t2_conceptos_y_tipos_de_auditoria

8/6/2019 T2_CONCEPTOS_Y_TIPOS_DE_auditoria

1/40


2/40

2

Auditora Informtica

IInnttrroodduucccciinn

A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientasms poderosas para materializar uno de los conceptos ms vitales y necesarios para

cualquier organizacin empresarial, los Sistemas de Informacin de la empresa.La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso lasnormas y estndares propiamente informticos deben estar, por lo tanto, sometidos alos generales de la misma. En consecuencia, las organizaciones informticas formanparte de lo que se ha denominado el "management" o gestin de la empresa. Cabeaclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma dedecisiones, pero no decide por s misma. Por ende, debido a su importancia en elfuncionamiento de una empresa, existe la Auditora Informtica.El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se haconsiderado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. Acausa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha

entidad, antes de realizarse la auditora, ya se haban detectado fallas.El concepto de auditora es mucho ms que esto. Es un examen crtico que se realizacon el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, unaentidad, etc.La palabra auditora proviene del latn auditorius, yde esta proviene la palabra auditor,que se refiere a todo aquel que tiene la virtud de or.Por otra parte, el diccionario Espaol Sopena lo define como: Revisor de Cuentascolegiado. En un principio esta definicin carece de la explicacin del objetivofundamental que persigue todo auditor: evaluar la eficiencia y eficacia.Si consultamos el Boletn de Normas de auditora del Instituto mexicano de contadoresnos dice: " La auditora no es una actividad meramente mecnica que implique la

aplicacin de ciertos procedimientos cuyos resultados, una vez llevado a cabo son decarcter indudable."De todo esto sacamos como deduccin que la auditora es un examen crtico pero nomecnico, que no implica la preexistencia de fallas en la entidad auditada y quepersigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de unorganismo.Los principales objetivos que constituyen a la auditora Informtica son el control de lafuncin informtica, el anlisis de la eficiencia de los Sistemas Informticos quecomporta, la verificacin del cumplimiento de la Normativa general de la empresa eneste mbito y la revisin de la eficaz gestin de los recursos materiales y humanosinformticos.El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos quela empresa pone en juego para disponer de un eficiente y eficaz Sistema deInformacin. Claro est, que para la realizacin de una auditora informtica eficaz, sedebe entender a la empresa en su ms amplio sentido, ya que una Universidad, unMinisterio o un Hospital son tan empresas como una Sociedad Annima o empresaPblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida yeficiente con el fin de obtener beneficios econmicos y reduccin de costes.Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas deResultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control


3/40

3

correspondiente, o al menos debera estarlo. La importancia de llevar un control de estaherramienta se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancosapetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En estecaso interviene la Auditora Informtica de Seguridad.

Las computadoras creadas para procesar y difundir resultados o informacin elaboradapueden producir resultados o informacin errnea si dichos datos son, a su vez,errneos. Este concepto obvio es a veces olvidado por las mismas empresas queterminan perdiendo de vista la naturaleza y calidad de los datos de entrada a susSistemas Informticos, con la posibilidad de que se provoque un efecto cascada yafecte a Aplicaciones independientes. En este caso interviene la Auditora Informticade Datos.

Un Sistema Informtico mal diseado puede convertirse en una herramienta hartopeligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenesrecibidas y la modelizacin de la empresa est determinada por las computadoras quematerializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no

puede depender de un Software y Hardware mal diseados. Estos son solo algunos delos varios inconvenientes que puede presentar un Sistema Informtico, por eso, lanecesidad de laAuditora de Sistemas.

AAuuddiittoorraa::

La auditora nace como un rgano de control de algunas instituciones estatales yprivadas. Su funcin inicial es estrictamente econmico-financiero, y los casosinmediatos se encuentran en las peritaciones judiciales y las contrataciones decontables expertos por parte de Bancos Oficiales.La funcin auditora debe ser absolutamente independiente; no tiene carcter ejecutivo,ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisionespertinentes. La auditora contiene elementos de anlisis, de verificacin y de exposicinde debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de accinpara eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadasen el Informe final reciben el nombre de Recomendaciones.Las funciones de anlisis y revisin que el auditor informtico realiza, puede chocar conla psicologa del auditado, ya que es un informtico y tiene la necesidad de realizar sustareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, enocasiones, fundada. El nivel tcnico del auditor es a veces insuficiente, dada la grancomplejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen

disponer para realizar su tarea.Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie decuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamentepor las empresas auditoras, ya que son activos importantes de su actividad. Las CheckList tienen que ser comprendidas por el auditor al pie de la letra, ya que si son malaplicadas y mal recitadas se pueden llegar a obtener resultados distintos a losesperados por la empresa auditora. La Check List puede llegar a explicar cmo ocurrenlos hechos pero no por qu ocurren. El cuestionario debe estar subordinado a la regla,a la norma, al mtodo. Slo una metodologa precisa puede desentraar las causas por


4/40

4

las cuales se realizan actividades tericamente inadecuadas o se omiten otrascorrectas.El auditor slo puede emitir un juicio global o parcial basado en hechos y situacionesincontrovertibles, careciendo de poder para modificar la situacin analizada por lmismo.

AAuuddiittoorraa IInntteerrnnaa yy AAuuddiittoorraa EExxtteerrnnaa::

La auditora interna es la realizada con recursos materiales y personas que pertenecena la empresa auditada. Los empleados que realizan esta tarea son remuneradoseconmicamente. La auditora interna existe por expresa decisin de la Empresa, osea, que puede optar por su disolucin en cualquier momento.Por otro lado, la auditora externa es realizada por personas afines a la empresaauditada; es siempre remunerada. Se presupone una mayor objetividad que en laAuditora Interna, debido al mayor distanciamiento entre auditores y auditados.La auditora informtica interna cuenta con algunas ventajas adicionales muy

importantes respecto de la auditora externa, las cuales no son tan perceptibles comoen las auditoras convencionales. La auditora interna tiene la ventaja de que puedeactuar peridicamente realizando Revisiones globales, como parte de su Plan Anual yde su actividad normal. Los auditados conocen estos planes y se habitan a lasAuditoras, especialmente cuando las consecuencias de las Recomendaciones habidasbenefician su trabajo.En una empresa, los responsables de Informtica escuchan, orientan e informan sobrelas posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. Laempresa necesita controlar su Informtica y sta necesita que su propia gestin estsometida a los mismos Procedimientos y estndares que el resto de aquella. La

conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico.En cuanto a empresas se refiere, solamente las ms grandes pueden poseer unaAuditora propia y permanente, mientras que el resto acuden a las auditoras externas.Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajoa la Auditora Interna de la empresa cuando sta existe. Finalmente, la propiaInformtica requiere de su propio grupo de Control Interno, con implantacin fsica ensu estructura, puesto que si se ubicase dentro de la estructura Informtica ya no seraindependiente. Hoy, ya existen varias organizaciones Informticas dentro de la mismaempresa, y con diverso grado de autonoma, que son coordinadas por rganoscorporativos de Sistemas de Informacin de las Empresas.Una Empresa o Institucin que posee auditora interna puede y debe en ocasionescontratar servicios de auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los serviciospropios no estn suficientemente capacitados.

Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestosde emisin interna de graves recomendaciones que chocan con la opinin generalizadade la propia empresa.

Servir como mecanismo protector de posibles auditoras informticas externasdecretadas por la misma empresa.


5/40

5

Aunque la auditora interna sea independiente del Departamento de Sistemas, siguesiendo la misma empresa, por lo tanto, es necesario que se le realicen auditorasexternas como para tener una visin desde afuera de la empresa.La auditora informtica, tanto externa como interna, debe ser una actividad exenta decualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la

empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, oa instancias de parte, esto es, por encargo de la direccin o cliente.

AAllccaannccee ddee llaa AAuuddiittoorraa IInnffoorrmmttiiccaa::

El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarsela auditora informtica, se complementa con los objetivos de sta. El alcance ha defigurar expresamente en el Informe Final, de modo que quede perfectamentedeterminado no solamente hasta que puntos se ha llegado, sino cuales materiasfronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a uncontrol de integridad exhaustivo*? Se comprobar que los controles de validacin de

errores son adecuados y suficientes*? La indefinicin de los alcances de la auditoracompromete el xito de la misma.*Control de integridad de registros:Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin notiene integrado un registro comn, cuando lo necesite utilizar no lo va encontrar y, por lotanto, la aplicacin no funcionara como debera.*Control de validacin de errores:Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

CCaarraacctteerrssttiiccaass ddee llaa AAuuddiittoorraa IInnffoorrmmttiiccaa::

La informacin de la empresa y para la empresa, siempre importante, se ha convertidoen un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende,han de realizarse inversiones informticas, materia de la que se ocupa la Auditora deInversin Informtica.Del mismo modo, los Sistemas Informticos han de protegerse de modo global yparticular: a ello se debe la existencia de la Auditora de Seguridad Informticaengeneral, o a la auditora de Seguridad de alguna de sus reas, como pudieran serDesarrollo o Tcnica de Sistemas.Cuando se producen cambios estructurales en la Informtica, se reorganiza de algunaforma su funcin: se est en el campo de la Auditora de Organizacin Informtica.

Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan enuna auditora parcial. De otra manera: cuando se realiza una auditoria del rea deDesarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrolloexisten, adems de ineficiencias, debilidades de organizacin, o de inversiones, o deseguridad, o alguna mezcla de ellas.Sntomas de Necesidad de una Auditora Informtica:Las empresas acuden a las auditoras externas cuando existen sntomas bienperceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:- No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.


6/40

6

- Los estndares de productividad se desvan sensiblemente de los promediosconseguidos habitualmente.[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallidade alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios deSoftware en los terminales de usuario, refrescamiento de paneles, variacin de losficheros que deben ponerse diariamente a su disposicin, etc.- No se reparan las averas de Hardware ni se resuelven incidencias en plazosrazonables. El usuario percibe que est abandonado y desatendido permanentemente.- No se cumplen en todos los casos los plazos de entrega de resultados peridicos.Pequeas desviaciones pueden causar importantes desajustes en la actividad delusuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero:- Incremento desmesurado de costes.- Necesidad de justificacin de Inversiones Informticas (la empresa no est

absolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas.- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollode Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos- Seguridad Lgica- Seguridad Fsica- Confidencialidad[Los datos son propiedad inicialmente de la organizacin que los genera. Los datos depersonal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad.Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia*Totales y Locales.- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, seraprcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntomadebe ser sustituido por el mnimo indicio.*Planes de Contingencia:Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigooperando en otro lugar? Lo que generalmente se pide es que se hagan Backups de lainformacin diariamente y que aparte, sea doble, para tener un Backup en la empresa yotro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean

servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir,si a la empresa principal le provea telfono Telecom, a las oficinas paralelas,Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresaprincipal, se utilizara el Backup para seguir operando en las oficinas paralelas. LosBackups se pueden acumular durante dos meses, o el tiempo que estipule la empresa,y despus se van reciclando.


7/40

7

TTiippooss yy ccllaasseess ddee AAuuddiittoorraass::

El departamento de Informtica posee una actividad proyectada al exterior, al usuario,aunque el "exterior" siga siendo la misma empresa. He aqu, la Auditora Informticade Usuario. Se hace esta distincin para contraponerla a la informtica interna, endonde se hace la informtica cotidiana y real. En consecuencia, existe una Auditora

Informtica de Actividades Internas.El control del funcionamiento del departamento de informtica con el exterior, con elusuario se realiza por medio de la Direccin. Su figura es importante, en tanto encuanto es capaz de interpretar las necesidades de la Compaa. Una informticaeficiente y eficaz requiere el apoyo continuado de su Direccin frente al "exterior".Revisar estas interrelaciones constituye el objeto de la Auditora Informtica deDireccin. Estas tres auditoras, mas la auditora de Seguridad, son las cuatro AreasGenerales de la Auditora Informtica ms importantes.Dentro de las reas generales, se establecen las siguientes divisiones de AuditoraInformtica: de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo deProyectos. Estas son las Areas Especificas de la Auditora Informtica ms importantes.

Areas GeneralesAreasEspecficas

Interna Direccin Usuario Seguridad

Explotacin

Desarrollo

Sistemas

Comunicaciones

Seguridad

Cada Area Especifica puede ser auditada desde los siguientes criterios generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado decumplimiento de las directrices de sta.

Desde la perspectiva de los usuarios, destinatarios reales de la informtica.

Desde el punto de vista de la seguridad que ofrece la Informtica en general o la ramaauditada.Estas combinaciones pueden ser ampliadas y reducidas segn las caractersticas de laempresa auditada.

OObbjjeettiivvoo ffuunnddaammeennttaall ddee llaa aauuddiittoorraa iinnffoorrmmttiiccaa::

OperatividadLa operatividad es una funcin de mnimos consistente en que la organizacin y lasmaquinas funcionen, siquiera mnimamente. No es admisible detener la maquinaria


8/40

8

informtica para descubrir sus fallos y comenzar de nuevo. La auditora debe iniciar suactividad cuando los Sistemas estn operativos, es el principal objetivo el de mantenertal situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial.La operatividad de los Sistemas ha de constituir entonces la principal preocupacin delauditor informtico. Para conseguirla hay que acudir a la realizacin de Controles

Tcnicos Generales de Operatividad y Controles Tcnicos Especficos deOperatividad, previos a cualquier actividad de aquel.

Los Controles Tcnicos Generales son los que se realizan para verificar lacompatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software debase con todos los subsistemas existentes, as como la compatibilidad del Hardware ydel Software instalados. Estos controles son importantes en las instalaciones quecuentan con varios competidores, debido a que la profusin de entornos de trabajo muydiferenciados obliga a la contratacin de diversos productos de Software bsico, con elconsiguiente riesgo de abonar ms de una vez el mismo producto o desaprovecharparte del Software abonado. Puede ocurrir tambin con los productos de Softwarebsico desarrollados por el personal de Sistemas Interno, sobre todo cuando los

diversos equipos estn ubicados en Centros de Proceso de Datos geogrficamentealejados. Lo negativo de esta situacin es que puede producir la inoperatividad delconjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajandoindependientemente, pero no ser posible la interconexin e intercomunicacin detodos los Centros de Proceso de Datos si no existen productos comunes y compatibles.

Los Controles Tcnicos Especficos, de modo menos acusado, son igualmentenecesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puedeencontrar mal son parmetros de asignacin automtica de espacio en disco* quedificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo gener.Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones puedenestar definidos con distintos plazos en cada una de ellas, de modo que la prdida de

informacin es un hecho que podr producirse con facilidad, quedando inoperativa laexplotacin de alguna de las Aplicaciones mencionadas.*Parmetros de asignacin automtica de espacio en disco:Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, quetienen un montn de parmetros que permiten configurar cual va a ser elcomportamiento del Sistema. Una Aplicacin va a usar para tal y tal cosa cierta cantidadde espacio en disco. Si uno no analiz cual es la operatoria y el tiempo que le va allevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que unda la Aplicacin reviente, se caiga. Si esto sucede en medio de la operatoria y laAplicacin se cae, el volver a levantarla, con la nueva asignacin de espacio, si hay quehacer reconversiones o lo que sea, puede llegar a demandar muchsimo tiempo, lo quesignifica un riesgo enorme.

RReevviissiinn ddee CCoonnttrroolleess ddee llaa GGeessttiinn IInnffoorrmmttiiccaa::

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de laauditora es la verificacin de la observancia de las normas tericamente existentes enel departamento de Informtica y su coherencia con las del resto de la empresa. Paraello, habrn de revisarse sucesivamente y en este orden:


9/40

9

1. Las Normas Generales de la Instalacin Informtica. Se realizar una revisininicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando lasreas que carezcan de normativa, y sobre todo verificando que esta Normativa GeneralInformtica no est en contradiccin con alguna Norma General no informtica de laempresa.

2. Los Procedimientos Generales Informticos. Se verificar su existencia, al menosen los sectores ms importantes. Por ejemplo, la recepcin definitiva de las mquinasdebera estar firmada por los responsables de Explotacin. Tampoco el alta de unanueva Aplicacin podra producirse si no existieran los Procedimientos de Backup yRecuperacin correspondientes.

3. Los Procedimientos Especficos Informticos. Igualmente, se revisara suexistencia en las reas fundamentales. As, Explotacin no debera explotar unaAplicacin sin haber exigido a Desarrollo la pertinente documentacin. Del mismomodo, deber comprobarse que los Procedimientos Especficos no se opongan a losProcedimientos Generales. En todos los casos anteriores, a su vez, deber verificarseque no existe contradiccin alguna con la Normativa y los Procedimientos Generales de

la propia empresa, a los que la Informtica debe estar sometida.

AAuuddiittoorraa IInnffoorrmmttiiccaa ddee EExxpplloottaacciinn::

La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo:listados impresos, ficheros soportados magnticamente para otros informticos,ordenes automatizadas para lanzar o modificar procesos industriales, etc. Laexplotacin informtica se puede considerar como una fabrica con ciertaspeculiaridades que la distinguen de las reales. Para realizar la Explotacin Informticase dispone de una materia prima, los Datos, que es necesario transformar, y que sesometen previamente a controles de integridad y calidad. La transformacin se realiza

por medio del Proceso informtico, el cual est gobernado por programas. Obtenido elproducto final, los resultados son sometidos a varios controles de calidad y, finalmente,son distribuidos al cliente, al usuario.Auditar Explotacin consiste en auditar las secciones que la componen y susinterrelaciones. La Explotacin Informtica se divide en tres grandes reas:Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios grupos.Control de Entrada de Datos:Se analizar la captura de la informacin en soporte compatible con los Sistemas, elcumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correctatransmisin de datos entre entornos diferentes. Se verificar que los controles deintegridad y calidad de datos se realizan de acuerdo a Norma.Planificacin y Recepcin de Aplicaciones:Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificandosu cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreosselectivos de la Documentacin de las Aplicaciones explotadas. Se inquirir sobre laanticipacin de contactos con Desarrollo para la planificacin a medio y largo plazo.Centro de Control y Seguimiento de Trabajos:Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, laexplotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch*), o entiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso estn


10/40

10

permanentemente activas y la funcin de Explotacin se limita a vigilar y recuperarincidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotacin.En muchos Centros de Proceso de Datos, ste rgano recibe el nombre de Centro deControl de Batch. Este grupo determina el xito de la explotacin, en cuanto que es unode los factores ms importantes en el mantenimiento de la produccin.

*Batch y Tiempo Real:Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacindurante el da y durante la noche se corre un proceso enorme que lo que hace esrelacionar toda la informacin, calcular cosas y obtener como salida, por ejemplo,reportes. O sea, recolecta informacin durante el da, pero todava no procesa nada. Essolamente un tema de "Data Entry" que recolecta informacin, corre el proceso Batch(por lotes), y calcula todo lo necesario para arrancar al da siguiente.Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresadola informacin correspondiente, inmediatamente procesan y devuelven un resultado.Son Sistemas que tienen que responder en Tiempo Real.Operacin. Salas de Ordenadores:

Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios,as como la equidad en la asignacin de turnos de trabajo. Se verificar la existencia deun responsable de Sala en cada turno de trabajo. Se analizar el grado deautomatizacin de comandos, se verificara la existencia y grado de uso de losManuales de Operacin. Se analizar no solo la existencia de planes de formacin, sinoel cumplimiento de los mismos y el tiempo transcurrido para cada Operador desde elltimo Curso recibido. Se estudiarn los montajes diarios y por horas de cintas ocartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte delSistema hasta el montaje real. Se verificarn las lneas de papel impresas diarias y porhoras, as como la manipulacin de papel que comportan.Centro de Control de Red y Centro de Diagnosis (Help Desk):

El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin.Sus funciones se refieren exclusivamente al mbito de las Comunicaciones, estandomuy relacionado con la organizacin de Software de Comunicaciones de Tcnicas deSistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin entreambos. Se verificar la existencia de un punto focal nico, desde el cual seanperceptibles todos las lneas asociadas al Sistema. El Centro de Diagnosis (Help Desk)es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufridoaveras o incidencias, tanto de Software como de Hardware. El Centro de Diagnosisest especialmente indicado para informticos grandes y con usuarios dispersos en unamplio territorio. Es uno de los elementos que ms contribuyen a configurar la imagende la Informtica de la empresa. Debe ser auditada desde esta perspectiva, desde lasensibilidad del usuario sobre el servicio que se le dispone. No basta con comprobar laeficiencia tcnica del Centro, es necesario analizarlo simultneamente en el mbito deUsuario.

AAuuddiittoorraa IInnffoorrmmttiiccaa ddee DDeessaarrrroolllloo ddee PPrrooyyeeccttooss oo AApplliiccaacciioonneess::

La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin deSistemas y Aplicaciones. A su vez, engloba muchas reas, tantas como sectores


11/40

11

informatizables tiene la empresa. Muy escuetamente, una Aplicacin recorre lassiguientes fases:

Prerequisitos del Usuario (nico o plural) y del entorno

Anlisis funcional

Diseo

Anlisis orgnico (Preprogramacin y Programacin) Pruebas

Entrega a Explotacin y alta para el Proceso.Estas fases deben estar sometidas a un exigente control interno, caso contrario,adems del disparo de los costes, podr producirse la insatisfaccin del usuario.Finalmente, la auditora deber comprobar la seguridad de los programas en el sentidode garantizar que los ejecutados por la maquina sean exactamente los previstos y nootros.Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis decuatro consideraciones:

1. Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se asegure

la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcilmantenimiento de las mismas.

2. Control Interno de las Aplicaciones: se debern revisar las mismas fases quepresuntamente han debido seguir el rea correspondiente de Desarrollo:

Estudio de Vialidad de la Aplicacin. [importante para Aplicaciones largas, complejas ycaras]

Definicin Lgica de la Aplicacin. [se analizar que se han observado los postuladoslgicos de actuacin, en funcin de la metodologa elegida y la finalidad que persigue elproyecto]

Desarrollo Tcnico de la Aplicacin. [Se verificar que ste es ordenado y correcto. Las

herramientas tcnicas utilizadas en los diversos programas debern ser compatibles] Diseo de Programas. [debern poseer la mxima sencillez, modularidad y economa

de recursos]

Mtodos de Pruebas. [ Se realizarn de acuerdo a las Normas de la Instalacin. Seutilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales]

Documentacin. [cumplir la Normativa establecida en la Instalacin, tanto la deDesarrollo como la de entrega de Aplicaciones a Explotacin]

Equipo de Programacin. [Deben fijarse las tareas de anlisis puro, de programacin ylas intermedias. En Aplicaciones complejas se produciran variaciones en lacomposicin del grupo, pero estos debern estar previstos]

1. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada,

deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. Laaquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitarreprogramaciones y disminuir el mantenimiento de la Aplicacin.

2. Control de Procesos y Ejecuciones de Programas Crticos:El auditor no debe descartarla posibilidad de que se est ejecutando un mdulo que no se corresponde con elprograma fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones.Se ha de comprobar la correspondencia biunvoca y exclusiva entre el programacodificado y su compilacin. Si los programas fuente y los programa mdulo nocoincidieran podrase provocar, desde errores de bulto que produciran graves y altos


12/40

12

costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionajeindustrial-informativo, etc. Por ende, hay normas muy rgidas en cuanto a las Librerasde programas; aquellos programas fuente que hayan sido dados por bueno porDesarrollo, son entregados a Explotacin con el fin de que ste:

1. Copie el programa fuente en la Librera de Fuentes de Explotacin, a la que nadie ms

tiene acceso2. Compile y monte ese programa, depositndolo en la Librera de Mdulos deExplotacin, a la que nadie ms tiene acceso.

3. Copie los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc.en el lugar que se le indique. Cualquier cambio exigir pasar nuevamente por el punto1.Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante arduay compleja, hoy (algunas empresas lo usarn, otras no) se utiliza un sistema llamadoU.A.T (User Acceptance Test). Este consiste en que el futuro usuario de esta Aplicacinuse la Aplicacin como si la estuviera usando en Produccin para que detecte o sedenoten por s solos los errores de la misma. Estos defectos que se encuentran se van

corrigiendo a medida que se va haciendo el U.A.T. Una vez que se consigue el U.A.T.,el usuario tiene que dar el Sign Off ("Esto est bien"). Todo este testeo, auditora lotiene que controlar, tiene que evaluar que el testeo sea correcto, que exista un plan detesteo, que est involucrado tanto el cliente como el desarrollador y que estos defectosse corrijan. Auditora tiene que corroborar que el U.A.T. prueba todo y que el Sign Offdel usuario sea un Sign Off por todo.Es aconsejable que las Empresas cuenten con un Departamento QA (QualityAssurance Aseguramiento de la Calidad) que tendra la funcin de controlar que elproducto que llegue al usuario sea el correcto en cuanto a funcionamiento yprestaciones, antes del U.A.T.

AAuuddiittoorraa IInnffoorrmmttiiccaa ddee SSiisstteemmaass::

Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todassus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado quelas Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen porseparado, aunque formen parte del entorno general de Sistemas.Sistemas Operativos:Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse enprimer lugar que los Sistemas estn actualizados con las ltimas versiones delfabricante, indagando las causas de las omisiones si las hubiera. El anlisis de lasversiones de los Sistemas Operativos permite descubrir las posibles incompatibilidadesentre otros productos de Software Bsico adquiridos por la instalacin y determinadasversiones de aquellas. Deben revisarse los parmetros variables de las Libreras msimportantes de los Sistemas, por si difieren de los valores habituales aconsejados por elconstructor.Software Bsico:Es fundamental para el auditor conocer los productos de software bsico que han sidofacturados aparte de la propia computadora. Esto, por razones econmicas y porrazones de comprobacin de que la computadora podra funcionar sin el productoadquirido por el cliente. En cuanto al Software desarrollado por el personal informtico


13/40

13

de la empresa, el auditor debe verificar que ste no agreda ni condiciona al Sistema.Igualmente, debe considerar el esfuerzo realizado en trminos de costes, por si hubieraalternativas ms econmicas.Software de Teleproceso (Tiempo Real):No se incluye en Software Bsico por su especialidad e importancia. Las

consideraciones anteriores son vlidas para ste tambin.Tunning:Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacindel comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones detunning deben diferenciarse de los controles habituales que realiza el personal deTcnica de Sistemas. El tunning posee una naturaleza ms revisora, establecindosepreviamente planes y programas de actuacin segn los sntomas observados. Sepueden realizar:

Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema

De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus accionesson repetitivas y estn planificados y organizados de antemano.

El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as comosus resultados. Deber analizar los modelos de carga utilizados y los niveles e ndicesde confianza de las observaciones.Optimizacin de los Sistemas y Subsistemas:Tcnica de Sistemas debe realizar acciones permanentes de optimizacin comoconsecuencia de la realizacin de tunnings preprogramados o especficos. El auditorverificar que las acciones de optimizacin* fueron efectivas y no comprometieron laOperatividad de los Sistemas ni el plan crtico de produccin diaria de Explotacin.*Optimizacin:Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nadacargado adentro. Lo que puede suceder es que, a medida que se va cargando, la

Aplicacin se va poniendo cada vez ms lenta; porque todas las referencias a tablas escada vez ms grande, la informacin que est moviendo es cada vez mayor, entoncesla Aplicacin se tiende a poner lenta. Lo que se tiene que hacer es un anlisis deperformance, para luego optimizarla, mejorar el rendimiento de dicha Aplicacin.Administracin de Base de Datos:El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido enuna actividad muy compleja y sofisticada, por lo general desarrollada en el mbito deTcnica de Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de laempresa. Al conocer el diseo y arquitectura de stas por parte de Sistemas, se lesencomienda tambin su administracin. Los auditores de Sistemas han observadoalgunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica deSistemas tiene sobre la problemtica general de los usuarios de Bases de Datos.La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datosdebera asegurarse que Explotacin conoce suficientemente las que son accedidas porlos Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes,que competen igualmente a Explotacin. Revisar finalmente la integridad yconsistencia de los datos, as como la ausencia de redundancias entre ellos.Investigacin y Desarrollo:Como empresas que utilizan y necesitan de informticas desarrolladas, saben que suspropios efectivos estn desarrollando Aplicaciones y utilidades que, concebidas


14/40

14

inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otrasempresas, haciendo competencia a las Compaas del ramo. La auditora informticadeber cuidar de que la actividad de Investigacin y Desarrollo no interfiera ni dificultelas tareas fundamentales internas.

AAuuddiittoorraa IInnffoorrmmttiiccaa ddee CCoommuunniiccaacciioonneess yy RReeddeess::

Para el informtico y para el auditor informtico, el entramado conceptual queconstituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales,etc. no son sino el soporte fsico-lgico del Tiempo Real. El auditor tropieza con ladificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entres, y est condicionado a la participacin del monopolio telefnico que presta el soporte.

Como en otros casos, la auditora de este sector requiere un equipo de especialistas,expertos simultneamente en Comunicaciones y en Redes Locales (no hay queolvidarse que en entornos geogrficos reducidos, algunas empresas optan por el usointerno de Redes Locales, diseadas y cableadas con recursos propios).El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de laslneas contratadas con informacin abundante sobre tiempos de desuso. Deberproveerse de la topologa de la Red de Comunicaciones, actualizada, ya que ladesactualizacin de esta documentacin significara una grave debilidad. Lainexistencia de datos sobre cuantas lneas existen, cmo son y donde estn instaladas,supondra que se bordea la Inoperatividad Informtica. Sin embargo, las debilidadesms frecuentes o importantes se encuentran en las disfunciones organizativas. La

contratacin e instalacin de lneas va asociada a la instalacin de los Puestos deTrabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras contarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estarmuy coordinadas y de ser posible, dependientes de una sola organizacin.

AAuuddiittoorraa ddee llaa SSeegguurriiddaadd iinnffoorrmmttiiccaa::

La computadora es un instrumento que estructura gran cantidad de informacin, la cualpuede ser confidencial para individuos, empresas o instituciones, y puede ser malutilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir

robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividadcomputacional. Esta informacin puede ser de suma importancia, y el no tenerla en elmomento preciso puede provocar retrasos sumamente costosos.En la actualidad y principalmente en las computadoras personales, se ha dado otrofactor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunquetiene diferentes intenciones, se encuentra principalmente para paquetes que soncopiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en undisco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" obien que, al conectarnos en red con otras computadoras, no exista la posibilidad detransmisin del virus. El uso inadecuado de la computadora comienza desde la


15/40

15

utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia deprogramas para fines de comercializacin sin reportar los derechos de autor hasta elacceso por va telefnica a bases de datos a fin de modificar la informacin conpropsitos fraudulentos.La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad

lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes dedatos, as como a la de los edificios e instalaciones que los albergan. Contempla lassituaciones de incendios, sabotajes, robos, catstrofes naturales, etc.La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de losdatos, procesos y programas, as como la del ordenado y autorizado acceso de losusuarios a la informacin.Un mtodo eficaz para proteger sistemas de computacin es el software de control deacceso. Dicho simplemente, los paquetes de control de acceso protegen contra elacceso no autorizado, pues piden del usuario una contrasea antes de permitirle elacceso a informacin confidencial. Dichos paquetes han sido populares desde hacemuchos aos en el mundo de las computadoras grandes, y los principales proveedores

ponen a disposicin de clientes algunos de estos paquetes.Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo quehace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos aarchivos, accesos a directorios, que usuario lo hizo, si tena o no tena permiso, si notena permiso porque fall, entrada de usuarios a cada uno de los servidores, fecha yhora, accesos con password equivocada, cambios de password, etc. La Aplicacin lopuede graficar, tirar en nmeros, puede hacer reportes, etc.La seguridad informtica se la puede dividir como Area General y como Area Especifica(seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuarauditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- yauditoras de la Seguridad de un rea informtica determinada Seguridad Especifica -.

Con el incremento de agresiones a instalaciones informticas en los ltimos aos, sehan ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. Losaccesos y conexiones indebidos a travs de las Redes de Comunicaciones, hanacelerado el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticadosmedios criptograficos.El sistema integral de seguridad debe comprender:

Elementos administrativos

Definicin de una poltica de seguridad

Organizacin y divisin de responsabilidades

Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)

Prcticas de seguridad del personal Elementos tcnicos y procedimientos

Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,tanto redes como terminales.

Aplicacin de los sistemas de seguridad, incluyendo datos y archivos

El papel de los auditores, tanto internos como externos

Planeacin de programas de desastre y su prueba.La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa,se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est


16/40

16

sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las"Amenazas" a las que est sometida una instalacin y los "Impactos" que aquellaspuedan causar cuando se presentan. Las matrices de riesgo se representan en cuadrosde doble entrada , en donde se evalan las probabilidades deocurrencia de los elementos de la matriz.

Ejemplo:

Impacto Amenaza

Error Incendio Sabotaje ..Destruccinde Hardware

- 1 1

Borrado deInformacin

3 1 1

1: Improbable2: Probable3: Certeza-:Despreciable

El cuadro muestra que si por error codificamos un parmetro que ordene el borrado deun fichero, ste se borrar con certeza.

HHeerrrraammiieennttaass yy TTccnniiccaass ppaarraa llaa AAuuddiittoorraa IInnffoorrmmttiiccaa::

Cuestionarios:

Las auditoras informticas se materializan recabando informacin y documentacin detodo tipo. Los informes finales de los auditores dependen de sus capacidades paraanalizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo decampo del auditor consiste en lograr toda la informacin necesaria para la emisin de

un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambinevidencias.Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin decuestionarios preimpresos que se envan a las personas concretas que el auditor creeadecuadas, sin que sea obligatorio que dichas personas sean las responsables oficialesde las diversas reas a auditar.Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sinodiferentes y muy especficos para cada situacin, y muy cuidados en su fondo y suforma.Sobre esta base, se estudia y analiza la documentacin recibida, de modo que talanlisis determine a su vez la informacin que deber elaborar el propio auditor. El

cruzamiento de ambos tipos de informacin es una de las bases fundamentales de laauditora.Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayanadquirido por otro medios la informacin que aquellos preimpresos hubieranproporcionado.


17/40

17

Entrevistas:

El auditor comienza a continuacin las relaciones personales con el auditado. Lo hacede tres formas:

1. Mediante la peticin de documentacin concreta sobre alguna materia de suresponsabilidad.

2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodoestricto de sometimiento a un cuestionario.

3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido deantemano y busca unas finalidades concretas.La entrevista es una de las actividades personales ms importante del auditor; en ellas,ste recoge ms informacin, y mejor matizada, que la proporcionada por mediospropios puramente tcnicos o por las respuestas escritas a cuestionarios.Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditadose basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor,interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditadosiguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la

forma de una conversacin correcta y lo menos tensa posible, el auditado contestesencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sinembargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muyelaborada y sistematizada, y que es diferente para cada caso particular.

Checklist:

El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionariosen funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu.Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesisposterior, lo cual no quiere decir que haya de someter al auditado a unas preguntasestereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar yhar preguntas "normales", que en realidad servirn para la cumplimentacinsistemtica de sus Cuestionarios, de sus Checklists.Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerleuna pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditorinformtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.El profesionalismo pasa por un procesamiento interno de informacin a fin de obtenerrespuestas coherentes que permitan una correcta descripcin de puntos dbiles yfuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han deformularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, lasChecklists deben ser contestadas oralmente, ya que superan en riqueza ygeneralizacin a cualquier otra forma.Segn la claridad de las preguntas y el talante del auditor, el auditado responderdesde posiciones muy distintas y con disposicin muy variable. El auditado,habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y losconocimientos del auditor, precisamente a travs de las preguntas que ste le formula.Esta percepcin configura el principio de autoridad y prestigio que el auditor debeposeer.


18/40

18

Por ello, aun siendo importante tener elaboradas listas de preguntas muysistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y elorden de su formulacin. Las empresas externas de Auditora Informtica guardan susChecklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente.No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio

y tica.El auditor deber aplicar el Checklist de modo que el auditado responda clara yescuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casosen que las respuestas se aparten sustancialmente de la pregunta. En algunasocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud untema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre elmismo.Algunas de las preguntas de las Checklists utilizadas para cada sector, deben serrepetidas. En efecto, bajo apariencia distinta, el auditor formular preguntasequivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechasdiferentes. De este modo, se podrn descubrir con mayor facilidad los puntos

contradictorios; el auditor deber analizar los matices de las respuestas y reelaborarpreguntas complementarias cuando hayan existido contradicciones, hasta conseguir lahomogeneidad. El entrevistado no debe percibir un excesivo formalismo en laspreguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia delauditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa"de calificacin o evaluacin:

a. Checklist de rangoContiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (porejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)Ejemplo de Checklist de rango:

Se supone que se est realizando una auditora sobre la seguridad fsica de unainstalacin y, dentro de ella, se analiza el control de los accesos de personas y cosas alCentro de Clculo. Podran formularse las preguntas que figuran a continuacin, endonde las respuestas tiene los siguientes significados:1 : Muy deficiente.2 : Deficiente.3 : Mejorable.4 : Aceptable.5 : Correcto.Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sinque parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleveun pequeo guin. La cumplimentacin del Checklist no debe realizarse en presenciadel auditado.-Existe personal especfico de vigilancia externa al edificio?-No, solamente un guarda por la noche que atiende adems otra instalacin adyacente.-Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en losaledaos del Centro de Clculo?-Si, pero sube a las otras 4 plantas cuando se le necesita.


19/40

19

-Hay salida de emergencia adems de la habilitada para la entrada y salida demquinas?-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.-El personal de Comunicaciones, Puede entrar directamente en la Sala de

Computadoras?-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente salvo causamuy justificada, y avisando casi siempre al Jefe de Explotacin.El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente.

b. Checklist BinariaEs la constituida por preguntas con respuesta nica y excluyente: Si o No.Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente.Ejemplo de Checklist Binaria:Se supone que se est realizando una Revisin de los mtodos de pruebas deprogramas en el mbito de Desarrollo de Proyectos.

-Existe Normativa de que el usuario final compruebe los resultados finales de losprogramas?-Conoce el personal de Desarrollo la existencia de la anterior normativa?-Se aplica dicha norma en todos los casos?-Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo ocopia de Bases de Datos reales?Obsrvese como en este caso estn contestadas las siguientes preguntas:

-Se conoce la norma anterior?-Se aplica en todos los casos?Los Checklists de rango son adecuados si el equipo auditor no es muy grande ymantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayorprecisin en la evaluacin que en los checklist binarios. Sin embargo, la bondad delmtodo depende excesivamente de la formacin y competencia del equipo auditor.Los Checklists Binarios siguen una elaboracin inicial mucho ms ardua y compleja.Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta.Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor yel inconveniente genrico del frente a la mayor riqueza del intervalo.No existen Checklists estndar para todas y cada una de las instalaciones informticasa auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoquesde adaptacin correspondientes en las preguntas a realizar.

Trazas y/o Huellas:

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de losSistemas como de usuario, realizan exactamente las funciones previstas, y no otras.


20/40

20

Para ello se apoya en productos Software muy potentes y modulares que, entre otrasfunciones, rastrean los caminos que siguen los datos a travs del programa.Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de lasvalidaciones de datos previstas. Las mencionadas trazas no deben modificar enabsoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de

carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.Por lo que se refiere al anlisis del Sistema, los auditores informticos empleanproductos que comprueban los valores asignados por Tcnica de Sistemas a cada unode los parmetros variables de las Libreras ms importantes del mismo. Estosparmetros variables deben estar dentro de un intervalo marcado por el fabricante. Amodo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores detrabajos de determinados entornos o toman criterios especialmente restrictivos opermisivos en la asignacin de unidades de servicio segn cuales tipos carga. Estasactuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan loslmites.No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la

auditora informtica de Sistemas: el auditor informtico emplea preferentemente laamplia informacin que proporciona el propio Sistema: As, los ficheros de o de , en donde se encuentra la produccin completa deaqul, y los de dicho Sistema, en donde se recogen las modificaciones de datosy se pormenoriza la actividad general.Del mismo modo, el Sistema genera automticamente exacta informacin sobre eltratamiento de errores de maquina central, perifricos, etc.[La auditora financiero-contable convencional emplea trazas con mucha frecuencia.Son programas encaminados a verificar lo correcto de los clculos de nminas, primas,etc.].*Log:

El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que sellaman las transacciones. Las transacciones son unidades atmicas de cambios dentrode una base de datos; toda esa serie de cambios se encuadra dentro de unatransaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro deesa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin,cuando la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el mediode la transaccin se cort por x razn, lo que se hace es volver para atrs. El log tepermite analizar cronolgicamente que es lo que sucedi con la informacin que esten el Sistema o que existe dentro de la base de datos.

Software de Interrogacin:

Hasta hace ya algunos aos se han utilizado productos software llamadosgenricamente , capaces de generar programas para auditoresescasamente cualificados desde el punto de vista informtico.Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreosestadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacinreal de una instalacin.En la actualidad, los productos Software especiales para la auditora informtica seorientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y


21/40

21

bases de datos de la empresa auditada. Estos productos son utilizados solamente porlos auditores externos, por cuanto los internos disponen del software nativo propio de lainstalacin.Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor",han llevado a las firmas de software a desarrollar interfaces de transporte de datos

entre computadoras personales y mainframe, de modo que el auditor informtico copiaen su propia PC la informacin ms relevante para su trabajo.Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos einformacin parcial generada por la organizacin informtica de la Compaa.Efectivamente, conectados como terminales al "Host", almacenan los datosproporcionados por este, que son tratados posteriormente en modo PC. El auditor se veobligado (naturalmente, dependiendo del alcance de la auditora) a recabar informacinde los mencionados usuarios finales, lo cual puede realizar con suma facilidad con lospolivalentes productos descritos. Con todo, las opiniones ms autorizadas indican queel trabajo de campo del auditor informtico debe realizarse principalmente con losproductos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccionepersonalmente determinadas partes del Informe. Para ello, resulta casi imprescindibleuna cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojasde Clculo, etc.

MMeettooddoollooggaa ddee TTrraabbaajjoo ddee AAuuddiittoorraa IInnffoorrmmttiiccaa

El mtodo de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditora Informtica.

Estudio inicial del entorno auditable.

Determinacin de los recursos necesarios para realizar la auditora.

Elaboracin del plan y de los Programas de Trabajo.

Actividades propiamente dichas de la auditora.

Confeccin y redaccin del Informe Final.

Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

Alcance y Objetivos de la Auditora Informtica

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muypreciso entre auditores y clientes sobre las funciones, las materias y las organizacionesa auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresarlas excepciones de alcance de la auditora, es decir cuales materias, funciones uorganizaciones no van a ser auditadas.Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.Las personas que realizan la auditora han de conocer con la mayor exactitud posiblelos objetivos a los que su tarea debe llegar. Deben comprender los deseos ypretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.


22/40

22

Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivosgenerales y comunes de a toda auditora Informtica: La operatividad de los Sistemas ylos Controles Generales de Gestin Informtica.

Estudio Inicial del entorno auditablePara realizar dicho estudio ha de examinarse las funciones y actividades generales dela informtica.Para su realizacin el auditor debe conocer lo siguiente:

OrganizacinPara el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecutaes fundamental. Para realizar esto en auditor deber fijarse en:

1) Organigrama:El organigrama expresa la estructura oficial de la organizacin a auditar.

Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de

manifiesto tal circunstancia.2) Departamentos:

Se entiende como departamento a los rganos que siguen inmediatamente a laDireccin. El equipo auditor describir brevemente las funciones de cada uno de ellos.

3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicasprevistas por el organigrama, o por el contrario detectar, por ejemplo, si algnempleado tiene dos jefes.Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por elcontrario, indican relaciones no estrictamente subordinables.

4) Flujos de Informacin:

Adems de las corrientes verticales intradepartamentales, la estructura organizativacualquiera que sea, produce corrientes de informacin horizontales y oblicuasextradepartamentales.Los flujos de informacin entre los grupos de una organizacin son necesarios para sueficiente gestin, siempre y cuando tales corrientes no distorsionen el propioorganigrama.En ocasiones, las organizaciones crean espontneamente canales alternativos deinformacin, sin los cuales las funciones no podran ejercerse con eficacia; estoscanales alternativos se producen porque hay pequeos o grandes fallos en la estructuray en el organigrama que los representa.Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidadespersonales o simple comodidad. Estos flujos de informacin son indeseables yproducen graves perturbaciones en la organizacin.

5) Nmero de Puestos de trabajoEl equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajode la organizacin corresponden a las funciones reales distintas.Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indicala existencia de funciones operativas redundantes.


23/40

23

Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn aconocer tal circunstancia y expresarn el nmero de puestos de trabajoverdaderamente diferentes.

6) Nmero de personas por Puesto de TrabajoEs un parmetro que los auditores informticos deben considerar. La inadecuacin del

personal determina que el nmero de personas que realizan las mismas funciones raravez coincida con la estructura oficial de la organizacin.

Entorno OperacionalEl equipo de auditora informtica debe poseer una adecuada referencia del entorno enel que va a desenvolverse.Este conocimiento previo se logra determinando, fundamentalmente, los siguientesextremos:

a. Situacin geogrfica de los Sistemas:Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos enla empresa. A continuacin, se verificar la existencia de responsables en cada unos de

ellos, as como el uso de los mismos estndares de trabajo.b. Arquitectura y configuracin de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuracin elegida para cada unode ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado.La configuracin de los sistemas esta muy ligada a las polticas de seguridad lgica delas compaas.Los auditores, en su estudio inicial, deben tener en su poder la distribucin einterconexin de los equipos.

c. Inventario de Hardware y Software:El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos ylgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control

local y remotas, perifricos de todo tipo, etc.El inventario de software debe contener todos los productos lgicos del Sistema, desdeel software bsico hasta los programas de utilidad adquiridos o desarrolladosinternamente. Suele ser habitual clasificarlos en facturables y no facturables.

d. Comunicacin y Redes de Comunicacin:En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticasprincipales de las lneas, as como de los accesos a la red pblica de comunicaciones.Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones bases de datos y ficherosEl estudio inicial que han de realizar los auditores se cierra y culmina con una ideageneral de los procesos informticos realizados en la empresa auditada. Para ellodebern conocer lo siguiente:

a. Volumen, antigedad y complejidad de las Aplicacionesb. Metodologa del Diseo

Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollode las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr demanifiesto.

c. Documentacin


24/40

24

La existencia de una adecuada documentacin de las aplicaciones proporcionabeneficios tangibles e inmediatos muy importantes.La documentacin de programas disminuye gravemente el mantenimiento de losmismos.

d. Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabar informacin de tamao y caractersticas de las Bases de Datos,clasificndolas en relacin y jerarquas. Hallar un promedio de nmero de accesos aellas por hora o das. Esta operacin se repetir con los ficheros, as como la frecuenciade actualizaciones de los mismos.Estos datos proporcionan una visin aceptable de las caractersticas de la cargainformtica.

Determinacin de los recursos necesarios para realizar la auditora

Mediante los resultados del estudio inicial realizado se procede a determinar losrecursos humanos y materiales que han de emplearse en la auditora.

Recursos materialesEs muy importante su determinacin, por cuanto la mayora de ellos sonproporcionados por el cliente. Las herramientas software propias del equipo van autilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posiblelas fechas y horas de uso entre el auditor y cliente.Los recursos materiales del auditor son de dos tipos:

a. Recursos materiales SoftwareProgramas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente seaaden a las ejecuciones de los procesos del cliente para verificarlos.Monitores:Se utilizan en funcin del grado de desarrollo observado en la actividad de

Tcnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.b. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Losprocesos de control deben efectuarse necesariamente en las Computadoras delauditado.Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresorasocupadas, etc.

Recursos HumanosLa cantidad de recursos depende del volumen auditable. Las caractersticas y perfilesdel personal seleccionado depende de la materia auditable.Es igualmente reseable que la auditora en general suele ser ejercida porprofesionales universitarios y por otras personas de probada experienciamultidisciplinaria.

Perfiles Profesionales de los auditores informticos

Profesin Actividades y conocimientos deseables


25/40

25

Informtico Generalista Con experiencia amplia en ramas distintas.Deseable que su labor se haya desarrolladoen Explotacin y en Desarrollo de Proyectos.Conocedor de Sistemas.

Experto en Desarrollo deProyectos

Amplia experiencia como responsable deproyectos. Experto analista. Conocedor de lasmetodologas de Desarrollo ms importantes.

Tcnico de Sistemas Experto en Sistemas Operativos y SoftwareBsico. Conocedor de los productosequivalentes en el mercado. Ampliosconocimientos de Explotacin.

Experto en Bases de Datos yAdministracin de las mismas.

Con experiencia en el mantenimiento deBases de Datos. Conocimiento de productoscompatibles y equivalentes. Buenosconocimientos de explotacin

Experto en Software deComunicacin

Alta especializacin dentro de la tcnica desistemas. Conocimientos profundos de redes.Muy experto en Subsistemas de teleproceso.

Experto en Explotacin y Gestinde CPDS

Responsable de algn Centro de Clculo.Amplia experiencia en Automatizacin detrabajos. Experto en relaciones humanas.Buenos conocimientos de los sistemas.

Tcnico de Organizacin Experto organizador y coordinador.Especialista en el anlisis de flujos de

informacin.

Tcnico de evaluacin de Costes Economista con conocimiento de Informtica.Gestin de costes.

Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus colaboradoresestablecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo.El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer

caso, la elaboracin es ms compleja y costosa.b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina nosolamente el nmero de auditores necesarios, sino las especialidades necesarias delpersonal.

En el plan no se consideran calendarios, porque se manejan recursos genricos y noespecficos.

En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.

En el Plan se establecen las prioridades de materias auditables, de acuerdo siemprecon las prioridades del cliente.


26/40

26

El Plan establece disponibilidad futura de los recursos durante la revisin.

El Plan estructura las tareas a realizar por cada integrante del grupo.

En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha deser lo suficientemente como para permitir modificaciones a lo largo del proyecto.

Actividades propiamente dichas de la Auditora

Auditora por temas generales o por reas especficas:La auditora Informtica general se realiza por reas generales o por reas especficas.Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de mstiempo total y mayores recursos.Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas laspeculiaridades que afectan a la misma, de forma que el resultado se obtiene msrpidamente y con menor calidad.Tcnicas de Trabajo:

- Anlisis de la informacin recabada del auditado.- Anlisis de la informacin propia.- Cruzamiento de las informaciones anteriores.- Entrevistas.- Simulacin.- Muestreos.Herramientas:- Cuestionario general inicial.- Cuestionario Checklist.- Estndares.- Monitores.- Simuladores (Generadores de datos).- Paquetes de auditora (Generadores de Programas).- Matrices de riesgo.

Confeccin y redaccin del Informe Final

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto laelaboracin final es el exponente de su calidad.Resulta evidente la necesidad de redactar borradores e informes parciales previos alinforme final, los que son elementos de contraste entre opinin entre auditor y auditado

y que pueden descubrir fallos de apreciacin en el auditor.Estructura del informe final:El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccindel mismo. Se incluyen los nombres del equipo auditor y los nombres de todas laspersonas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto detrabajo que ostente.Definicin de objetivos y alcance de la auditora.Enumeracin de temas considerados:Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posibletodos los temas objeto de la auditora.


27/40

27

Cuerpo expositivo:Para cada tema, se seguir el siguiente orden a saber:

a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza nosolamente una situacin sino adems su evolucin en el tiempo, se expondr lasituacin prevista y la situacin real.

b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendenciasfuturas.c) Puntos dbiles y amenazas.d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de

puntos dbiles, el verdadero objetivo de la auditora informtica.e) Redaccin posterior de la Carta de Introduccin o Presentacin.

MMooddeelloo ccoonncceeppttuuaall ddee llaa eexxppoossiicciinn ddeell iinnffoorrmmee ffiinnaall::

- El informe debe incluir solamente hechos importantes.La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.

- El Informe debe consolidar los hechos que se describen en el mismo.El trmino de "hechos consolidados" adquiere un especial significado de verificacinobjetiva y de estar documentalmente probados y soportados. La consolidacin de loshechos debe satisfacer, al menos los siguientes criterios:

1. El hecho debe poder ser sometido a cambios.2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la

situacin.3. No deben existir alternativas viables que superen al cambio propuesto.4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y

estndares existentes en la instalacin.La aparicin de un hecho en un informe de auditora implica necesariamente la

existencia de una debilidad que ha de ser corregida.Flujo del hecho o debilidad:1 Hecho encontrado.- Ha de ser relevante para el auditor y pera el cliente.- Ha de ser exacto, y adems convincente.- No deben existir hechos repetidos.2 Consecuencias del hecho- Las consecuencias deben redactarse de modo que sean directamente deducibles delhecho.3 Repercusin del hecho- Se redactar las influencias directas que el hecho pueda tener sobre otros aspectosinformticos u otros mbitos de la empresa.4 Conclusin del hecho- No deben redactarse conclusiones ms que en los casos en que la exposicin hayasido muy extensa o compleja.5 Recomendacin del auditor informtico- Deber entenderse por s sola, por simple lectura.- Deber estar suficientemente soportada en el propio texto.- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada suimplementacin.


28/40

28

- La recomendacin se redactar de forma que vaya dirigida expresamente a la personao personas que puedan implementarla.Carta de introduccin o presentacin del informe final:La carta de introduccin tiene especial importancia porque en ella ha de resumirse laauditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o

a la persona concreta que encargo o contrato la auditora.As como pueden existir tantas copias del informe Final como solicite el cliente, laauditora no har copias de la citada carta de Introduccin.La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.

Cuantificar la importancia de las reas analizadas.

Proporcionar una conclusin general, concretando las reas de gran debilidad.

Presentar las debilidades en orden de importancia y gravedad.

En la carta de Introduccin no se escribirn nunca recomendaciones.


29/40

29

CRMR (Computer resource management review)

DDeeffiinniicciinn ddee llaa mmeettooddoollooggaa CCRRMMRR::

CRMR son las siglas de ; su traduccinms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso,

esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficienciade utilizacin de los recursos por medio del management.Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de unaauditora informtica global, pero proporciona soluciones ms rpidas a problemasconcretos y notorios.

SSuuppuueessttooss ddee aapplliiccaacciinn::

En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms adeficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubrecualquier rea de un Centro de Procesos de Datos.

El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones quese citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuariosen el momento oportuno.

Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso.

Existen sobrecargas frecuentes de capacidad de proceso.

Existen costes excesivos de proceso en el Centro de Proceso de Datos.Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentracon mayor frecuencia. Aunque pueden existir factores tcnicos que causen las

debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin.

AArreeaass ddee aapplliiccaacciinn::

Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetasa las condiciones de aplicacin sealadas en punto anterior:

Gestin de Datos.

Control de Operaciones.

Control y utilizacin de recursos materiales y humanos.

Interfaces y relaciones con usuarios.

Planificacin.

Organizacin y administracin.Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin denuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos olas holguras de un Proyecto complejo.

OObbjjeettiivvooss::

CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de losprocedimientos y mtodos de gestin que se observan en un Centro de Proceso de


30/40

30

Datos. Las Recomendaciones que se emitan como resultado de la aplicacin delCRMR, tendrn como finalidad algunas de las que se relacionan:

Identificar y fijas responsabilidades.

Mejorar la flexibilidad de realizacin de actividades.

Aumentar la productividad.

Disminuir costes Mejorar los mtodos y procedimientos de Direccin.

AAllccaannccee::

Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.Se establecen tres clases:

1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidadinmediata de obtencin de beneficios.

2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal ycomo se hace en la auditora informtica ordinaria.

3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin delas Recomendaciones, a la par que desarrolla las conclusiones.

IInnffoorrmmaacciinn nneecceessaarriiaa ppaarraa llaa eevvaalluuaacciinn ddeell CCRRMMRR::

Se determinan en este punto los requisitos necesarios para que esta simbiosis deauditora y consultora pueda llevarse a cabo con xito.

1. El trabajo de campo del CRMR ha de realizarse completamente integrado en laestructura del Centro de Proceso de Datos del cliente, y con los recursos de ste.

2. Se deber cumplir un detallado programa de trabajo por tareas.

3. El auditor-consultor recabar determinada informacin necesaria del cliente.Se tratan a continuacin los tres requisitos expuestos:1. Integracin del auditor en el Centro de Procesos de Datos a revisar

No debe olvidarse que se estn evaluando actividades desde el punto de vistagerencial. El contacto permanente del auditor con el trabajo ordinario del Centro deProceso de Datos permite a aqul determinar el tipo de esquema organizativo que sesigue.

2. Programa de trabajo clasificado por tareasTodo trabajo habr de ser descompuesto en tareas. Cada una de ellas se someter a lasiguiente sistemtica:

Identificacin de la tarea.

Descripcin de la tarea. Descripcin de la funcin de direccin cuando la tarea se realiza incorrectamente.

Descripcin de ventajas, sugerencias y beneficios que puede originar un cambio omodificacin de tarea

Test para la evaluacin de la prctica directiva en relacin con la tarea.

Posibilidades de agrupacin de tareas.

Ajustes en funcin de las peculiaridades de un departamento concreto.

Registro de resultados, conclusiones y Recomendaciones.1. Informacin necesaria para la realizacin del CRMR


31/40

31

El cliente es el que facilita la informacin que el auditor contrastar con su trabajo decampo.Se exhibe a continuacin una Checklist completa de los datos necesarios paraconfeccionar el CRMR:

Datos de mantenimiento preventivo de Hardware.

Informes de anomalas de los Sistemas.

Procedimientos estndar de actualizacin.

Procedimientos de emergencia.

Monitarizacin de los Sistemas.

Informes del rendimiento de los Sistemas.

Mantenimiento de las Libreras de Programas.

Gestin de Espacio en disco.

Documentacin de entrega de Aplicaciones a Explotacin.

Documentacin de alta de cadenas en Explotacin.

Utilizacin de CPU, canales y discos.

Datos de paginacin de los Sistemas. Volumen total y libre de almacenamiento.

Ocupacin media de disco.

Manuales de Procedimientos de Explotacin.Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer elseguimiento de las Recomendaciones realizadas.

CCaassoo PPrrccttiiccoo ddee uunnaa AAuuddiittoorraa ddee SSeegguurriiddaadd IInnffoorrmmttiiccaa

A continuacin, un caso de auditora de rea general para proporcionar una visin msdesarrollada y amplia de la funcin auditora.

Es una auditora de Seguridad Informtica que tiene como misin revisar tanto laseguridad fsica del Centro de Proceso de Datos en su sentido ms amplio, como laseguridad lgica de datos, procesos y funciones informticas ms importantes de aqul.

CCiicclloo ddee SSeegguurriiddaadd

El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas deeficiencia de la misma en los rganos ms importantes de la estructura informtica.Para ello, se fijan los supuestos de partida:El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.

Los segmentos se dividen en: Secciones.Las secciones se dividen en: Subsecciones.De este modo la auditora se realizara en 3 niveles.Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares.

Segmento 2: Seguridad de Sistema Operativo.

Segmento 3: Seguridad de Software.

Segmento 4: Seguridad de Comunicaciones.

Segmento 5: Seguridad de Base de Datos.


32/40

32

Segmento 6: Seguridad de Proceso.

Segmento 7: Seguridad de Aplicaciones.

Segmento 8: Seguridad Fsica.Se darn los resultados globales de todos los segmentos y se realizar un tratamientoexhaustivo del Segmento 8, a nivel de seccin y subseccin.

Conceptualmente la auditoria informtica en general y la de Seguridad en particular, hade desarrollarse en seis fases bien diferenciadas:Fase 0. Causas de la realizacin del ciclo de seguridad.Fase 1. Estrategia y logstica del ciclo de seguridad.Fase 2. Ponderacin de sectores del ciclo de seguridad.Fase 3. Operativa del ciclo de seguridad.Fase 4. Clculos y resultados del ciclo de seguridad.Fase 5. Confeccin del informe del ciclo de seguridad.A su vez, las actividades auditoras se realizan en el orden siguiente:

0. Comienzo del proyecto de Auditora Informtica.1. Asignacin del equipo auditor.

2. Asignacin del equipo interlocutor del cliente.3. Cumplimentacin de formularios globales y parciales por parte del cliente.4. Asignacin de pesos tcnicos por parte del equipo auditor.5. Asignacin de pesos polticos por parte del cliente.6. Asignacin de pesos finales a segmentos y secciones.7. Preparacin y confirmacin de entrevistas.8. Entrevistas, confrontaciones y anlisis y repaso de documentacin.9. Calculo y ponderacin de subsecciones, secciones y segmentos.10. Identificacin de reas mejorables.11. Eleccin de las reas de actuacin prioritaria.12. Preparacin de recomendaciones y borrador de informe13. Discusin de borrador con cliente.14. Entrega del informe.

Fase 0. Causas de realizacin de una Auditora de Seguridad

Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma.El equipo auditor debe conocer las razones por las cuales el cliente desea realizar elCiclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente,incrementos no previstos de costes, obligaciones legales, situacin de ineficienciaglobal notoria, etc.

De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar elPlan de Trabajo.

Fase 1. Estrategia y logstica del ciclo de Seguridad

Se desarrolla en las siguientes actividades:1. Designacin del equipo auditor.2. Asignacin de interlocutores, validadores y decisores del cliente.3. Cumplimentacin de un formulario general por parte del cliente, para la realizacin del

estudio inicial.


33/40

33

Con las razones por las cuales va a ser realizada la auditora (Fase 0), el equipo auditordisea el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida enfuncin del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 delpunto anterior.Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y

humanos. La adecuacin de estos se realiza mediante un desarrollo logstico, en el quelos mismos deben ser determinados con exactitud. La cantidad, calidad, coordinacin ydistribucin de los mencionados recursos, determina a su vez la eficiencia y laeconoma del Proyecto.Los planes del equipo auditor se desarrolla de la siguiente manera:

1. Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de serheterogneo en cuanto a especialidad, pero compacto.

2. Recabando de la empresa auditada los nombres de las personas de la misma que hande relacionarse con los auditores, para las peticiones de informacin, coordinacin deentrevistas, etc.

3. Mediante un estudio inicial, del cual forma parte el anlisis de un formulario exhaustivo,

tambin inicial, que los auditores entregan al cliente para su cumplimentacin.Segn los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estaren disposicin de comenzar la "tarea de campo", la operativa auditora del Ciclo deSeguridad.

Fase 2. Ponderacin de los Sectores Auditados

Engloba las siguientes actividades:1. Asignacin de pesos tcnicos. Se entienden por tales las ponderaciones que el

equipo auditor hace de los segmentos y secciones, en funcin de su importancia.2. Asignacin de pesos polticos. Son las mismas ponderaciones anteriores, pero

evaluadas por el cliente.3. Asignacin de pesos finales a los Segmentos y Secciones. El peso final es el

promedio del peso tcnico y del peso poltico. La Subsecciones se calculan pero no seponderan.Se pondera la importancia relativa de la seguridad en los diversos sectores de laorganizacin informtica auditada.Las asignaciones de pesos a Seccione

t2_conceptos_y_tipos_de_auditoria

Documents