53-55 Columna Informatica

4/10/06

16:08

Pgina 53

Informtica
Antonio Segovia Navarro*

Cmo se audita
un sistema de informacin?
La auditora debe cubrir tres reas: la parte puramente de tecnologa, la funcional o
de aplicaciones y la parte de seguridad, que incluira el acceso a la informacin
y la proteccin de nuestros datos.
na auditora de un sistema de informacin
debe cubrir tres reas: la parte puramente
de tecnologa, incluyendo puestos de trabajo, servidores, software y comunicaciones; la parte
funcional o de aplicaciones: todo el software que tenemos desarrollado o comprado y que utilizamos
como parte de nuestra actividad, y la parte de seguridad, que incluira el acceso a la informacin y la proteccin de nuestros datos.
En cada rea y como resultado del anlisis se debe
incluir: una enumeracin de riesgos reales o potenciales, as como la importancia de los mismos, y un
plan de accin que al menos corrija los riesgos reales y potenciales de importancia alta.

Tres reas
Auditora de la parte tecnolgica. Deber incluir
obligatoriamente un estudio de la obsolescencia de
nuestro parque y la estimacin del final de su ciclo
de vida: en hardware y en software (cuando el fabricante deja de mantener los equipos y el software asociado). Ver si se han actualizado los elementos de software: sistema operativo y software de dispositivos de una manera regular. Estudiar la configuracin de las comunicaciones y su tecnologa:
tipo de red local, tipo de conexin remota (por telefona, banda ancha u otros medios). A este anlisis se le aadirn los riesgos, los planes de accin inmediatos (riesgos reales) y las recomendaciones
(para riesgos potenciales clasificados por prioridad).
Auditora de la parte funcional. Incluir una descripcin detallada de las aplicaciones que utilizamos,
tanto para ofimtica como para registro de pacientes, historiales, etctera, si es que usamos alguna.
Auditora de seguridad. Quizs sea la ms importante, pero es totalmente dependiente de las dos an-

teriores. Por ejemplo, una tecnologa obsoleta incrementa el riesgo de prdida de informacin, una
mala utilizacin de las aplicaciones aumenta el nmero de errores. Esta auditoria debe incluir obligatoriamente: cmo se realizan las copias de seguridad, qu sistema antivirus tenemos en uso y cmo
se actualiza, qu sistema de bloqueo de acceso a internet estamos utilizando (firewall). Pero, adems,
cmo accedemos a la informacin: quin tiene acceso a qu y por qu, cmo est protegida la clave
de administrador del sistema y quin la conoce,
cmo controlamos los envos de ficheros fuera de
nuestro entorno, y un largo etctera.
El mercado est lleno de compaas que lo pueden
abordar. Dependiendo de la complejidad de la instalacin, se pueden recomendar una u otras y su duracin no debera pasar de uno o dos das. Como regla de oro, se debera evitar que la compaa que proceda a la auditoria sea la encargada de ejecutar los
planes de accin, sobre todo si stos llevan a desembolsos importantes. Como en la mayora de los casos, tenemos una compaa externa que se encarga
de mantener nuestro sistema y probablemente nos
los ha vendido. Una buena frmula sera: encargar la
auditora, discutir el plan de accin con la compaa
externa en presencia de la que nos ha auditado y hacer la revisin al ao siguiente entre: cliente, empresa de mantenimiento y la que audit el sistema.

*Director europeo de Desarrollo y Mantenimiento de

Aplicaciones de Rhodia. Para contactar:
antonio.segovia@eu.rhodia.com.
Artculo escrito en colaboracin con Adrin Segovia
Noriega, Departamento de Mrketing de Nuevas
Tecnologas de Vocento.
adrian.segovia@vocento.com

MEDICAL ECONOMICS | Edicin Espaola | 13 de octubre de 2006 53