Contenido Contenido...........................................................................................................................2 Introduccin:......................................................................................................................3 Concepto general de la auditoria de la informacin..........................................................5 Perfil del auditor................................................................................................................6 5 grandes peligros..............................................................................................................8 Auditora interna y eterna................................................................................................! "IP#$ % C&A$'$ (' A)(I"#*IA............................................................................++ A)(I"#*IA I,-#*./"ICA (' '0P&#"ACI1,...............................................+2 A)(I"#*IA (' I,-#*./"ICA (' ('$A**#&&# (' P*#%'C"#$ # AP&ICACI#,'$........................................................................................................+2 A)(I"#*IA (' I,-#*.ACI1, AP&ICA(A A &A 3'$"I1, (' (#C).',"#$.........................................................................................................+6 A)(I"#*IA I,-#*./"ICA (' $I$"'.A$.......................................................+8 A)(I"#*IA (' &A $'3)*I(A( I,-#*./"ICA.............................................24 A)(I"#*5A I,-#*./"ICA (' C#.),ICACI1, % *'('$..........................22 P*#C'$#$ % 6'**A.I',"A$ 7)' ('-I,', &A A)(I"#*IA (' &A I,-#*.ACI1,:............................................................................................................26 P*#C'$#$:................................................................................................................26 6'**A.I',"A$:.....................................................................................................26 #89'"I:#$....................................................................................................................28 .#"I:#$ (' )$#........................................................................................................2! 2 Introduccin: 'l desarrollo a pasos agigantados de los medios de comunicacin; nos lle<a a concluir en =ue los sistemas inform>ticos; con el paso de los a?os se @an con<ertido en @erramientas muy poderosas para la organiAacin en un ni<el empresarial; materialiAando conceptos =ue son totalmente <itales; los cuales forman los $istemas de Informacin de las 'mpresas; con<irtiBndose a finales del Cltimo siglo en pilares fundamentales para el desarrollo empresarial en general. &a gestin empresarial cumple un rol muy importante @oy en da; estando la inform>tica in<olucrada en todos los procesos =ue se re=uieren para una Duena gestin; el EmanagementF o gestin de la empresa se denomina as a la forma como las organiAaciones est>n afrontando el mercado. &a inform>tica no es =uiBn maneGa las empresas; tiene un poder de decisin pero no decide por s misma. % de acuerdo cmo se tome su importancia dentro del >mDito empresarial; se da la eistencia de la Auditoria de Informacin. 6asta @ace relati<amente poco; el tBrmino Auditoria @a tenido un uso incorrecto; ya =ue se le encasill en el concepto de e<aluacin el cual est> e=ui<ocado; por=ue se considera =ue tiene un solo fin y es el de detectar errores y se?alar fallos. Por ello se deDe corregir y decir =ue la auditoria es un eamen crtico =ue se lle<a a caDo con la finalidad de e<aluar la eficiencia y la eficacia de una seccin; organismo; entidad; etc. &a auditoria de informacin se define como un diagnstico gloDal =ue ofrece una Efotografa aBreaF del modo en =ue se utiliAa la informacin en un sistema de interaccin. Adem>s permite tener una comprensin general del funcionamiento y caractersticas del sistema; antes de =ue Bste sea utiliAado. Puede e<aluar elementos como recursos de informacin; usos =ue se pueden @acer del sistema; fluGos de informacin; caractersticas del soporte y tipos de interaccin =ue permite el sistema; entre otros. A la @ora de realiAar una auditoria de informacin; deDemos identificar el uso de la informacin =ue se @ace en la organiAacin y el fluGo =ue sigue. Para ello deDemos identificar los recursos de los =ue la organiAacin a estudiar dispone; =uB uso efecti<o se @ace de ellos y los resultados =ue se oDtienen. "amDiBn deDemos tener en cuenta el e=uipamiento del =ue se dispone; =uiBn @ace uso de Bl; el coste; el <alor =ue aporta a la organiAacin y =uB tipo de profesional desempe?a estas funciones. &a auditoria de informacin deDe relacionar lo =ue se encuentra con los oDGeti<os de la organiAacin; as como relacionarlos con la cultura organiAati<a; adem>s de ayudar a decidir cmo la organiAacin deDe desarrollar una poltica informati<a. $e persigue realiAar una diagnosis de las carencias de la situacin actual; ya se por duplicaciones de la informacin como falta de Bsta; suDutiliAacin de recurso; incompatiDilidad oHu oDsolescencia de sistemas; carencias formati<as dentro del conGunto de los miemDros de la organiAacin; necesidades etraordinarias de recursos e insuficiencia del personal. 3 Por ello y como consecuencia se @a con<ertido en una ecelente @erramienta =ue e<alCa los par>metros soDre los =ue se @a de construir el sistema de gestin de la informacin de las organiAaciones. 2 Concepto general de la auditoria de la informacin 6asta @ace relati<amente poco tiempo; el termino Auditoria tenia un uso incorrecto; ya =ue se le asociaDa al concepto de e<aluacin el cual est> e=ui<ocado; por=ue se considera =ue tiene un solo fin =ue es el de detectar errores y se?alar fallos. Por ello se deDe corregir y decir =ue la auditoria es un eamen crtico =ue se lle<a a caDo con la finalidad de e<aluar la eficiencia y la eficacia de una seccin; organismo; etc. &a auditoria de informacin es un proceso interno al =ue se someten los sistemas de las organiAaciones =ue optan por intentar meGorar sus circunstancias. &a auditoria de la informacin ofrece una <isin gloDal o una Efotografa aBreaF del modo en =ue se utiliAa la informacin en un sistema de interaccin. Adem>s este sistema tamDiBn analiAa el funcionamiento general y las caractersticas del sistema; antes de =ue Bste sea utiliAado. Puede e<aluar elementos como recursos de informacin; usos =ue se pueden @acer del sistema; fluGos de informacin; caractersticas del soporte y tipos de interaccin =ue permite el sistema entre otros. &a funcin de la auditoria es independiente y sus conclusiones no son <inculantes; estas son plasmadas en el informe final y se las llama recomendaciones. 'n dic@o informe final aparece el alcance de la auditoria Iprecisin del entorno y los limites en los =ue se desarrolla BstaJ; =uedando as determinados no solo los puntos a los =ue se =uiere llegar IoDGeti<osJ sino; =ue materias @an sido eliminadas. 5 Perfil del auditor 'l auditor inform>tico @a de tener los conocimientos tBcnicos soDre el >rea a eaminar. 'ntonces podemos decir =ue el auditor inform>tico @a de tener conocimientos =ue aDar=uen los siguientes temas: Estructura del sistema de aplicacin. 'sto incluye un conocimiento amplio del @ardKare Iunidades de almacenamiento; terminales; perifBricos; procesadores...JL tamDiBn de sistemas y tBcnicas de mantenimientoL programacin y uso de taDlas de decisin y matrices. Controles y procedimientos del sistema de aplicaciones. 'l mBtodo de aplicar los controles de aplicacin y las tBcnicas para an>lisis del control interno. &as acti<idades en la aplicacin del proceso de datos; comunicacin de datos y otras >reas pertenecientes al procesamiento de aplicaciones; as como el uso de Dases de datos y diccionario de datos. "amDiBn la identificacin de los terminales; los procesos de autoriAacin IpermisosJ soDre los usuarios y terminales y transacciones =ue pueden ser realiAadas por los usuarios. &as tBcnicas =ue empleadas para asistir en el control de acceso a los datos y los programas tamDiBn son incluidas en los conocimientos necesarios. Gerencia de datos. 'n este campo deDemos incluir el almacenamiento de datos en cinta y discosL sellos internos y eternos; preparacin de Doletines de acceso; generacin de arc@i<o acceso y controlL etraccin de datos de las Dases centrales de datos. Controles de instalacin. 'ste >rea aDarca controles de entrada y salida; in<entario de produccin; controles de instalacin; maneGo de los controles de produccin; control soDre las cintas y otras DiDliotecas de almacenamiento; respaldoIDacMNupJ y recuperacin; y almacenamiento fuera de sitio IoffNsiteJ y retencin de arc@i<os. "amDiBn incluye el propsito y uso de lenguaGes de control; sistemas de operacin; softKare del sistema y programas de utilidad. Adem>s; de la familiariAacin con aspectos de las operaciones computariAadas; funciones de DiDlioteca; sistema y programacin; ser<icios tBcnicos; maneGo de arc@i<os y; el origen y autoriAacin de las transacciones. Desarrollo de sistemas y controles sobre los procesos de mantenimiento. 6a de tener conocimiento soDre los controles de desarrollo y mantenimiento de los procesos y de su aplicacin durante los proyectos. "amDiBn incluimos la eposicin para el dise?o e implementacin del est>ndar de sistemas. Controles especficos =ue se pueden implementar en nue<os sistemas: controles de entrada; procesamiento; salida; correccin de errores; camDios de sistema; recuperacin de desastres; retencin de #'( Iprocesamiento 'lectrnico de (atosJ. 'n instalaciones compleGas se deDera de conocer la programacin modular como el luso de tBcnicas de programacin interacti<a. 6 Controles de sistemas En-Lnea y software. Cuando los termnales; e=uipos de entrada remota; sistemas de transferencia electrnica de fondos u otros est>n en uso; el auditor necesita conocimiento adicional soDre un sistema en lnea como de los controles =ue pueden ser usados con ellos. Controles sobre el sistema manejador de base de datos y software. $i @ay un sistema maneGador de Dase de datos I#(8.$J; el auditor @a de conocer el dise?o total y el uso del diccionario de datos. "amDiBn @a de conocer los atriDutos especficos del (8.$ en uso en la empresa y soDre los controles de maneGo. Minicomputadoras y procesamiento distribuido. Conocimiento D>sico soDre el control de @ardKare y softKare en uso. &as minicomputadoras se usan para aplicaciones especficas. Por esto el auditor deDe conocer los conceptos relacionados con el procesamiento distriDuido y el control de procesamiento distriDuido. Aspectos especficos de las instalaciones u sistemas bajo auditoria. 'l auditor necesita informacin adicional por cada una de las aplicaciones de softKare y @ardKare =ue la empresa emplea. &a pregunta =ue nos @acemos a@ora es OCmo formar a un auditorP &o principal para oDtener estos conocimientos es identificar los aspectos del P'( y su organiAacin; =ue sean importantes dentro de la empresa. (espuBs @ay =ue saDer el ni<el de conocimiento necesario soDre estas >reas; para =ue el auditor del sistema pueda e<aluar correctamente las sugerencias; =ue los usuarios del procesamiento de datos puedan ofrecerle. 'l auditor necesita una Dase de todos estos aspectos; no para traDaGar si no para entender el funcionamiento. &os aspectos =ue deDe conocer el auditor son Dastante amplios por =ue en una empresa mediana o una gran organiAacin; necesitara entre dos das y una semana o una cantidad de @oras Dastante grande repartida en <arios a?os antes de estar totalmente preparado. .uc@os proyectos de sistemas de una empresa pueden durar mas de un a?o; pueden incluso alcanAar los dos y tres a?os; por lo =ue los auditores son retenidos durante el desarrollo de proyectos 'n funcin de los estos cocimientos el auditor inform>tico se encarga de re<isar los siguientes puntos: los controles en las aplicaciones instaladas con el fin de determinas si producen informacin eacta; oportuna y significati<a. la integridad de los datos. . el ciclo de desarrollo de nue<os sistemas. !. auditoria de datos reales y resultados de los sistemas =ue ya estBn implantados. ". procedimientos de operacin #. seguridad $. mantenimiento de sistemas %. procedimientos de ad=uisicin de @ardKare y softKare. &. practicas gerenciales del departamento de sistemas o inform>tica. Q 'n realidad la auditoria inform>tica se di<ide en <arios tipos de auditoria: de produccin y eplotacin; de gestin de documentos; de desarrollo de proyectos; de sistemas; de comunicacin y redes y de seguridad. 's posiDle =ue dentro de las laDores de auditoria inform>tica participe m>s de un auditor si no se encuentra una persona =ue pueda cuDrir todos los tipos de auditoria. 5 grandes peligros Los incendios Puede destruir datos almacenados en cintas; dis=uetes y dem>s. "amDiBn destruye @ardKare. "eniendo en cuenta =ue en las oficinas @ay otros tipos de materiales en aDundancia altamente inflamaDles: caGas; papel; pl>stico. 'obos. &os recursos materiales de una empresa pueden de gran <alor y por tanto un oDGeti<o para roDar. # simplemente roDar su tiempo de uso para fines aGenos a la empresa. (raude. &os ordenadores potencian el fraude dificultando la pre<encin y el descuDrimiento. 6ay cuatro mBtodos D>sicos =ue el desfalcador utiliAa: Manipulacin de datos de entrada. (esarrollo de programas o rutinas impropias. Alteracin o creacin de arc@i<os de da?os ficticios. "ransmitir ilegalmente; interceptar o des<iar informacin teleprocesada. )abotaje. Por algunas raAones los centros de computacin en la educacin y los negocios son los Dlancos llamati<os para destroAos; como eGemplo de tenemos: 'n la )ni<ersidad $ir 3eorge Rilliams en .ontreal; los estudiantes ocuparon el centro de computacin y cuando atacaron; destroAaron dos grandes computadoras con @ac@as. 'n la )ni<ersidad de 8oston; <agos destruyeron una computadora con pinAas de cortar alamDre y >cido. 'n &ondres; dos computadoras compartidoras de tiempo en un Duro de ser<icio fueron saDoteadas por un empleado =ue saDa =ue cortar para pre<enir un f>cil diagnstico. 8 Auditora interna y externa 6aDlaremos de dos tipos distintos de auditoria la Interna y la 'terna; la Auditoria interna se lle<a a caDo con recursos propios de la empresa; tanto como @umanos como materiales; todos estos pertenecen a la empresa auditada. &os empleados =ue realiAan la auditoria oDtienen una remuneracin econmica. &a auditoria eiste por decisin de la 'mpresa; esto =uiere decir =ue la empresa puede prescindir de esta acti<idad en cual=uier momento. 'n la auditoria eterna el personal deDe de ser afn a la empresa auditada; este tipo de auditoria es el m>s empleado por la mayor aportacin de oDGeti<idad conseguida por la poca relacin; o ineistente entre los auditores y los auditados. &a Auditoria inform>tica interna tiene una <entaGa respecto la eterna; ya =ue puede ser realiAada de forma peridica; incluyBndola en el plan anual de traDaGo realiAando una re<isin a fondo de los sistemas y todos los e=uipos utiliAados en la empresa. 'sto permite al los empleados de la empresa adecuarse al plan de traDaGo; incluyendo la auditoria realiAada de forma anual; apoyado por el Deneficio =ue aportan las distintas meGoras oDtenidas como resultado de realiAar la auditoria. &os empleados inform>ticos tienen el deDer de informar y tamDiBn escuc@ar las opiniones tBcnicas positi<as o negati<as =ue estBn relacionadas con el sistema; as como de los costos =ue Bste re=uiera. 'stas opiniones no cuentan con <oto dentro de la direccin de la empresa. 'n camDio si =ue son importantes; como consecuencia de la atencin de estas opiniones; se oDtienen resultados =ue satisfacen las necesidades m>s inmediatas de los empleados. &a mayor parte de las empresas; por no decir todas; desearan eGercer mayor control soDre sus sistemas inform>ticos. &as empresas grandes son la =ue se pueden permitir el luGo de tener una oficina de auditoria; ya =ue mantener este ser<icio de forma permanente es muy costoso y caro. Como consecuencia las pe=ue?as empresas acuden a auditorias eternas. $i la empresa decide mantener de forma permanente el ser<icio de auditoria interna; @aDr> =ue trasladar parte del personal inform>tico; ya eistente en la empresa; al nue<o departamento para realiAar la nue<a acti<ad teniendo conocimientos de los sistemas inform>ticos de la empresa. "amDiBn @ay distintas raAones por las =ue una empresa; teniendo este ser<icio se apoyara; tamDiBn; en los ser<icios de una auditoria eterna: . -alta de capacidad tBcnica; para realiAar la auditora de materia especialiAada en gran cantidad. !. Comparar las informaciones de amDas auditorias; para asegurar el Bito de las meGoras; aplicadas como consecuencia del resultado de la auditoria. ". #Dtener una <isin eterna y oDGeti<a de la empresa. AmDos tipos de auditorias @an de estar liDres de toda posiDle influencia poltica. 'ste tipo de influencias afectan a los resultados de la auditoria y como consecuencia es ! posiDle =ue da?en la poltica general y la estrategia de la empresa. 'l departamento de auditoria @a de tener autonoma para tomar decisiones y actuar de acuerdo a Bstas. 'ste departamento puede reciDir solicitudes tanto de la direccin de la empresa como del cliente; es un rgano independiente dentro de la empresa. 6emos de asegurarnos de las responsaDilidades asignadas a la fusin de auditoria interna de la organiAacin incluyen la re<isin peridica de todos los aspectos de las acti<idades del departamento de inform>tica; en concreto: . gestin y administracin !. desarrollo y mantenimiento de sistemas ". eplotacin de proceso de datos y apoyo a eplotacin #. ser<icios tBcnicos +4 TIPOS Y CAS!S "! A#"ITO$IA 'l departamento de inform>tica; tiene una acti<idad pensada para el usuario IeteriorJ; aun=ue Bsta siga siendo la misma organiAacin; de a=u se oDtiene la Auditoria de )suario diferenci>ndose as de la interna. Por lo tanto; tamDiBn tendremos una Auditoria Inform>tica de acti<idades internas. 'l funcionamiento de la Auditoria de Inform>tica (e )suario; se realiAa por medio de la (ireccin. )na inform>tica eficiente y eficaA; re=uiere el apoyo de la (ireccin frente al eterior; el oDGeti<o de la Auditoria Inform>tica de (ireccin es re<isar estas relaciones. 'stas tres auditorias Iusuario; acti<idades internas y direccinJ; Gunto con la Auditoria de $eguridad; son las cuatro >reas generales de la Auditoria Inform>tica m>s importantes. (entro de estas >reas generales; eisten tamDiBn di<isiones. ICuadroJ. Cada >rea especfica puede ser auditada de diferentes formasL . (esde el interior. !. (esde el apoyo =ue reciDe de la (ireccin. ". (esde el punto de <ista del usuario. #. (esde la perspecti<a de la inform>tica; en cuanto a seguridad. ++ AUDITORIA INFORMTICA DE EXPLOTACIN &a eplotacin inform>tica se ocupa de producir resultados inform>ticos de todo tipo. Para realiAar la eplotacin inform>tica; se dispone de unos datos =ue @ay =ue transformar y someter pre<iamente a controles de integridad y calidad. 'l proceso inform>tico es el medio encargado de esta transformacin goDernada por programas. &a eplotacin inform>tica est> di<idida en tres >reas: . Planificacin. !. Produccin. ". $oporte "Bcnico de 'plotacin Inform>tica. (e este modo; se oDtienen resultados en forma de listados impresos; fic@eros soportados magnBticamente para otros inform>ticos; rdenes autmatas para lanAar o modificar procesos; etc. &as funciones =ue se realiAan son las siguientes: N Control de entrada de datos: $e analiAar> la informacin oDtenida para <erificar su compatiDilidad con el sistema; teniendo en cuenta los plaAos estaDlecidos de entrega de datos y la correcta entrega de informacin. $e realiAar>n los procedimientos; de acuerdo a las normas <igentes. N Planificacin y *ecepcin de Aplicaciones: &as normas de entrega de Aplicaciones ser>n auditadas; comproDando su cumplimiento y su calidad. )na forma de e<aluar la informacin; es recogiendo muestras representati<as de la documentacin de las aplicaciones de eplotacin. N Centro de Control y $eguimiento de "raDaGos: A la produccin diaria se le realiAa un eamen e@austi<o. &a eplotacin inform>tica dar> eGecucin a procesos por cadenas o lotes IDatc@J; o en tiempo real I"iempo *ealJ. &as aplicaciones de teleproceso se encuentran en permanente acti<idad limitando a las funciones de eplotacin a <igilar; as como recuperar incidencias; adem>s Datc@ aDsorDe una Duena parte de los efecti<os de eplotacin. $i todo ello se lle<a a caDo sin dificultad ni incon<enientes; el Bito de la eplotacin est> garantiAado; as como el mantenimiento de la produccin. (eDe de eistir adem>s; una sala de ordenadores; donde lle<ar a caDo las operaciones necesarias en la Auditoria de 'plotacin; como un Centro de Control de *ed y un Centro de (iagnosis I6elp (esMJ. . $ala de ordenadores. #peracin: $e analiAar>n relaciones personales; co@erencia de cargos y salarios; as como la igualdad en la asignacin de turnos de traDaGo. $e <erificar> la eistencia de un responsaDle de sala en cada turno de traDaGo; se analiAar> el grado de automatiAacin de comandos; la eistencia y el grado de uso de los .anuales de #peracin y no slo la eistencia de planes de formacin; sino tamDiBn su cumplimiento y el tiempo transcurrido de cada operador desde el Cltimo curso reciDido. Adem>s se estudiar>n el desarrollo diario y por @oras de cual=uier procedimiento. +2 !. Centro de Control de *ed y Centro de (iagnosis I6elp (esMJ: $e suele uDicar en >reas de produccin de eplotacin. $us funciones se Dasan eclusi<amente en la comunicacin; estando relacionadas con la organiAacin del softKare de Comunicaciones "Bcnicas de $istemas. (eDe de @aDer fluideA y coordinacin entre amDos. ". 'l Centro de (iagnosis es el centro de llamadas de los usuariosNclientes; =ue tienen proDlemas o a<eras; tanto de softKare como de @ardKare. 'st> enfocado para inform>ticos grandes y con usuarios dispersos en un territorio amplio. 's uno de lo elementos =ue m>s contriDuyen a configurar la imagen de la Inform>tica de la #rganiAacin. (eDe de ser auditada desde el usuario y soDre el ser<icio =ue se le dispone; no slo comproDando la eficiencia tBcnica del Centro; sino tamDiBn analiAarlo simult>neamente en el >mDito de )suario. +3 AUDITORIA DE INFORMTICA DE DESARROLLO DE PROYECTOS O APLICACIONES &a funcin de desarrollo <iene del llamado An>lisis de $istemas y Aplicaciones; =ue engloDa di<ersas >reas; tantas como sectores informatiAaDles con =ue cuenta la organiAacin. )na aplicacin sigue las siguientes fases: . *e=uisitos del usuario y del entorno. !. An>lisis funcional. ". (ise?o. #. An>lisis org>nico Ireprogramacin y programacinJ. $. PrueDas. %. 'ntrega de eplotacin y alta del proceso. 'stas fases son sometidas a control interno; o de lo contrario si no fuera as; adem>s del disparo en los costes; pude producirse la insatisfaccin del usuario. &a auditoria tamDiBn deDer> comproDar la seguridad de los programas en el sentido de garantiAar su correcta eGecucin y no de lo contrario. &a Auditoria de (esarrollo de Proyectos; analiAa las siguientes cuatro consideraciones: N 'e*isin de las metodolo+as utili,adas- $e analiAan las metodologas eistentes; facilitando la ampliacin de la Aplicacin en el futuro y su meGor mantenimiento. N Control .nterno de las Aplicaciones- Estudio de viabilidad de la Aplicacin Iimportante en aplicaciones largas; compleGas y carasJ. Definicin lgica de la Aplicacin Ise analiAa el seguimiento lgico de actuacin; en funcin de la metodologa elegida y finalidad =ue persigue el proyectoJ. Desarrollo Tcnico de la Aplicacin Iordenado y correcto; con @erramientas tBcnicas compatiDles; utiliAadas en los di<ersos programasJ. Diseo de Programas Im>ima sencilleA; modularidad y economa de recursosJ. Mtodos de Pruebas Ise realiAar>n soDre las normas de la instalacin; utiliAando Guegos de ensayo de datosJ. Documentacin Icumpliendo la normati<a estaDlecida en la instalacin; tanto la de (esarrollo; como de Aplicaciones a 'plotacinJ. Equipo de programacin Ien aplicaciones compleGas; se producir>n <ariaciones en las composiciones de los grupos; =ue deDen estar pre<istos; fiGando las tareas de an>lisis; de programacin e intermediasJ. N )atisfaccin de usuarios- $iendo una aplicacin tBcnicamente eficiente y Dien desarrollada; ser> un fracaso si no se satisface las necesidades o intereses del usuario =ue la solicita. N Control de /rocesos y Ejecuciones de /ro+ramas Crticos- Puede =ue se de el caso; de =ue se estB eGecutando un mdulo =ue no se corresponde con el programa fuente =ue desarroll; codific y proD el >rea de (esarrollo de +2 Aplicaciones. 'l auditor no deDe descartar esta posiDilidad y deDe comproDar la correspondencia eclusi<a entre el programa codificado y su compilacin. $i los programas fuente y los programas mdulo no se corresponden; pro<ocaran altos costes de mantenimiento; por crear errores de Dulto; @asta fraudes; acciones de saDotaGe; espionaGe inform>tico; etc. Por ello; se deDe de tener en cuenta las ,ormas de &iDrera de Programas; en las =ue los programas fuente =ue sean correctos por (esarrollo; ser>n entregados e 'plotacin con el fin de =ue: NCopie el programa fuente en la liDrera de -uentes de 'plotacin; a la =ue nadie m>s tiene acceso. -Compile monte el programa! lle<>ndolo a liDrera de .dulos de 'plotacin; a la =ue nadie m>s tiene acceso. -Copie los programas fuente =ue les sean solicitados para modificar; arreglar; etc. Cual=uier camDio implica <ol<er al paso primero. Como este mBtodo para auditar y dar de alta a una aplicacin es Dastante laDorioso y complicado; @ay algunas empresas; no todas; =ue usan un sistema llamado ).A." I)ser AceptaDle "estJ. Consiste en =ue el nue<o usuario de la Aplicacin la use como si estu<iera en Produccin y detectara as los errores de la misma. &os defectos =ue se encuentran; se <an corrigiendo a medida =ue se realiAa el ).A.". )na <eA =ue se consigue; el usuario da el $ign #ff IEesto est> DienFJ; testeo =ue tiene =ue controlar la auditoria y e<aluarlo para =ue sea el correcto; estando in<olucrados tanto el cliente como el desarrollador en Bste. Cuando el ).A.". finaliAa; la auditoria comprueDa =ue el $ign #ff del usuario est> Dien y el funcionamiento es el correcto. 's aconseGaDle; adem>s; =ue las organiAaciones cuenten con un (epartamento 7A I7uality Assurance Aseguramiento de la CalidadJ; con la funcin de controlar =ue el producto llegue al usuario adecuadamente; en cuanto al funcionamiento y prestaciones; antes de realiAar el ).A.". +5 AUDITORIA DE INFORMACIN APLICADA A LA GESTIN DE DOCUMENTOS $e puede definir la Auditoria de Informacin; dentro del campo de gestin de documentos; como un eamen sistem>tico; planteado y organiAado; =ue determina si las acti<idades y los resultados =ue tienen relacin con la gestin de documentos; cumplan con los mBtodos estaDlecidos y =ue aplic>ndose de forma adecuada; alcancen los oDGeti<os estipulados; no slo por los responsaDles de la unidad de gestin documental; sino por la organiAacin en general. Por su finalidad; la Auditoria de Informacin aplicada a la gestin de documentos; se presenta en tres categoras: . *elacionada con la e<aluacin de la situacin actual de gestin de documentos en la organiAacin; con el oDGeti<o de realiAar un diagnstico de gestin documental y un plan de accin. !. 'ncaminada a identificar los procedimientos de gestin de documentos; con la intencin de estaDlecer meGoras en los procesos de la organiAacin; e<aluando tres aspectos: N (ise?o y estructura de la documentacin de la organiAacin Ien papel o electrnicamenteJ; =ue sean fleiDles a posiDles camDios. N 8ase procedimental; en la =ue se estaDlecen responsaDilidades y acti<idades de los responsaDles de produccin; uso y administracin de documentos. N 6erramientas tecnolgicas usadas para el meGor rendimiento de documentos Iofim>tica; sistemas de informacin; correo electrnico; Intranet e Internet; entre otrosJ. ". Identificar la efecti<idad de recursos documentales de la organiAacin. 'n realiAacin de esta auditoria; se deDen de tener en cuenta las siguientes cuestiones: S O(ispone la organiAacin de la informacin =ue se necesitaPNAcceso. S O'st> distriDuida adecuadamente la informacinPN-luGo. S O$e utiliAa adecuadamente para la toma de decisionesPN*entaDilidad. "eniendo en cuenta siempre las necesidades de la organiAacin; o el oDGeti<o =ue Dusca; se aplicar> un tipo de auditoria especfica; incluso aplic>ndola a toda la organiAacin en s; o simplemente a >reas especficas =ue la necesiten por=ue muestran carencias; =ue se @an de solucionar. Adem>s; se puede aplicar una auditoria; a las @erramientas tecnolgicas tamDiBn; in<olucradas en la gestin de documentos como en los $istemas de Comunicacin; en Intranet o Internet; etc. &os resultados =ue oDtenemos al aplicar dic@a auditoria son: N 8alance de los procesos y acti<idades de gestin de documentos en la organiAacin. N Identifica puntos crticos y cuellos de Dotella; lo =ue permite aplicar soluciones para minimiAarlos. N (a prioridad a las >reas m>s perGudicadas o proDlem>ticas y a los proDlemas como tal. N (ise?a distintos mapas documentales. N Permite la identificacin de epertos en temas determinados. +6 N :erifica el cumplimiento de la normati<a legal. N Identifica necesidades y epectati<as de la organiAacin; relacionado con la gestin de documentos. N 'staDlece estrategias de interBs; como implementar las tecnologas de informacin; Dases de datos; etc. N 'laDora el plan de accin y proyectos; relacionado con la gestin de documentos. &os Deneficios =ue la organiAacin auditada en la gestin documental; oDtiene son: N Identifica oDst>culos y riesgos en documentos y soDrecostos =ue incurren en la organiAacin Ireproceso; duplicacin; errores; pBrdidas; etc.J. N "iene en cuenta la situacin actual de gestin de documentos en la organiAacin; por lo =ue implementa las estrategias y la puesta en marc@a del plan de accin en la gestin de documentos; =ue son necesidades de <ital importancia. N Ayuda a comprender y conocer los fluGos de documentos a la organiAacin con los =ue cuenta y les muestra lo =ue ganaran al contar con una eficiente gestin documental. N 'staDlece la relacin entre la informacin interna con la =ue cuenta la organiAacin; con los documentos =ue satisfacen a esa informacin; @aciendo de Bsta =ue sea m>s efecti<a. N .uestra el logro de los oDGeti<os =ue desea la organiAacin; a tra<Bs de una Duena gestin de documentos; adem>s de poder agregar m>s <alor al negocio. +Q Auditoria informti!a d" #i#t"ma# 'ste tipo de auditoria se encarga de analiAar las acti<idades relacionadas con la tBcnica de sistemas en todos sus campos. 'n los tiempos =ue corren las telecomunicaciones tienen gran importancia por lo =ue las comunicaciones; redes y lneas de las instalaciones inform>ticas se analiAan por separado. )istemas operati*os- &o primero =ue se deDe comproDar es =ue los sistemas estBn actualiAados con las Cltimas <ersiones del faDricante; e in<estigando; si @uDiera; la falta de estas actualiAaciones Podremos descuDrir posiDles incompatiDilidades con otros productos de softKare. )oftware b0sico 'l softKare realiAado por el personal inform>tico de la empresa no deDe da?ar el sistema ni causarle ningCn efecto negati<o. 6ay =ue tener en cuenta los costes y las alternati<as m>s econmicas. 1unnin+ ConGunto de tBcnicas y de medidas relacionadas con la e<aluacin del funcionamiento de los suDsistemas y del sistema en conGunto. 'ste tipo de acciones @an de ser diferenciadas de los @aDituales controles =ue realiAa el personal de tBcnica de sistemas de forma peridica. 'l tunning es m>s e@austi<o y metdico; puesto =ue pre<iamente se estaDlecen planes y programas de actuacin desacuerdo los distintos sntomas =ue se pueden oDser<ar. $e pueda realiAar: si se sospec@a del deterioro de forma parcial o total del sistema. (e forma sistem>tica y peridica; en cuyo caso las acciones son repetiti<as y est>n planificadas y organiAadas pre<iamente. 'l auditor deDer> saDer el nCmero de tunning lle<ados a caDo en el periodo deseado; as como los resultados oDtenidos. 2ptimi,acin de los sistemas y subsistemas- 6ay =ue mantener la optimiAacin de forma permanente (eDido a la realiAacin de tunnings preprogramados o especficos se consigue una optimiAacionT de forma permanente. 'l auditor deDe comproDar =ue las acciones de optimiAacin son efecti<as y no afectan la operati<idad de los sistemas ni el plan critico de produccin diaria de eplotacin. Tun eGemplo de optimiAacin es la instalacin de una aplicacin; normalmente al principio esta <aca; pero a medida =ue se utiliAa se <a cargando u esta se <uel<e m>s pesada y m>s lenta; la informacin =ue mue<e cada <eA es mayor. 's entonces cuando @ay =ue realiAar un an>lisis de performance; para poder optimiAarla; y as conseguir una meGora en el rendimiento de la aplicacin. +8 Administracin de bases de datos 'l dise?o de Dases de datos es algo compleGo y sofisticado; ya sean relaciones o Gerar=uas; desarrolladas en funcin de las aBreas y usuarios de la empresa. &os auditores pueden oDser<a disfunciones deDido a la escasa eperiencia de los usuarios de las Dases de datos. &a administracin de las Dases de datos deDe de estar a cargo de eplotacin y =ue las conoce; de esto @a de asegurarse el auditor de Dase de datos. AnaliAara los sistemas de sal<aguarda en uso y finalmente la integridad y consistencia de los datos; comproDando la ausencia de redundancias entre ellos. .n*esti+acin y desarrollo &as empresas =ue usan y necesitan tecnologa y aplicaciones inform>ticas desarrolladas; deDen tener en cuenta en todo momento =ue sus empleados desarrollan aplicaciones y di<ersas utilidades; =ue inicialmente fueron creadas para la empresa pero =ue pueden resultar interesantes para otras empresas de la competencia. +! Auditoria d" $a #"%uridad informti!a &a auditoria en este campo aDarca distintas >reas relacionadas con la seguridad fsica y lgica. &a seguridad lgica se relaciona con el uso adecuado del softKare; la proteccin de aplicaciones; procesos y datos tanto como del acceso ordenado y una Gerar=uiAacin correcta de permisos para el acceso a la informacin. &a seguridad fsica se refiere a la proteccin del @ardKare y los soportes de datos. "amDiBn tenemos =ue tener en cuenta la seguridad de los edificios e instalaciones =ue los alDergan. 'l auditor inform>tico deDe tener en cuenta situaciones no relacionadas con la tecnologa pero =ue si afectan a Bsta. 'stas situaciones pueden ser de origen natural; incendios; inundaciones; cat>strofes naturales o lle<adas a caDo por el @omDre; roDos; saDotaGesU &a seguridad inform>tica deDido a los r>pidos camDios =ue se producen de forma continua en las plataformas y condiciones y la posiDilidad de interconectarse a tra<Bs de redes; permite a las empresas meGorar su producti<idad y epandirse de forma internacional; lo cual tamDiBn supone la aparicin de nue<as amenaAas para los sistemas inform>ticos de las empresas. 'stos riesgos @an lle<ado a =ue muc@as empresas realicen documentos y directrices =ue den conocimiento del uso adecuado de estas no<edades tecnolgicas y recomendaciones para sacar un pro<ec@o <entaGoso; y e<itar el uso incorrecto ocasionando proDlemas a los e=uipos los ser<icios =ue estos prestan; =ue pueden desencadenar gra<es consecuencias y desastres dentro de la empresa. Generalidades $e deDe conocer adecuadamente como desarrollar y eGecutar la implantacin de un sistema de seguridad para realiAar una e<aluacin correcta. Para desarrollar un sistema de seguridad @ay =ue planear; organiAar; coordinar; dirigir y controlar todo lo =ue este relacionado con el mantenimiento de la integridad fsica de los recursos implicados en la funcin inform>tica; teniendo en cuenta el resguardo de los acti<os de la empresa. 6ay di<ersos puntos =ue @ay =ue tener en cuenta en un sistema integral de seguridad: definir elementos administrati<os. (efinir elementos administrati<os (efinir polticas de seguridad A ni<el departamental A ni<el institucional #rganiAar y di<idir las responsaDilidades Contemplar la seguridad fsica contra cat>strofes Iincendios; terremotos; inundaciones; etc.J (efinir pr>cticas de seguridad para el personal. (efinir elementos tBcnicos de procedimientos. (efinir las necesidades de sistemas de seguridad para @ardKare y softKare -luGo de energa. CaDleados locales y eternos Aplicacin de los sistemas de seguridad incluyendo datos y arc@i<os. 24 Planificacin de los papeles de los auditores internos y eternos. Planificacin de programas de desastre y sus prueDas IsimulacinJ. Planificacin de e=uipos de contingencia con car>cter peridico. Control de desec@os de los nodos importantes del sistema. Poltica de destruccin de Dasura; copias; fotocopias; etc. )n sistema @a de tener todos lo medios necesarios para su correcto funcionamiento. &as consideraciones @a tener en cuenta son: $ensiDiliAar a los eGecuti<os de la organiAacin en torno al tema de seguridad. $e deDe realiAar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organiAacin a ni<el softKare; @ardKare; recursos @umanos y amDientales. 'laDorar un plan para un programa de seguridad. /olticas de se+uridad inform0tica 3)EG4 &as polticas de seguridad inform>tica son una nue<a @erramienta para @acer <aler; a los empleados; la importancia de la informacin y ser<icios primarios de la empresa; sin los cuales no saldra adelante; no podra epandirse y ser competiti<a. .antener una poltica de seguridad re=uiere un gran compromiso son la empresa; y una Duena tBcnica para @allar errores y puntes dBDiles; tamDiBn un traDaGo duro para mantener actualiAada esa poltica en funcin del camDiante mundo de la tecnologa y la inform>tica; en concreto. definicin de polticas de seguridad inform>tica &a poltica de seguridad es una descripcin de cmo reconocer la informacin como uno de los principales acti<os; un motor de intercamDio y desarrollo en el >mDito de sus negocios. elementos de una poltica de seguridad inform>tica &as Polticas de $eguridad Inform>tica deDen considerar principalmente los siguientes elementos: Alcance de las polticas; incluyendo facilidades; sistemas y personal soDre la cual aplica. #DGeti<os de la poltica y descripcin clara de los elementos in<olucrados en su definicin. *esponsaDilidades por cada uno de los ser<icios y recursos inform>ticos aplicado a todos los ni<eles de la organiAacin. *e=uerimientos mnimos para configuracin de la seguridad de los sistemas =ue aDarca el alcance de la poltica. (efinicin de <iolaciones y sanciones por no cumplir con las polticas. *esponsaDilidades de los usuarios con respecto a la informacin a la =ue tiene acceso. &a poltica de seguridad inform>tica @a de eplicar por =ue se deDen tomar decisiones y eplicar la importancia de Bstas Etapas para .mplantar un )istema de )e+uridad 2+ Para =ue el plan de seguridad entre en funcionamiento y todo funcione correctamente y se empiece a respetar las nue<as normas de la empresa como parte del plan del nue<o sistema de seguridad @a de lle<arse a caDo los siguientes pasos. Introducir la seguridad en el entorno de la empresa. Capacitar a los gerentes y directi<os; contemplando el enfo=ue gloDal. (esignar y capacitar super<isores de >rea. (efinir y traDaGar soDre todo las >reas donde se pueden lograr meGoras relati<amente r>pidas. .eGorar las comunicaciones internas. Identificar claramente las >reas de mayor riesgo y traDaGar con ellas planteando soluciones. Capacitar a todos los traDaGadores en los elementos D>sicos de seguridad y riesgo para el maneGo del softKare; @ardKare. 5eneficios de un )istema de )e+uridad (e forma inmediata se pueden apreciar los Deneficios de un sistema de seguridad: Aumento de la producti<idad. Aumento de la moti<acin del personal. Compromiso con la misin de la compa?a. .eGora de las relaciones laDorales. Ayuda a formar e=uipos competentes. .eGora de los climas laDorales para los **.66. Acciones 6ue Acompa7an a un sistema de )e+uridad 'l sistema de seguridad de una empresa @a de contar con una serie acciones especificadas de antemano para lle<arse a caDo en caso de una situacin de emergencia: #Dtener una especificacin de las aplicaciones; los programas y arc@i<os de datos. .edidas en caso de desastre como la pBrdida total de datos y los planes necesarios para cada caso. Prioridades en cuanto a acciones de seguridad de corto y largo plaAo. :erificar el tipo de acceso =ue tiene las diferentes personas de la organiAacin; cuidar =ue los programadores no cuenten con acceso a la seccin de operacin y <ice<ersa. 7ue los operadores no sean los Cnicos en resol<er los proDlemas =ue se presentan. 6ay =ue tener en cuenta otras cosas menos tBcnicas pero no por ello menos importantes. &as polticas de seguridad @an de redactarse en un lenguaGe sencillo y entendiDle; liDre de tecnicismos y palaDras =ue impidan la f>cil comprensin. "amDiBn deDemos considerar =ue las polticas de seguridad deDen de ser actualiAadas de forma peridica; relacionadas con el aumento de personal; camDios en la infraestructura; alta rotacin de personal; desarrollo de nue<os ser<icios; camDio del >rea de negocios; etc.U /ar0metros para establecer polticas de se+uridad A la @ora de formular las polticas de seguridad @ay =ue tener en cuenta los siguientes aspectos: 'fectuar un an>lisis de riesgos inform>ticos; para <alorar los acti<os. 22 @aDlar con los departamentos. identificar =uien tiene la autoridad para tomar decisiones en cada departamento. .onitorear los procedimientos y operaciones de la empresa; para =ue ante camDios en las polticas puedan actualiAarse. (etallar y concretar el alcance las polticas. 'a,ones 6ue impiden la aplicacin de las polticas de se+uridad inform0tica. Aun=ue las empresas realiAan grandes esfuerAos eGecutar las polticas de seguridad y concretarlas en documentos; pocas son las =ue alcanAan el Bito. )n incon<eniente es con<encer a los altos eGecuti<os de la necesidad de estasL al igual =ue puede ser lo los tecnicismos inform>ticos. 23 Auditor&a informti!a d" !omuni!a!i'n ( r"d"# Para un inform>tico y para un auditor; las redes nodales; lneas; concentradores; multipleores y dem>s solo son el soporte fsicoNlgico del tiempo real. 'l auditor deDe tener en cuenta las deficiencias del entorno. $e necesitan de especialistas =ue presten ser<icio simult>neo de redes locales y comunicaciones. 'ntorno a las comunicaciones se deDer> estudiar el uso de las lneas centr>ndose en la gran cantidad de informacin en relacin con los tiempos de desuso. &a topologa de red utiliAada para las comunicaciones tanto eternas como internas @a de ser la m>s actualiAada posiDle; si no podra ser un serio proDlema de efecti<idad y seguridad. &a falta de informacin conlle<a perdida de tiempo para la empresa; pero tamDiBn eisten disfunciones organiAati<as; la contratacin e instalacin de lneas esta asociada a la instalacin de los puestos de traDaGo correspondientes Ipantallas; ser<idores de redes locales; computadoras con tarGetas de comunicaciones; impresorasUJ. &as comunicaciones son la Dase de los negocios modernos; por ello para las empresas es muy importante mantener sus ser<idores; datos y dem>s fuera del alcance de los @acMers. &as empresas se sienten amenaAadas y =uieren tecnologas =ue las proteGan; por ello parte de sus presupuestos est>n destinados a fortalecer la seguridad de las comunicaciones y con ello la de los datos e informacin. Definicin de pri*acidad en la red. &as redes almacenan procesan y transmiten datos =ue. Vstas compuestas de elementos de transmisin IcaDles; enlaces inal>mDricos; satBlites; encaminadores; pasarelas;UJ y ser<icios de apoyo Isistema de nomDres de dominio incluidos los ser<idores raA; ser<icio de identificacin de llamadas; ser<icios de autenticacin; etc.J. Cada <eA mas @ay un numero mayor de aplicaciones conectadas a las redes Isistemas de entrega de correo electrnico; na<egadores; etc.J y e=uipos terminales Iser<idores; telBfonos; computadoras personales; telBfonos m<iles; etc.J. Para las empresas son importantes por=ue permiten la comunicacin pero tamDiBn pueden ser accedidas por personas no autoriAadas. Cuando @aDlamos de pri<acidad nos referimos al cuidado o medidas estaDlecidas para =ue la informacin no sea consultada por personas no autoriAadas. 'e6uisitos para mantener la pri*acidad de las redes. &as redes @an de cumplir una serie de re=uisitos para mantener su pri<acidad: +. (isponiDilidad: =uiere decir =ue los datos son accesiDles; incluso en casos de alteraciones; cortes de corriente; cat>strofes naturales; accidentes o ata=ues. 'sto muy importante cuando una a<era de la red pro<oca interrupciones por las cuales no se pueda operar de forma @aDitual. 2. Autentificacin: confirmar la identidad de los usuarios. $e necesitan los mBtodos adecuados para cada ser<icio y o aplicaciones; como autentificacin de los sitios KeDU 22 3. Integridad: confirmacin de =ue los datos @an sido en<iados; reciDidos o almacenados son correctos y no se @an modificado. Elaborar un /rotocolo de )e+uridad Anti*irus )n protocolo de seguridad consiste en una serie de pasos =ue deDer> seguir con el fin de crear un @>Dito al operar normalmente con programas y arc@i<os en sus computadoras. &e aseguramos =ue un protocolo puede ser muy efecti<o pero si es complicado; no ser> puesto en funcionamiento nunca por el operador. 'l protocolo de seguridad anti<irus consiste en: . Instalar el anti<irus y asegurar cada +5 das su actualiAacin. !. C@e=uear los C(N*omWs ingresados en nuestra PC slo una <eA; al comprarlos o ad=uirirlos y marcarlos para certificar el c@e=ueo. ". -ormatear todo disMette <irgen =ue compremos. #. *e<isar todo disMette =ue pro<enga del eterior. $. $i nos entregan un disMette y nos dicen =ue est> re<isado; no confiar nunca en los procedimientos de otras personas =ue no seamos nosotros mismos. ,unca saDemos si esa persona saDe operar correctamente su anti<irus %. Para DaGar p>ginas de internet; arc@i<os eGecutaDles; etc.; definir siempre en nuestra PC una carpeta o directorio para reciDir el material. (e ese modo saDemos =ue todo lo =ue DaGemos de internet siempre estar> en una sola carpeta. &. ,unca aDrir un adGunto de un e.mail sin antes c@e=uearlo con nuestro anti<irus. 8. Al actualiAar el anti<irus; <erificar nuestra PC completamente. 9. $i por nuestras acti<idades generamos grandes DiDliotecas de disMettes conteniendo informacin; al guardar los disMettes en la DiDlioteca; <erificarlos por Cltima <eA; protegerlos contra escritura y fec@arlos para saDer cu>ndo fue el Cltimo escaneo. :. 6aga el DacMup peridico de sus arc@i<os. )na <eA cada +5 das es lo mnimo recomendado para un usuario domBstico. 25 P$OC!SOS Y %!$$A&I!'TAS (#! "!)I'!' A A#"ITO$IA "! A I')O$&ACI*': Pro!"#o#) 6oy en da no eiste una forma est>ndar para realiAar una auditoria de la informacin aun as eisten una serie de tBcnicas =ue ayudan a realiAarla: "nventario f#sico Proceso de identificacin y clasificacin de los recursos de informacin. (e esta forma se muestra la realidad =ue posee la organiAacin en cuanto a recursos de informacin. Mapeo de informacin *epresentacin de los recursos de la informacin y la relacin =ue eiste entre ellos; permitiendo as comprender lo fluGos; los mecanismos de almacenamiento y el modo en =ue estos se actualiAan. 'l mapa de recursos indica @asta =ue punto los recursos son D>sicos; su posicionamiento; =uien los utiliAa; =uien es el responsaDle; etc. An$lisis de las necesidades de informacin &a funcin principal es determinar =uB informacin necesitan los empleados y la direccin de la organiAacin para =ue puedan traDaGar y alcanAar sus oDGeti<os. Procesos de control Consiste en identificar los mecanismos de autorregulacin; <erificacin y control con =ue cuenta el sistema de informacin a estudiar. *ERRAMIENTAS) &as @erramientas usadas para realiAar una auditoria de la informacin son: Cuestionarios: las auditorias inform>ticas se crean recopilando informacin de todo tipo. 'l traDaGo del auditor consiste en recoger toda la informacin para despuBs emitir el Guicio soDre la situacin de la organiAacin. Para ello lo @aDitual es comenAar con cuestionarios =ue se en<iaran a las personas =ue el auditor crea adecuadas o a personas =ue sean las responsaDles de las >reas a auditar; estos cuestionarios deDer>n de ser especficos para cada >rea. (espuBs de tener los cuestionarios contestados; se estudia y analiAa la informacin recopilada. (ic@a informacin IcuestionariosJ Gunto con la =ue deDer> de elaDorar el auditor es la Dase fundamental de la auditoria. 'sta fase puede ser suprimida si los auditores ya @an recopilado esta informacin a tra<Bs de otros medios. Entrevistas: en esta fase el auditor comienAa las relaciones personales con el auditado mediante tres formas: 26 +N Peticin de informacin soDre algunas materias determinadas 2N .ediante entre<istas en las =ue ni se sigue ningun metodo de cuestionario especifico. 3N .ediante entre<istas siguiendo un mBtodo ya estaDlecido anteriormente. &a entre<ista es una de las acti<idades mas importantes; ya =ue se recoge mas informacin y mas detallada. 'sta se Dasa fundamentalmente en el interrogatorio; siguiendo unas pautas pre<iamente estaDlecidas. C%ec&list: el profesionalismo del auditor pasa por poseer preguntas muy estudiadas =ue se formulan al personal. 'l conGunto de estas preguntas reciDe el nomDre de c@ecMlist. $al<o ecepciones las c@ecMlist deDen de ser contestadas oralmente; ya =ue superan en ri=ueAa a las escritas. &as empresas eternas de auditoria inform>tica guardan sus c@ecMlist; pero no sir<en si el auditor no las usa adecuadamente. 'l auditor aplicara la c@ecMlist para =ue le auditado responda claramente y se le deDer> interrumpir lo menos posiDle y Cnicamente en lo casos en =ue las respuestas se des<en de la pregunta. &as c@ecMlist se clasifican de dos formas; dependiendo del modo de e<aluacin: +N C%ec&list de rango : contiene preguntas =ue el auditor deDe puntuar del + al 5; siendo el + la respuesta mas negati<a y el 5 la mas positi<a. 2N C%ec&list binario : son preguntas con respuestas Cnicas I si o no J =ue aritmBticamente e=ui<alen a un + y un 4. $e usaran las c@ecMlist de rango si el personal de la organiAacin no es muy grande ya =ue permiten mayor precisin de e<aluacin. Tra'as (o %uellas: &as traAas se usa para comproDar la eGecucin de los datos pre<istos; estos no modifican el sistema. )oft*are de interrogacin: @asta @ace algunos a?os se @an usado softKares llamados pa=uetes de auditoria; =ue generan programas para auditores poco cualificados. .as tarde estos productos e<olucionaron oDteniendo @iptesis de las situaciones reales de las instalaciones. 'n la actualidad estos productos se orientan @acia lenguaGes =ue permiten la interrogacin de fic@eros y Dases de datos de la empresa auditada. 'stos productos solo los usan los auditores eternos ya =ue los internos usan softKares propios de las instalaciones. 2Q O+,!TI-OS 'l oDGeti<o principal es la operati*idad; esta consiste en =ue la organiAacin pueda funcionar con la cantidad mnima de recursos. ,o se puede permitir =ue se detengan las acti<idades; para detectar fallos; esto es; la acti<idad deDe lle<arse a caDo estando los sistemas en marc@a. 'l auditor deDe conseguir =ue los sistemas se encuentren en total operati<idad; para lograr esto se deDen realiAar una serie de controles tBcnicos generales de operati<idad y dentro de ellos unos controles tBcnicos especficos de operati<idad. N Controles tcnicos generales : son los controles =ue <erifican la compatiDilidad =ue eiste entre un sistema operati<o y el softKare de Dase; as como la compatiDilidad entre el @ardKare y el sistema instalado. N Controles tcnicos espec#ficos : igual de importantes =ue los generales aun=ue estos se encargan de <erificar el funcionamiento correcto de partes especificas del sistema; como par>metros de asignacin autom>tica de espacio en el disco; los cuales pueden crear dificultad o impedir su uso posterior. -Par$metros de asignacin autom$tica de espacio en el disco: todas las aplicaciones =ue se desarrollan tienen muc@os par>metros IsuperparametriAadasJ =ue permiten configurar el comportamiento del sistema. Cada aplicacin se usara para una determinada funcin y <a a ocupar una cierta capacidad de espacio en el disco; si uno no analiAa cual es la operatoria y el tiempo =ue le <a a lle<ar ocupar el espacio asignado y adem>s pone un <alor muy pe=ue?o puede ocurrir =ue un da la aplicacin re<iente. A parte de la operati<idad tenemos otros oDGeti<os =ue =ueremos conseguir al aplicar la auditoria de la informacin en una organiAacin como: N'l control de la funcin inform>tica N'l an>lisis de la eficacia del sistema informatico N&a <erificacin de la implantacin de la normati<a N&a re<isin de la gestin de los recursos informaticos N'staDlecer los puntos de los procesos de la auditoria N(eterminar los procesos para <erificar el control interno de la funcin inform>tica NAsegurar =ue la informacin =ue llega a las >reas de las empresas es la necesaria y fiaDle N$aDer eliminar o reducir al m>imo las posiDilidades de perdida de informacin por fallos en los e=uipos N'nse?ar como detectar y pre<enir fraudes por la manipulacin de la informacin NPrestar colaDoracin a la auditoria de cuentas NPoltica de compra N,egociacin con clientes N(eteccin de nue<os clientes NInternacionaliAacin H 'plotacin NAn>lisis de morosidad 28 &OTI-OS "! #SO &as organiAaciones acuden a auditorias eternas cuando eisten sntomas de deDilidad; estos sntomas se agrupan en diferentes clases: +N )#ntomas de descoordinacin desorgani'acin+ Cuando los oDGeti<os de la inform>tica de la compa?a no coinciden con los oDGeti<os propios de esta. 'l promedio de producti<idad se des<a de lo =ue normalmente se consigue. 2N )#ntomas de mala imagen e insatisfaccin de los usuarios : falta de actualiAacin en fic@eros; softKare y falta de actualiAacin en las propias peticiones de los usuarios. 'l usuario perciDe =ue esta aDandonado y desatendido por=ue las a<eras no se reparan en los plaAos pre<istos. *etrasos en los plaAos de entrega =ue causan desaGustes importantes en la acti<idad del usuario. 3N )#ntomas de debilidades econmico-financieras : Incremento de los costes y necesidad de Gustificacin de alguna in<ersin inform>tica de la =ue la empresa no esta del todo con<encida. 2N )#ntomas de inseguridad : '<aluacin del ni<el de riesgo: los datos del personal inicialmente son confidenciales y de la organiAacin. &a organiAacin deDe asegurar la continuidad del ser<icio y estaDlecer estrategias ante fallos mediante planes de contingencia Isi un pro<eedor falla tener otro pre<isto para acudir a el J. 2! - Anexos ANEXO 1 PROGRAMA DE AUDITORIA EN SISTEMAS INSTITUCION________________________ HOJA No.__________________ DE_____________ FECHA DE FORMULACION____________ FASE DESCRIPCIO N ACTIVIDAD NUMERO DE PERSONAL PERIODO ESTIMADO DIAS HAB EST. DIAS HOM. EST. PARTICIPANTE INICIO TERMINO ANEXO 2 AVANCE DEL CUMPLIMIENTO DEL PROGRAMA DE AUDITORIA EN SISTEMAS INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_______ PERIODO QUE REPORTA____________________________ FASESITUACION DE LA AUDITORIA PERIODO REAL DE LA AUDITORIA DIAS REALES GRAD O DE DIAS HOM. EST. EXPLICACIO N DE LAS VARIACIONE 34 UTILIZADO S AVAN CE S EN RELACION CON LO PROGRAMA DO NO INICIA DA EN PROC ESO TERMI NADA INICIAD A TERMIN ADA 3+