com
Auditoria de Sistemas
1.
2.
3.
4.
5.
6.
Introduccin
El problema de investigacin
Bases tericas
Auditora de Sistemas en el contexto del centro de comunicaciones
Conclusin
Bibliografia
INTRODUCCION
Los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar
uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los
Sistemas de Informacin de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y
estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la
misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha
denominado la gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la
empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su
importancia en el funcionamiento de una empresa, existe la auditoria Informtica.
El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado
como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha
tomado la frase "Tiene Auditoria" como sinnimo de que, en dicha entidad, antes de realizarse la
auditoria, ya se haban detectado fallas.
El concepto de auditoria es mucho ms que esto.
La palabra auditoria proviene del latn auditorius, y de esta proviene la palabra auditor, que se
refiere a todo aquel que tiene la virtud de or.
Por otra parte, tambin se define como: Revisor de Cuentas colegiado. En un principio esta
definicin carece de la explicacin del objetivo fundamental que persigue todo auditor: evaluar la
eficiencia y eficacia.
La auditoria no es una actividad meramente mecnica que implique la aplicacin de ciertos
procedimientos cuyos resultados, una vez llevado a cabo son de carcter indudable", de esta
manera es definido el termino auditor segn las Normas de auditoria del Instituto mexicano de
contadores.
La auditoria es un examen, que no implica la preexistencia de fallas en la entidad auditada y que
persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz sistema de informacin. Claro est, que para
la realizacin de una auditoria informtica eficaz, se debe entender a la empresa en su ms amplio
sentido, ya que una universidad, un ministerio o un hospital son tan empresas como una sociedad
annima o empresa Pblica, al igual que en este caso, un Centro de Comunicaciones, no importa
al sector al cual pertenezca el ente que va a ser auditado sea publico o privado, ambos utilizan la
informtica para gestionar sus negocios de forma rpida y eficiente, con el fin de obtener beneficios
econmicos y reduccin de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas, Tarifas, Sueldos,
etc.), los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera
estarlo.
CAPITULO I: EL PROBLEMA DE INVESTIGACIN
Auditoria de Sistemas
1.1.- PLANTEAMIENTO DEL PROBLEMA
Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal
son especialmente confidenciales.
- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las
estrategias de continuidad entre fallos mediante Planes de Contingencia
Totales y Locales
- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera
prcticamente intil la auditoria. Esa es la razn por la cual, en este caso, el sntoma debe ser
sustituido por el mnimo indicio.
Planes de Contingencia:
Si se produce la inoperancia de sistemas en la empresa principal, se utilizara el backup para
seguir operando en las oficinas paralelas. Los backups se pueden acumular durante dos meses, o
el tiempo que estipule la empresa, y despus se van reciclando.
Tipos y clases de auditorias
El departamento de Informtica posee una actividad proyectada al exterior, al usuario, aunque el
"exterior" siga siendo la misma empresa. He aqu, la auditoria Informtica de Usuario. Se hace esta
distincin para contraponerla a la informtica interna, en donde se hace la informtica cotidiana y
real. En consecuencia, existe una auditoria Informtica de actividades internas.
El control del funcionamiento del departamento de informtica con el exterior, con el usuario se
realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de
interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el apoyo
continuado de su Direccin frente al "exterior". Revisar estas interrelaciones constituye el objeto de
la auditoria Informtica de Direccin. Estas tres auditorias, mas la auditoria de Seguridad, son las
cuatro reas Generales de la auditoria Informtica ms importantes.
Dentro de las reas generales, se establecen las siguientes divisiones de Auditoria Informtica: de
Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las reas
Especificas de la Auditoria Informtica ms importantes.
reas
Especficas
reas Generales
Interna
Direccin
Usuario
Seguridad
Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
Cada rea especfica puede ser auditada desde los siguientes criterios generales:
Desde su propio funcionamiento interno.
Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento
de las directrices de sta.
Desde la perspectiva de los usuarios, destinatarios reales de la informtica.
Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama
auditada.
Estas combinaciones pueden ser ampliadas y reducidas segn las caractersticas de la empresa
auditada.
Objetivo fundamental de la auditoria informtica
Operatividad
La operatividad es una funcin de mnimos consistente en que la organizacin y las maquinas
funcionen, siquiera mnimamente. No es admisible detener la maquinaria informtica para descubrir
sus fallos y comenzar de nuevo. La auditoria debe iniciar su actividad cuando los Sistemas estn
operativos, es el principal objetivo el de mantener tal situacin. Tal objetivo debe conseguirse tanto
a nivel global como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del auditor
informtico. Para conseguirla hay que acudir a la realizacin de Controles Tcnicos Generales de
Operatividad y Controles Tcnicos Especficos de Operatividad, previos a cualquier actividad de
aquel.
Los Controles Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultneo del Sistema Operativo y el Software de
base con todos los subsistemas existentes, as como la compatibilidad del Hardware y
del Software instalados. Estos controles son importantes en las instalaciones que
cuentan con varios competidores, debido a que la profusin de entornos de trabajo
muy diferenciados obliga a la contratacin de diversos productos de Software bsico,
con el consiguiente riesgo de abonar ms de una vez el mismo producto o
desaprovechar parte del Software abonado. Puede ocurrir tambin con los productos
de Software bsico desarrollados por el personal de Sistemas Interno, sobre todo
cuando los diversos equipos estn ubicados en Centros de Proceso de Datos
geogrficamente alejados. Lo negativo de esta situacin es que puede producir la
inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo
trabajando independientemente, pero no ser posible la interconexin e
intercomunicacin de todos los Centros de Proceso de Datos si no existen productos
comunes y compatibles.
Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente
necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede
encontrar mal son parmetros de asignacin automtica de espacio en disco que
dificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo gener.
Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones pueden
estar definidos con distintos plazos en cada una de ellas, de modo que la prdida de
informacin es un hecho que podr producirse con facilidad, quedando inoperativa la
explotacin de alguna de las Aplicaciones mencionadas.
como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la
Explotacin Informtica se dispone de una materia prima, los Datos, que es necesario transformar,
y que se someten previamente a controles de integridad y calidad. La transformacin se realiza por
medio del proceso informtico, el cual est gobernado por programas. Obtenido el producto final,
los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente,
al usuario.
Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. La
Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte
Tcnico, en la que cada cual tiene varios grupos.
Control de Entrada de Datos:
Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento
de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre
entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de
acuerdo a Norma.
Planificacin y Recepcin de Aplicaciones:
Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su
cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreos selectivos de la
Documentacin de las Aplicaciones explotadas. Se inquirir sobre la anticipacin de contactos con
Desarrollo para la planificacin a medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la
explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch), o en tiempo real
(Tiempo Real*). Mientras que las Aplicaciones de Teleproceso estn permanentemente activas y la
funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una
buena parte de los efectivos de Explotacin. En muchos Centros de Proceso de Datos, ste rgano
recibe el nombre de Centro de Control de Batch. Este grupo determina el xito de la explotacin,
en cuanto que es uno de los factores ms importantes en el mantenimiento de la produccin.
Batch y Tiempo Real:
Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin durante el da y
durante la noche se corre un proceso enorme que lo que hace es relacionar toda la informacin,
calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta informacin durante
el da, pero todava no procesa nada. Es solamente un tema de "Data Entry" que recolecta
informacin, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al da
siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la
informacin correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas
que tienen que responder en Tiempo Real.
Operacin
Salas de Ordenadores:
Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios, as como la
equidad en la asignacin de turnos de trabajo. Se verificar la existencia de un responsable de
Sala en cada turno de trabajo. Se analizar el grado de automatizacin de comandos, se verificara
la existencia y grado de uso de los Manuales de Operacin. Se analizar no solo la existencia de
planes de formacin, sino el cumplimiento de los mismos y el tiempo transcurrido para cada
Operador desde el ltimo Curso recibido. Se estudiarn los montajes diarios y por horas de cintas o
cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema
hasta el montaje real. Se verificarn las lneas de papel impresas diarias y por horas, as como la
manipulacin de papel que comportan.
Centro de Control de Red y Centro de Diagnosis (Help Desk):
El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin. Sus
funciones se refieren exclusivamente al mbito de las Comunicaciones, estando muy relacionado
con la organizacin de Software de Comunicaciones de Tcnicas de Sistemas. Debe analizarse la
fluidez de esa relacin y el grado de coordinacin entre ambos. Se verificar la existencia de un
punto focal nico, desde el cual sean perceptibles todas las lneas asociadas al Sistema. El Centro
de Diagnosis (Help Desk) es el ente en donde se atienden las llamadas de los usuarios-clientes
que han sufrido averas o incidencias, tanto de Software como de Hardware. El Centro de
Diagnosis est especialmente indicado para informticos grandes y con usuarios dispersos en un
amplio territorio. Es uno de los elementos que ms contribuyen a configurar la imagen de la
Informtica de la empresa. Debe ser auditada desde esta perspectiva, desde la sensibilidad del
usuario sobre el servicio que se le dispone. No basta con comprobar la eficiencia tcnica del
centro, es necesario analizarlo simultneamente en el mbito de Usuario.
Auditoria Informtica de Desarrollo de Proyectos o Aplicaciones:
La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y
Aplicaciones. A su vez, engloba muchas reas, tantas como sectores informatizables tiene la
empresa. Muy escuetamente, una Aplicacin recorre las siguientes fases:
Pre-requisitos del Usuario (nico o plural) y del entorno
Anlisis funcional
Diseo
Anlisis orgnico (Preprogramacin y Programacin)
Pruebas
Entrega a Explotacin y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del
disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la auditoria
deber comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados
por la maquina sean exactamente los previstos y no otros.
Una auditoria de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de cuatro
consideraciones:
1. Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se asegure la
modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento
de las mismas.
2. Control Interno de las Aplicaciones: se debern revisar las mismas fases que
presuntamente han debido seguir el rea correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicacin: Importante para Aplicaciones largas,
complejas y caras.
Definicin Lgica de la Aplicacin: Se analizar que se han observado los
postulados lgicos de actuacin, en funcin de la metodologa elegida y la
finalidad que persigue el proyecto.
Desarrollo Tcnico de la Aplicacin: Se verificar que ste es ordenado y
correcto. Las herramientas tcnicas utilizadas en los diversos programas
debern ser compatibles.
Diseo de Programas: Debern poseer la mxima sencillez, modularidad y
economa de recursos.
Mtodos de Pruebas: Se realizarn de acuerdo a las Normas de la Instalacin.
Se utilizarn juegos de ensayo de datos, sin que sea permisible el uso de
datos reales.
Documentacin: Cumplir la Normativa establecida en la Instalacin, tanto la
de Desarrollo como la de entrega de Aplicaciones a Explotacin.
Equipo de Programacin: Deben fijarse las tareas de anlisis puro, de
programacin y las intermedias. En Aplicaciones complejas se produciran
variaciones en la composicin del grupo, pero estos debern estar previstos.
3. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada,
deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La
aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitar
reprogramaciones y disminuir el mantenimiento de la Aplicacin.
4. Control de Procesos y Ejecuciones de Programas Crticos: El auditor no debe descartar la
posibilidad de que se est ejecutando un mdulo que no se corresponde con el programa
fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones. Se ha de
comprobar la correspondencia biunvoca y exclusiva entre el programa codificado y su
compilacin. Si los programas fuente y los programa mdulo no coincidieran podra
provocar, desde errores de bulto que produciran graves y altos costes de mantenimiento,
hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informativo, etc. Por
ende, hay normas muy rgidas en cuanto a las Libreras de programas; aquellos programas
fuente que hayan sido dados por bueno por Desarrollo, son entregados a Explotacin con
el fin de que ste:
Copie el programa fuente en la Librera de Fuentes de Explotacin, a la que
nadie ms tiene acceso
Compile y monte ese programa, depositndolo en la Librera de Mdulos de
Explotacin, a la que nadie ms tiene acceso.
Copie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigir pasar
nuevamente por el punto 1.
Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante ardua y compleja,
hoy (algunas empresas lo usarn, otras no) se utiliza un sistema llamado U.A.T (User Acceptance
Test). Este consiste en que el futuro usuario de esta Aplicacin use la Aplicacin como si la
estuviera usando en Produccin para que detecte o se denoten por s solos los errores de la
misma. Estos defectos que se encuentran se van corrigiendo a medida que se va haciendo el
U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto est bien").
Todo este testeo, auditora lo tiene que controlar, tiene que evaluar que el testeo sea correcto, que
exista un plan de testeo, que est involucrado tanto el cliente como el desarrollador y que estos
defectos se corrijan. Auditora tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del
usuario sea un Sign Off por todo.
Es aconsejable que las Empresas cuenten con un Departamento QA (Quality Assurance
Aseguramiento de la Calidad) que tendra la funcin de controlar que el producto que llegue al
usuario sea el correcto en cuanto a funcionamiento y prestaciones, antes del U.A.T.
Auditoria Informtica de Sistemas:
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas.
Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones,
Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte
del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que
los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de
las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos permite
descubrir las posibles incompatibilidades entre otros productos de Software Bsico adquiridos por
la instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros variables de
las Libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados
por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido facturados
aparte de la propia computadora. Esto, por razones econmicas y por razones de comprobacin de
que la computadora podra funcionar sin el producto adquirido por el cliente. En cuanto al Software
desarrollado por el personal informtico de la empresa, el auditor debe verificar que ste no agreda
ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en trminos de costes,
por si hubiera alternativas ms econmicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones
anteriores son vlidas para ste tambin.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del
comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben
diferenciarse de los controles habituales que realiza el personal de Tcnica de Sistemas. El tunning
posee una naturaleza ms revisora, establecindose previamente planes y programas de actuacin
segn los sntomas observados. Se pueden realizar:
Cuando existe sospecha de deterioro del comportamiento parcial o general del
Sistema
De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus
acciones son repetitivas y estn planificados y organizados de antemano.
El auditor deber conocer el nmero de tunning realizados en el ltimo ao, as como sus
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza de
las observaciones.
Optimizacin de los Sistemas y Subsistemas:
Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como consecuencia de
la realizacin de tunnings preprogramados o especficos. El auditor verificar que las acciones de
optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crtico
de produccin diaria de Explotacin.
Administracin de Base de Datos:
El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una actividad
muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de
acuerdo con las reas de Desarrollo y usuarios de la empresa. Al conocer el diseo y arquitectura
de stas por parte de Sistemas, se les encomienda tambin su administracin. Los auditores de
Sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia
que Tcnica de Sistemas tiene sobre la problemtica general de los usuarios de Bases de Datos.
La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos debera
asegurarse que Explotacin conoce suficientemente las que son accedidas por los Procedimientos
que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que competen igualmente a
Explotacin. Revisar finalmente la integridad y consistencia de los datos, as como la ausencia de
redundancias entre ellos.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus propios
efectivos estn desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso
interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo competencia a las
Compaas del ramo. La auditoria informtica deber cuidar de que la actividad de Investigacin y
Desarrollo no interfiera ni dificulte las tareas fundamentales internas.
Auditoria Informtica de Comunicaciones y Redes
Para el informtico y para el auditor informtico, el entramado conceptual que constituyen las redes
nodales, lneas, concentradores, multiplexores, redes locales, etc. no son sino el soporte fsicolgico del tiempo real. El auditor tropieza con la dificultad tcnica del entorno, pues ha de analizar
situaciones y hechos alejados entre s, y est condicionado a la participacin del monopolio
telefnico que presta el soporte. Como en otros casos, la auditoria de este sector requiere un
equipo de especialistas, expertos simultneamente en comunicaciones y en redes locales (no hay
que olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso interno
de redes locales, diseadas y cableadas con recursos propios).
El auditor de comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas
contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la
topologa de la red de comunicaciones, actualizada, ya que la desactualizacin de esta
documentacin significara una grave debilidad. La inexistencia de datos sobre cuantas lneas
existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad Informtica.
Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las disfunciones
organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de
Trabajo correspondientes (pantallas, servidores de redes locales, computadoras con tarjetas de
comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y de ser
posible, dependientes de una sola organizacin.
Auditoria de la Seguridad informtica:
La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser
confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a
personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que
provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser
de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente
costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay
que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes
intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin (piratas)
y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado
que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no
exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza
desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por
va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La
seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la
de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios,
sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la
informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso.
Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado,
pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial.
Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras
grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que hace es
auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a
directorios, que usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall,
entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password
equivocada, cambios de password, etc. La Aplicacin lo puede graficar, tirar en nmeros, puede
hacer reportes, etc.
La seguridad informtica se la puede dividir como rea general y como rea especfica (seguridad
de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar auditorias de la
Seguridad Global de una Instalacin Informtica (Seguridad General) y auditorias de la Seguridad
de un rea informtica determinada (Seguridad Especifica).
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido
originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y conexiones
indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de
Seguridad lgica y la utilizacin de sofisticados medios criptograficos.
El sistema integral de seguridad debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,
tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.
La decisin de abordar una auditoria Informtica de Seguridad Global en una empresa, se
fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se
elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que
est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se presentan.
Las matrices de riesgo se representan en cuadros de doble entrada Amenaza-Impacto, en donde
se evalan las probabilidades de ocurrencia de los elementos de la matriz.
Herramientas y Tcnicas para la Auditoria Informtica:
Cuestionarios:
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin.
Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco sirven si el
auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora se
ejerce sobre bases de autoridad, prestigio y tica.
El auditor deber aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se
deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se
aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a
que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar
absolutamente la presin sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En
efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a
distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn
descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de
las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones,
hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y
nunca escribir cruces ni marcar cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa" de
calificacin o evaluacin:
a. Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo,
de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)
Ejemplo de Checklist de rango:
Se supone que se est realizando una auditora sobre la seguridad fsica de una instalacin y,
dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Clculo.
Podran formularse las preguntas que figuran a continuacin, en donde las respuestas tiene los
siguientes significados:
1: Muy deficiente.
2: Deficiente.
3: Mejorable.
4: Aceptable.
5: Correcto.
Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan
encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeo guin. La
complementacin del Checklist no debe realizarse en presencia del auditado.
b. Checklist Binaria
Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente,
equivalen a 1(uno) o 0(cero), respectivamente.
Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios
uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la evaluacin que
en los checklist binarios. Sin embargo, la bondad del mtodo depende excesivamente de la
formacin y competencia del equipo auditor.
Los Checklists Binarios siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de
gran precisin, como corresponde a la suma precisin de la respuesta. Una vez construidas, tienen
la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genrico del si o no
frente a la mayor riqueza del intervalo.
No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar.
Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin
correspondientes en las preguntas a realizar.
Trazas y/o Huellas:
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en
productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que
siguen los datos a travs del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de
datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las
fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que
comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros
variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar
dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios
especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn cuales
tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se
traspasan los lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditoria
informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que
proporciona el propio Sistema: As, los ficheros de Accounting o de contabilidad, en donde se
encuentra la produccin completa de aqul, y los Log (historial) de dicho Sistema, en donde se
recogen las modificaciones de datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de
errores de maquina central, perifricos, etc.
La auditoria financiero-contable convencional emplea trazas con mucha frecuencia. Son programas
encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].
Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente paquetes
de auditoria, capaces de generar programas para auditores escasamente cualificados desde el
punto de vista informtico.
Dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la
obtencin de consecuencias e hiptesis de la situacin real de una instalacin.
En la actualidad, los productos Software especiales para la auditora informtica se orientan
principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la
empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto
los internos disponen del software nativo propio de la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor", han
llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras
personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin
ms relevante para su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin
parcial generada por la organizacin informtica de la Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por
este, que son tratados posteriormente en modo PC. El auditor se ve obligado a recabar informacin
de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes
productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del
auditor informtico debe realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente
determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el
manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.
Metodologa de Trabajo de Auditoria Informtica
El mtodo de trabajo del auditor pasa por las siguientes etapas:
1. Alcance y Objetivos de la Auditoria Informtica.
2. Estudio inicial del entorno auditable.
3. Determinacin de los recursos necesarios para realizar la auditoria.
4. Elaboracin del plan y de los Programas de Trabajo.
5. Actividades propiamente dichas de la auditoria.
6. Confeccin y redaccin del Informe Final.
7. Carta de introduccin o presentacin del informe final.
1. Alcance y Objetivos de la Auditoria Informtica:
El alcance de la auditoria expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditoria, es decir cuales materias, funciones u organizaciones no
van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditoria han de conocer con la mayor exactitud posible los objetivos
a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma
que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales
y comunes de a toda auditoria Informtica: La operatividad de los Sistemas y los Controles
Generales de Gestin Informtica.
2. Estudio Inicial del entorno auditable:
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la
informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal
circunstancia.
2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El
equipo auditor describir brevemente las funciones de cada uno de ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el
organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario,
indican relaciones no estrictamente subordinables.
4) Flujos de Informacin:
Adems de las corrientes verticales intra=departamentales, la estructura organizativa cualquiera
que sea, produce corrientes de informacin horizontales y oblicuas extra=departamentales.
Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente
gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin
los cuales las funciones no podran ejercerse con eficacia; estos canales alternativos se producen
porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades personales o
simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones
en la organizacin.
5. Nmero de Puestos de trabajo
El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la
organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la
existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal
circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes.
6. Nmero de personas por Puesto de Trabajo
Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal
determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la
estructura oficial de la organizacin.
Entorno Operacional
El equipo de auditoria informtica debe poseer una adecuada referencia del entorno en el que va a
desenvolverse.
Informtico Generalista
Tcnico de Sistemas