TIPOS Y CLASES DE AUDITORIAS INFORMTICAS

Dentro de las reas generales, es posible establecer las siguientes

divisiones:a) Auditoria Informtica de Explotacinb) Auditoria Informtica de Sis
temasc) Auditoria Informtica de Comunicacionesd) Auditoria Informtica de
Desarrollo de Proyectose) Auditoria Informtica de SeguridadDebe evaluarse la
diferencia entre la generalidad y la especificacin que poseela Seguridad.
Segn ella, realizarse una Auditoria Informtica de la Seguridaddel entorno
global de la informtica, mientras en otros casos puede auditarseuna aplicacin
concreta, en donde ser necesario analizar la seguridad de lamisma.Cada rea
especfica puede ser auditada con los criterios que detallamos:

Desde su propia funcionalidad interna.

Con el apoyo que recibe de la Direccin, y en forma ascendente, delgrado de

cumplimiento de las directrices de que sta imparte.

Desde la visin de los usuarios, destinatarios verdaderos de lainformtica.

Desde el punto de vista de la seguridad, que ofrece la Informtica engeneral o

la rama auditada.Las combinaciones descritas pueden ser ampliadas o
reducidas, segn lascaractersticas de la empresa auditada. Las Auditorias ms
usuales son lasreferidas a las actividades especficas e internas de la propia
actividadinformtica.a)
AUDITORIA INFORMATICA DE EXPLOTACION
La Explotacin Informtica se ocupa de producirresultados informticas de
todo tipo: listadosimpresos, archivos magnticos para otrosinformticos,
rdenes automatizadas paralanzar o modificar procesos industriales, etc.Para
realizar la Explotacin informtica sedispone de materia prima los Datos, que
esnecesario transformar, y que se sometenpreviamente a controles de
integridad y calidad.La transformacin se realiza por medio del Proceso
Informtico, el cual estdirigido por programas. Obtenido el producto final, los
resultados son sometidosa controles de calidad, y finalmente son distribuidos al
cliente, al usuario. Enocasiones, el propio cliente realiza funciones de
reelaboracin del producto terminado.

Para mantener el criterio finalista y utilitario, el concepto de centro

productivoayuda a la elaboracin de la Auditoria de la Explotacin. Auditar
Explotacinconsiste en auditar las secciones que la componen y sus
interrelaciones.Las Bsicas son la planificacin de la produccin y la
produccin misma deresultados informticos. El auditor debe tener en cuenta
que la organizacininformtica est supeditada a la obtencin de resultados en
plazo y calidad,siendo subsidiario a corto plazo cualquier otro objetivo.Se
quiere insistir nuevamente en que la Operatividad es prioritaria, al igual queel
plan crtico diario de produccin que debe ser protegido a toda costa.Control de
entrada de datos Se analiza la captura de informacin, plazos y agenda de
tratamiento y entregade datos, correccin en la transmisin de datos entre
plataformas, verificacinde controles de integridad y calidad de datos se
realizan de acuerdo a Norma.Planificacin y Recepcin de Aplicaciones Se
auditarn las normas de entrega de Aplicaciones, verificando cumplimientoy
calidad de interlocutor nico. Debern realizarse muestras selectas de
ladocumentacin de las Aplicaciones explotadas. Se analizarn las Libreras
quelos contienen en cuanto a su organizacin y en lo relacionado con la
existenciade Planificadores automticos o semiautomticos.Centro de Control y
Seguimiento de Trabajos Se analizar cmo se prepara, se lanza y se sigue la
produccin diaria de losprocesos Batch, o en tiempo real (Teleproceso).Las
Aplicaciones de Teleproceso estn activas y la funcin de Explotacin selimita
a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte delos
efectivos de Explotacin. Este grupo determina el xito de la explotacin, yaque
es el factor ms importante en el mantenimiento de la produccin.Operadores
de Centros de Cmputos Es la nica profesin informtica con trabajo de
noche. Destaca el factor deresponsabilidad ante incidencias y desperfectos. Se
analiza las relacionespersonales, coherencia de cargos y salarios, la
equidad de turnos de trabajos.Se verificar la existencia de un responsable del
Centro de Cmputos el gradode automatizacin de comandos, existencia y
grado de uso de Manuales deOperacin, existencia de planes de formacin,
cumplimiento de los mismos y eltiempo transcurrido para cada operador desde
el ltimo Curso recibido.Se analizar cantidad de montajes diarios y por horas
de cintas o cartuchos,as como los tiempos transcurridos entre la peticin de
montaje por parte delSistema hasta el montaje real.

funciones bsicas no incluidas en aqul. Cmo distinguir ambos

conceptos?La respuesta tiene un carcter econmico.El Software bsico, o
parte de l es abonado por el cliente a la firmaconstructora, mientras el Sistema
Operativo y algunos programas muy bsicos,se incorporan a la mquina sin
cargo al cliente.Es difcil decidir si una funcin debe ser incluida en el SO o
puede ser omitida.Con independencia del inters terico que pueda tener la
discusin de si unafuncin es o no integrante del SO, para el auditor es
fundamental conocer losproductos de software bsico que han sido facturados
aparte.Los conceptos de Sistema Operativo y Software Bsico tienen
fronterascomunes, la poltica comercial de cada Compaa y sus relaciones con
losclientes determinan el precio y los productos gratuitos y facturables.Otra
parte importante del Software Bsico es el desarrollado e implementadoen los
Sistemas Informticos por el personal informtico de la empresa quepermiten
mejorar la instalacin. El auditor debe verificar que el software noagrede, no
condiciona al Sistema, debe considerar el esfuerzo realizado entrminos de
costos, por si hubiera alternativas ms econmicas.c) Software de
TeleprocesoSe ha agregado del apartado anterior de Software Bsico por su
especialidad eimportancia. Son vlidas las consideraciones anteriores, Ntese
la especialdependencia que el Software del Tiempo Real tiene respecto a la
arquitecturade los Sistemas.d) TunningEs el conjunto de tcnicas de
observacin y de medidas encaminadas a laevaluacin del comportamiento de
los subsistemas y del Sistema en suconjunto. Las acciones de Tunning deben
diferenciarse de los controles ymedidas habituales que realiza el personal de
Tcnica de Sistemas.El Tunning posee una naturaleza ms revisora,
establecindose previamenteplanes y programas de actuacin segn los
sntomas observados.Los Tunning pueden realizarse:Cuando existe la
sospecha de deterioro del comportamiento parcial ogeneral del Sistema.De
modo sistemtico y peridico, por ejemplo cada seis meses. En esteltimo
caso, las acciones de Tunning son repetitivas y estn planificadasy
organizadas de antemano.El auditor informtico deber conocer el nmero de
Tunning realizados elltimo ao, sus resultados, analizara los modelos de
carga utilizados y losniveles e ndices de confianza de las observaciones.

e) Optimizacin de los Sistemas y SubsistemasTcnica de Sistemas deber

realizar acciones permanentes de optimizacincomo consecuencia de la
informacin diaria obtenida a travs de Log, Account-ing, etc. Acta igualmente
como consecuencia de la realizacin de Tunningspre programado o
especfico.El auditor verificar que las acciones de optimizacin fueron
efectivas y nocomprometieron la Operatividad de los Sistemas ni el "plan crtico
deproduccin diaria" de Explotacin.f) Administracin de Base de DatosEs un
rea que ha adquirido una gran importancia a causa de la proliferacinde
usuarios y de las descentralizaciones habidas en las informticas de
lasempresas, el diseo de las bases de datos, ya sean relacionales o
jerrquicas,se ha convertido en una actividad muy compleja y sofisticada, por lo
generaldesarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las
reasde Desarrollo y los usuarios de la empresa.El conocimiento de diseo y
arquitectura de dichas Bases de Datos por partede los Sistemas, ha
cristalizado en la administracin de las mismas les seaigualmente
encomendada. Aunque esta descripcin es la ms frecuente en laactualidad,
los auditores informticos han observado algunas disfuncionesderivadas de la
relativamente escasa experiencia que Tcnica de Sistemastiene sobre la
problemtica general de los usuarios de las Bases de Datos.Comienzan a
percibirse hechos tendentes a separar el diseo y la construccinde las Bases
de Datos, de la administracin de las mismas, administracin staque sera
realizada por Explotacin. Sin embargo, esta tendencia es an
pocosignificativa.El auditor informtico de Bases de Datos deber asegurarse
que Explotacinconoce suficientemente las que son accedidas por los
Procedimientos que ellaejecuta. Analizar los sistemas de salvaguarda
existentes, que competenigualmente a Explotacin. Revisar finalmente la
integridad y consistencia delos datos, as como la ausencia de redundancias
entre ellos.g) Investigacin y DesarrolloEl campo informtico sigue
evolucionando rpidamente. Multitud deCompaas, de Software
mayoritariamente, aparecen en el mercado.Como consecuencia, algunas
empresas no dedicadas en principio a la venta deproductos informticos, estn
potenciando la investigacin de sus equipos deTcnica de Sistemas y
Desarrollo, de forma que sus productos puedanconvertirse en fuentes
de ingresos adicionales.

La Auditoria informtica deber cuidar de que la actividad de Investigacin

masla de desarrollo de las empresas no vendedoras, no interfiera ni dificulte
lastareas fundamentales internas.En todo caso, el auditor advertir en su
Informe de los riesgos que hayaobservado. No obstante, resultara muy
provechoso comercializar algunaAplicacin interna, una vez que est terminada
y funcionando a satisfaccin.La propia existencia de aplicativos para la
obtencin de estadsticasdesarrollados por los tcnicos de Sistemas de la
empresa auditada, y sucalidad, proporcionan al auditor experto una visin
bastante exacta de laeficiencia y estado de desarrollo de los Sistemas. La
correcta elaboracin deesta informacin conlleva el buen conocimiento de la
carga de la instalacin,as como la casi certeza de que existen Planes de
Capacidad, etc

c) AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES

La creciente importancia de las Comunicacionesha determinado que se
estudien separadamentedel mbito de Tcnica de Sistemas.
Naturalmente,siguen siendo trminos difciles en los conceptosgenerales de
Sistemas y de Arquitecturas de losSistemas Informticos.Se ha producido un
cambio conceptual muyprofundo en el tratamiento de las
comunicacionesinformticas y en la construccin de los modernosSistemas de
Informacin, basados en Redes deComunicaciones muy sofisticadas.Para el
Auditor Informtico, el entramado conceptual que constituyen las
RedesNodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no
sonsino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar
sobreeste avanzado concepto, que repetimos: Las Comunicaciones son el
SoporteFsico-Lgico de la Informtica en Tiempo Real.El auditor informtico
tropieza con la dificultad tcnica del entorno, pues ha deanalizar situaciones y
hechos alejados entre s, y est condicionado a laparticipacin del monopolio
telefnico que presta el soporte en algunos lugares.Ciertamente, la tarea del
auditor es ardua en este contexto. Como en otroscasos, la Auditoria de este
sector requiere un equipo de especialistas, expertossimultneamente en
Comunicaciones y en Redes Locales. No debe olvidarseque en entornos
geogrficos reducidos, algunas empresas optan por el usointerno de Redes
Locales, diseadas y cableadas con recursos propios.El entorno del Online
tiene una especial relevancia en la Auditoria Informticadebido al alto
presupuesto anual que los alquileres de lneas significan. Elauditor de
Comunicaciones deber inquirir sobre los ndices de utilizacin delas lneas
contratadas, con informacin abundante sobre tiempos de desuso.

Deber proveerse de la topologa de la Red de Comunicaciones,

actualizada.La des actualizacin de esta documentacin significara una grave
debilidad.La inexistencia de datos sobre cuntas lneas existen, cmo son y
dnde estninstaladas, supondra que se bordea la Inoperatividad
Informtica.Sin embargo, y como casi siempre, las debilidades ms frecuentes
eimportantes en la informtica de Comunicaciones se encuentran en
lasdisfunciones organizativas. La contratacin e instalacin de lneas va
asociadaa la instalacin de los Puestos de Trabajo correspondientes
(Monitores,Servidores de Redes Locales, Ordenadores Personales con tarjetas
deComunicaciones, impresoras, etc.). Todas estas actividades deben estar
muycoordinadas y a ser posible, dependientes de una sola organizacin.

d) AUDITORIA INFORMATICA DE DESARROLLO DE PROYECTOS

El rea de Desarrollo de Proyectos o deAplicaciones es objeto frecuente de

laAuditoria informtica.Indicando inmediatamente que la funcin deDesarrollo
es una evolucin del llamadoAnlisis y Programacin de Sistemas
yAplicaciones, trmino presente en losltimos aos. La funcin Desarrollo
englobaa su vez muchas reas, tantas comosectores informatizables tiene la
empresa.Muy escuetamente, una Aplicacin recorre las siguientes
fases:a) Prerrequisitos del Usuario (nico o plural), y del entorno.b) Anlisis
funcional.c) Anlisis orgnico. (Pre programacin y Programacin).d)
Pruebas.e) Entrega a Explotacin y alta para el Proceso.Se deduce fcilmente
la importancia de la metodologa utilizada en el desarrollode los Proyectos
informticos. Esta metodologa debe ser semejante al menosen los Proyectos
correspondientes a cada rea de negocio de la empresa,aunque
preferiblemente debera extenderse a la empresa en su conjunto.En caso
contrario, adems del aumento significativo de los costos, podrproducirse
fcilmente la insatisfaccin del usuario, si ste no ha participado ono ha sido
consultado peridicamente en las diversas fases del mismo, y nosolamente en
la fase de prerrequisitos.Finalmente, la Auditoria informtica deber comprobar
la seguridad de losprogramas, en el sentido de garantizar que los ejecutados
por la mquina sontotalmente los previstos y no otros.
Una razonable Auditoria informtica de Aplicaciones pasa indefectiblementepor
la observacin y el anlisis de estas consideraciones.a)Revisin de las
metodologas utilizadasSe analizarn stas, de modo que se asegure la
modularidad de las posiblesfuturas ampliaciones de la Aplicacin y el fcil
mantenimiento de las mismas.b)Control Interno de las AplicacionesLa Auditoria
informtica de Desarrollo de Aplicaciones deber revisar lasmismas fases que
presuntamente ha debido seguir el rea correspondiente deDesarrollo. Las
principales son:1.
Estudio de Viabilidad de la Aplicacin
.2.
Definicin Lgica de la Aplicacin
.3.
Desarrollo Tcnico de la Aplicacin
.4.
Diseo de Programas
.5.
Mtodos de Pruebas
.6.
Documentacin
.7.
Equipo de Programacin
.c)Satisfaccin de UsuariosUna Aplicacin eficiente y bien desarrollada
tericamente, deber considerarseun fracaso si no sirve a los intereses del
usuario que la solicit. Surgennuevamente las premisas fundamentales de la
informtica eficaz: fines yutilidad. No puede desarrollarse de espaldas al
usuario, sino contando con suspuntos de vista durante todas las etapas del
Proyecto. La presencia del usuarioproporcionar adems grandes ventajas
posteriores, evitar reprogramacionesy disminuir el mantenimiento de la
Aplicacin.d)Control de Procesos y Ejecuciones de Programas CrticosEl
auditor no debe descartar la posibilidad de que se est ejecutando unmdulo lo
que no se corresponde con el programa fuente que desarroll,codific y prob
el rea de Desarrollo de Aplicaciones.Se est diciendo que el auditor habr de
comprobar fehaciente ypersonalmente la correspondencia biunvoca y
exclusiva entre el programacodificado y el producto obtenido como resultado de
su compilacin y suconversin en ejecutables mediante la linkeditacin
(Linkage Editor).Obsrvense las consecuencias de todo tipo que podran
derivarse del hecho deque los programas fuente y los programas mdulos no
coincidieran provocandograves retrasos y altos costos de mantenimiento, hasta
fraudes, pasando poracciones de sabotaje, espionaje industrial-informtico,
etc.Esta problemtica ha llevado a establecer una normativa muy rgida en todo
loreferente al acceso a las Libreras de programas.

Una Informtica medianamente desarrollada y eficiente dispone de un

solo juego de Libreras de Programas de la Instalacin. En efecto, Explotacin
deberecepcionar programas fuente, y solamente fuente. Cules? Aquellos
queDesarrollo haya dado como buenos.La asumir la responsabilidad
de:1. Copiar el programa fuente que Desarrollo de Aplicaciones ha dado
porbueno en la Librera de Fuentes de Explotacin, a la que nadie mstiene
acceso.2. Compilar y linkeditar ese programa, depositndolo en la Librera
deMdulos de Explotacin, a la que nadie ms tiene acceso.3. Copiar los
programas fuente que les sean solicitados para modificarlos,arreglarlos, etc.,
en el lugar que se le indique. Cualquier cambio exigirpasar nuevamente al
punto 1.Ciertamente, hay que considerar las cotas de honestidad exigible
aExplotacin. Adems de su presuncin, la informtica se ha dotado
deherramientas de seguridad sofisticadas que permiten identificar la
personalidaddel que accede a las Libreras. No obstante, adems, el equipo
auditorintervendr los programas crticos, compilando y linkeditando
nuevamente losmismos para verificar su biunivocidad

e) AUDITORIA DE LA SEGURIDAD INFORMATICA

La seguridad en la informtica abarca los conceptosde seguridad fsica y
seguridad lgica.La Seguridad fsica se refiere a la proteccin delHardware y
de los soportes de datos, as como losedificios e instalaciones que los
albergan.Contempla las situaciones de incendios, sabotajes,robos, catstrofes
naturales, etc. Igualmente, a estembito pertenece la poltica de Seguros.La
seguridad lgica se refiere a la seguridad de usodel software, a la proteccin de
los datos, procesos y programas, as como ladel ordenado y autorizado acceso
de los usuarios a la informacin.Se ha tratado con anterioridad la doble
condicin de la Seguridad Informtica:Como rea General y como rea
Especfica (seguridad de Explotacin,seguridad de las Aplicaciones, etc.).As,
podrn efectuarse Auditorias de la seguridad global de una
InstalacinInformtica- Seguridad General-, y Auditorias de la Seguridad de un
reainformtica de terminada- Seguridad Especfica-.Las agresiones a
instalaciones informticas ocurridas en Europa y Amricadurante los ltimos
aos, han originado acciones para mejorar la SeguridadInformtica a nivel
fsico. Los accesos y conexiones indebidos a travs de las

Redes de Comunicaciones, han acelerado el desarrollo de productos

deSeguridad lgica y la utilizacin de sofisticados medios criptogrficos.La
decisin de abordar una Auditoria Informtica de Seguridad Global en
unaempresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales
alos que est sometida.Tal estudio comporta con frecuencia la elaboracin de
"Matrices de Riesgo" endonde se consideran los factores de las "Amenazas" a
las que est sometidauna instalacin y de los "Impactos" que aquellas pueden
causar cuando sepresentan.Las matrices de riesgo se presentan en cuadros de
doble entrada "Amenazas\Impacto", en donde se evalan las probabilidades de
ocurrencia delos elementos de la matriz