Dentro de las reas generales, es posible establecer las siguientes
divisiones:a) Auditoria Informtica de Explotacinb) Auditoria Informtica de Sis temasc) Auditoria Informtica de Comunicacionesd) Auditoria Informtica de Desarrollo de Proyectose) Auditoria Informtica de SeguridadDebe evaluarse la diferencia entre la generalidad y la especificacin que poseela Seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridaddel entorno global de la informtica, mientras en otros casos puede auditarseuna aplicacin concreta, en donde ser necesario analizar la seguridad de lamisma.Cada rea especfica puede ser auditada con los criterios que detallamos:
Desde su propia funcionalidad interna.
Con el apoyo que recibe de la Direccin, y en forma ascendente, delgrado de
cumplimiento de las directrices de que sta imparte.
Desde la visin de los usuarios, destinatarios verdaderos de lainformtica.
Desde el punto de vista de la seguridad, que ofrece la Informtica engeneral o
la rama auditada.Las combinaciones descritas pueden ser ampliadas o reducidas, segn lascaractersticas de la empresa auditada. Las Auditorias ms usuales son lasreferidas a las actividades especficas e internas de la propia actividadinformtica.a) AUDITORIA INFORMATICA DE EXPLOTACION La Explotacin Informtica se ocupa de producirresultados informticas de todo tipo: listadosimpresos, archivos magnticos para otrosinformticos, rdenes automatizadas paralanzar o modificar procesos industriales, etc.Para realizar la Explotacin informtica sedispone de materia prima los Datos, que esnecesario transformar, y que se sometenpreviamente a controles de integridad y calidad.La transformacin se realiza por medio del Proceso Informtico, el cual estdirigido por programas. Obtenido el producto final, los resultados son sometidosa controles de calidad, y finalmente son distribuidos al cliente, al usuario. Enocasiones, el propio cliente realiza funciones de reelaboracin del producto terminado.
Para mantener el criterio finalista y utilitario, el concepto de centro
productivoayuda a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacinconsiste en auditar las secciones que la componen y sus interrelaciones.Las Bsicas son la planificacin de la produccin y la produccin misma deresultados informticos. El auditor debe tener en cuenta que la organizacininformtica est supeditada a la obtencin de resultados en plazo y calidad,siendo subsidiario a corto plazo cualquier otro objetivo.Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual queel plan crtico diario de produccin que debe ser protegido a toda costa.Control de entrada de datos Se analiza la captura de informacin, plazos y agenda de tratamiento y entregade datos, correccin en la transmisin de datos entre plataformas, verificacinde controles de integridad y calidad de datos se realizan de acuerdo a Norma.Planificacin y Recepcin de Aplicaciones Se auditarn las normas de entrega de Aplicaciones, verificando cumplimientoy calidad de interlocutor nico. Debern realizarse muestras selectas de ladocumentacin de las Aplicaciones explotadas. Se analizarn las Libreras quelos contienen en cuanto a su organizacin y en lo relacionado con la existenciade Planificadores automticos o semiautomticos.Centro de Control y Seguimiento de Trabajos Se analizar cmo se prepara, se lanza y se sigue la produccin diaria de losprocesos Batch, o en tiempo real (Teleproceso).Las Aplicaciones de Teleproceso estn activas y la funcin de Explotacin selimita a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte delos efectivos de Explotacin. Este grupo determina el xito de la explotacin, yaque es el factor ms importante en el mantenimiento de la produccin.Operadores de Centros de Cmputos Es la nica profesin informtica con trabajo de noche. Destaca el factor deresponsabilidad ante incidencias y desperfectos. Se analiza las relacionespersonales, coherencia de cargos y salarios, la equidad de turnos de trabajos.Se verificar la existencia de un responsable del Centro de Cmputos el gradode automatizacin de comandos, existencia y grado de uso de Manuales deOperacin, existencia de planes de formacin, cumplimiento de los mismos y eltiempo transcurrido para cada operador desde el ltimo Curso recibido.Se analizar cantidad de montajes diarios y por horas de cintas o cartuchos,as como los tiempos transcurridos entre la peticin de montaje por parte delSistema hasta el montaje real.
funciones bsicas no incluidas en aqul. Cmo distinguir ambos
conceptos?La respuesta tiene un carcter econmico.El Software bsico, o parte de l es abonado por el cliente a la firmaconstructora, mientras el Sistema Operativo y algunos programas muy bsicos,se incorporan a la mquina sin cargo al cliente.Es difcil decidir si una funcin debe ser incluida en el SO o puede ser omitida.Con independencia del inters terico que pueda tener la discusin de si unafuncin es o no integrante del SO, para el auditor es fundamental conocer losproductos de software bsico que han sido facturados aparte.Los conceptos de Sistema Operativo y Software Bsico tienen fronterascomunes, la poltica comercial de cada Compaa y sus relaciones con losclientes determinan el precio y los productos gratuitos y facturables.Otra parte importante del Software Bsico es el desarrollado e implementadoen los Sistemas Informticos por el personal informtico de la empresa quepermiten mejorar la instalacin. El auditor debe verificar que el software noagrede, no condiciona al Sistema, debe considerar el esfuerzo realizado entrminos de costos, por si hubiera alternativas ms econmicas.c) Software de TeleprocesoSe ha agregado del apartado anterior de Software Bsico por su especialidad eimportancia. Son vlidas las consideraciones anteriores, Ntese la especialdependencia que el Software del Tiempo Real tiene respecto a la arquitecturade los Sistemas.d) TunningEs el conjunto de tcnicas de observacin y de medidas encaminadas a laevaluacin del comportamiento de los subsistemas y del Sistema en suconjunto. Las acciones de Tunning deben diferenciarse de los controles ymedidas habituales que realiza el personal de Tcnica de Sistemas.El Tunning posee una naturaleza ms revisora, establecindose previamenteplanes y programas de actuacin segn los sntomas observados.Los Tunning pueden realizarse:Cuando existe la sospecha de deterioro del comportamiento parcial ogeneral del Sistema.De modo sistemtico y peridico, por ejemplo cada seis meses. En esteltimo caso, las acciones de Tunning son repetitivas y estn planificadasy organizadas de antemano.El auditor informtico deber conocer el nmero de Tunning realizados elltimo ao, sus resultados, analizara los modelos de carga utilizados y losniveles e ndices de confianza de las observaciones.
e) Optimizacin de los Sistemas y SubsistemasTcnica de Sistemas deber
realizar acciones permanentes de optimizacincomo consecuencia de la informacin diaria obtenida a travs de Log, Account-ing, etc. Acta igualmente como consecuencia de la realizacin de Tunningspre programado o especfico.El auditor verificar que las acciones de optimizacin fueron efectivas y nocomprometieron la Operatividad de los Sistemas ni el "plan crtico deproduccin diaria" de Explotacin.f) Administracin de Base de DatosEs un rea que ha adquirido una gran importancia a causa de la proliferacinde usuarios y de las descentralizaciones habidas en las informticas de lasempresas, el diseo de las bases de datos, ya sean relacionales o jerrquicas,se ha convertido en una actividad muy compleja y sofisticada, por lo generaldesarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reasde Desarrollo y los usuarios de la empresa.El conocimiento de diseo y arquitectura de dichas Bases de Datos por partede los Sistemas, ha cristalizado en la administracin de las mismas les seaigualmente encomendada. Aunque esta descripcin es la ms frecuente en laactualidad, los auditores informticos han observado algunas disfuncionesderivadas de la relativamente escasa experiencia que Tcnica de Sistemastiene sobre la problemtica general de los usuarios de las Bases de Datos.Comienzan a percibirse hechos tendentes a separar el diseo y la construccinde las Bases de Datos, de la administracin de las mismas, administracin staque sera realizada por Explotacin. Sin embargo, esta tendencia es an pocosignificativa.El auditor informtico de Bases de Datos deber asegurarse que Explotacinconoce suficientemente las que son accedidas por los Procedimientos que ellaejecuta. Analizar los sistemas de salvaguarda existentes, que competenigualmente a Explotacin. Revisar finalmente la integridad y consistencia delos datos, as como la ausencia de redundancias entre ellos.g) Investigacin y DesarrolloEl campo informtico sigue evolucionando rpidamente. Multitud deCompaas, de Software mayoritariamente, aparecen en el mercado.Como consecuencia, algunas empresas no dedicadas en principio a la venta deproductos informticos, estn potenciando la investigacin de sus equipos deTcnica de Sistemas y Desarrollo, de forma que sus productos puedanconvertirse en fuentes de ingresos adicionales.
La Auditoria informtica deber cuidar de que la actividad de Investigacin
masla de desarrollo de las empresas no vendedoras, no interfiera ni dificulte lastareas fundamentales internas.En todo caso, el auditor advertir en su Informe de los riesgos que hayaobservado. No obstante, resultara muy provechoso comercializar algunaAplicacin interna, una vez que est terminada y funcionando a satisfaccin.La propia existencia de aplicativos para la obtencin de estadsticasdesarrollados por los tcnicos de Sistemas de la empresa auditada, y sucalidad, proporcionan al auditor experto una visin bastante exacta de laeficiencia y estado de desarrollo de los Sistemas. La correcta elaboracin deesta informacin conlleva el buen conocimiento de la carga de la instalacin,as como la casi certeza de que existen Planes de Capacidad, etc
c) AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES
La creciente importancia de las Comunicacionesha determinado que se estudien separadamentedel mbito de Tcnica de Sistemas. Naturalmente,siguen siendo trminos difciles en los conceptosgenerales de Sistemas y de Arquitecturas de losSistemas Informticos.Se ha producido un cambio conceptual muyprofundo en el tratamiento de las comunicacionesinformticas y en la construccin de los modernosSistemas de Informacin, basados en Redes deComunicaciones muy sofisticadas.Para el Auditor Informtico, el entramado conceptual que constituyen las RedesNodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no sonsino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobreeste avanzado concepto, que repetimos: Las Comunicaciones son el SoporteFsico-Lgico de la Informtica en Tiempo Real.El auditor informtico tropieza con la dificultad tcnica del entorno, pues ha deanalizar situaciones y hechos alejados entre s, y est condicionado a laparticipacin del monopolio telefnico que presta el soporte en algunos lugares.Ciertamente, la tarea del auditor es ardua en este contexto. Como en otroscasos, la Auditoria de este sector requiere un equipo de especialistas, expertossimultneamente en Comunicaciones y en Redes Locales. No debe olvidarseque en entornos geogrficos reducidos, algunas empresas optan por el usointerno de Redes Locales, diseadas y cableadas con recursos propios.El entorno del Online tiene una especial relevancia en la Auditoria Informticadebido al alto presupuesto anual que los alquileres de lneas significan. Elauditor de Comunicaciones deber inquirir sobre los ndices de utilizacin delas lneas contratadas, con informacin abundante sobre tiempos de desuso.
Deber proveerse de la topologa de la Red de Comunicaciones,
actualizada.La des actualizacin de esta documentacin significara una grave debilidad.La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estninstaladas, supondra que se bordea la Inoperatividad Informtica.Sin embargo, y como casi siempre, las debilidades ms frecuentes eimportantes en la informtica de Comunicaciones se encuentran en lasdisfunciones organizativas. La contratacin e instalacin de lneas va asociadaa la instalacin de los Puestos de Trabajo correspondientes (Monitores,Servidores de Redes Locales, Ordenadores Personales con tarjetas deComunicaciones, impresoras, etc.). Todas estas actividades deben estar muycoordinadas y a ser posible, dependientes de una sola organizacin.
d) AUDITORIA INFORMATICA DE DESARROLLO DE PROYECTOS
El rea de Desarrollo de Proyectos o deAplicaciones es objeto frecuente de
laAuditoria informtica.Indicando inmediatamente que la funcin deDesarrollo es una evolucin del llamadoAnlisis y Programacin de Sistemas yAplicaciones, trmino presente en losltimos aos. La funcin Desarrollo englobaa su vez muchas reas, tantas comosectores informatizables tiene la empresa.Muy escuetamente, una Aplicacin recorre las siguientes fases:a) Prerrequisitos del Usuario (nico o plural), y del entorno.b) Anlisis funcional.c) Anlisis orgnico. (Pre programacin y Programacin).d) Pruebas.e) Entrega a Explotacin y alta para el Proceso.Se deduce fcilmente la importancia de la metodologa utilizada en el desarrollode los Proyectos informticos. Esta metodologa debe ser semejante al menosen los Proyectos correspondientes a cada rea de negocio de la empresa,aunque preferiblemente debera extenderse a la empresa en su conjunto.En caso contrario, adems del aumento significativo de los costos, podrproducirse fcilmente la insatisfaccin del usuario, si ste no ha participado ono ha sido consultado peridicamente en las diversas fases del mismo, y nosolamente en la fase de prerrequisitos.Finalmente, la Auditoria informtica deber comprobar la seguridad de losprogramas, en el sentido de garantizar que los ejecutados por la mquina sontotalmente los previstos y no otros. Una razonable Auditoria informtica de Aplicaciones pasa indefectiblementepor la observacin y el anlisis de estas consideraciones.a)Revisin de las metodologas utilizadasSe analizarn stas, de modo que se asegure la modularidad de las posiblesfuturas ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.b)Control Interno de las AplicacionesLa Auditoria informtica de Desarrollo de Aplicaciones deber revisar lasmismas fases que presuntamente ha debido seguir el rea correspondiente deDesarrollo. Las principales son:1. Estudio de Viabilidad de la Aplicacin .2. Definicin Lgica de la Aplicacin .3. Desarrollo Tcnico de la Aplicacin .4. Diseo de Programas .5. Mtodos de Pruebas .6. Documentacin .7. Equipo de Programacin .c)Satisfaccin de UsuariosUna Aplicacin eficiente y bien desarrollada tericamente, deber considerarseun fracaso si no sirve a los intereses del usuario que la solicit. Surgennuevamente las premisas fundamentales de la informtica eficaz: fines yutilidad. No puede desarrollarse de espaldas al usuario, sino contando con suspuntos de vista durante todas las etapas del Proyecto. La presencia del usuarioproporcionar adems grandes ventajas posteriores, evitar reprogramacionesy disminuir el mantenimiento de la Aplicacin.d)Control de Procesos y Ejecuciones de Programas CrticosEl auditor no debe descartar la posibilidad de que se est ejecutando unmdulo lo que no se corresponde con el programa fuente que desarroll,codific y prob el rea de Desarrollo de Aplicaciones.Se est diciendo que el auditor habr de comprobar fehaciente ypersonalmente la correspondencia biunvoca y exclusiva entre el programacodificado y el producto obtenido como resultado de su compilacin y suconversin en ejecutables mediante la linkeditacin (Linkage Editor).Obsrvense las consecuencias de todo tipo que podran derivarse del hecho deque los programas fuente y los programas mdulos no coincidieran provocandograves retrasos y altos costos de mantenimiento, hasta fraudes, pasando poracciones de sabotaje, espionaje industrial-informtico, etc.Esta problemtica ha llevado a establecer una normativa muy rgida en todo loreferente al acceso a las Libreras de programas.
Una Informtica medianamente desarrollada y eficiente dispone de un
solo juego de Libreras de Programas de la Instalacin. En efecto, Explotacin deberecepcionar programas fuente, y solamente fuente. Cules? Aquellos queDesarrollo haya dado como buenos.La asumir la responsabilidad de:1. Copiar el programa fuente que Desarrollo de Aplicaciones ha dado porbueno en la Librera de Fuentes de Explotacin, a la que nadie mstiene acceso.2. Compilar y linkeditar ese programa, depositndolo en la Librera deMdulos de Explotacin, a la que nadie ms tiene acceso.3. Copiar los programas fuente que les sean solicitados para modificarlos,arreglarlos, etc., en el lugar que se le indique. Cualquier cambio exigirpasar nuevamente al punto 1.Ciertamente, hay que considerar las cotas de honestidad exigible aExplotacin. Adems de su presuncin, la informtica se ha dotado deherramientas de seguridad sofisticadas que permiten identificar la personalidaddel que accede a las Libreras. No obstante, adems, el equipo auditorintervendr los programas crticos, compilando y linkeditando nuevamente losmismos para verificar su biunivocidad
e) AUDITORIA DE LA SEGURIDAD INFORMATICA
La seguridad en la informtica abarca los conceptosde seguridad fsica y seguridad lgica.La Seguridad fsica se refiere a la proteccin delHardware y de los soportes de datos, as como losedificios e instalaciones que los albergan.Contempla las situaciones de incendios, sabotajes,robos, catstrofes naturales, etc. Igualmente, a estembito pertenece la poltica de Seguros.La seguridad lgica se refiere a la seguridad de usodel software, a la proteccin de los datos, procesos y programas, as como ladel ordenado y autorizado acceso de los usuarios a la informacin.Se ha tratado con anterioridad la doble condicin de la Seguridad Informtica:Como rea General y como rea Especfica (seguridad de Explotacin,seguridad de las Aplicaciones, etc.).As, podrn efectuarse Auditorias de la seguridad global de una InstalacinInformtica- Seguridad General-, y Auditorias de la Seguridad de un reainformtica de terminada- Seguridad Especfica-.Las agresiones a instalaciones informticas ocurridas en Europa y Amricadurante los ltimos aos, han originado acciones para mejorar la SeguridadInformtica a nivel fsico. Los accesos y conexiones indebidos a travs de las
Redes de Comunicaciones, han acelerado el desarrollo de productos
deSeguridad lgica y la utilizacin de sofisticados medios criptogrficos.La decisin de abordar una Auditoria Informtica de Seguridad Global en unaempresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales alos que est sometida.Tal estudio comporta con frecuencia la elaboracin de "Matrices de Riesgo" endonde se consideran los factores de las "Amenazas" a las que est sometidauna instalacin y de los "Impactos" que aquellas pueden causar cuando sepresentan.Las matrices de riesgo se presentan en cuadros de doble entrada "Amenazas\Impacto", en donde se evalan las probabilidades de ocurrencia delos elementos de la matriz