Dentro de las reas generales, es posible establecer las siguientes divisiones: a)
b) c) d) e) Auditoria Informtica de Explotacin Auditoria Informtica de Sistemas Au ditoria Informtica de Comunicaciones Auditoria Informtica de Desarrollo de Proyect os Auditoria Informtica de Seguridad Debe evaluarse la diferencia entre la generalidad y la especificacin que posee la Seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridad del ent orno global de la informtica, mientras en otros casos puede auditarse una aplicac in concreta, en donde ser necesario analizar la seguridad de la misma. Cada rea esp ecfica puede ser auditada con los criterios que detallamos: Desde su propia funci onalidad interna. Con el apoyo que recibe de la Direccin, y en forma ascendente, del grado de cumplimiento de las directrices de que sta imparte. Desde la visin de los usuarios, destinatarios verdaderos de la informtica. Desde el punto de vista de la seguridad, que ofrece la Informtica en general o la rama auditada. Las com binaciones descritas pueden ser ampliadas o reducidas, segn las caractersticas de la empresa auditada. Las Auditorias ms usuales son las referidas a las actividade s especficas e internas de la propia actividad informtica. a) AUDITORIA INFORMATIC A DE EXPLOTACION La Explotacin Informtica se ocupa de producir resultados informtic as de todo tipo: listados impresos, archivos magnticos para otros informticos, rden es automatizadas para lanzar o modificar procesos industriales, etc. Para realiz ar la Explotacin informtica se dispone de materia prima los Datos, que es necesari o transformar, y que se someten previamente a controles de integridad y calidad. La transformacin se realiza por medio del Proceso Informtico, el cual est dirigido por programas. Obtenido el producto final, los resultados son sometidos a contr oles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasio nes, el propio cliente realiza funciones de reelaboracin del producto terminado. Para mantener el criterio finalista y utilitario, el concepto de centro producti vo ayuda a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin consi ste en auditar las secciones que la componen y sus interrelaciones. Las Bsicas so n la planificacin de la produccin y la produccin misma de resultados informticos. El auditor debe tener en cuenta que la organizacin informtica est supeditada a la obt encin de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquie r otro objetivo. Se quiere insistir nuevamente en que la Operatividad es priorit aria, al igual que el plan crtico diario de produccin que debe ser protegido a tod a costa. Control de entrada de datos Se analiza la captura de informacin, plazos y agenda de tratamiento y entrega de datos, correccin en la transmisin de datos en tre plataformas, verificacin de controles de integridad y calidad de datos se rea lizan de acuerdo a Norma. Planificacin y Recepcin de Aplicaciones Se auditarn las n ormas de entrega de Aplicaciones, verificando cumplimiento y calidad de interloc utor nico. Debern realizarse muestras selectas de la documentacin de las Aplicacion es explotadas. Se analizarn las Libreras que los contienen en cuanto a su organiza cin y en lo relacionado con la existencia de Planificadores automticos o semiautomt icos. Centro de Control y Seguimiento de Trabajos Se analizar cmo se prepara, se l anza y se sigue la produccin diaria de los procesos Batch, o en tiempo real (Tele proceso). Las Aplicaciones de Teleproceso estn activas y la funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte de los efectivos de Explotacin. Este grupo determina el xito de la explotacin, ya q ue es el factor ms importante en el mantenimiento de la produccin. Operadores de C entros de Cmputos Es la nica profesin informtica con trabajo de noche. Destaca el fa ctor de responsabilidad ante incidencias y desperfectos. Se analiza las relacion es personales, coherencia de cargos y salarios, la equidad de turnos de trabajos . Se verificar la existencia de un responsable del Centro de Cmputos el grado de a utomatizacin de comandos, existencia y grado de uso de Manuales de Operacin, exist encia de planes de formacin, cumplimiento de los mismos y el tiempo transcurrido para cada operador desde el ltimo Curso recibido. Se analizar cantidad de montajes diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos ent re la peticin de montaje por parte del Sistema hasta el montaje real. Centro de Control de Red y Centro de Diagnosis El Centro de Control de Red suele ubicarse en el rea de Explotacin. Sus funciones se refieren al mbito de Comunicaci ones, estando relacionado con la organizacin de Comunicaciones Software de Tcnica de Sistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin e ntre ambos, se verificar la existencia de un punto focal nico, desde el cual sean perceptibles todas las lneas asociadas a los Sistemas. El Centro de Diagnosis (He lp-desk) es el ente en donde se atienden las llamadas de los usuarios-clientes q ue han sufrido averas o incidencias, tanto de software como de hardware. En funcin del cometido descrito, y en cuanto a software, est relacionado con el Centro de Control de Red. El Centro de Diagnosis indicado para empresas grandes y usuarios dispersos en un amplio territorio, es un elemento que contribuye a configurar l a imagen de la Informtica de la Empresa. Debe ser auditado desde esta perspectiva , desde la sensibilidad del usuario sobre el servicio que se le dispensa. b) AUD ITORIA INFORMATICA DE SISTEMAS Se ocupa de analizar la actividad propia de lo qu e se conoce como "Tcnica de Sistemas" en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaci ones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aun que formen parte del entorno general de "Sistemas". Vamos a detallar los grupos a revisar: a) Sistemas Operativos Proporcionados por el fabricante junto al equi po. Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Los Sistemas de ben estar actualizados con las ltimas versiones del fabricante, indagando las cau sas de las omisiones si stas se han producido. El anlisis de las versiones de los S.O. permite descubrir posibles incompatibilidades entre algunos productos de So ftware adquiridos por la instalacin y determinadas versiones. Deben revisarse los parmetros de las Libreras importantes de los Sistemas, especialmente si difieren de los valores aconsejados por el constructor. b) Software Bsico Conjunto de prod uctos que, sin pertenecer al Sistema Operativo, configuran completamente los Sis temas Informticos, haciendo posible la reutilizacin de funciones bsicas no incluidas en aqul. Cmo distinguir ambos conceptos? La respuesta tiene un carcter econmico. El Software bsico, o parte de l es abonado por el cliente a la firma constructora, mientras el Sistema Operativo y algunos programas muy bsicos, se incorporan a la mquina sin cargo al cliente. Es difcil decidir si una fu ncin debe ser incluida en el SO o puede ser omitida. Con independencia del inters terico que pueda tener la discusin de si una funcin es o no integrante del SO, para el auditor es fundamental conocer los productos de software bsico que han sido f acturados aparte. Los conceptos de Sistema Operativo y Software Bsico tienen fron teras comunes, la poltica comercial de cada Compaa y sus relaciones con los cliente s determinan el precio y los productos gratuitos y facturables. Otra parte impor tante del Software Bsico es el desarrollado e implementado en los Sistemas Informt icos por el personal informtico de la empresa que permiten mejorar la instalacin. El auditor debe verificar que el software no agrede, no condiciona al Sistema, d ebe considerar el esfuerzo realizado en trminos de costos, por si hubiera alterna tivas ms econmicas. c) Software de Teleproceso Se ha agregado del apartado anterio r de Software Bsico por su especialidad e importancia. Son vlidas las consideracio nes anteriores, Ntese la especial dependencia que el Software del Tiempo Real tie ne respecto a la arquitectura de los Sistemas. d) Tunning Es el conjunto de tcnic as de observacin y de medidas encaminadas a la evaluacin del comportamiento de los subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferen ciarse de los controles y medidas habituales que realiza el personal de Tcnica de Sistemas. El Tunning posee una naturaleza ms revisora, establecindose previamente planes y programas de actuacin segn los sntomas observados. Los Tunning pueden rea lizarse: Cuando existe la sospecha de deterioro del comportamiento parcial o gen eral del Sistema. De modo sistemtico y peridico, por ejemplo cada seis meses. En e ste ltimo caso, las acciones de Tunning son repetitivas y estn planificadas y orga nizadas de antemano. El auditor informtico deber conocer el nmero de Tunning realiz ados el ltimo ao, sus resultados, analizara los modelos de carga utilizados y los niveles e ndices de confianza de las observaciones. e) Optimizacin de los Sistemas y Subsistemas Tcnica de Sistemas deber realizar acc iones permanentes de optimizacin como consecuencia de la informacin diaria obtenid a a travs de Log, Accounting, etc. Acta igualmente como consecuencia de la realiza cin de Tunnings pre programado o especfico. El auditor verificar que las acciones d e optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistema s ni el "plan crtico de produccin diaria" de Explotacin. f) Administracin de Base de Datos Es un rea que ha adquirido una gran importancia a causa de la proliferacin de usuarios y de las descentralizaciones habidas en las informticas de las empres as, el diseo de las bases de datos, ya sean relacionales o jerrquicas, se ha conve rtido en una actividad muy compleja y sofisticada, por lo general desarrollada e n el mbito de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y los usu arios de la empresa. El conocimiento de diseo y arquitectura de dichas Bases de D atos por parte de los Sistemas, ha cristalizado en la administracin de las mismas les sea igualmente encomendada. Aunque esta descripcin es la ms frecuente en la a ctualidad, los auditores informticos han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la pro blemtica general de los usuarios de las Bases de Datos. Comienzan a percibirse he chos tendentes a separar el diseo y la construccin de las Bases de Datos, de la ad ministracin de las mismas, administracin sta que sera realizada por Explotacin. Sin e mbargo, esta tendencia es an poco significativa. El auditor informtico de Bases de Datos deber asegurarse que Explotacin conoce suficientemente las que son accedida s por los Procedimientos que ella ejecuta. Analizar los sistemas de salvaguarda e xistentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los datos, as como la ausencia de redundancias entre ellos. g) Investigacin y Desarrollo El campo informtico sigue evolucionando rpidamente. Multi tud Compaas, de Software mayoritariamente, aparecen en el mercado. de Como consecuencia, algunas empresas no dedicadas en principio a la venta de prod uctos informticos, estn potenciando la investigacin de sus equipos de Tcnica de Sist emas y Desarrollo, de forma que sus productos puedan convertirse en fuentes de i ngresos adicionales. La Auditoria informtica deber cuidar de que la actividad de Investigacin mas la de desarrollo de las empresas no vendedoras, no interfiera ni dificulte las tareas fundamentales internas. En todo caso, el auditor advertir en su Informe de los ri esgos que haya observado. No obstante, resultara muy provechoso comercializar alg una Aplicacin interna, una vez que est terminada y funcionando a satisfaccin. La pr opia existencia de aplicativos para la obtencin de estadsticas desarrollados por l os tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al audi tor experto una visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas. La correcta elaboracin de esta informacin conlleva el buen conocimie nto de la carga de la instalacin, as como la casi certeza de que existen Planes de Capacidad, etc. c) AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES La creciente importancia de las Comunicaciones ha determinado que se estudien separadamente del mbito de Tcnica de Sistemas. Naturalmente, siguen siendo trminos difciles en los conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informticos. Se ha producido un cambio conceptual muy profundo en el tratamiento de las comun icaciones informticas y en la construccin de los modernos Sistemas de Informacin, b asados en Redes de Comunicaciones muy sofisticadas. Para el Auditor Informtico, e l entramado conceptual que constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: La s Comunicaciones son el Soporte Fsico-Lgico de la Informtica en Tiempo Real. El aud itor informtico tropieza con la dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la participacin del mo nopolio telefnico que presta el soporte en algunos lugares. Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la Auditoria de est e sector requiere un equipo de especialistas, expertos simultneamente en Comunica ciones y en Redes Locales. No debe olvidarse que en entornos geogrficos reducidos , algunas empresas optan por el uso interno de Redes Locales, diseadas y cableada s con recursos propios. El entorno del Online tiene una especial relevancia en l a Auditoria Informtica debido al alto presupuesto anual que los alquileres de lnea s significan. El auditor de Comunicaciones deber inquirir sobre los ndices de util izacin de las lneas contratadas, con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La des ac tualizacin de esta documentacin significara una grave debilidad. La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estn instaladas, supondra que se bor dea la Inoperatividad Informtica. Sin embargo, y como casi siempre, las debilidad es ms frecuentes e importantes en la informtica de Comunicaciones se encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones, impreso ras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organizacin. d) AUDITORIA INFORMATICA DE DESARROLLO DE PROYECTOS El rea de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la Auditoria informtica. Indicando inmediatamente que la funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones, trmino presente en los ltimos aos. La funcin Desarrollo engloba a su vez muchas reas, tant as como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicac in recorre las siguientes fases: a) b) c) d) e) Prerrequisitos del Usuario (nico o plural), y del entorno. Anlisis funcional. Anlisis orgnico. (Pre programacin y Prog ramacin). Pruebas. Entrega a Explotacin y alta para el Proceso. Se deduce fcilmente la importancia de la metodologa utilizada en el desarrollo de los Proyectos informticos. Esta metodologa debe ser semejante al menos en los Proy ectos correspondientes a cada rea de negocio de la empresa, aunque preferiblement e debera extenderse a la empresa en su conjunto. En caso contrario, adems del aume nto significativo de los costos, podr producirse fcilmente la insatisfaccin del usu ario, si ste no ha participado o no ha sido consultado peridicamente en las divers as fases del mismo, y no solamente en la fase de prerrequisitos. Finalmente, la Auditoria informtica deber comprobar la seguridad de los programas, en el sentido de garantizar que los ejecutados por la mquina son totalmente los previstos y no otros. Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de estas consideraciones. a) Revisin de las metodologas util izadas Se analizarn stas, de modo que se asegure la modularidad de las posibles fu turas ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. b) Contr ol Interno de las Aplicaciones La Auditoria informtica de Desarrollo de Aplicacio nes deber revisar las mismas fases que presuntamente ha debido seguir el rea corre spondiente de Desarrollo. Las principales son: 1. 2. 3. 4. 5. 6. 7. Estudio de V iabilidad de la Aplicacin. Definicin Lgica de la Aplicacin. Desarrollo Tcnico de la A plicacin. Diseo de Programas. Mtodos de Pruebas. Documentacin. Equipo de Programacin. c) Satisfaccin de Usuarios Una Aplicacin eficiente y bien desarrollada tericamente, deber considerarse un fracaso si no sirve a los intereses del usuario que la sol icit. Surgen nuevamente las premisas fundamentales de la informtica eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante todas las etapas del Proyecto. La presencia del usuario proporcionar adems grandes ventajas posteriores, evitar reprogramaciones y disminu ir el mantenimiento de la Aplicacin. d) Control de Procesos y Ejecuciones de Progr amas Crticos El auditor no debe descartar la posibilidad de que se est ejecutando un mdulo lo que no se corresponde con el programa fuente que desarroll, codific y p rob el rea de Desarrollo de Aplicaciones. Se est diciendo que el auditor habr de com probar fehaciente y personalmente la correspondencia biunvoca y exclusiva entre e l programa codificado y el producto obtenido como resultado de su compilacin y su conversin en ejecutables mediante la linkeditacin (Linkage Editor). Obsrvense las consecuencias de todo tipo que podran derivarse del hecho de que los programas fu ente y los programas mdulos no coincidieran provocando graves retrasos y altos co stos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaj e industrial-informtico, etc. Esta problemtica ha llevado a establecer una normati va muy rgida en todo lo referente al acceso a las Libreras de programas. Una Informtica medianamente desarrollada y eficiente dispone de un solo juego de Libreras de Programas de la Instalacin. En efecto, Explotacin debe recepcionar prog ramas fuente, y solamente fuente. Cules? Aquellos que Desarrollo haya dado como bu enos. La asumir la responsabilidad de: 1. Copiar el programa fuente que Desarroll o de Aplicaciones ha dado por bueno en la Librera de Fuentes de Explotacin, a la q ue nadie ms tiene acceso. 2. Compilar y linkeditar ese programa, depositndolo en l a Librera de Mdulos de Explotacin, a la que nadie ms tiene acceso. 3. Copiar los pro gramas fuente que les sean solicitados para modificarlos, arreglarlos, etc., en el lugar que se le indique. Cualquier cambio exigir pasar nuevamente al punto 1. Ciertamente, hay que considerar las cotas de honestidad exigible a Explotacin. Ad ems de su presuncin, la informtica se ha dotado de herramientas de seguridad sofist icadas que permiten identificar la personalidad del que accede a las Libreras. No obstante, adems, el equipo auditor intervendr los programas crticos, compilando y linkeditando nuevamente los mismos para verificar su biunivocidad. e) AUDITORIA DE LA SEGURIDAD INFORMATICA La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La Seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como los edificios e instalaciones que l os albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente, a este mbito pertenece la poltica de Seguros. La segu ridad lgica se refiere a la seguridad de uso del software, a la proteccin de los d atos, procesos y programas, as como la del ordenado y autorizado acceso de los us uarios a la informacin. Se ha tratado con anterioridad la doble condicin de la Seg uridad Informtica: Como rea General y como rea Especfica (seguridad de Explotacin, se guridad de las Aplicaciones, etc.). As, podrn efectuarse Auditorias de la segurida d global de una Instalacin Informtica- Seguridad General-, y Auditorias de la Segu ridad de un rea informtica de terminada- Seguridad Especfica-. Las agresiones a ins talaciones informticas ocurridas en Europa y Amrica durante los ltimos aos, han orig inado acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y c onexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lg ica y la utilizacin de sofisticados medios criptogrficos. La decisin de abordar una Auditoria Informtica de Seguridad Global en una empresa, se fundamenta en el est udio cuidadoso de los riesgos potenciales a los que est sometida. Tal estudio com porta con frecuencia la elaboracin de "Matrices de Riesgo" en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y de los "Im pactos" que aquellas pueden causar cuando se presentan. Las matrices de riesgo s e presentan en cuadros de doble entrada "Amenazas\Impacto", en donde se evalan la s probabilidades de ocurrencia de los elementos de la matriz.