Monografas Nuevas Publicar Blogs ForosBusqueda avanzadaPrincipio
del formularioFinal del
formularioMonografias.com>Computacion>General Descargar
Imprimir Comentar Ver trabajos relacionadosAuditora
InformticaEnviado porcanaves
Introduccin:A finales del siglo XX, los Sistemas Informticos se
han constituido en las herramientas ms poderosas para materializar
uno de los conceptos ms vitales y necesarios para cualquier
organizacin empresarial, los Sistemas de Informacin de la
empresa.La Informtica hoy, est subsumida en la gestin integral de
la empresa, y por eso las normas y estndares propiamente
informticos deben estar, por lo tanto, sometidos a los generales de
la misma. En consecuencia, las organizaciones informticas forman
parte de lo que se ha denominado el "management" o gestin de la
empresa. Cabe aclarar que la Informtica no gestiona propiamente la
empresa, ayuda a la toma de decisiones, pero no decide por s misma.
Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditora Informtica.El trmino de Auditora se ha
empleado incorrectamente con frecuencia ya que se ha considerado
como una evaluacin cuyo nico fin es detectar errores y sealar
fallas. A causa de esto, se ha tomado la frase "Tiene Auditora"
como sinnimo de que, en dicha entidad, antes de realizarse la
auditora, ya se haban detectado fallas.El concepto de auditora es
mucho ms que esto.Es un examen crtico que se realiza con el fin de
evaluar la eficacia y eficiencia de una seccin, un organismo, una
entidad, etc.La palabra auditora proviene del latnauditorius,y de
esta proviene la palabra auditor, que se refiere a todo aquel que
tiene la virtud de or.Por otra parte, el diccionario Espaol Sopena
lo define como: Revisor de Cuentas colegiado. En un principio esta
definicin carece de la explicacin del objetivo fundamental que
persigue todo auditor: evaluar la eficiencia y eficacia.Si
consultamos el Boletn de Normas de auditora del Instituto mexicano
de contadores nos dice: " La auditora no es una actividad meramente
mecnica que implique la aplicacin de ciertos procedimientos cuyos
resultados, una vez llevado a cabo son de carcter indudable."De
todo esto sacamos como deduccin que la auditora es un examen crtico
pero no mecnico, que no implica la preexistencia de fallas en la
entidad auditada y que persigue el fin de evaluar y mejorar la
eficacia y eficiencia de una seccin o de un organismo.Los
principales objetivos que constituyen a la auditora Informtica son
el control de la funcin informtica, el anlisis de la eficiencia de
los Sistemas Informticos que comporta, la verificacin del
cumplimiento de la Normativa general de la empresa en este mbito y
la revisin de la eficaz gestin de los recursos materiales y humanos
informticos.El auditor informtico ha de velar por la correcta
utilizacin de los amplios recursos que la empresa pone en juego
para disponer de un eficiente y eficaz Sistema de Informacin. Claro
est, que para la realizacin de una auditora informtica eficaz, se
debe entender a la empresa en su ms amplio sentido, ya que una
Universidad, un Ministerio o un Hospital son tan empresas como una
Sociedad Annima o empresa Pblica. Todos utilizan la informtica para
gestionar sus "negocios" de forma rpida y eficiente con el fin de
obtener beneficios econmicos y de costes.Por eso, al igual que los
dems rganos de la empresa (Balances y Cuentas de Resultados,
Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al
control correspondiente, o al menos debera estarlo. La importancia
de llevar un control de esta herramienta se puede deducir de varios
aspectos. He aqu algunos: Las computadoras y los Centros de Proceso
de Datos se convirtieron en blancos apetecibles no solo para el
espionaje, sino para la delincuencia y el terrorismo. En este caso
interviene la Auditora Informtica de Seguridad. Las computadoras
creadas para procesar y difundir resultados o informacin elaborada
pueden producir resultados o informacin errnea si dichos datos son,
a su vez, errneos. Este concepto obvio es a veces olvidado por las
mismas empresas que terminan perdiendo de vista la naturaleza y
calidad de los datos de entrada a sus Sistemas Informticos, con la
posibilidad de que se provoque un efecto cascada y afecte a
Aplicaciones independientes. En este caso interviene la Auditora
Informtica de Datos. Un Sistema Informtico mal diseado puede
convertirse en una herramienta harto peligrosa para la empresa:
como las maquinas obedecen ciegamente a las rdenes recibidas y la
modelizacin de la empresa est determinada por las computadoras que
materializan los Sistemas de Informacin, la gestin y la organizacin
de la empresa no puede depender de un Software y Hardware mal
diseados.Estos son solo algunos de los varios inconvenientes que
puede presentar un Sistema Informtico, por eso, la necesidad de
laAuditora de Sistemas.Auditora:La auditora nace como un rgano de
control de algunas instituciones estatales y privadas. Su funcin
inicial es estrictamente econmico-financiero, y los casos
inmediatos se encuentran en las peritaciones judiciales y las
contrataciones de contables expertos por parte de Bancos
Oficiales.La funcin auditora debe ser absolutamente independiente;
no tiene carcter ejecutivo, ni son vinculantes sus conclusiones.
Queda a cargo de la empresa tomar las decisiones pertinentes. La
auditora contiene elementos de anlisis, de verificacin y de
exposicin de debilidades y disfunciones. Aunque pueden aparecer
sugerencias y planes de accin para eliminar las disfunciones y
debilidades antedichas; estas sugerencias plasmadas en el Informe
final reciben el nombre de Recomendaciones.Las funciones de anlisis
y revisin que el auditor informtico realiza, puede chocar con la
psicologa del auditado, ya que es un informtico y tiene la
necesidad de realizar sus tareas con racionalidad y eficiencia. La
reticencia del auditado es comprensible y, en ocasiones, fundada.
El nivel tcnico del auditor es a veces insuficiente, dada la gran
complejidad de los Sistemas, unidos a los plazos demasiado breves
de los que suelen disponer para realizar su tarea.Adems del chequeo
de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son
guardados celosamente por las empresas auditoras, ya que son
activos importantes de su actividad. Las Check List tienen que ser
comprendidas por el auditor al pie de la letra, ya que si son mal
aplicadas y mal recitadas se pueden llegar a obtener resultados
distintos a los esperados por la empresa auditora. La Check List
puede llegar a explicar cmo ocurren los hechos pero no por qu
ocurren. El cuestionario debe estar subordinado a la regla, a la
norma, al mtodo. Slo una metodologa precisa puede desentraar las
causas por las cuales se realizan actividades tericamente
inadecuadas o se omiten otras correctas.El auditor slo puede emitir
un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situacin
analizada por l mismo.Auditora Interna y Auditora Externa:La
auditora interna es la realizada con recursos materiales y personas
que pertenecen a la empresa auditada. Los empleados que realizan
esta tarea son remunerados econmicamente. La auditora interna
existe por expresa decisin de la Empresa, o sea, que puede optar
por su disolucin en cualquier momento.Por otro lado, la auditora
externa es realizada por personas afines a la empresa auditada; es
siempre remunerada. Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor distanciamiento entre auditores y
auditados.La auditora informtica interna cuenta con algunas
ventajas adicionales muy importantes respecto de la auditora
externa, las cuales no son tan perceptibles como en las auditoras
convencionales. La auditora interna tiene la ventaja de que puede
actuar peridicamente realizando Revisiones globales, como parte de
su Plan Anual y de su actividad normal. Los auditados conocen estos
planes y se habitan a las Auditoras, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su
trabajo.En una empresa, los responsables de Informtica escuchan,
orientan e informan sobre las posibilidades tcnicas y los costes de
tal Sistema. Con voz, pero a menudo sin voto, Informtica trata de
satisfacer lo ms adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informtica y sta necesita que su
propia gestin est sometida a los mismos Procedimientos y estndares
que el resto de aquella. La conjuncin de ambas necesidades
cristaliza en la figura del auditor interno informtico.En cuanto a
empresas se refiere, solamente las ms grandes pueden poseer una
Auditora propia y permanente, mientras que el resto acuden a las
auditoras externas. Puede ser que algn profesional informtico sea
trasladado desde su puesto de trabajo a la Auditora Interna de la
empresa cuando sta existe. Finalmente, la propia Informtica
requiere de su propio grupo de Control Interno, con implantacin
fsica en su estructura, puesto que si se ubicase dentro de la
estructura Informtica ya no sera independiente. Hoy, ya existen
varias organizaciones Informticas dentro de la misma empresa, y con
diverso grado de autonoma, que son coordinadas por rganos
corporativos de Sistemas de Informacin de las Empresas.Una Empresa
o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo
suelen ser: Necesidad de auditar una materia de gran
especializacin, para la cual los servicios propios no estn
suficientemente capacitados. Contrastar algn Informe interno con el
que resulte del externo, en aquellos supuestos de emisin interna de
graves recomendaciones que chocan con la opinin generalizada de la
propia empresa. Servir como mecanismo protector de posibles
auditoras informticas externas decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario
que se le realicen auditoras externas como para tener una visin
desde afuera de la empresa.La auditora informtica, tanto externa
como interna, debe ser una actividad exenta de cualquier contenido
o matiz "poltico" ajeno a la propia estrategia y poltica general de
la empresa. La funcin auditora puede actuar de oficio, por
iniciativa del propio rgano, o a instancias de parte, esto es, por
encargo de la direccin o cliente.Alcance de la Auditora
Informtica:El alcance ha de definir con precisin el entorno y los
lmites en que va a desarrollarse la auditora informtica, se
complementa con los objetivos de sta. El alcance ha de figurar
expresamente en el Informe Final, de modo que quede perfectamente
determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidas. Ejemplo: Se sometern
los registros grabados a un control de integridad exhaustivo*? Se
comprobar que los controles de validacin de errores son adecuados y
suficientes*? La indefinicin de los alcances de la auditora
compromete el xito de la misma.*Control de integridad de
registros:Hay Aplicaciones que comparten registros, son registros
comunes. Si una Aplicacin no tiene integrado un registro comn,
cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la
aplicacin no funcionara como debera.*Control de validacin de
errores:Se corrobora que el sistema que se aplica para detectar y
corregir errores sea eficiente.Caractersticas de la Auditora
Informtica:La informacin de la empresa y para la empresa, siempre
importante, se ha convertido en un Activo Real de la misma, como
sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informticas, materia de la que se ocupa
laAuditora de Inversin Informtica.Del mismo modo, los Sistemas
Informticos han de protegerse de modo global y particular: a ello
se debe la existencia de laAuditora de Seguridad Informticaen
general, o a la auditora de Seguridad de alguna de sus reas, como
pudieran ser Desarrollo o Tcnica de Sistemas.Cuando se producen
cambios estructurales en la Informtica, se reorganiza de alguna
forma su funcin: se est en el campo de laAuditora de Organizacin
Informtica.Estos tres tipos de auditoras engloban a las actividades
auditoras que se realizan en una auditora parcial. De otra manera:
cuando se realiza una auditoria del rea de Desarrollo de Proyectos
de la Informtica de una empresa, es porque en ese Desarrollo
existen, adems de ineficiencias, debilidades de organizacin, o de
inversiones, o de seguridad, o alguna mezcla de ellas.Sntomas de
Necesidad de una Auditora Informtica:Las empresas acuden a las
auditoras externas cuando existen sntomas bien perceptibles de
debilidad. Estos sntomas pueden agruparse en clases: Sntomas de
descoordinacion y desorganizacin:- No coinciden los objetivos de la
Informtica de la Compaa y de la propia Compaa.- Los estndares de
productividad se desvan sensiblemente de los promedios conseguidos
habitualmente.[Puede ocurrir con algn cambio masivo de personal, o
en una reestructuracin fallida de alguna rea o en la modificacin de
alguna Norma importante] Sntomas de mala imagen e insatisfaccin de
los usuarios:- No se atienden las peticiones de cambios de los
usuarios. Ejemplos: cambios de Software en los terminales de
usuario, resfrecamiento de paneles, variacin de los ficheros que
deben ponerse diariamente a su disposicin, etc.- No se reparan las
averas de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido
permanentemente.- No se cumplen en todos los casos los plazos de
entrega de resultados peridicos. Pequeas desviaciones pueden causar
importantes desajustes en la actividad del usuario, en especial en
los resultados de Aplicaciones crticas y sensibles. Sntomas de
debilidades econmico-financiero:- Incremento desmesurado de
costes.- Necesidad de justificacin de Inversiones Informticas (la
empresa no est absolutamente convencida de tal necesidad y decide
contrastar opiniones).- Desviaciones Presupuestarias
significativas.- Costes y plazos de nuevos proyectos (deben
auditarse simultneamente a Desarrollo de Proyectos y al rgano que
realiz la peticin). Sntomas de Inseguridad: Evaluacin de nivel de
riesgos- Seguridad Lgica- Seguridad Fsica- Confidencialidad[Los
datos son propiedad inicialmente de la organizacin que los genera.
Los datos de personal son especialmente confidenciales]-
Continuidad del Servicio. Es un concepto an ms importante que la
Seguridad. Establece las estrategias de continuidad entre fallos
mediante Planes de Contingencia* Totales y Locales.- Centro de
Proceso de Datos fuera de control. Si tal situacin llegara a
percibirse, sera prcticamente intil la auditora. Esa es la razn por
la cual, en este caso, el sntoma debe ser sustituido por el mnimo
indicio.*Planes de Contingencia:Por ejemplo, la empresa sufre un
corte total de energa o explota, Cmo sigo operando en otro lugar?
Lo que generalmente se pide es que se hagan Backups de la
informacin diariamente y que aparte, sea doble, para tener un
Backup en la empresa y otro afuera de sta. Una empresa puede tener
unas oficinas paralelas que posean servicios bsicos (luz, telfono,
agua) distintos de los de la empresa principal, es decir, si a la
empresa principal le provea telfono Telecom, a las oficinas
paralelas, Telefnica. En este caso, si se produce la inoperancia de
Sistemas en la empresa principal, se utilizara el Backup para
seguir operando en las oficinas paralelas. Los Backups se pueden
acumular durante dos meses, o el tiempo que estipule la empresa, y
despus se van reciclando.Tipos y clases de Auditoras:El
departamento de Informtica posee una actividad proyectada al
exterior, al usuario, aunque el "exterior" siga siendo la misma
empresa. He aqu, laAuditora Informtica de Usuario. Se hace esta
distincin para contraponerla a la informtica interna, en donde se
hace la informtica cotidiana y real. En consecuencia, existe
unaAuditora Informtica de Actividades Internas.El control del
funcionamiento del departamento de informtica con el exterior, con
el usuario se realiza por medio de la Direccin. Su figura es
importante, en tanto en cuanto es capaz de interpretar las
necesidades de la Compaa. Una informtica eficiente y eficaz
requiere el apoyo continuado de su Direccin frente al "exterior".
Revisar estas interrelaciones constituye el objeto de laAuditora
Informtica de Direccin. Estas tres auditoras, mas la auditora de
Seguridad, son las cuatro Areas Generales de la Auditora Informtica
ms importantes.Dentro de las reas generales, se establecen las
siguientes divisiones de Auditora Informtica: de Explotacin, de
Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son
las Areas Especificas de la Auditora Informtica ms
importantes.Areas EspecficasAreas Generales
InternaDireccinUsuarioSeguridad
Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
Cada Area Especifica puede ser auditada desde los siguientes
criterios generales: Desde su propio funcionamiento interno. Desde
el apoyo que recibe de la Direccin y, en sentido ascendente, del
grado de cumplimiento de las directrices de sta. Desde la
perspectiva de los usuarios, destinatarios reales de la informtica.
Desde el punto de vista de la seguridad que ofrece la Informtica en
general o la rama auditada.Estas combinaciones pueden ser ampliadas
y reducidas segn las caractersticas de la empresa auditada.Objetivo
fundamental de la auditora informtica:OperatividadLa operatividad
es una funcin de mnimos consistente en que la organizacin y las
maquinas funcionen, siquiera mnimamente. No es admisible detener la
maquinaria informtica para descubrir sus fallos y comenzar de
nuevo. La auditora debe iniciar su actividad cuando los Sistemas
estn operativos, es el principal objetivo el de mantener tal
situacin. Tal objetivo debe conseguirse tanto a nivel global como
parcial.La operatividad de los Sistemas ha de constituir entonces
la principal preocupacin del auditor informtico. Para conseguirla
hay que acudir a la realizacin deControles Tcnicos
GeneralesdeOperatividadyControles Tcnicos Especficos de
Operatividad, previos a cualquier actividad de aquel. Los Controles
Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultaneo del Sistema Operativo y
el Software de base con todos los subsistemas existentes, as como
la compatibilidad del Hardware y del Software instalados. Estos
controles son importantes en las instalaciones que cuentan con
varios competidores, debido a que la profusin de entornos de
trabajo muy diferenciados obliga a la contratacin de diversos
productos de Software bsico, con el consiguiente riesgo de abonar
ms de una vez el mismo producto o desaprovechar parte del Software
abonado. Puede ocurrir tambin con los productos de Software bsico
desarrolla-dos por el personal de Sistemas Interno, sobre todo
cuando los diversos equipos estn ubicados en Centros de Proceso de
Datos geogrficamente alejados. Lo negativo de esta situacin es que
puede producir la inoperatividad del conjunto. Cada Centro de
Proceso de Datos tal vez sea operativo trabajando
independientemente, pero no ser posible la interconexin e
intercomunicacin de todos los Centros de Proceso de Datos si no
existen productos comunes y compatibles. Los Controles Tcnicos
Especficos, de modo menos acusado, son igualmente necesarios para
lograr la Operatividad de los Sistemas. Un ejemplo de lo que se
puede encontrar mal son parmetros de asignacin automtica de espacio
en disco* que dificulten o impidan su utilizacin posterior por una
Seccin distinta de la que lo gener. Tambin, los periodos de
retencin de ficheros comunes a varias Aplicaciones pueden estar
definidos con distintos plazos en cada una de ellas, de modo que la
prdida de informacin es un hecho que podr producirse con facilidad,
quedando inoperativa la explotacin de alguna de las Aplicaciones
mencionadas.*Parmetros de asignacin automtica de espacio en
disco:Todas las Aplicaciones que se desarrollan son
super-parametrizadas , es decir, que tienen un montn de parmetros
que permiten configurar cual va a ser el comportamiento del
Sistema. Una Aplicacin va a usar para tal y tal cosa cierta
cantidad de espacio en disco. Si uno no analiz cual es la
operatoria y el tiempo que le va a llevar ocupar el espacio
asignado, y se pone un valor muy chico, puede ocurrir que un da la
Aplicacin reviente, se caiga. Si esto sucede en medio de la
operatoria y la Aplicacin se cae, el volver a levantarla, con la
nueva asignacin de espacio, si hay que hacer reconversiones o lo
que sea, puede llegar a demandar muchsimo tiempo, lo que significa
un riesgo enorme.Revisin de Controles de la Gestin Informtica:Una
vez conseguida la Operatividad de los Sistemas, el segundo objetivo
de la auditora es la verificacin de la observancia de las normas
tericamente existentes en el departamento de Informtica y su
coherencia con las del resto de la empresa. Para ello, habrn de
revisarse sucesivamente y en este orden:1. Las Normas Generales de
la Instalacin Informtica. Se realizar una revisin inicial sin
estudiar a fondo las contradicciones que pudieran existir, pero
registrando las reas que carezcan de normativa, y sobre todo
verificando que esta Normativa General Informtica no est en
contradiccin con alguna Norma General no informtica de la
empresa.2. Los Procedimientos Generales Informticos. Se verificar
su existencia, al menos en los sectores ms importantes. Por
ejemplo, la recepcin definitiva de las mquinas debera estar firmada
por los responsables de Explotacin. Tampoco el alta de una nueva
Aplicacin podra producirse si no existieran los Procedimientos de
Backup y Recuperacin correspondientes.3. Los Procedimientos
Especficos Informticos. Igualmente, se revisara su existencia en
las reas fundamentales. As, Explotacin no debera explotar una
Aplicacin sin haber exigido a Desarrollo la pertinente
documentacin. Del mismo modo, deber comprobarse que los
Procedimientos Especficos no se opongan a los Procedimientos
Generales. En todos los casos anteriores, a su vez, deber
verificarse que no existe contradiccin alguna con la Normativa y
los Procedimientos Generales de la propia empresa, a los que la
Informtica debe estar sometida.Auditora Informtica de Explotacin:La
Explotacin Informtica se ocupa de producir resultados informticos
de todo tipo: listados impresos, ficheros soportados magnticamente
para otros informticos, ordenes automatizadas para lanzar o
modificar procesos industriales, etc. La explotacin informtica se
puede considerar como una fabrica con ciertas peculiaridades que la
distinguen de las reales. Para realizar la Explotacin Informtica se
dispone de una materia prima, los Datos, que es necesario
transformar, y que se someten previamente a controles de integridad
y calidad. La transformacin se realiza por medio del Proceso
informtico, el cual est gobernado por programas. Obtenido el
producto final, los resultados son sometidos a varios controles de
calidad y, finalmente, son distribuidos al cliente, al
usuario.Auditar Explotacin consiste en auditar las secciones que la
componen y sus interrelaciones. La Explotacin Informtica se divide
en tres grandes reas: Planificacin, Produccin y Soporte Tcnico, en
la que cada cual tiene varios grupos.Control de Entrada de Datos:Se
analizar la captura de la informacin en soporte compatible con los
Sistemas, el cumplimiento de plazos y calendarios de tratamientos y
entrega de datos; la correcta transmisin de datos entre entornos
diferentes. Se verificar que los controles de integridad y calidad
de datos se realizan de acuerdo a Norma.Planificacin y Recepcin de
Aplicaciones:Se auditarn las normas de entrega de Aplicaciones por
parte de Desarrollo, verificando su cumplimiento y su calidad de
interlocutor nico. Debern realizarse muestreos selectivos de la
Documentacin de las Aplicaciones explotadas. Se inquirir sobre la
anticipacin de contactos con Desarrollo para la planificacin a
medio y largo plazo.Centro de Control y Seguimiento de Trabajos:Se
analizar cmo se prepara, se lanza y se sigue la produccin diaria.
Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o
lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras
que las Aplicaciones de Teleproceso estn permanentemente activas y
la funcin de Explotacin se limita a vigilar y recuperar
incidencias, el trabajo Batch absorbe una buena parte de los
efectivos de Explotacin. En muchos Centros de Proceso de Datos, ste
rgano recibe el nombre de Centro de Control de Batch. Este grupo
determina el xito de la explotacin, en cuanto que es uno de los
factores ms importantes en el mantenimiento de la produccin.*Batch
y Tiempo Real:Las Aplicaciones que son Batch son Aplicaciones que
cargan mucha informacin durante el da y durante la noche se corre
un proceso enorme que lo que hace es relacionar toda la informacin,
calcular cosas y obtener como salida, por ejemplo, reportes. O sea,
recolecta informacin durante el da, pero todava no procesa nada. Es
solamente un tema de "Data Entry" que recolecta informacin, corre
el proceso Batch (por lotes), y calcula todo lo necesario para
arrancar al da siguiente.Las Aplicaciones que son Tiempo Real u
Online, son las que, luego de haber ingresado la informacin
correspondiente, inmediatamente procesan y devuelven un resultado.
Son Sistemas que tienen que responder en Tiempo Real.Operacin.
Salas de Ordenadores:Se intentarn analizar las relaciones
personales y la coherencia de cargos y salarios, as como la equidad
en la asignacin de turnos de trabajo. Se verificar la existencia de
un responsable de Sala en cada turno de trabajo. Se analizar el
grado de automatizacin de comandos, se verificara la existencia y
grado de uso de los Manuales de Operacin. Se analizar no solo la
existencia de planes de formacin, sino el cumplimiento de los
mismos y el tiempo transcurrido para cada Operador desde el ltimo
Curso recibido. Se estudiarn los montajes diarios y por horas de
cintas o cartuchos, as como los tiempos transcurridos entre la
peticin de montaje por parte del Sistema hasta el montaje real. Se
verificarn las lneas de papel impresas diarias y por horas, as como
la manipulacin de papel que comportan.Centro de Control de Red y
Centro de Diagnosis:El Centro de Control de Red suele ubicarse en
el rea de produccin de Explotacin. Sus funciones se refieren
exclusivamente al mbito de las Comunicaciones, estando muy
relacionado con la organizacin de Software de Comunicaciones de
Tcnicas de Sistemas. Debe analizarse la fluidez de esa relacin y el
grado de coordinacin entre ambos. Se verificar la existencia de un
punto focal nico, desde el cual sean perceptibles todos las lneas
asociadas al Sistema. El Centro de Diagnosis es el ente en donde se
atienden las llamadas de los usuarios-clientes que han sufrido
averas o incidencias, tanto de Software como de Hardware. El Centro
de Diagnosis est especialmente indicado para informticos grandes y
con usuarios dispersos en un amplio territorio. Es uno de los
elementos que ms contribuyen a configurar la imagen de la
Informtica de la empresa. Debe ser auditada desde esta perspectiva,
desde la sensibilidad del usuario sobre el servicio que se le
dispone. No basta con comprobar la eficiencia tcnica del Centro, es
necesario analizarlo simultneamente en el mbito de Usuario.Auditora
Informtica de Desarrollo de Proyectos o Aplicaciones:La funcin de
Desarrollo es una evolucin del llamado Anlisis y Programacin de
Sistemas y Aplicaciones. A su vez, engloba muchas reas, tantas como
sectores informatizables tiene la empresa. Muy escuetamente, una
Aplicacin recorre las siguientes fases: Prerequisitos del Usuario
(nico o plural) y del entorno Anlisis funcional Diseo Anlisis
orgnico (Preprogramacion y Programacin) Pruebas Entrega a
Explotacin y alta para el Proceso.Estas fases deben estar sometidas
a un exigente control interno, caso contrario, adems del disparo de
los costes, podr producirse la insatisfaccin del usuario.
Finalmente, la auditora deber comprobar la seguridad de los
programas en el sentido de garantizar que los ejecutados por la
maquina sean exactamente los previstos y no otros.Una auditora de
Aplicaciones pasa indefectiblemente por la observacin y el anlisis
de cuatro consideraciones:1. 2. Revisin de las metodologas
utilizadas: Se analizaran stas, de modo que se asegure la
modularidad de las posibles futuras ampliaciones de la Aplicacin y
el fcil mantenimiento de las mismas.3. Control Interno de las
Aplicaciones: se debern revisar las mismas fases que presuntamente
han debido seguir el rea correspondiente de Desarrollo: Estudio de
Vialidad de la Aplicacin. [importante para Aplicaciones largas,
complejas y caras] Definicin Lgica de la Aplicacin. [se analizar
que se han observado los postulados lgicos de actuacin, en funcin
de la metodologa elegida y la finalidad que persigue el proyecto]
Desarrollo Tcnico de la Aplicacin. [Se verificar que ste es
ordenado y correcto. Las herramientas tcnicas utilizadas en los
diversos programas debern ser compatibles] Diseo de Programas.
[debern poseer la mxima sencillez, modularidad y economa de
recursos] Mtodos de Pruebas. [ Se realizarn de acuerdo a las Normas
de la Instalacin. Se utilizarn juegos de ensayo de datos, sin que
sea permisible el uso de datos reales] Documentacin. [cumplir la
Normativa establecida en la Instalacin, tanto la de Desarrollo como
la de entrega de Aplicaciones a Explotacin] Equipo de Programacin.
[Deben fijarse las tareas de anlisis puro, de programacin y las
intermedias. En Aplicaciones complejas se produciran variaciones en
la composicin del grupo, pero estos debern estar previstos]1. 2.
Satisfaccin de usuarios:Una Aplicacin tcnicamente eficiente y bien
desarrollada, deber considerarse fracasada si no sirve a los
intereses del usuario que la solicit. La aquiescencia del usuario
proporciona grandes ventajas posteriores, ya que evitar
reprogramaciones y disminuir el mantenimiento de la Aplicacin.3.
Control de Procesos y Ejecuciones de Programas Crticos:El auditor
no debe descartar la posibili-dad de que se est ejecutando un mdulo
que no se corresponde con el programa fuente que desarroll, codific
y prob el rea de Desarrollo de Aplicaciones. Se ha de comprobar la
correspondencia biunvoca y exclusiva entre el programa codificado y
su compilacin. Si los programas fuente y los programa mdulo no
coincidieran podrase provocar, desde errores de bulto que
produciran graves y altos costes de mantenimiento, hasta fraudes,
pasando por acciones de sabotaje, espionaje industrial-informativo,
etc. Por ende, hay normas muy rgidas en cuanto a las Libreras de
programas; aquellos programas fuente que hayan sido dados por bueno
por Desarrollo, son entregados a Explotacin con el fin de que
ste:1. Copie el programa fuente en la Librera de Fuentes de
Explotacin, a la que nadie ms tiene acceso2. Compile y monte ese
programa, depositndolo en la Librera de Mdulos de Explo-tacin, a la
que nadie ms tiene acceso.3. Copie los programas fuente que les
sean solicitados para modificarlos, arreglarlos, etc. en el lugar
que se le indique. Cualquier cambio exigir pasar nuevamente por el
punto 1.Como este sistema para auditar y dar el alta a una nueva
Aplicacin es bastante ardua y compleja, hoy (algunas empresas lo
usarn, otras no) se utiliza un sistema llamado U.A.T (User
Acceptance Test). Este consiste en que el futuro usuario de esta
Aplicacin use la Aplicacin como si la estuviera usando en Produccin
para que detecte o se denoten por s solos los errores de la misma.
Estos defectos que se encuentran se van corrigiendo a medida que se
va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario
tiene que dar el Sign Off ("Esto est bien"). Todo este testeo,
auditora lo tiene que controlar, tiene que evaluar que el testeo
sea correcto, que exista un plan de testeo, que est involucrado
tanto el cliente como el desarrollador y que estos defectos se
corrijan. Auditora tiene que corroborar que el U.A.T. prueba todo y
que el Sign Off del usuario sea un Sign Off portodo.Auditora
Informtica de Sistemas:Se ocupa de analizar la actividad que se
conoce como Tcnica de Sistemas en todas sus facetas. Hoy, la
importancia creciente de las telecomunicaciones ha propiciado que
las Comunicaciones, Lneas y Redes de las instalaciones informticas,
se auditen por separado, aunque formen parte del entorno general de
Sistemas.Sistemas Operativos:Engloba los Subsistemas de
Teleproceso, Entrada/Salda, etc. Debe verificarse en primer lugar
que los Sistemas estn actualizados con las ltimas versiones del
fabricante, indagando las causas de las omisiones si las hubiera.
El anlisis de las versiones de los Sistemas Operativos permite
descubrir las posibles incompatibilidades entre otros productos de
Software Bsico adquiridos por la instalacin y determinadas
versiones de aquellas. Deben revisarse los parmetros variables de
las Libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.Software Bsico:Es
fundamental para el auditor conocer los productos de software bsico
que han sido facturados aparte de la propia computadora. Esto, por
razones econmicas y por razones de comprobacin de que la
computadora podra funcionar sin el producto adquirido por el
cliente. En cuanto al Software desarrollado por el personal
informtico de la empresa, el auditor debe verificar que ste no
agreda ni condiciona al Sistema. Igualmente, debe considerar el
esfuerzo realizado en trminos de costes, por si hubiera
alternativas ms econmicas.Software de Teleproceso (Tiempo Real):No
se incluye en Software Bsico por su especialidad e importancia. Las
consideraciones anteriores son vlidas para ste tambin.Tunning:Es el
conjunto de tcnicas de observacin y de medidas encaminadas a la
evaluacin del comportamiento de los Subsistemas y del Sistema en su
conjunto. Las acciones de tunning deben diferenciarse de los
controles habituales que realiza el personal de Tcnica de Sistemas.
El tunning posee una naturaleza ms revisora, establecindose
previamente planes y programas de actuacin segn los sntomas
observados. Se pueden realizar: Cuando existe sospecha de deterioro
del comportamiento parcial o general del Sistema De modo sistemtico
y peridico, por ejemplo cada 6 meses. En este caso sus acciones son
repetitivas y estn planificados y organizados de antemano.El
auditor deber conocer el nmero de Tunning realizados en el ltimo
ao, as como sus resultados. Deber analizar los modelos de carga
utilizados y los niveles e ndices de confianza de las
observacio-nes.Optimizacin de los Sistemas y Subsistemas:Tcnica de
Sistemas debe realizar acciones permanentes de optimizacin como
consecuencia de la realizacin de tunnings preprogramados o
especficos. El auditor verificar que las acciones de optimizacin*
fueron efectivas y no comprometieron la Operatividad de los
Sistemas ni el plan crtico de produccin diaria de
Explotacin.*Optimizacin:Por ejemplo: cuando se instala una
Aplicacin, normalmente est vaca, no tiene nada cargado adentro. Lo
que puede suceder es que, a medida que se va cargando, la Aplicacin
se va poniendo cada vez ms lenta; porque todas las referencias a
tablas es cada vez ms grande, la informacin que est moviendo es
cada vez mayor, entonces la Aplicacin se tiende a poner lenta. Lo
que se tiene que hacer es un anlisis de performance, para luego
optimizarla, mejorar el rendimiento de dicha
Aplicacin.Administracin de Base de Datos:El diseo de las Bases de
Datos, sean relaciones o jerrquicas, se ha convertido en una
actividad muy compleja y sofisticada, por lo general desarrollada
en el mbito de Tcnica de Sistemas, y de acuerdo con las reas de
Desarrollo y usuarios de la empresa. Al conocer el diseo y
arquitectura de stas por parte de Sistemas, se les encomienda
tambin su administracin. Los auditores de Sistemas han observado
algunas disfunciones derivadas de la relativamente escasa
experiencia que Tcnica de Sistemas tiene sobre la problemtica
general de los usuarios de Bases de Datos.La administracin tendra
que estar a cargo de Explotacin. El auditor de Base de Datos debera
asegurarse que Explotacin conoce suficientemente las que son
accedidas por los Procedimientos que ella ejecuta. Analizar los
Sistemas de salvaguarda existentes, que competen igualmente a
Explotacin. Revisar finalmente la integridad y consistencia de los
datos, as como la ausencia de redundancias entre ellos.Investigacin
y Desarrollo:Como empresas que utilizan y necesitan de informticas
desarrolladas, saben que sus propios efectivos estn desarrollando
Aplicaciones y utilidades que, concebidas inicialmente para su uso
interno, pueden ser susceptibles de adquisicin por otras empresas,
haciendo competencia a las Compaas del ramo. La auditora informtica
deber cuidar de que la actividad de Investigacin y Desarrollo no
interfiera ni dificulte las tareas fundamentales internas.
Auditora Informtica de Comunicaciones y Redes:Para el informtico
y para el auditor informtico, el entramado conceptual que
constituyen las Redes Nodales, Lneas, Concentradores,
Multiplexores, Redes Locales, etc. no son sino el soporte
fsico-lgico del Tiempo Real. El auditor tropieza con la dificultad
tcnica del entorno, pues ha de analizar situaciones y hechos
alejados entre s, y est condicionado a la participacin del
monopolio telefnico que presta el soporte. Como en otros casos, la
auditora de este sector requiere un equipo de especialis-tas,
expertos simultneamente en Comunicaciones y en Redes Locales (no
hay que olvidarse que en entornos geogrficos reducidos, algunas
empresas optan por el uso interno de Redes Locales, diseadas y
cableadas con recursos propios).El auditor de Comunicaciones deber
inquirir sobre los ndices de utilizacin de las lneas contratadas
con informacin abundante sobre tiempos de desuso. Deber proveerse
de la topologa de la Red de Comunicaciones, actualizada, ya que la
desactualizacion de esta documentacin significara una grave
debilidad. La inexistencia de datos sobre la cuantas lneas existen,
cmo son y donde estn instaladas, supondra que se bordea la
Inoperatividad Informtica. Sin embargo, las debilidades ms
frecuentes o importantes se encuentran en las disfunciones
organizativas. La contratacin e instalacin de lneas va asociada a
la instalacin de los Puestos de Trabajo correspondientes
(Pantallas, Servidores de Redes Locales, Computadoras con tarjetas
de Comunicaciones, impresoras, etc.). Todas estas actividades deben
estar muy coordinadas y a ser posible, dependientes de una sola
organizacin.Auditora de la Seguridad informtica:La computadora es
un instrumento que estructura gran cantidad de informacin, la cual
puede ser confidencial para individuos, empresas o instituciones, y
puede ser mal utilizada o divulgada a personas que hagan mal uso de
esta. Tambin puede ocurrir robos, fraudes o sabotajes que provoquen
la destruccin total o parcial de la actividad computacional. Esta
informacin puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.En la
actualidad y principalmente en las computadoras personales, se ha
dado otro factor que hay que considerar: el llamado "virus" de las
computadoras, el cual, aunque tiene diferentes intenciones, se
encuentra principalmente para paquetes que son copiados sin
autorizacin ("piratas") y borra toda la informacin que se tiene en
un disco. Al auditar los sistemas se debe tener cuidado que no se
tengan copias "piratas" o bien que, al conectarnos en red con otras
computadoras, no exista la posibilidad de transmisin del virus. El
uso inadecuado de la computadora comienza desde la utilizacin de
tiempo de mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos
de autor hasta el acceso por va telefnica a bases de datos a fin de
modificar la informacin con propsitos fraudulentos.La seguridad en
la informtica abarca los conceptos de seguridad fsica y seguridad
lgica. La seguridad fsica se refiere a la proteccin del Hardware y
de los soportes de datos, as como a la de los edificios e
instalaciones que los albergan. Contempla las situaciones de
incendios, sabotajes, robos, catstrofes naturales, etc.La seguridad
lgica se refiere a la seguridad de uso del software, a la proteccin
de los datos, procesos y programas, as como la del ordenado y
autorizado acceso de los usuarios a la informacin.Un mtodo eficaz
para proteger sistemas de computacin es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso
protegen contra el acceso no autorizado, pues piden del usuario una
contrasea antes de permitirle el acceso a informacin confidencial.
Dichos paquetes han sido populares desde hace muchos aos en el
mundo de las computadoras grandes, y los principales proveedores
ponen a disposicin de clientes algunos de estos paquetes.Ejemplo:
Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que
lo que hace es auditar el nivel de Seguridad en todos los
servidores, como ser: accesos a archivos, accesos a directorios,
que usuario lo hizo, si tena o no tena permiso, si no tena permiso
porque fall, entrada de usuarios a cada uno de los servidores,
fecha y hora, accesos con password equivocada, cambios de password,
etc. La Aplicacin lo puede graficar, tirar en nmeros, puede hacer
reportes, etc.La seguridad informtica se la puede dividir como Area
General y como Area Especifica (seguridad de Explotacin, seguridad
de las Aplicaciones, etc.). As, se podrn efectuar auditoras de la
Seguridad Global de una Instalacin Informtica Seguridad General- y
auditoras de la Seguridad de un rea informtica determinada
Seguridad Especifica -.Con el incremento de agresiones a
instalaciones informticas en los ltimos aos, se han ido originando
acciones para mejorar la Seguridad Informtica a nivel fsico. Los
accesos y conexiones indebidos a travs de las Redes de
Comunicaciones, han acelerado el desarrollo de productos de
Seguridad lgica y la utilizacin de sofisticados medios
criptograficos.El sistema integral de seguridad debe comprender:
Elementos administrativos Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades Seguridad fsica y contra
catstrofes(incendio, terremotos, etc.) Prcticas de seguridad del
personal Elementos tcnicos y procedimientos Sistemas de seguridad
(de equipos y de sistemas, incluyendo todos los elementos, tanto
redes como terminales. Aplicacin de los sistemas de seguridad,
incluyendo datos y archivos El papel de los auditores, tanto
internos como externos Planeacin de programas de desastre y su
prueba.La decisin de abordar una Auditora Informtica de Seguridad
Global en una empresa, se fundamenta en el estudio cuidadoso de los
riesgos potenciales a los que est sometida. Se elaboran "matrices
de riesgo", en donde se consideran los factores de las "Amenazas" a
las que est sometida una instalacin y los "Impactos" que aquellas
puedan causar cuando se presentan. Las matrices de riesgo se
representan en cuadros de doble entrada , en donde se evalan las
probabilidades de ocurrencia de los elementos de la
matriz.Ejemplo:ImpactoAmenaza1: Improbable2: Probable3: Certeza-:
Despreciable
ErrorIncendioSabotaje..
Destruccinde Hardware-11
Borrado deInformacin311
El cuadro muestra que si por error codificamos un parmetro que
ordene el borrado de un fichero, ste se borrar con certeza.El caso
de los Bancos en la Repblica Argentina:En la Argentina, el Banco
Central (BCRA) les realiza una Auditora de Seguridad de Sistemas a
todos los Bancos, minoritarios y mayoristas. El Banco que es
auditado le prepara a los auditores del BCRA un "demo" para que
estos vean cual es el flujo de informacin dentro del Banco y que
Aplicaciones estn involucradas con sta. Si los auditores detectan
algn problema o alguna cosa que segn sus normas no est bien, y en
base a eso, emiten un informe que va, tanto a la empresa, como al
mercado. Este, principalmente, es uno de los puntos bsicos donde se
analiza el riesgo de un banco, ms all de cmo se maneja. Cada Banco
tiene cierto riesgo dentro del mercado; por un lado, est dado por
como se mueve ste dentro del mercado (inversiones, rditos, etc.) y
por otro lado, el como funcionan sus Sistemas. Por esto, todos los
Bancos tienen auditora interna y auditora externa; y se los audita
muy frecuentemente.(Ver Anexo de las normas del Banco Central sobre
la Seguridad de los Sistemas de Informacin)Herramientas y Tcnicas
para la Auditora Informtica:Cuestionarios:Las auditoras informticas
se materializan recabando informacin y documentacin de todo tipo.
Los informes finales de los auditores dependen de sus capacidades
para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de campo del auditor consiste en
lograr toda la informacin necesaria para la emisin de un juicio
global objetivo, siempre amparado en hechos demostrables, llamados
tambin evidencias.Para esto, suele ser lo habitual comenzar
solicitando la cumplimentacin de cuestionarios preimpresos que se
envan a las personas concretas que el auditor cree adecuadas, sin
que sea obligatorio que dichas personas sean las responsables
oficiales de las diversas reas a auditar.Estos cuestionarios no
pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en
su fondo y su forma.Sobre esta base, se estudia y analiza la
documentacin recibida, de modo que tal anlisis determine a su vez
la informacin que deber elaborar el propio auditor. El cruzamiento
de ambos tipos de informacin es una de las bases fundamentales de
la auditora.Cabe aclarar, que esta primera fase puede omitirse
cuando los auditores hayan adquirido por otro medios la informacin
que aquellos preimpresos hubieran proporcionado.Entrevistas:El
auditor comienza a continuacin las relaciones personales con el
auditado. Lo hace de tres formas:1. Mediante la peticin de
documentacin concreta sobre alguna materia de su responsabilidad.2.
Mediante "entrevistas" en las que no se sigue un plan
predeterminado ni un mtodo estricto de sometimiento a un
cuestionario.3. Por medio de entrevistas en las que el auditor
sigue un mtodo preestablecido de antemano y busca unas finalidades
concretas.La entrevista es una de las actividades personales ms
importante del auditor; en ellas, ste recoge ms informacin, y mejor
matizada, que la proporcionada por medios propios puramente tcnicos
o por las respuestas escritas a cuestionarios.Aparte de algunas
cuestiones menos importantes, la entrevista entre auditor y
auditado se basa fundamentalmente en el concepto de interrogatorio;
es lo que hace un auditor, interroga y se interroga a s mismo. El
auditor informtico experto entrevista al auditado siguiendo un
cuidadoso sistema previamente establecido, consistente en que bajo
la forma de una conversacin correcta y lo menos tensa posible, el
auditado conteste sencillamente y con pulcritud a una serie de
preguntas variadas, tambin sencillas. Sin embargo, esta sencillez
es solo aparente. Tras ella debe existir una preparacin muy
elaborada y sistematizada, y que es diferente para cada caso
particular.Checklist:El auditor profesional y experto es aqul que
reelabora muchas veces sus cuestionarios en funcin de los
escenarios auditados. Tiene claro lo que necesita saber, y por qu.
Sus cuestionarios son vitales para el trabajo de anlisis,
cruzamiento y sntesis posterior, lo cual no quiere decir que haya
de someter al auditado a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el auditor conversar y har
preguntas "normales", que en realidad servirn para la
cumplimentacin sistemtica de sus Cuestionarios, de sus
Checklists.Hay opiniones que descalifican el uso de las Checklists,
ya que consideran que leerle una pila de preguntas recitadas de
memoria o ledas en voz alta descalifica al auditor informtico. Pero
esto no es usar Checklists, es una evidente falta de
profesionalismo. El profesionalismo pasa por un procesamiento
interno de informacin a fin de obtener respuestas coherentes que
permitan una correcta descripcin de puntos dbiles y fuertes. El
profesionalismo pasa por poseer preguntas muy estudiadas que han de
formularse flexiblemente.El conjunto de estas preguntas recibe el
nombre de Checklist. Salvo excepciones, las Checklists deben ser
contestadas oralmente, ya que superan en riqueza y generalizacin a
cualquier otra forma.Segn la claridad de las preguntas y el talante
del auditor, el auditado responder desde posiciones muy distintas y
con disposicin muy variable. El auditado, habitualmente informtico
de profesin, percibe con cierta facilidad el perfil tcnico y los
conocimientos del auditor, precisamente a travs de las preguntas
que ste le formula. Esta percepcin configura el principio de
autoridad y prestigio que el auditor debe poseer.Por ello, aun
siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo
es ms el modo y el orden de su formulacin. Las empresas externas de
Auditora Informtica guardan sus Checklists, pero de poco sirven si
el auditor no las utiliza adecuada y oportunamente. No debe
olvidarse que la funcin auditora se ejerce sobre bases de
autoridad, prestigio y tica.El auditor deber aplicar la Checklist
de modo que el auditado responda clara y escuetamente. Se deber
interrumpir lo menos posible a ste, y solamente en los casos en que
las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se har necesario invitar a aqul a que exponga
con mayor amplitud un tema concreto, y en cualquier caso, se deber
evitar absolutamente la presin sobre el mismo.Algunas de las
preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular
preguntas equivalentes a las mismas o a distintas personas, en las
mismas fechas, o en fechas diferentes. De este modo, se podrn
descubrir con mayor facilidad los puntos contradictorios; el
auditor deber analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones,
hasta conseguir la homogeneidad. El entrevistado no debe percibir
un excesivo formalismo en las preguntas. El auditor, por su parte,
tomar las notas imprescindibles en presencia del auditado, y nunca
escribir cruces ni marcar cuestionarios en su presencia.Los
cuestionarios o Checklists responden fundamentalmente a dos tipos
de "filosofa" de calificacin o evaluacin:a. Contiene preguntas que
el auditor debe puntuar dentro de un rango preestablecido (por
ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el
valor ms positivo)Ejemplo de Checklist de rango:Se supone que se
est realizando una auditora sobre la seguridad fsica de una
instalacin y, dentro de ella, se analiza el control de los accesos
de personas y cosas al Centro de Clculo. Podran formularse las
preguntas que figuran a continuacin, en donde las respuestas tiene
los siguientes significados:1 : Muy deficiente.2 : Deficiente.3 :
Mejorable.4 : Aceptable.5 : Correcto.Se figuran posibles respuestas
de los auditados. Las preguntas deben sucederse sin que parezcan
encorsetadas ni clasificadas previamente. Basta con que el auditor
lleve un pequeo guin. La cumplimentacin de la Checklist no debe
realizarse en presencia del auditado.-Existe personal especfico de
vigilancia externa al edificio?-No, solamente un guarda por la
noche que atiende adems otra instalacin adyacente.
-Para la vigilancia interna del edificio, Hay al menos un
vigilante por turno en los aledaos del Centro de Clculo?-Si, pero
sube a las otras 4 plantas cuando se le necesita.
-Hay salida de emergencia adems de la habilitada para la entrada
y salida de mquinas?-Si, pero existen cajas apiladas en dicha
puerta. Algunas veces las quitan.
-El personal de Comunicaciones, Puede entrar directamente en la
Sala de Computadoras?-No, solo tiene tarjeta el Jefe de
Comunicaciones. No se la da a su gente mas que por causa muy
justificada, y avisando casi siempre al Jefe de Explotacin.
El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 +
4) /4 = 2,25 Deficiente.b. Checklist de rangoc. Checklist BinariaEs
la constituida por preguntas con respuesta nica y excluyente: Si o
No. Aritmeticamente, equivalen a 1(uno) o 0(cero),
respectivamente.Ejemplo de Checklist Binaria:Se supone que se est
realizando una Revisin de los mtodos de pruebas de programas en el
mbito de Desarrollo de Proyectos.-Existe Normativa de que el
usuario final compruebe los resultados finales de los
programas?
-Conoce el personal de Desarrollo la existencia de la anterior
normativa?
-Se aplica dicha norma en todos los casos?
-Existe una norma por la cual las pruebas han de realizarse con
juegos de ensayo o copia de Bases de Datos reales?
Obsrvese como en este caso estn contestadas las siguientes
preguntas:-Se conoce la norma anterior?
-Se aplica en todos los casos?
Las Checklists de rango son adecuadas si el equipo auditor no es
muy grande y mantiene criterios uniformes y equivalentes en las
valoraciones. Permiten una mayor precisin en la evaluacin que en la
checklist binaria. Sin embargo, la bondad del mtodo depende
excesivamente de la formacin y competencia del equipo auditor.Las
Checklists Binarias siguen una elaboracin inicial mucho ms ardua y
compleja. Deben ser de gran precisin, como corresponde a la suma
precisin de la respuesta. Una vez construidas, tienen la ventaja de
exigir menos uniformidad del equipo auditor y el inconveniente
genrico del frente a la mayor riqueza del intervalo.No existen
Checklists estndar para todas y cada una de las instalaciones
informticas a auditar. Cada una de ellas posee peculiaridades que
hacen necesarios los retoques de adaptacin correspondientes en las
preguntas a realizar.Trazas y/o Huellas:Con frecuencia, el auditor
informtico debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no
otras. Para ello se apoya en productos Software muy potentes y
modulares que, entre otras funciones, rastrean los caminos que
siguen los datos a travs del programa.Muy especialmente, estas
"Trazas" se utilizan para comprobar la ejecucin de las validaciones
de datos previstas. Las mencionadas trazas no deben modificar en
absoluto el Sistema. Si la herramienta auditora produce incrementos
apreciables de carga, se convendr de antemano las fechas y horas ms
adecuadas para su empleo.Por lo que se refiere al anlisis del
Sistema, los auditores informticos emplean productos que comprueban
los valores asignados por Tcnica de Sistemas a cada uno de los
parmetros variables de las Libreras ms importantes del mismo. Estos
parmetros variables deben estar dentro de un intervalo marcado por
el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados
entornos o toman criterios especialmente restrictivos o permisivos
en la asignacin de unidades de servicio para segn cuales tipos
carga. Estas actuaciones, en principio tiles, pueden resultar
contraproducentes si se traspasan los lmites.No obstante la
utilidad de las Trazas, ha de repetirse lo expuesto en la
descripcin de la auditora informtica de Sistemas: el auditor
informtico emplea preferentemente la amplia informacin que
proporciona el propio Sistema: As, los ficheros de o de , en donde
se encuentra la produccin completa de aqul, y los de dicho Sistema,
en donde se recogen las modificaciones de datos y se pormenoriza la
actividad general.Del mismo modo, el Sistema genera automticamente
exacta informacin sobre el tratamiento de errores de maquina
central, perifricos, etc.[La auditora financiero-contable
convencional emplea trazas con mucha frecuencia. Son programas
encaminados a verificar lo correcto de los clculos de nminas,
primas, etc.].*Log:El log vendra a ser un historial que informa que
fue cambiando y cmo fue cambiando (informacin). Las bases de datos,
por ejemplo, utilizan el log para asegurar lo que se llaman las
transacciones. Las transacciones son unidades atmicas de cambios
dentro de una base de datos; toda esa serie de cambios se encuadra
dentro de una transaccin, y todo lo que va haciendo la Aplicacin
(grabar, modificar, borrar) dentro de esa transaccin, queda grabado
en el log. La transaccin tiene un principio y un fin, cuando la
transaccin llega a su fin, se vuelca todo a la base de datos. Si en
el medio de la transaccin se cort por x razn, lo que se hace es
volver para atrs. El log te permite analizar cronolgicamente que es
lo que sucedi con la informacin que est en el Sistema o que existe
dentro de la base de datos.Software de Interrogacin:Hasta hace ya
algunos aos se han utilizado productos software llamados
genricamente , capaces de generar programas para auditores
escasamente cualificados desde el punto de vista informtico.Ms
tarde, dichos productos evolucionaron hacia la obtencin de
muestreos estadsticos que permitieran la obtencin de consecuencias
e hiptesis de la situacin real de una instalacin.En la actualidad,
los productos Software especiales para la auditora informtica se
orientan principalmente hacia lenguajes que permiten la
interrogacin de ficheros y bases de datos de la empresa auditada.
Estos productos son utilizados solamente por los auditores
externos, por cuanto los internos disponen del software nativo
propio de la instalacin.Del mismo modo, la proliferacin de las
redes locales y de la filosofa "Cliente-Servidor", han llevado a
las firmas de software a desarrollar interfaces de transporte de
datos entre computadoras personales y mainframe, de modo que el
auditor informtico copia en su propia PC la informacin ms relevante
para su trabajo.Cabe recordar, que en la actualidad casi todos los
usuarios finales poseen datos e informacin parcial generada por la
organizacin informtica de la Compaa.Efectivamente, conectados como
terminales al "Host", almacenan los datos proporcionados por este,
que son tratados posteriormente en modo PC. El auditor se ve
obligado (naturalmente, dependiendo del alcance de la auditora) a
recabar informacin de los mencionados usuarios finales, lo cual
puede realizar con suma facilidad con los polivalentes productos
descritos. Con todo, las opiniones ms autorizadas indican que el
trabajo de campo del auditor informtico debe realizarse
principalmente con los productos del cliente.Finalmente, ha de
indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta
casi imprescindible una cierta soltura en el manejo de Procesadores
de Texto, paquetes de Grficos, Hojas de Clculo, etc.Metodologa de
Trabajo de Auditora InformticaEl mtodo de trabajo del auditor pasa
por las siguientes etapas: Alcance y Objetivos de la Auditora
Informtica. Estudio inicial del entorno auditable. Determinacin de
los recursos necesarios para realizar la auditora. Elaboracin del
plan y de los Programas de Trabajo. Actividades propiamente dichas
de la auditora. Confeccin y redaccin del Informe Final. Redaccin de
la Carta de Introduccin o Carta de Presentacin del Informe
final.Definicin de Alcance y ObjetivosEl alcance de la auditora
expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las
organizaciones a auditar.A los efectos de acotar el trabajo,
resulta muy beneficioso para ambas partes expresar las excepciones
de alcance de la auditora, es decir cuales materias, funciones u
organizaciones no van a ser auditadas.Tanto los alcances como las
excepciones deben figurar al comienzo del Informe Final.Las
personas que realizan la auditora han de conocer con la mayor
exactitud posible los objetivos a los que su tarea debe llegar.
Deben comprender los deseos y pretensiones del cliente, de forma
que las metas fijadas puedan ser cumplidas.Una vez definidos los
objetivos (objetivos especficos), stos se aadirn a los objetivos
generales y comunes de a toda auditora Informtica: La operatividad
de los Sistemas y los Controles Generales de Gestin
Informtica.Estudio InicialPara realizar dicho estudio ha de
examinarse las funciones y actividades generales de la
informtica.Para su realizacin el auditor debe conocer lo
siguiente:Organizacin:Para el equipo auditor, el conocimiento de
quin ordena, quin disea y quin ejecuta es fundamental. Para
realizar esto en auditor deber fijarse en:1) Organigrama:El
organigrama expresa la estructura oficial de la organizacin a
auditar.Si se descubriera que existe un organigrama fctico
diferente al oficial, se pondr de manifiesto tal circunstancia.2)
Departamentos:Se entiende como departamento a los rganos que siguen
inmediatamente a la Direccin. El equipo auditor describir
brevemente las funciones de cada uno de ellos.3) Relaciones
Jerrquicas y funcionales entre rganos de la Organizacin:El equipo
auditor verificar si se cumplen las relaciones funcionales y
Jerrquicas previstas por el organigrama, o por el contrario
detectar, por ejemplo, si algn empleado tiene dos jefes.Las de
Jerarqua implican la correspondiente subordinacin. Las funcionales
por el contrario, indican relaciones no estrictamente
subordinables.4. Adems de las corrientes verticales
intradepartamentales, la estructura organizativa cualquiera que
sea, produce corrientes de informacin horizontales y oblicuas
extradepartamentales.Los flujos de informacin entre los grupos de
una organizacin son necesarios para su eficiente gestin, siempre y
cuando tales corrientes no distorsionen el propio organigrama.En
ocasiones, las organizaciones crean espontneamente canales
alternativos de informacin, sin los cuales las funciones no podran
ejercerse con eficacia; estos canales alternativos se producen
porque hay pequeos o grandes fallos en la estructura y en el
organigrama que los representa.Otras veces, la aparicin de flujos
de informacin no previstos obedece a afinidades personales o simple
comodidad. Estos flujos de informacin son indeseables y producen
graves perturbaciones en la organizacin.5. Flujos de Informacin:El
equipo auditor comprobar que los nombres de los Puesto de los
Puestos de Trabajo de la organizacin corresponden a las funciones
reales distintas.Es frecuente que bajo nombres diferentes se
realicen funciones idnticas, lo cual indica la existencia de
funciones operativas redundantes.Esta situacin pone de manifiesto
deficiencias estructurales; los auditores darn a conocer tal
circunstancia y expresarn el nmero de puestos de trabajo
verdaderamente diferentes.6. Nmero de Puestos de trabajo7. Nmero de
personas por Puesto de TrabajoEs un parmetro que los auditores
informticos deben considerar. La inadecuacin del personal determina
que el nmero de personas que realizan las mismas funciones rara vez
coincida con la estructura oficial de la organizacin.Entorno
OperacionalEl equipo de auditora informtica debe poseer una
adecuada referencia del entorno en el que va a desenvolverse.Este
conocimiento previo se logra determinando, fundamentalmente, los
siguientes extremos:a. Se determinar la ubicacin geogrfica de los
distintos Centros de Proceso de Datos en la empresa. A continuacin,
se verificar la existencia de responsables en cada unos de ellos,
as como el uso de los mismos estndares de trabajo.b) Arquitectura y
configuracin de Hardware y Software:Cuando existen varios equipos,
es fundamental la configuracin elegida para cada uno de ellos, ya
que los mismos deben constituir un sistema compatible e
intercomunicado. La configuracin de los sistemas esta muy ligada a
las polticas de seguridad lgica de las compaas.Los auditores, en su
estudio inicial, deben tener en su poder la distribucin e
interconexin de los equipos.b. Situacin geogrfica de los
Sistemas:El auditor recabar informacin escrita, en donde figuren
todos los elementos fsicos y lgicos de la instalacin. En cuanto a
Hardware figurarn las CPUs, unidades de control local y remotas,
perifricos de todo tipo, etc.El inventario de software debe
contener todos los productos lgicos del Sistema, desde el software
bsico hasta los programas de utilidad adquiridos o desarrollados
internamente. Suele ser habitual clasificarlos en facturables y no
facturables.d) Comunicacin y Redes de Comunicacin:En el estudio
inicial los auditores dispondrn del nmero, situacin y
caractersticas principales de las lneas, as como de los accesos a
la red pblica de comunicaciones.Igualmente, poseern informacin de
las Redes Locales de la Empresa.Aplicaciones bases de datos y
ficherosEl estudio inicial que han de realizar los auditores se
cierra y culmina con una idea general de los procesos informticos
realizados en la empresa auditada. Para ello debern conocer lo
siguiente:1. Inventario de Hardware y Software:1. Volumen,
antigedad y complejidad de las AplicacionesSe clasificar
globalmente la existencia total o parcial de metodologa en el
desarrollo de las aplicaciones. Si se han utilizados varias a lo
largo del tiempo se pondr de manifiesto.1. Metodologa del DiseoLa
existencia de una adecuada documentacin de las aplicaciones
proporciona beneficios tangibles e inmediatos muy importantes.La
documentacin de programas disminuye gravemente el mantenimiento de
los mismos.1. DocumentacinEl auditor recabar informacin de tamao y
caractersticas de las Bases de Datos, clasificndolas en relacin y
jerarquas. Hallar un promedio de nmero de accesos a ellas por hora
o das. Esta operacin se repetir con los ficheros, as como la
frecuencia de actualizaciones de los mismos.Estos datos
proporcionan una visin aceptable de las caractersticas de la carga
informtica.Determinacin de recursos de la auditora
InformticaMediante los resultados del estudio inicial realizado se
procede a determinar los recursos humanos y materiales que han de
emplearse en la auditora.Recursos materialesEs muy importante su
determinacin, por cuanto la mayora de ellos son proporcionados por
el cliente. Las herramientas software propias del equipo van a
utilizarse igualmente en el sistema auditado, por lo que han de
convenirse en lo posible las fechas y horas de uso entre el auditor
y cliente.Los recursos materiales del auditor son de dos tipos:1.
Cantidad y complejidad de Bases de Datos y Ficheros.Programas
propios de la auditoria:Son muy potentes y Flexibles. Habitualmente
se aaden a las ejecuciones de los procesos del cliente para
verificarlos.Monitores:Se utilizan en funcin del grado de
desarrollo observado en la actividad de Tcnica de Sistemas del
auditado y de la cantidad y calidad de los datos ya existentes.1.
Recursos materiales Software1. Recursos materiales HardwareLos
recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en
las Computadoras del auditado.Para lo cul habr de convenir, tiempo
de maquina, espacio de disco, impresoras ocupadas, etc.Recursos
HumanosLa cantidad de recursos depende del volumen auditable. Las
caractersticas y perfiles del personal seleccionado depende de la
materia auditable.Es igualmente reseable que la auditora en general
suele ser ejercida por profesionales universitarios y por otras
personas de probada experiencia multidisciplinaria.Perfiles
Porfesionales de los auditores informticosProfesinActividades y
conocimientos deseables
Informtico GeneralistaCon experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado en Explotacin y en
Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de ProyectosAmplia experiencia como
responsable de proyectos. Experto analista. Conocedor de las
metodologas de Desarrollo ms importantes.
Tcnico de SistemasExperto en Sistemas Operativos y Software
Bsico. Conocedor de los productos equivalentes en el mercado.
Amplios conocimientos de Explotacin.
Experto en Bases de Datos y Administracin de las mismas.Con
experiencia en el mantenimiento de Bases de Datos. Conocimiento de
productos compatibles y equivalentes. Buenos conocimientos de
explotacin
Experto en Software de ComunicacinAlta especializacin dentro de
la tcnica de sistemas. Conocimientos profundos de redes. Muy
experto en Subsistemas de teleproceso.
Experto en Explotacin y Gestin de CPDSResponsable de algn Centro
de Clculo. Amplia experiencia en Automatizacin de trabajos. Experto
en relaciones humanas. Buenos conocimientos de los sistemas.
Tcnico de OrganizacinExperto organizador y coordinador.
Especialista en el anlisis de flujos de informacin.
Tcnico de evaluacin de CostesEconomista con conocimiento de
Informtica. Gestin de costes.
Elaboracin del Plan y de los programas de trabajoUna vez
asignados los recursos, el responsable de la auditora y sus
colaboradores establecen un plan de trabajo. Decidido ste, se
procede a la programacin del mismo.El plan se elabora teniendo en
cuenta, entre otros criterios, los siguientes:a) Si la Revisin debe
realizarse por reas generales o reas especficas. En el primer caso,
la elaboracin es ms compleja y costosa.b) Si la auditora es global,
de toda la Informtica, o parcial. El volumen determina no solamente
el nmero de auditores necesarios, sino las especialidades
necesarias del personal. En el plan no se consideran calendarios,
porque se manejan recursos genricos y no especficos. En el Plan se
establecen los recursos y esfuerzos globales que van a ser
necesarios. En el Plan se establecen las prioridades de materias
auditables, de acuerdo siempre con las prioridades del cliente. El
Plan establece disponibilidad futura de los recursos durante la
revisin. El Plan estructura las tareas a realizar por cada
integrante del grupo. En el Plan se expresan todas las ayudas que
el auditor ha de recibir del auditado.Una vez elaborado el Plan, se
procede a la Programacin de actividades. Esta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del
proyecto.Actividades de la Auditora InformticaAuditora por temas
generales o por reas especficas:La auditora Informtica general se
realiza por reas generales o por reas especficas. Si se examina por
grandes temas, resulta evidente la mayor calidad y el empleo de ms
tiempo total y mayores recursos.Cuando la auditora se realiza por
reas especficas, se abarcan de una vez todas las peculiaridades que
afectan a la misma, de forma que el resultado se obtiene ms
rpidamente y con menor calidad.Tcnicas de Trabajo:- Anlisis de la
informacin recabada del auditado.- Anlisis de la informacin
propia.- Cruzamiento de las informaciones anteriores.-
Entrevistas.- Simulacin.- Muestreos.Herramientas:- Cuestionario
general inicial.- Cuestionario Checklist.- Estndares.- Monitores.-
Simuladores (Generadores de datos).- Paquetes de auditora
(Generadores de Programas).- Matrices de riesgo.Informe FinalLa
funcin de la auditora se materializa exclusivamente por escrito.
Por lo tanto la elaboracin final es el exponente de su
calidad.Resulta evidente la necesidad de redactar borradores e
informes parciales previos al informe final, los que son elementos
de contraste entre opinin entre auditor y auditado y que pueden
descubrir fallos de apreciacin en el auditor.Estructura del informe
final:El informe comienza con la fecha de comienzo de la auditora y
la fecha de redaccin del mismo. Se incluyen los nombres del equipo
auditor y los nombres de todas las personas entrevistadas, con
indicacin de la jefatura, responsabilidad y puesto de trabajo que
ostente.Definicin de objetivos y alcance de la auditora.Enumeracin
de temas considerados:Antes de tratarlos con profundidad, se
enumerarn lo ms exhaustivamente posible todos los temas objeto de
la auditora.Cuerpo expositivo:Para cada tema, se seguir el
siguiente orden a saber:a) Situacin actual.Cuando se trate de una
revisin peridica, en la que se analiza no solamente una situacin
sino adems su evolucin en el tiempo, se expondr la situacin
prevista y la situacin realb) Tendencias.Se tratarn de hallar
parmetros que permitan establecer tendencias futuras.c) Puntos
dbiles y amenazas.d) Recomendaciones y planes de accin. Constituyen
junto con la exposicin de puntos dbiles, el verdadero objetivo de
la auditora informtica.e) Redaccin posterior de la Carta de
Introduccin o Presentacin.Modelo conceptual de la exposicin del
informe final:- El informe debe incluir solamente hechos
importantes.La inclusin de hechos poco relevantes o accesorios
desva la atencin del lector.- El Informe debe consolidar los hechos
que se describen en el mismo.El trmino de "hechos consolidados"
adquiere un especial significado de verificacin objetiva y de estar
documentalmente probados y soportados. La consolidacin de los
hechos debe satisfacer, al menos los siguientes criterios:1. El
hecho debe poder ser sometido a cambios.2. Las ventajas del cambio
deben superar los inconvenientes derivados de mantener la
situacin.3. No deben existir alternativas viables que superen al
cambio propuesto.4. La recomendacin del auditor sobre el hecho debe
mantener o mejorar las normas y estndares existentes en la
instalacin.La aparicin de un hecho en un informe de auditora
implica necesariamente la existencia de una debilidad que ha de ser
corregida.Flujo del hecho o debilidad:1 Hecho encontrado.- Ha de
ser relevante para el auditor y pera el cliente.- Ha de ser exacto,
y adems convincente.- No deben existir hechos repetidos.2
Consecuencias del hecho- Las consecuencias deben redactarse de modo
que sean directamente deducibles del hecho.3 Repercusin del hecho-
Se redactar las influencias directas que el hecho pueda tener sobre
otros aspectos informticos u otros mbitos de la empresa.4 Conclusin
del hecho- No deben redactarse conclusiones ms que en los casos en
que la exposicin haya sido muy extensa o compleja.5 Recomendacin
del auditor informtico- Deber entenderse por s sola, por simple
lectura.- Deber estar suficientemente soportada en el propio
texto.- Deber ser concreta y exacta en el tiempo, para que pueda
ser verificada su implementacin.- La recomendacin se redactar de
forma que vaya dirigida expresamente a la persona o personas que
puedan implementarla.Carta de introduccin o presentacin del informe
final:La carta de introduccin tiene especial importancia porque en
ella ha de resumirse la auditora realizada. Se destina
exclusivamente al responsable mximo de la empresa, o a la persona
concreta que encargo o contrato la auditora.As como pueden existir
tantas copias del informe Final como solicite el cliente, la
auditora no har copias de la citada carta de Introduccin.La carta
de introduccin poseer los siguientes atributos: Tendr como mximo 4
folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar
la importancia de las reas analizadas. Proporcionar una conclusin
general, concretando las reas de gran debilidad. Presentar las
debilidades en orden de importancia y gravedad. En la carta de
Introduccin no se escribirn nunca recomendaciones.CRMR (Computer
resource management review)Definicin de la metodologa CRMR:CRMR son
las siglas de ; su traduccin ms adecuada, Evaluacin de la gestin de
recursos informticos. En cualquier caso, esta terminologa quiere
destacar la posibilidad de realizar una evaluacin de eficiencia de
utilizacin de los recursos por medio del management.Una revisin de
esta naturaleza no tiene en s misma el grado de profundidad de una
auditora informtica global, pero proporciona soluciones ms rpidas a
problemas concretos y notorios.Supuestos de aplicacin:En funcin de
la definicin dada, la metodologa abreviada CRMR es aplicable ms a
deficiencias organizativas y gerenciales que a problemas de tipo
tcnico, pero no cubre cualquier rea de un Centro de Procesos de
Datos.El mtodo CRMR puede aplicarse cuando se producen algunas de
las situaciones que se citan: Se detecta una mala respuesta a las
peticiones y necesidades de los usuarios. Los resultados del Centro
de Procesos de Datos no estn a disposicin de los usuarios en el
momento oportuno. Se genera con alguna frecuencia informacin errnea
por fallos de datos o proceso. Existen sobrecargas frecuentes de
capacidad de proceso. Existen costes excesivos de proceso en el
Centro de Proceso de Datos.Efectivamente, son stas y no otras las
situaciones que el auditor informtico encuentra con mayor
frecuencia. Aunque pueden existir factores tcnicos que causen las
debilidades descritas, hay que convenir en la mayor incidencia de
fallos de gestin.Areas de aplicacin:Las reas en que el mtodo CRMR
puede ser aplicado se corresponden con las sujetas a las
condiciones de aplicacin sealadas en punto anterior: Gestin de
Datos. Control de Operaciones. Control y utilizacin de recursos
materiales y humanos. Interfaces y relaciones con usuarios.
Planificacin. Organizacin y administracin.Ciertamente, el CRMR no
es adecuado para evaluar la procedencia de adquisicin de nuevos
equipos (Capacity Planning) o para revisar muy a fondo los caminos
crticos o las holguras de un Proyecto complejo.Objetivos:CRMR tiene
como objetivo fundamental evaluar el grado de bondad o ineficiencia
de los procedimientos y mtodos de gestin que se observan en un
Centro de Proceso de Datos. Las Recomendaciones que se emitan como
resultado de la aplicacin del CRMR, tendrn como finalidad algunas
de las que se relacionan: Identificar y fijas responsabilidades.
Mejorar la flexibilidad de realizacin de actividades. Aumentar la
productividad. Disminuir costes Mejorar los mtodos y procedimientos
de Direccin.Alcance:Se fijarn los lmites que abarcar el CRMR, antes
de comenzar el trabajo.Se establecen tres clases:1. Reducido. El
resultado consiste en sealar las reas de actuacin con potencialidad
inmediata de obtencin de beneficios.2. Medio. En este caso, el CRMR
ya establece conclusiones y Recomendaciones, tal y como se hace en
la auditora informtica ordinaria.3. Amplio. El CRMR incluye Planes
de Accin, aportando tcnicas de implementacin de las
Recomendaciones, a la par que desarrolla las
conclusiones.Informacin necesaria para la evaluacin del CRMR:Se
determinan en este punto los requisitos necesarios para que esta
simbiosis de auditora y consultora pueda llevarse a cabo con
xito.1. El trabajo de campo del CRMR ha de realizarse completamente
integrado en la estructura del Centro de Proceso de Datos del
cliente, y con los recursos de ste.2. Se deber cumplir un detallado
programa de trabajo por tareas.3. El auditor-consultor recabar
determinada informacin necesaria del cliente.Se tratan a
continuacin los tres requisitos expuestos:1. No debe olvidarse que
se estn evaluando actividades desde el punto de vista gerencial. El
contacto permanente del auditor con el trabajo ordinario del Centro
de Proceso de Datos permite a aqul determinar el tipo de esquema
organizativo que se sigue.2. Integracin del auditor en el Centro de
Procesos de Datos a revisar3. Programa de trabajo clasificado por
tareasTodo trabajo habr de ser descompuesto en tareas. Cada una de
ellas se someter a la siguiente sistemtica: Identificacin de la
tarea. Descripcin de la tarea. Descripcin de la funcin de direccin
cuando la tarea se realiza incorrectamente. Descripcin de ventajas,
sugerencias y beneficios que puede originar un cambio o modificacin
de tarea Test para la evaluacin de la prctica directiva en relacin
con la tarea. Posibilidades de agrupacin de tareas. Ajustes en
funcin de las peculiaridades de un departamento concreto. Registro
de resultados, conclusiones y Recomendaciones.1. Informacin
necesaria para la realizacin del CRMREl cliente es el que facilita
la informacin que el auditor contrastar con su trabajo de campo.Se
exhibe a continuacin una Checklist completa de los datos necesarios
para confeccionar el CRMR: Datos de mantenimiento preventivo de
Hardware. Informes de anomalas de los Sistemas. Procedimientos
estndar de actualizacin. Procedimientos de emergencia.
Monitarizacin de los Sistemas. Informes del rendimiento de los
Sistemas. Mantenimiento de las Libreras de Programas. Gestin de
Espacio en disco. Documentacin de entrega de Aplicaciones a
Explotacin. Documentacin de alta de cadenas en Explotacin.
Utilizacin de CPU, canales y discos. Datos de paginacin de los
Sistemas. Volumen total y libre de almacenamiento. Ocupacin media
de disco. Manuales de Procedimientos de Explotacin.Esta informacin
cubre ampliamente el espectro del CRMR y permite ejercer el
seguimiento de las Recomendaciones realizadas.Caso Prctico de una
Auditora de Seguridad Informtica A continuacin, un caso de auditora
de rea general para proporcionar una visin ms desarrollada y amplia
de la funcin auditora.Es una auditora de Seguridad Informtica que
tiene como misin revisar tanto la seguridad fsica del Centro de
Proceso de Datos en su sentido ms amplio, como la seguridad lgica
de datos, procesos y funciones informticas ms importantes de
aqul.Ciclo de SeguridadEl objetivo de esta auditora de seguridad es
revisar la situacin y las cuotas de eficiencia de la misma en los
rganos ms importantes de la estructura informtica.Para ello, se
fijan los supuestos de partida:El rea auditada es la Seguridad. El
rea a auditar se divide en:Segmentos.Los segmentos se dividen
en:Secciones.Las secciones se dividen en:Subsecciones.De este modo
la auditora se realizara en 3 niveles.Los segmentos a auditar, son:
Segmento 1: Seguridad de cumplimiento de normas y estndares.
Segmento 2: Seguridad de Sistema Operativo. Segmento 3: Seguridad
de Software. Segmento 4: Seguridad de Comunicaciones. Segmento 5:
Seguridad de Base de Datos. Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de Aplicaciones. Segmento 8: Seguridad
Fsica.Se darn los resultados globales de todos los segmentos y se
realizar un tratamiento exhaustivo del Segmento 8, a nivel de
seccin y subseccin.Conceptualmente la auditoria informtica en
general y la de Seguridad en particular, ha de desarrollarse en
seis fases bien diferenciadas:Fase 0.Causas de la realizacin del
ciclo de seguridad.Fase 1.Estrategia y logstica del ciclo de
seguridad.Fase 2.Ponderacin de sectores del ciclo de seguridad.Fase
3.Operativa del ciclo de seguridad.Fase 4.Clculos y resultados del
ciclo de seguridad.Fase 5.Confeccin del informe del ciclo de
seguridad.A su vez, las actividades auditoras se realizan en el
orden siguiente:1. Comienzo del proyecto de Auditora Informtica.2.
Asignacin del equipo auditor.3. Asignacin del equipo interlocutor
del cliente.4. Cumplimentacin de formularios globales y parciales
por parte del cliente.5. Asignacin de pesos tcnicos por parte del
equipo auditor.6. Asignacin de pesos polticos por parte del
cliente.7. Asignacin de pesos finales a segmentos y secciones.8.
Preparacin y confirmacin de entrevistas.9. Entrevistas,
confrontaciones y anlisis y repaso de documentacin.10. Calculo y
ponderacin de subsecciones, secciones y segmentos.11. Identificacin
de reas mejorables.12. Eleccin de las reas de actuacin
prioritaria.13. Preparacin de recomendaciones y borrador de
informe14. Discusin de borrador con cliente.15. Entrega del
informe.Causas de realizacin de una Auditora de SeguridadEsta
constituye la FASE 0 de la auditora y el orden 0 de actividades de
la misma.El equipo auditor debe conocer las razones por las cuales
el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas
causas: Reglas internas del cliente, incrementos no previstos de
costes, obligaciones legales, situacin de ineficiencia global
notoria, etc.De esta manera el auditor conocer el entorno inicial.
As, el equipo auditor elaborar el Plan de Trabajo.Estrategia y
logstica del ciclo de SeguridadConstituye la FASE 1 del ciclo de
seguridad y se desarrolla en las actividades 1, 2 y 3:Fase
1.Estrategia y logstica del ciclo de seguridad1. Designacin del
equipo auditor.2. Asignacin de interlocutores, validadores y
decisores del cliente.3. Cumplimentacin de un formulario general
por parte del cliente, para la realizacin del estudio inicial.Con
las razones por las cuales va a ser realizada la auditora (Fase 0),
el equipo auditor disea el proyecto de Ciclo de Seguridad con
arreglo a una estrategia definida en funcin del volumen y
complejidad del trabajo a realizar, que constituye la Fase 1 del
punto anterior.Para desarrollar la estrategia, el equipo auditor
necesita recursos materiales y humanos. La adecuacin de estos se
realiza mediante un desarrollo logstico, en el que los mismos deben
ser determinados con exactitud. La cantidad, calidad, coordinacin y
distribucin de los mencionados recursos, determina a su vez la
eficiencia y la economa del Proyecto.Los planes del equipo auditor
se desarrolla de la siguiente manera:1. Eligiendo el responsable de
la auditoria su propio equipo de trabajo. Este ha de ser heterogneo
en cuanto a especialidad, pero compacto.2. Recabando de la empresa
auditada los nombres de las personas de la misma que han de
relacionarse con los auditores, para las peticiones de informacin,
coordinacin de entrevistas, etc.Segn los planes marcados, el equipo
auditor, cumplidos los requisitos 1, 2 y 3, estar en disposicin de
comenzar la "tarea de campo", la operativa auditora del Ciclo de
Seguridad.Ponderacin de los Sectores AuditadosEste constituye la
Fase 2 del Proyecto y engloba las siguientes actividades:FASE
2.Ponderacin de sectores del ciclo de seguridad.3. Mediante un
estudio inicial, del cual forma parte el anlisis de un formulario
exhaustivo, tambin inicial, que los auditores entregan al cliente
para su cumplimentacin.4. Asignacin de pesos tcnicos. Se entienden
por tales las ponderaciones que el equipo auditor hace de los
segmentos y secciones, en funcin de su importancia.5. Asignacin de
pesos polticos. Son las mismas ponderaciones anteriores, pero
evaluadas por el cliente.Se pondera la importancia relativa de la
seguridad en los diversos sectores de la organizacin informtica
auditada.Las asignaciones de pesos a Secciones y Segmentos del rea
de seguridad que se audita, se realizan del siguiente modo:Pesos
tcnicosSon los coeficientes que el equipo auditor asigna a los
Segmentos y a las Secciones.Pesos polticosSon los coeficientes o
pesos que el cliente concede a cada Segmento y a cada Seccin del
Ciclo de Seguridad.Ciclo de Seguridad. Suma Pesos Segmentos =
100(con independencia del nmero de segmentos consideradas)
SegmentosPesos TcnicosPesos PolticosPesos Finales
Seg1. Normas y Estndares12810
Seg2. Sistema Operativo101010
Seg3. Software Bsico101412
Seg4. Comunicaciones121212
Seg5. Bases de Datos121212
Seg6. Procesos161214
Seg7. Aplicaciones161616
Seg8. Seguridad Fsica121614
TOTAL100100100
Pesos finalesSon el promedio de los pesos anteriores.El total de
los pesos de los 8 segmentos es 100. Este total de 100 puntos es el
que se ha asignado a la totalidad del rea de Seguridad, como podra
haberse elegido otro cualquiera. El total de puntos se mantiene
cualquiera que hubiera sido el nmero de segmentos. Si hubieran
existido cinco segmentos, en lugar de 8, la suma de los cinco habra
de seguir siendo de 100 puntos.Suma Peso Secciones = 20(con
independencia del nmero de Secciones consideradas)
SeccionesPesos TcnicosPesos PolticosPesos Finales
Secc1. Seg. Fsica de Datos666
Secc2. Control de Accesos534
Secc3. Equipos645
Secc4. Documentos243
Secc5. Suministros132
TOTAL202020
Puede observarse la diferente apreciacin de pesos por parte del
cliente y del equipo auditor. Mientras stos estiman que las Normas
y Estndares y los Procesos son muy importantes, el cliente no los
considera tanto, a la vez que prima, tal vez excesivamente, el
Software Bsico.Del mismo modo, se concede a todos los segmentos el
mismo valor total que se desee, por ejemplo 20, con absoluta
independencia del nmero de Secciones que tenga cada Segmento. En
este caso, se han definido y pesado cinco Secciones del Segmento de
Seguridad Fsica. Cabe aclarar, solo se desarroll un solo Segmento a
modo de ejemplo.Operativa del ciclo de SeguridadUna vez asignados
los pesos finales a todos los Segmentos y Secciones, se comienza la
Fase 3, que implica las siguientes actividades:FASE 3.Operativa del
ciclo de seguridad6. Asignacin de pesos finales a los Segmentos y
Secciones. El peso final es el promedio del peso tcnico y del peso
poltico. La Subsecciones se calculan pero no se ponderan.7.
Preparacin y confirmacin de entrevistas.8. Entrevistas, pruebas,
anlisis de la informacin, cruzamiento y repaso de la misma.Las
entrevistas deben realizarse con exactitud. El responsable del
equipo auditor designar a un encargado, dependiendo del rea de la
entrevista. Este, por supuesto, deber conocer a fondo la misma.La
realizacin de entrevistas adecuadas constituye uno de los factores
fundamentales del xito de la auditora. La adecuacin comienza con la
completa cooperacin del entrevistado. Si esta no se produce, el
responsable lo har saber al cliente.Deben realizarse varias
entrevistas del mismo tema, al menos a dos o tres niveles
jerrquicos distintos. El mismo auditor puede, y en ocasiones es
conveniente, entrevistar a la misma persona sobre distintos temas.
Las entrevistas deben realizarse de acuerdo con el plan
establecido, aunque se pueden llegar a agregar algunas adicionales
y sin planificacin.La entrevista concreta suele abarcar
Subsecciones de una misma Seccin tal vez una seccin completa.
Comenzada la entrevista, el auditor o auditores formularn preguntas
al/los entrevistado/s. Debe identificarse quien ha dicho qu, si son
ms de una las personas entrevistadas.Las Checklists son tiles y en
muchos casos imprescindibles. Terminadas las entrevistas, el
auditor califica las respuestas del auditado (no debe estar
presente) y procede al levantamiento de la informacin
correspondiente.Simultneamente a las entrevistas, el equipo auditor
realiza pruebas planeadas y pruebas sorpresa para verificar y
cruzar los datos solicitados y facilitados por el cliente