Auditoria Informtica

Introduccion


La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informtica. El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinnimo de que, en dicha entidad, antes de realizarse la auditoria, ya se haban detectado fallas.

El concepto de auditoria es mucho ms que esto. La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or.

Conceptos de Auditoria Informtica



Es un examen que se realiza con carcter objetivo, crtico, sistemtico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informticos, de la gestin informtica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio. Consiste en la revisin y evaluacin de los controles, sistemas, procedimientos de informtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participa en el procesamiento de la informacin, a fin de que por medio de conocimientos profesionales se logre una utilizacin ms eficiente y segura de la informacin que servir para la adecuada toma de decisiones. Mediante una revisin adecuada del sistema de procesamiento electrnico de datos y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para el control del cliente.

Conceptos de Auditoria Informtica



La Auditoria de Tecnologia de Informacion (T.I.)como se le conoce actualmente, (Auditoria informtica o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolucin de la tecnologa informtica de los ltimos 10 aos. En algunos pases altamente desarrollados es catalogada como una actividad de apoyo vital para el mantenimiento de la infraestructura crtica de una nacin, tanto en el sector pblico como privado, en la medida en que la INFORMACION es considerada un activo tan o ms importante que cualquier otro en una organizacin. Existe pues, un cuerpo de conocimientos, normas, tcnicas y buenas practicas dedicadas a la evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la INFORMACION tratada y almacenada a travs del computador y equipos afines, as como de la eficiencia, eficacia y economa con que la administracin de un ente estn manejando dicha INFORMACION y todos los recursos fsicos y humanos asociados para su adquisicin, captura, procesamiento, transmisin, distribucin, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinin o juicio, para lo cual se aplican tcnicas de auditoria de general aceptacin y conocimiento tcnico especfico

OBJETIVOS DE LA AUDITORIA INFORMATICA



La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. Esta es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software.

Alcance de la Auditoria Informtica



  

El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo*? Se comprobar que los controles de validacin de errores son adecuados y suficientes*? La definicin de los alcances de la auditoria compromete el xito de la misma.

Caractersticas de la Auditora Informtica



La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditoria de Inversin Informtica. Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.

Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditora de Organizacin Informtica. Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditora parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Tipos y clases de Auditoras



El control del funcionamiento del departamento de informtica con el exterior, con el usuario se realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el apoyo continuado de su Direccin frente al exterior. Revisar estas interrelaciones constituye el objeto de la Auditora Informtica de Direccin. Estas tres auditoras, mas la auditora de Seguridad, son las cuatro Areas Generales de la Auditora Informtica ms importantes. Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditora Informtica ms importantes

Auditoria Informtica de Explotacin



La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo: listados impresos, ficheros soportados magnticamente para otros informticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. . La explotacin informtica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotacin Informtica se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad.

Auditoria Informtica de Explotacin



La transformacin se realiza por medio del Proceso informtico, el cual est gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario. Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. La Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios grupos.

Auditoria Informtica de Explotacin

 

Control de Entrada de Datos Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a Norma. Planificacin y Recepcin de Aplicaciones: Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones explotadas. Se inquirir sobre la anticipacin de contactos con Desarrollo para la planificacin a medio y largo plazo

 

Centro de Trabajos:

Control

Seguimiento

de

Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso estn permanentemente activas y la funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotacin.

Auditora Informtica de Desarrollo de Proyectos o Aplicaciones

revisin del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El anlisis se basa en cuatro aspectos fundamentales:

Revisin de las metodologas utilizadas:

Se analizaran stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. Control Interno de las Aplicaciones: se debern revisar las mismas fases que presuntamente han debido seguir el rea correspondiente de Desarrollo:
      

Estudio de Vialidad de la Aplicacin Definicin Lgica de la Aplicacin. Desarrollo Tcnico de la Aplicacin. Diseo de Programas. Mtodos de Pruebas. Documentacin. Equipo de Programacin

Satisfaccin de usuarios:

Una Aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.

 

Control de Procesos y Ejecuciones de Programas Crticos: Se ha de comprobar la correspondencia biunvoca y exclusiva entre el programa codificado y su compilacin. Si los programas fuente y los programa mdulo no coincidieran podrase provocar, desde errores de bulto que produciran graves y altos costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informativo, etc.

Auditora Informtica de Sistemas



Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de Sistemas. Sistemas Operativos: Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. Software Bsico: Es fundamental para el auditor conocer los productos de software bsico que han sido facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de comprobacin de que la computadora podra funcionar sin el producto adquirido por el cliente. En cuanto al Software desarrollado por el personal informtico de la empresa, el auditor debe verificar que ste no agreda ni condiciona al Sistema

 

 

 

 

Software de Teleproceso (Tiempo Real): No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones anteriores son vlidas para ste tambin Tunning: Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Tcnica de Sistemas. El tunning posee una naturaleza ms revisora, establecindose previamente planes y programas de actuacin segn los sntomas observados.

 

Administracin de Base de Datos: El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de la empresa. La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos debera asegurarse que Explotacin conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los datos, as como la ausencia de redundancias entre ellos.

 

Auditora Informtica de Comunicaciones y Redes:

revisin de la topologa de Red y determinacin de posibles mejoras, anlisis de caudales y grados de utilizacin.

Auditora de la Seguridad informtica

 

abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. La seguridad fsica se refiere a la proteccin del hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan, contemplando las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.

Herramientas y Tcnicas para la Auditora Informtica



Cuestionarios

Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos. :Caractersticas:  Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias.


Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor.

1. 2.

3.

VENTAJAS: Ahorra tiempo Aporta informacin generalizada Facilita la confidencialidad

1.

2.

3.

DESVENTAJAS Responde a objetivos descriptivos Impide profundizar en las respuestas, es superficial Resulta difcil de realizar

Diseo de cuestionario: El ttulo del trabajo debe estar al inicio del cuestionario. Hay que incluir instrucciones breves, pero incluirlas. Los puntos importantes deben ir cercanos al inicio del cuestionario, despus de las preguntas interesantes. Hay que numerar las preguntas. Es importante agrupar las preguntas en secciones lgicas. Debe haber una categora para cada posible respuesta, pues si se omite una opcin, se forzar al que responde a contestar de una manera que no refleje su respuesta. Por eso en ocasiones se necesita abrir una opcin de "otros" con un rengln amplio para dejar esa parte de la pregunta abierta. Tambin, a veces, es necesario incluir una opcin de "no s", pues si no existe sta, el sujeto puede seleccionar cualquier respuesta simplemente para no dejarla en blanco.

 

Entrevistas La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente.

Checklist El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas normales, que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.

  

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de filosofa de calificacin o evaluacin: Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo) Checklist Binaria Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmeticamente, equivalen a 1(uno) o 0(cero), respectivamente. Ejemplo de Checklist Binaria: Se supone que se est realizando una Revisin de los mtodos de pruebas de programas en el mbito de Desarrollo de Proyectos. Trazas y/o Huellas Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Muy especialmente, estas Trazas se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo

 

 

 

  

Software de Interrogacin: Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de auditora>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico. Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin. En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.