- La Auditoría
interna y externa - Alcances de la
Auditoría informática - Síntomas de necesidad de
una Auditoría informática - Objetivo fundamental de la
Auditoría informática - Auditoria
informática de desarrollo de proyectos o
aplicaciones - Auditoria
informática de sistemas - Auditoria informática
de comunicaciones y redes - Auditoría de la
seguridad informática - Estudio
inicial - Entorno
operacional - Aplicaciones bases de datos y
ficheros - CRMR (Computer Resource Management
Review) - Ciclo de vida y
seguridad - Bibliografía
- Conclusiones
Inicialmente, la auditoria se limito a las
verificaciones de los registros
contables, dedicándose a observar si los mismos eran
exactos. Por lo tanto esta era la forma primaria: Confrontar lo
escrito con las pruebas de lo
acontecido y las respectivas referencias de los registros. Con el
tiempo, el
campo de acción
de la auditoria ha continuado extendiéndose; no obstante
son muchos los que todavía la juzgan como portadora
exclusiva de aquel objeto remoto, o sea, observar la veracidad y
exactitud de los registros. En forma sencilla y clara, escribe
Holmes
"… la auditoria es el examen de las
demostraciones y registros administrativos. El auditor observa
la exactitud, integridad y autenticidad de tales
demostraciones, registros y documentos."
A finales del siglo XX, los Sistemas
Informáticos han constituido las herramientas
más poderosas para materializar uno de los conceptos
más vitales y necesarios para cualquier organización empresarial, los Sistemas de
Información de la Empresa. Ya lo
decía Holmes profesor de
estudios avanzados de auditoria de Harvard.
La Informática hoy, está subsumida en
la gestión
integral de la empresa, y por
eso las normas y
estándares propiamente informáticos deben estar,
sometidos a los generales de la misma. En consecuencia, los
sistemas informáticos forman parte de lo que se ha
denominado el "Management" o gestión de la empresa.
Cabe aclarar que la Informática no gestiona propiamente a
la empresa, más bien ayuda a la toma de
decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa,
existe la Auditoria Informática.
El término de Auditoria se ha empleado
incorrectamente con frecuencia ya que se ha considerado como una
evaluación cuyo único fin es
detectar errores y señalar fallas. A causa de esto, se han
tomado las frases "Tiene Auditoria" "Es Auditable" como
sinónimo de que, en dicha entidad, antes de realizarse la
auditoria, ya se habían detectado fallas.
El concepto de
auditoria es mucho más que esto. Es un examen
crítico que se realiza con el fin de evaluar la eficacia y
eficiencia de
una sección, un organismo, una entidad, etcétera.
La palabra auditoria proviene del latín auditorius,
y de esta proviene la palabra auditor, que se refiere a todo
aquel que tiene la virtud de oír.
Si consultamos el boletín de normas de auditorias del
Instituto Venezolano de contadores nos dice: "La auditoria es una
actividad meramente mecánica (en algunos casos), que implica la
aplicación de ciertos procedimientos
cuyos resultados, una vez llevado a cabo son de carácter indudable." Para que una
sección o sistema sea
auditable o auditado debe poseerse mecanismos de contrapartes
para que sea efectivo. De todo esto sacamos como deducción que la auditoria es un examen
crítico pero no mecánico, que no implica la
preexistencia de fallas en la entidad auditada y que persigue el
fin de evaluar y mejorar la eficacia y eficiencia de una
sección o de un organismo.
Los principales objetivos que
constituyen a la auditoria Informática son el control de la
función
informática, el análisis de la eficiencia de los Sistemas
Informáticos que comporta, la verificación del
cumplimiento de la normativa general de la empresa en este
ámbito y la revisión de la eficaz gestión de
los recursos materiales y
humanos informáticos.
La auditoria interna, es la realizada con recursos
materiales y personas que pertenecen a la empresa auditada.
Los empleados que realizan esta tarea son remunerados
económicamente. La auditoria interna existe por
expresa decisión de la empresa, o sea, que puede optar
por su disolución en cualquier momento.Por otro lado, la auditoria externa es realizada por
personas afines a la empresa auditada; es siempre remunerada.
Se presupone una mayor objetividad que en la auditoria
interna, debido al mayor distanciamiento entre auditores y
auditados.La auditoria informática interna cuenta con
algunas ventajas adicionales muy importantes respecto de la
auditoria externa, las cuales no son tan perceptibles como en
las auditorias convencionales. La auditoria interna tiene la
ventaja de que puede actuar periódicamente realizando
revisiones globales, como parte de su plan anual y
de su actividad normal. Los auditados conocen estos planes y
se habitúan a las auditorias, especialmente cuando las
consecuencias de las recomendaciones habidas benefician su
trabajo.
En una empresa, los responsables de Informática
escuchan, orientan e informan sobre las posibilidades
técnicas y los costos de
tal sistema, con voz, pero a menudo sin voto, La
informática trata de satisfacer lo más
adecuadamente posible aquellas necesidades de la empresa, y
esta necesita controlar su informática ya que su
propia gestión esta sometida a los mismos
procedimientos y estándares que el resto de aquella.
La conjunción de ambas necesidades cristaliza en la
figura del auditor interno informático.En cuanto a empresas se
refiere, solamente las más grandes pueden poseer una
auditoria propia y permanente, mientras que el resto acuden a
las auditorias externas. Puede ser que algún
profesional informático sea trasladado desde su puesto
de trabajo a la auditoria interna de la empresa cuando
ésta existe. Finalmente, la propia informática
requiere de su propio grupo de
control
interno, con implantación física en su
estructura, puesto que si se ubicase dentro de
la estructura informática ya no sería
independiente. Hoy, ya existen varias organizaciones informáticas dentro de
la misma empresa, y con diverso grado de autonomía,
que son coordinadas por órganos corporativos de
Sistemas de Información de las Empresas.- LA
AUDITORIA INTERNA Y EXTERNA.El alcance ha de definir con precisión el
entorno y los límites en que va a desarrollarse la
auditoria informática, se complementa con los
objetivos de ésta. El alcance ha de figurar
expresamente en el Informe
Final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales
materias fronterizas han sido omitidas. Para esto se
necesitan evaluar dos puntos convergentes que evalúen
el alcance.Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros
comunes. Si una Aplicación no tiene integrado un
registro
común, cuando lo necesite utilizar no lo va encontrar
y, por lo tanto, la aplicación no funcionaría
como debería.Control de validación de
errores: Se corrobora que el sistema que se
aplica para detectar y corregir errores sea
eficiente. - Alcances de la
Auditoria Informática. - Síntomas
de Necesidad de una Auditoría
Informática.
Las empresas acuden a las auditorias externas ó
internas cuando existen síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en
clases:
- Síntomas de descoordinación y
desorganización.
- No coinciden los objetivos de la informática
de la compañía. - Los estándares de productividad
se desvían sensiblemente de los promedios conseguidos
habitualmente.
Puede ocurrir con algún cambio masivo
de personal, o en
una reestructuración fallida de alguna área o en la
modificación de alguna norma importante.
- Síntomas de mala imagen e
insatisfacción de los usuarios.
- No se atienden las peticiones de cambios de los
usuarios. Ejemplos: cambios de Software en los
terminales de usuario, resfrecamiento de paneles,
variación de los ficheros que deben ponerse diariamente
a su disposición, etc. - No se reparan las averías de Hardware ni se
resuelven incidencias en plazos razonables. El usuario percibe
que está abandonado y desatendido
permanentemente. - No se cumplen en todos los casos los plazos de
entrega de resultados periódicos. Pequeñas
desviaciones pueden causar importantes desajustes en la
actividad del usuario, en especial en los resultados de
Aplicaciones críticas y sensibles.
- Síntomas de debilidades económico –
financiero. - Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa
no está absolutamente convencida de tal necesidad y
decide contrastar opiniones). - Desviaciones Presupuestarias
significativas. - Costes y plazos de nuevos proyectos (deben auditarse
simultáneamente a Desarrollo de Proyectos y al órgano
que realizó la petición).
- Síntomas de Inseguridad. (Evaluación de nivel de
riesgos) - Seguridad Lógica.
- Seguridad Física.
- Confidencialidad.
Los datos son
propiedad
inicialmente de la
organización que los genera. Los datos de personal son
especialmente confidenciales. Continuidad del Servicio, es
un concepto aún más importante que la seguridad,
establece las estrategias de
continuidad entre fallos mediante Planes de Contingencia
(*) totales y locales.
Centro de proceso de
datos fuera de control, si tal situación llegara a
percibirse, sería prácticamente inútil la
auditoria. Esa es la razón por la cual, en este caso, el
síntoma debe ser sustituido por el mínimo
indicio.
(*) Planes de Contingencia: Por
ejemplo, la empresa sufre un corte total de energía o
explota, ¿Cómo sigo operando en otro lugar? Lo que
generalmente se pide es que se hagan Backups de la
información diariamente y que aparte, sea doble, para
tener un Backup en la empresa y otro afuera de ésta. Una
empresa puede tener unas oficinas paralelas que posean servicios
básicos (luz, teléfono, agua)
distintos de los de la empresa principal, es decir, si a la
empresa principal le proveía teléfono Telecom, a
las oficinas paralelas, Telefónica. En este caso, si se
produce la inoperancia de Sistemas en la empresa principal, se
utilizaría el Backup para seguir operando en las oficinas
paralelas. Los Backups se pueden acumular durante dos meses, o el
tiempo que estipule la empresa, y después se van
reciclando.
La operatividad es una función de
mínimos consistente en que la organización y
las maquinas funcionen, siquiera mínimamente. No es
admisible detener la maquinaria informática para
descubrir sus fallos y comenzar de nuevo. La auditoria debe
iniciar su actividad cuando los sistemas están
operativos, es el principal objetivo
el de mantener tal situación. Tal objetivo debe
conseguirse tanto a nivel global como parcial. La
operatividad de los sistemas ha de constituir entonces la
principal preocupación del auditor
informático.Los Controles Técnicos Generales, son los que
se realizan para verificar la compatibilidad de
funcionamiento simultáneo del Sistema
Operativo y el Software de base con todos los subsistemas
existentes, así como la compatibilidad del Hardware y
del Software instalados. Estos controles son importantes en
las instalaciones que cuentan con varios competidores, debido
a que la profusión de entornos de trabajo muy
diferenciados obliga a la contratación de diversos
productos
de software básico, con el consiguiente riesgo de
abonar más de una vez el mismo producto o
desaprovechar parte del software abonado.Puede ocurrir también con los productos de
software básico desarrollados por el personal de
Sistemas Interno, sobre todo cuando los diversos equipos
están ubicados en centros de proceso de datos
geográficamente alejados. Lo negativo de esta
situación es que puede producir la inoperatividad del
conjunto. Cada centro de proceso de datos tal vez sea
operativo trabajando independientemente, pero no será
posible la interconexión e intercomunicación de
todos los centros de proceso de datos si no existen productos
comunes y compatibles. Los Controles Técnicos
Específicos, de modo menos acusado, son igualmente
necesarios para lograr la Operatividad de los Sistemas. Un
ejemplo de lo que se puede encontrar mal son
parámetros de asignación automática
de espacio en disco (*) que dificulten o impidan su
utilización posterior por una Sección distinta
de la que lo generó. También, los periodos de
retención de ficheros comunes a varias Aplicaciones
pueden estar definidos con distintos plazos en cada una de
ellas, de modo que la pérdida de información es
un hecho que podrá producirse con facilidad, quedando
inoperativa la explotación de alguna de las
Aplicaciones mencionadas.(*) Parámetros de
asignación automática de espacio en
disco: Todas las aplicaciones que se desarrollan son
super-parametrizadas, es decir, que tienen un montón
de parámetros que permiten configurar cual va a ser el
comportamiento del sistema. Una
Aplicación va a usar para fin y tal cosa posee cierta
cantidad de espacio en disco. Si uno no analizó cual
es la operatoria y el tiempo que le va a llevar ocupar el
espacio asignado, y se pone un valor muy
chico, puede ocurrir que un día la Aplicación
reviente, se caiga. Si esto sucede en medio de la operatoria
y la aplicación se cae, el volver a levantarla, con la
nueva asignación de espacio, si hay que hacer
reconversiones o lo que sea, puede llegar a demandar
muchísimo tiempo, lo que significa un riesgo
enorme.a) Control de Entrada de Datos
Se analizará la captura de la
información en soporte compatible con los sistemas, el
cumplimiento de plazos y calendarios de tratamientos y
entrega de datos; la correcta transmisión de datos
entre entornos diferentes. Se verificará que los
controles de integridad y calidad de
datos se realizan de acuerdo a Norma.b) Planificación y Recepción de
Aplicaciones.Se auditarán las normas de entrega de
Aplicaciones por parte de Desarrollo, verificando su
cumplimiento y su calidad de interlocutor único.
Deberán realizarse muestreos selectivos de la documentación de las aplicaciones
explotadas. Se inquirirá sobre la anticipación
de contactos con desarrollo para la planificación a
medio y largo plazo.c) Centro de Control y Seguimiento de
Trabajos.Se analizará cómo se prepara, se lanza
y se sigue la producción diaria. Básicamente,
la explotación Informática ejecuta procesos
por cadenas o lotes sucesivos "Batch (*)", o en
tiempo real "Tiempo Real (*)". Mientras que las
Aplicaciones de Teleproceso están permanentemente
activas y la función de Explotación se limita a
vigilar y recuperar incidencias, el trabajo
Batch absorbe una buena parte de los efectivos de
explotación. En muchos centros de proceso de datos,
éste órgano recibe el nombre de Centro de
Control de Batch. Este grupo determina el éxito de la explotación, en
cuanto que es uno de los factores más importantes en
el mantenimiento de la
producción.(*) Batch y Tiempo Real: Las
aplicaciones que son Batch son aplicaciones que cargan mucha
información durante el día y durante la noche
se corre un proceso enorme que lo que hace es relacionar toda
la información, calcular cosas y obtener como salida,
por ejemplo, reportes. Es decir, recolecta información
durante el día, pero todavía no procesa nada.
Es solamente un tema de "Data Entry" que recolecta
información, corre el proceso Batch (por lotes), y
calcula todo lo necesario para arrancar al día
siguiente. Por el contrario las aplicaciones que son Tiempo
Real u Online, son las que, luego de haber ingresado la
información correspondiente, inmediatamente procesan y
devuelven un resultado. Son Sistemas que tienen que responder
en Tiempo Real.- Objetivo
fundamental de la auditoría
informática. - AuditorIa Informática de Desarrollo
de Proyectos o Aplicaciones.
La función de desarrollo es una evolución del llamado análisis y
programación de sistemas y aplicaciones. A
su vez, engloba muchas áreas, tantas como sectores tiene
la empresa. Muy concisamente, una Aplicación recorre las
siguientes fases:
- Animaciones (Periquitos, Adornos), del Usuario
(único o plural) y del entorno. - Análisis funcional.
- Diseño.
- Análisis orgánico
(Pre-programación y Programación). - Pruebas.
- Entrega a Explotación y alta para el
Proceso.
Estas fases deben estar sometidas a un exigente control
interno, caso contrario, además del disparo de los costes,
podrá producirse la insatisfacción del usuario.
Finalmente, la auditoria deberá comprobar la seguridad de
los programas en el
sentido de garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.
Una auditoria de Aplicaciones pasa indefectiblemente por
la observación y el análisis de cuatro
consideraciones:
- Revisión de las metodologías
utilizadas: Se analizaran éstas, de modo que se
asegure la modularidad de las posibles futuras ampliaciones de
la Aplicación y el fácil mantenimiento de las
mismas. - Control interno de las aplicaciones: se
deberán revisar las mismas fases que presuntamente han
debido seguir el área correspondiente de
Desarrollo:
|
|
|
|
|
|
|
- Satisfacción de usuarios: Una
Aplicación técnicamente eficiente y bien
desarrollada, deberá considerarse fracasada si no sirve
a los intereses del usuario que la solicitó. La
aquiescencia del usuario proporciona grandes ventajas
posteriores, ya que evitará reprogramaciones y
disminuirá el mantenimiento de la
Aplicación. - Control de procesos y ejecuciones de programas
críticos: El auditor no debe descartar la
posibilidad de que se esté ejecutando un módulo
que no se corresponde con el programa fuente
que desarrolló, codificó y probó el
área de Desarrollo de Aplicaciones.
Se ocupa de analizar la actividad que se conoce como
técnica de sistemas en todas sus facetas. Hoy, la
importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones, líneas y redes de las instalaciones
informáticas, se auditen por separado, aunque formen parte
del entorno general de Sistemas.
Sistemas Operativos
Engloba los subsistemas de teleproceso, entrada/salida,
etc. Debe verificarse en primer lugar que los sistemas
están actualizados con las últimas versiones del
fabricante, indagando las causas de las omisiones si las hubiera.
El análisis de las versiones de los sistemas
operativos permite descubrir las posibles incompatibilidades
entre otros productos de software básico adquiridos por la
instalación y determinadas versiones de aquellas. Deben
revisarse los parámetros variables de
las librerías más importantes de los sistemas, por
si difieren de los valores
habituales aconsejados por el constructor.
Software Básico
Es fundamental para el auditor conocer los productos de
software básico que han sido facturados aparte de la
propia computadora.
Esto, por razones económicas y por razones de
comprobación de que la computadora
podría funcionar sin el producto adquirido por el cliente. En
cuanto al software desarrollado por el personal
informático de la empresa, el auditor debe verificar que
éste no agreda ni condiciona al sistema. Igualmente, debe
considerar el esfuerzo realizado en términos de costes,
por si hubiera alternativas más
económicas.
Software de Teleproceso (Tiempo Real)
No se incluye en software básico por su
especialidad e importancia. Las consideraciones anteriores son
válidas para éste también.
Tunning
Es el conjunto de técnicas de observación
y de medidas encaminadas a la evaluación del
comportamiento de los subsistemas y del sistema en su conjunto.
Las acciones de
tunning deben diferenciarse de los controles habituales que
realiza el personal de técnica de sistemas. El tunning
posee una naturaleza
más revisora, estableciéndose previamente planes y
programas de actuación según los síntomas
observados. Se pueden realizar:
- Cuando existe sospecha de deterioro del
comportamiento parcial o general del Sistema. - De modo sistemático y periódico, por ejemplo cada 6 meses. En
este caso sus acciones son repetitivas y están
planificados y organizados de antemano.
El auditor deberá conocer el número de
Tunning realizados en el último año, así
como sus resultados. Deberá analizar los modelos de
carga utilizados y los niveles e índices de confianza de
las observaciones.
Optimización de los Sistemas y
Subsistemas
Técnica de sistemas debe realizar acciones
permanentes de optimización como consecuencia de la
realización de tunning’s preprogramados o
específicos. El auditor verificará que las acciones
de optimización* fueron efectivas y no
comprometieron la operatividad de los Sistemas ni el plan
crítico de producción diaria de
explotación.
(*) Optimización, Por ejemplo:
cuando se instala una aplicación, normalmente está
vacía, no tiene nada cargado adentro. Lo que puede suceder
es que, a medida que se va cargando, la aplicación se va
poniendo cada vez más lenta; porque todas las referencias
a tablas es cada vez más grande, la información que
está moviendo es cada vez mayor, entonces la
aplicación se tiende a poner lenta. Lo que se tiene que
hacer es un análisis de performance, para luego
optimizarla, mejorar el rendimiento de dicha
aplicación.
Administración de Base de Datos
El diseño
de las Bases de Datos,
sean relaciones o jerárquicas, se ha convertido en una
actividad muy compleja y sofisticada, por lo general desarrollada
en el ámbito de técnica de sistemas, y de acuerdo
con las áreas de desarrollo y usuarios de la empresa. Al
conocer el diseño y arquitectura de
éstas por parte de sistemas, se les encomienda
también su administración. Los auditores de sistemas
han observado algunas disfunciones derivadas de la
relativamente escasa experiencia que técnica de sistemas
tiene sobre la problemática general de los usuarios de
bases de datos.
La administración tendría que estar a
cargo de explotación. El auditor de base de datos
debería asegurarse que explotación conoce
suficientemente las que son accedidas por los procedimientos que
ella ejecuta. Analizará los sistemas de salvaguarda
existentes, que competen igualmente a explotación.
Revisará finalmente la integridad y consistencia de los
datos, así como la ausencia de redundancias entre
ellos.
Investigación y Desarrollo
Como empresas que utilizan y necesitan de
informáticas desarrolladas, saben que sus propios
efectivos están desarrollando aplicaciones y utilidades
que, concebidas inicialmente para su uso interno, pueden ser
susceptibles de adquisición por otras empresas, haciendo
competencia a las
compañías del ramo.
La auditoria informática deberá cuidar de
que la actividad de investigación y desarrollo no interfiera ni
dificulte las tareas fundamentales internas. La propia existencia
de aplicativos para la obtención de estadísticas desarrollados por los
técnicos de sistemas de la empresa auditada, y su calidad,
proporcionan al auditor experto una visión bastante exacta
de la eficiencia y estado de
desarrollo de los sistemas.
Para el informático y para el auditor
informático, el entramado conceptual que constituyen
las redes nodales, líneas, concentradores, multiplexores, redes locales, etcétera.
No son sino el soporte físico-lógico del tiempo
real. El auditor tropieza con la dificultad técnica
del entorno, pues ha de analizar situaciones y hechos
alejados entre sí, y está condicionado a la
participación del monopolio
telefónico que presta el soporte.Como en otros casos, la auditoria de este sector
requiere un equipo de especialistas, expertos
simultáneamente en comunicaciones y en redes locales
(no hay que olvidarse que en entornos geográficos
reducidos, algunas empresas optan por el uso interno de redes
locales, diseñadas y cableadas con recursos
propios).El auditor de comunicaciones deberá inquirir
sobre los índices de utilización de las
líneas contratadas con información abundante
sobre tiempos de desuso. Deberá proveerse de la
topología de la red de comunicaciones,
actualizada, ya que la des-actualización de esta
documentación significaría una grave
debilidad.La inexistencia de datos sobre la cuantas
líneas existen, cómo son y donde están
instaladas, supondría que se bordea la Inoperatividad
Informática. Sin embargo, las debilidades más
frecuentes o importantes se encuentran en las disfunciones
organizativas. La contratación e instalación de
líneas va asociada a la instalación de los
puestos de trabajo correspondientes (Pantallas, Servidores de
Redes Locales, Computadoras con tarjetas de
Comunicaciones, impresoras, etc.), todas estas actividades
deben estar muy coordinadas y a ser posible, dependientes de
una sola organización.- Auditoria
Informática de Comunicaciones y Redes. - Auditoría de la Seguridad
informática.
La computadora es un instrumento que estructura gran
cantidad de información, la cual puede ser confidencial
para individuos, empresas o instituciones,
y puede ser mal utilizada o divulgada a personas que hagan mal
uso de esta. También pueden ocurrir robos, fraudes o
sabotajes que provoquen la destrucción total o parcial de
la actividad computacional. Esta información puede ser de
suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras
personales, se ha dado otro factor que hay que considerar: el
llamado "virus" de las
computadoras, el cual, aunque tiene diferentes intenciones, se
encuentra principalmente para paquetes que son copiados sin
autorización ("piratas") y borra toda la
información que se tiene en un disco.
Al auditar los sistemas se debe tener cuidado que no se
tengan copias "piratas" o bien que, al conectarnos en red con
otras computadoras, no exista la posibilidad de
transmisión del virus. El uso inadecuado de la computadora
comienza desde la utilización de tiempo de máquina
para usos ajenos de la organización, la copia de programas
para fines de comercialización sin reportar los derechos de
autor hasta el acceso por vía telefónica a
bases de datos a fin de modificar la información con
propósitos fraudulentos.
La seguridad en la informática abarca los
conceptos de seguridad física y seguridad lógica.
La seguridad física se refiere a la protección del
Hardware y de los soportes de datos, así como a la de los
edificios e instalaciones que los albergan. Contempla las
situaciones de incendios,
sabotajes, robos, catástrofes naturales, etcétera.
La seguridad lógica se refiere a la seguridad de uso del
software, a la protección de los datos, procesos y
programas, así como la del ordenado y autorizado acceso de
los usuarios a la información.
"… Ejemplo: Existe una
Aplicación de Seguridad que se llama SEOS, para Unix, que lo
que hace es auditar el nivel de Seguridad en todos los
servidores, como ser: accesos a archivos,
accesos a directorios, que usuario lo hizo, si tenía o
no tenía permiso, si no tenía permiso porque
falló, entrada de usuarios a cada uno de los servidores,
fecha y hora, accesos con password equivocada, cambios de
password, etc. La Aplicación lo puede graficar, tirar en
números, puede hacer reportes,
etc.…"
Con el incremento de agresiones a instalaciones
informáticas en los últimos años, se han ido
originando acciones para mejorar la Seguridad Informática
a nivel físico. Los accesos y conexiones indebidos a
través de las Redes de Comunicaciones, han acelerado el
desarrollo de productos de Seguridad lógica y la
utilización de sofisticados medios
criptográficos.
El sistema integral de seguridad debe
comprender:
- Elementos administrativos
- Definición de una política de
seguridad
- Organización y división de
responsabilidades - Seguridad física y contra catástrofes
(incendio, terremotos,
etc.) - Prácticas de seguridad del
personal - Elementos técnicos y
procedimientos - Sistemas de seguridad (de equipos y de sistemas,
incluyendo todos los elementos, tanto redes como
terminales. - Aplicación de los sistemas de seguridad,
incluyendo datos y archivos - El papel de los auditores, tanto internos como
externos - Planeación de programas de desastre y su
prueba.
Para realizar dicho estudio ha de examinarse las
funciones y
actividades generales de la informática. Para su
realización el auditor debe conocer lo
siguiente:
Organización.
Para el equipo auditor, el
conocimiento de quién ordena, quién
diseña y quién ejecuta es fundamental. Para
realizar esto en auditor deberá fijarse en:
- Organigrama
- Departamentos
- Relaciones Jerárquicas y funcionales entre
órganos de la Organización - Flujos de Información:
- Número de Puestos de trabajo
- Número de personas por Puesto de
Trabajo
El equipo de auditoria informática debe poseer
una adecuada referencia del entorno en el que va a desenvolverse.
Este conocimiento
previo se logra determinando, fundamentalmente, los siguientes
extremos:
Se determinará la ubicación
geográfica de los distintos Centros de Proceso de
Datos en la empresa. A continuación, se
verificará la existencia de responsables en cada unos
de ellos, así como el uso de los mismos
estándares de trabajo.b) Arquitectura y configuración de
Hardware y Software:Cuando existen varios equipos, es fundamental la
configuración elegida para cada uno de ellos, ya que
los mismos deben constituir un sistema compatible e
intercomunicado. La configuración de los sistemas esta
muy ligada a las políticas de seguridad lógica de
las compañías.Los auditores, en su estudio inicial, deben tener en
su poder la
distribución e interconexión de
los equipos.- Situación geográfica de los
Sistemas: - Inventario de Hardware y
Software:
El auditor recabará información
escrita, en donde figuren todos los elementos físicos
y lógicos de la instalación. En cuanto a
Hardware figurarán las CPU’s, unidades de control local y
remotas, periféricos de todo tipo, etc. El
inventario de
software debe contener todos los productos lógicos del
Sistema, desde el software básico hasta los programas
de utilidad
adquiridos o desarrollados internamente. Suele ser habitual
clasificarlos en facturables y no facturables.
d) Comunicación y Redes de
Comunicación:
En el estudio inicial los auditores
dispondrán del número, situación y
características principales de las líneas,
así como de los accesos a la red pública de
comunicaciones. Igualmente, poseerán
información de las Redes Locales de la
Empresa.
El estudio inicial que han de realizar los auditores se
cierra y culmina con una idea general de los procesos
informáticos realizados en la empresa auditada. Para ello
deberán conocer lo siguiente:
- Volumen, antigüedad y complejidad de las
Aplicaciones, deberán revisar las aplicaciones
según complejidad, tamaño y antigüedad esto
para tomar las medidas necesarias de seguridad y control de la
aplicación, de esta manera la documentación de la
misma nos permitiría administrar eficientemente la
seguridad de la misma. - Metodología del Diseño, se
clasificará globalmente la existencia total o parcial de
metodología en el desarrollo de las
aplicaciones. Si se han utilizados varias a lo largo del tiempo
se pondrá de manifiesto. - Documentación, la existencia de una
adecuada documentación de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes. La
documentación de programas disminuye gravemente el
mantenimiento de los mismos. - Cantidad y complejidad de Bases de Datos y
Ficheros, el auditor recabará información de
tamaño y características de las Bases de Datos,
clasificándolas en relación y jerarquías.
Hallará un promedio de número de accesos a ellas
por hora o días. Esta operación se
repetirá con los ficheros, así como la frecuencia
de actualizaciones de los mismos. Estos datos proporcionan una
visión aceptable de las características de la
carga informática.
Definición de la metodología
CRMR.
CRMR son las siglas de <<Computer resource
management review>>; su traducción más adecuada,
Evaluación de la gestión de recursos
informáticos. En cualquier caso, esta terminología
quiere destacar la posibilidad de realizar una evaluación
de eficiencia de utilización de los recursos por medio del
management.
Una revisión de esta naturaleza no tiene en
sí misma el grado de profundidad de una auditoria
informática global, pero proporciona soluciones
más rápidas a problemas
concretos y notorios.
Estrategia y logística del ciclo de
Seguridad
Constituye la FASE 1 del ciclo de seguridad y se
desarrolla en las actividades 1, 2 y 3:
Fase 1. Estrategia y logística del ciclo de
seguridad
- Designación del equipo auditor.
- Asignación de interlocutores, validadores y
decisores del cliente. - Complementación de un formulario general por
parte del cliente, para la realización del estudio
inicial.
Con las razones por las cuales va a ser realizada la
auditoria (Fase 0), el equipo auditor diseña el proyecto de Ciclo
de Seguridad con arreglo a una estrategia
definida en función del volumen y
complejidad del trabajo a realizar, que constituye la Fase 1 del
punto anterior.
Para desarrollar la estrategia, el equipo auditor
necesita recursos materiales y humanos. La adecuación de
estos se realiza mediante un desarrollo logístico, en el
que los mismos deben ser determinados con exactitud. La cantidad,
calidad, coordinación y distribución de los
mencionados recursos, determina a su vez la eficiencia y la
economía
del Proyecto. Los planes del equipo auditor se desarrollan de la
siguiente manera:
- Eligiendo el responsable de la auditoria su propio
equipo de trabajo. Este ha de ser heterogéneo en cuanto
a especialidad, pero compacto. - Recabando de la empresa auditada los nombres de las
personas de la misma que han de relacionarse con los
auditores, para las peticiones de información,
coordinación de entrevistas, etc.Según los planes marcados, el equipo auditor,
cumplidos los requisitos 1, 2 y 3, estará en
disposición de comenzar la "tarea de campo", la
operativa auditora del Ciclo de Seguridad.Ponderación de los Sectores
AuditadosEste constituye la Fase 2 del Proyecto y engloba las
siguientes actividades; Ponderación de sectores del
ciclo de seguridad. - Mediante un estudio inicial, del cual forma parte el
análisis de un formulario exhaustivo, también
inicial, que los auditores entregan al cliente para su
complementación. - Asignación de pesos técnicos. Se
entienden por tales las ponderaciones que el equipo auditor
hace de los segmentos y secciones, en función de su
importancia. - Asignación de pesos políticos. Son las
mismas ponderaciones anteriores, pero evaluadas por el
cliente. - Asignación de pesos finales a los Segmentos y
Secciones. El peso final es el promedio del peso técnico
y del peso político. La Subsecciones se calculan pero no
se ponderan.
Se pondera la importancia relativa de la seguridad en
los diversos sectores de la organización
informática auditada.
Supuestos de aplicación.
En función de la definición dada, la
metodología abreviada CRMR es aplicable más a
deficiencias organizativas y gerenciales que a problemas de tipo
técnico, pero no cubre cualquier área de un Centro
de Procesos de Datos. El método
CRMR puede aplicarse cuando se producen algunas de las
situaciones que se citan:
- Se detecta una mala respuesta a las peticiones y
necesidades de los usuarios. - Los resultados del Centro de Procesos de Datos no
están a disposición de los usuarios en el momento
oportuno. - Se genera con alguna frecuencia información
errónea por fallos de datos o proceso. - Existen sobrecargas frecuentes de capacidad de
proceso. - Existen costes excesivos de proceso en el Centro de
Proceso de Datos.
Efectivamente, son éstas y no otras las
situaciones que el auditor informático encuentra con mayor
frecuencia. Aunque pueden existir factores técnicos que
causen las debilidades descritas, hay que convenir en la mayor
incidencia de fallos de gestión. Caso Práctico de
una auditoria de Seguridad Informática <<Ciclo de
Seguridad>>
A continuación, un caso de auditoria de
área general para proporcionar una visión
más desarrollada y amplia de la función auditora.
Es una auditoria de Seguridad Informática que tiene como
misión
revisar tanto la seguridad física del Centro de Proceso de
Datos en su sentido más amplio, como la seguridad
lógica de datos, procesos y funciones informáticas
más importantes de aquél.
El objetivo de esta auditoria de seguridad es revisar la
situación y las cuotas de eficiencia de la misma en los
órganos más importantes de la estructura
informática. Para ello, se fijan los supuestos de
partida:
El área auditada es la Seguridad. El
área a auditar se divide en:
Segmentos.
Los segmentos se dividen en:
Secciones.
Las secciones se dividen en:
Subsecciones.
De este modo la auditoria se realizara en 3
niveles.
Los segmentos a auditar, son:
- Segmento 1: Seguridad de cumplimiento de normas y
estándares. - Segmento 2: Seguridad de Sistema
Operativo. - Segmento 3: Seguridad de Software.
- Segmento 4: Seguridad de Comunicaciones.
- Segmento 5: Seguridad de Base de Datos.
- Segmento 6: Seguridad de Proceso.
- Segmento 7: Seguridad de Aplicaciones.
- Segmento 8: Seguridad Física.
Se darán los resultados globales de todos los
segmentos y se realizará un tratamiento exhaustivo del
Segmento 8, a nivel de sección y subsección.
Conceptualmente la auditoria informática en general y la
de Seguridad en particular, ha de desarrollarse en seis fases
bien diferenciada.
El auditar, es el proceso de acumular y evaluar
evidencia, realizando por una persona
independiente y competente acerca de la información
cuantificable de una entidad económica especifica, con el
propósito de determinar e informar sobre el grado de
correspondencia existente entre la información
cuantificable y los criterios establecidos.
Su importancia es reconocida desde los tiempos
más remotos, teniéndose conocimientos de su
existencia ya en las lejanas épocas de la
civilización sumeria. El factor tiempo obliga a cambiar
muchas cosas, la industria, el
comercio, los
servicios
públicos, entre otros. Al crecer las empresas,
la
administración se hace más complicada,
adoptando mayor importancia la comprobación y el control
interno, debido a una mayor delegación de autoridades y
responsabilidad de los funcionarios.
Debido a todos los problemas administrativos sé
han presentado con el avance del tiempo nuevas dimensiones en el
pensamiento
administrativo.
Una de estas dimensiones es la auditoria administrativa
la cual es un examen detallado de la administración de un
organismo social, realizado por un profesional (auditor), es
decir, es una nueva herramienta de control y evaluación
considerada como un servicio
profesional para examinar integralmente un organismo social con
el propósito de descubrir oportunidades para mejorar su
administración.
Tomando en consideración todas las investigaciones
realizadas, podemos concluir que la auditoria es dinámica, la cual debe aplicarse
formalmente toda empresa, independientemente de su magnitud y
objetivos; aun en empresas pequeñas, en donde se llega a
considerar inoperante, su aplicación debe ser secuencial
constatada para lograr eficiencia.
La principal conclusión a la que hemos podido
llegar, es que toda empresa, pública o privada, que posean
Sistemas de Información medianamente complejos, deben de
someterse a un control estricto de evaluación de eficacia
y eficiencia. Hoy en día, el 90 por ciento de las empresas
tienen toda su información estructurada en Sistemas
Informáticos, de aquí, la vital importancia que los
sistemas de información funcionen correctamente. La
empresa hoy, debe/precisa informatizarse.
El éxito de una empresa depende de la eficiencia
de sus sistemas de información. Una empresa puede tener un
staff de gente de primera, pero tiene un sistema
informático propenso a errores, lento, vulnerable e
inestable; si no hay un balance entre estas dos cosas, la empresa
nunca saldrá a adelante. En cuanto al trabajo de la
auditoria en sí, podemos remarcar que se precisa de gran
conocimiento de Informática, seriedad, capacidad,
minuciosidad y responsabilidad; la auditoria de Sistemas debe
hacerse por gente altamente capacitada, una auditoria mal hecha
puede acarrear consecuencias drásticas para la empresa
auditada, principalmente económicas.
"La Auditoria." Microsoft® Encarta®
2006 [DVD]. Microsoft
Corporation, 2005.
Microsoft ® Encarta ® 2006. © 1993-2005
Microsoft Corporation. Reservados todos los derechos.
"Auditoria Informática." www.monografías.com
® MONOGRAFIAS
VENEZUELA,
2006.
Monografías.com ® MONOGRAFIAS VENEZUELA ® Todos los
derechos reservados.
"Auditoria a Smartmatic." www.smartmatic.com
Noticias >
Sala de prensa, 2000 –
2005.
Smartmatic, All Things Connected © Todos los
derechos reservados
"Auditoria a Auto Mercado
Superior."Informe de Auditoria, prestado a Antonio
Rojas.
Auto Mercado Superior C.A, 1972 – 2006. Auditoria
(Interna) 2005 Derechos reservados.
Parra, Hogo
Pérez, Miguel
Rojas E. Antonio
Sarli, Erick
Ciudad Bolívar,
Abril de 2006