Descargar

La Auditoría (Definiciones, métodos, tipos y ejemplos)

Enviado por Rojas E. Antonio

    2. La Auditoría interna y externa
    3. Alcances de la Auditoría informática
    4. Síntomas de necesidad de una Auditoría informática
    5. Objetivo fundamental de la Auditoría informática
    6. Auditoria informática de desarrollo de proyectos o aplicaciones
    7. Auditoria informática de sistemas
    8. Auditoria informática de comunicaciones y redes
    9. Auditoría de la seguridad informática
    10. Estudio inicial
    11. Entorno operacional
    12. Aplicaciones bases de datos y ficheros
    13. CRMR (Computer Resource Management Review)
    14. Ciclo de vida y seguridad
    15. Bibliografía
    16. Conclusiones

    Introducción

    Inicialmente, la auditoria se limito a las verificaciones de los registros contables, dedicándose a observar si los mismos eran exactos. Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros. Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; no obstante son muchos los que todavía la juzgan como portadora exclusiva de aquel objeto remoto, o sea, observar la veracidad y exactitud de los registros. En forma sencilla y clara, escribe Holmes

    "… la auditoria es el examen de las demostraciones y registros administrativos. El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos."

    A finales del siglo XX, los Sistemas Informáticos han constituido las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la Empresa. Ya lo decía Holmes profesor de estudios avanzados de auditoria de Harvard.

    La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. En consecuencia, los sistemas informáticos forman parte de lo que se ha denominado el "Management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente a la empresa, más bien ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

    El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se han tomado las frases "Tiene Auditoria" "Es Auditable" como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas.

    El concepto de auditoria es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etcétera. La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

    Si consultamos el boletín de normas de auditorias del Instituto Venezolano de contadores nos dice: "La auditoria es una actividad meramente mecánica (en algunos casos), que implica la aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable." Para que una sección o sistema sea auditable o auditado debe poseerse mecanismos de contrapartes para que sea efectivo. De todo esto sacamos como deducción que la auditoria es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

    Los principales objetivos que constituyen a la auditoria Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

    1. La auditoria interna, es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoria interna existe por expresa decisión de la empresa, o sea, que puede optar por su disolución en cualquier momento.

      Por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditoria interna, debido al mayor distanciamiento entre auditores y auditados.

      La auditoria informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoria externa, las cuales no son tan perceptibles como en las auditorias convencionales. La auditoria interna tiene la ventaja de que puede actuar periódicamente realizando revisiones globales, como parte de su plan anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las auditorias, especialmente cuando las consecuencias de las recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costos de tal sistema, con voz, pero a menudo sin voto, La informática trata de satisfacer lo más adecuadamente posible aquellas necesidades de la empresa, y esta necesita controlar su informática ya que su propia gestión esta sometida a los mismos procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

      En cuanto a empresas se refiere, solamente las más grandes pueden poseer una auditoria propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la auditoria interna de la empresa cuando ésta existe. Finalmente, la propia informática requiere de su propio grupo de control interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura informática ya no sería independiente. Hoy, ya existen varias organizaciones informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.

    2. LA AUDITORIA INTERNA Y EXTERNA.

      El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Para esto se necesitan evaluar dos puntos convergentes que evalúen el alcance.

      Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.

      Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

    3. Alcances de la Auditoria Informática.
    4. Síntomas de Necesidad de una Auditoría Informática.

    Las empresas acuden a las auditorias externas ó internas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

    • Síntomas de descoordinación y desorganización.
    • No coinciden los objetivos de la informática de la compañía.
    • Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

    Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante.

    • Síntomas de mala imagen e insatisfacción de los usuarios.
    • No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.
    • No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
    • No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
    • Síntomas de debilidades económico – financiero.
      • Incremento desmesurado de costes.
      • Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
      • Desviaciones Presupuestarias significativas.
      • Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
    • Síntomas de Inseguridad. (Evaluación de nivel de riesgos)
      • Seguridad Lógica.
      • Seguridad Física.
      • Confidencialidad.

    Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales. Continuidad del Servicio, es un concepto aún más importante que la seguridad, establece las estrategias de continuidad entre fallos mediante Planes de Contingencia (*) totales y locales.

    Centro de proceso de datos fuera de control, si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

    (*) Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

    1. La operatividad es una función de mínimos consistente en que la organización y las maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoria debe iniciar su actividad cuando los sistemas están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial. La operatividad de los sistemas ha de constituir entonces la principal preocupación del auditor informático.

      Los Controles Técnicos Generales, son los que se realizan para verificar la compatibilidad de funcionamiento simultáneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del software abonado.

      Puede ocurrir también con los productos de software básico desarrollados por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están ubicados en centros de proceso de datos geográficamente alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada centro de proceso de datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los centros de proceso de datos si no existen productos comunes y compatibles. Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parámetros de asignación automática de espacio en disco (*) que dificulten o impidan su utilización posterior por una Sección distinta de la que lo generó. También, los periodos de retención de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones mencionadas.

      (*) Parámetros de asignación automática de espacio en disco: Todas las aplicaciones que se desarrollan son super-parametrizadas, es decir, que tienen un montón de parámetros que permiten configurar cual va a ser el comportamiento del sistema. Una Aplicación va a usar para fin y tal cosa posee cierta cantidad de espacio en disco. Si uno no analizó cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un día la Aplicación reviente, se caiga. Si esto sucede en medio de la operatoria y la aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.

      a) Control de Entrada de Datos

      Se analizará la captura de la información en soporte compatible con los sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.

      b) Planificación y Recepción de Aplicaciones.

      Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos de la documentación de las aplicaciones explotadas. Se inquirirá sobre la anticipación de contactos con desarrollo para la planificación a medio y largo plazo.

      c) Centro de Control y Seguimiento de Trabajos.

      Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación Informática ejecuta procesos por cadenas o lotes sucesivos "Batch (*)", o en tiempo real "Tiempo Real (*)". Mientras que las Aplicaciones de Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de explotación. En muchos centros de proceso de datos, éste órgano recibe el nombre de Centro de Control de Batch. Este grupo determina el éxito de la explotación, en cuanto que es uno de los factores más importantes en el mantenimiento de la producción.

      (*) Batch y Tiempo Real: Las aplicaciones que son Batch son aplicaciones que cargan mucha información durante el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida, por ejemplo, reportes. Es decir, recolecta información durante el día, pero todavía no procesa nada. Es solamente un tema de "Data Entry" que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al día siguiente. Por el contrario las aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la información correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.

    2. Objetivo fundamental de la auditoría informática.
    3. AuditorIa Informática de Desarrollo de Proyectos o Aplicaciones.

    La función de desarrollo es una evolución del llamado análisis y programación de sistemas y aplicaciones. A su vez, engloba muchas áreas, tantas como sectores tiene la empresa. Muy concisamente, una Aplicación recorre las siguientes fases:

    • Animaciones (Periquitos, Adornos), del Usuario (único o plural) y del entorno.
    • Análisis funcional.
    • Diseño.
    • Análisis orgánico (Pre-programación y Programación).
    • Pruebas.
    • Entrega a Explotación y alta para el Proceso.

    Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario. Finalmente, la auditoria deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.

    Una auditoria de Aplicaciones pasa indefectiblemente por la observación y el análisis de cuatro consideraciones:

    1. Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.
    2. Control interno de las aplicaciones: se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo:

    • Estudio de Vialidad de la Aplicación.
    • Diseño de Programas.
    • Definición Lógica de la Aplicación.
    • Métodos de Pruebas.
    • Desarrollo Técnico de la Aplicación.
    • Documentación.
    • Equipo de Programación
    		 
    1. Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó. La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación.
    2. Control de procesos y ejecuciones de programas críticos: El auditor no debe descartar la posibilidad de que se esté ejecutando un módulo que no se corresponde con el programa fuente que desarrolló, codificó y probó el área de Desarrollo de Aplicaciones.
    1. AuditorIa Informática de Sistemas.

    Se ocupa de analizar la actividad que se conoce como técnica de sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones, líneas y redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.

    Sistemas Operativos

    Engloba los subsistemas de teleproceso, entrada/salida, etc. Debe verificarse en primer lugar que los sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los sistemas operativos permite descubrir las posibles incompatibilidades entre otros productos de software básico adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de las librerías más importantes de los sistemas, por si difieren de los valores habituales aconsejados por el constructor.

    Software Básico

    Es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste no agreda ni condiciona al sistema. Igualmente, debe considerar el esfuerzo realizado en términos de costes, por si hubiera alternativas más económicas.

    Software de Teleproceso (Tiempo Real)

    No se incluye en software básico por su especialidad e importancia. Las consideraciones anteriores son válidas para éste también.

    Tunning

    Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los subsistemas y del sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de técnica de sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Se pueden realizar:

    • Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema.
    • De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y están planificados y organizados de antemano.

    El auditor deberá conocer el número de Tunning realizados en el último año, así como sus resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de confianza de las observaciones.

    Optimización de los Sistemas y Subsistemas

    Técnica de sistemas debe realizar acciones permanentes de optimización como consecuencia de la realización de tunning’s preprogramados o específicos. El auditor verificará que las acciones de optimización* fueron efectivas y no comprometieron la operatividad de los Sistemas ni el plan crítico de producción diaria de explotación.

    (*) Optimización, Por ejemplo: cuando se instala una aplicación, normalmente está vacía, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la aplicación se va poniendo cada vez más lenta; porque todas las referencias a tablas es cada vez más grande, la información que está moviendo es cada vez mayor, entonces la aplicación se tiende a poner lenta. Lo que se tiene que hacer es un análisis de performance, para luego optimizarla, mejorar el rendimiento de dicha aplicación.

    Administración de Base de Datos

    El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de técnica de sistemas, y de acuerdo con las áreas de desarrollo y usuarios de la empresa. Al conocer el diseño y arquitectura de éstas por parte de sistemas, se les encomienda también su administración. Los auditores de sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia que técnica de sistemas tiene sobre la problemática general de los usuarios de bases de datos.

    La administración tendría que estar a cargo de explotación. El auditor de base de datos debería asegurarse que explotación conoce suficientemente las que son accedidas por los procedimientos que ella ejecuta. Analizará los sistemas de salvaguarda existentes, que competen igualmente a explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos.

    Investigación y Desarrollo

    Como empresas que utilizan y necesitan de informáticas desarrolladas, saben que sus propios efectivos están desarrollando aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisición por otras empresas, haciendo competencia a las compañías del ramo.

    La auditoria informática deberá cuidar de que la actividad de investigación y desarrollo no interfiera ni dificulte las tareas fundamentales internas. La propia existencia de aplicativos para la obtención de estadísticas desarrollados por los técnicos de sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visión bastante exacta de la eficiencia y estado de desarrollo de los sistemas.

    1. Para el informático y para el auditor informático, el entramado conceptual que constituyen las redes nodales, líneas, concentradores, multiplexores, redes locales, etcétera. No son sino el soporte físico-lógico del tiempo real. El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte.

      Como en otros casos, la auditoria de este sector requiere un equipo de especialistas, expertos simultáneamente en comunicaciones y en redes locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de redes locales, diseñadas y cableadas con recursos propios).

      El auditor de comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la red de comunicaciones, actualizada, ya que la des-actualización de esta documentación significaría una grave debilidad.

      La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los puestos de trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.), todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.

    2. Auditoria Informática de Comunicaciones y Redes.
    3. Auditoría de la Seguridad informática.

    La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

    En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco.

    Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

    La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etcétera. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

    "… Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.…"

    Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.

    El sistema integral de seguridad debe comprender:

    • Elementos administrativos
    • Organización y división de responsabilidades
    • Seguridad física y contra catástrofes (incendio, terremotos, etc.)
    • Prácticas de seguridad del personal
    • Elementos técnicos y procedimientos
    • Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
    • Aplicación de los sistemas de seguridad, incluyendo datos y archivos
    • El papel de los auditores, tanto internos como externos
    • Planeación de programas de desastre y su prueba.
    1. ESTUDIO INICIAL.

    Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente:

    Organización.

    Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:

    • Organigrama
    • Departamentos
    • Relaciones Jerárquicas y funcionales entre órganos de la Organización
    • Flujos de Información:
      • Número de Puestos de trabajo
      • Número de personas por Puesto de Trabajo
    1. Entorno Operacional.

    El equipo de auditoria informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

    1. Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.

      b) Arquitectura y configuración de Hardware y Software:

      Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las compañías.

      Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.

    2. Situación geográfica de los Sistemas:
    3. Inventario de Hardware y Software:

    El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPU’s, unidades de control local y remotas, periféricos de todo tipo, etc. El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.

    d) Comunicación y Redes de Comunicación:

    En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa.

    1. Aplicaciones bases de datos y ficheros.

    El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:

    1. Volumen, antigüedad y complejidad de las Aplicaciones, deberán revisar las aplicaciones según complejidad, tamaño y antigüedad esto para tomar las medidas necesarias de seguridad y control de la aplicación, de esta manera la documentación de la misma nos permitiría administrar eficientemente la seguridad de la misma.
    2. Metodología del Diseño, se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto.
    3. Documentación, la existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La documentación de programas disminuye gravemente el mantenimiento de los mismos.
    4. Cantidad y complejidad de Bases de Datos y Ficheros, el auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática.
    1. CRMR (Computer resource management review).

    Definición de la metodología CRMR.

    CRMR son las siglas de <<Computer resource management review>>; su traducción más adecuada, Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere destacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por medio del management.

    Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoria informática global, pero proporciona soluciones más rápidas a problemas concretos y notorios.

    Estrategia y logística del ciclo de Seguridad

    Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3:

    Fase 1. Estrategia y logística del ciclo de seguridad

    1. Designación del equipo auditor.
    2. Asignación de interlocutores, validadores y decisores del cliente.
    3. Complementación de un formulario general por parte del cliente, para la realización del estudio inicial.

    Con las razones por las cuales va a ser realizada la auditoria (Fase 0), el equipo auditor diseña el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en función del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del punto anterior.

    Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La adecuación de estos se realiza mediante un desarrollo logístico, en el que los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinación y distribución de los mencionados recursos, determina a su vez la eficiencia y la economía del Proyecto. Los planes del equipo auditor se desarrollan de la siguiente manera:

    1. Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de ser heterogéneo en cuanto a especialidad, pero compacto.
    2. Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores, para las peticiones de información, coordinación de entrevistas, etc.

      Según los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estará en disposición de comenzar la "tarea de campo", la operativa auditora del Ciclo de Seguridad.

      Ponderación de los Sectores Auditados

      Este constituye la Fase 2 del Proyecto y engloba las siguientes actividades; Ponderación de sectores del ciclo de seguridad.

    3. Mediante un estudio inicial, del cual forma parte el análisis de un formulario exhaustivo, también inicial, que los auditores entregan al cliente para su complementación.
    4. Asignación de pesos técnicos. Se entienden por tales las ponderaciones que el equipo auditor hace de los segmentos y secciones, en función de su importancia.
    5. Asignación de pesos políticos. Son las mismas ponderaciones anteriores, pero evaluadas por el cliente.
    6. Asignación de pesos finales a los Segmentos y Secciones. El peso final es el promedio del peso técnico y del peso político. La Subsecciones se calculan pero no se ponderan.

    Se pondera la importancia relativa de la seguridad en los diversos sectores de la organización informática auditada.

    Supuestos de aplicación.

    En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficiencias organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un Centro de Procesos de Datos. El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

    • Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
    • Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el momento oportuno.
    • Se genera con alguna frecuencia información errónea por fallos de datos o proceso.
    • Existen sobrecargas frecuentes de capacidad de proceso.
    • Existen costes excesivos de proceso en el Centro de Proceso de Datos.

    Efectivamente, son éstas y no otras las situaciones que el auditor informático encuentra con mayor frecuencia. Aunque pueden existir factores técnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestión. Caso Práctico de una auditoria de Seguridad Informática <<Ciclo de Seguridad>>

    A continuación, un caso de auditoria de área general para proporcionar una visión más desarrollada y amplia de la función auditora. Es una auditoria de Seguridad Informática que tiene como misión revisar tanto la seguridad física del Centro de Proceso de Datos en su sentido más amplio, como la seguridad lógica de datos, procesos y funciones informáticas más importantes de aquél.

    1. Ciclo de Vida y Seguridad.

    El objetivo de esta auditoria de seguridad es revisar la situación y las cuotas de eficiencia de la misma en los órganos más importantes de la estructura informática. Para ello, se fijan los supuestos de partida:

    El área auditada es la Seguridad. El área a auditar se divide en: Segmentos.

    Los segmentos se dividen en: Secciones.

    Las secciones se dividen en: Subsecciones.

    De este modo la auditoria se realizara en 3 niveles.

    Los segmentos a auditar, son:

    • Segmento 1: Seguridad de cumplimiento de normas y estándares.
    • Segmento 2: Seguridad de Sistema Operativo.
    • Segmento 3: Seguridad de Software.
    • Segmento 4: Seguridad de Comunicaciones.
    • Segmento 5: Seguridad de Base de Datos.
    • Segmento 6: Seguridad de Proceso.
    • Segmento 7: Seguridad de Aplicaciones.
    • Segmento 8: Seguridad Física.

    Se darán los resultados globales de todos los segmentos y se realizará un tratamiento exhaustivo del Segmento 8, a nivel de sección y subsección. Conceptualmente la auditoria informática en general y la de Seguridad en particular, ha de desarrollarse en seis fases bien diferenciada.

    Conclusiones

    El auditar, es el proceso de acumular y evaluar evidencia, realizando por una persona independiente y competente acerca de la información cuantificable de una entidad económica especifica, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidos.

    Su importancia es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria. El factor tiempo obliga a cambiar muchas cosas, la industria, el comercio, los servicios públicos, entre otros. Al crecer las empresas, la administración se hace más complicada, adoptando mayor importancia la comprobación y el control interno, debido a una mayor delegación de autoridades y responsabilidad de los funcionarios.

    Debido a todos los problemas administrativos sé han presentado con el avance del tiempo nuevas dimensiones en el pensamiento administrativo.

    Una de estas dimensiones es la auditoria administrativa la cual es un examen detallado de la administración de un organismo social, realizado por un profesional (auditor), es decir, es una nueva herramienta de control y evaluación considerada como un servicio profesional para examinar integralmente un organismo social con el propósito de descubrir oportunidades para mejorar su administración.

    Tomando en consideración todas las investigaciones realizadas, podemos concluir que la auditoria es dinámica, la cual debe aplicarse formalmente toda empresa, independientemente de su magnitud y objetivos; aun en empresas pequeñas, en donde se llega a considerar inoperante, su aplicación debe ser secuencial constatada para lograr eficiencia.

    La principal conclusión a la que hemos podido llegar, es que toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, el 90 por ciento de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente. La empresa hoy, debe/precisa informatizarse.

    El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá a adelante. En cuanto al trabajo de la auditoria en sí, podemos remarcar que se precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoria de Sistemas debe hacerse por gente altamente capacitada, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.

    Bibliografía

    "La Auditoria." Microsoft® Encarta® 2006 [DVD]. Microsoft Corporation, 2005.

    Microsoft ® Encarta ® 2006. © 1993-2005 Microsoft Corporation. Reservados todos los derechos.

    "Auditoria Informática." www.monografías.com ® MONOGRAFIAS VENEZUELA, 2006.

    Monografías.com ® MONOGRAFIAS VENEZUELA ® Todos los derechos reservados.

    "Auditoria a Smartmatic." www.smartmatic.com Noticias > Sala de prensa, 2000 – 2005.

    Smartmatic, All Things Connected © Todos los derechos reservados

    "Auditoria a Auto Mercado Superior."Informe de Auditoria, prestado a Antonio Rojas.

    Auto Mercado Superior C.A, 1972 – 2006. Auditoria (Interna) 2005 Derechos reservados.

     

    Parra, Hogo

    Pérez, Miguel

    Rojas E. Antonio

    Sarli, Erick

    Ciudad Bolívar, Abril de 2006