TIPOS Y CLASES DE AUDITORIAS INFORMTICAS

Dentro de las reas generales, es posible establecer las siguientes divisiones: a)

b) c) d) e) Auditoria Informtica de Explotacin Auditoria Informtica de Sistemas Au
ditoria Informtica de Comunicaciones Auditoria Informtica de Desarrollo de Proyect
os Auditoria Informtica de Seguridad
Debe evaluarse la diferencia entre la generalidad y la especificacin que posee la
Seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridad del ent
orno global de la informtica, mientras en otros casos puede auditarse una aplicac
in concreta, en donde ser necesario analizar la seguridad de la misma. Cada rea esp
ecfica puede ser auditada con los criterios que detallamos: Desde su propia funci
onalidad interna. Con el apoyo que recibe de la Direccin, y en forma ascendente,
del grado de cumplimiento de las directrices de que sta imparte. Desde la visin de
los usuarios, destinatarios verdaderos de la informtica. Desde el punto de vista
de la seguridad, que ofrece la Informtica en general o la rama auditada. Las com
binaciones descritas pueden ser ampliadas o reducidas, segn las caractersticas de
la empresa auditada. Las Auditorias ms usuales son las referidas a las actividade
s especficas e internas de la propia actividad informtica. a) AUDITORIA INFORMATIC
A DE EXPLOTACION La Explotacin Informtica se ocupa de producir resultados informtic
as de todo tipo: listados impresos, archivos magnticos para otros informticos, rden
es automatizadas para lanzar o modificar procesos industriales, etc. Para realiz
ar la Explotacin informtica se dispone de materia prima los Datos, que es necesari
o transformar, y que se someten previamente a controles de integridad y calidad.
La transformacin se realiza por medio del Proceso Informtico, el cual est dirigido
por programas. Obtenido el producto final, los resultados son sometidos a contr
oles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasio
nes, el propio cliente realiza funciones de reelaboracin del producto terminado.
Para mantener el criterio finalista y utilitario, el concepto de centro producti
vo ayuda a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin consi
ste en auditar las secciones que la componen y sus interrelaciones. Las Bsicas so
n la planificacin de la produccin y la produccin misma de resultados informticos. El
auditor debe tener en cuenta que la organizacin informtica est supeditada a la obt
encin de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquie
r otro objetivo. Se quiere insistir nuevamente en que la Operatividad es priorit
aria, al igual que el plan crtico diario de produccin que debe ser protegido a tod
a costa. Control de entrada de datos Se analiza la captura de informacin, plazos
y agenda de tratamiento y entrega de datos, correccin en la transmisin de datos en
tre plataformas, verificacin de controles de integridad y calidad de datos se rea
lizan de acuerdo a Norma. Planificacin y Recepcin de Aplicaciones Se auditarn las n
ormas de entrega de Aplicaciones, verificando cumplimiento y calidad de interloc
utor nico. Debern realizarse muestras selectas de la documentacin de las Aplicacion
es explotadas. Se analizarn las Libreras que los contienen en cuanto a su organiza
cin y en lo relacionado con la existencia de Planificadores automticos o semiautomt
icos. Centro de Control y Seguimiento de Trabajos Se analizar cmo se prepara, se l
anza y se sigue la produccin diaria de los procesos Batch, o en tiempo real (Tele
proceso). Las Aplicaciones de Teleproceso estn activas y la funcin de Explotacin se
limita a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte
de los efectivos de Explotacin. Este grupo determina el xito de la explotacin, ya q
ue es el factor ms importante en el mantenimiento de la produccin. Operadores de C
entros de Cmputos Es la nica profesin informtica con trabajo de noche. Destaca el fa
ctor de responsabilidad ante incidencias y desperfectos. Se analiza las relacion
es personales, coherencia de cargos y salarios, la equidad de turnos de trabajos
. Se verificar la existencia de un responsable del Centro de Cmputos el grado de a
utomatizacin de comandos, existencia y grado de uso de Manuales de Operacin, exist
encia de planes de formacin, cumplimiento de los mismos y el tiempo transcurrido
para cada operador desde el ltimo Curso recibido. Se analizar cantidad de montajes
diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos ent
re la peticin de montaje por parte del Sistema hasta el montaje real.
Centro de Control de Red y Centro de Diagnosis El Centro de Control de Red suele
ubicarse en el rea de Explotacin. Sus funciones se refieren al mbito de Comunicaci
ones, estando relacionado con la organizacin de Comunicaciones Software de Tcnica
de Sistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin e
ntre ambos, se verificar la existencia de un punto focal nico, desde el cual sean
perceptibles todas las lneas asociadas a los Sistemas. El Centro de Diagnosis (He
lp-desk) es el ente en donde se atienden las llamadas de los usuarios-clientes q
ue han sufrido averas o incidencias, tanto de software como de hardware. En funcin
del cometido descrito, y en cuanto a software, est relacionado con el Centro de
Control de Red. El Centro de Diagnosis indicado para empresas grandes y usuarios
dispersos en un amplio territorio, es un elemento que contribuye a configurar l
a imagen de la Informtica de la Empresa. Debe ser auditado desde esta perspectiva
, desde la sensibilidad del usuario sobre el servicio que se le dispensa. b) AUD
ITORIA INFORMATICA DE SISTEMAS Se ocupa de analizar la actividad propia de lo qu
e se conoce como "Tcnica de Sistemas" en todas sus facetas. En la actualidad, la
importancia creciente de las telecomunicaciones ha propiciado que las Comunicaci
ones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aun
que formen parte del entorno general de "Sistemas". Vamos a detallar los grupos
a revisar: a) Sistemas Operativos Proporcionados por el fabricante junto al equi
po. Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Los Sistemas de
ben estar actualizados con las ltimas versiones del fabricante, indagando las cau
sas de las omisiones si stas se han producido. El anlisis de las versiones de los
S.O. permite descubrir posibles incompatibilidades entre algunos productos de So
ftware adquiridos por la instalacin y determinadas versiones. Deben revisarse los
parmetros de las Libreras importantes de los Sistemas, especialmente si difieren
de los valores aconsejados por el constructor. b) Software Bsico Conjunto de prod
uctos que, sin pertenecer al Sistema Operativo, configuran completamente los Sis
temas Informticos, haciendo posible la reutilizacin de
funciones bsicas no incluidas en aqul. Cmo distinguir ambos conceptos? La respuesta
tiene un carcter econmico. El Software bsico, o parte de l es abonado por el cliente
a la firma constructora, mientras el Sistema Operativo y algunos programas muy
bsicos, se incorporan a la mquina sin cargo al cliente. Es difcil decidir si una fu
ncin debe ser incluida en el SO o puede ser omitida. Con independencia del inters
terico que pueda tener la discusin de si una funcin es o no integrante del SO, para
el auditor es fundamental conocer los productos de software bsico que han sido f
acturados aparte. Los conceptos de Sistema Operativo y Software Bsico tienen fron
teras comunes, la poltica comercial de cada Compaa y sus relaciones con los cliente
s determinan el precio y los productos gratuitos y facturables. Otra parte impor
tante del Software Bsico es el desarrollado e implementado en los Sistemas Informt
icos por el personal informtico de la empresa que permiten mejorar la instalacin.
El auditor debe verificar que el software no agrede, no condiciona al Sistema, d
ebe considerar el esfuerzo realizado en trminos de costos, por si hubiera alterna
tivas ms econmicas. c) Software de Teleproceso Se ha agregado del apartado anterio
r de Software Bsico por su especialidad e importancia. Son vlidas las consideracio
nes anteriores, Ntese la especial dependencia que el Software del Tiempo Real tie
ne respecto a la arquitectura de los Sistemas. d) Tunning Es el conjunto de tcnic
as de observacin y de medidas encaminadas a la evaluacin del comportamiento de los
subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferen
ciarse de los controles y medidas habituales que realiza el personal de Tcnica de
Sistemas. El Tunning posee una naturaleza ms revisora, establecindose previamente
planes y programas de actuacin segn los sntomas observados. Los Tunning pueden rea
lizarse: Cuando existe la sospecha de deterioro del comportamiento parcial o gen
eral del Sistema. De modo sistemtico y peridico, por ejemplo cada seis meses. En e
ste ltimo caso, las acciones de Tunning son repetitivas y estn planificadas y orga
nizadas de antemano. El auditor informtico deber conocer el nmero de Tunning realiz
ados el ltimo ao, sus resultados, analizara los modelos de carga utilizados y los
niveles e ndices de confianza de las observaciones.
e) Optimizacin de los Sistemas y Subsistemas Tcnica de Sistemas deber realizar acc
iones permanentes de optimizacin como consecuencia de la informacin diaria obtenid
a a travs de Log, Accounting, etc. Acta igualmente como consecuencia de la realiza
cin de Tunnings pre programado o especfico. El auditor verificar que las acciones d
e optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistema
s ni el "plan crtico de produccin diaria" de Explotacin. f) Administracin de Base de
Datos Es un rea que ha adquirido una gran importancia a causa de la proliferacin
de usuarios y de las descentralizaciones habidas en las informticas de las empres
as, el diseo de las bases de datos, ya sean relacionales o jerrquicas, se ha conve
rtido en una actividad muy compleja y sofisticada, por lo general desarrollada e
n el mbito de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y los usu
arios de la empresa. El conocimiento de diseo y arquitectura de dichas Bases de D
atos por parte de los Sistemas, ha cristalizado en la administracin de las mismas
les sea igualmente encomendada. Aunque esta descripcin es la ms frecuente en la a
ctualidad, los auditores informticos han observado algunas disfunciones derivadas
de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la pro
blemtica general de los usuarios de las Bases de Datos. Comienzan a percibirse he
chos tendentes a separar el diseo y la construccin de las Bases de Datos, de la ad
ministracin de las mismas, administracin sta que sera realizada por Explotacin. Sin e
mbargo, esta tendencia es an poco significativa. El auditor informtico de Bases de
Datos deber asegurarse que Explotacin conoce suficientemente las que son accedida
s por los Procedimientos que ella ejecuta. Analizar los sistemas de salvaguarda e
xistentes, que competen igualmente a Explotacin. Revisar finalmente la integridad
y consistencia de los datos, as como la ausencia de redundancias entre ellos. g)
Investigacin y Desarrollo El campo informtico sigue evolucionando rpidamente. Multi
tud Compaas, de Software mayoritariamente, aparecen en el mercado. de
Como consecuencia, algunas empresas no dedicadas en principio a la venta de prod
uctos informticos, estn potenciando la investigacin de sus equipos de Tcnica de Sist
emas y Desarrollo, de forma que sus productos puedan convertirse en fuentes de i
ngresos adicionales.
La Auditoria informtica deber cuidar de que la actividad de Investigacin mas la de
desarrollo de las empresas no vendedoras, no interfiera ni dificulte las tareas
fundamentales internas. En todo caso, el auditor advertir en su Informe de los ri
esgos que haya observado. No obstante, resultara muy provechoso comercializar alg
una Aplicacin interna, una vez que est terminada y funcionando a satisfaccin. La pr
opia existencia de aplicativos para la obtencin de estadsticas desarrollados por l
os tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al audi
tor experto una visin bastante exacta de la eficiencia y estado de desarrollo de
los Sistemas. La correcta elaboracin de esta informacin conlleva el buen conocimie
nto de la carga de la instalacin, as como la casi certeza de que existen Planes de
Capacidad, etc. c) AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES La creciente
importancia de las Comunicaciones ha determinado que se estudien separadamente
del mbito de Tcnica de Sistemas. Naturalmente, siguen siendo trminos difciles en los
conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informticos.
Se ha producido un cambio conceptual muy profundo en el tratamiento de las comun
icaciones informticas y en la construccin de los modernos Sistemas de Informacin, b
asados en Redes de Comunicaciones muy sofisticadas. Para el Auditor Informtico, e
l entramado conceptual que constituyen las Redes Nodales, Lneas, Concentradores,
Multiplexores, Redes Locales, etc., no son sino el soporte fsico-lgico del Tiempo
Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: La
s Comunicaciones son el Soporte Fsico-Lgico de la Informtica en Tiempo Real. El aud
itor informtico tropieza con la dificultad tcnica del entorno, pues ha de analizar
situaciones y hechos alejados entre s, y est condicionado a la participacin del mo
nopolio telefnico que presta el soporte en algunos lugares. Ciertamente, la tarea
del auditor es ardua en este contexto. Como en otros casos, la Auditoria de est
e sector requiere un equipo de especialistas, expertos simultneamente en Comunica
ciones y en Redes Locales. No debe olvidarse que en entornos geogrficos reducidos
, algunas empresas optan por el uso interno de Redes Locales, diseadas y cableada
s con recursos propios. El entorno del Online tiene una especial relevancia en l
a Auditoria Informtica debido al alto presupuesto anual que los alquileres de lnea
s significan. El auditor de Comunicaciones deber inquirir sobre los ndices de util
izacin de las lneas contratadas, con informacin abundante sobre tiempos de desuso.
Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La des ac
tualizacin de esta documentacin significara una grave debilidad. La inexistencia de
datos sobre cuntas lneas existen, cmo son y dnde estn instaladas, supondra que se bor
dea la Inoperatividad Informtica. Sin embargo, y como casi siempre, las debilidad
es ms frecuentes e importantes en la informtica de Comunicaciones se encuentran en
las disfunciones organizativas. La contratacin e instalacin de lneas va asociada a
la instalacin de los Puestos de Trabajo correspondientes (Monitores, Servidores
de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones, impreso
ras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible,
dependientes de una sola organizacin. d) AUDITORIA INFORMATICA DE DESARROLLO DE
PROYECTOS El rea de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente
de la Auditoria informtica. Indicando inmediatamente que la funcin de Desarrollo
es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones, trmino
presente en los ltimos aos. La funcin Desarrollo engloba a su vez muchas reas, tant
as como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicac
in recorre las siguientes fases: a) b) c) d) e) Prerrequisitos del Usuario (nico o
plural), y del entorno. Anlisis funcional. Anlisis orgnico. (Pre programacin y Prog
ramacin). Pruebas. Entrega a Explotacin y alta para el Proceso.
Se deduce fcilmente la importancia de la metodologa utilizada en el desarrollo de
los Proyectos informticos. Esta metodologa debe ser semejante al menos en los Proy
ectos correspondientes a cada rea de negocio de la empresa, aunque preferiblement
e debera extenderse a la empresa en su conjunto. En caso contrario, adems del aume
nto significativo de los costos, podr producirse fcilmente la insatisfaccin del usu
ario, si ste no ha participado o no ha sido consultado peridicamente en las divers
as fases del mismo, y no solamente en la fase de prerrequisitos. Finalmente, la
Auditoria informtica deber comprobar la seguridad de los programas, en el sentido
de garantizar que los ejecutados por la mquina son totalmente los previstos y no
otros.
Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente por la
observacin y el anlisis de estas consideraciones. a) Revisin de las metodologas util
izadas Se analizarn stas, de modo que se asegure la modularidad de las posibles fu
turas ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. b) Contr
ol Interno de las Aplicaciones La Auditoria informtica de Desarrollo de Aplicacio
nes deber revisar las mismas fases que presuntamente ha debido seguir el rea corre
spondiente de Desarrollo. Las principales son: 1. 2. 3. 4. 5. 6. 7. Estudio de V
iabilidad de la Aplicacin. Definicin Lgica de la Aplicacin. Desarrollo Tcnico de la A
plicacin. Diseo de Programas. Mtodos de Pruebas. Documentacin. Equipo de Programacin.
c) Satisfaccin de Usuarios Una Aplicacin eficiente y bien desarrollada tericamente,
deber considerarse un fracaso si no sirve a los intereses del usuario que la sol
icit. Surgen nuevamente las premisas fundamentales de la informtica eficaz: fines
y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus
puntos de vista durante todas las etapas del Proyecto. La presencia del usuario
proporcionar adems grandes ventajas posteriores, evitar reprogramaciones y disminu
ir el mantenimiento de la Aplicacin. d) Control de Procesos y Ejecuciones de Progr
amas Crticos El auditor no debe descartar la posibilidad de que se est ejecutando
un mdulo lo que no se corresponde con el programa fuente que desarroll, codific y p
rob el rea de Desarrollo de Aplicaciones. Se est diciendo que el auditor habr de com
probar fehaciente y personalmente la correspondencia biunvoca y exclusiva entre e
l programa codificado y el producto obtenido como resultado de su compilacin y su
conversin en ejecutables mediante la linkeditacin (Linkage Editor). Obsrvense las
consecuencias de todo tipo que podran derivarse del hecho de que los programas fu
ente y los programas mdulos no coincidieran provocando graves retrasos y altos co
stos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaj
e industrial-informtico, etc. Esta problemtica ha llevado a establecer una normati
va muy rgida en todo lo referente al acceso a las Libreras de programas.
Una Informtica medianamente desarrollada y eficiente dispone de un solo juego de
Libreras de Programas de la Instalacin. En efecto, Explotacin debe recepcionar prog
ramas fuente, y solamente fuente. Cules? Aquellos que Desarrollo haya dado como bu
enos. La asumir la responsabilidad de: 1. Copiar el programa fuente que Desarroll
o de Aplicaciones ha dado por bueno en la Librera de Fuentes de Explotacin, a la q
ue nadie ms tiene acceso. 2. Compilar y linkeditar ese programa, depositndolo en l
a Librera de Mdulos de Explotacin, a la que nadie ms tiene acceso. 3. Copiar los pro
gramas fuente que les sean solicitados para modificarlos, arreglarlos, etc., en
el lugar que se le indique. Cualquier cambio exigir pasar nuevamente al punto 1.
Ciertamente, hay que considerar las cotas de honestidad exigible a Explotacin. Ad
ems de su presuncin, la informtica se ha dotado de herramientas de seguridad sofist
icadas que permiten identificar la personalidad del que accede a las Libreras. No
obstante, adems, el equipo auditor intervendr los programas crticos, compilando y
linkeditando nuevamente los mismos para verificar su biunivocidad. e) AUDITORIA
DE LA SEGURIDAD INFORMATICA La seguridad en la informtica abarca los conceptos de
seguridad fsica y seguridad lgica. La Seguridad fsica se refiere a la proteccin del
Hardware y de los soportes de datos, as como los edificios e instalaciones que l
os albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes
naturales, etc. Igualmente, a este mbito pertenece la poltica de Seguros. La segu
ridad lgica se refiere a la seguridad de uso del software, a la proteccin de los d
atos, procesos y programas, as como la del ordenado y autorizado acceso de los us
uarios a la informacin. Se ha tratado con anterioridad la doble condicin de la Seg
uridad Informtica: Como rea General y como rea Especfica (seguridad de Explotacin, se
guridad de las Aplicaciones, etc.). As, podrn efectuarse Auditorias de la segurida
d global de una Instalacin Informtica- Seguridad General-, y Auditorias de la Segu
ridad de un rea informtica de terminada- Seguridad Especfica-. Las agresiones a ins
talaciones informticas ocurridas en Europa y Amrica durante los ltimos aos, han orig
inado acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y c
onexiones indebidos a travs de las
Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lg
ica y la utilizacin de sofisticados medios criptogrficos. La decisin de abordar una
Auditoria Informtica de Seguridad Global en una empresa, se fundamenta en el est
udio cuidadoso de los riesgos potenciales a los que est sometida. Tal estudio com
porta con frecuencia la elaboracin de "Matrices de Riesgo" en donde se consideran
los factores de las "Amenazas" a las que est sometida una instalacin y de los "Im
pactos" que aquellas pueden causar cuando se presentan. Las matrices de riesgo s
e presentan en cuadros de doble entrada "Amenazas\Impacto", en donde se evalan la
s probabilidades de ocurrencia de los elementos de la matriz.