de tra!a-os de
determinados entornos o toman criterios especialmente restrictivos o
permisivos en la asignacin de unidades de servicio para seg)n cuales tipos
carga. "stas actuaciones, en principio )tiles, pueden resultar
contraproducentes si se traspasan los l%mites.
/o o!stante la utilidad de las +razas, ha de repetirse lo e'puesto en la
descripcin de la auditor%a informtica de Sistemas: el auditor informtico
emplea preferentemente la amplia informacin que proporciona el propio
Sistema: As%, los ficheros de GAccountingH o de Gconta!ilidadH, en donde
se encuentra la produccin completa de aqu(l, y los Gog>H de dicho
Sistema, en donde se recogen las modificaciones de datos y se pormenoriza
la actividad general.
0el mismo modo, el Sistema genera automticamente e'acta informacin
so!re el tratamiento de errores de maquina central, perif(ricos, etc.
@a auditor%a financiero7conta!le convencional emplea trazas con mucha
frecuencia. Son programas encaminados a verificar lo correcto de los
clculos de nminas, primas, etc.A.
>og:
"l log vendr%a a ser un historial que informa que fue cam!iando y cmo fue
cam!iando 4informacin5. as !ases de datos, por e-emplo, utilizan el log
para asegurar lo que se llaman las transacciones. as transacciones son
unidades atmicas de cam!ios dentro de una !ase de datos9 toda esa serie
de cam!ios se encuadra dentro de una transaccin, y todo lo que va
haciendo la Aplicacin 4gra!ar, modificar, !orrar5 dentro de esa transaccin,
queda gra!ado en el log. a transaccin tiene un principio y un fin, cuando
la transaccin llega a su fin, se vuelca todo a la !ase de datos. Si en el
medio de la transaccin se cort por ' razn, lo que se hace es volver para
atrs. "l log te permite analizar cronolgicamente que es lo que sucedi con
la informacin que est en el Sistema o que e'iste dentro de la !ase de
datos.
Soft6are de Interrogacin:
3asta hace ya algunos a*os se han utilizado productos soft6are llamados
gen(ricamente Gpaquetes de auditor%aH, capaces de generar programas
para auditores escasamente cualificados desde el punto de vista
informtico.
2s tarde, dichos productos evolucionaron hacia la o!tencin de muestreos
estad%sticos que permitieran la o!tencin de consecuencias e hiptesis de la
situacin real de una instalacin.
"n la actualidad, los productos Soft6are especiales para la auditor%a
informtica se orientan principalmente hacia lengua-es que permiten la
interrogacin de ficheros y !ases de datos de la empresa auditada. "stos
productos son utilizados solamente por los auditores e'ternos, por cuanto
los internos disponen del soft6are nativo propio de la instalacin.
0el mismo modo, la proliferacin de las redes locales y de la filosof%a
#$liente7Servidor#, han llevado a las firmas de soft6are a desarrollar
interfaces de transporte de datos entre computadoras personales y
mainframe, de modo que el auditor informtico copia en su propia &$ la
informacin ms relevante para su tra!a-o.
$a!e recordar, que en la actualidad casi todos los usuarios finales poseen
datos e informacin parcial generada por la organizacin informtica de la
$ompa*%a.
"fectivamente, conectados como terminales al #3ost#, almacenan los datos
proporcionados por este, que son tratados posteriormente en modo &$. "l
auditor se ve o!ligado 4naturalmente, dependiendo del alcance de la
auditor%a5 a reca!ar informacin de los mencionados usuarios finales, lo cual
puede realizar con suma facilidad con los polivalentes productos descritos.
$on todo, las opiniones ms autorizadas indican que el tra!a-o de campo del
auditor informtico de!e realizarse principalmente con los productos del
cliente.
<inalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. &ara ello, resulta casi
imprescindi!le una cierta soltura en el mane-o de &rocesadores de +e'to,
paquetes de Brficos, 3o-as de $lculo, etc.
2etodolog%a de +ra!a-o de Auditor%a Informtica
"l m(todo de tra!a-o del auditor pasa por las siguientes etapas:
Alcance y 8!-etivos de la Auditor%a Informtica.
"studio inicial del entorno audita!le.
0eterminacin de los recursos necesarios para realizar la auditor%a.
"la!oracin del plan y de los &rogramas de +ra!a-o.
Actividades propiamente dichas de la auditor%a.
$onfeccin y redaccin del Informe <inal.
,edaccin de la $arta de Introduccin o $arta de &resentacin del Informe
final.
0efinicin de Alcance y 8!-etivos
"l alcance de la auditor%a e'presa los l%mites de la misma. 0e!e e'istir un
acuerdo muy preciso entre auditores y clientes so!re las funciones, las
materias y las organizaciones a auditar.
A los efectos de acotar el tra!a-o, resulta muy !eneficioso para am!as
partes e'presar las e'cepciones de alcance de la auditor%a, es decir cuales
materias, funciones u organizaciones no van a ser auditadas.
+anto los alcances como las e'cepciones de!en figurar al comienzo del
Informe <inal.
as personas que realizan la auditor%a han de conocer con la mayor
e'actitud posi!le los o!-etivos a los que su tarea de!e llegar. 0e!en
comprender los deseos y pretensiones del cliente, de forma que las metas
fi-adas puedan ser cumplidas.
1na vez definidos los o!-etivos 4o!-etivos espec%ficos5, (stos se a*adirn a
los o!-etivos generales y comunes de a toda auditor%a Informtica: a
operatividad de los Sistemas y los $ontroles Benerales de Bestin
Informtica.
"studio Inicial
&ara realizar dicho estudio ha de e'aminarse las funciones y actividades
generales de la informtica.
&ara su realizacin el auditor de!e conocer lo siguiente:
8rganizacin:
&ara el equipo auditor, el conocimiento de qui(n ordena, qui(n dise*a y
qui(n e-ecuta es fundamental. &ara realizar esto en auditor de!er fi-arse
en:
D5 8rganigrama:
"l organigrama e'presa la estructura oficial de la organizacin a auditar.
Si se descu!riera que e'iste un organigrama fctico diferente al oficial, se
pondr de manifiesto tal circunstancia.
J5 0epartamentos:
Se entiende como departamento a los rganos que siguen inmediatamente
a la 0ireccin. "l equipo auditor descri!ir !revemente las funciones de
cada uno de ellos.
K5 ,elaciones Oerrquicas y funcionales entre rganos de la 8rganizacin:
"l equipo auditor verificar si se cumplen las relaciones funcionales y
Oerrquicas previstas por el organigrama, o por el contrario detectar, por
e-emplo, si alg)n empleado tiene dos -efes.
as de Oerarqu%a implican la correspondiente su!ordinacin. as funcionales
por el contrario, indican relaciones no estrictamente su!ordina!les.
Adems de las corrientes verticales intradepartamentales, la estructura
organizativa cualquiera que sea, produce corrientes de informacin
horizontales y o!licuas e'tradepartamentales.
os flu-os de informacin entre los grupos de una organizacin son
necesarios para su eficiente gestin, siempre y cuando tales corrientes no
distorsionen el propio organigrama.
"n ocasiones, las organizaciones crean espontneamente canales
alternativos de informacin, sin los cuales las funciones no podr%an e-ercerse
con eficacia9 estos canales alternativos se producen porque hay peque*os o
grandes fallos en la estructura y en el organigrama que los representa.
8tras veces, la aparicin de flu-os de informacin no previstos o!edece a
afinidades personales o simple comodidad. "stos flu-os de informacin son
indesea!les y producen graves pertur!aciones en la organizacin.
<lu-os de Informacin:
"l equipo auditor compro!ar que los nom!res de los &uesto de los &uestos
de +ra!a-o de la organizacin corresponden a las funciones reales distintas.
"s frecuente que !a-o nom!res diferentes se realicen funciones id(nticas, lo
cual indica la e'istencia de funciones operativas redundantes.
"sta situacin pone de manifiesto deficiencias estructurales9 los auditores
darn a conocer tal circunstancia y e'presarn el n)mero de puestos de
tra!a-o verdaderamente diferentes.
/)mero de &uestos de tra!a-o
/)mero de personas por &uesto de +ra!a-o
"s un parmetro que los auditores informticos de!en considerar. a
inadecuacin del personal determina que el n)mero de personas que
realizan las mismas funciones rara vez coincida con la estructura oficial de
la organizacin.
"ntorno 8peracional
"l equipo de auditor%a informtica de!e poseer una adecuada referencia del
entorno en el que va a desenvolverse.
"ste conocimiento previo se logra determinando, fundamentalmente, los
siguientes e'tremos:
Se determinar la u!icacin geogrfica de los distintos $entros de &roceso
de 0atos en la empresa. A continuacin, se verificar la e'istencia de
responsa!les en cada unos de ellos, as% como el uso de los mismos
estndares de tra!a-o.
!5 Arquitectura y configuracin de 3ard6are y Soft6are:
$uando e'isten varios equipos, es fundamental la configuracin elegida
para cada uno de ellos, ya que los mismos de!en constituir un sistema
compati!le e intercomunicado. a configuracin de los sistemas esta muy
ligada a las pol%ticas de seguridad lgica de las compa*%as.
os auditores, en su estudio inicial, de!en tener en su poder la distri!ucin
e intercone'in de los equipos.
Situacin geogrfica de los Sistemas:
"l auditor reca!ar informacin escrita, en donde figuren todos los
elementos f%sicos y lgicos de la instalacin. "n cuanto a 3ard6are figurarn
las $&1s, unidades de control local y remotas, perif(ricos de todo tipo, etc.
"l inventario de soft6are de!e contener todos los productos lgicos del
Sistema, desde el soft6are !sico hasta los programas de utilidad
adquiridos o desarrollados internamente. Suele ser ha!itual clasificarlos en
factura!les y no factura!les.
d5 $omunicacin y ,edes de $omunicacin:
"n el estudio inicial los auditores dispondrn del n)mero, situacin y
caracter%sticas principales de las l%neas, as% como de los accesos a la red
p)!lica de comunicaciones.
Igualmente, poseern informacin de las ,edes ocales de la "mpresa.
Aplicaciones !ases de datos y ficheros
"l estudio inicial que han de realizar los auditores se cierra y culmina con
una idea general de los procesos informticos realizados en la empresa
auditada. &ara ello de!ern conocer lo siguiente:
Inventario de 3ard6are y Soft6are:
Columen, antigSedad y comple-idad de las Aplicaciones
Se clasificar glo!almente la e'istencia total o parcial de metodolog%a en el
desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del
tiempo se pondr de manifiesto.
2etodolog%a del 0ise*o
a e'istencia de una adecuada documentacin de las aplicaciones
proporciona !eneficios tangi!les e inmediatos muy importantes.
a documentacin de programas disminuye gravemente el mantenimiento
de los mismos.
0ocumentacin
"l auditor reca!ar informacin de tama*o y caracter%sticas de las .ases de
0atos, clasificndolas en relacin y -erarqu%as. 3allar un promedio de
n)mero de accesos a ellas por hora o d%as. "sta operacin se repetir con
los ficheros, as% como la frecuencia de actualizaciones de los mismos.
"stos datos proporcionan una visin acepta!le de las caracter%sticas de la
carga informtica.
0eterminacin de recursos de la auditor%a Informtica
2ediante los resultados del estudio inicial realizado se procede a determinar
los recursos humanos y materiales que han de emplearse en la auditor%a.
,ecursos materiales
"s muy importante su determinacin, por cuanto la mayor%a de ellos son
proporcionados por el cliente. as herramientas soft6are propias del equipo
van a utilizarse igualmente en el sistema auditado, por lo que han de
convenirse en lo posi!le las fechas y horas de uso entre el auditor y cliente.
os recursos materiales del auditor son de dos tipos:
$antidad y comple-idad de .ases de 0atos y <icheros.
&rogramas propios de la auditoria: Son muy potentes y <le'i!les.
3a!itualmente se a*aden a las e-ecuciones de los procesos del cliente para
verificarlos.
2onitores: Se utilizan en funcin del grado de desarrollo o!servado en la
actividad de +(cnica de Sistemas del auditado y de la cantidad y calidad de
los datos ya e'istentes.
,ecursos materiales Soft6are
,ecursos materiales 3ard6are
os recursos hard6are que el auditor necesita son proporcionados por el
cliente. os procesos de control de!en efectuarse necesariamente en las
$omputadoras del auditado.
&ara lo cul ha!r de convenir, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.
,ecursos 3umanos
a cantidad de recursos depende del volumen audita!le. as caracter%sticas
y perfiles del personal seleccionado depende de la materia audita!le.
"s igualmente rese*a!le que la auditor%a en general suele ser e-ercida por
profesionales universitarios y por otras personas de pro!ada e'periencia
multidisciplinaria.
&erfiles &orfesionales de los auditores informticos
&rofesin Actividades y conocimientos desea!les
Informtico Beneralista $on e'periencia amplia en ramas distintas.
0esea!le que su la!or se haya desarrollado
en "'plotacin y en 0esarrollo de &royectos.
$onocedor de Sistemas.
"'perto en 0esarrollo de
&royectos
Amplia e'periencia como responsa!le de
proyectos. "'perto analista. $onocedor de
las metodolog%as de 0esarrollo ms
importantes.
+(cnico de Sistemas "'perto en Sistemas 8perativos y Soft6are
.sico. $onocedor de los productos
equivalentes en el mercado. Amplios
conocimientos de "'plotacin.
"'perto en .ases de 0atos y
Administracin de las mismas.
$on e'periencia en el mantenimiento de
.ases de 0atos. $onocimiento de productos
compati!les y equivalentes. .uenos
conocimientos de e'plotacin
"'perto en Soft6are de
$omunicacin
Alta especializacin dentro de la t(cnica de
sistemas. $onocimientos profundos de
redes. 2uy e'perto en Su!sistemas de
teleproceso.
"'perto en "'plotacin y
Bestin de $&0TS
,esponsa!le de alg)n $entro de $lculo.
Amplia e'periencia en Automatizacin de
tra!a-os. "'perto en relaciones humanas.
.uenos conocimientos de los sistemas.
+(cnico de 8rganizacin "'perto organizador y coordinador.
"specialista en el anlisis de flu-os de
informacin.
+(cnico de evaluacin de
$ostes
"conomista con conocimiento de
Informtica. Bestin de costes.
"la!oracin del &lan y de los programas de tra!a-o
1na vez asignados los recursos, el responsa!le de la auditor%a y sus
cola!oradores esta!lecen un plan de tra!a-o. 0ecidido (ste, se procede a la
programacin del mismo.
"l plan se ela!ora teniendo en cuenta, entre otros criterios, los siguientes:
a5 Si la ,evisin de!e realizarse por reas generales o reas espec%ficas. "n
el primer caso, la ela!oracin es ms comple-a y costosa.
!5 Si la auditor%a es glo!al, de toda la Informtica, o parcial. "l volumen
determina no solamente el n)mero de auditores necesarios, sino las
especialidades necesarias del personal.
"n el plan no se consideran calendarios, porque se mane-an recursos
gen(ricos y no espec%ficos.
"n el &lan se esta!lecen los recursos y esfuerzos glo!ales que van a ser
necesarios.
"n el &lan se esta!lecen las prioridades de materias audita!les, de acuerdo
siempre con las prioridades del cliente.
"l &lan esta!lece disponi!ilidad futura de los recursos durante la revisin.
"l &lan estructura las tareas a realizar por cada integrante del grupo.
"n el &lan se e'presan todas las ayudas que el auditor ha de reci!ir del
auditado.
1na vez ela!orado el &lan, se procede a la &rogramacin de actividades.
"sta ha de ser lo suficientemente como para permitir modificaciones a lo
largo del proyecto.
Actividades de la Auditor%a Informtica
Auditor%a por temas generales o por reas espec%ficas:
a auditor%a Informtica general se realiza por reas generales o por reas
espec%ficas. Si se e'amina por grandes temas, resulta evidente la mayor
calidad y el empleo de ms tiempo total y mayores recursos.
$uando la auditor%a se realiza por reas espec%ficas, se a!arcan de una vez
todas las peculiaridades que afectan a la misma, de forma que el resultado
se o!tiene ms rpidamente y con menor calidad.
+(cnicas de +ra!a-o:
7 Anlisis de la informacin reca!ada del auditado.
7 Anlisis de la informacin propia.
7 $ruzamiento de las informaciones anteriores.
7 "ntrevistas.
7 Simulacin.
7 2uestreos.
3erramientas:
7 $uestionario general inicial.
7 $uestionario $hec;list.
7 "stndares.
7 2onitores.
7 Simuladores 4Beneradores de datos5.
7 &aquetes de auditor%a 4Beneradores de &rogramas5.
7 2atrices de riesgo.
Informe <inal
a funcin de la auditor%a se materializa e'clusivamente por escrito. &or lo
tanto la ela!oracin final es el e'ponente de su calidad.
,esulta evidente la necesidad de redactar !orradores e informes parciales
previos al informe final, los que son elementos de contraste entre opinin
entre auditor y auditado y que pueden descu!rir fallos de apreciacin en el
auditor.
"structura del informe final:
"l informe comienza con la fecha de comienzo de la auditor%a y la fecha de
redaccin del mismo. Se incluyen los nom!res del equipo auditor y los
nom!res de todas las personas entrevistadas, con indicacin de la -efatura,
responsa!ilidad y puesto de tra!a-o que ostente.
0efinicin de o!-etivos y alcance de la auditor%a.
"numeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms e'haustivamente
posi!le todos los temas o!-eto de la auditor%a.
$uerpo e'positivo:
&ara cada tema, se seguir el siguiente orden a sa!er:
a5 Situacin actual. $uando se trate de una revisin peridica, en la que se
analiza no solamente una situacin sino adems su evolucin en el tiempo,
se e'pondr la situacin prevista y la situacin real
!5 +endencias. Se tratarn de hallar parmetros que permitan esta!lecer
tendencias futuras.
c5 &untos d(!iles y amenazas.
d5 ,ecomendaciones y planes de accin. $onstituyen -unto con la e'posicin
de puntos d(!iles, el verdadero o!-etivo de la auditor%a informtica.
e5 ,edaccin posterior de la $arta de Introduccin o &resentacin.
2odelo conceptual de la e'posicin del informe final:
7 "l informe de!e incluir solamente hechos importantes.
a inclusin de hechos poco relevantes o accesorios desv%a la atencin del
lector.
7 "l Informe de!e consolidar los hechos que se descri!en en el mismo.
"l t(rmino de #hechos consolidados# adquiere un especial significado de
verificacin o!-etiva y de estar documentalmente pro!ados y soportados. a
consolidacin de los hechos de!e satisfacer, al menos los siguientes
criterios:
"l hecho de!e poder ser sometido a cam!ios.
as venta-as del cam!io de!en superar los inconvenientes derivados de
mantener la situacin.
/o de!en e'istir alternativas via!les que superen al cam!io propuesto.
a recomendacin del auditor so!re el hecho de!e mantener o me-orar las
normas y estndares e'istentes en la instalacin.
a aparicin de un hecho en un informe de auditor%a implica
necesariamente la e'istencia de una de!ilidad que ha de ser corregida.
<lu-o del hecho o de!ilidad:
D I 3echo encontrado.
7 3a de ser relevante para el auditor y pera el cliente.
7 3a de ser e'acto, y adems convincente.
7 /o de!en e'istir hechos repetidos.
J I $onsecuencias del hecho
7 as consecuencias de!en redactarse de modo que sean directamente
deduci!les del hecho.
K I ,epercusin del hecho
7 Se redactar las influencias directas que el hecho pueda tener so!re otros
aspectos informticos u otros m!itos de la empresa.
N I $onclusin del hecho
7 /o de!en redactarse conclusiones ms que en los casos en que la
e'posicin haya sido muy e'tensa o comple-a.
M I ,ecomendacin del auditor informtico
7 0e!er entenderse por s% sola, por simple lectura.
7 0e!er estar suficientemente soportada en el propio te'to.
7 0e!er ser concreta y e'acta en el tiempo, para que pueda ser verificada
su implementacin.
7 a recomendacin se redactar de forma que vaya dirigida e'presamente
a la persona o personas que puedan implementarla.
$arta de introduccin o presentacin del informe final:
a carta de introduccin tiene especial importancia porque en ella ha de
resumirse la auditor%a realizada. Se destina e'clusivamente al responsa!le
m'imo de la empresa, o a la persona concreta que encargo o contrato la
auditor%a.
As% como pueden e'istir tantas copias del informe <inal como solicite el
cliente, la auditor%a no har copias de la citada carta de Introduccin.
a carta de introduccin poseer los siguientes atri!utos:
+endr como m'imo N folios.
Incluir fecha, naturaleza, o!-etivos y alcance.
$uantificar la importancia de las reas analizadas.
&roporcionar una conclusin general, concretando las reas de gran
de!ilidad.
&resentar las de!ilidades en orden de importancia y gravedad.
"n la carta de Introduccin no se escri!irn nunca recomendaciones.
$,2, 4$omputer resource management revie65
0efinicin de la metodolog%a $,2,:
$,2, son las siglas de GG$omputer resource management revie6HH9 su
traduccin ms adecuada, "valuacin de la gestin de recursos
informticos. "n cualquier caso, esta terminolog%a quiere destacar la
posi!ilidad de realizar una evaluacin de eficiencia de utilizacin de los
recursos por medio del management.
1na revisin de esta naturaleza no tiene en s% misma el grado de
profundidad de una auditor%a informtica glo!al, pero proporciona
soluciones ms rpidas a pro!lemas concretos y notorios.
Supuestos de aplicacin:
"n funcin de la definicin dada, la metodolog%a a!reviada $,2, es
aplica!le ms a deficiencias organizativas y gerenciales que a pro!lemas de
tipo t(cnico, pero no cu!re cualquier rea de un $entro de &rocesos de
0atos.
"l m(todo $,2, puede aplicarse cuando se producen algunas de las
situaciones que se citan:
Se detecta una mala respuesta a las peticiones y necesidades de los
usuarios.
os resultados del $entro de &rocesos de 0atos no estn a disposicin de
los usuarios en el momento oportuno.
Se genera con alguna frecuencia informacin errnea por fallos de datos o
proceso.
"'isten so!recargas frecuentes de capacidad de proceso.
"'isten costes e'cesivos de proceso en el $entro de &roceso de 0atos.
"fectivamente, son (stas y no otras las situaciones que el auditor
informtico encuentra con mayor frecuencia. Aunque pueden e'istir
factores t(cnicos que causen las de!ilidades descritas, hay que convenir en
la mayor incidencia de fallos de gestin.
Areas de aplicacin:
as reas en que el m(todo $,2, puede ser aplicado se corresponden con
las su-etas a las condiciones de aplicacin se*aladas en punto anterior:
Bestin de 0atos.
$ontrol de 8peraciones.
$ontrol y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
&lanificacin.
8rganizacin y administracin.
$iertamente, el $,2, no es adecuado para evaluar la procedencia de
adquisicin de nuevos equipos 4$apacity &lanning5 o para revisar muy a
fondo los caminos cr%ticos o las holguras de un &royecto comple-o.
8!-etivos:
$,2, tiene como o!-etivo fundamental evaluar el grado de !ondad o
ineficiencia de los procedimientos y m(todos de gestin que se o!servan en
un $entro de &roceso de 0atos. as ,ecomendaciones que se emitan como
resultado de la aplicacin del $,2,, tendrn como finalidad algunas de las
que se relacionan:
Identificar y fi-as responsa!ilidades.
2e-orar la fle'i!ilidad de realizacin de actividades.
Aumentar la productividad.
0isminuir costes
2e-orar los m(todos y procedimientos de 0ireccin.
Alcance:
Se fi-arn los l%mites que a!arcar el $,2,, antes de comenzar el tra!a-o.
Se esta!lecen tres clases:
,educido. "l resultado consiste en se*alar las reas de actuacin con
potencialidad inmediata de o!tencin de !eneficios.
2edio. "n este caso, el $,2, ya esta!lece conclusiones y
,ecomendaciones, tal y como se hace en la auditor%a informtica ordinaria.
Amplio. "l $,2, incluye &lanes de Accin, aportando t(cnicas de
implementacin de las ,ecomendaciones, a la par que desarrolla las
conclusiones.
Informacin necesaria para la evaluacin del $,2,:
Se determinan en este punto los requisitos necesarios para que esta
sim!iosis de auditor%a y consultor%a pueda llevarse a ca!o con ('ito.
"l tra!a-o de campo del $,2, ha de realizarse completamente integrado en
la estructura del $entro de &roceso de 0atos del cliente, y con los recursos
de (ste.
Se de!er cumplir un detallado programa de tra!a-o por tareas.
"l auditor7consultor reca!ar determinada informacin necesaria del cliente.
Se tratan a continuacin los tres requisitos e'puestos:
/o de!e olvidarse que se estn evaluando actividades desde el punto de
vista gerencial. "l contacto permanente del auditor con el tra!a-o ordinario
del $entro de &roceso de 0atos permite a aqu(l determinar el tipo de
esquema organizativo que se sigue.
Integracin del auditor en el $entro de &rocesos de 0atos a revisar
&rograma de tra!a-o clasificado por tareas
+odo tra!a-o ha!r de ser descompuesto en tareas. $ada una de ellas se
someter a la siguiente sistemtica:
Identificacin de la tarea.
0escripcin de la tarea.
0escripcin de la funcin de direccin cuando la tarea se realiza
incorrectamente.
0escripcin de venta-as, sugerencias y !eneficios que puede originar un
cam!io o modificacin de tarea
+est para la evaluacin de la prctica directiva en relacin con la tarea.
&osi!ilidades de agrupacin de tareas.
A-ustes en funcin de las peculiaridades de un departamento concreto.
,egistro de resultados, conclusiones y ,ecomendaciones.
Informacin necesaria para la realizacin del $,2,
"l cliente es el que facilita la informacin que el auditor contrastar con su
tra!a-o de campo.
Se e'hi!e a continuacin una $hec;list completa de los datos necesarios
para confeccionar el $,2,:
0atos de mantenimiento preventivo de 3ard6are.
Informes de anomal%as de los Sistemas.
&rocedimientos estndar de actualizacin.
&rocedimientos de emergencia.
2onitarizacin de los Sistemas.
Informes del rendimiento de los Sistemas.
2antenimiento de las i!rer%as de &rogramas.
Bestin de "spacio en disco.
0ocumentacin de entrega de Aplicaciones a "'plotacin.
0ocumentacin de alta de cadenas en "'plotacin.
1tilizacin de $&1, canales y discos.
0atos de paginacin de los Sistemas.
Columen total y li!re de almacenamiento.
8cupacin media de disco.
2anuales de &rocedimientos de "'plotacin.
"sta informacin cu!re ampliamente el espectro del $,2, y permite e-ercer
el seguimiento de las ,ecomendaciones realizadas.
$aso &rctico de una Auditor%a de Seguridad Informtica GG$iclo de
SeguridadHH
A continuacin, un caso de auditor%a de rea general para proporcionar una
visin ms desarrollada y amplia de la funcin auditora.
"s una auditor%a de Seguridad Informtica que tiene como misin revisar
tanto la seguridad f%sica del $entro de &roceso de 0atos en su sentido ms
amplio, como la seguridad lgica de datos, procesos y funciones
informticas ms importantes de aqu(l.
$iclo de Seguridad
"l o!-etivo de esta auditor%a de seguridad es revisar la situacin y las cuotas
de eficiencia de la misma en los rganos ms importantes de la estructura
informtica.
&ara ello, se fi-an los supuestos de partida:
"l rea auditada es la Seguridad. "l rea a auditar se divide en: Segmentos.
os segmentos se dividen en: Secciones.
as secciones se dividen en: Su!secciones.
0e este modo la auditor%a se realizara en K niveles.
os segmentos a auditar, son:
Segmento D: Seguridad de cumplimiento de normas y estndares.
Segmento J: Seguridad de Sistema 8perativo.
Segmento K: Seguridad de Soft6are.
Segmento N: Seguridad de $omunicaciones.
Segmento M: Seguridad de .ase de 0atos.
Segmento F: Seguridad de &roceso.
Segmento U: Seguridad de Aplicaciones.
Segmento V: Seguridad <%sica.
Se darn los resultados glo!ales de todos los segmentos y se realizar un
tratamiento e'haustivo del Segmento V, a nivel de seccin y su!seccin.
$onceptualmente la auditoria informtica en general y la de Seguridad en
particular, ha de desarrollarse en seis fases !ien diferenciadas:
<ase R. $ausas de la realizacin del ciclo de seguridad.
<ase D. "strategia y log%stica del ciclo de seguridad.
<ase J. &onderacin de sectores del ciclo de seguridad.
<ase K. 8perativa del ciclo de seguridad.
<ase N. $lculos y resultados del ciclo de seguridad.
<ase M. $onfeccin del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
$omienzo del proyecto de Auditor%a Informtica.
Asignacin del equipo auditor.
Asignacin del equipo interlocutor del cliente.
$umplimentacin de formularios glo!ales y parciales por parte del cliente.
Asignacin de pesos t(cnicos por parte del equipo auditor.
Asignacin de pesos pol%ticos por parte del cliente.
Asignacin de pesos finales a segmentos y secciones.
&reparacin y confirmacin de entrevistas.
"ntrevistas, confrontaciones y anlisis y repaso de documentacin.
$alculo y ponderacin de su!secciones, secciones y segmentos.
Identificacin de reas me-ora!les.
"leccin de las reas de actuacin prioritaria.
&reparacin de recomendaciones y !orrador de informe
0iscusin de !orrador con cliente.
"ntrega del informe.
$ausas de realizacin de una Auditor%a de Seguridad
"sta constituye la <AS" R de la auditor%a y el orden R de actividades de la
misma.
"l equipo auditor de!e conocer las razones por las cuales el cliente desea
realizar el $iclo de Seguridad. &uede ha!er muchas causas: ,eglas internas
del cliente, incrementos no previstos de costes, o!ligaciones legales,
situacin de ineficiencia glo!al notoria, etc.
0e esta manera el auditor conocer el entorno inicial. As%, el equipo auditor
ela!orar el &lan de +ra!a-o.
"strategia y log%stica del ciclo de Seguridad
$onstituye la <AS" D del ciclo de seguridad y se desarrolla en las
actividades D, J y K:
<ase D. "strategia y log%stica del ciclo de seguridad
0esignacin del equipo auditor.
Asignacin de interlocutores, validadores y decisores del cliente.
$umplimentacin de un formulario general por parte del cliente, para la
realizacin del estudio inicial.
$on las razones por las cuales va a ser realizada la auditor%a 4<ase R5, el
equipo auditor dise*a el proyecto de $iclo de Seguridad con arreglo a una
estrategia definida en funcin del volumen y comple-idad del tra!a-o a
realizar, que constituye la <ase D del punto anterior.
&ara desarrollar la estrategia, el equipo auditor necesita recursos materiales
y humanos. a adecuacin de estos se realiza mediante un desarrollo
log%stico, en el que los mismos de!en ser determinados con e'actitud. a
cantidad, calidad, coordinacin y distri!ucin de los mencionados recursos,
determina a su vez la eficiencia y la econom%a del &royecto.
os planes del equipo auditor se desarrolla de la siguiente manera:
"ligiendo el responsa!le de la auditoria su propio equipo de tra!a-o. "ste ha
de ser heterog(neo en cuanto a especialidad, pero compacto.
,eca!ando de la empresa auditada los nom!res de las personas de la
misma que han de relacionarse con los auditores, para las peticiones de
informacin, coordinacin de entrevistas, etc.
Seg)n los planes marcados, el equipo auditor, cumplidos los requisitos D, J
y K, estar en disposicin de comenzar la #tarea de campo#, la operativa
auditora del $iclo de Seguridad.
&onderacin de los Sectores Auditados
"ste constituye la <ase J del &royecto y englo!a las siguientes actividades:
<AS" J. &onderacin de sectores del ciclo de seguridad.
2ediante un estudio inicial, del cual forma parte el anlisis de un formulario
e'haustivo, tam!i(n inicial, que los auditores entregan al cliente para su
cumplimentacin.
Asignacin de pesos t(cnicos. Se entienden por tales las ponderaciones que
el equipo auditor hace de los segmentos y secciones, en funcin de su
importancia.
Asignacin de pesos pol%ticos. Son las mismas ponderaciones anteriores,
pero evaluadas por el cliente.
Se pondera la importancia relativa de la seguridad en los diversos sectores
de la organizacin informtica auditada.
as asignaciones de pesos a Secciones y Segmentos del rea de seguridad
que se audita, se realizan del siguiente modo:
&esos t(cnicos
Son los coeficientes que el equipo auditor asigna a los Segmentos y a las
Secciones.
&esos pol%ticos
Son los coeficientes o pesos que el cliente concede a cada Segmento y a
cada Seccin del $iclo de Seguridad.
$iclo de Seguridad. Suma &esos Segmentos Q DRR
4con independencia del n)mero de segmentos consideradas5
Segmentos &esos
+(cnicos
&esos &ol%ticos &esos <inales
SegD. /ormas y
"stndares
DJ V DR
SegJ. Sistema
8perativo
DR DR DR
SegK. Soft6are
.sico
DR DN DJ
SegN.
$omunicaciones
DJ DJ DJ
SegM. .ases de
0atos
DJ DJ DJ
SegF. &rocesos DF DJ DN
SegU. Aplicaciones DF DF DF
SegV. Seguridad
<%sica
DJ DF DN
+8+A DRR DRR DRR
&esos finales
Son el promedio de los pesos anteriores.
"l total de los pesos de los V segmentos es DRR. "ste total de DRR puntos es
el que se ha asignado a la totalidad del rea de Seguridad, como podr%a
ha!erse elegido otro cualquiera. "l total de puntos se mantiene cualquiera
que hu!iera sido el n)mero de segmentos. Si hu!ieran e'istido cinco
segmentos, en lugar de V, la suma de los cinco ha!r%a de seguir siendo de
DRR puntos.
Suma &eso Secciones Q JR
4con independencia del n)mero de Secciones consideradas5
Secciones &esos
+(cnicos
&esos &ol%ticos &esos <inales
SeccD. Seg. <%sica
de 0atos
F F F
SeccJ. $ontrol de
Accesos
M K N
SeccK. "quipos F N M
SeccN. 0ocumentos J N K
SeccM. Suministros D K J
+8+A JR JR JR
&uede o!servarse la diferente apreciacin de pesos por parte del cliente y
del equipo auditor. 2ientras (stos estiman que las /ormas y "stndares y
los &rocesos son muy importantes, el cliente no los considera tanto, a la vez
que prima, tal vez e'cesivamente, el Soft6are .sico.
0el mismo modo, se concede a todos los segmentos el mismo valor total
que se desee, por e-emplo JR, con a!soluta independencia del n)mero de
Secciones que tenga cada Segmento. "n este caso, se han definido y
pesado cinco Secciones del Segmento de Seguridad <%sica. $a!e aclarar,
solo se desarroll un solo Segmento a modo de e-emplo.
8perativa del ciclo de Seguridad
1na vez asignados los pesos finales a todos los Segmentos y Secciones, se
comienza la <ase K, que implica las siguientes actividades:
<AS" K. 8perativa del ciclo de seguridad
Asignacin de pesos finales a los Segmentos y Secciones. "l peso final es el
promedio del peso t(cnico y del peso pol%tico. a Su!secciones se calculan
pero no se ponderan.
&reparacin y confirmacin de entrevistas.
"ntrevistas, prue!as, anlisis de la informacin, cruzamiento y repaso de la
misma.
as entrevistas de!en realizarse con e'actitud. "l responsa!le del equipo
auditor designar a un encargado, dependiendo del rea de la entrevista.
"ste, por supuesto, de!er conocer a fondo la misma.
a realizacin de entrevistas adecuadas constituye uno de los factores
fundamentales del ('ito de la auditor%a. a adecuacin comienza con la
completa cooperacin del entrevistado. Si esta no se produce, el
responsa!le lo har sa!er al cliente.
0e!en realizarse varias entrevistas del mismo tema, al menos a dos o tres
niveles -errquicos distintos. "l mismo auditor puede, y en ocasiones es
conveniente, entrevistar a la misma persona so!re distintos temas. as
entrevistas de!en realizarse de acuerdo con el plan esta!lecido, aunque se
pueden llegar a agregar algunas adicionales y sin planificacin.
a entrevista concreta suele a!arcar Su!secciones de una misma Seccin
tal vez una seccin completa. $omenzada la entrevista, el auditor o
auditores formularn preguntas alElos entrevistadoEs. 0e!e identificarse
quien ha dicho qu(, si son ms de una las personas entrevistadas.
as $hec;listWs son )tiles y en muchos casos imprescindi!les. +erminadas
las entrevistas, el auditor califica las respuestas del auditado 4no de!e estar
presente5 y procede al levantamiento de la informacin correspondiente.
Simultneamente a las entrevistas, el equipo auditor realiza prue!as
planeadas y prue!as sorpresa para verificar y cruzar los datos solicitados y
facilitados por el cliente. "stas prue!as se realizan e-ecutando tra!a-os
propios o repitiendo los de aqu(l, que indefecti!lemente de!ern ser
similares si se han reproducido las condiciones de carga de los Sistemas
auditados. Si las prue!as realizadas por el equipo auditor no fueran
consistentes con la informacin facilitada por el auditado, se de!er reca!ar
nueva informacin y reverificar los resultados de las prue!as auditoras.
a evaluacin de las $hec;lists, las prue!as realizadas, la informacin
facilitada por el cliente y el anlisis de todos los datos disponi!les,
configuran todos los elementos necesarios para calcular y esta!lecer los
resultados de la auditoria, que se materializarn en el informe final.
A continuacin, un e-emplo de auditor%a de la Seccin de $ontrol de Accesos
del Segmento de Seguridad <%sica:
Camos a dividir a la Seccin de $ontrol de Accesos en cuatro Su!secciones:
Autorizaciones
$ontroles Automticos
Cigilancia
,egistros
"n las siguientes $hec;lists, las respuestas se calificarn de D a M, siendoD
la ms deficiente y M la m'ima puntuacin.
$ontrol de Accesos: Autorizaciones
&reguntas ,espuestas &untos
="'iste un )nico responsa!le de
implementar la pol%tica de
autorizaciones de entrada en el
$entro de $lculo?
Si, el Oefe de "'plotacin, pero el
0irector puede acceder a la Sala
con acompa*antes sin previo
aviso.
N
="'iste alguna autorizacin
permanente de estancia de
personal a-eno a la empresa?
1na sola. "l t(cnico permanente
de la firma suministradora.
M
=:ui(nes sa!en cuales son las
personas autorizadas?
"l personal de vigilancia y el Oefe
de "'plo7tacin.
M
Adems de la tar-eta magn(tica de
identifica7cin, =hay que pasar
otra especial?
/o, solamente la primera. N
=Se pregunta a las visitas si
piensan visitar el $entro de
$lculo?
/o, vale la primera autorizacin. K
=Se preveen las visitas al $entro
de $lculo con JN horas al menos?
/o, !asta que vayan
acompa*ados por el Oefe de
"'plotacin o 0irector
K
+8+A A1+8,IXA$I8/"S JNEKR
VRY
$ontrol de Accesos: $ontroles Automticos
&reguntas ,espuestas &untos
=$ree 1d. que los $ontroles
Automticos son adecuados?
Si, aunque ha de reconocerse
que a pie puede llegarse por la
K
noche hasta el edificio
principal.
=:uedan registradas todas las
entradas y salidas del $entro de
$lculo?
/o, solamente las del personal
a-eno a 8peracin.
K
Al final de cada turno, =Se controla
el n)mero de entradas y salidas del
personal de 8peracin?
S%, y los vigilantes los
reverifican.
M
=&uede salirse del $entro de $lculo
sin tar-eta magn(tica?
Si, porque e'iste otra puerta
de emergen7cia que puede
a!rirse desde adentro
K
+8+A $8/+,8"S A1+82A+I$8S DNEJR
URY
$ontrol de Accesos: Cigilancia
&reguntas ,espuestas &untos
=3ay vigilantes las JN horas? S%. M
="'isten circuitos cerrados de +C
e'teriores?
S%. M
Identificadas las visitas, =Se les
acompa*a hasta la persona que
desean ver?
/o. J
=$onocen los vigilantes los
terminales que de!en quedar
encendidos por la noche?
/o, ser%a muy complicado. J
+8+A CIBIA/$IA DNEJR
URY
$ontrol de Accesos: ,egistros
&reguntas ,espuestas &untos
="'iste una adecuada pol%tica de
registros?
/o, reconocemos que casi
nunca, pero hasta ahora no ha
D
ha!ido necesidad.
=Se ha registrado alguna vez a una
persona?
/unca. D
=Se a!ren todos los paquetes
dirigidos a personas concretas y no
a Informtica?
$asi nunca. D
=3ay un cuarto para a!rir los
paquetes?
Si, pero no se usa siempre. K
+8+A ,"BIS+,8S FEJR
KRY
$lculos y ,esultados del $iclo de Seguridad
<AS" N. $lculos y resultados del ciclo de seguridad
$lculo y ponderacin de Secciones y Segmentos. as Su!secciones no se
ponderan, solo se calculan.
Identificacin de materias me-ora!les.
&riorizacin de me-oras.
"n el punto anterior se han realizado las entrevistas y se han puntuado las
respuestas de toda la auditor%a de Seguridad.
"l tra!a-o de levantamiento de informacin est concluido y contrastado con
las prue!as. A partir de ese momento, el equipo auditor tiene en su poder
todos los datos necesarios para ela!orar el informe final. Solo faltar%a
calcular el porcenta-e de !ondad de cada rea9 (ste se o!tiene calculando el
sumatorio de las respuestas o!tenidas, recordando que de!en afectarse a
sus pesos correspondientes.
1na vez realizado los clculos, se ordenaran y clasificaran los resultados
o!tenidos por materias me-ora!les, esta!leciendo prioridades de actuacin
para lograrlas.
$lculo del e-emplo de las Su!secciones de la Seccin de $ontrol de
Accesos:
Autorizaciones VRY
$ontroles Automticos URY
Cigilancia URY
,egistros KRY
&romedio de $ontrol de Accesos FJ,MY
$a!e recordar, que dentro del Segmento de Seguridad <%sica, la Seccin de
$ontrol de Accesos tiene un peso final de N.
&rosiguiendo con el e-emplo, se procedi a la evaluacin de las otras cuatro
Secciones, o!teni(ndose los siguientes resultados:
$iclo de Seguridad: Segmento V, Seguridad <%sica.
Secciones &eso &untos
Seccin D. 0atos F MU,MY
Seccin J. $ontrol de Accesos N FJ,MY
Seccin K. "quipos 4$entro de
$lculo5
M URY
Seccin N. 0ocumentos K MJ,MY
Seccin M. Suministros J NU,JY
$onocidas los promedios y los pesos de las cinco Secciones, se procede a
calcular y ponderar el Segmento V de Seguridad <%sica:
Seg. V Q &romedioSeccinD > peso P &romedioSeccJ > peso P &romSeccK >
peso P &romSeccN > peso P &romSeccM > peso E 4pesoD P pesoJ P pesoK P
pesoN P pesoM5

Seg. V Q 4MU,M > F5 P 4FJ,M > N5 P 4UR > M5 P 4MJ,M > K5 P 4NU,J > J5 E JR
Seg. V Q MZ,VMY
A continuacin, la evaluacin final de los dems Segmentos del ciclo de
Seguridad:
$iclo de Seguridad. "valuacin y pesos de Segmentos
Segmentos &esos "valuacin
SegD. /ormas y "stndares DR FDY
SegJ. Sistema 8perativo DR ZRY
SegK. Soft6are .sico DJ UJY
SegN. $omunicaciones DJ MMY
SegM. .ases de 0atos DJ UU,MY
SegF. &rocesos DN MD,JY
SegU. Aplicaciones DF MR,MY
SegV. Seguridad <%sica DN MZ,VY
&romedio +otal Area de
Seguridad
DRR FK,KY
Sistemtica seguida para el clculo y evaluacin del $iclo de Seguridad:
Caloracin de las respuestas a las preguntas espec%ficas realizadas en las
entrevistas y a los cuestionarios formulados por escrito.
$lculo matemtico de todas las su!secciones de cada seccin, como media
aritm(tica 4promedio final5 de las preguntas espec%ficas. ,ecu(rdese que las
su!secciones no se ponderan.
$lculo matemtico de la Seccin, como media aritm(tica 4promedio final5
de sus Su!secciones. a Seccin calculada tiene su peso correspondiente.
$lculo matemtico del Segmento. $ada una de las Secciones que lo
componen se afecta por su peso correspondiente. "l resultado es el valor
del Segmento, el cual, a su vez, tiene asignado su peso.
$lculo matemtico de la auditor%a. Se multiplica cada valor de los
Segmentos por sus pesos correspondientes, la suma total o!tenida se divide
por el valor fi-o asignado a priori a la suma de los pesos de los segmentos.
<inalmente, se procede a mostrar las reas auditadas con grficos de
!arras, e'poni(ndose primero los Segmentos, luego las Secciones y por
)ltimo las Su!secciones. "n todos los casos s( referenciarn respecto a tres
zonas: ro-a, amarilla y verde.
a zona ro-a corresponde a una situacin de de!ilidad que requiere acciones
a corto plazo. Sern las ms prioritarias, tanto en la e'posicin del Informe
como en la toma de medidas para la correccin.
a zona amarilla corresponde a una situacin discreta que requiere acciones
a medio plazo, figurando a continuacin de las contenidas en la zona ro-a.
a zona verde requiere solamente alguna accin de mantenimiento a largo
plazo.
/ula &o
!r
e
Insuf
icien
te
S
uf
ic.
Ade
cua
do
!u
en
a
"'
ce
l.

$onfeccin del Informe del $iclo de Seguridad
<aseM. $onfeccin del informe del ciclo de seguridad
&reparacin de !orrador de informe y ,ecomendaciones.
0iscusin del !orrador con el cliente.
"ntrega del Informe y $arta de Introduccin.
3a de resaltarse la importancia de la discusin de los !orradores parciales
con el cliente. a referencia al cliente de!e entenderse como a los
responsa!les directos de los segmentos. "s de destacar que si hu!iese
acuerdo, es posi!le que el auditado redacte un contrainforme del punto
cuestionado. "ste acta se incorporar al Informe <inal.
as ,ecomendaciones del Informe son de tres tipos:
,ecomendaciones correspondientes a la zona ro-a. Sern muy detalladas e
irn en primer lugar, con la m'ima prioridad. a redaccin de las
recomendaciones se har de modo que sea simple verificar el cumplimiento
de la misma por parte del cliente.
,ecomendaciones correspondientes a la zona amarilla. Son las que de!en
o!servarse a medio plazo, e igualmente irn priorizadas.
,ecomendaciones correspondientes a la zona verde. Suelen referirse a
medidas de mantenimiento. &ueden ser omitidas. &uede detallarse alguna
de este tipo cuando una accin sencilla y econmica pueda originar
!eneficios importantes.
"mpresas que realizan auditor%as e'ternas:
Arthur Andersen:
+iene NJR oficinas en todo el mundo, casi NR.RRR profesionales, y factura
alrededor de J,V !illones de dlares anuales. Invierte JMR millones de
dlares por a*o en educacin y capacitacin a medida. 2enos del uno por
ciento del presupuesto para entrenamiento se gasta fuera de la
organizacin, aunque la cuota de educacin que cada profesional reci!e es
prcticamente equivalente a un #master# norteamericano. Se dictan los
cursos de la compa*%a en el multimillonario $entro para la $apacitacin
&rofesional que Arthur Andersen posee cerca de $hicago, con capacidad
para D.URR estudiantes con cama y comida. "n la Argentina, como en
muchos otros mercados comple-os, Arthur Andersen com!ina el tradicional
papel de auditor con un rol ms creativo como conse-ero, en el cual la firma
ayuda a sus clientes a me-orar sus operaciones a trav(s de la generacin de
ideas nuevas y me-oras en sistemas y prcticas comerciales. "ste punto de
vista en materia auditora permite que las dos unidades de la firma puedan,
en muchos casos, tra!a-ar -untas en la ela!oracin de proyectos especiales
para empresasEclientes.
&rice [aterhouse:
0e llegar a fusionarse con la empresa consultora $oopers \ y!rand,
tendr%an una fuerza de tra!a-o de DKM.RRR personas, V.MRR socios y una
facturacin anual superior a los DK.RRR millones de dlares. Adems, el
gigante Andersen pasar%a a ocupar el segundo lugar en el rn;ing de los
Seis Brandes Internacionales.
"rnst \ ]oung, etc.
$onclusin:
&rincipalmente, con la realizacin de este tra!a-o prctico, la principal
conclusin a la que hemos podido llegar, es que toda empresa, p)!lica o
privada, que posean Sistemas de Informacin medianamente comple-os,
de!en de someterse a un control estricto de evaluacin de eficacia y
eficiencia. 3oy en d%a, el ZR por ciento de las empresas tienen toda su
informacin estructurada en Sistemas Informticos, de aqu%, la vital
importancia que los sistemas de informacin funcionen correctamente. a
empresa hoy, de!eEprecisa informatizarse. "l ('ito de una empresa
depende de la eficiencia de sus sistemas de informacin. 1na empresa
puede tener un staff de gente de primera, pero tiene un sistema informtico
propenso a errores, lento, vulnera!le e inesta!le9 si no hay un !alance entre
estas dos cosas, la empresa nunca saldr a adelante. "n cuanto al tra!a-o
de la auditor%a en s%, podemos remarcar que se precisa de gran
conocimiento de Informtica, seriedad, capacidad, minuciosidad y
responsa!ilidad9 la auditor%a de Sistemas de!e hacerse por gente altamente
capacitada, una auditor%a mal hecha puede acarrear consecuencias
drsticas para la empresa auditada, principalmente econmicas.

Auditora informtica
De Wikipedia, la enciclopedia libre
Saltar a: navegacin, bsqueda
La auditora informtica es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas
!ermiten detectar de forma sistem"tica el uso de los recursos y los flu#os de informacin
dentro de una organizacin y determinar qu$ informacin es cr%tica para el
cumplimiento de su misin y ob#etivos, identificando necesidades, duplicidades, costes,
valor y barreras, que obstaculizan flu#os de informacin eficientes
&uditar consiste principalmente en estudiar los mecanismos de control que est"n
implantados en una empresa u organizacin, determinando si los mismos son adecuados
y cumplen unos determinados ob#etivos o estrategias, estableciendo los cambios que se
deber%an realizar para la consecucin de los mismos Los mecanismos de control pueden
ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una
contingencia
Los ob#etivos de la auditor%a 'nform"tica son:
(l control de la funcin inform"tica
(l an"lisis de la eficiencia de los Sistemas 'nform"ticos
La verificacin del cumplimiento de la )ormativa en este "mbito
La revisin de la eficaz gestin de los recursos inform"ticos
La auditor%a inform"tica sirve para me#orar ciertas caracter%sticas en la empresa como:
Desempe*o
+iabilidad
(ficacia
,entabilidad
Seguridad
!rivacidad
-eneralmente se puede desarrollar en alguna o combinacin de las siguientes areas:
-obierno corporativo
&dministracin del .iclo de vida de los sistemas
Servicios de (ntrega y Soporte
!roteccin y Seguridad
!lanes de continuidad y ,ecuperacin de desastres
La necesidad de contar con lineamientos y /erramientas est"ndar para el e#ercicio de la
auditor%a inform"tica /a promovido la creacin y desarrollo de me#ores pr"cticas como
.01'2, .0S0 e '2'L
&ctualmente la certificacin de 'S&.& para ser .'S& Certified Information Systems
Auditor es una de las m"s reconocidas y avaladas por los est"ndares internacionales ya
que el proceso de seleccin consta de un e3amen inicial bastante e3tenso y la necesidad
de mantenerse actualizado acumulando /oras 4puntos5 para no perder la certificacin
[editar] Tipos de Auditora informtica
Dentro de la auditor%a inform"tica destacan los siguientes tipos 4entre otros5:
Auditora de la gestin: la contratacin de bienes y servicios, documentacin
de los programas, etc
Auditora legal del Reglamento de Proteccin de Datos: .umplimiento legal
de las medidas de seguridad e3igidas por el ,eglamento de desarrollo de la Ley
0rg"nica de !roteccin de Datos
Auditora de los datos: .lasificacin de los datos, estudio de las aplicaciones y
an"lisis de los flu#ogramas
Auditora de las bases de datos: .ontroles de acceso, de actualizacin, de
integridad y calidad de los datos
Auditora de la seguridad: ,eferidos a datos e informacin verificando
disponibilidad, integridad, confidencialidad, autenticacin y no repudio
Auditora de la seguridad fsica: ,eferido a la ubicacin de la organizacin,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin
f%sica de esta 2ambi$n est" referida a las protecciones e3ternas 4arcos de
seguridad, ..26, vigilantes, etc5 y protecciones del entorno
Auditora de la seguridad lgica: .omprende los m$todos de autenticacin de
los sistemas de informacin
Auditora de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacin en los sistemas de comunicacin
Auditora de la seguridad en produccin: +rente a errores, accidentes y
fraudes
la t$cnica de la auditor%a, siendo por tanto aceptables equipos multidisciplinarios
formados por titulados en 'ngenier%a 'nform"tica e 'ngenier%a 2$cnica en 'nform"tica y
licenciados en derec/o especializados en el mundo de la auditor%a
[editar] Principales pruebas y herramientas para
efectuar una auditora informatica
(n la realizacin de una auditor%a inform"tica el auditor puede realizar las siguientes
pruebas:
Pruebas sustantias: 6erifican el grado de confiabilidad del S' del organismo
Se suelen obtener mediante observacin, c"lculos, muestreos, entrevistas,
t$cnicas de e3amen anal%tico, revisiones y conciliaciones 6erifican asimismo la
e3actitud, integridad y validez de la informacin
Pruebas de cumplimiento: 6erifican el grado de cumplimiento de lo revelado
mediante el an"lisis de la muestra !roporciona evidencias de que los controles
claves e3isten y que son aplicables efectiva y uniformemente
Las principales /erramientas de las que dispone un auditor inform"tico son:
!bseracin
Reali"acin de cuestionarios
#ntreistas a auditados y no auditados
$uestreo estadstico
%lu&ogramas
'istas de che(ueo
$apas conceptuales