AUDITORIA INFORMATICA

OBJETIVOS DE LA AUDITORIA INFORMATICA:

La Auditora Informtica la podemos definir como el conjunto de procedimientos y tcnicas para evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informticas y generales prefijadas en la organizacin. La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. Esta es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software. La Auditora del Sistema de Informacin en la empresa, a travs de la evaluacin y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de informacin en que se sustenta. Los aspectos relativos al control de la Seguridad de la Informacin tiene tres lneas bsicas en la auditoria del sistema de informacin:
y

Aspectos generales relativos a la seguridad. En este grupo de aspectos habra que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmsferas agresivas, agresiones y posibles sabotajes, seguridad fsics de las instalaciones, del personal informtico, etc. Aspectos relativos a la confidencialidad y seguridad de la informacin. Estos aspectos se refieren no solo a la proteccin del material, el logicial, los soportes de la informacin, sino tambin al control de acceso a la propia informacin (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma). Aspectos jurdicos y econmicos relativos a la seguridad de la informacin. En este grupo de aspectos se trata de analizar la adecuada aplicacin del sistema de informacin en la empresa en cuanto al derecho a la intimidad y el derecho a la informacin, y controlar los cada vez ms frecuentes delitos informticos que se cometen en la empresa.

En cuanto a la Eficacia del Sistema, esta vendr determinada, bsicamente, por la aportacin a la empresa de una informacin vlida, exacta, completa, actualizada y oportuna que ayude a la adopcin de decisiones, y todo ello medido en trminos de calidad, plazo y costo. Sin el adecuado control, mediante la realizacin de auditoras al sistema de informacin, esos objetivos seran difciles de conseguir, con la siguiente repercusin en una adecuada direccin y gestin en la empresa. Uno de los aspectos ms significativos de la Auditora Informtica se refiere a los datos relativos a la Rentabilidad del Sistema, homogeneizadas en unidades econmicas de cuenta. La rentabilidad del sistema debe ser medida mediante el anlisis de tres valores fundamentales: la evaluacin de los costos actuales, la comparacin de esos costos actuales con magnitudes representativas de la organizacin, y la comparacin de los costos del sistema de informacin de la empresa con los de empresas similares, preferentemente del mismo sector de actividad. Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la rentabilidad del sistema de informacin, es lo que se analiza seguidamente. yEvalucin de los costes actuales. Conocer, en trminos econmicos, los costos que para una empresa supone su sistema de informacin, constituye uno de los aspectos bsicos de la auditora informtica. Se trata de cuantificar los costos de los distintos elementos que configuran el sistema de informacin y que en trminos generales son los siguientes: yHardware. Se trata de analizar la evolucin histrica del hardware en la empresa, justificando dicha evolucin. Es importante conocer el costo del material (unidad central, perifricos, soporte,...) durante los ltimos cinco aos. Tambin ser necesario analizar la utilizacin de cada elemento hardware de la configuracin, cifrandola en horas/mes, asegurando que la configuracin utilizada se corresponde con el menor valor utilizacin/costo, y examinar la coherencia del mismo. ySoftware. Anlisis de los costos relativos al sistema lgico, tanto en sus aspectos relativos a la explotacin (adecuacin del sistema operativo, versin del software utilizado,...) como en los aspectos relativos a la programacin de las distintas aplicaciones (prioridades de ejecucin, lenguaje utilizado, ...). yCapturas de datos. Anlisis de los costes relativos a la captura de datos, de las fuentes de informacin, tanto internas como externas de la empresa. yGrabacin de datos. Es necesario conocer tambin los costos relativos a la transcripcin de datos en los soportes adecuados (costos de personal, equipos y mquinas auxiliares). yExplotacin. Anlisis de los costos imputados a los factores relativos a la explotacin en sentido amplio (tratamiento manual, tiempos de realizacin de aplicaciones, tiempo de respuesta, control errores, etc...)
2

yAplicaciones. Se trata de evaluar los costos del anlisis funcional, el anlisis orgnico, la programacin, las pruebas de programas, preparacin de datos y costos de desarrollo de cada aplicacin medido en horas. yPersonal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categoras, equilibrio entre esas categoras, remuneraciones salariales, horas extraordinarias), se trata de analizar los costos de personal directamente relacionado con el sistema de informacin. En este apartado debern tenerse en cuenta tambin los costos relativos a la formacin del personal. yDocumentacin. Es necesario no slo verificar que la documentacin relativa al sistema de informacin sea clara, precisa, actualizada y completa, sino tambin los costos relativos a su elaboracin y actualizacin. yDifusin de la informacin. Se trata de evaluar los costos de di-fundir la informacin, es decir, hacer llegar a los usuarios del sistema la informacin demandada o aquella considerada necesaria en los distintos niveles de la organizacin. Se trata, en definitiva, de conocer y analizar los costos que para la empresa supone disponer del sistema de informacin. 2) Comparacin de los costos actuales con magnitudes representativas de la organizacin. No es suficiente conocer los costos totales del sistema de informacin; es necesario, adems, comparar este costo con magnitudes representativas de la empresa. Se trata de conocer los porcentajes que en relacin con el costo total son imputables al hardware, al software, a la captura de datos, grabacin, explotacin, aplicaciones, suministros, mantenimiento, personal, documentacin y difusin de la informacin. Conocer la relacin de costos/ahorro/productividad del personal (analistas, programadores, operadores, auxiliares, etc.) y analizar la evolucin del costo de la hora til de la memoria central. Pero ese anlisis de costos adquiere su especial significado cuando stos se relacionan con magnitudes representativas de la empresa, por ejemplo: la cifra de negocios, la cifra de ventas, etc. El dato de costos del sistema y su comparacin con otras magnitudes constituye una valiosa informacin que deber ser especificada en las conclusiones de la auditora informtica y que tendr una notable incidencia respecto a los planteamientos de futuro del sistema de informacin. 3) Comparacin de los costos del sistema de informacin de la empresa con los de empresas similares. El anlisis de costos y su comparacin con otras magnitudes representativas, debe completarse, siempre que ello sea posible, con los costos de los sistemas de informacin de empresas similares a la que es objeto de auditora.

Es imprescindible conocer los costos que representa la obtencin, tratamiento y difusin de la informacin en la empresa. La informacin es un recurso de la empresa y por lo tanto un activo de la misma. De ah la importancia de poder disponer de una comparacin de los costos del sistema de informacin con los de otras empresas. Esa comparacin debe realizarse con empresas del mismo sector. Ello permite comparar el nivel de costos del sistema de informacin de la empresa auditada con la media del sector. Los tres aspectos analizados en relacin con los costos aportarn una importante informacin que permitir adoptar correctas decisiones, a partir de la auditora realizada sobre el sistema de informacin de la empresa. PRINCIPIOS Y REGLAS DE AUDITORIA.
y

Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de stas los medios y las acciones de investigacin que se consideren necesarios y suficientes.

La auditora informtica slo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicacin, verificacin de la aplicacin,etc... La finalidad est en emitir un juicio sobre el mangement del sistema de Informaciones.
y

Regla : la auditora informtica consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberan ser.

La auditora informtica siempre llegar a una conclusin cuando los medios asignados sean suficientes y las acciones sean posibles. La auditora informtica jams debe empaar su finalidad ni limitarse a lo que es ms sencillo de examinar,so pena de que el juicio que emita carezca de valor al caer fuera de la cuestin verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de todo el control.
y

Regla: los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditora, siendo coherentes entre s y, desde luego,fiables y seguros.

En determinados casos la tarea del auditor puede ser muy compleja, para ello deber dividirla en funciones obteniendo conclusiones parciales de stas y establecer un plan de aquellas que resulten ser ms significativas. Pese a la apariencia de complejidad de la auditora informtica apreciamos cmo el buen uso del ordenador proporciona una mayor garanta y fiabilidad que cuando ste no es utilizado.

MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA. yMEDIOS TECNICOS: A.1) Equipo fsico y locales. A.2) Software bsico. yMEDIOS HUMANOS. yMEDIOS FINANCIEROS. A.1) Equipo fsico y locales:
y

Comprende el ordenador propiamente dicho, el hardware anejo y los soportes fsicos de los ficheros, as como los locales donde se instalan estas mquinas. Aspectos a tener en cuenta:

1.- Los equipos fsicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas como cuantitativas. 2.- Dada la evolutividad de los objetivos el equipo fsico debe ser tambin evolutivo sin dejar de resultar adecuado y modular. 3.- Cada componente del equipo fsico de formar parte de un todo homogneo. 4.- Otros criterios de eleccin son la fiabilidad del material y la rapidez de las restauraciones. 5.- Para garantizar la consecucin de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer de un plan preventivo y curativo para garantizar esa seguridad. El plan preventivo debe prever catstrofes generales ( incendio, inundacin,...) as como otros sucesos ( cortes de fludo elctrico, aumentos de tensin, presencia de polvo,...). El plan curativo est formado por soluciones de emergencia en circunstancias diversas. Resulta fundamental la salvaguarda en lugares distintos de un nmero suficiente de generaciones de ficheros, de programas y su modo de empleo. 6.- Una documentacin actualizada y disponible debe describir las caracterstica tcnicas del equipo fsico.
y

Herramientas de auditora especfica:

y La auditora del equipo fsico debe comprobar si se aplican las reglas anteriores: adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para ello, el auditor debe estar provisto de unos conocimientos tcnicos slidos. y El auditor valorar la adaptacin a los objetivos y a las acciones tomando como base de juicio la evolucin histrica. y El inters del auditor por las ejecuciones trs la adaptacin a las finalidades. y Estimacin de la homogeneidad de los componentes y su fiabilidad atendiendo a las estadsticas de tiempo de utilizacin y la conservacin de grabaciones en caso de fallos. y El estudio del presupuesto de seguridad evaluando los medios en funcin del sevicio que prestan y conforme a la probabilidad de fallo que pueden tener. Tambin se examinar la seguridad del material suplementario y los formularios que contienen talonarios y letras. La conservacin se evala a partir de los contratos y de los informes de indisponibilidad. Puede ser preventiva (mantenimiento) o curativa (restauracin). A.2) Software bsico:
y

Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo ms compleja es su evaluacin. Aspectos a tener en cuenta:

1.-El software bsico se adapta a las finalidades siempre y cuando permita una correcta utilizacin del hardware con el lenguaje y en el modo de explotacin elegidos para ejecutar las aplicaciones. El software posee muchas posibilidades pero lo ms interesante a nivel prctico es la posibilidad de poder incorporarse en gran parte al equipo fsico. 2.-La evolutividad del software exige una transparencia de su dependencia con respecto a las aplicaciones del equipo fsico. Los lmites de las posibilidades del software deben encontrarse bastante alejados, as como los obstculos no deben ser tan rgidos. Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro de un estudio como ya ocurre con el hardware. 3.-Los componentes del software bsico deben estar adaptados entre s y con la configuracin del equipo fsico siempre en funcin de la finalidad.

Por otro lado, tambin ha de adaptarse a los medios humanos, tanto para aquellos que desarrollan las aplicaciones como tambin para los que las usan. 4.-La fiabilidad del software bsico se consigue mediante el registro de las anomalas para su posterior anlisis y rectificacin por el constructor aunque el software debe emplear ayudas para diagnstico de fallos. Resulta esencial que el software permita implantar los puntos de enlace eficazmente utilizables mediante la reinicializacin en la eventualidad de un mal funcionamiento, como una adecuada recuperacin de los ficheros. En definitiva, la fiabilidad de una base de datos est sealada en su sistema de gestin. 5.-Para la seguridad del software bsico se requiere una proteccin contra los accesos prohibidos, especialmente en el modo interactivo y en un sistema de base de datos. Se aconseja la proteccin de los programas y datos temporales alojados en la memoria central, as como recomendable la rpida destuccin de ficheros con informacin confidencial. Las distintas protecciones del software deben registrar el intento de acceso ilegal. Aunque resulta difcil obtener una proteccin eficaz contra el acceso no autorizado en pequeos sistemas debiendo colocar los ficheros en soportes que slo se manejen a la hora de su empleo. 6.-Resulta importante que el software contenga una documentacin completa y actualizada que le sirva de referencia al usuario.
y

Herramienta de auditora especfica:

a) La auditora del software bsico, en primer lugar, puede tener por fin la evaluacin de su adaptacin y de su evolutividad as como de su homogeneidad con los otros componentes. Igualmente, la auditora del software bsico puede versar sobre la fiabilidad y/o la seguridad. b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer ms que comprobar reducidos fragmentos, incluso cuando la documentacin existe y est bien hecha. Es indispensable que el auditor adquiera los conocimientos para comprender el funcionamiento y poder intentar encontrar las deficiencias o la mala realizacin como si fuera un sistema de gestin de ficheros ordinarios. c) El auditor ha de examinar la consulta de la documentacin pues sto le indica la complejidad del software o bien su falta de actualizacin.
7

B) Medios humanos.
y

Aspectos a tener en cuenta:

1.- Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en una empresa se ha de respetar la realizacin de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la ostilidad particular. 2.- Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un escaso nmero de miembros, incluso resulta aconsejable una rotacin de las responsabilidades. 3.- Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente. Tambin es importante una formacin y una informacin suficiente para que el personal tenga una visin bastante amplia de los problemas y de las interrelaciones. 4.- Se ha de proceder a una verificacin de las informaciones transmitidas y tratadas por cada miembro del personal. Las comprobaciones deben ser tales que se detecte con rapidez el error humano y se rectifique antes de que se produzcan grandes consecuencias. La documentacin e informacin recprocas deben ser suficientes para que nadie resulte insustituible. 5.- La seguridad comienza por la seleccin del personal y contina por el control mutuo en la realizacin de las tareas ms importantes. An as, es preciso precaverse contra un posible sabotaje directo o indirecto. 6.- Sin informacin no hay motivacin, por tanto los fines y mtodos adoptados han de ser comprendidos y aceptados, a la vez que la formacin del personal es en s mismo una finalidad.
y

Herramientas de auditora especfica:

y Es conveniente tener el historial general del servicio y de los movimientos del personal. b) Comprobar la adecuacin al plan de los medios humanos por medio de los organigramas y fichas de funcin. c) Los medios humanos del sistema de informaciones son tambin piezas externas al servicio informtico.

d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas de consola nos indican la fiabilidad de las operaciones de explotacin. La separacin de funciones, un examen de todas las protecciones materiales y lgicas y un conocimiento de los modos operativos proporcionan en su conjunto la seguridad humana. La realizacin de cursos como la utilizacin de libros y revistas conllevan una mejor documentacin y una mayor formacin. C) Medios financieros.
y

La eleccin de los medios financieros ha de considerarse de forma global. No slo consiste en determinar qu equipos fsicos, programas o realizaciones cuestan ms o menos, sino tambin abarca otros aspectos, adems del econmico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc.... Aspectos a tener en cuenta:

1.- La adecuacin de los medios financieros a la finalidad se mide por la proporcin entre los gastos exigidos y los resultados (financieros o no) obtenidos. Los mtodos de control de gestin y contabilidad presupuestaria clsicos sirven para prever y posteriormente controlar la adecuacin a los objetivos. La evolutividad implica un presupuesto no slo flexible sino modulado en el tiempo, ya que los costes son importantes. 2.- Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares de homogeneidad de los medios financieros. Tambin es muy til verificar peridicamente si los costes imputados son todava competitivos con relacin a un servicio exterior. 3.- Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera lugar a una misma valoracin. Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y agrupaciones efectuados deben ser legtimos. El trabajo del personal debe ser registrado o repartido segn conceptos para que las cifras conserven algn sentido. 4.- La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin de hardware y el software. A la hora de la entrega de los equipos informticos, el contrato debe recoger un plan y un informe de gastos que condujo a su eleccin. La garanta de fiabilidad material reside en

una clusula que fija el plazo de intervencin, en caso de avera, y el grado de fiabilidad de los componentes. Tambin puede contratarse un seguro para una garanta eficaz de los equipos. 5.- Tanto los contratos de adquisicin y seguro como los documentos contables comprenden la documentacin sobre los medios financieros.
y

Herramientas de auditora especfica:

a) Unos mnimos conocimientos por el auditor a nivel de contabilidad analtica y presupuestaria as como de derecho comercial y seguros, con lo que podr comprobar la existencia y la adecuacin de los presupuestos de inversin, la correccin de las previsiones y medios de control, as como la forma de financiacin. b) Para la seguridad de los medios financieros el auditor consultar todos los documentos contractuales que vinculan a la empresa.

10